TD-SCDMA与TD-LTE安全机制的分析和比较

1 引言

LTE从2005年开始作为3GPP的研究项目，由于其具有高数据速率、低时延传输、分组传送、高频谱和高效率等优越性，以及FDD和TDD的同步发展，最近几年受到广泛关注。我国也有意向采用TD-LTE技术商用运营，且自2011年，中移动已投入巨资进行TD-LTE建设，并同步展开大规模内外场测试。截至目前第一阶段的测试已经基本完成，下阶段将侧重于多模、R9和我国自主研发的ZUC算法的测试验证。随着规模试验的推动，TD-LTE未来试商用、商用将提上日程。

对于用户和网络运营商来讲，网络安全性是一个关乎双方利益的重要议题。TD-LTE网络的商用亦势必带来与TD-SCDMA系统兼容的一系列安全性问题。因此，为在未来提供更加安全的移动通信业务，很有必要对TD-SCDMA与TD-LTE网络的安全机制做深入比较与分析。

本文较全面地分析了二者的安全机制，并侧重分析了在TD-SCDMA基础上LTE的安全机制的不同与演进，旨在为多模网络切换等问题的研究提供一定参考。

2 TD-SCDMA安全机制

2.1 TD-SCDMA安全体系架构

TD-SCDMA系统具备较完善的安全体系架构（图1），包括以下三个安全层面：应用层、归属层/服务层和传输层。

根据系统安全的三个层面，系统实现以下五个方面的安全目标：（Ⅰ）网络接入安全；（Ⅱ）网络域安全；（Ⅲ）用户域安全；（Ⅳ）应用程序域安全；（Ⅴ）安全的可见度与可配置性[1]。

2.2 TD-SCDMA鉴权与密钥协商机制

鉴权与密钥协商AKA机制实现了终端与网络的双向认证，并为后续安全模式提供了加密密钥CK和完整性密钥IK。

AKA过程分为AV向量分配和鉴权及密钥生成两部分，具体流程如图2所示：

图2中，

（1）VLR/SGSN向HE/HLR发送鉴权数据请求消息，消息中携带了MS的IMSI；

（2）HE/HLR收到请求消息后，依据IMSI得到主密钥K，并由此得到鉴权向量AV（AV=RAND||XRES||CK||IK||AUTN）；

（3）HE/HLR向VLR/SGSN发送鉴权数据响应消息，消息中携带了新生成的AV向量；

（4）VLR/SGSN收到响应消息后，在数据库中存储收到的AV向量；

（5）当需要对UE进行鉴权时，依顺序选取一个未用的AV向量；

（6）VLR/SGSN向UE发送用户认证请求消息，其中包括AV向量中的RAND和AUTN；

（7）UE接收到请求消息后，计算出XMAC，然后依次验证XMAC=MAC（包含在AUTN中）是否成立、SQN是否属于正常范围内。若都正确，MS计算响应值RES、CK和IK；

（8）MS向VLR/SGSN发送用户认证响应消息，其中包括MS生成的RES；

（9）VLR/SGSN接收到RES后，判断XRES=RES是否成立。若成立，则鉴权成功，VLR/SGSN从认证向量中取得CK和IK。

2.3 TD-SCDMA安全保护机制

（1）加密机制

TD-SCDMA系统中的加密机制，能保护用户和网络之间传输的数据及信令不会被攻击者泄露或窃听，从而保证网络的安全。加密机制具体实施是在MAC和RLC子层，RRC子层只对加密过程进行初始化和控制。透明模式TM业务（语音业务）的加密在MAC层实现，非确认UM模式和确认AM模式业务（数据业务）的加密在RLC层实现[2]。

在UE激活安全模式、确定了CK及核心算法后，进行如图3所示的加密过程，对数据进行加密。其中，加密序列号COUNT-C（32bits）、负载标识BEARER（5bits）、方向位DIRECTION（1bit，0表示上行，1表示下行）和密钥流长度LENGTH（16bits）组成一组64bits数据流（低位补0），以CK（128bits）为加密密钥，使用f8函数产生密钥流模块KSB，它和数据明文按位做异或运算得到密文。

TD-SCDMA系统支持UEA0（NULL）、UEA1（KASUMI）和UEA2（SNOW3G）三种加密算法。

（2）完整性保护机制

TD-SCDMA系统中的完整性保护机制，可以防止信令被修改、增加或删除等，从而保障数据的完整性。其完整性保护机制是RRC子层的功能，只针对信令无线承载[2]。

在UE激活安全模式、确定了IK及核心算法后，进行如图4所示的完整性保护过程，对信令进行完整性保护。其中，完整性序列号COUNT-I（32bits）、随机数FRESH（32bits）、消息序列MESSAGE和DIRECTION（1bit）组成一组数据流，以IK（128bits）为完整性保护密钥，使用f9函数产生消息认证码MAC-I。接收方以相同方式计算XMAC-I，并与接收到的MAC-I比较，验证消息的完整性。

