（通信与信息系统专业论文）hlr中应用多组k2k4及多种加密算法.pdf

摘要 摘要 互联网的发展日新月异，通信行业也发生着翻天覆地的变革，面对着互联网 业务和宽带业务对移动核心网的不断渗透，移动通信行业必须做出改动来迎接这 些新趋势的到来，为了满足客户的需求，运营商们对核心网络的硬件和软件提出 了更高的要求。 移动核心网中，h l r ( h o m el o c a t i o n gr e g i s t e r ) 位置归属寄存器的诞生为运 营商管理合法用户属性、业务等数据提供了方便。本文研究了h l r 中的鉴权中心 a u c 模块，分析了在用户鉴权过程中所需要的鉴权矢量：鉴权三元组【1 】( g s m 网 络用户) 和鉴权五元组 1 】( u m t s 网络用户) 的产生过程，本文重点研究了用户 数据瞄的加密过程，传统的采用单组k 2 k 4 对其进行加密，用户数据在传输过 程中和在整个n r g 上的存储，都使用相同的k 2 k 4 进行加密。近年来利用无线 电子信道来传输信息的日益广泛，机密性和安全性被逐渐地削弱：未授权的非法 用户通过窃取合法用户的账户，干扰合法用户的正常通信，合法用户的利益受到 侵害。这种情况随着3 g 时代的到来，在h l r 中会更严重。 另外，目前的加密模块中用户数据加密算法只采用3 g p p 协议中的标准算法 ( 2 g 网络中采用a 3 a 8 算法，3 g 网络中采用m i l e n g a g e 算法) ，标准协议中的算法 有时会显得过于繁冗复杂，从商业的角度分析，标准算法对于运营商来说是不够 合理经济，而且由于协议中算法的公开化使其安全性大大降低。针对上面两方面 的研究具有重要意思。 本文主要提出了两种应用于密钥和加密算法的软件设计，文章的内容主要包 括软件总体框架的设计、测试计划的编写、单一k 2 k 4 模式向多组的k 2 k 4 模式 的转变、加密算法的更改、用户对应表以及算法对应表的更改等。这种合理的软 件设计解决方案对h l r 中的用户数据的安全性具有非常积极的意义。 关键词：k 2 k 4 ，多组，用户分组，加密算法 a b s t r a c t a bs t r a c t c o n f i d e n t i a l i t ya n ds e c u r i t ya r ew e a k e n e db yt h eu s eo fr a d i o e l e c t r i cc h a n n e lt o c a l l yi n f o r m a t i o n ：s u b s c r i b e r sm a yb ev i c t i m so ff r a u d u l e n tu s eo ft h e i ra c c o u n tb y u n a u t h o r i s e dp e o p l eu s i n gt h e i ri d e n t i t y i nt h eo t h e rh a n d ，t h e i rc o m m u n i c a t i o n sm a y b ei n t e r c e p t e d a u t h e n t i c a t i o ni sc a r r i e do u tw h e nas u b s c r i b e ri n i t i a t e sar e g i s t r a t i o ni nas e r v i n g n e t w o r ks e r v i c ea r e a i ti st h e nc a r d e do u ta f t e ran u m b e ro fc a l l i n gs e tu pa t t e m p t s ( c u r r e n t l y6 ) t h es e r v i n gn e t w o r kr e q u e s t sv e c t o r s f r o mt h eh l r a u c t h e s e v e c t o r s ( t r i p l e t sf o ra2 g n e t w o r ko rq u i n t u p l e t sf o ra3 gn e t w o r k ) a l et h e ng e n e r a t e d a n dp a s s e db a c kt ot h es e r v i n gn e t w o r k w e d e v e l o pam e t h o do fi n s t e a d i n go f t h eo l dm o d e ( s i n g l ek 2 k 4 ) w i t ht h en