摘  要：LTE（Long Time Evolution，长期演进）系统的安全机制更加完善，为移动通信和业务的开展提供了更为安全的网络环境。本文从窃听方的角度，基于空中接口与核心网协同的思想提出了一种LTE系统密钥推演方法。首先，在实现根密钥同步的基础上，根据空中未加密信息提供的安全算法列表，遍历有限安全算法集；然后，将遍历的安全算法与获取的父密钥共同作为参数，通过密钥生成函数生成空中接口子密钥；最后，通过比对明文和解密密文确定密钥。可行性分析表明，窃听方可以利用该方法推演出空中接口子密钥；误码率小于10-3时，可使密钥推演成功率达到90%以上，具有实际应用意义。
关键词：长期演进；安全算法；密钥推演；误码率
Cooperative Method of Key Derivation for LTE Systems based on Radio interface and core network
Abstract: The  security  mechanism  of  LTE  system  is  much  more  perfect,  which  provides  wireless  communication  and  its  services  with more secure network environment. This paper put  forward a cooperating method for key derivation based on the idea of combination of radio  interface  and  core  network.  The  radio  child-keys were produced  according  to  the  security  algorithm  list  provided  by  plain  radio message and obtained parent-key, and the right key was decided by comparing the plain context and the decrypted context. It was proved that  the  correct  rate  of  key  derivation  is  more  than 90%  in  the  case  that  the symbol error  rate (SER) was  less  than 10-3 according to  the analysis of feasibility. Therefore it had practical application values.
Key words: Long Time Evolution; Security; Key Derivation; SER  
　　0  引言
　　LTE的网络架构、协议体系及业务提供方式都发生了较大变化，提供了比第三代（3G）移动通信系统更好的网络性能。目前，以LTE为代表的超三代（B3G）和第四代（4G）移动通信网在亚太、欧洲、拉丁美洲、中东和北美等地都已开始出现商用。 与2G和3G移动通信体制相比较，LTE的安全机制[1]和安全防护措施更加完善：引进了控制层和用户层相分离的安全分层思想；应用标识本地网络的双向鉴权机制；构建体系化的密钥结构等等。目前，很多专家和学者在LTE系统漏洞挖掘方面进行了深入研究。文献[2]和[3]给出了LTE系统中常见的几种安全威胁：用户身份明文传输；AKA（Authentication  and  Key Agreement，鉴权与密钥协商）脆弱性；异系统切换安全脆弱性等，并针对各种威胁提出了改善思路。Dan  Forsberg和Huang Leping[4]等人针对LTE系统无线接口进行了安全脆弱性分析，列举了攻击者可以获取的信息，并且阐述了LTE系统内应用的临时标识符可读、小区水平测量报告消息、报文序列号、错误缓存状态报告等存在的安全漏洞。S. F. Mjølsnes和J. K. Tsay[5]利用计算安全模型分析了LTE AKA协议的漏洞，并阐述了可能对LTE AKA造成的攻击。Thomas Fuhr[6]对新近提出的ZUC安全算法进行研究，阐述了LTE系统在应用ZUC安全算法时会遭到简单伪造攻击的脆弱性。可见，现有文献的研究重点在于空中接口未加密消息的获取及AKA过程，针对鉴权之后的安全性研究相对较少。 针对这一问题，本文根据RRC（Radio  Resource  Control，无线资源控制）信令传输以及安全算法存在的漏洞，从窃听方的角度，设计了一种基于空中接口与核心网协同的LTE密钥推演方法。首先，通过控制鉴权向量的分发实现根密钥同步；其次，利用空中接口未加密消息的漏洞获取安全算法信息；再次，根据安全算法信息，遍历有限安全算法集，与获取的父密钥共同作为参数，通过密钥生成函数（KDF）生成空中接口子密钥；最后，通过明文块和解密密文比对来确定密钥。可行性分析表明，窃听方可以利用该方法推演出空中接口子密钥；误码率小于10-3时，可使密钥推演成功率达到90%以上，具有一定实际应用意义。
