LTE-Advanced空口監(jiān)測加解密過程方法研究與實現(xiàn)
作者/ 楊傳偉 王嘉嘉 周???中國電子科技集團公司第四十一研究所 電子信息測試技術安徽省重點實驗室(安徽 蚌埠 233010)
本文引用地址:http://cafeforensic.com/article/201704/358519.htm摘要:LTE-Advanced信令消息的加解密過程測試和驗證是空口信令測試過程中最為基礎和重要的過程,其目的是保證空口協(xié)議信令能夠快速、準確、有效地被解析處理,為空口業(yè)務監(jiān)測提供可能。本文主要針對空口鑒權消息信令的加解密過程進行研究,設計實現(xiàn)一種加解密過程測試方法和硬件平臺技術,保證能夠快速有效地實現(xiàn)空口密文信令消息解密測試和驗證。測試結果驗證了該方案的有效性。
引言
隨著移動通信產業(yè)的不斷發(fā)展,LTE-Adavned技術作為真正的第四代移動通信技術正在逐漸進入商用階段,相比于LTE技術,LTE-Adavned技術具有更低的傳輸時延、更高的移動速度和更寬的帶寬特性,也進一步提高了用戶體驗??罩薪涌谑侵附K端和接入網(wǎng)之間的接口,簡稱Uu口,在LTE-Advanced系統(tǒng)中,空中接口具體是指終端與eNodeB之間的接口,是一個完全開放的用來建立、承載和釋放各種無線業(yè)務信令的接口[1]。LTE-Advanced空口監(jiān)測瞄準的正是復雜的空中接口協(xié)議的監(jiān)測分析,通過對空口無線信號的監(jiān)測和分析,為終端側和網(wǎng)絡側一致性測試提供可靠、穩(wěn)定的第三方評價依據(jù),具有重要的研究價值。
空口監(jiān)測過程中,LTE-Advanced信令消息的加解密過程測試和驗證是終端接入測試過程最為基礎和重要的過程。由于空口信號具有信號復雜、功率低及采樣數(shù)據(jù)量大等特點,使得空口信號的分析比較困難,容易出現(xiàn)終端側接入出錯的情況,無法確切定位為終端側或網(wǎng)絡側的問題。另外,由于終端接入過程中消息碼流已被加密,這對空口信令監(jiān)測、錯誤分析定位也帶來了很大的難度。所以,本文主要針對終端接入過程中空口鑒權消息信令的加解密過程進行研究和實現(xiàn),提出一種空口協(xié)議信令的加解密過程測試方法和硬件平臺實現(xiàn)技術,保證快速有效地針對空口密文信令消息進行解密測試和驗證,并且準確定位接入過程中的錯誤問題。
1 LTE-A加密過程
1.1 LTE-A系統(tǒng)中的密鑰層次
LTE-A系統(tǒng)中密鑰層次結構[2]如圖1所示。
K:存儲在USIM和認證中心AuC的永久密鑰,是所有密鑰生成算法的基礎;
CK、IK:AuC和USIM在AKA認證過程中生成的密鑰對(加密和完整性密鑰);
KASME:UE和HSS根據(jù)CK、IK生成的中間密鑰,用于生成下層密鑰;
KNASenc:UE和MME根據(jù)KASME生成的密鑰,用于NAS層加密;
KNASint:UE和MME根據(jù)KASME生成的密鑰,用于NAS層完整性保護;
KeNB:UE和MME根據(jù)KASME生成的中間密鑰,用于生成下層密鑰;
KUPenc:UE和eNodeB根據(jù)KeNB生成的密鑰,用于AS層用戶數(shù)據(jù)加密;
KRRCint:UE和eNodeB根據(jù)KeNB生成的密鑰,用于AS層RRC信令完整性保護;
KRRCenc:UE和eNodeB根據(jù)KeNB生成的密鑰,用于AS層RRC信令加密。
1.2 加密過程
加密過程[2]如圖2所示。發(fā)送端利用加密密鑰KEY、計數(shù)器COUNT、承載標識BEARER ID、上下行方向DIRECTION和密鑰流長度LENGTH作為加密算法輸入?yún)?shù),計算密鑰流與明文進行異或,生成密文,發(fā)送給接收端。對于NAS層加密,KEY即KNASenc;對于AS層RRC消息加密,KEY即KRRCenc;對于AS層用戶數(shù)據(jù)加密,KEY即KUPenc。
接收端利用與發(fā)送端相同的加密密鑰、計數(shù)器、承載標識、上下行方向、密鑰流長度和加密算法,計算出密鑰流,與接收到的密文進行異或,生成明文。
2 LTE-Advanced空口監(jiān)測加解密測試過程設計
2.1 LTE-Advanced空口測試平臺設計
