（通信与信息系统专业论文）端到端的信息安全传输系统关键技术研究.pdf

中文摘要 摘要：随着移动通信网络和互联网的不断融合，移动通信网络中涌现出诸如移动 电子商务、移动银行等众多新型业务，这些新型业务的开展对系统的安全性能提 出了更高的要求。现有的移动通信系统由于受到移动终端处理能力和网络资源等 多方面条件的限制，系统安全性还有很多欠缺，不能提供端到端的信息机密性和 完整性保护以及数字签名安全服务等。因此对移动通信网络中的端到端信息安全 传输关键技术进行研究具有重大的意义。 本文首先分析现有2 g 、3 g 及l t e 移动通信系统安全机制并进行了比较，针 对现有移动通信系统的安全缺陷，在分析将公钥密码体制应用于移动通信系统的 可行性基础上，充分考虑椭圆曲线公钥密码安全性高、密钥长度短及计算速度快 的优点，提出了基于椭圆曲线公钥密码体制的用户与网络认证协议和端到端认证 与密钥协商协议，通过该认证与密钥协商协议实现通信双方身份的相互认证、加 密密钥和完整性密钥协商。同时，结合高级加密标准加密速度快的优点，为移动 通信系统提供数据机密性、完整性以及不可否认性等安全服务，使系统的安全性 得到极大的改善，能够保证各种移动业务的顺利开展。 文章最后应用形式化的s v o 逻辑语言对所提出的认证与密钥协商协议进行 形式化分析，分析结论表明，通过本文设计的认证与密钥协商协议能够实现端到 端的相互认证和密钥协商，并且协商的加密密钥和完整性密钥是安全的、新鲜的， 能够达到端到端安全体系的设计目标。 关键词：端到端；安全传输；椭圆曲线密码体制：认证与密钥协商；s v o 逻辑 分类号：t n 9 1 8 9 l ；t n 9 l a b s t r a c t a b s t r a c t w i t l ln l eh l t e g r a t i o no ft h cm o b i l ec o m m u n i c a t i o nn e t w o r k 锄dm e h l t e m 鸭m a l l yn e wm o b i l es e r v i c e sa r ec 砌n gf o r t l l ，娜c h 船m o b i l eb 趾1 l ( i n g 趾d m o b i l ee l c c 呐l l i cc o m m 蹦：c ，w h i c h 似l u i r eh i 曲c rs e c 嘶吼t h er e s t r i c t i o no fm e a v a i l a b l em o b i l e 蛐a lp r o c e s s i n gc 印a c 时锄dn e t 、) l ，o r kr e s o u r c 髑1 e a d st 0m 锄y s e c u r i 够p r o b l e m si i lm ec i 】删m o b i l ec o m m u i l i c a t i o ns y s t 锄s e c 嘶t ya r c l l i t e c t u r e s f 0 re x 跗l p l e ，i tc a l ln o tp r 0 讥d ee i l 小t o - e i l dd a t ac o n f i d e n t i a l i t y ，d a t ai n t e 鲥t ) ra n dd i 西t a l s i 驴a ：t i l r es e r v i c e t h e r e f o r e ，r 懿e a r c ho nn l ek e yt e c h n o l o 百懿o fe n d t 0 - 饥ds e c u r e 仃a n s m i s s i o nf o rt 1 1 em o b i l ec 0 删m l i l i c a t i o nn 咖o r k si ss i 鲥丘c a 】n t a t 也eb 嚼1 1 1 l i n 吕m es 训够a r c b i t e c n 糯趾dt l l er e l a t e dp f o b l 锄so f 龇2 g3 g a n dl 1 陋m o b i l ec o m m l m i c a t i o ns y s t 锄sa r e 彻m y z e d ，弱w e