通信与信息系统硕士论文-3G通信网络的安全分析.pdf

西安电子科技大学硕士学位论文3G通信网络的安全分析姓名：王伟申请学位级别：硕士专业：通信与信息系统指导教师：李晖20080101摘要摘要第三代移动通信系统(3G)建立在第二代移动通信系统(2G)的安全基础上，采纳了在GSM和其他第二代系统内己经证明是必要的和加强的安全元素，并确定和校正了第二代系统中己知的缺点。在第三代移动通信系统(3G)中，实现了用户和网络的相互认证，其中网络对用户的认证采用的是动态双向鉴权方式，而用户对网络的认证采用的是动态单向鉴权的方式。其中而用户对网络的认证采用动态单向鉴权是3G系统区别于2G系统安全特征的一个重要特性，有其独特的设计方式。在认证和密钥分配中使用到了f0、rl、厂1、厂2、厂3、厂4、，5和厂5。等安全算法。本文着重研究了第三代移动通信系统的安全。首先介绍了2G系统结构及其存在的安全缺陷。然后概述了3G的安全原则、目标、要求及其面临的安全隐患，详细分析了3G移动通信系统的安全体系结构，分析了3G的安全特征。对3G接入网络中的鉴权和认证、数据机密性和数据完整性服务等机制进行了深入的探讨，对实现上述各种机制的算法和协议做了详细的介绍。然后针对这些安全隐患，和业已提出的一种高效的基于自验证公钥的认证方案相结合，给出一种基于椭圆曲线的自验证公钥的3G通信系统认证方案。关键词：3G系统安全安全技术鉴权和认证3G安全漏洞椭圆曲线ABSlRACTABSTRACTThesecurityofthethirdgenerationmobilesystemisbuiltonthesecurityofthesecondgenerationmobilesystembyadoptingthesea啪thathavebeenprovedessentialandstrengthenedoftheGSMgenerationmobilesystemandrectifyingthedisadvantageofthemobilesystenLAndbasisofthecharacteristicothersecondgenerationInthethirdgenerationmobilesystem(3G)themutualauthenticationbetweentheuserandthenetworkhadbeenpresentedThenetworkusesthedynamicbidirectionalauthenticationwaytoauthenticatetheUSerAndtheUSerusesthedynamicunidirectionalauthenticationwaytoauthenticatethenetworkSpecially，thedynamicunidirectionalauthenticationistheimportantsecurityfeatureofthethirdgenerationmobilesystemvariedto2GsystemThefunctionsof门、fl、f2、f3、f4、f5andf5areusedintheauthenticationandkeyagreementprotoc01Thispaperisdevotedtothesecurityof3GmobilecommunicationsystemItfirstintroduced2GsystemarchitectureandtheexistingsecuritydefectsAfterthat，itcoveredthesecuritymenacesfacedby3G，thesecurityprinciples，objectsandreluirementsItalsoanalyzedandstudiedthesecuritycharacteristicsof3GThensmmnarizesthesecuritythreats3Garchitectureisfacingbyanalyzingthesecurityfeaturesof3Gsecurityarchitectureprotocol，isproposedThenaimprovementtoanselfcertifiedpublickeybasedanthcnticationschemeIncludingPublicKeyBroadcastProtocolandSelf-certifiedPublickeybasedAuthenticationandKeyAgreementProtocolispresentedfor3(3systemsAnditisbasedontheellipticcurvediscretelogarithmproblem，weadoptapproachestocombiningPublicKeyBroadcastProtocolwithSelf-certifiedPublickeybasedAuthenticationandKeyAgreementProtoc01Keywords：3GSecuritySecurityAlgorithmAuthenticationandKeyAgreementProtocolECC声明西安电子科技大学创新性声明秉承学校严谨的学分和优良的科学道德，本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切的法律责任。