1、D2D 一对多组通信模式下的系统安全机制 张冬梅 武汉东湖学院电子信息工程学院 摘 要: 无线移动用户数量急剧增长和对多媒体业务需求的增大, 对现有 4G 网络提出了巨大挑战。设备对设备直接通信 (Device-to-Device, D2D) 通过在设备之间的空口复用蜂窝小区的频谱资源进行通信, 提高系统频谱利用率, 在无网络覆盖场景下, D2D 直接通信更加直接和高效, 降低运营成本, 提高用户体验。首先给出了 D2D 通信的概念和常用工作场景, 然后介绍了 D2D 一对多组通信工作机制。重点分析了 D2D 一对多组通信模式下存在的安全威胁, 从身份认证和数据传输安全方面提出了 D2D 系统
2、中的安全机制。最后, 对 D2D 通信技术当前进展和未来发展进行介绍。关键词: 3GPP; D2D; 一对多; 组通信; 认证; 密钥生成; Security Mechanism for System in D2D one-to-many Group Communication ModeZHANG Dongmei College of Electronic Information Engineering, Wuhan Donghu University; Abstract: With the explosive increase of mobile users and medium servi
3、ce, 4 G network is facing more and more challenges.The device-to-Device (D2D) communications improves system spectrum efficiency by multiplexing frequency of cells between D2D UEs. Especially when UE is out of network coverage, D2D direct communication is more efficiency and may provide better exper
4、ience to the users. Firstly, the D2D direct communication and D2D one-to-many communication concept and work mechanism are described. Secure D2D communications are proposed from the aspects of user authentication and secure key generation. Finally, this paper describes current standard stage of D2D
5、in 3 GPP standard specification and forecast the development trend of D2D communication.Keyword: 3GPP; D2D; one-to-many; group communication; authentication; key generation; 0 引言随着近来智能设备和多媒体业务需求爆炸式的增长, 网络容量需求也来越高。业界致力于从提高频谱资源利用率方面解决问题, 然而进展缓慢, 3GPP 进行了一系列标准化工作, 从小区分裂, small cell, D2D 等方向改进系统容量, 其中 D
6、2D 是在现有 4G 蜂窝网络上的平滑演进, 运营商可以直接对现网系统升级来支持 D2D, 因此该技术获得运营商的青睐。1 D2D 通信D2D 通信是设备对设备 (Device-to-Device) 通信的简称, 又称为邻近服务 (Proximity Service, Pro Se) , 是 3GPP 标准组织定义的基于临近 UE (User Equipment, 用户设备) 的通信方式。支持 D2D 通信的 UE, 可以普通工作模式通过电信运营商网络收发业务数据, 也可以转换到 D2D 工作模式, 用户设备 (UE) 之间直接通信。D2D 通信常应用于本地近距离通信场景, 是 5G 移动通信
7、关键技术之一。按照 UE 在接入网的位置, D2D 通信可以分为 3 种场景:(1) 蜂窝网络覆盖下的 D2D 通信。所有参与 D2D 通信的 UE 都在网络覆盖范围内, 运营商网络可以控制 D2D 通信过程, 例如协助通信双方 UE 建立/释放无线连接, 参与资源调度, 进行干扰管理等。这种场景的 D2D 通信主要是为了给基站分流, 降低运营商接入网络负载。同时, 由于 UE 处于基站覆盖范围内, 所以 UE 还可以切换成普通 UE 身份, 通过基站接入 4G/5G 网络接收业务。(2) 部分蜂窝网络覆盖下的 D2D 通信。通信的 UE 双方, 其中一方位于网络覆盖范围内, 另一方位于网络覆