u 弱廿l ef c 硒i b i l 时o f a p p l y i n gp l l _ b l i ck e yc 啪t o g r a p h y ：t h e n ，o d n s i d e r i n gt l l ea d v a n t 乏t g e so f l ed l i p t i c c u r y e 鼬l i ck e ) ，c r y l 炯s y s t e m ，叭c h 勰l l i g l ls e c 面坝s h o r tk c y1 g i l l 锄dl l i g l lc a l 饥l 撕 s p e c d ，an 删p r o t o c o lo f 锄d - t 0 da u m 酬c a t i o n 觚dk e y 雒即：e i n e n ti sd i s c 嘴s e d b a s e d0 nt 1 1 e e 1 1 i p t i c c u r v ec r ) ，p t o s y s t e m ，砌c hi su 懿c df o r l em 昀l a li d 硎锣 a u m e n t i c a t i o na n dm en e 9 0 t i a t i o no fc i p h 盯k e ya n di n t e 班t ) rk e yb e t 、) l r e 髓m e 细。 伉肛m m n i c 暑晒l 培i d e n t i 够w i ma d 、，觚c o de n 哪6 0 ns t a i l d a r 也m ep r o t o c o lc a np r o v i d e d a t ac o n 6 枷a l i 坝纰i i l 蛔坝a n dn o n - r e p u d i a t i o ns e c l l r i 够s e r 访c 髓t l l es y s t e m s e c 嘶t ) rc 锄b e 肿a t l yi i i l p r o v e d ，雒dm o b i l es e 耐c 嚣啪b ec a r r i e d 伽t 锄0 0 t h l y a tt i 忙d ，w i mt l l es v ol o 百c ，t l l ea u m e n t i 训o n 锄dk e y 楚脚e n tp l r o t o c o li s p r 0 mi n 也i sp a p e r t h ec o n c l u s i o 璐s _ 1 1 0 wm a tm ep r o t o c 0 1c a na c h i e v e 髓d - t 0 一锄d m u 砌i d t i t ya u m e i l t i c a t i o na i l dl 汜ya 粤伽e n t ，锄dt l l ei 圮g o t i a t i o nc i p h 髓l y 舡l d 唧t yk e ya r cs e c l l r ca n d 能s h t t l c r 弓f o r c ，t h i sp r o t o c 0 ic 觚s a t i s 矽廿1 e d - t 0 一e n d s 训t yd e s i g nr e q u i 彻n 胁t s 1 皿y w o l m s ：e n d - t 0 一e n d ；s e c u r et r 锄s m i s s i o n ；e l l i p t i cc l l r v ec r ”t o 伊印h y ；s e c u r e t r a 麟【1 1 i s s i o ns y s t 锄；a 删1 e 幽c a t i o n 觚dk e ya 黟e e m e n t ；s v ol o 西c c l a s s n o ：t n 9 l8 9 1 ：t n 9 1 图 图2 1g s m 认证和加密机制。6 图2 23 g 系统安全体系结构8 图2 33 g 系统a k a 协议流程。9 图2 - 4h e h l r 产生认证向量1 0 图2 5u s i m 用户认证1 1 图2 63 g 系统数据机密性保护1 1 图2 73 g 系统数据完整性保护1 2 图2 8l t e s a e 系统安全结构1 4 图2 9l t e s a e 系统a k a 过程15 图2 1 0 密钥体系结构。