本人签名：西安电子科技大学关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后结合学位论文研究课题再攥写的文章一律署名单位为西安电子科技大学。(保密的论文在解密后遵守此规定)本学位论文属于保密，在一年解密后适用本授权书。本人签名：呈垒一。必。，7哮导师签名：；：羔，：第一章绪论第一章绪论11论文研究的背景和意义随着移动通信技术的飞速发展和普及，在移动通信领域中出现了越来越丰富的业务种类，除了传统的语音与数据业务外，多媒体业务、交互式数据业务、电子商务、互联网业务等多种信息服务也越来越受到人们的青睐。这些新业务对通信系统中信息的安全性以及网络资源使用的安全性提出了更高的要求，移动通信网络的安全性将变得越来越重要。移动通信网络经历了三个发展阶段Il】：第一代蜂窝移动通信系统出现于20世纪70年代后期，是基于模拟通信技术，采用频分复用(FDMA：FrequencyDivisionMultipleAccess)模式，以模拟电路单元为基本模块实现话音通信。主要制式有美国的AMPS、北欧的NMI、英国的TACS和日本的HCMTS等。第一代模拟蜂窝移动通信网络没有采用密码技术来保护无线网络访问的安全性，使得移动用户的通话信息很容易被窃听，移动用户的身份容易被假冒，容易出现手机克隆。第二代数字移动通信系统(2G)出现于20世纪80年代后期，以GSM，DAMPS和PDC为代表。采用先进的数字语音编码技术在保证话音质量的前提下可以大大减少通信带宽的需要。从而提高网络频段资源的利用效率；差错控制技术可以用来增强网络抗干扰能力；而且，数字加密技术可以保护数字化了的用户语音、数据和网络信令，身份认证技术可以鉴别移动用户的身份，有效地防止身份假冒。2G网络在频分复用(FDMA)的基础上又采用了时分多址(TDMA：TimeDivisionMultipleAccess)来增加网络容量。在第二代移动通信系统中，安全性得到了提高，通过加密方式来传送用户信息，对移动用户的认证采用了询问响应认证协议，对通话内容也进行了加密(无线链路段)。尽管2G系统在安全性方面有了大的进步，但它还存在许多不足和安全缺陷。如采用单项认证，伪基站，加密算法不够强。目前在2(3和3G之间存在一种两代半(25G)的移动通信系统：通用无线分组业务(GPRS)。它利用原有的2G电路交换技术来提供分组数据通信的业务。它的安全性与2G类似，只是涉及分组数据通信方面有其特殊性，具有口网络的特点。随着因特网与移动通信网的触合，2G提供的低速数据传输业务已经无法满足移动用23G通信网络安全分析户需求，对高速数据业务的需求推动着移动通信网络走向第三代。第三代移动通信系统的概念早在1985年就由rru(国际电信联盟)提出了，当时称为FPLMTS(未来公共陆地移动通信系统，1996年更名为国际移动电信IMT-2000(InternationalMobileTelecommunication2000)，它最终由两个第三代伙伴计划3GPP和3GPP2分别制定的第三代蜂窝移动通信网络标准WCDMA和CDMA2000融合而成。3G是一个在全球范围内覆盖与使用的网络系统。信息的传输既经过全开放的无线链路，亦经过开放的全球有线网络。同时，在第三代移动通信系统中，除了传统的语音业务外，它还提供多媒体业务、数据业务、以及电子商务、电子贸易、互联网服务等多种信息服务。因此，如何在第三代移动通信系统中保证业务信息的安全性以及网络资源使用的安全性已成为3G系统中重要而迫切的问题。3G是一个崭新的系统，针对层出不穷的新的数据业务，特别是对数据安全性提出了很高要求。3G系统目前只在少数国家展开试运营，但从其前景来看具有极大的发展空间，所以研究3G的安全具有非常重要的现实意义。123G技术国内外发展现状目前，国际上对3G进行研究和标准化的组织是：3GPP(第三代移动通信系统伙伴计划)，是由各大公司和国家组织等参与形成。3G标准主要由两个部分构成；核心网络(ON)和无线接入网(RAh0。CN基于第二代移动通信的两种主要网络GsMMAP和美国的IS41，而RAN(3GPP的DSCDMA和CDMATDD，3GPP2的MCCDMA)均能够接入此两类CN。WCDMA，TDSCDMA安全规范由3GPP$0定：cdma2000安全规范由3GPP2制定。在国际上，3GPP技术规范组中的第三工作组(s3)专门负责从事移动通信安全方面的研究和标准制定，其成员为各大移动通信公司。现在已经制定了一些相关标准，其在接入网方面的安全规范已经成熟，网络域安全、终端安全规范还在制定中，网络的安全管理规范刚刚起步。为实现3G系统的基本安全体系，需要采用密码算法和函数，3GPP针对不同的安全需求，定义了多种加密算法和函数，其中加密算法f8和完整性算法f9已经实现标准化。目前在进行互联网多媒体服务(IMS)安全方面的研究和网络域内部安全性的研究和标准制定【2】。