【文章內容簡介】 4 ZUC 算法研制中心提供的性能數(shù)據(jù) ..................................................................................................................94 ZUC IP 核的設計與實現(xiàn) ......................................................................................................................................95 CLP411: ZUC 后備（LOOK ASIDE） 密碼核 ..................................................................................................9741 概述本文檔對 LTE 安全技術進行的總結，描述了與安全相關的協(xié)議，重點包括：安全流程梳理。 參考文獻[1] 3GPP TS :3GPP System Architecture Evolution (SAE)。 Security architecture.[2] 3GPP Radio Resource Control (RRC)。 Protocol specification[3] 3GPP S1 application protocol (S1AP)[4] 3GPP X2 application protocol (X2AP)[5] 3GPP TS : Evolved Universal Terrestrial Radio Access (EUTRA)。 Packet Data Convergence Protocol (PDCP) Specification. 術語AES Advanced Encryption StandardCK Cipher KeyIK Integrity KeyEARFCNDL EUTRA Absolute Radio Frequency Channel NumberDown LinkEEA EPS Encryption AlgorithmEIA EPS Integrity AlgorithmeKSI Key Set Identifier in EUTRAN （EUTRAN 的密鑰組標識）KDF Key Derivation Function（密鑰獲取功能）KSI Key Set IdentifierMACI Message Authentication Code for Integrity ( )NCC Next hop Chaining CounterNH Next HopSMC Security Mode CommandSQN Sequence NumberHFN Hyper Frame NumberLSM Limited Service Mode（受限服務模式）? COUNT：包括上行下行兩個變量。H F N P D C P S N? Chaining of KeNB: 從一個 KeNB 生成另一個 KeNB（如切換過程中，根據(jù)生成源小區(qū) KeNB 生成目標小區(qū) KeNB）5? eKSI：eKSI 是 KASME 的一個指示，由 MME 進行分配，作用是在 UE 和 MME 中指示一個通過 EPS AKA 過程產生的 Native KASME，可以進行 KASME 的重新啟用。eKSI 為 4bit，最高位指示 eKSI 值是 KASME 還是 KSGSN，剩余的三位填寫 KSI 值。在從 UE 發(fā)送給 MME 的消息中，如果 eKSI 值為全 1，表示沒有可用的 eKSI。? Mapped security context: 跨系統(tǒng)移動，由源系統(tǒng)的安全上下文，映射獲得的安全上下文。比如在 UTRAN 到 EUTRAN 的切換過程中，通過 UTRAN 的安全上下文獲取 EUTRAN 的安全上下文。? Refresh of KeNB: KASME 不變情況下的 KeNB 更新。通過小區(qū)內切換過程，實現(xiàn)的 KeNB 參數(shù)變化。如在 PATH SWITCH 后目標 eNB 根據(jù) MME 提供的NH/NCC 對，發(fā)起小區(qū)內切換，通知 UE 采用最新的 NCC 進行 KeNB 計算，實現(xiàn) KeNB 參數(shù)的變化。PDCP COUNTs 越界時，需要對 KeNB, KRRCenc, KRRCint, and KUPen 進行 Key refresh。? Rekeying of KeNB: 通過新的 KASME 獲取新 KeNB。K eNB, KRRCenc, KRRCint, and KUPenc 可以進行 Rekeying，由 MME 發(fā)起，通常在 NAS 安全交互后發(fā)生。? UE security capabilities: UE 支持的 EPS AS 和 NAS 的完整性保護和加密算法，以及 UE 支持的 UTRAN 和 GERAN 的加密算法和完整性保護算法。? UE EPS security capabilities: UE 支持的 EPS 系統(tǒng)的加密算法和完整性保護算法。? NAS COUNT：包括上下行兩個變量。UE 和 MME 分別保存。在 UE 側 NAS COUNT 都保存在 USIM 中或者 UE 的非易失性存儲設備中。NAS COUNT = NAS overflow Counter（16 位） || NAS SN（8 位） 。NAS SN 是在 NAS 信令交互過程中，NAS 頭中包含的 Sequence Number IE。62 加密和完整性保護算法 完整性保護參數(shù)說明：UE 與 eNB 之間的 RRC 完整性保護由 PDCP 提供，PDCP 以下各層不需要完整性保護。EIA 算法（完整性）的輸入?yún)?shù)為：（1） 一個 128bit 的密鑰 KRRCint；（2） 一個 5bit 的承載 id BEARER；（3） 一個 1bit 的傳輸方向 DIRECTION；（4） 密鑰流長度 LENGTH；（5） 時間和方向的 32bit。 特例：切換過程中的 RRC 層也需要進行 RRC 完整性校驗碼的生成，用于生成 ShortMACI。ShortMACI 根據(jù) VarShortMACInput 作為 MESSAGE，根據(jù)原服務小區(qū)的 KRRCint 作為KEY， COUNT/BEARER/DIRECTION 的 bit 位全部為 1，計算獲得；而 VarShortMACInput 由目標小區(qū)cellIdentity，原服務小區(qū)的 PCI 和 cRNTI 組成。