　　1  LTE系统安全流程分析
　　如图1所示，3GPP LTE的系统由三部分组成：EPC（Evolved Packet  Core，演进的核心网）、E-UTRAN（Evolved  UTRAN，演进后的接入网）和UE（User  Equipment，用户设备）。EPC主要网元包括MME（Mobility Management Entity，移动性管理实体）和S-GW（Serving  Gateway，服务网关）；E-UTRAN由多个eNB（Evolved Node-B，演进基站）组成。此外，HSS（Home Subscriber Server，归属用户服务器）是存储有终端和网络相关信息的数据库，例如用户签约信息、安全信息等。 LTE系统将安全分为AS（Access  Stratum，接入层）安全和NAS（Non-Access  Stratum，非接入层）安全。其中，NAS安全是指UE与MME之间的安全，执行NAS信令的机密性和完整性保护；AS安全是UE与eNB之间的安全，执行AS信令的加密和完整性保护，以及用户平面数据的机密性保护。 U EeN BEPCeN B接 入 层 安 全非 接 入 层 安 全HS SS A E _GWMMEE-U TR A N接 入 层 安 全 图1  LTE/SAE系统安全架构 用户要完成一次正常的业务通信过程，需要经历注册请求、AKA和安全模式命令等过程。UE通过RRC信令消息向eNB发起注册请求消息，与eNB建立联系；AKA实现UE和网络的相互认证；安全模式命令用于实现密钥的分发、加密及完整性保护。 UE进入eNB覆盖范围之后，首先通过RRC信令消息向其发起注册请求消息。注册请求消息包含用户的身份信息以及UE的安全能力信息等。由于LTE采用对称密钥机制，在AKA过程之前，系统无法对RRC消息进行加密和完整性保护，因此存在关键信息泄漏的风险。
　　1.1  LTE AKA过程
　　AKA过程如图2所示，具体流程如下所述： 比 较 R ES和 X R ESU E/U S IM MME HS S标 识 请 求标 识 响 应（ IMS I ）认 证 数 据 请 求（ I MS I ， S N I D）认 证 数 据 响 应 （ A V( 1,… ,n )）（ R A N D ， A U TN ， X R ES ， KA S ME ）认 证 向 量 存 储用 户 认 证 请 求 （ R A N D ，A U TN ， KS IA S ME ）验 证 A U TN 计 算R ES和 KA S ME用 户 认 证 响 应 （ R ES ）计 算 KA S ME 图2  AKA过程 (1)MME向HSS发起认证数据请求。首先MME通过向用户请求标识而收到移动用户的注册请求后，向用户所注册的HSS 发送该用户的IMSI（International  Mobile  Subscriber Identifier，国际移动服务识别码），向所在的服务网络发SNID（Serving Network ID，服务网络号），对该用户身份和所在网络进行认证，并请求认证数据； (2)HSS收到MME的认证数据请求之后，根据SNID对用户所在的服务网络进行验证；若验证通过，则生成SQN（Sequence  Number，序列号）和RAND（随机数），并与长期密钥K共同作为密钥生成函数的参数产生包含KASME的AV（Authentication Vector，鉴权向量），以单个或分组的形式发送给MME； (3)MME收到AV或AV组之后，按序存储AV或AV组，并选择一个序号最小的AV的RAND和AUTN（认证令牌）发送给UE，请求UE产生认证数据； (4)UE 收到MME发来的认证请求后，首先验证AUTN中AMF的分离位；然后，计算XMAC，并与AUTN中的MAC相比较。若验证通过，则UE将计算RES和根密钥KASME，并将RES发送给MME； (5)MME收到UE发送的RES后，将RES与AV中的XRES进行比较，两者相同则整个AKA过程成功。随后的本地认证过程中，AS和NAS将根据相应的密钥产生算法和相应的KASME生成加密密钥和完整性保护密钥。 MME中没有可用AV时，则AKA过程通过以上五个步骤完成；否则，直接进行步骤（3）-（5）。完成双向鉴权后，系统将进入安全模式激活过程。 LTE系统AKA过程与UMTS系统鉴权过程基本相同，采用Milenage算法，继承了五元组鉴权机制的优点，实现了UE和网络侧的双向鉴权。与UMTS系统相比，LTE 系统增加了HSS对服务网络的认证，防止了假冒服务网络的攻击行为。但是，LTE系统AKA过程产生的认证向量在网络域仍然以明文方式传输，易被截获，是LTE系统安全机制潜在的安全威胁之一。  
　　1.2  安全模式命令过程