对应于世界的第三代移动通信组织，我们国家的中国无线通信标准研究组CWTS也在积极进行3G的研究工作。CWTS下设有特别加密组(AdHociJll密)负责第三代移动通信加密与网络安全研究。第一章绪论2000年5月，国际电联批准了IMT2000无线接1：35种技术规范，现在TDSCDMA，WCDMA，及CDMA2000由于其各自优势已成为主流技术。其中我国提出的具有自主知识产权的TDSCDMA技术在频谱利用率、对业务支持的灵活性方面以及在许多方面非常符合移动通信未来的发展方向所具有的优势，标志着我国在移动通信领域取得重大进展。13本文研究主要内容3G安全体系结构是在改进了2G系统的弱点，适应移动通信业务新要求的目标和原则基础上建立起来的。3GPP安全协议中的认证与密钥管理部分己经比2G有了很大的提高。在GSM系统中己经被证明是必需的和稳定有效的安全要素将被继续使用，但是它还有一些弱点和安全威胁。所以本文的主要研究工作包括：(1)简单介绍了第二代通信系统的体系结构及安全策略，分析安全缺陷。分析了第三代移动通信系统的安全体系结构，对其五个安全特征组的安全性加以研究。概述了3G的安全原则、目标和要求及其面临的安全威胁。对3G接入网络中的认证和密钥协商、数据机密性和数据完整性服务等机制进行了深入的探讨，对实现上述各种机制的算法和协议做了详细的介绍。(2)对3G中认证和密钥分配协议的安全性进行研究，分析其加密机制，从而讨论出3G的认证与密钥协商过程可能存在的安全隐患和可能道到的攻击。(3)介绍椭圆曲线密码体制的理论基础，结合前文中分析出存在的安全漏洞提出一种改进方案，以保证网络端传输信息的机密性。14论文结构安排第l章：绪论。介绍论文背景和研究意义，以及3G技术国内外发展现状和本文的主要内容。第2章：GSM的安全机制。本章论述了第二代移动通信系统的体系结构，以及所采用的安全措施，用户身份认证和采取的加密算法。并分析了GSM网存在的安全缺陷。第3章：3G系统的安全体系结构。论述了3G的安全原则、目标和要求及其存在的安全威胁，研究了3G的安全特征、鉴权认证过程，重点对3G的鉴权认证过程进行详细分析讨论。并指出3G系统存在的安全漏洞。43G通信网络安全分析第4章：分析安全技术理论；首先介绍了数据加密技术，包括对称加密机制和不对称加密机制。然后对数据交换完整性和密钥交换技术做了分析和探讨，然后介绍椭圆曲线的理论。为第五章方案的提出奠定理论基础。第5章：通过第三章对3G系统安全技术分析以及得出的其中存在的安全漏洞以及第四章中对椭圆曲线基本知识的介绍，在业已给出的基于自验证公钥的3G通信系统认证方案的基础上，给出一种基于椭圆曲线自验证公钥的3G通信系统认证方案，从而提高3G系统的安全性和认证效率。最后是结束语，总结全文并展望今后的工作方向。第二章GSM的安全体系结构第二章6SM的安全体系结构21GSM的系统结构在第二代数字通信系统GSM网络中，在安全性方面作了很多工作。对移动用户的认证采取询问响应认证协议，网络向用户发送一个认证请求询问，并要求用户做出相应的影响，从而认证用户的合法身份，防止非授权用户使用网络资源。在GSM网络中，采取临时身份机制在无线链路上识别移动用户，一般情况下不使用IMSI识别用户，由此加强了对用户身份的保密。在无线传输部分，对用户信息加密，防止窃听泄密。下图是GSM系统的结构：图21GSM系统结构GSM移动通信系统的主要组成部分可分为移动台(MS)，基站子系统和网络子系统。基站子系统(简称基站BS)由基站收发台(BTS)和基站控制器(BSC)组成；网络子系统由移动交换中心(MSC)和操作维护中心(OMC)以及归宿位置寄存器(HLR)、拜访位置寄存器(VLR)、鉴权中心(Auc)和标志寄存器(EIR)等组成。MS：移动台就是移动用户设备部分，它有两部分组成，移动设备(M巳)和用户识别模块(Sn讧)，SIM卡就是“身份卡”，也称作智能卡，存有认证用户身份63G通信网络安全分析所需的所有信息；以及安全所需的A3，A8和A5算法，国际移动用户标识(IMSI)和Ki(永久密钥)。并能执行一些与安全保密相关的重要信息，以防止非法用户进入网络。SIM卡还存储着与网络和用户相关的管理数据，只有插入SIM卡后移动终端方可进网。BTS：在网络的固定部分和无线部分之间提供中继，移动用户通过空中接口与BTS相连BTS包括收发信机和天线，以及与无线接口有关的信号处理电路等，它也可以看作是一个复杂的无线解调器。BSC：BSC通过BTS和移动台的远端命令管理所有的无线接口，主要是进行无线信道的分配、释放以及越区信道切换的管理等，起着基站子系统中交换设备的作用。BSC由BTS控制部分、交换部分和公共处理器部分等组成。根据BTS的业务能力，一台BSC可以管理多达几十个BTS。MSC：MSC是整个GSM网络的核心，它控制所有BSC的业务，提供交换功能及和系统内其它功能的连接，MSC可以直接提供或通过移动网关GMSC提供和公共电话交换网(PsTN)、综合业务数字网(IsDN)、公共数据网(PDN)等固定网的接口功能，把移动用户与移动用户、移动用户和固定网用户互相连接起来。