【正文】 s13 = k1 s12 = k0 ? IV1s11 = k3 ? 1 s10= k2 ? 1 ? IV2 s9 = k1 ? 1 ? IV3 s8 = k0 ? 1s7 = k3 s6= k2 s5 = k1 s4 = k0s3 = k3 ? 1 s2= k2? 1 s1 = k1 ? 1 s0 = k0 ? 1FSM 初始為：R1 = R2 = R3 = 0；執(zhí)行以下步驟，循環(huán) 32 次：步驟 1：The FSM is clocked (see Error! Reference source not found.) producing the 32bit word F步驟 2：Then the LFSR is clocked in Initialisation Mode (see Error! Reference source not found.) consuming F(LFSR 運(yùn)行初始化模式，32 比特 F 作為輸入，也是輸出) 生成密鑰流22s11 s5 s2 s1 s0s15?1 ??R1 R3R2?ztS2S1FSM圖 生成密鑰流流程如圖 所示生成密鑰流流程：首先，F(xiàn)SM clock 一次，丟棄 FSM 輸出字；然后 LFSR 在密鑰流模式 clock一次。在生成 32bit 字的密鑰流時(shí)，執(zhí)行 5 次以下步驟，生成 5 個(gè) 32 比特的密鑰流：步驟 1：FSM clock，產(chǎn)生一個(gè) 32bit 輸出字 F；步驟 2：計(jì)算下一個(gè)密鑰流字：z t = F ? s0；步驟 3：LFSR 在密鑰流模式下 clock。 計(jì)算得到鑒權(quán)碼 MAC根據(jù) Eval_M 函數(shù)計(jì)算：1） EVAL = 0；2） For（i=0。i=D2。i++）{EVAL = MUL(EVAL ? Mi, P, 0x000000000000001b )。}3） EVAL = EVAL ? MD1；4） EVAL = Mul(EVAL, Q, 0x000000000000001b)；5） For（i=0。i=31。i++）23{MACI[i] = ei ? OTP[i]。}根據(jù)得到的鑒權(quán)碼 MACI，判斷消息的完整性。 128EIA2 EIA2 算法原理128EIA2 基于 CMAC 模式的 128bit AES 算法。MESSAGE 的比特長度稱為 BLENGTH。CMAC 模式的輸入是 Mlen 長度的字符串 M。M 由以下幾部分組成：M0 .. M31 = COUNT[0] .. COUNT[31]M32 .. M36 = BEARER[0] .. BEARER[4]M37 = DIRECTIONM38 .. M63 = 026 (. 26 zero bits)M64 .. MBLENGTH+63 = MESSAGE[0] .. MESSAGE[BLENGTH1]于是，Mlen = BLENGTH + 64.CMAC 模式的 AES 算法使用上述輸入產(chǎn)生消息鑒權(quán)碼 T（MACT） ，長度 Tlen=32。T 用作 128EIA2 算法的輸出 MACT[0] .. MACT[31]，MACT[0]是 T 的 MSB。 輸入和輸出void AES_CMAC(const unsigned char *key, unsigned int count, unsigned char bearer, unsigned char dir, const unsigned char *input, unsigned short length, unsigned char *mac)輸入?yún)?shù)和輸出參數(shù)見下表。表 輸入?yún)?shù)參數(shù) 大?。╞its ） 注釋KEY 128 密鑰MESSAGE LENGTH 由需要鑒權(quán)的消息、COUNT 值、BEARER 值和DIRECTION 構(gòu)造出的數(shù)據(jù)LENGTH variable=0 消息長度（按 8 位字節(jié)計(jì)算）24表 輸出參數(shù)參數(shù) 大?。╞its ） 注釋MAC 128 消息鑒權(quán)碼 EIA2 算法流程圖開始結(jié)束獲取輸入?yún)?shù) K E Y 、M E S S A G E 、 L E N G T H根據(jù)輸入?yún)?shù) K E Y 計(jì)算得到子密鑰生成鑒權(quán)碼 M A C檢驗(yàn)鑒權(quán)碼圖 EIA2 完整性保護(hù)算法流程如圖 所示，完整性保護(hù)算法 EIA2 的流程有以下步驟：1） 從 RRC 層獲得輸入?yún)?shù) KEY、MESSAGE 和 LENGTH；2） 根據(jù)輸入?yún)?shù) KEY 計(jì)算得到子密鑰： K1,K2；3） 利用子密鑰對(duì) MESSAGE 加密，生成鑒權(quán)碼 MAC；4） 驗(yàn)證鑒權(quán)碼。注釋：以上兩種算法中的密鑰 KEY 即 KRRCint，該密鑰從密鑰 KeNB 中獲得；而 KeNB 又是基于上層提供的密鑰 KASME。K ASME 存儲(chǔ)在 UE 和 MME 中，并在下一個(gè)鑒權(quán)過程中更新。25 EIA2 算法解析 產(chǎn)生子密鑰產(chǎn)生子密鑰的算法為 Generate_Subkey()，其輸入為密鑰 K，輸出為兩個(gè)子密鑰 K1,K2，如圖 所示。