　　安全模式命令过程包括NAS安全模式命令和AS安全模式命令，提供信令或用户数据的完整性和机密性保护。参与的主要网络实体包括UE、eNB和MME等，具体流程如图3所示。 NAS安全模式命令过程通过MME和UE之间往返的消息完成。MME发送该消息之前，会根据UE的安全能力选择相应的加密及完整性保护算法。MME发送的NAS安全模式命令消息包括重放的UE安全能力、选中的NAS安全算法和标识根密钥KASME的KSIASME。其中，UE安全能力携带UE所支持的安全算法列表。UE在接收到该消息后，对其完整性进行验证：若成功，则UE对NAS安全模式完成消息进行NAS加密和完整性保护，并将其发送给MME。 U E eN B MME已 进 行 了 加 密 及 完 整 性 保 护加 密 及 受 完 整 性 保 护 的 R R C 信 令加 密 的 用 户 层 数 据生 成 N A S密 钥生 成KeN B生 成 N A S密 钥N A S  S MC （ 重 放 U E 安 全 能 力 ，KS IA S ME =1,N A S安 全 算 法 ， N A S- MA C）N A S   安 全 模 式 完 成 （ N A S -MA C）S 1-A P(KeN B,U E 的 安全 能 力 )A S  S MC生 成 KeN B生 成 A S密 钥A S   安 全 模 式 完 成（ MA C- I）生 成 A S密 钥 图3  安全模式命令过程 在发送AS安全模式命令消息之前，eNB根据运营商安全算法优先级列表以及UE安全能力所支持的安全算法列表选择符合要求的安全算法，并将其发送给UE。UE接收到安全模式命令消息后，利用该安全算法达到加密和完整性保护目的。 NAS和AS安全模式命令过程结束后，就会对用户和网络之间传送的所有信令及业务消息进行加密和完整性保护。如果没有加密密钥，就无法获取通信双方的通话内容。针对LTE安全流程以及密钥分发过程的研究表明：含有用户安全能力的空中接口信息未加密；安全算法可遍历。这些漏洞为窃听方的密钥获取提供了可行性；此外，获取AS层通信子密钥需要根密钥KASME，核心网侧HSS与MME之间明文传递AV（组）使得根密钥获取存在可能性。根据以上几方面的研究和分析，本文从窃听方的角度提出了一种基于空中接口与核心网协同的LTE系统密钥推演方法。结合空中接口的安全算法信息和核心网的密钥信息，并根据遍历安全算法信息和根密钥信息生成密钥。最后，通过比对利用密钥解密的数据和明文确定密钥。
　　2  基于空中接口与核心网协同的LTE系统密钥推演方法
　　基于空中接口和核心网协同的LTE密钥推演方法包括四个步骤：密钥同步、UE安全算法列表获取、遍历生成密钥、密钥验证，具体流程如图4所示。 获 取 涉 及 安 全 算 法列 表 的 R R C信 令触 发 A KA 过 程获 取 KA S ME检 测 MME中 A V 数 量生 成 KeN B 生 成 KR R C en c按 照 推 演 密 钥 解密 生 成 “ 明 文 ”明 文 对 应 位正 确 与 否密 钥 推 演 成 功密 钥 推 演 开 始!00遍 历 安 全 算 法yes n o密钥同步遍历生成密钥密钥验证安全算法获取 图4  密钥推演流程图
　　1)  密钥同步 密钥推演的前提是保证窃听方所使用的KASME与UE当前的KASME同步。当两者失步时，需要再经过多次触发AKA过程来获取新的KASME，从而达到与UE侧同步。 HSS分发的AV按序存储于MME中，当MME需要重新发起AKA过程时，首先使用MME中的AV。因此，窃听方篡改空中接口数据，触发AKA过程时，若MME中存在未使用AV，HSS就不分发AV。必须通过多次AKA过程耗尽MME中存储的AV，迫使HSS分发AV。 在核心网部署监测设备，若监测设备没有在HSS和MME之间的信令消息中监测到涉及鉴权数据的消息，则窃听方篡改UE和网络之间的信令消息，使网络出现异常现象，迫使MME重新发起AKA过程。AKA过程可以消耗存储在MME当中的密钥，直至向HSS请求新的鉴权数据。监测设备根据鉴权消息的特征提取鉴权数据，并排列其顺序，可以推断出UE当前需要的根密钥，达到窃听者的根密钥与UE中根密钥同步的目的。
　　2)  UE安全算法列表获取 3GPP中规定的算法如表1所示，若生成底层密钥所选择的安全算法未知，必须遍历所有安全算法才能获取底层密钥。此密钥获取方法计算开销较大。 文献[7]中提到UE安全能力信息包含安全算法列表，而在UE和eNB 交互的相关RRC消息（RRC  Connection  Setup Complete）中承载了UE安全能力信息。若窃听方得到安全算 第9期  计  算  机  应  用  研  究  第30卷 法列表，获取到底层密钥的时间复杂度将缩减。该RRC消息在鉴权之前传递，没有加密，可以在空中接口获取。根据空中信号的特征，设计空口信息获取的方法如图5所示。