e w m o d e ( m u l t ik 2 k 4 ) t h eo l dm o d ei su s e d ( a n dt h en e wm o d ec a n 0u n t i l t h en e w m o d ei ss e l e c t e du s i n gt h ec o n f i g u r a t i o nd a t ai n t e r f a c e a ss o o nt h el l e wm o d ei su s e d ， t h eo l dm o d ec a n tb eu s e da n y m o r e i n t e m a l l y ，t h eo l dm o d ei sm a n a g e da st h en e w m o d ei s ，e x c e p tt h a to n l yt h ek e y i d0i su s e a b l e w h e nak 2h a sb e e nc h a n g e d ，a l lt h e i n d i v i d u a la u t h e n t i c a t i o nk e y st h a tw e r ee n c r y p t e du s i n gi tm u s tb er e e n c r y p t e dw i t h i n t h ed a t ab a s e t h en o r m a ls e r v i c em u s tn o tb ed i s t u r b e dd u r i n gr e e n c r y p t i o nw h i c h m u s to v e r c o m ed e f e n c es i t u a t i o n ss u c h 弱s w i t c h o v e ro rr e s t a r tf r o md i s kd u r i n gt h e o p e r a t i o n t h e r e f o r e ，t h eo l dk 2k e y sv a l u e s ，t h en e w k 2 k e y sv a l u e sm u s t b es a v e di n t h ed a t ab a s e r e e n e r y p t i o ni sab a c k g r o u n dj o bw i t hal o wp r i o r i t y m a n yc u s t o m e r sr e q u e s tt ob ea b l et oq u i c k l yr e p l a c et h eu s eo fs o m ea l g o r i t h m ( i e m i l e n a g e ) b ya n o t h e ro n e ( i e b r u t ) ，w i t h o u tm o d i f y i n gs u b s c r i b e r s d a t a ( n o c h a n g eo fa l g o r i t h mp o s i t i o n si ni m s it a b l e s ) t h i sc h a n g ei sa p p l i c a b l eg l o b a l l yf o r a l lt h ei m s ic o n c e r n e db yt h i sa l g o r i t h mp o s i t i o n k e y w o r d ：k 2 k 4 ，m u l t i ，k i km a n a g e m e n t ，a l g o r i t h mp o s i t i o n ，r e d i r e c t i o n 图目录 图目录 图1 1h l r 的硬件结构框架2 图1 2h l r 的软件层次框架4 图2 1s q n 序列号格式7 图2 2 鉴权三元组计算过程8 图2 32 g 网络中的鉴权过程9 图2 - 4 系统中的安全要素分布图1 1 图2 5u m t s 网络中鉴权过程13 图2 6u s i m 中的鉴权处理原理15 图3 1 导致用户数据重新加密因素1 9 图3 2 鉴权属性子区域的软件模块2 1 图3 3c r e a t e 操作流程图2 3 图3 - 4m o d i f i c a t i o n 操作2 5 图3 5q u e r y 操作。