【正文】 s13 = k1 s12 = k0 ? IV1s11 = k3 ? 1 s10= k2 ? 1 ? IV2 s9 = k1 ? 1 ? IV3 s8 = k0 ? 1s7 = k3 s6= k2 s5 = k1 s4 = k0s3 = k3 ? 1 s2= k2? 1 s1 = k1 ? 1 s0 = k0 ? 1FSM 初始為：R1 = R2 = R3 = 0；執(zhí)行以下步驟，循環(huán) 32 次：步驟 1：The FSM is clocked (see Error! Reference source not found.) producing the 32bit word F步驟 2：Then the LFSR is clocked in Initialisation Mode (see Error! Reference source not found.) consuming F(LFSR 運行初始化模式，32 比特 F 作為輸入，也是輸出) 生成密鑰流22s11 s5 s2 s1 s0s15?1 ??R1 R3R2?ztS2S1FSM圖 生成密鑰流流程如圖 所示生成密鑰流流程：首先，F(xiàn)SM clock 一次，丟棄 FSM 輸出字；然后 LFSR 在密鑰流模式 clock一次。在生成 32bit 字的密鑰流時，執(zhí)行 5 次以下步驟，生成 5 個 32 比特的密鑰流：步驟 1：FSM clock，產生一個 32bit 輸出字 F；步驟 2：計算下一個密鑰流字：z t = F ? s0；步驟 3：LFSR 在密鑰流模式下 clock。 計算得到鑒權碼 MAC根據 Eval_M 函數(shù)計算：1） EVAL = 0；2） For（i=0。i=D2。i++）{EVAL = MUL(EVAL ? Mi, P, 0x000000000000001b )。}3） EVAL = EVAL ? MD1；4） EVAL = Mul(EVAL, Q, 0x000000000000001b)；5） For（i=0。i=31。i++）23{MACI[i] = ei ? OTP[i]。}根據得到的鑒權碼 MACI，判斷消息的完整性。 128EIA2 EIA2 算法原理128EIA2 基于 CMAC 模式的 128bit AES 算法。MESSAGE 的比特長度稱為 BLENGTH。CMAC 模式的輸入是 Mlen 長度的字符串 M。M 由以下幾部分組成：M0 .. M31 = COUNT[0] .. COUNT[31]M32 .. M36 = BEARER[0] .. BEARER[4]M37 = DIRECTIONM38 .. M63 = 026 (. 26 zero bits)M64 .. MBLENGTH+63 = MESSAGE[0] .. MESSAGE[BLENGTH1]于是，Mlen = BLENGTH + 64.CMAC 模式的 AES 算法使用上述輸入產生消息鑒權碼 T（MACT） ，長度 Tlen=32。T 用作 128EIA2 算法的輸出 MACT[0] .. MACT[31]，MACT[0]是 T 的 MSB。 輸入和輸出void AES_CMAC(const unsigned char *key, unsigned int count, unsigned char bearer, unsigned char dir, const unsigned char *input, unsigned short length, unsigned char *mac)輸入參數(shù)和輸出參數(shù)見下表。表 輸入參數(shù)參數(shù) 大?。╞its ） 注釋KEY 128 密鑰MESSAGE LENGTH 由需要鑒權的消息、COUNT 值、BEARER 值和DIRECTION 構造出的數(shù)據LENGTH variable=0 消息長度（按 8 位字節(jié)計算）24表 輸出參數(shù)參數(shù) 大?。╞its ） 注釋MAC 128 消息鑒權碼 EIA2 算法流程圖開始結束獲取輸入參數(shù) K E Y 、M E S S A G E 、 L E N G T H根據輸入參數(shù) K E Y 計算得到子密鑰生成鑒權碼 M A C檢驗鑒權碼圖 EIA2 完整性保護算法流程如圖 所示，完整性保護算法 EIA2 的流程有以下步驟：1） 從 RRC 層獲得輸入參數(shù) KEY、MESSAGE 和 LENGTH；2） 根據輸入參數(shù) KEY 計算得到子密鑰： K1,K2；3） 利用子密鑰對 MESSAGE 加密，生成鑒權碼 MAC；4） 驗證鑒權碼。注釋：以上兩種算法中的密鑰 KEY 即 KRRCint，該密鑰從密鑰 KeNB 中獲得；而 KeNB 又是基于上層提供的密鑰 KASME。K ASME 存儲在 UE 和 MME 中，并在下一個鑒權過程中更新。25 EIA2 算法解析 產生子密鑰產生子密鑰的算法為 Generate_Subkey()，其輸入為密鑰 K，輸出為兩個子密鑰 K1,K2，如圖 所示。K1,K2 同時應用于鑒權碼 MAC 的生成和驗證算法中。K1 用于最后一個 block 長度等于整塊長度的情況；K2 適用于最后一個 block 長度小于整塊長度的情況。