获取安全算法列表的具体流程为： 表1  LTE系统安全算法 4-bit标识  加密算法  完整保护算法  使用算法 “00002”  EEA0  EIA0  NULL “00012”  128-EEA1  128-EIA1  SNOW 3G “00102”  128-EEA2  128-EIA2  AES “00112”  128-EEA3  128-EIA3  ZUC a)  向UE透明传输来自eNB的RRC Connection Setup消息； b)  在向eNB透明传输来自UE的RRC Connection Setup Complete消息的同时，获取UE所支持的安全算法列表，即UE安全能力。 R R C C on n ection S etu pR R C C on n ection S etu pC omp leteS 1-A P（ 包 含 U E安 全能 力 信 息 ）U E 窃 听 方 eN B MME 图5：UE支持安全算法获取 利用UE安全算法列表生成密钥，相对于盲推密钥，减少了需要遍历的安全算法，即减小了计算开销。
　　3)  遍历生成密钥 HS SMMEU EKD FC K, I KKA S MEKD FKD FKD FKeN BKD FKD FKD FKN A S en c KN A S in tKR R C en c KR R C in t KU Pen c, SNid SQN AK 1 23 4 5KD FC K, I KKA S MEKD FKD FKD FKeN BKD FKD FKD FKN A S en c KN A S in tKR R C en c KR R C in t KU Pen c, SNid SQN AK 1' 2'3' 4' 5'N A S  U PLI N K C OU N TN A S  U PLI N K C OU N T 图6：UE和网络密钥分发过程 根据提出的安全分层思想，LTE系统设计了相应的AS密钥—KRRCint、KRRCenc、KUPenc和NAS密钥—KNASenc和KNASint。UE和网络双方密钥的生成和分发流程如图6所示，HSS和UE密钥生成体系结构对称，密钥生成函数的主要输入参数是安全算法和父密钥。图示中1、2、3、4、5 和1’、2’、3’、4’、5’表示选择的安全算法。根据密钥生成规则，KDF、Trunc等密钥生成参数是已知和不变的，而NAS UPLINK COUNT在每次鉴权之后都会复位为0。根据NAS  UPLINK  COUNT和根密钥KASME计算KeNB。再根据获取的UE安全算法列表，确定可能应用的安全算法，利用KeNB 遍历产生AS密钥（KRRCint/enc，KUPenc），达到推演密钥的目的。
　　 4)  密钥验证 安全算法列表包含多种安全算法，仅仅通过安全算法列表的获取不能达到正确推演密钥的目的，还需要通过对生成的密钥进行检验来确定密钥推演的正确性。检验密钥正确性的常规方法是对解密密文的部分比特和明文块对应比特进行比对。 在安全模式激活之后，eNB 将通过向UE发送RRC Connection Reconfiguration消息结束附着过程。为验证密钥的正确性，窃听方在空口侧获取该消息，该消息包含ATTACH ACCEPT  type消息：01000010[8]，也可称之为确知消息。以确知消息为基准进行判决，若消息中对应位相同，则密钥正确。LTE系统密钥流生成机制及消息比对原理如图7所示，解密消息为RRC Connection Reconfiguration消息，构造消息中确知消息是指ATTACH ACCEPT type消息。 KEYC OU N TBEA R ERD I R EC TI ONLEN GTHKEY  S TR EA M BLOC K C I PHER  TEX T BOLC KPLA I N  TEX T BLOC K构 造 消 息Head 解 密 消 息Bit填 充A TTA C H R EQU ES T:01000010明 文 块 图7：解密过程及比对解密消息原理 假设RRC Connection Reconfiguration消息总长度为K，第k~k+7位是确知消息，标识了ATTACH ACCEPT消息。将解密消息和构造消息做异或运算，若计算结果的第k~k+7位全部为零，则证明该密钥所用的安全算法为当前选择的安全算法，否则继续遍历。据此，可以推出正确的底层密钥。
　　 3  可行性分析
　　 国内外相关领域很少从窃听者角度，通过密钥推演的方法来研究LTE的安全性，本方法具有创新性。因此，接下来，本文针对KASME的获取可行性，密钥推演的复杂度以及密钥推演成功率进行分析。
　　3.1  获取根密钥KASME的可行性
　　在UE和网络进行鉴权时，HSS向MME分发承载KASME的AV组。3GPP规定，连接HSS和MME的标准接口是S6a接口。该接口应用Diameter协议承载交互数据，所有AVP（Attribute Value Pairs，属性值对）在该接口上透明传输。因此，窃听方可以获取到承载AV的AVP组。 此外，为增加高效性和普遍性，全IP 化的核心网开放性增强。某些未授权网络实体通过模拟MME的方式发送鉴权数据请求消息请求鉴权数据（AV），或者透明传输HSS和MME之间的信令和数据信息是可行的。  第9期  计  算  机  应  用  研  究  第30卷 综合考虑消息传递方式和网络接入限制，获取根密钥KASME是可行的。
