安全模式控制过程的信令完整性保护功能研究

1、 引 言

TD-SCDMA和WCDMA是目前3GPP内进行完善的主要标准。在3GPP的各版本中，R4协议已基本稳定，目前相关设备提供商的产品主要都是基于R4版本开发的。安全模式控制过程（SMC）是从R4版本才开始应用的一种空中接口安全控制过程。他主要用来在移动通信网络中保证数据的安全性和完整性，是用户设备（UE）和无线接入网络（UTRAN）间的接口（Uu接口）的一个协议处理过程。

核心网（CN）用这个过程通知无线网络控制器（RNC）应该采用的加密模式和完整性保护模式。SMC过程主要包括两种，一种是信令的完整性保护，另外一种是用户数据的加密。下面着重介绍信令的完整性保护过程。

2 、安全模式控制过程分析

2.1 功能分析

SMC过程主要有2种安全功能：数据加密和数据完整性保护，现着重介绍信令数据的完整性保护问题，他包括完整性检查和完整性密钥管理：

（1） 完整性检查

他的目的是保证空中接口上信令的连续和完整。RNC会对空中接口上的信令数据进行完整性保护。

（2） 完整性密钥管理功能

完整性保护密钥和完整性保护算法都是由CN指定，RNC和UE从所有指定的算法中选定两者都支持的一种算法进行完整性保护。

2.2 过程描述

由CN发起安全模式控制过程，来配置加密信息和完整性保护信息。UTRAN收到CN配置的这些信息后，选择UE和UTRAN都支持的加密算法和完整性保护算法，进行完整性保护过程和加密过程。过程见图1。

对于一个CN域已经存在一个信令连接，并且在这个CN域上已经开始了完整性保护和加密算法。这时如果对于另外一个CN域配置加密和完整性保护信息，则要选择已经存在的那个域上所应用的算法。

对于一个CN域已经存在一个信令连接，并且在这个CN域上已经开始了完整性保护和加密，如果这个域再次发送消息SECURITY MODE COMMAND给RNC，安全模式控制过程将被用来激活应用新的加密密钥和完整性保护密钥，参数Key STatus将会被设置成“NEW”。

（1） 无线资源控制（RRC）连接建立过程将UE的安全能力和对于电路域（CS）和分组域（PS）各自的START值从UE发送到RNC。其中UE安全能力信息包括加密能力和完整性保护能力。

（2） 移动台（MS）发送初始L3消息VLR／SGSN，这些消息中包含用户识别码和KSI（Key Set IdenTIfier）。而KSI由最新配置鉴权信息的域分配。

（3） 执行用户识别码请求过程。用户鉴权和生成新的安全性密钥值（IK和CK），也会生成新的KSI值。

（4） VLR／SGSN决定UIAs和UEAs优先选用的顺序

（5） VLR／SGSN发送RANAP消息Security ModeCommand给RNC来发起完整性保护和加密过程。这个消息包括按一定优先顺序排列的UIAs和IK值。

（6） RNC选择RNC和UE都支持的算法，并生成一个随机数FRESH，然后开始下行链路的完整性保护。

（7） RNC生成RRC消息security mode command。这个消息包含UE安全能力，UIA和FRESH，如果开始加密，还包括UEA，还包括CN域标识。

（8） UE在收到RRC消息Security mode command之后，比较收到的“UE security capability”参数和存储的“UEsecurity capability”参数。

（9） 如果所有的控制过程成功，UE生成RRC消息Security mode complete并且生成这个消息的MAC-I。如果有的控制过程不成功，安全模式控制过程就会在UE端终止。

（10） 收到响应消息后，RNC根据响应消息计算XMAC-I。RNC比较XMAC-I和MAC-I来确定消息的完整性。

（11） RNC发送RANAP消息Security Mode Com-plete给VLR／SGSN报告结果。

3、 重定位信令的完整性保护功能

3.1 约定

重定位时完整性保护功能描述的是服务RNC（SRNC）进行完整性保护，伴随SRNC重定位的硬切换：UE的测量报告表明硬切换的目标小区属于另外一个RNC，这时UTRAN在决定执行硬切换的时候，伴随执行重定位，将UE移交给目标RNC。

基于先实现简单的基本过程，再逐步完善各种复杂情况的思路，约定如下：

（1） 在重定位前，源RNC已经启用完整性保护，并且只可能是如下两种情况：第一次安全模式控制过程（启动完整性保护）已经生效；若有后续的安全模式控制过程（修改完整性保护配置），也必须在重定位前已经启用新的配置，旧的完整性保护配置已被删除。