2 6 图3 6d na u c 的删除2 7 图3 7k 2 k 4 对用户数据k i k 的加密解密过程2 8 图3 _ 8i m s i 和k 2 配置表31 图3 - 9k 2 对应表的初始化3 2 图3 1 0k 2k e yi d 的创建流程3 4 图3 1 1k 2k e yi d 的修改流程3 4 图3 1 2k 2 的q u e r y 操作3 5 图3 1 3k 2k e y 的l i s t 操作3 6 图3 1 4k 2k e y 的创建流程3 8 图3 1 5k 2k e y 的删除流程4 0 图3 1 6k 2k e y 的访问流程4 1 图3 1 7k 2k e y 的修改流程4 2 图3 1 8 新旧对应表的替换流程4 4 图3 19k 4 和i m s i 范围的对应表4 5 图3 2 0 对应表的初始化4 6 v 图目录 图3 2 1 算法的重新定向表4 7 图3 2 2 算法定向表的修改4 8 图3 2 3 算法定向表的访问4 9 图4 1w i n d o w s 下的m o u n tv o b 操作5 0 图4 2c l e a r 的b r a n c h 分支51 图4 3v m a r e 运行图5 2 图4 4v m a r e 装载软件包5 2 图4 5 运行虚拟机5 3 图4 6 创建u u i d 5 3 图4 7 虚拟机的正常运行5 4 图4 8 成功运行虚拟机5 4 图4 9t o m a s 成功启动。5 5 图4 1 0o a m 服务器的成功启动5 6 图5 1i m s i 用户的创建5 7 图5 2i m s ig s m 用户的创建5 8 图5 3i m s i u m t s 用户的创建5 9 图5 4i m s i 用户的l i s t 操作5 9 图5 5i m s i 用户的查询q u e r y 6 0 图5 - 6i m s i 的修改m o d i f y 6 0 图5 7i m s i 用户的删除d e l e t e 6 1 图5 8i m s i 用户的修改和查询6 1 图5 - 9k 2 k e y i d 的创建操作一6 2 图5 10k 2 k e y i d 的l i s t 操作一6 2 图5 1 1k 2 k e y i d 的查询操作6 3 图5 1 2k 2 k e y i d 的修改操作一6 3 图5 1 3k 2 k 4 脚本测试6 4 图5 1 4k 4 临时对应表的创建6 4 图5 15k 4 临时对应表的q u e r y 6 5 图5 1 6k 4i m s i 的修改操作6 5 图5 1 7k 4i m s i 的删除操作6 6 图5 18k 4i m s i 的脚本测试6 6 图5 1 9k 4i m s i 当前对应表的搜索6 7 v i 图目录 图5 2 0 图5 2 1 图5 2 2 图5 2 3 图5 2 4 对应表的替换6 8 脚本测试结果6 8 参数查询q u e r y 操作6 9 参数修改m o d i f y 操作一6 9 脚本测试结果一7 0 v i i 缩写词表 缩写词表 英文缩写英文全称中文释义 h l rh o m el o c a t i o nr e 西s t e r位置归属寄存器 a u ca u t h e n t i c a t i o nc e n t e r a u t h e n t i c a t i o nd o m a i n鉴权中心 h m ih u m a nm a c h i n ei n t e r f a c e人机接口 i m e ii n t e r n a t i o n a lm o b i l ee q u i p m e n ti d e n t i t y 国际移动设备认证码 o a m o p e r a t i o n ，a d m i n i s t r a t i o na n dm a i n t e n a n c e操作管理维修 s i ms u b s c r i b e ri d e n t i t ym o d u l e2 g 用户 u m t su n i v e r s a lm o b i l et e l e c o m m u n i c a t i o ns y s t e m3 g 移动网络 u s i mu n i v e r s a ls u b s c r i b e ri d e n t i t ym o d u l e3 g 用户 g s mg l o b a ls y s t e mf o rm o b i l ec o m m u n i c a t i o n s2 g 移动网络 i m s ii n t e r n a t i o n a lm o b i l es u b s c r i b e ri d e n t i t y国际移动用户身份认证 p l m np u b l i cl a n d m o b i l