由于空口信號具有干擾噪聲信號復雜、信號特征不明顯、信號功率低及采樣數(shù)據(jù)量大等特點,更進一步加大了空口信號的分析難度。為了解決這一問題,必須保證硬件具有射頻動態(tài)范圍高、接收機靈敏度高、中頻帶寬大及基帶和協(xié)議棧處理能力強等性能要求。綜合以上要求,提出LTE-Advanced空口監(jiān)測總體設計方案,硬件結構框圖如圖3所示。
LTE-Advanced空口監(jiān)測主要由空口無線信號采集系統(tǒng)(含天線)與空口信號分析系統(tǒng)兩大部分組成??湛跓o線采集系統(tǒng)包含射頻接收通道模塊、高性能本振模塊和數(shù)據(jù)采集中頻處理模塊;空口信號分析系統(tǒng)主要包含基帶處理模塊,協(xié)議棧解析模塊和協(xié)同分析接口模塊。整個空口監(jiān)測的處理流程如下:
1)通過天線模塊從空口接收LTE-Advanced信號,傳送給多通道射頻接收陣列模塊的每個通道的射頻單元;
2)結合高性能本振模塊、前端放大模塊和濾波模塊把射頻通道采集的模擬信號轉換為數(shù)字中頻信號;
3)通過多核DSP和FPGA實現(xiàn)基帶信號處理,實現(xiàn)空口物理層部分的解析工作;
4)針對物理層解析的結果,進一步進行協(xié)議棧處理解析,實現(xiàn)空口協(xié)議棧L2、L3層消息及業(yè)務數(shù)據(jù)的解析工作,最終完成整個空口監(jiān)測的目的。
2.2 測試方法設計
以圖3設計的監(jiān)測硬件平臺為基礎,進行空口信令碼流的整個過程監(jiān)測處理。通常,完整的終端附著監(jiān)測信令消息流如圖4所示,針對如圖4所示的信令過程流程圖,加解密測試過程主要的步驟具體體現(xiàn)為NAS完整性驗證(步驟6~步驟7)和RRC加解密過程(步驟10~步驟11)[3-4]。
通常在終端附著過程中,消息1到消息11過程的所有信令流是不會進行加密處理的,這個過程主要進行一些上下行加解密參數(shù)的協(xié)商配置,若這個過程出現(xiàn)問題,通過簡單的信令即可實現(xiàn)問題定位。消息11配置完成之后,所有的信令消息需要進行加解密和完整性校驗,這個過程的信令消息都是加密的。所以,必須實現(xiàn)解密測試過程,才能準確分析接入過程的問題。
上下行加解密參數(shù)的協(xié)商配置過程中,必須進行相關的參數(shù)監(jiān)測和分析,結合加解密過程原理框圖(如圖2和圖4所示),設計相關的空口監(jiān)測方法如下[5]:
RRC加解密過程:
1)獲取解密參數(shù)COUNT計數(shù)器值,該值對應為當前所在消息的PDCP層中的SN值;
2)獲取解密參數(shù)BEARER ID承載標識值,承載標識值分別為DRB承載標識值和SRB承載標識值,分別對應信令加解密過程和數(shù)據(jù)業(yè)務的加解密過程,DRB值對應在rrcConnectionSetup消息中srb_ToAddModList結構中的srb_Identity值,SRB值對應rrcConnectionSetup消息中的drb_ToAddModList結構中的drb_Identity值;
3)獲取解密參數(shù)DIR上下行方向參數(shù)值,該值表示當前消息是上行消息還是下行消息,分別對應取值為0和1;
4)獲取配置的解密算法參數(shù),LTE的加解密算法和完整性驗證算法包括SNOW 3G算法、AES算法和ZUC算法,針對RRC的加解密過程該參數(shù)可以通過RRC消息securityModeCommand消息中的cipheringAlgorithm參數(shù)獲取;
5)通過本地KEY值和待解密的碼流及碼流長度LENGTH參數(shù),結合圖2過程及以上獲取的參數(shù)可以完成整個RRC側的碼流解密過程和完整性校驗過程。
NAS加解密過程:
1)獲取解密參數(shù)COUNT計數(shù)器值,該值對應為NAS層面的SecuritymodeComman所在消息的SecurityprotectedNASmessage中的SN值;
2)獲取解密參數(shù)BEARER ID承載標識值,在NAS加解密過程中該值固定為0;
3)獲取解密參數(shù)DIR上下行方向參數(shù)值,該值表示當前消息是上行消息還是下行消息,分別對應取值為0和1;