8、盖范围外, 这种就属于部分网络覆盖下 D2D 通信。该场景下基站可以引导处于覆盖范围内的 UE 建立/释放 D2D 链接, 不再进行资源调度, 系统复杂度相对较低。(3) 无蜂窝网络覆盖的 D2D 通信。通信双方都处于网络覆盖范围外, 通信 UE 之间直接建立连接, 进行通信, 通信过程不受网络控制。主要应用于应急场景, 例如当极端的自然灾害如地震发生时, 传统通信网络基础设施可能受损, 甚至发生网络瘫痪, 此时抢险人员可以通过 D2D UE 进行通信。另外, 通过一跳或多跳 D2D 通信, 位于覆盖盲区的 UE 可以连接到位于网络覆盖内的用户终端, 借助该用户终端连接到运营商的移动通信网络。
9、2 D2D 一对多组通信D2D 直接通信有 2 种工作模式:一对一工作模式和一对多工作模式。对于特定的D2D UE, 如果其通信对象是单个 UE, 则启动一对一工作模式, 若需要和多个 UE通信, 则启动一对多工作模式。D2D 一对多通信有组通信和广播 (broadcast) 通信两种模式, 组通信模式下 D2D UE 只会和属于同一个通信组的临近 UE 传输数据, 广播通信模式下 D2D UE 可以向临近的所有 D2D UE 广播数据。D2D 一对多组通信主要用于处于网络覆盖范围外的一组 UE 相互通信的场景。图 1 一对多组通信工作模式 下载原图如图 1, 在一对多组通信工作模式时, 所有
10、参与通信的 UE 组成一个通信组 (Group) , 每个 Group 有一个组所有者 (Group owner, GO) , 组内其他 UE 是该通信组的组员。GO 负责管理自己的通信组, 组员加入该通信组时需要到 GO注册和获得授权, 该过程中 GO 还为该组员配置组相关的公共信息, 例如该组的标识 (group ID) 。有成员离开时, Go 需要及时更新组员列表。组员有数据要发送时, 将多播地址 (多个接收方的 IP 地址) 包含在发送的数据包中。一对多组通信 UE 在相互通信前, 需要完成以下步骤:(1) 组配置:应用层为通信组配置直接组标识 (Direct Group Identi
11、fier, DGI) , 将多播地址和该 DGI 关联, 并将 DGI 和多播地址配置给所有加入组的 D2D UE, 同时, 该配置过程还为加入的 UE 授权, 提供安全信任状, 为 UE 提供 IP 地址、组优先级等信息。(2) 发现阶段 (可选) :发起通信的 UE 发现同一组的临近 UE;(3) 直接通信阶段:找到临近 UE 组员后, 发起通信的 UE 开始和找到的临近 UE基于 IP 进行通信, 发起通信的 UE 也可以跳过发现阶段, 直接向组内所有临近UE 多播业务数据。3 D2D 一对多组通信模式下系统存在的安全威胁3.1 身份冒充攻击者冒充合法 UE 加入到通信组, 并获取通信敏
12、感数据。GO 作为组管理者, 对每个新加入的组员如果不进行身份识别和授权, 则攻击者可能冒充合法 UE 加入到通信组, 并窃听所有的通信数据。一般通过对 UE 进行身份认证解决该问题。3.2 被动攻击攻击者截听到 D2D UE 之间交互的通信数据包。如果 D2D UE 发送的是数据明文, 则任一个在相同频带上接收数据的接收者都可以接收到 D2D UE 之间发送的数据, 进而获知通信内容。该接收者属于被动截听D2D UE 数据, D2D UE 可以通过对发送数据进行加密等操作, 解决这种安全威胁。3.3 主动攻击攻击者修改 D2D UE 之间交互的通信数据包。接收者主动去截听 D2D UE 之间
13、交互的通信数据包, 并对数据包进行修改, 然后发给接收的 D2D UE, 达到篡改通信内容的目的。如果发送 UE 和接收 UE 双方协调好通信加密密钥和解密密钥, 接收 UE 在收到数据包后进行检测, 就能及时发现数据包被篡改的情况, 进而丢弃无用数据包。4 D2D 一对多组通信模式下系统安全解决方案为解决上述安全威胁, 保证 D2D 一对多组通信的安全性, 组员通信前需要认证对方身份, 且所有通信数据应当在加密的状态下进行传输, 通信组内所有成员需要获取相同的共享密钥 (对称密钥) 。所以 D2D 一对多通信模式下安全方案包括通信双方的双向认证和组共享通信密钥的生成方法。4.1 一对多组通信