VLR：访问用户位置寄存器(VLR)是服务于其控制区域内移动用户的，存储着进入其控制区域内已登记的移动用户相关信息，为已登记的移动用户提供建立呼叫接续的必要条件。当某用户进入VLR控制区后，此VLR将由该移动用户的归属用户位置寄存器(HLR)获取并存储必要数据。而一旦此用户离开后，将取消VLR中此用户的数据。HLR：归宿位置寄存器存储管理部门用于管理移动用户的数据。每个移动用户都应在其归属位置寄存器(HLR)注册登记，它主要存储两类信息：一是有关用户的参数；二是有关用户目前所处位置的信息，以便建立至移动台的呼叫路由，例如MSC、VLR地址等。AuC：AuC(鉴权认证中心)存放每个用户的国际移动用户身份IMSI(InternationalMobileSubscriberIdentity)，用于用户开机登陆网络或者在临时移动用户身份TMSI不能使用时验证或搜索用户；存放用户的密钥Ki(在用户使用IMSI接续的时候，鼬被授予给用户)；为完成鉴权过程，AuC要负责生成随机值RAND；AuC中还存放了鉴权算法A3以及数据加密密钥生成算法A8。EIR：是一个存储了有关移动设备参数的数据库。主要完成对移动设备的识别、监视、闭锁等功能，以防止非法移动台使用。第二章GSM的安全体系结构22GSM的鉴权和认证221GSM网络中用户身份的保密7为了保护用户的隐私防止用户位置被跟踪，GSM中使用临时用户身份TMSI来对用户身份进行保密不在特殊情况下不会使用用户的IMSI对用户进行识别，只有在网络根据TMSI无法识别出它所在的HLRAuC，或是无法到达用户所在的HLRAuC，才会使用用户的IMSI来识别用户，从它所在的HLRAuC获取鉴权参数来对用户进行认证。在GSM中TMSI总是与一定的LAI(位置区识别符)相关联的，当用户所在的LA(位置区)发生改变时，通过位置区更新过程实现TMSI的重新分配，重新分配给用户的TMSI是在用户的认证完成时，启动加密模式后，由VuL加密后传送用户，从而实现了TMSI的保密。同时在VLR中保存新分配给用户的TMSI，将旧的TMSI从VLR中删除。这样一般来说，只有在用户开机或者VLR数据丢失的时候IMSI才被发送，平时仅在无线信道上发送移动用户相应的TMSI。222GSM系统中用户鉴权在GSM系统中，使用鉴权三参数数组(随机数RAND，期望响应XRES，加密密钥Ke)实现用户鉴权。在用户入网时，用户鉴权键连同IMsI一起分配给用户。在网络端瞄存储在用户鉴权中心AuC(AuthenticationCenter)，在用户端飚存储在SIM卡中。AuC为每个用户设置三参数数组【3】(RAND，XRES，Kc)，存储在HLR中。当MSCVLR需要鉴权三元组的时候，就向HLR提出要求并发出一个消息“MAPSEND-AUTHENTICATIONINFO”给HLR(该消息包括用户的讧sI)，HLR的回答一般包括五个鉴权三元组。任何一个鉴权三元组在使用以后，将被破坏，不会重复使用。当移动台第一次到达一个新的MSC(Mobile-ServiceSwitchingCenter，移动业务交换中心)时，MSC会向移动台发出一个随机号码RAND，发起一个鉴权认证过程。过程如下图所示：3G通信网络安全分析VLRMSCHEAuC图22GSM鉴权和认证流程(1)Amc产生一个随机数l乙蝌D，通过A3，A8算法【4】产生认证向量组(RANDXRES，Kc)。具体产生流程见下图所示：图23GSM系统中鉴权三元组的产生过程(2)VLRMSG收到鉴权三元组以后存储起来。当MS注册到该VLR时，VLRMSG第二章GSM的安全体系结构9选择一个认证向量，并将其中的随机数RAND发送给MS。(3)移动台收到黜卅D以后，利用存储在Sim卡中的A3，A8算法【4】，计算出SRES和Kc(计算流程如图23所示)。移动台将SRES发送给VLRMSC，如果SRES等于VLRMSG发送给用户的RAND所在的鉴权三元组中的XRES，移动台就完成了向VLRMSG验证自己身份的过程。由以上分析可看出，在GSM系统中，Kc从来不通过空中接口传送，存储在MS和AuC内的Kc都是由鼬和一个随机数通过A8算法运算得出的。密钥飚以加密形式存储在SIM卡和AuC中。223GSM无线信道上发送的加密数据鉴权过程完成以后，MSC将鉴权三元组中的Kc传递给基站BTS。这样使得从移动台到基站之间的无线信道可以用加密的方式传递信息，从而防止了窃听。加解密过程如下图所示：回圈Kc(64bit)Fn(22bit)Kc(64bi0Fn(22bit)图24GSM系统中无线链路的加解密加密密钥Kc的产生过程是通过密钥算法A8和加密算法A3有相同的输入参数RAND和鼢，因而可以将两个算法合为一个算法【51，用来计算期望响应和加密密钥。加密的过程是将“比特的加密密钥Kc，和承载用户数据流的TDMA数据帧的帧号103G通信网络安全分析Fn(22比特)作为A5算法的输入参数，计算密钥流。对消息进行逐位异或加密，将密文从移动台传递到基站。基站接收到加密的信息，用相同的密钥流逐位异或来解密。说明：A5算法主要在欧溯国家的GSM系统中使用，由于最初的A5算法安全强度较高，限制对某些国家出口，所以最初的A5算法命名为A5I，其它的算法包括A50(实际上就是没加密)，A52是一种比较弱的加密算法。