1 6 图2 1 1 数据加密机制1 7 图2 1 2 数据完整性保护机制。1 7 图3 1w p k j 网络结构图2 1 图3 2 椭圆曲线加法示例2 3 图3 3 证书申请及颁发过程2 7 图3 _ 4 基于e c c 的移动通信认证协议2 9 图3 5 端到端的j u ( a 协议流程。3 1 图3 6a e s 加解密算法3 4 图3 7 字节代换代换与逆字节代换3 6 图3 8 常数矩阵3 7 图3 9a e s 1 2 8 密钥扩展方法3 7 图3 1 0 数据完整性保护结构图。3 9 图3 1 1 数字签名。4 0 致谢 本论文的工作是在我的导师吴吴教授的悉心指导下完成的，吴吴教授严谨的 治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢吴吴老师对 我的关心和指导。 吴吴教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向吴吴老师表示衷心的谢意。 吴吴教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷心 的感谢。 在实验室工作及撰写论文期间，王正浩、牟建宏、门加强等同学对我论文研 究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的家人，他们的理解和支持使我能够在学校专心完成我的学业。 1 绪论 1 1 本文研究背景 1 1 1 移动通信系统安全发展现状 移动通信系统由于其无线信道的开放特性，系统时刻面临着侦听、篡改、伪 造等各种安全威胁，因此，安全问题一直是系统正常运营的重要影响之一。纵观 移动通信系统的发展历程，移动通信系统安全机制是随着移动通信用户需求的不 断增长而不断得到完善的。 第一代模拟移动通信系统( 1 g ) 几乎没有采取什么安全措施，移动用户只需 要把移动终端的电子序列号e s n 和移动通信网络分配的移动识别号m i n 一起以明 文形式发送给网络，若二者相符，用户则获取接入网络权限，因此只需截获m i n 和e s n 就很容易克隆模拟蜂窝电话f l 】。 第二代数字蜂窝移动系统( 2 g ) 在系统安全方面进行了较大的改进，提出了 身份认证和数字加密的概念，通过网络对用户的认证有效防止非授权用户接入网 络获取网络服务，同时通过用户与网络之间的密钥协商对无线链路数据传输提供 机密性保护【2 3 4 】。但是2 g 系统的安全规范较多的是从运营商的角度设计的，而且 由于受到移动终端处理能力及网络资源的限制，系统安全机制基于私钥密码体制 实现，导致系统在密钥管理方面存在较大的困难，系统安全可扩展性差，不能提 供数据完整性保护等等，因此，2 g 移动通信系统安全性不高。 第三代移动通信系统( 3 g ) 较前两代移动通信系统最大的特点就是能够提供 更高速率的数据业务以及更加丰富的业务类型。3 g 是一个在全球范围内覆盖与使 用的网络系统，信息的传输既经过全开放的无线链路，也经过开放的全球有线网 络，系统安全问题因此变得更加复杂。3 g 系统安全在保留2 g 系统中被证明是安 全和稳健的安全元素的基础上，针对3 g 系统的新特性，定义了更加完善的安全特 征和安全服务，诸如更先进的密码算法，改进的认证与密钥协商机制，以及提供 数据完整性保护等，并将加密范围从基站延伸至核心网络设备【5 6 ，7 j 。然而，通过对 3 g 系统安全体系的仔细分析，不难发现3 g 的安全体系中仍然存在着一些安全缺 陷，如系统安全仍然基于私钥密码体制实现，不能提供数字签名服务及不能提供 端到端的信息安全传输等。 为了推进3 g 技术进一步发展，作为3 g 系统长期演进的l t e s a e 系统正在 如火如茶的开展，旨在为用户提供更高的通信速率，更加多样化的移动业务、更 优的通信质量，更低的通信时延等掣9 ，l o 】。l t e s a e 系统是一个全口网络架构的 综合型网络，系统将面临与互联网相同的各种安全威胁，因此，与3 g 网络相比， l t e s a e 系统安全问题更加复杂。