同加密算法一样，TD-SCDMA系统支持UIA0（NULL）、UIA1（KASUMI）和UIA2（SNOW3G）三种完整性保护算法。

3 TD-SCDMA安全机制分析

3GPP为TD-SCDMA定义了相对完善的安全机制，例如，提供了三层5个方面的安全架构；定义了MS与HLR的双向鉴权机制；包括了加密与完整性保护两种安全保护机制；提供了三种加密算法等。

但是，TD-SCDMA的安全机制仍然存在一些安全隐患，其中包括：没有对非接入层进行安全保护，易泄露信息；没有实现MS对VLR的认证，易遭受重定向攻击；没有考虑网络端的认证和保密通信，攻击者可以通过截取VLR与HLR之间的信息获得AV从而获得CK和IK；用户漫游到不同地域时，归属网络会把认证向量发送到漫游网络，易被截获；SQN 序列号存在重同步缺陷等[3]。

对此，TD-LTE系统在TD-SCDMA基础上进行了很大的改进，大大加强了网络的安全性。下文主要描述TD-LTE的安全机制，并分析其与TD-SCDMA的不同和改进。

4 TD-LTE安全机制

4.1 TD-LTE安全体系架构

TD-LTE在安全功能方面不断得到完善、扩展和加强，其安全架构如图5所示：

TD-LTE安全体系架构沿用了TD-SCDMA三层5个方面的安全架构，亦包含5个安全特性组。值得指出的是，相比于TD-SCDMA，LTE主要有如下改进：

（1）考虑了接入网AN和服务网络SN之间的数据交换的安全性，在AN和SN之间进行双向安全保护；

（2）考虑了终端UE和SN之间的非接入层安全问题，在ME和SN之间进行双向安全保护；

（3）增加了服务网的认证，在归属网络HE和SN之间进行双向安全保护。

4.2 TD-LTE安全层次

如第3节所述，TD-SCDMA的安全性是建立在网络足够可信的基础上的，缺乏对网络端的验证。针对3G只有一层安全这一缺陷，LTE采用了分层安全机制，包括两个层次（图6）：

（1）接入层安全（起止于UE和eNodeB），包括：RRC信令，在PDCP层执行加密和完整性保护；UP用户面，在PDCP层实现，只需要加密；

（2）非接入层安全（起止于UE和MME）：NAS信令，在非接入层执行加密和完整性保护。

4.3 TD-LTE鉴权与密钥协商机制

TD-LTE的鉴权机制，在TD-SCDMA鉴权和密钥协商的信令流程上有一定改进，鉴权流程（图7）如下：

（1）UE向MME发起鉴权请求；

（2）MME向HSS索要鉴权向量；

（3）HSS返回一套或多套EPS鉴权向量AV(RAND||AUTN||,XRES||KASME)给MME；

（4）MME收到后保存XRES、KASME，并将RAND、AUTN以及该AV向量的3位标识KSIASME包含在认证请求中发送给用户；

（5）UE根据自己存储的K与收到的参数计算出RES、XMAC、CK和IK。其中RES、XMAC用于UE和网络间的认证，CK和IK用于计算出KASME；

（6）UE与MME各自根据KASME推导出NAS层与AS层所需的加密密钥和完整性保护密钥。

值得指出的是，由于LTE系统架构的改进，采用扁平化的核心网架构，鉴权由MME和HSS完成，故不再缺少MS对VLR的认证及VLR与HLR鉴权参数传递等问题。此外，LTE网络鉴权有如下改进：

（1）增加了UE对服务网络的认证。在从MME到HSS的认证数据请求中，增加了服务网络身份标识SN-ID。HSS通过验证SN-ID来确保MME的合法性，从而达到UE间接地对服务网络的身份进行认证的目的；

（2）改变了AV向量的组成。LTE将TD-SCDMA的AV向量的两个元素CK/IK更改为一个中间密钥KASME，AV由五元组变为四元组。KASME由UE与网络双向认证成功后双方共享。双方能够通过KASME的推演，分别建立起接入层和非接入层的安全上下文，满足LTE两个安全层次的需要。这样一来，LTE提升了主要密钥CK、IK的重要性，不再允许CK、IK在核心网内传输，提高了安全性；