K1,K2 同時(shí)應(yīng)用于鑒權(quán)碼 MAC 的生成和驗(yàn)證算法中。K1 用于最后一個(gè) block 長度等于整塊長度的情況；K2 適用于最后一個(gè) block 長度小于整塊長度的情況。+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Algorithm Generate_Subkey + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + + + Input : K (128bit key) + + Output : K1 (128bit first subkey) + + K2 (128bit second subkey) + ++ + + + Constants: const_Zero is 0x00000000000000000000000000000000 + + const_Rb is 0x00000000000000000000000000000087 + + Variables: L for output of AES128 applied to 0^128 + + + + Step 1. L := AES128(K, const_Zero)。 + + Step 2. if MSB(L) is equal to 0 + + then K1 := L 1。 + + else K1 := (L 1) XOR const_Rb。 + + Step 3. if MSB(K1) is equal to 0 + + then K2 := K1 1。 + + else K2 := (K1 1) XOR const_Rb。 + + Step 4. return K1, K2。 + + + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++圖 Generate_Subkey 算法261） AES128 算法的輸入 K 和一個(gè)全零的值；2） 按如下操作分離出 K1：如果 L 最重要位的值為 0，K1 就是 L 從左數(shù)的第一位的值；否則，K1 由const_Rb 的擴(kuò)展 OR 和 L 從左數(shù)的第一位的值共同得到；3） 按如下操作分離出 K2：如果 K1 最重要位的值為 0， K2 就是 L 從左數(shù)的第一位的值；否則，K2 由const_Rb 的擴(kuò)展 OR 和 K1 從左數(shù)的第一位的值共同得到；4） 返回 K1,K2 值。 生成鑒權(quán)碼 MAC生成鑒權(quán)碼 MAC 的算法為 AESCMAC()，其輸入為密鑰 K，消息 M 和消息長度 len；其中 M 是長度為 len 的比特流，其構(gòu)造如下：M0 .. M31 = COUNT[0] .. COUNT[31]M32 .. M36 = BEARER[0] .. BEARER[4]M37 = DIRECTIONM38 .. M63 = 026 (. 26 zero bits)M64 .. MBLENGTH+63 = MESSAGE[0] .. MESSAGE[BLENGTH1]因此，len = BLENGTH + 64.MESSAGE 為需要進(jìn)行完整性保護(hù)的原始消息，其長度為 BLENGTH。EIA2 算法中，M 表示成 M_i 序列，M_i 為一個(gè)消息塊。M = M_1 || M_2 || ... || M_{n1} || M_n，i = 1,...,n1。M_i 的長度為 128bits。 該算法的輸出為鑒權(quán)碼 MAC，用于證明輸入消息的正確性。MAC 由 T 表示，T := AESCMAC(K,M,len) ，通過 MAC 的正確性判斷來驗(yàn)證源端消息的完整性。It is possible to truncate the MAC. According to [NISTCMAC], at least a 64bit MAC should be used as protection against guessing attacks. The result of truncation should be taken in most significant bits first order.AES128 的消息塊長度為 128bits。如果消息長度不等于消息塊大小的整倍數(shù)，則采取特殊的處理：在最后一個(gè)消息塊中加 bit 串 10^i 使其稱為一個(gè)完整的消息塊。對(duì)于一個(gè)輸入流 x，填充函數(shù) padding（x）定義如下： padding(x) = x || 10^i //i 等于 1288*r1圖 描述了 MAC 生成算法+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Algorithm AESCMAC + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++27 + + + Input : K ( 128bit key ) + + : M ( message to be authenticated ) + + : len ( length of the message in octets ) + + Output : T ( message authentication code ) + + + ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Constants: const_Zero is 0x0