ETSI TS 135 207-2020
Универсальная система мобильной связи (UMTS); LTE; Безопасность 3G; Спецификация набора алгоритмов MILENAGE: Пример набора алгоритмов для функций аутентификации и генерации ключей 3GPP f1, f1*, f2, f3, f4, f5 и f5*; Документ 3: Реализатор...

Стандартный №

ETSI TS 135 207-2020

Дата публикации

2020

Разместил

European Telecommunications Standards Institute (ETSI)

состояние

быть заменен 2022-04

быть заменен

ETSI TS 135 207-2022

Последняя версия

ETSI TS 135 207-2024

сфера применения

Обзор стандартного документа и техническая информация

ETSI TS 135 207 V16.0.0 (2020-08) является важным компонентом технических спецификаций 3GPP Release 16 и относится к третьему документу в серии спецификаций набора алгоритмов MILENAGE — Данные для тестирования разработчиками. Этот документ предоставляет стандартизированный набор тестовых данных для функций аутентификации и генерации ключей в сетях 3G (UMTS) и LTE, обеспечивая совместимость и корректность алгоритмов в реализациях различных производителей. Набор алгоритмов MILENAGE основан на криптографическом алгоритме Rijndael (AES) и содержит семь основных функций безопасности: **f1** (генерация ключа сетевой аутентификации), **f1*** (генерация ключа аутентификации для повторной синхронизации), **f2** (генерация ответа), **f3** (генерация секретного ключа), **f4** (генерация ключа целостности), **f5** и **f5*** (генерация анонимного ключа). Эти функции вместе составляют основные криптографические примитивы протокола 3GPP AKA (Authentication and Key Agreement).

---

Структура документа и организация тестовых данных

В документе используется иерархическая структура для организации тестовых данных, что гарантирует разработчикам возможность полной проверки корректности реализации алгоритма:

Глава	Содержание теста	Количество наборов данных	Цель проверки
Глава 3	Тестирование функции ядра Rijndael	6 наборов	Корректная реализация алгоритма AES-128
Глава 4	Алгоритм аутентификации f1 и Тестирование f1*	6 наборов	Проверка генерации MAC-A и MAC-S
Глава 5	Тестирование алгоритмов f2, f5 и f3	6 групп	Генерация и проверка RES, AK и CK
Глава 6	Тестирование алгоритмов f4 и f5*	6 групп	Генерация и проверка IK и AK ресинхронизации

Тестовые данные разработаны в соответствии с **принципом полного покрытия**: обеспечение использования каждой записи S-Box и Каждый входной бит может находиться как в состоянии 0, так и в состоянии 1. Этот метод проектирования гарантирует полноту проверки реализации алгоритма.

---

Спецификации ключевых переменных и формата данных

В документе четко определены формат данных и соглашения о порядке битов для входных и выходных параметров алгоритма:

2.1 Система определения переменных

Основные переменные, используемые в алгоритме MILENAGE, включают:

• K: 128-битный пользовательский ключ, основной входной параметр безопасности алгоритма
• RAND: 128-битный случайный запрос, обеспечивающий уникальность каждой аутентификации
• OP/OPc: поле конфигурации варианта алгоритма оператора и его производные значения
• SQN: 48-битный порядковый номер, предотвращающий атаки повторного воспроизведения
• AMF: 16-битное поле управления аутентификацией, расширяющее алгоритм функциональность

2.2 Спецификации представления данных

В документе используется нотация Big-Endian: все переменные данных представлены со старшим битом (или байтом) слева и младшим битом (или байтом) справа. Это соглашение обеспечивает совместимость данных между различными реализациями. Значения тестовых данных по умолчанию представлены в шестнадцатеричном формате, что облегчает чтение человеком и машинный анализ. Для внутреннего состояния алгоритма Rijndael в документе используется специальное матричное представление: 128-битное состояние рассматривается как матрица 4×4 байта и сериализуется в порядке столбцов.

