1、 引 言

TD-SCDMA和WCDMA是目前3GPP內(nèi)進(jìn)行完善的主要標(biāo)準(zhǔn)。在3GPP的各版本中，R4協(xié)議已基本穩(wěn)定，目前相關(guān)設(shè)備提供商的產(chǎn)品主要都是基于R4版本開(kāi)發(fā)的。安全模式控制過(guò)程（SMC）是從R4版本才開(kāi)始應(yīng)用的一種空中接口安全控制過(guò)程。他主要用來(lái)在移動(dòng)通信網(wǎng)絡(luò)中保證數(shù)據(jù)的安全性和完整性，是用戶設(shè)備（UE）和無(wú)線接入網(wǎng)絡(luò)（UTRAN）間的接口（Uu接口）的一個(gè)協(xié)議處理過(guò)程。

核心網(wǎng)（CN）用這個(gè)過(guò)程通知無(wú)線網(wǎng)絡(luò)控制器（RNC）應(yīng)該采用的加密模式和完整性保護(hù)模式。SMC過(guò)程主要包括兩種，一種是信令的完整性保護(hù)，另外一種是用戶數(shù)據(jù)的加密。下面著重介紹信令的完整性保護(hù)過(guò)程。

2 、安全模式控制過(guò)程分析

2.1 功能分析

SMC過(guò)程主要有2種安全功能：數(shù)據(jù)加密和數(shù)據(jù)完整性保護(hù)，現(xiàn)著重介紹信令數(shù)據(jù)的完整性保護(hù)問(wèn)題，他包括完整性檢查和完整性密鑰管理：

（1） 完整性檢查

他的目的是保證空中接口上信令的連續(xù)和完整。RNC會(huì)對(duì)空中接口上的信令數(shù)據(jù)進(jìn)行完整性保護(hù)。

（2） 完整性密鑰管理功能

完整性保護(hù)密鑰和完整性保護(hù)算法都是由CN指定，RNC和UE從所有指定的算法中選定兩者都支持的一種算法進(jìn)行完整性保護(hù)。

2.2 過(guò)程描述

由CN發(fā)起安全模式控制過(guò)程，來(lái)配置加密信息和完整性保護(hù)信息。UTRAN收到CN配置的這些信息后，選擇UE和UTRAN都支持的加密算法和完整性保護(hù)算法，進(jìn)行完整性保護(hù)過(guò)程和加密過(guò)程。過(guò)程見(jiàn)圖1。

對(duì)于一個(gè)CN域已經(jīng)存在一個(gè)信令連接，并且在這個(gè)CN域上已經(jīng)開(kāi)始了完整性保護(hù)和加密算法。這時(shí)如果對(duì)于另外一個(gè)CN域配置加密和完整性保護(hù)信息，則要選擇已經(jīng)存在的那個(gè)域上所應(yīng)用的算法。

對(duì)于一個(gè)CN域已經(jīng)存在一個(gè)信令連接，并且在這個(gè)CN域上已經(jīng)開(kāi)始了完整性保護(hù)和加密，如果這個(gè)域再次發(fā)送消息SECURITY MODE COMMAND給RNC，安全模式控制過(guò)程將被用來(lái)激活應(yīng)用新的加密密鑰和完整性保護(hù)密鑰，參數(shù)Key STatus將會(huì)被設(shè)置成“NEW”。

（1） 無(wú)線資源控制（RRC）連接建立過(guò)程將UE的安全能力和對(duì)于電路域（CS）和分組域（PS）各自的START值從UE發(fā)送到RNC。其中UE安全能力信息包括加密能力和完整性保護(hù)能力。

（2） 移動(dòng)臺(tái)（MS）發(fā)送初始L3消息VLR／SGSN，這些消息中包含用戶識(shí)別碼和KSI（Key Set IdenTIfier）。而KSI由最新配置鑒權(quán)信息的域分配。

（3） 執(zhí)行用戶識(shí)別碼請(qǐng)求過(guò)程。用戶鑒權(quán)和生成新的安全性密鑰值（IK和CK），也會(huì)生成新的KSI值。

（4） VLR／SGSN決定UIAs和UEAs優(yōu)先選用的順序

（5） VLR／SGSN發(fā)送RANAP消息Security ModeCommand給RNC來(lái)發(fā)起完整性保護(hù)和加密過(guò)程。這個(gè)消息包括按一定優(yōu)先順序排列的UIAs和IK值。