估计破译AS1的时间复杂度大致是2的“次方，而A52的时间复杂度估计低于2的16次方16】。23GsM中安全要素的分布GSM系统中，安全要素分布在不同的网络实体平台上。如下图所示：日回囤阴影单元随网络政策变化是时间的函数，白色单元不随时间变化图25安全要素分布图AuC(鉴权认证中心)存放每个用户的国际移动用户身份IMSI(IntemationalMobileSubscriberIdentity)，用于用户开机登陆网络或者在临时移动用户身份TMSI不能使用时验证或搜索用户：存放用户的密钥Ki(在用户使用IMSI接续的时候，被授予给用户)：为完成鉴权过程，AuC要负责生成随机值RAND；AuC中还存放了鉴权算法A3以及数据加密密钥生成算法A8。VLRMSC为每个IMSI存放若干鉴权三元组。为了避免1MSI被截取，需要最大限度地减少在无线信道上传送。因此在VLR中记录TMSI与IMSI的对应关系，仅在第二章GSM的安全体系结构无线信道上发送移动用户的TMSI。BTS中存储编码算法A5和密钥Kc，用于解密接收到的密文形式的用户数据和信令数据。移动台中将鉴权算法A3和数据加密密钥生成算法A8，用户密钥尉以及用户身份IMSI(TMsI)存储在SIM卡中。SIR卡是一种防篡改的设备，增强了算法和密钥的安全性。编码算法A5和由AS计算出的加密密钥Ke存储在手机中。由此可以看出A3，A8，A5，Ki，Kc是不在网络中传递的，从而增强了网络的安全性。24GSM存在的安全问题虽然第二代移动通信GSM系统在安全性方面作了上述的措施，但是仍然存在很多不足。(1)GSM系统中的认证是单向的，只有网络对用户的认证，而没有用户对网络的认证。因此存在安全漏洞，非法的设备(如基站)可以伪装成合法的网络成员。从而欺编用户，窃取用户的信息。(2)GSM系统中的加密不是端到端的，只是在无线信道部分即Ms和BTS之间进行加密。在固定网中没有加密，采用明文传输。这给攻击者提供了机会。(3)在移动台第一次注册和漫游时，IMSI可能以明文方式发送到。RMsc，如果攻击者窃听到IMSI则会出现手机“克隆”。(4)在移动通信中，移动台和网络间的大多数信令信息是非常敏感的，需要得到完整性保护。而在GSM网络中，没有考虑数据完整性保护的问题，如果数据在传输的过程中被篡改也难以发现。(5)随着计算机硬件技术进步带来的计算速度的不断提高，解密技术也不断发展。GSM中使用的加密密钥长度是64比特，在现在的解密技术下，己经可以在较短时间内被破解。(6)在GSM系统中，加密算法是不公开的，这些密码算法的安全性不能得到客观的评价，在实际中，也受到了很多攻击。(7)在GSM系统中，加密算法是固定不变的，没有更多的密钥算法可供选择，缺乏算法协商和加密密钥协商的过程。25小结本章对迄今最为成功的移动通信系统一第二代通信系统(GSM)的安全体系结构做了介绍。首先介绍TOSM系统的组成部分，详细介绍各个组成部分所处位置，以及功能。然后用较大篇幅介绍TGSM系统的鉴权和认证过程，其中包括如何对网络中用户的身份就行保密，如何进行用户鉴权以及在无线信道上加密数据的发送。以及A3A5，A8各个算法为认证及加密过程发挥何种作用进行了阐述。在对第二代移动通信系统中安全要素分布进行介绍后，指出了第二代移动通信系统存在的安全问题。第三章3G的安全体系结构第三章3G的安全体系结构313G的安全原则和安全目标133G的安全体系目标可以参考3GPP组织定义的安全条款，以及其详细的定义3GPPTS33120tTl：(1)确保用户信息或与用户相关的信息受到保护，不被盗用和滥用。(2)确保提供给用户的资源和服务受到保护，不被盗用和滥用。(3)确保安全方案具有世界范围内的通用性(至少存在一种加密算法可以出口到其它国家)。(4)确保安全方案的标准化，适应不同国家不同运营商之间的漫游和互操作。(5)确保提供给用户和运营商的安全保护优于当今的固定和移动网络，这也即暗示了3G的安全方案要克服第二代移动通信的安全缺陷。(6)确保3G的安全方案是可扩展和可增强的，以抵制各种各样的攻击。(7)确保3G的安全方案能够提供电子商务、电子贸易以及其它一些互联网服务。323G系统的安全要求【8】(1)保证业务接入的需要除紧急呼叫外，接入任何第三代移动通信系统的业务都应该需要一有效的USIM，由网络决定紧急呼叫是否需要USIM。应防止入侵者通过伪装成合法用户来非法接入3G业务。用户可以在业务开始、传送期间验证服务网是合法的，以用户归属环境提供3G业务。(2)保证业务提供的需要对业务提供者可以在业务开始、传送期间验证用户的合法性，以防止入侵者通过伪装或误用权限来接入3G业务。应能检测和阻止欺诈性的使用业务和安全有关的事件发生时可以向业务提供者报警并产生相应的记录。应防止使用特殊的USlM接入3G业务。对某些用户，服务网络提供的归属环境可以立即停止它所提供的所有业务。对服务网络，在无线接口上可以验证用户业务、信令数据和控制数据的发起者。通过逻辑手段限制业务的获得来阻止入侵者。对网络运营商，应加强基础网络的安全性。