---

Подробный анализ тестовых данных ядра Rijndael

Шесть наборов тестовых данных Rijndael, представленных в главе 3, составляют основу для проверки алгоритма MILENAGE. Каждый набор тестов включает в себя полную трассировку процесса шифрования:

3.1 Структура тестовых данных

Каждый набор тестов включает в себя:

1. Ключ: 128-битный ключ шифрования AES
2. Открытый текст: 128-битные входные данные
3. Ключи раундов: ключи расширения раундов 0-10
4. Промежуточные состояния: значения состояний после каждого раунда шифрования
5. Зашифрованный текст: окончательный результат

3.2 Стратегия покрытия тестов

Разработка набора тестов обеспечивает:

Цель тестирования	Метод реализации	Значение проверки
Полное покрытие S-блока	Выбор конкретных комбинаций ключа и открытого текста	Убедитесь, что все записи таблицы подстановки активированы
Покрытие битовых состояний	Установите каждый входной бит в 0 и 1	Проверьте чувствительность алгоритма к изменениям входных данных
Целостность функции раунда	Предоставьте промежуточные значения для каждого раунда шифрования	Облегчите отладку и поиск ошибок

В качестве примера рассмотрим тестовый набор 1. Документ не только предоставляет окончательный зашифрованный текст, но и подробно описывает значения состояний. После каждого шага: AddRoundKey, SubBytes, ShiftRows и MixColumns, предоставляя разработчикам полную эталонную траекторию.

---

Архитектура тестирования защищенных функций MILENAGE

Главы 4-6 строят полную систему тестирования функций MILENAGE на основе тестовых данных Rijndael:

4.1 Принципы генерации тестовых данных

Тестовые данные для всех семи защищенных функций генерируются на основе набора тестовых данных Rijndael, представленного в главе 3. Тщательно выбирая значения OP, K и RAND, входные данные для первого шифрования точно соответствуют открытому тексту в наборе тестовых данных Rijndael.

Такая конструкция гарантирует, что:

• Выполняются условия покрытия теста Rijndael
• Каждый входной бит функции проходит через 0 и 1 состояние
• Внутренняя согласованность тестовых данных

4.2 Спецификация формата функционального тестирования

Каждый набор функциональных тестов использует стандартизированное пятишаговое представление:

1. Входные параметры: K, RAND, SQN, AMF и т. д.
2. Поля конфигурации: значение OP
3. Вычисление промежуточного значения: OPc, зашифрованный выход и т. д.
4. Вторичный вход шифрования: данные после вращения и обработки XOR
5. Конечный выход: результаты вычислений каждой функции безопасности

В документе особо подчеркивается, что OPc следует вычислять вне USIM, но процесс его вычисления все же включен в пример кода для полноты. Данная конструкция отражает соображения безопасности при реальном развертывании.

---

Ключевые технические моменты реализации алгоритма

5.1 Согласованность обработки порядка битов

При реализации алгоритма MILENAGE необходимо строго соблюдать соглашения о порядке битов, определенные в разделе 2.3 документа. Любая ошибка в порядке битов приведет к совершенно некорректному результату работы алгоритма, и такие ошибки трудно обнаружить с помощью функционального тестирования. Рекомендуется выполнить следующие действия во время реализации:

• Создать стандартную библиотеку функций преобразования порядка битов
• Проверить обработку порядка битов в модульных тестах
• Выполнить сквозную проверку, используя примеры данных из документа

5.2 Безопасное вычисление OPC

OPc = AES-Encrypt(K, OP) ⊕ OP — это ключевой этап предварительной обработки в алгоритме MILENAGE. В документе прямо рекомендуется предварительная компиляция и хранение OPC непосредственно в USIM-карте, а не динамическое вычисление OPC каждый раз при выполнении аутентификации.

Такая конструкция:

• Снижает вычислительную нагрузку на USIM
• Предотвращает раскрытие OP во время связи
• Соответствует архитектуре безопасности смарт-карт

5.3 Проверка целостности тестовых данных

Разработчик должен создать полную структуру проверки тестирования:

Уровень проверки	Содержание теста	Соответствует стандарту
Модульный тест	Базовые операции Rijndael	Соответствует всем наборам тестов в главе 3 документа
Интеграционный тест	Единая функция безопасности	Соответствует наборам тестов в главах 4-6
Системный тест	Полный процесс AKA	Взаимодействие с эталонной реализацией

---

Эволюция стандарта и совместимость версий

Стандарт ETSI TS 135 207 претерпел несколько изменений версий с момента его первоначального выпуска в 1999 году:

6.1 Анализ истории версий

Обновления версий документов в основном следуют общему плану выпуска 3GPP:

• Выпуски 4-7: Этап улучшения базовой функции
• Выпуски 8-10: Этап внедрения и оптимизации LTE
• Выпуски 11-16: Этап поддержания обратной совместимости

Стоит отметить, что начиная с версии 11, содержание документа оставалось в значительной степени стабильным, а основными обновлениями были обновления номеров версий для поддержания синхронизации с общей архитектурой 3GPP. Это указывает на то, что алгоритм MILENAGE после первоначальной доработки достиг технически зрелого состояния.