en e t w o r k公众陆地移动通信网 m c cm o b i l ec o u n t r yc o d e移动国家代码 m n cm o b i l en e t w o r kc o d e 移动网络代码 m s i nm o b i l es u b s c r i b e ri d e n t i t yn u m b e r 移动用户识别号码 f ef r o n te n d 前端 b eb a c ke n d 后端 g d m ig e n e t i cd a t am a n a g e m e n ti n t e r f a c e通用数据管理接口 g u i g r a p h i c a lu s e ri n t e r f a c e 图形用户界面 n r gn e t w o r kr e d o n d a n c yg r o u p 网络存储组 g dg l o b a ld a t a全局数据 v m 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：主：1 起日期：p 卜年月多日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：牡导师签名：j 每蛆 日期旁切，秒年易月弓日 第一章绪论 第一章绪论 现有的2 g 网络的容量持续不断扩大，3 g 网络的即将来临，未来i m s 的远景更 是令人期待，所以现有的核心网络很有必要进行升级换代，以适应新的发展。 n g h l r ( 下一代归属位置寄存器n e wg e n e r a t i o nh o m el o c a t i o nr e g i s t e r ) 主要 用来存储识别用户、电话号码，服务用户。它有两大功能模块：a u c 和h l r 。a u c 存储了i m s i 的个人检索表，计算鉴权所需的安全三元组、五元组、完整性规划和 计算规程。并将以上三个部分发送到用户。h l r 是一个管理移动用户的数据库， 包括了移动用户的( 各种) 相关信息。对每一个用户来说h l r 存储的信息包括： 用户数据，g p r s 数据，用户的管理状态等等。 1 1背景说明 随着信息化进程的深入和互联网的迅速发展，信息安全显得日益重要。特别 是近年来利用无线电子信道来传输信息的日益广泛，机密性和安全性被逐渐地削 弱：未授权的非法用户通过窃取合法用户的账户，干扰合法用户的正常通信，合 法用户的利益受到侵害。这种情况随着3 g 时代的到来，在h l r 中会更严重。 鉴权是用于检查用户数据合法性和完整性的过程。在鉴权过程的帮助下，运 营商可以防止网络中的伪s i m 卡的使用。鉴权过程关键在于证实用户方的k k i 和 网络方的k k i 是否完全相同，在建立呼叫、位置更新和终接呼叫( 被呼叫方) 初 期由v l r 实施确认。 目前的加密模块中只用一组k 2 k 4 对用户数据进行加密，当更改用户密钥时 必须对所有用户数据重新解密加密，这样将导致很大的工作量。安全性方面，非 法用户只要能够破解一个用户数据，就等于他将会得到h l r 中所有用户的数据， 安全性得不到足够的保证。另外目前的加密模块中用户数据加密算法一般3 g p p 协议中的标准算法( 2 gj 网络中采用a 3 a 8 算法，3 g 网络中采用m i l e n g a g e 算法) ，标 准协议中的算法有时会显得过于繁冗复杂，从商业的角度分析，标准算法对于运 营商来说是不够合理经济，而且由于协议中算法的公开化使其安全性大大降低。 l u 于科技大学硕士学何论文 12h l r 的体系介绍 1 21h l r 的硬件框架 h l r ( h o m el o c a t i o nr e g i s t e t ) 分为简单式和分布式两种模式。在h l r 中用 户有一个共同的配置文件，可以同时提供多种服务，语音、数据宽带传输、e b 和多媒体应用。同时，为了管理用户相关数据信息，比如数据捕获、数据完整性 管理、存储、访问、保密性安全性、数据解析等，h l r 提供了可扩展的、综合 的解决方案：资产货币化的用户信息新的商业模式，用户使用配置文件以及 用户身份管理。通过h l r 、i t 系统和合法数据储存并结合数据网格可以提供数据 整合。 本文的研究内容是基于h l r 位置归属寄存器为开发平台的，在其上进行设 计、开发和测试。h l r 硬件结构如图1 - 1 所示： 图1 - 1h l r 的硬件结构框架 h l r 中的硬件介绍 控制站：也叫控制服务器，通常用来防护功能和平台操作，普通的管理和维 护( o a m ) 服务。 实对站( r t ) ：通常用于实时收发信令( s s 7 和s 1 g t r a n ) 。 