COUNT 32bit 由HFN和 PDCP SN組成，共32bitBEARER 5bit 取值為“RB identity1特例：對于EIA1算法，輸入為32bit，高27bit填零，低5bit為BEARER 。DIRECTION 1bit 0—上行，1—下行MESSAGE RRC消息內容，即PDCP SDU。LENGTH （1）對于EIA1和EIA3 ，采用流密碼加密方式，LENGTH取值為MESSAGE的bit數(shù)；（2）對于EIA2，采用塊密碼加密方式，LENGTH取值為MESSAGE的字節(jié)數(shù)。輸入KEY 128bit KRRCint算法 128bit algorithms EIA0――空算法；7生成KEYSTREAM BLOCKEIA1――基于3G網絡的標準算法 sonw3G；EIA2――增強性加密算法AES；EIA3――祖沖之算法ZUC；輸出 MACI/ XMACI 32bit 加密參數(shù)說明：UE 與 eNB 之間的用戶面通過 PDCP 協(xié)議進行加密。128bit EEA 算法（加密）的輸入 INPUT 參數(shù)為：（1） 一個 128bit 密鑰 KUPenc ；（2） 一個 5bit 承載標識 BEARER；（3） 1bit 傳輸方向 DIRECTION；（4） 密鑰流的長度 LENGTH；（5） 時間以及方向。 COUNT 32bit 由HFN和 PDCP SN組成，共32bitBEARER 5bit 對于信令數(shù)據(jù)――“RB identity1對于業(yè)務數(shù)據(jù)――DRB identity1DIRECTION 1bit 0—上行，1—下行輸入LENGTH 16bit Keystream block長度，在加密算法中，利用keystream block對未加密的數(shù)據(jù)的消息字段進行操作。 （1）對于EIA1和EIA3 ，采用流密碼加密方式： LENGTH取值為Keystream block的bit 數(shù)； （2）對于EIA2，采用塊密碼加密方式： LENGTH取值為Keystream block的字節(jié)數(shù)。 對于信令數(shù)據(jù)――加密數(shù)據(jù)為PDCP DATA和MACI ，長度8為PDCP DATA長度加上MACI長度；而PDCP DATA即為未壓縮的PDCP SDU。 對于業(yè)務數(shù)據(jù)――加密數(shù)據(jù)為PDCP DATA，長度為PDCP DATA長度；而 PDCP DATA可以為壓縮的PDCP SDU，也可以為未壓縮的PDCP SDU。KEY 128bit 對于信令數(shù)據(jù)――K RRCenc對于業(yè)務數(shù)據(jù)――K UPenc算法 128bit algorithms EEA0―― 空算法；EEA1―― 基于3G 網絡的標準算法 sonw3G；EEA2―― 增強性加密算法 AES；EEA3―― 祖沖之算法 ZUC；安全加密是針對如下三種類型的 PDU。（1）控制平面 SRB 數(shù)據(jù)的 PDCP Data PDU：首先對信令數(shù)據(jù)進行完整性保護，然后對信令數(shù)據(jù)和認證碼一起加密。O c t 1O c t 2O c t NO c t N 1O c t N 2O c t N 3. . .D a t aP D C P S NR R RM A C I 認證碼M A C I ( c o n t . ) 認證碼M A C I ( c o n t . ) 認證碼M A C I ( c o n t . ) 認證碼 完整性保護加密（2）使用 12bit SN 值的 PDCP Data PDU：此格式適用于攜帶映射到 RLC AM（應答）或 RLC UM（非應答）的 DRB 的數(shù)據(jù)的 PDCP Data PDU，對數(shù)據(jù)進行加密。. . .P D C P S N ( c o n t . )D a t aD / C P D C P S NR R R O c t 1O c t 2O c t 3加密（3）使用 7bit SN 值的 PDCP Data PDU：此格式適用于攜帶映射到 RLC UM 的 DRB 的數(shù)據(jù)的 PDCP Data PDU，對數(shù)據(jù)進行加密。9. . .D / C P D C P S N O c t 1O c t 2D a t a加密 加密和完整性保護的關系 完 整 性 驗 證加 密PDC SDUMAC1計 算 解 密確 定 計 數(shù)PDC PDU編 號RRC 信令，完整性保護結果需要進行加/解密：? 對于發(fā)送方：先進行完整性保護（MACI 計算） ，后進行加密。? 對于接收方：先進行數(shù)據(jù)解密，再進行完整性驗證（MACI 校驗） 。注：RRC 信令的處理方式正好與 NAS 信令的處理方式相反。NAS 信令先加密，后進行完整性保護，完整性保護信息不進行加密。3 算法 算法介紹 EEA0、EIA0 (NULL Algorithm)參見 36401 Annex B /。10 EEA0 算法 EEA0 算法的實現(xiàn)效果和應用全 0 的 KEYSTREAM 進行加密效果等同。 KEYSTREAM 的長度和輸入?yún)?shù) LENGTH 相同。此外，和加密相關的所有操作都應遵循本章所描述的加密算法。 EIA0 算法EIA0 算法的實現(xiàn)效果和生成全 0 的 MACI/NASMAC 和 XMACI/XNASMAC 的效果相同。當應用EIA0 算法時，無需進行重保護。除非接收側不校驗接收到的 MAC，否則，所有和完整性保護相關的操作都應遵循本章描述的完整性保護算法。 EIA0 僅應用在處于 LSM（受限服務模式）的 UE 進行緊急呼叫時 。注 1：文中提到的重保護是指重新進行完整性保護。注 2：EUTRAN 中，認為使用 2G SIM 的 UE 處于 LSM 狀態(tài)。注 3：EEA0 和 EIA0 沒有提供任何安全。 128EEA1 EEA1 算法原理參見 。128EIA1 基于 SNOW 3G 算法，和 UEA2 的實現(xiàn)方式相同。128EIA1 采用流密碼加密方式進行加密。利用 LFSR(線性反饋移位寄存器)和 FSM(有限狀態(tài)機)進行更新密鑰流。用新產生的密鑰流和明文按位進行異或，從而得出密文。輸出的密鑰流以 32 位為一組，最終可形成 zz…zt 之類的密鑰流，其中 t = (n + 31) / 32，n 為明文的長度 (以 bit 為單位)。解密過程與加密過程類似。采用相同的算法和密鑰，唯一不同的是對密文進行解密。 輸入和輸出u32 f8(u8 *CKK