（6） RNC選擇RNC和UE都支持的算法，并生成一個(gè)隨機(jī)數(shù)FRESH，然后開(kāi)始下行鏈路的完整性保護(hù)。

（7） RNC生成RRC消息security mode command。這個(gè)消息包含UE安全能力，UIA和FRESH，如果開(kāi)始加密，還包括UEA，還包括CN域標(biāo)識(shí)。

（8） UE在收到RRC消息Security mode command之后，比較收到的“UE security capability”參數(shù)和存儲(chǔ)的“UEsecurity capability”參數(shù)。

（9） 如果所有的控制過(guò)程成功，UE生成RRC消息Security mode complete并且生成這個(gè)消息的MAC-I。如果有的控制過(guò)程不成功，安全模式控制過(guò)程就會(huì)在UE端終止。

（10） 收到響應(yīng)消息后，RNC根據(jù)響應(yīng)消息計(jì)算XMAC-I。RNC比較XMAC-I和MAC-I來(lái)確定消息的完整性。

（11） RNC發(fā)送RANAP消息Security Mode Com-plete給VLR／SGSN報(bào)告結(jié)果。

3、 重定位信令的完整性保護(hù)功能

3.1 約定

重定位時(shí)完整性保護(hù)功能描述的是服務(wù)RNC（SRNC）進(jìn)行完整性保護(hù)，伴隨SRNC重定位的硬切換：UE的測(cè)量報(bào)告表明硬切換的目標(biāo)小區(qū)屬于另外一個(gè)RNC，這時(shí)UTRAN在決定執(zhí)行硬切換的時(shí)候，伴隨執(zhí)行重定位，將UE移交給目標(biāo)RNC。

基于先實(shí)現(xiàn)簡(jiǎn)單的基本過(guò)程，再逐步完善各種復(fù)雜情況的思路，約定如下：

（1） 在重定位前，源RNC已經(jīng)啟用完整性保護(hù)，并且只可能是如下兩種情況：第一次安全模式控制過(guò)程（啟動(dòng)完整性保護(hù)）已經(jīng)生效；若有后續(xù)的安全模式控制過(guò)程（修改完整性保護(hù)配置），也必須在重定位前已經(jīng)啟用新的配置，舊的完整性保護(hù)配置已被刪除。

（2） 源RNC側(cè)在重定位發(fā)起以后，拒絕CN發(fā)來(lái)的Security Mode Command消息。

（3） 目標(biāo)RNC應(yīng)該接受源RNC指定的完整性保護(hù)配置信息，而不應(yīng)該在發(fā)往源RNC的CONtainer中指定新的配置。

3.2 源RNC的處理策略

在執(zhí)行重定位時(shí)，UTRAN的網(wǎng)絡(luò)節(jié)點(diǎn)之間（源RNC與目標(biāo)RNC之間）需要傳遞一些RRC信息。網(wǎng)絡(luò)節(jié)點(diǎn)之間傳遞RRC信息的典型方式是RRC信息容器（RRC in-formATIon container）。

在RELOCATION REQUIRED消息中有一個(gè)IE叫做Source RNC to Target RNC Transparent Container，他的內(nèi)容是UE當(dāng)前在空中接口上的所有相關(guān)信息，包括加密和完整性保護(hù)信息、UE信息元素、UTRAN移動(dòng)性信息元素、CN信息元素、測(cè)量信息元素，RB信息元素和傳輸信道信息元素等。向目標(biāo)RNC傳遞這些信息的目的是作為目標(biāo)RNC分配無(wú)線資源的參考。重定位時(shí)完整性保護(hù)功能主要討論此容器中的Integrity protection related infor-mation IE。源RNC側(cè)SMC模塊的主要任務(wù)是正確地填寫(xiě)Container中和完整性保護(hù)相關(guān)的信息。透明容器部分內(nèi)容見(jiàn)表1，執(zhí)行細(xì)節(jié)參數(shù)的格式規(guī)劃見(jiàn)圖2。

完整性保護(hù)算法采用16 b存放（UIA1～UIA16），每次有且僅有一個(gè)算法啟用，該算法其相應(yīng)位置1，其余算法相應(yīng)位都置0。