数据库站：主要用柬储存移动核心网中用户的数据。 h l r 系统的开发是在a t c a ( a d v a n c e d t e l e ：o mc o m p u t i n g a r c h i t e c t u r e ) 硬 件平台上实现的。a t c a 即先进的电信计算平台，由p c i 工业计算机制造组织 r l n d u s t r i a l c o m p u t e r s m a n u f a e m r e r s g r o u p ( p 1 c m g ) ) 5 f 发。a t c a 标准是由一个核 第一章绪论 心规范叫i c m g 3 0 和一系列辅助规范组成。在核心规范中定义了机械结构、 散热管理、电源分配和系统管理，而辅助规范则定义了多种交换互连技术。它具 有以下几条特点：电源和散热能力的提高带来了更高的处理能力；数据传输能力 得到了巨大提升，带宽可达2 4 t b s ；基于i p m i ( 智能平台管理接口) ，使a t c a 的管理性能有了大幅度的提高；充分考虑了冗余问题，增加了系统的稳定性和安 全性；提供了针对电信应用的时钟总线( c l o c kb u s ) 、更新总线( u p d a t eb u s ) 和 测试总线( t e s tb u s ) 。a t c a 为下一代融合通信以及数据网络应用提供的一个高 性价比的，基于模块化结构的、兼容的、并可扩展的硬件构架。h l r 用到的为摩 托罗拉公司基于a t c a 标准开发的硬件板子。 1 2 2h l r 的软件层次框架 近年来，计算机软件技术飞速发展的同时，也带来中间件技术的日渐成熟， 应用和数据的整合、语义解析也是驱动中间件快速发展的重要因素。中间件是一 种相对独立的服务程序和系统软件，是网站应用系统开发、运行、管理、集成和 部署不可缺少的工具，其应用范围涉及网络应用的各个方面，包含了从基础通信、 数据访问到应用集成等多个层面。十年来，中间件正在呈现出服务化、业务化、 虚拟化、一体化等多方向的发展趋势。对计算环境的模拟抽象和对应用共性的浓 缩是中间件技术的本质特点，因此，中间件技术的发展多表现在计算环境的抽象 上。另外，目前的中间件技术不局限于某个操作系统，网络环境，而是应用程序 可以工作于多平台或o s 环境下。 运营商把中间件技术作为整合平台的手段，随着i n t e r n c t 网络技术的快速发 展，各大运营商对设备的需求随着用户的增多不断变化，同时这也导致了电信行 业的竞争越来越激烈化，并潜伏着越来越大的风险。传统的电信设备设计思路中， 每个电信系统都有可能成为一个“信息孤岛 的弊端，运营商下的各个系统都有 各自的标准协议，没有进行统一的协调，因此隧道高科技的到来面临着重新建设 而带来的浪费。中间件技术能够很好解决运营商对某个单一业务所建设独立系统 之间缺乏关联性的问题。当前基础软件平台的已经日益完善，中间件技术也慢慢 渗透到网络系统更底层、更基础的区域，以便来解决运营商系统之间信息割裂、 资源无法共享等问题。 t o m i x 中间件是一种基于x m l 语言的中间件( x m l b a s e dm i d d l e w a r e ) ，它 允许开发人员为实现在i n t o n o t 中交换结构化信息而创建文档。一般来说，x m l 3 电子科技大学硕+ 学位论文 中间件被理解为与数据库的接口( 包括以x m l 来查询数据库和返回奁询的x m l 结果，与w e b 浏览器的接口( 用来传递x m l 信息，并能过x s l 组织显示) 。它 位于电信应用和l i n u x 操作系统之间的软件层，它是当前a 1 e a t e l 系统的电信研发 基础。软件组成部分包括：普通管理服务，基于g u i 的网页，公共对象请求代理 结构( c o r b a ) 是一种分布式通信软件界面，s s 7 信夸服务，在l i n u x 操作系统 上还存在着j a v a 的_ 丌发环境，和各种协议栈。在t o m i x 中间件的基础上就是系统 的开发平台。我们可以在o a m ( 操作和管理) 和数据库的架构之下来开发各个 网元的应用系统，例如h l r a u c 网元系统以及其他的应用系统。 h l r 以前版本所用到的数据库技术为独立于数据库的数据管理框架，本论文 中的h l r 将采用当前流行的m y s q l 技术。在前端f r o n t - e n d 和数据节点之间将采 用l d a p 作为数据方位的接口。基于中间件和a c t a 的n g h l r 软件架构如下图 1 2 所示： ff fl 巨兰兰l - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 一 一_ i 1 3主要研究内容 圈1 - 2h l r 的软件层次框架 随着网络业务流量的增多，电信运营商和大型网络公司对网络安全性能的要 求越来越高。