14、 UE 认证支持 D2D 一对多模式的 UE, 在加入通信组以前, 通过手动或在线方式, 预置安全证书及证书撤回列表 CRL 信息, 为支持离线证书认证, 运营商还应将根证书配置给 UE。UE 加入通信组时, GO 和申请加入的 UE 基于传输层安全 TLS 协议完成证书双向认证。图 2 D2D 一对多组通信 UE 的认证 下载原图由于通信组规模可能非常庞大, 组员 UE 之间的双向认证数量将会是组成员数量的指数级, 为了减少认证数量, 组员 UE 只需和 GO 进行双向认证。由于后续组通信共享密钥的根密钥需要 GO 生成和分发, 只有通过 GO 认证的组员 UE 才能获得共享密钥, 发起通信
15、的 UE 默认所有拥有共享密钥的组员 UE 通过了认证。如图 2 所示。D2D 一对多组通信模式的 UE, 一旦回到网络覆盖区域, 需要立即通过网络检测和更新证书和 CRL, 保证证书和 CRL 的有效性。4.2 通信密钥的生成为了保证 D2D 一对多组通信模式的 UE 之间数据传输的安全性, 所有通信数据在空口传输前都需要先进行加密操作, 接收方收到数据后需要对数据进行解密才能得到明文数据。为了保持与 LTE 网络安全方案的一致性, 本方案也采用对称密钥, 在一对多组模式下, 通信组所有 UE 应该共享相同的加密密钥。具体步骤如下:(1) GO 根据通信组标识 GID, 组密钥标识 GKID
16、, 算法标识 alg.ID, 在本地生成组密钥 GK, GK=KDF (GID, GKID, alg.ID) , 其中, KDF 是 LTE 当前使用的加密密钥推演函数, 由于 GO 内可能有多组 GK, GKID 是为了标识不同的 GK, alg.ID是使用的加密算法标识。(2) GO 在组员加入通信组时, 将 GK 发送给该 UE。发起通信的 UE 根据 GO 发送的 GK, 自己的组员标识 (Group Member ID, GMID) , 业务密钥标识 (Traffic Key ID, TKID) , 以及数据包计数器 Counter 生成 UE 特定的业务密钥 TK, 由于通信组内每
17、个 UE 的 GMID 是唯一的, 所以每个 UE 生成的 TK 也是唯一的。TK=KDF (GK, GMID, TKID, Counter) 。(3) UE 发送的数据包里会包含发送 UE 的 GMID、TKID、数据包计数器Counter。组内所有接收 UEs 根据本地 GK, 以及数据包头里的 GMID, TKID, 数据包计数器数值 Counter 推演该发起通信的 UE 特定的业务密钥 TK。TK=KDF (GK, GMID, TKID, Counter) 。(4) Counter 一旦翻转, 需要更新 TK, 由于 TKID 不同, 新生成的 TK 与计数器翻转前也不同, 由此保证
18、 TK 的新鲜性。接收 UE 一旦发现收到的数据包里 TKID与之前不同, 立即使用新的 TKID 更新本地 TK。D2D 一对多组通信模式下的发起通信的 UE, 使用自己的 TK 加密待传输的数据包, 所有接收的组员 UE, 根据数据包内的信息在本地推演出相同的解密密钥 TK, 并使用 TK 对接收到的数据包进行解密, 该方式能保证空口上传输的数据包的安全性。5 总结在 3GPP 的各个标准组里, 来自全球的运营商和设备制造商参与了 D2D 通信技术的讨论和技术规范制定, 并最终确定其作为 5G 关键技术之一的地位。目前3GPP 已完成了 D2D 架构、各功能实体、主要支持从的功能、信息交互
19、流程以及近距离发现和直接通信工作机制。随着 D2D 工作机制的进一步完善, 未来 D2D通信将会在分流运营商网络以及公共安全直接通信场景中获得大规模使用。参考文献1张爱清, 叶新荣, 谢小娟, 等.蜂窝网络下终端直通安全通信关键技术研究J.无线电通信技术, 2015.41 (3) :06-11. 2钱志鸿, 王雪.面向 5G 通信网的 D2D 技术综述J.通信学报, 2016.37 (7) :1-14. 3卢昊旗.D2D 通信的认证和密钥协商协议研究D.西安电子科技大学, 2014. 4荣涛.D2D 通信技术研究D.南京邮电大学, 2013. 53GPP TS23.303vf.0.0, 3rd
20、 Generation Partnership Project;Technical Specification Group Services and System Aspects;Proximity-based services (Pro Se) . 63GPP TS33.833vd.0.0, 3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on security issues to support Proximity Services (Pro Se) .