4)獲取配置的解密算法參數(shù),LTE的加解密算法和完整性驗證算法包括SNOW 3G算法、AES算法和ZUC算法,針對NAS消息的加解密過程該參數(shù)可以通過NAS層的securityModeCommand消息中的Type of ciphering algorithm參數(shù)獲取;
5)通過本地KEY值和待解密的碼流及碼流長度LENGTH參數(shù),結合圖2過程及以上獲取的參數(shù)可以完成整個NAS側的碼流解密過程和完整性校驗過程。
3 測試結果
通過設計實現(xiàn)空口監(jiān)測硬件平臺及加解密測試方法,進行了相關的加解密過程測試,具體的附著過程及解密后解析出的碼流都能夠解密成功,測試結果如圖5所示。
圖5左側部分對應終端接入過程接入RRC/NAS消息,右側為消息具體的相關解析結果和解碼結果參數(shù)。通過左側列表消息結合上述分析得知,從No.1到No.55的所有RRC消息為非加密的過程,為終端和基站的參數(shù)配置過程,而之后NO.59到NO.97的過程都是進行加密保護的。本文中成功解析出相關的每條消息并校驗通過,完成了整個解密過程的測試,完成了測試目標的要求。
針對No.71 rrcConnectionReconfiguration消息進行例子分析如下:
解密參數(shù):
Key =0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF
OP=0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF
加密前,整個RRC層碼流為:
0x16, 0x1F, 0xC0, 0xD0, 0x38, 0x67, 0xFB, 0x5D, 0x09, 0x4E, 0xD8, 0x3E, 0xC7, 0x72, 0xEF, 0x65, 0x37, 0x68, 0xA4, 0xF5, 0x82, 0xC0, 0x8A, 0x45。
解密后的碼流為:
0x24, 0x10, 0x15, 0xA8, 0x00, 0x14, 0x4A, 0x51, 0x22, 0xF0, 0x00, 0x00, 0xF0, 0x00, 0x14, 0x01, 0x40, 0xC7, 0x80, 0x00, 0x02, 0x33, 0x18, 0x00。
結論:測試結果完全正確。
4 結論
本文設計實現(xiàn)的空口監(jiān)測硬件平臺及加解密過程方法,可以快速有效的滿足LTE-Advanced信令的實時解密、實時分析處理,很好的解決了終端接入過程中信令消息錯誤問題。經過實踐證明,本文提出的LTE-Advanced信令加解密測試方法在保證LTE-Advanced空口消息監(jiān)測可靠性的同時,也提高了空口消息解密的準確度,能夠為后期LTE-Advanced系統(tǒng)的業(yè)務等行為監(jiān)測提供基礎和可能。
參考文獻:
[1]龐韶敏,李亞波.3G UMTS與4G LTE核心網(wǎng)[M].北京:電子工業(yè)出版社,2012.
[2]3GPP TS 33.401 V10.5.0 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects;3GPP System Architecture Evolution (SAE);Security architecture[S]. 2013,6.
[3]3GPP TS 24.301 V10.15.0 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals;Non-Access-Stratum (NAS) protocol for Evolved Packet System (EPS); Stage 3[S].2014,9.
[4]3GPP TS 36.331 V13.1.0 3rd Generation Partnership Project; Technical Specification Group Radio Access Network;Evolved Universal Terrestrial Radio Access (E-UTRA);Radio Resource Control (RRC) Protocol specification[S]. 2016,03.
[5]王嘉嘉,楊傳偉.LTE系統(tǒng)隨機接入過程研究[J].電子產品世界,2016(23):34-36.
本文來源于《電子產品世界》2017年第5期第35頁,歡迎您寫論文時引用,并注明出處。
評論