本文首先对h l r 的整体结构框架进行了研究分析，并研究了2 g 3 g 无线网络中鉴权技术。分析2 g 3 g 核心网中h l r 中鉴权中心a u c 的相关问题， 具体研究内容包括： 曰 第一章绪论 第一：在多组k 2 k 4 模式下用户数据加密时，研究内容主要包括：根据更改 生成临时的用户密钥对应表，替换当前的对应表，原来k 2 k 4 对数据库中用户数 据解密，然后利用新的k 2 k 4 对用户数据重新加密，进行完整的备份和还原，保 证跟当前其余功能的兼容性。 第二：当通过改变加密算法对用户数据重新加密时，研究内容主要包括：在 a u c 库中声明发布所使用的加密算法，加密时正确的选择加密算法，通过算法位 置指向原来的算法位置，利用原来的加密算法对用户数据解密，使用新的加密算 法重新加密，保证与当前设备中其余功能的兼容性。 第- - 用c 抖，x m l 语言实现功能，并在l i n u x 服务器虚拟机架的环境下配 置测试环境，通过c o r b a 测试脚本和g u i 界面测试进行比较分析，验证功能的 正确性，如果功能实现，则c o r b a 测试会跑通并显示s u c k s ，通过g u i 界面客 户能够对数据正确地进行加密。 1 4 章节安排 下面介绍论文章节组织架构，本文共分为六章。 第一章为绪论部分，首先提出研究背景，简要介绍了h l r 位置归属寄存器的 硬件和软件架构，同时，对本文的主要研究内容进行定义，给出了本文的研究思 路和研究方法。 第二章主要介绍了无线通信网络中的鉴权技术，包括2 gg s m 网络接入的安 全机制和3 gu m t s 网络接入的安全机制。 第三章主要介绍了功能实现的开发环境，测试环境的配置。 第四章主要介绍本文的详细设计方案，包括用户鉴权属性管理，通过多组 k 2 k 4 对用户数据进行加密的实现和多种加密算法的实现。用户鉴权属性管理方 面包含了创建，修改，查询和删除4 个操作；在多组k 2 k 4 模式下，包含几个模 块：k 2 密钥的管理( 创建，修改，查询和删除) ，k 2i m s i 临时范围对应表的管 理，临时对应表对当前对应表的替换操作。多种加密算法方面，主要是实现对算 法重新定向表的实现，包括对重新定向表的查询和修改。 第五章主要介绍相关的c o r b a 测试和g u i 界面测试，并对结果进行了分析 说明。 第六章对全文进行总结并提出及下一步的研究方向。 5 电子科技大学硕士学位论文 第二章鉴权机制介绍 鉴权中心a u c 是p s 域和c s 域的公用设备，是一个管理与移动平台相关的 鉴权信息的功能实体。用以完成对移动用户身份的认证鉴权，存储移动用户的鉴 权算法和加密密钥，并能根据m s c v l r 的请求产生、传送相应的鉴权参数。可 以保证通过无线接口的移动用户通信的安全和防止非法用户接入系统窃取用户信 息，a u c 把鉴权数据和加密数据通过h l r 发往v l r 、m s c 、g m l c 、g g s n 以 及s g s n ，以保证通信的合法性和安全性。通常，a u c 和h l r 结合在同一个物理 实体中，a u c 本身并不与外界网络直接通信，只能通过该h l r 与外界通信。比 如；当v l r 要对目前在它所管辖网络中的行动设备进行认证，就会透过h l r 要求 a u c 提供相关的认证资料。当v l r 对行动设备完成认证后，就会分派一个新的 t m s i 给使用者，并且会记录在使用者行动设备的卡中，而行动设备之后的通讯， 就会透过这个暂时的t m s i 号码。 鉴权( a u t h e n t i c a t i o n ) 在管理层面被单独的集成一个独立的模块( d o m a i n ) 。 用户可以通过与鉴权模块相关的进程模块来访问鉴权模块，并通过这种来对鉴权 模块和其子模块进行用户配置等操作。访问控制的操作是由中间件平台t o m i x 来进行的。 用户端和网络端共享一个密钥( g s m 用户密钥为k i ，u m t s 用户密钥为k ) ， 这个密钥在创建用户的时候，与i m s i 捆绑在一起，并在s i m r j s i m 卡和鉴权中 心a u c 各保存一份。鉴权操作是基于a u c 产生的鉴权矢量( a v ) 来进行鉴权的。 a v 有两种：g s m 用户的鉴权三元组和u m t s 用户的鉴权五元组。 在介绍鉴权中心a u c 的工作原理以前，首先说明几个术语： 鼬：用户校验码，同时存在于h l r 和s i m 卡中，每个在鉴权中心a u c 注册 的g s m 用户都有一个自己的鼬，用户校验码鼬在存到数据库之前首先要进行加 密。