6.2 Гарантия обратной совместимости

Версия V16.0.0 полностью поддерживает совместимость с тестовыми данными из предыдущих версий.

Это означает, что: Системы, реализованные на основе более ранних версий, могут пройти тест новой версии без изменений. Набор тестовых данных остается стабильным в качестве эталонного для алгоритма. Операторы могут безопасно обновлять свои сети, не затрагивая существующие USIM-карты. hr ...

Проверка с использованием набора тестов в соответствующей главе

Этап 3: Интеграционное тестирование

• Реализация полного потока протокола AKA
• Тестирование совместимости со стандартными инструментами тестирования
• Тестирование граничных условий и обработки исключений

7.2 Вопросы безопасности

При безопасной реализации алгоритма MILENAGE необходимо учитывать:

Аспекты безопасности	Потенциальные риски	Защитные меры
Атаки по побочным каналам	Анализ энергопотребления, анализ временных характеристик	Использование реализации с постоянным временем, добавление случайных чисел задержки
Управление ключами	Утечка ключей, небезопасное хранение	Использование защищенных аппаратных модулей, периодическое обновление ключей
Качество случайных чисел	Предсказание RAND, повторное использование	Использование криптографически защищенных генераторов случайных чисел

7.3 Стратегии оптимизации производительности

Для сред с ограниченными ресурсами (например, USIM-карт) можно рассмотреть следующие оптимизации:

• Оптимизация предварительных вычислений: Предварительное вычисление и хранение неизменяемых данных, таких как ключи OPC и раундовые ключи
• Оптимизация памяти: Использование вычислений на месте для уменьшения использования памяти
• Алгоритм
оптимизация: Использование метода таблиц поиска для реализации подстановки S-Box
• Параллельная обработка: Оптимизация операций MixColumns на платформах, поддерживающих параллелизм

---

Сценарии применения стандарта и влияние на отрасль

8.1 Применение в сетях 3G/4G

Алгоритм MILENAGE, как пример алгоритма стандарта 3GPP, широко используется в сетях 3G (UMTS) и 4G (LTE) по всему миру:

• Основные сетевые элементы: Центр сертификации HLR/HSS
• Терминальное оборудование: Модуль безопасности в USIM-карте
• : Сетевой тестер и анализатор протоколов

Хотя в документации явно указано, что операторы могут указывать свои собственные алгоритмы, MILENAGE стал де-факто отраслевой стандарт благодаря своей открытости и надежному анализу безопасности.

8.2 Эволюция к 5G

Хотя 5G вводит новые системы аутентификации («5G-AKA» и «EAP-AKA»), алгоритм MILENAGE по-прежнему играет важную роль в сценариях обратной совместимости:

• Базовая сеть 4G в режиме 5G Non-Standalone (NSA)
• Взаимодействие между сетями 5G и 4G
• Поддерживаемые многорежимные терминальные устройства

Представленные в данной спецификации тестовые данные и методология являются важными ориентирами для тестирования и проверки алгоритмов безопасности 5G.

---

Краткое содержание и перспективы

ETSI TS 135 207 V16.0.0, как спецификация тестовых данных для реализации набора алгоритмов MILENAGE, предоставляет Прочная техническая основа для сетевой безопасности 3GPP. Благодаря стандартизированным наборам тестовых данных, четким спецификациям формата и всесторонним стратегиям покрытия, документ обеспечивает совместимость и корректность алгоритмов между различными реализациями.

По мере развития технологий мобильной связи в направлении 5G и Beyond 5G, криптографические алгоритмы и протоколы безопасности будут продолжать развиваться. Однако принципы проектирования, воплощенные в алгоритме MILENAGE — основанные на стандартных криптографических примитивах, обеспечивающие полное покрытие тестами и обратную совместимость — будут и впредь определять разработку будущих стандартов безопасности. Разработчики должны глубоко понимать технические детали этой спецификации, уделяя внимание общей эволюции архитектуры безопасности 3GPP, чтобы создавать системы связи, которые являются одновременно безопасными, надежными и перспективными. Этот пояснительный документ основан на оригинальном стандарте ETSI TS 135 207 V16.0.0, сочетая криптографические принципы и инженерные методы для предоставления всеобъемлющего технического справочника для разработчиков алгоритмов, проектировщиков систем и экспертов по безопасности. В практических приложениях рекомендуется всегда обращаться к последней версии стандарта и сверяться с соответствующими техническими отчетами и руководствами по внедрению 3GPP.