（2） 源RNC侧在重定位发起以后，拒绝CN发来的Security Mode Command消息。

（3） 目标RNC应该接受源RNC指定的完整性保护配置信息，而不应该在发往源RNC的CONtainer中指定新的配置。

3.2 源RNC的处理策略

在执行重定位时，UTRAN的网络节点之间（源RNC与目标RNC之间）需要传递一些RRC信息。网络节点之间传递RRC信息的典型方式是RRC信息容器（RRC in-formATIon container）。

在RELOCATION REQUIRED消息中有一个IE叫做Source RNC to Target RNC Transparent Container，他的内容是UE当前在空中接口上的所有相关信息，包括加密和完整性保护信息、UE信息元素、UTRAN移动性信息元素、CN信息元素、测量信息元素，RB信息元素和传输信道信息元素等。向目标RNC传递这些信息的目的是作为目标RNC分配无线资源的参考。重定位时完整性保护功能主要讨论此容器中的Integrity protection related infor-mation IE。源RNC侧SMC模块的主要任务是正确地填写Container中和完整性保护相关的信息。透明容器部分内容见表1，执行细节参数的格式规划见图2。

完整性保护算法采用16 b存放（UIA1～UIA16），每次有且仅有一个算法启用，该算法其相应位置1，其余算法相应位都置0。

之所以对每个SRB的SN都加offset，SRB2上面已经解释过了；其他的是为了防止直传消息对UE和网络侧SN不同的影响（目前offset默认取3）。

3.3 目标RNC的处理策略

目标RNC在一次重定位过程中所要完成的工作是：根据来自CN的重定位资源分配请求，结合目标小区当前资源占用情况，为UE分配无线资源，如果资源分配成功，向CN返回成功响应。对于SMC模块，主要完成如下两步：

（1） 接收Container

从RELOCATION REQUEST消息中的Source RNCto Target RNC Transparent Container IE给目标RNC带来UE的RRC信息。

在系统内重定位的情况下，如果Source RNC-to-Target RNC transparent container IE里面提供了Ciphe-ring Key IE，则目标RNC会选择一种加密算法并利用此加密密钥去加密信令数据（无论选择了哪一种算法）；如果提供的是Integrity Protection Key IE，目标RNC将选择一种完整性算法并利用此密钥去启动完整性保护操作（无沦选择了哪一种算法）。

如果源RNC侧没有启用完整性保护，则Source RNCto Target RNC Transparent Container中不会包含Integri-ty protection related information信息，目际RNC将不会启动完整性保护操作。

目标RNC负责将接收到的Container中和完整性保护有关的信息保存到本地的SmcCtx中。如果目标RNC不支持该配置，则重定位资源分配失败。

（2） 发送Container到SRNC

RELOCATION REQUEST消息中的Source RNC toTarget RNC Transparent Container IE给目标RNC带来UE的RRC信息，基于这些信息，目标RNC会准备硬切换消息，然后会把准备好的硬切换消息传回源RNC，由源RNC向UE发送。

根据约定，目标RNC不能改变从SRNC收到的完整性保护配置，应将该配置填入PHYSICAL CHANNELRECONFIGURATION消息的Integrity protection modeinfo IE中（和UE已有的相同）。

如果发往目标RNC的容器中RB identity for Han-dover message IE为空，重配置消息经过Container传送到SRNC，SRNC从Container中取出PHYSICAL CHAN- NEL RECONFIGURATION信息，并加上消息类型和In-tegrity check info（在SRNC侧计算）信息，发送给UE。

如果发往目标RNC的容器中RB identity for Han-dover message IE非空，则目标RNC在发给源RNC的Container中填重配置消息前，先用本地的完整性保护配置对重配置消息进行完整性保护，然后发往源RNC。源RNC收到这条消息后，不做处理，直接透传给UE。在这种情况下，不需要在发往目标RNC的Container中对Downlink RRC Message sequence number加偏移量，Downlink RRC HFN也不用依赖Downlink RRC Messagesequence number做特别的处理。

4、结 语

SMC过程主要包括2种：一种是信令的完整性保护；另外一种是用户数据的加密。由于空中接口的特性所限，信令完整性保护显得非常重要，尤其在重定位过程中更是尤为关键。但目前对于信令完整性的实现还未在各厂商中达成一致，影响了互连互通性。希望通过对SMC的研究和分析提高对接中的一致性最终实现设备的互连互通。