长度为1 6 个字节。 k ：用户校验码，每个在鉴权中心a u c 注册的u m t s 用户都有一个自己的k ， 用户的鉴权数据k 在存到数据库之前也要进行加密。长度为1 6 个字节。 a 3 ：用来产生s r e s 的加密算法( s r e s = a 3 ( k i ，r a n d ) ) 。在a u c 中有 好几个版本的a 3 算法，每个用户可以自己选择相应版本的a 3 算法。 a 8 ：用来产生k c 的加密算法( k c = a 8 ( k i ，r a n d ) ) 。在a u c 中有好几个 6 第二章鉴权机制介绍 版本的a 3 算法，每个用户可以自己选择相应版本的a 3 算法。 r a n d ：随机挑战码，由鉴权中心a u c 生成的一个随机数，主要用于鉴权三 元组的产生过程。另外，r a n d 本身也是鉴权三元组的一个成员。长度为1 6 个 字节。 s r e s ：注册响应( s i g n e dr e s p o n s e ) ，当h l r 收到一个注册请求，a u c 便通 过生成一个s r e s 响应这个请求。s r e s 是鉴权三元组的一个元素，但并不保存 在a u c 中，长度为4 个字节。 k c ：会话密钥，当h l r 接收到外部请求时通过a 8 加密算法生成的。k c 也 是鉴权三元组的一个元素，并不保存在a u c 中，长度为8 个字节。 k 2 对称密钥，上面讲过用户校验码在存到数据库之前要进行加密，所用的 密钥就是这个k 2 。k 2 为多值变量，一般有几个k 2 码，k 2 的选择依据i m s ii d 。 k 4 ：对称密钥，在管理操作的输入端用来加密用户校验码。k 4 为多值变量， 一般有几个k 4 码，k 4 的选择依据i m s ii d 。 k x ：以加密的形式来存储k 2 、k 4 的码。 a u t n ：认证令牌，由a u c 产生用于u m t s 鉴权过程中，为鉴权五元组的一 个元素。a u t n 不再a u c 中存储。 a u t s ：认证令牌，由a u c 产生用于u m t s 的复同步。 a m f ：认证管理区域，用来计算a u t n ，存储在a u c 中，是可管理的。 c k ：u m t s 加密密钥，由a u c 生成，用来响应h l r 的请求，c k 为鉴权五 元组的一个元素，长度为1 6 个字节。 i k ：u m t s 完整性认证码，由a u c 生成，用来响应h l r 的请求，c k 为鉴 权五元组的一个元素，长度为1 6 个字节。 s q n 序列号，仅用于u m t s 网络，由a u c 生成，用于计算鉴权五元组， 是a u t n 的一部分。在一个多应用的情况下，几个s q n ( 最多6 个) 可能会影 响到一个i m s i 。s q n 的长度为4 8 比特到6 个字节，结构如图2 1 。为了兼容先 前2 g 的版本，蓝色部分的参数是可选的( s q n 默认为c s ) 。绿色为s q n 的真实 部分占4 3 个比特，蓝色为c s p s 模式域占1 个比特，黄色为c s p s 的索引部分 占4 个比特。 高位 低位 _ 铲二。4 ，? 97 r 6 。一”讪。r j 1 1 ” ? 1 。+ 一jj ；一h r 一： 一鼍ii 、 盈 i n d e x ( 4b i t s ) k 一氲；巍。玉如磊觚。燮氅删。一旒一。7 池一， 图2 - 1s q n 序列号格式 7 电子科技大学硕士学位论文 2 22 g 网络中的鉴权 在2 g 网络中，为了保证合法用户的正常通信和安全访问网络，防止非法用 户窃听和盗取信息，采用g s m 用户健全机制来加强用户数据信息在无线传输信 道上的安全性和可靠性。 2 2 ig s m 网络中的鉴权过程 在分析鉴权过程以前，首先介绍鉴权三元组的创建过程2 】。其计算过程如 下图2 2 所示。 a u c r t m o b i l e5 t a t i o 疗 一一一一一- 一一 1 r a n i 、! 舱例。l 喇i 。厂、附 r ： is i z s , 1 1 嘲 砌鼬 怕区s r e s 。 r 1r c i p h e r 一s r 7、 1r 1 c o m m a n d 厂 一 纪 c i p h e r e d d a t a jl 1r 5 弦哟一a t a 一t m s ia l l o t 图2 - 2 鉴权三元组计算过程 g s m 用户的鉴权三元组包括：随机校验码r a n d 、密钥k c 、鉴权过程预期 的s r e s 。当用户需要注册、呼叫发起终止、确定某项补充业务的激活取消的时 候，首先要对该用户的合法性进行验证。