（3）避免了SQN序列号重同步缺陷。LTE中每次AKA过程，MME尽量保证只从HSS取一个认证向量，UE和MME分别使用独立的SQN序列号管理机制。当MME请求多个认证时，MME按序存储这些认证向量，并保证在AKA过程中使用编号最小的认证向量，从而有效避免SQN序列号重同步问题。

4.4 TD-LTE密钥体系

不同于TD-SCDMA系统直接用CK和IK进行加密和完整性保护，LTE系统的安全密钥层次更为复杂，UE及网络共享由CK和IK生成的母密钥KASME，进而各自生成一系列用于用户数据及RRC、NAS信令加密和完整性保护的密钥。密钥及派生过程如图8所示[4]：

（1）UE和HSS间共享的密钥：

K：存储在USIM和AUC的永久密钥；

CK/IK：USIM和AUC在AKA过程中生成的密钥对。

（2）ME和ASME共享的中间密钥：

KASME：由UE和HSS在AKA过程中根据CK和IK推演得到，用于推演下层密钥。

（3）LTE接入网络的密钥：

KeNB：用于推导保护RRC和UP流量的密钥；

KNASint：NAS消息的特定的完整性算法密钥；

KNASenc：NAS消息的特定的加密算法密钥；

KUPenc：UP流量的特定的加密算法密钥；

KRRCint：RRC消息的特定的完整性算法密钥；

KRRCenc：RRC消息的特定的加密算法密钥。

4.5 TD-LTE安全保护机制

与TD-SCDMA相同，LTE中数据的安全也都是基于可选的算法来实现的。网络和用户需要在安全模式建立过程中通过协商决定使用哪种算法。当核心算法确定后，LTE依次进行信令的加密和完整性保护，以及用户数据的加密。

2011年9月，我国提出的ZUC算法通过了ETSI安全算法专家组的内部评估和公开评估后，成功纳入3GPP为LTE定义的国际标准。截至目前，LTE系统机密性和完整性保护的算法共有四种：NULL，SNOW3G（128位流加密）[5]，AES（128位块加密）[6]，ZUC（128位流加密）[7]。因此，相比于TD-SCDMA系统，LTE安全保护的核心算法更新为这四种算法。

对于加密和完整性保护的实现流程，LTE与TD-SCDMA系统基本相同，因此这里不再赘述。需要指出，二者不同的是其所使用的密钥，TD-SCDMA直接使用CK进行加密，使用IK进行完整性保护；而LTE则使用由CK和IK衍生出来的一系列密钥，具体详见4.4节。一方面，在鉴权过程中LTE提高了CK/IK的重要性，不再直接传递和使用这两个参数；另一方面，LTE系统通过由CK和IK衍生出来的一系列密钥，从而实现接入层和非接入层的双层机密性保护机制。

5 TD-LTE与TD-SCDMA安全机制对比

如上所述，TD-SCDMA的安全机制已相对完善，但仍存在一些安全隐患，尤其是其没有对网络进行鉴权[8]；LTE系统对其安全机制进一步改进，大大加强了其网络安全性。改进方面总结如下：

（1）安全架构方面，LTE在沿用TD-SCDMA系统整体架构外，增加了AN和SN、ME和SN间的安全保护等；

（2）安全层次方面，LTE将TD-SCDMA系统的单层安全机制改进为双层；

（3）鉴权与密钥协商机制方面，LTE与TD-SCDMA系统流程类似，但有如下改进：增加了MS对服务网络的认证；改变AV向量的组成，提升了主要密钥的重要性；避免了SQN序列号重同步缺陷等；

（4）密钥体系方面，LTE相比于TD-SCDMA具有更为复杂的密钥体系，从而实现了双层安全体制；

（5）安全保护机制方面，与TD-SCDMA相同，LTE系统的安全算法可选，二者的完整性保护与加密流程类似。但是，LTE系统可选算法更多，且不再直接使用CK/IK，通过衍生的不同密钥实现了用户数据加密、RRC和NAS消息的完整性保护与加密。

6 结束语

安全问题一直是通信系统中运营商和用户关注的重点，随着网络的发展，运营商和用户对网络与业务的安全性要求越来越高。TD-LTE作为即将全面商用的3.9G无线移动通信技术，其与TD-SCDMA系统的兼容，尤其是安全问题成为一个需要解决的关键问题。本文对TD-SCDMA与TD-LTE系统的安全机制进行全面的比较与分析，并侧重分析了LTE安全机制的不同与改进。后续，笔者希望能够更进一步研究和完善TD-SCDMA与TD-LTE系统切换过程中的安全机制的实现。