(3)满足系统完整性的需要应防止越权修改用户业务，防止越权修改某些信143G通信网络安全分析令数据和控制数据，特别是在无线接口上。防止越权修改的和用户有关的数据下载到或存储在终端或USIM中。防止越权修改由提供者存储或处理的、和用户有关的数据。应保证可以检查应用和下载到终端或UICC中的数据的起源和完整性。也应保证下载的应用和数据的保密性。应保证数据的由来、完整性及最新的，特别是无线接口上的密钥。应保证基础网络的安全性。(4)保护个人数据的要求，应可以保证某些信令数据和控制数据、用户业务、用户身份数据、用户位置数据的保密性，特别是在无线接口上，应防止参与特定3G业务的用户位置数据不必要地泄露给同一业务的其它参与者。用户可以检查它的业务及与呼叫有关的信息是否需要保密。应可以保证由提供者存储或处理的、和用户有关的数据的保密性。应可以保证由用户存储在终端或USIM中、和用户有关的数据的保密性。(5)对终端USIM的要求应可以控制接入到一usIM，以便用户只使用它来接入3G业务。可以控制获得USIM中的数据，如某些数据只有授权的归属环境才能获得。不能获得只在USIM中使用的数据，如验证密钥和算法。可以检测出是否是偷窃的终端。可以禁止某些终端接入3G业务。改动终端的身份很困难。(6)合法的窃听的要求依国家相关法律，3G可以为执法机构提供检测和窃听每一个呼叫和呼叫尝试，和其它服务。333G的安全漏洞(1)对敏感数据的非法获取，对系统信息的保密性进行攻击。其中主要包括：侦听：攻击者对通信链路进行非法窃听，获取消息；伪装：攻击者伪装合法身份，诱使用户和网络相信其身份合法，从而窃取系统信息；浏览：攻击者对敏感数据的存储位置进行搜索；泄露：攻击者利用合法接入进程获取敏感信息；试探：攻击者通过向系统发送信号来观察系统的反应。(2)对敏感数据的非法操作，对消息的完整性进行攻击。主要包括：对消息的篡改、插入、重放或者删除。(3)对网络服务的干扰和滥用，从而导致系统拒绝服务或者服务质量低下。主要包括：干扰：攻击者通过阻塞用户业务、信令或控制数据使合法用户无法使用网第三章3G的安全体系结构络资源；资源耗尽：攻击者通过使网络过载，从而导致用户无法使用服务；特权滥用：用户或服务网络利用其特权非法获取非授权信息；服务滥用：攻击者通过滥用某些系统服务，从而获得好处。或导致系统崩溃。(4)否认。主要指用户或网络否认曾经发生的动作。(5)对服务的非法访问。包括：攻击者伪造成网络和用户实体，对系统服务进行非法访问；用户或网络通过滥用访问权限非法获取未授权服务。331对空中接口的攻击(1)对非授权数据的非法获取，基本手段包括对用户业务的窃听、对信令与控制数据的窃听、伪装成网络实体截取用户信息以及对用户流量进行主动与被动分析。(2)对数据完整性的攻击。主要是对系统无线链路中传输的业务与信令、控制信息进行篡改，包括插入、修改、删除等。(3)拒绝服务攻击。可分为三个层次：物理级干扰：攻击者通过物理手段对系统无线链路进行干扰，从而使用户数据与信令数据无法传输，典型的例子就是阻塞；协议级干扰：攻击者通过诱使特定的协议流程失败，干扰正常通信；伪装成网络实体拒绝服务：攻击者伪装成合法网络实体，对用户的服务请求作出拒绝问答。(4)对业务的非法访问攻击。攻击者伪装成其他合法用户身份，非法访问网络，或切入用户与网络之间，进行中间攻击。(5)对用户身份主动捕获攻击。攻击者伪装成服务网络，对目标用户发出身份请求，从而捕获用户明文形式的永久身份号。(6)对目标用户与服务网络之间的加密流程进行压制，使加密流程失效，基本手段有：攻击者伪装成服务网络，分别与用户和合法服务网络建立链路，加密流程失效；转发交互信息。从而使攻击者通过篡改用户与服务网络之间的信令，使用163G通信网络安全分析户与网络的加密不匹配，从而使加密流程失效。332针对系统核心网的攻击(1)对数据的非法获取。基本手段包括：对用户业务、信令和控制数据的窃听，伪装成网络实体截取用户信息以及对用户流量进行主动与被动分析：对系统数据存储实体的非法访问；在呼叫建立阶段伪装用户位置信息等。(2)对数据的完整性的攻击。基本手段包括：对用户业务与信令消息进行篡改：对下载到用户终端或USIM的应用程序与数据进行篡改；通过伪装成应用程序及数据发起方篡改用户终端或USIM的行为；篡改系统存储实体中储存的用户数据等。(3)拒绝服务攻击。基本手段包括物理干扰、协议级干扰、伪装成瞬络实体对用户请求作出拒绝回答，滥用紧急服务等。(4)否认。主要包括对费用的否认、对发送数据的否认、对接受数据的否认等。(5)对非授权业务的非法访问。基本手段包括伪装成用户、服务网络、归属网络，滥用特权非法访问非授权业务。333针对终端的攻击(1)使用偷窃的终端和智能卡；(2)对终端或智能卡中的数据进行篡改；(3)对终端和智能卡间的通信进行侦听；(4)伪装身份截取终端与智能卡间的交互信息；(5)非法获取终端和智能卡中存储的数据。343G安全技术分析It，、Jj工J，x7I、，J根据3GPP和WAP的标准化规定，3G中运用了许多新的以及增强型的安全技第三章3G的安全体系结构术，各种详细的安全技术分析如下。341接入网安全17用户信息是通过开放的无线信道进行传输，因而很容易受到攻击。