g s m 网络中具体的鉴权流程如图2 3 所 示： 8 第二章鉴权机制介绍 图2 32 g 网络中的鉴权过程 第一步：当用户发起呼叫建立、位置更新、业务补充的相关请求的时候，s i m 卡用户首先要向m s c v l r 发送鉴权请求，以求验证用户的合法性。在v l r 中如 果没有该s i m 卡用户的相关位置更新信息、登记位置信息等，v l r 则向h l 刚a u c 发出要求鉴权数据信息的请求。反之，如果v l r 中有该用户的相关信息，但假如 v l r 中只剩余两组鉴权三元组，也会向h l p , j a u c 发出请求鉴权数据消息。 第二步：h l r a u c 收到鉴权的请求之后，在a u c 中产生n 组鉴权三元组a v 。 第三步：响应鉴权数据信息的请求 第四步：m s c v l r 接收并储存h l r a u c 发来的n 组鉴权三元组。 第五步：m s c v l r 向用户发送用户鉴权请求消息。 第六步ts i m 卡用户根据瞄和r a n d 计算s r e s 。 第七步：用户发送s r e s 给v l r 。 第八步：m s c n l r 根据接收到的s r e s ，并与本地的s r e s 比较，如果相同， 鉴权成功，否则鉴权失败，拒绝为该用户服务。 从上面的鉴权过程可以看出，g s m 网络的鉴权主要包括两个过程：网络对用 户数据的鉴权和v l r 请求用户鉴权数据。 2 2 22 g 网络鉴权的相关问题 国际移动用户识别码( i m s i i n t e r n a t i o n a lm o b i l es u b s c r i b e ri d e n t i t y ) 3 0 - 3 6 是 9 电子科技大学硕士学位论文 网络服务提供商为每个网络用户提供的，作为唯一识别的号码。i m s i 作为一个身 份标识码，几乎包含了其对应用户的全部数据信息，如果在访问网络过程中，传 输的为该i m s i 码，那么万一被非法用户跟踪或窃取到该号码，则合法用户的利 益很容易收到侵害，所以，为了网络服务过程中的安全性和用户数据信息的保密 性，网络运营商为合法用户非配i m s i 号码的同时，也相应分配了一个临时识别 码( t m s i t e m p o r a r ym o b i l es u b s c r i b e ri d e n t i t y ) 【2 诺j 。t m s i 的设置是为了防止 非法个人或团体通过跟踪和窃听网络通信中的信令交换而盗取合法用户真实的 i m s i 或者跟踪合法移动用户的位置。在分配t m s i 以后，用户与网路之间的无线 信道上传输的所有信令和消息只包含t m s i 而不包含i m s i 。t m s i 是由m s c v l r 分配的，不断地进行更新，并只在某个位置区域内有效，当用户的位置发生变化 或者是进行周期性位置更新，m s c v l r 都会重新分配一个新的经过加密的t m s i 号码，由此可见，更换t m s i 的频率越高，用户的保密性就越好，唯一不足的地 方是对用户的s i m 卡生命周期有影响。 鉴权中心的主要作用为识别用户的合法性，只允许通过验证的用户进入网络， 这样不仅保证了合法用户使用网络的权益，而且防止非法用户冒充合法用户进入 网络非法使用相关业务。 数据库中存储的的用户数据，其中最重要的是用户的私人验证码k i t 引，每个 用户都有属于自己的瞄，一般长度为1 2 8 比特，该数据在用户断的s i m 卡和h l r 的数据库中都各保存一份。鉴权中心的鉴权机制主要是针对验证用户的硒值，看 看是否合法化，为了保证用户数据的安全性，防止废话用户的窃取，从上一节的 鉴权过程可以看出，g s m 系统经过两种加密算法a 3 和a 8 来进行鉴权工作。当 h l r 接收到来自v l r 的鉴权请求之后，首先鉴权中心的g a u c 生成一个随机码 r a n d ，长度为1 2 8 比特，把r a n d 和作为加密算法的入口参数，生成鉴权 三元组矢量加密密钥k c 和鉴权矢量s r e s ，如图2 2 。a u c 把产生的鉴权矢量s r e s 通过网络回执给用户s i m 卡，用户接收到相应的数据之后，按照图2 2 的计算方 式得到鉴权矢量的s r e s 和加密密钥k c ，这样鉴权工作需要的所有鉴权数据已经 准备完毕，鉴权中心会收集两方的s r e s 并进行比较，如果两个s r e s 相等，则 用户为合法用户，允许其访问网络，如果不相等，则用户为非法用户，鉴权失败 禁止访问网络。从鉴权三元组矢量的生成过程可以看出，加密算法a 3 的主要作 用是防止用户数据鼬在传说过程中被窃取，即使非法用户能够截获到s r e s 值， 也是加密之后的，很难从s r