在l t e s a e 中，提供了接入层和非接入层两个 层次的安全服务，同时避免了加密和完整性密钥在网络中传输，使系统的安全性 较3 g 系统有了更进一步的改善，但是l t e s a e 系统同3 g 系统一样，仍然采用私 钥密码体制实现系统安全，导致系统面临同3 g 系统相同的密钥管理问题，此外， 系统仍不能提供数字签名服务，系统的安全也远远达不到端到端的安全目标。 1 1 2 移动通信系统中的安全威胁及安全需求 移动通信系统的安全威胁主要来源于通信系统和网络协议漏洞，攻击者可以 利用系统的这种漏洞非法接入网络、非法窃取敏感数据、干扰或滥用网络服务等 等。按照攻击的物理位置，对移动通信系统的安全威胁可分为对无线链路的威胁、 对服务网络的威胁和对移动终端的威胁【l ，主要表现为以下几种威胁方式。 非法窃听：在无线链路或者是服务网络上非法窃听用户数据以及网络信令信 息； 伪装：攻击者通过产生一个虚假的信息流，伪装成一个合法用户接入网络获 取网络服务，或者是伪装成网络单元骗取合法用户接入以截取合法用户数据、信 令数据等； 流量分析：攻击者对链路中消息的时间、速率、源及目的地等信息进行分析， 从而判断用户位置或了解重要的商业交易是否正在进行； 重放攻击：攻击者通过重传截获的某通信信息流，参与正常的通信过程， 以产生一个未经授权访问资源的效果，以破坏数据的完整性和有效性； 篡改攻击：攻击者通过篡改合法通信信息流的某一部分，或者改变消息的传 输顺序，甚至是删掉消息的某一部分，破坏数据的完整性和有效性，以达到攻击 者期望的结果。 否认：用户否认数据来源及接收过其他业务信息，或者是网络否认提供的网 络服务； 拒绝服务：攻击者通过干扰通信信道，中断正在进行的网络通信或者降低网 络信道性能，破坏通信系统的可用性： 通信过程中传输的信息可能直接关系到用户或者是业务提供商的利益，但是 人们又希望能够随时随地利用开放的通信信道传输各种信息，为了能够在开放的 通信环境中安全地传输用户信息，人们对移动通信系统提出了各种各样的安全需 2 求： 用户身份的匿名性：用户身份的匿名性可以减少用户受攻击的可能性。 身份认证需求：就是指通信双方能够鉴别对方的身份，以确保数据的可靠性 和真实性。采用单项认证的第二代移动通信系统己经曝露出很多的安全漏洞，随 着通信技术的发展，移动增值业务应用的不断多样化，单向的认证技术显然不能 满足系统安全性的需求，安全和高效的双向认证技术将是移动通信系统安全技术 发展的核心内容。 保密性需求：在开放的通信网络环境中，保密性是人们对通信系统的首要需 求。保密性是指在没有专门的保密通道的情况下，保证消息在传输过程中，不会 被未授权的第三方所阅读。 完整性需求：与真实性需求不同，完整性是是针对数据的有效性提出的，完 整性要求保证消息在传输过程中没有冗余、篡改、插入、重放或者伪造等，保证 发送端和接收端数据的一致性。 不可否认性：也称为抗否认性、不可抵赖性等。为了能够保证通信各方对自 己行为的承诺，防止发送方或接收方抵赖发送和接受过消息。 端到端的安全服务：随着通信网络技术的飞速发展，移动电子商务、手机购 物、手机银行等新型的移动增值业务受到了广大用户的青睐，但是这些新型业务 的顺利开展需要系统必须有完善的安全保障措施，能够提供端到端的保密性、完 整性以及数字签名等等，而现有的移动通信系统安全均是一种分段式的安全传输， 即接入网与核心网络安全分开实现，显然不能满足新型增值业务端到端的安全需 求。 移动通信网络安全是一个永恒的研究课题，只有不断地探索新技术和新算法， 才能为用户营造更加安全的通信环境，给用户以足够的信心使用各种移动业务。 1 2 本文研究意义 随着移动通信技术的飞速发展，以及移动通信系统与互联网的不断融合，移 动通信系统己经从最初的只能提供语音业务，发展到在g p r s 等系统中提供的低 速率数据业务，进而演进到第三、四代移动通信系统提供的丰富的高速率数据业 务。在人们尽情享受移动通信带来的便利的同时，移动通信系统的安全问题也越 来越多地引起人们的注意。 