第二代移动通信系统的安全标准也主要关注的是移动台到网络的无线接入这部分安全性能。在3G系统中，提供了相对于GSM而言更强的安全接入控制，同时考虑了与GSM的兼容性，使得GSM平滑地向3G过渡。与GSM中一样，3G中用户端接入网安全也是基于一个物理和逻辑上均独立的智能卡设备，即USIM。未来的接入网安全技术将主要关注的是如何支持在各异种接入媒体包括蜂窝网、无线局域网以及固定网之间的全球无缝漫游。这将是一个全新的研究领域。342核心网安全技术与第二代移动通信系统一样，3GPP组织最初也并未定义核心网安全技术。但是随着技术的不断发展，核心网安全也已受到了人们的广泛关注，在可以预见的未来，它必将被列入3GPP的标准化规定。目前一个明显的趋势是，3G核心网将向全口网过渡，因而它必然要面对P网所固有的一系列问题。因特网安全技术也将在3G网中发挥越来越重要的作用，移动无线因特网论坛(MwIF)就致力于为3GPP定义一个统一的结构。343传输层安全尽管现在已经采取了各种各样的安全措施来抵抗网络层的攻击，但是随着WAP和Intemet业务的广泛使用，传输层的安全也越来越受到人们的重视。在这一领域的相关协议包括WAP论坛的无线传输层安全【9】(WTLS)，IEFT定义的传输层安全【10】(TLS)或其之前定义的Socket层安全【】(SSL)。这些技术主要是采用公钥加密方法，因而PKI技术【12】可被利用来进行必要的数字签名认证，提供给那些需要在传输层建立安全通信的实体以安全保障。与接入网安全类似，用户端传输层的安全也是基于智能卡设备。在WAP中即定义了WIM。当然在实际应用中，可以把WIM嵌入到USIM中去。但是现阶段WAP服务的传输层安全解决方案中仍存在着缺陷：WTLS不提供端到端的安全保3G通信网络安全分析护。当一个使用WAP协议的移动代理节点要与基于口技术的网络提供商进行通信时，就需要通过WAP网关，而WTLS的安全保护就终结在WAP网关部分。如何能够提供完整的端到端安全保护，已经成为了WAP论坛和IETF关注的热点问题。344应用层安全在3G系统中，除提供传统的话音业务外，电子商务、电子贸易、网络服务等新型业务将成为3G的重要业务发展点。因而3G将更多地考虑在应用层提供安全保护机制。端到端的安全以及数字签名可以利用标准化SIM应用工具包来实现，在SIMUSIM和网络SIM应用工具提供商之间建立一条安全的通道。SIM应用工具包安全定义可以见3GPPGSMTS30348345代码安全在第二代移动通信系统中，所能提供的服务都是固定的、标准化的，但是在3G系统中各种服务可以通过系统定义的标准化工具包来定制(比如3GPPTS23057【13】定义的MERE)。M提供了一系列标准化工具包，可以支持手机终端进行新业务和新功能的下载。在这一过程中，虽然考虑了一定的安全保护机制，但相对有限。M的使用增强了终端的灵活性，但也使得恶意攻击者可以利用伪“移动代码”或“病毒”对移动终端软件进行破坏。为了抵御攻击，M定义了有限的一部分安全机制，具体如下：首先定义了3个信任域节点，分别由运营商、制造商和第三方服务提供商控制，另外还定义了一个非信任的发送节点。移动代码在这些节点上的可执行功能是由一个标准化列表严格规定的。当然信任域节点具有一定的优先级。移动代码在执行特定功能前，M终端会先检查代码的数字签名来验证代码是否被授权。M中数字签名的使用需要用到合适的PKI技术来进行数字认证。公钥系统的信任节点是那些位于认证等级最高层的根公钥。M允许根公钥内嵌入3个信任域节点设备中，并由其控制对哪些实体对象进行认证。但如何保证由数字签名建立的信任链能够真正为用户提供安全的应用服务还是一个尚待解决的问题。第三章3G的安全体系结构346个人无线网络安全193G终端的硬件设备形式是多样化的。例如使用蓝牙技术的无线局域网就允许各种物理终端设备自由加入和退出。这些终端包括手机电话、电子钱包、PDA以及其它共享设备等等。考虑个人无线局域网内通信安全也是很必要的。353G的鉴权和认证351认证和密钥协商协议(3GAKA)在用户接入网络的时候，网络需要验证用户标识的正确性，即对用户进行认证(或鉴权)。并同时完成安全上下文的分配、设置加密模式和加密算法、用户对网络的鉴权等功能。在GSM系统中，身份认证是单向的，基站能够验证用户的身份是否合法，而用户无法确认他所连接的服务网络是否可靠。3GAKA协议借鉴GSM身份认证的询问应答机制，结合ISOIEC9798-4t141基于知识证明和使用顺序号的一次性密钥建立协议，实现了双向认证，并确保通信双方的认证信息和密钥是非重用的。该安全机制如图31151163G通信网络安全分析n习1一回回鉴权数据请求-卜厂明冯西丽丌IAV(In)II一生成鉴权AV(1n)厂l存储鉴权AV(1n)l1一广l选择鉴权AV(1n)I用户鉴权响应L_J-一RAND(i)|IALrrN(i卜一r-歪面而雨砑研l墨星墨(nI一用户鉴权响应RES(i卜叵亟圃匝圃臣圃图3I3G认证和密钥分发过程图中具体步骤是：(1)USIM卡向网络发出位置更新或呼叫接入消息，传送USIM用户的个人标识【MSI。