之所以對(duì)每個(gè)SRB的SN都加offset，SRB2上面已經(jīng)解釋過(guò)了；其他的是為了防止直傳消息對(duì)UE和網(wǎng)絡(luò)側(cè)SN不同的影響（目前offset默認(rèn)取3）。

3.3 目標(biāo)RNC的處理策略

目標(biāo)RNC在一次重定位過(guò)程中所要完成的工作是：根據(jù)來(lái)自CN的重定位資源分配請(qǐng)求，結(jié)合目標(biāo)小區(qū)當(dāng)前資源占用情況，為UE分配無(wú)線資源，如果資源分配成功，向CN返回成功響應(yīng)。對(duì)于SMC模塊，主要完成如下兩步：

（1） 接收Container

從RELOCATION REQUEST消息中的Source RNCto Target RNC Transparent Container IE給目標(biāo)RNC帶來(lái)UE的RRC信息。

在系統(tǒng)內(nèi)重定位的情況下，如果Source RNC-to-Target RNC transparent container IE里面提供了Ciphe-ring Key IE，則目標(biāo)RNC會(huì)選擇一種加密算法并利用此加密密鑰去加密信令數(shù)據(jù)（無(wú)論選擇了哪一種算法）；如果提供的是Integrity Protection Key IE，目標(biāo)RNC將選擇一種完整性算法并利用此密鑰去啟動(dòng)完整性保護(hù)操作（無(wú)淪選擇了哪一種算法）。

如果源RNC側(cè)沒(méi)有啟用完整性保護(hù)，則Source RNCto Target RNC Transparent Container中不會(huì)包含Integri-ty protection related information信息，目際RNC將不會(huì)啟動(dòng)完整性保護(hù)操作。

目標(biāo)RNC負(fù)責(zé)將接收到的Container中和完整性保護(hù)有關(guān)的信息保存到本地的SmcCtx中。如果目標(biāo)RNC不支持該配置，則重定位資源分配失敗。

（2） 發(fā)送Container到SRNC

RELOCATION REQUEST消息中的Source RNC toTarget RNC Transparent Container IE給目標(biāo)RNC帶來(lái)UE的RRC信息，基于這些信息，目標(biāo)RNC會(huì)準(zhǔn)備硬切換消息，然后會(huì)把準(zhǔn)備好的硬切換消息傳回源RNC，由源RNC向UE發(fā)送。

根據(jù)約定，目標(biāo)RNC不能改變從SRNC收到的完整性保護(hù)配置，應(yīng)將該配置填入PHYSICAL CHANNELRECONFIGURATION消息的Integrity protection modeinfo IE中（和UE已有的相同）。

如果發(fā)往目標(biāo)RNC的容器中RB identity for Han-dover message IE為空，重配置消息經(jīng)過(guò)Container傳送到SRNC，SRNC從Container中取出PHYSICAL CHAN- NEL RECONFIGURATION信息，并加上消息類型和In-tegrity check info（在SRNC側(cè)計(jì)算）信息，發(fā)送給UE。

如果發(fā)往目標(biāo)RNC的容器中RB identity for Han-dover message IE非空，則目標(biāo)RNC在發(fā)給源RNC的Container中填重配置消息前，先用本地的完整性保護(hù)配置對(duì)重配置消息進(jìn)行完整性保護(hù)，然后發(fā)往源RNC。源RNC收到這條消息后，不做處理，直接透?jìng)鹘oUE。在這種情況下，不需要在發(fā)往目標(biāo)RNC的Container中對(duì)Downlink RRC Message sequence number加偏移量，Downlink RRC HFN也不用依賴Downlink RRC Messagesequence number做特別的處理。

4、結(jié) 語(yǔ)

SMC過(guò)程主要包括2種：一種是信令的完整性保護(hù)；另外一種是用戶數(shù)據(jù)的加密。由于空中接口的特性所限，信令完整性保護(hù)顯得非常重要，尤其在重定位過(guò)程中更是尤為關(guān)鍵。但目前對(duì)于信令完整性的實(shí)現(xiàn)還未在各廠商中達(dá)成一致，影響了互連互通性。希望通過(guò)對(duì)SMC的研究和分析提高對(duì)接中的一致性最終實(shí)現(xiàn)設(shè)備的互連互通。