　　3.2  密钥推演复杂度分析
　　为评估密钥推演方法的性能，需对比正常密钥生成与密钥推演方法之间的计算复杂度。假设信令传递时间忽略不计，只考虑遍历生成密钥和密钥验证两个主要功能模块的复杂度计算。 遍历密钥生成包括两个阶段：密钥生成和密钥流生成。密钥生成所涉及的密钥分发函数为HMAC-SHA256，每个密钥的生成都经历一次加密哈希运算（H）。依据3中所述，本方法在整个密钥生成过程中需要进行的加密哈希运算次数为：n+2，其中n为安全算法列表中的安全算法的个数，1≦n≦3。 密钥流生成是以安全算法为前提的，选择不同的安全算法，其计算复杂度不同。根据文献[9]~[11]给出的安全算法，产生单位密钥块的计算开销如表2所示。 表2：SNOW 3G、AES和ZUC计算开销的比较 计算类型  SNOW 3G  AES  ZUC 点加运算 2026  4752  2254 与运算 4320  24  4443 移位运算 3378  24  6632 或运算 2456  0  2350 异或运算 3764  288  1610 点乘运算 0  4608  0 密钥比对方法是解密消息和构造消息进行异或运算，每次密钥推演需要进行n次异或运算。假设安全算法列表包含所有安全算法。另外，列举了可能出现的安全算法列表情况，并针对各种情况进行计算开销计算。根据以上分析，可对UE进行密钥分发和生成与各种可能的安全算法列表情况下窃听方协同密钥推演方法的计算开销进行比较。UE进行密钥分发时只用一种安全算法，其计算开销如表2所示。如协同密钥推演方法的计算开销与安全算法列表中安全算法个数有关：当安全算法个数为1时，计算开销同UE密钥分发过程；当安全算法个数大于1时，计算开销如表3所示。 表3：协同密钥推演计算开销的比较 计算类型  S+A  S+Z  A+Z  S+A+Z 哈希运算 4  4  4  5 点加运算 6778  4280  7006  9032 与运算 4344  8763  4467  8787 移位运算 3402  10010  6656  10034 或运算 2456  4806  2350  4806 异或运算 4054  5376  1900  5665 点乘运算 4608  0  4608  4608 从表3可以看出，UE在完成密钥生成与协同密钥推演方法获取底层密钥的线性开销基本上呈倍数关系，有AES参与的密钥生成或密钥获取的非线性计算开销较大。安全算法列表中存在2个安全算法时，线性计算开销方面，协同密钥推演方法获取底层密钥大约是UE完成密钥生成的2倍；存在3个安全算法时，线性计算开销变成了3倍。非线性计算开销会因安全算法列表中是否含有AES而不同。
　　3.3  密钥推演成功率分析
　　密钥推演误判率消 息 固 定 位 的 位 数1 3 5 7 9 11 13 15 1710-610-510-410-310-210-1100 安 全 算 法 个 数 为 1 时安 全 算 法 个 数 为 2 时安 全 算 法 个 数 为 3 时 图8：密钥推演误判率 当不考虑获取信息的误码率时，密钥推演的错误率主要体现在密钥验证过程中，即误判率。在仿真中假设确知消息可以变化，依据概率论知识可以得出如图8所示密钥推演误判率的结果。 结果表明，密钥推演的误判率大小取决于确知消息的位数，与之近似呈指数关系。另外，密钥推演的误判率还与安全算法列表中的安全算法个数有关。确知消息位数为8的情况下，密钥推演误判率小于10-2，基本满足密钥推演的需求。 1 0- 61 0- 51 0- 41 0- 31 0- 20 . 40 . 50 . 60 . 70 . 80 . 91 安全算法个数为1 时安全算法个数为2 时安全算法个数为3 时1 0- 1获 取 信 息 的 误 码 率密钥推演正确率 图9：获取信息误码率与密钥推演正确率之间的关系 假设HSS向MME分发AV组中的AV个数为3，UE安全算法列表中可能存在的安全算法个数分别为1，2，3个，考虑获取空中接口信息时存在误码率的情况，其范围为10-6~10-1，考察在不同误码率下密钥推演的正确率。在获取安全算法列表、解密过程中所需参数（COUNT，BEARER，LENGTH，DIRECTION等）和加密消息时，一旦出现误码会导致密钥推演失败。108次蒙塔卡罗实验的结果如图9所示结果。 图示结果显示，误码率在10-6~10-1范围内时，安全算法的个数越多密钥推演正确率越小；安全算法个数一定时，随着误 第9期  计  算  机  应  用  研  究  第30卷 码率的增加，密钥成功率逐渐减小。当误码率低于10-3时，密钥推演成功率可达到90%。考虑到物理层的实际误码率大小，该密钥推演方法具有一定的实际应用意义。
　　4  结论