移动通信系统发展至今，系统安全机制经过不断的改进和完善，系统的安全 性在不断的提高，但是现有的移动通信系统仍然存在如下安全风险： 不能为用户或者业务提供商提供端到端的信息安全传输服务，无法满足移 3 动电子商务，电子贸易等新型移动增值业务安全需求； 由于受到终端处理能力和网络资源的限制，系统安全均采用私钥密码体制 实现，导致系统在密钥管理和身份认证方面将面临巨大的压力，系统安全 性不高； 系统机密性及完整性保护算法强度不高； 不能提供数字签名服务，无法抵御通信抵赖行为； 随着三网融合进程的不断推进，未来整个通信网络将变得更加灵活和开放， 移动电子商务、电子贸易等高安全需求的新型移动业务将得到广泛的应用，这些 新型业务的开展对通信系统安全提出了更高的要求，现有的移动通信系统安全显 然无法满足用户的安全需求，因此迫切地需要为用户及业务提供商提供一种更加 安全的通信模式。 在信息安全研究领域中，端到端保密通信是通信中最高级别的保密通信形式， 适用于电子商务、电子贸易等对通信安全有严格要求的场合，可实现从发送端到 接收端全程保密通信。因此针对现有移动通信系统的业务安全需求，对移动通信 网络中的端到端的信息安全传输系统关键技术研究具有非常重要的意义。 1 3 本文研究内容及结构 本文的主要目的是对移动通信系统中端到端的信息安全传输系统关键技术进 行研究，针对现有移动通信系统所面临的安全威胁以及移动业务安全需求，将公 钥密码体制与私钥密码体制相结合，对端到端的安全体系中的认证和密钥协商协 议、数据保密性和完整性及数字签名技术进行研究。由于认证与密钥协商协议是 端到端安全传输系统的核心组成部分，因此本文重点对基于椭圆曲线密码体制的 认证和密钥协商协议进行设计，并运用形式化分析工具s v o 逻辑对所设计的认证 与密钥协商协议进行安全性分析，从而确保设计的认证和密钥协商协议是安全的。 本文的主要工作体现在三个部分：一是分析和总结2 g 移动通信系统、3 g 移 动通信系统、l 1 陋s a e 系统安全技术及其存在的安全问题；二是在分析建立无线 公钥基础设施的可行性基础上，提出了基于椭圆曲线公钥密码体制的用户与网络 认证协议和端到端的认证与密钥协商协议，同时结合高级加密标准为用户数据提 供机密性、数据完整性以及数字签名服务等，最后运用著名的s v o 逻辑分析工具 对所设计的剐队协议安全性进行验证。 本文的主要成果包括： 。 1 本文提出了基于椭圆曲线密码体制的用户与网络认证协议和端到端的认证 与密钥协商协议，并运用s v 0 逻辑对该协议的安全性进行形式化分析，证明了该 4 协议是安全的。 2 将公钥密码体制便于密钥分配和管理的优点与私钥密码体制加密速度快的 优点有机结合，为端到端的用户信息安全传输提供更高效的安全保障，同时基于 椭圆曲线密码系统对信息的传输提供数字签名服务。 本文共分为五章，各章节主要内容如下： 第一章绪论，主要介绍论文的研究背景、研究意义以及论文结构。 第二章移动通信系统的安全机制分析，分析现有移动通信系统的安全技术以 及其存在的安全缺陷和漏洞。 第三章端到端的安全传输系统关键技术研究，在分析将公钥密码体制应用于 移动通信系统的可行性基础上，给出了一套完整的端到端的信息安全模型，包括 了基于椭圆曲线密码的端到端的认证与密钥协商协议设计、加解密算法研究、数 据完整性算法研究以及数字签名算法研究。 第四章基于s v o 逻辑的认证与密钥协商协议分析，运用安全协议形式化分析 工具s v o 逻辑对本文提出的认证与密钥协商协议进行分析，从而确保该协议是安 全的，能够达到预期的设计目标。 第五章为总结与展望，对本论文中的工作进行总结，并对未来还要继续开展 的研究工作进行展望。 5 2 移动通信系统的安全机制分析 纵观移动通信网络的发展历程，移动通信网络安全机制随着用户需求的不断 增长在不断地完善，但是由于受到移动终端处理能力和网络资源等多方面条件的 限制，移动通信网络安全技术发展至今仍然存在很多安全风险，本章节将对现有 的移动通信系统安全机制及其存在的安全风险进行详细的分析。 2 1g s m 移动通信系统安全机制分析 2 1 1g s m 系统的认证和加密机制 目前在我国广泛应用的2 g 移动通信系统( g s m ) 的安全技术主要以认证与密 钥协商协议( a u 廿1 e r n i c a t i o na n dk b y a g r e e i i l e n t ，a k a ) 和无线链路数据加密为主， 同时也提供了用户身份匿名性保护。采用三种安全算法，分别是认证算法彳，、加 密密钥生成算法彳。和加密算法彳；【2 s 】。以独立的用户s 蹦卡作为安全模块，管理 用户的鉴权密钥置、国际移动用户标识蹦s i 对以及彳，和彳。运算，彳；运算则在终 端上实现，极大地增强了系统的安全性。