+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Algorithm Generate_Subkey + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + + + Input : K (128bit key) + + Output : K1 (128bit first subkey) + + K2 (128bit second subkey) + ++ + + + Constants: const_Zero is 0x00000000000000000000000000000000 + + const_Rb is 0x00000000000000000000000000000087 + + Variables: L for output of AES128 applied to 0^128 + + + + Step 1. L := AES128(K, const_Zero)。 + + Step 2. if MSB(L) is equal to 0 + + then K1 := L 1。 + + else K1 := (L 1) XOR const_Rb。 + + Step 3. if MSB(K1) is equal to 0 + + then K2 := K1 1。 + + else K2 := (K1 1) XOR const_Rb。 + + Step 4. return K1, K2。 + + + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++圖 Generate_Subkey 算法261） AES128 算法的輸入 K 和一個全零的值；2） 按如下操作分離出 K1：如果 L 最重要位的值為 0，K1 就是 L 從左數(shù)的第一位的值；否則，K1 由const_Rb 的擴展 OR 和 L 從左數(shù)的第一位的值共同得到；3） 按如下操作分離出 K2：如果 K1 最重要位的值為 0， K2 就是 L 從左數(shù)的第一位的值；否則，K2 由const_Rb 的擴展 OR 和 K1 從左數(shù)的第一位的值共同得到；4） 返回 K1,K2 值。 生成鑒權碼 MAC生成鑒權碼 MAC 的算法為 AESCMAC()，其輸入為密鑰 K，消息 M 和消息長度 len；其中 M 是長度為 len 的比特流，其構造如下：M0 .. M31 = COUNT[0] .. COUNT[31]M32 .. M36 = BEARER[0] .. BEARER[4]M37 = DIRECTIONM38 .. M63 = 026 (. 26 zero bits)M64 .. MBLENGTH+63 = MESSAGE[0] .. MESSAGE[BLENGTH1]因此，len = BLENGTH + 64.MESSAGE 為需要進行完整性保護的原始消息，其長度為 BLENGTH。EIA2 算法中，M 表示成 M_i 序列，M_i 為一個消息塊。M = M_1 || M_2 || ... || M_{n1} || M_n，i = 1,...,n1。M_i 的長度為 128bits。 該算法的輸出為鑒權碼 MAC，用于證明輸入消息的正確性。MAC 由 T 表示，T := AESCMAC(K,M,len) ，通過 MAC 的正確性判斷來驗證源端消息的完整性。It is possible to truncate the MAC. According to [NISTCMAC], at least a 64bit MAC should be used as protection against guessing attacks. The result of truncation should be taken in most significant bits first order.AES128 的消息塊長度為 128bits。如果消息長度不等于消息塊大小的整倍數(shù)，則采取特殊的處理：在最后一個消息塊中加 bit 串 10^i 使其稱為一個完整的消息塊。對于一個輸入流 x，填充函數(shù) padding（x）定義如下： padding(x) = x || 10^i //i 等于 1288*r1圖 描述了 MAC 生成算法+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Algorithm AESCMAC + +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++27 + + + Input : K ( 128bit key ) + + : M ( message to be authenticated ) + + : len ( length of the message in octets ) + + Output : T ( message authentication code ) + + + ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Constants: const_Zero is 0x0