(2)网络向USIM用户发送鉴权请求消息(Userauthenticationrequest)，其中包含网络中的HLRAUC产生的一个随机数RAND。(3)USIM卡计算出鉴权码RES=f(KRAND)(其中K是USIM卡的密钥，f是单向函数)，然后将其包含在鉴权响应消息(UserAuthenticationResponse)中发送给网络。(4)网络中的HLRAuC根据用户的IMSI查找到该用户的K，执行相同的计算XRES-f(KRAND)(5)网络比较用户发送过来的RES和计算出的XRES是否一致，若两者相等，则用户是合法用户。在该系统中，用户UE的UStM(Us盯ServiceIdentityModule)和它的归属域HLR第三章3G的安全体系结构中的认证中心AuC共享密钥K，该密钥不在网络中传输。当HLRAuC接收NVLR发来的认证请求信息后，它将产生一组认证向量并发往VLR(Authenticationdataresponse)。这些认证向量基于序列号SQN顺序排列。每一个认证向量都是一个五元组(RAND，也s，CKIK，AUTN)，具体步骤如图32【17181KMACXRESCKIKAK图32认证向量产生过程当VLR要发起一次AKA协商时，它从认证向量数组中选择当前的下一个未被使用的向量AV(i)，并将参数RAND和AUTN发给用户USIM。一旦收到，用户首先验证AUTN是否可接受，其处理如图33所示。223G通信网络安全分析KRANDXMACRESCKIK图33用户认证过程收到凡心D和AUTN后，USlM首先计算匿名密钥越。=f5k(RAND)并重新得到序列号SQN=(SQNAK)AK。其次，USIM计算XMAC=flk(SQNIIRANDIIAMF)并与MAC比较，MAC包含在AUTN中。如果它们不同，用户发送userauthenticationrejeet回VLRSGSN指示原因，用户放弃该过程。接着，USIM检验所接收的序列号SQN是否处于正确的范围内。如果USIM认为序列号不在正确的范围内，它发送synchonizationfailure回VLRSGSN，其中包括一个适当的参数，并放弃该过程。同步失败消息包含参数AUTS，AUTS=Cone(SQNm)IIMAC-S，Con“SQNm)=SQNusof5K(RAND)是UE中计数-器SQNus的被隐藏值，MAC-s=ffK(SQNmlIRANDIIAMF)，其中凡蝌D是在当前用户认证请求中所接收的随机值。如果AUTN是可接受，USIM它将产生一应答RES发往VLR，同时计算CK和。VLR将接收的RES及与存储的XRES比较，如果两者匹配，且认为本次AKA成功。双方就可以用CK，加密验证后续的通信内容。在UE中进行的认证步骤如图33参数AUTS的构造如图34所示。第三章3G的安全体系结构MAC-SAKSQNMsoAK图34AUTS产生过程图32，33，34中，RAND为Hut产生的随机数，K是HLR和LIE之间的共享密钥，SQN是m玉和LIE之间的同步序列号；flfl，t2为消息认证函数；t3，f4，6，f5为密钥产生函数；MAC为消息认证码，MAC=fl(KSQN，RAND)；XRES为期望响应XRES-f2(KRAND)；CK，和AK分别表示加密密钥、完整性密钥和匿名密钥，CK=O(KRAND)，IK=f4(KRAND)：AK=fS(KRAND)或AK=f5+(KRAND)。3G系统的一个重要特点是可实现国际漫游。3G移动用户在漫游移动时，将与通信网络的各个不同部分的HLRAuC联系。当远程地区的HLRAuC在移动用户进行身份鉴别时，系统并不是把原先存储在移动用户登记注册的本地HLRAuC内的用户密钥K送到远程AuC，而是将生成的五元组(RAND，XRES，CK，IK，AUTN)；送到远程HLRAuC进行身份鉴别。避免和消除了用户密钥在长距离传输中被截取的可能，提高了系统的安全性。同时，系统可兼容不同厂家的设备，使得采用不同类型的用户鉴权和密钥分配算法的各系统能在一个网络里共存。只要本地AuC中存储的用户鉴权和密钥分配算法和移动设备的智能卡中的用户鉴权和密钥分配算法一致，即可在远程漫游中实现鉴权和入网。352认证和密钥分配过程的激发(1)激发条件VLR或HLR中信息的改变接入服务在VLR重起后第一次开机CKSN(cipherkeyscquencenumbermismatch)不匹配，此时LIE和网络使用不同的加密键KcOK、CK)。(2)激发设计首先判断用户是否使用IMSI发起业务，若是则鉴权当用户第一次开机或其它的异常原因造成使用IMSI发起业务。否则判断：CKSN是否有效，如果无效则需要鉴权此时uE中没有可用的加密键Kc(、cK)，或Kc(IK、CK)的使用周期到期，需要更换。若有效，则比较从UE收到的CKSN和vLR内部的CKSN是否相符，若不相符则需要鉴权。此时tie和网络使用不同的加密键Kc(IK、C10。352认证和密钥分配过程3521认证和密钥分配基本过程(1)在新wg下，用TMSI发起业务UE用到到新的IrLR(兕民)下，并用TMSI发起业务时，首先应从原VLR(WRo)中获得未使用的鉴权集，然后向uE发出鉴权请求。(2)在新嗽下，用原兕民未知的TMSI发起业务UE用到况R下，