　　通过分析LTE安全过程，本文总结了在空中接口侧及核心网侧的安全漏洞，并基于空中接口与核心网相结合的思想设计了一种窃听方的协同密钥推演方法：通过触发AKA完成窃听方与UE密钥同步；利用获取的UE安全能力信息减少遍历安全算法次数；将解密密文与明文比对，确定推演的密钥。可行性分析表明：窃听方利用该方法可以推演出空中接口子密钥；误码率低于10-3时，可使密钥推演成功率达到90%以上，具有一定实际应用意义。
　　参考文献： ［1］ 3GPP TS 33.401 V11.1.0 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP  System  Architecture  Evolution  (SAE)  [S].  Security architecture. 2012. ［2］Chan-Kyu Han. Security Analysis and Enhancements in LTE-Advanced Networks [D]. Seoul, South Korea: Sungkyunkwan University, 2012. ［3］ E. A. Gins, C. W. Raphael, et al. Analysis and Design of Security for Next Generation 4G Cellular Networks. In: Proceedings of The 13th Annual Post Graduate Symposium on the Convergence of Telecommunications, Networking and Broadcasting (PGNet) [C]. Liverpool, UK, 2012. ［4］ Dan Forsberg, Leping Huang, et al. Enhancing security and privacy in 3GPP E-UTRAN radio interface. In: Personal, Indoor and Mobile Radio Communications (PIMRC) [C].  Athens, Greece, 2007: 1-5. ［5］ Mjølsnes S, Tsay J K. Computational Security Analysis of the UMTS and LTE Authentication and Key Agreement Protocols[J]. arXiv preprint arXiv:1203.3866, 2012. ［6］ T. Fuhr, H. Gilbert, et al. Analysis of the Initial and Modified Versions of the Candidate 3GPP Integrity Algorithm 128-EIA3. In  18th  International  Workshop  on  Selected  Areas  in Cryptography (SAC) [C], Toronto, Canada, 2011: 230-242. ［7］ 3GPP TS 33.102 V11.5.0 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security Architecture [S]. 2012. ［8］ 3GPP TS 24. 301 V11.4.1 3rd Generation Partnership Project; Technical Specification Group Core  Network and  Terminals; Non-Access-Stratum (NAS) protocol for Evolved Packet System (EPS) [S]. 2012. ［9］ Ghizlane Orhanou, Said EL Hajji, et al.  SNOW 3G Stream Cipher Operation and Complexity Study[J]. Contemporary Engineering Sciences, 2010, 3(3): 97-111. ［10 ］Michael  Tunstall.  Practical  Complexity  Differential Cryptanalysis  and  Fault  Analysis  of  AES.  Journal  of Cryptographic Engineering [J]. 2011, 1(3): 219-230. ［11］ETSI TC SAGE V1.6. 3GPP Confidentiality and Integrity Algorithms 128-EEA3 & 128-EIA3 [S]. 2011.