图2 1 描述了g s m 系统安全机制。 图2 1g s m 认证和加密机制 f i g t l 陀2 1g s ms e c u r i 锣m e c h 锄i s m 6 j 匕窟銮道太堂亟堂焦i 金塞整动通值丕统的塞全扭剑盆逝 g s m 系统采用挑战响应机制进行认证，认证过程中采用三元认证向量组 彳y = 尼4 肋i | x 陋，i | 置。首先，当网络需要对用户进行认证时，由h e 小u t 生 成认证向量彳y = 兄4 彻l i 嬲五。并发送给m s c 肌r ；其次，m s c l r 将认 证向量爿y 中的见4 彻作为挑战发送给m s ，m s 把见4 彻和s 蹦卡中存储的秘密 密钥五作为认证算法彳，的输入，计算认证响应值尬譬并发送给m s c l r ；最后， m s c u t 比较尬譬和x 础强，如果二者相等，则认证成功，否则拒绝用户的业 务请求。 在认证通过的基础上，m s 运用彳。算法对五和见4 d 进行运算得到加密密钥 五。加密通信过程中采用了加密算法以对用户数据进行加密，彳；加密算法有两 个输入参数，一个是加密密钥五。，一个是t d m a 的帧序列号，将彳；算法输出的 密钥流与明文信息进行异或运算生成密文信息，在接收端进行同样的操作，即可 将密文信息还原成明文信息，实现了用户数据和网络信令信息的保密性。 2 1 2g s m 系统的安全性分析 g s m 系统采用数字加密技术为无线链路数据传输提供机密性保护，同时还采 用了挑战响应机制对用户身份进行认证，系统的安全性有了进一步的提高，但是 系统仍然存在很多安全漏洞和缺陷： l 、认证只是单向的网络对用户的认证，用户不能对网络进行认证，无法防御 假基站攻击； 2 、没有提供数据完整性保护，无法保证用户数据在链路中传输的完整性。 3 、用户在第一次注册或者是由于某种原因而无法恢复肼s i 时，会以明文的 形式将v i s i 传输到m s c 1 v i ，r ，存在易被截获的威胁； 4 、随着g s m 系统中新业务的不断增加，安全问题也变得越来越复杂。如在 通用分组无线业务( g p r s ) 中，由于使用与1 1 1 t 伽喊中相同的设备和协议，来自 i n t e n l e t 的网络攻击也将是系统面临的重大威胁； 5 、加密算法的存在致命的弱点，在1 9 9 8 年，a 5 1 和a 5 2 流密码就被攻破了。 据报道2 0 0 8 年在欧洲召开的“黑帽( b l a c kh a t ) 会议上，研究人员大卫和史蒂夫 表示g s m 的安全系统存在致命的漏洞，并且演示了利用市场上价格低廉的设备和 软件工具在3 0 分钟内攻破g s m 系统的加密技术，而且这一破译时间还有可能进 一步的缩短； 6 、不能提供端到端的信息机密性保护，仅提供了空中无线接口部分的加密功 能，信息在核心网络上仍然以明文的形式传输； 7 、不能提供数字签名服务，无法抵抗通信抵赖行为。 7 目前，国内外还没有一个很完善的方法来解决g s m 系统存在的上述安全问题。 因此，在未来移动通信系统的发展中，仍然需要不断地开展安全技术研究，才能 为用户营造安全的通信环境。 2 23 g 移动通信系统安全机制分析 3 g 移动通信系统的安全技术建立在2 g 系统的安全技术基础之上，在改进2 g 系统存在的安全漏洞的同时增加了新的安全功能，使系统具有更高的安全性，下 面对3 g 系统中的安全防御措施进行介绍。 2 2 13 g 网络的安全体系结构 3 g 系统安全结构中定义了5 组安全特性，每一组安全特性分别针对特定的威 胁完成特定的安全目标【1 2 1 ，如图2 2 示： ( ) 用户应用程序 服务提供商应用程序应用层 ( i ) 归属层 终端俐智能卡i 服 二- lf 瞳 ( i ) l( i ) 广一 务 ( ) l 网络层 ll 网 络 传输层 移动台h 接入网卜 图2 - 23 g 系统安全体系结构 f i g u 2 23 gs 训t ya h i t e c t u ( i ) 网络接入安全：为用户提供安全的3 g 网络接入，防止对无线链路接入 的攻击，包括用户身份保密、实体认证以及数据保密性和数据完整性； ( i i ) 网络域安全：在运营商节点间提供安全的信令数据交换【1 4 1 ，包括网络元 之间的相互认证、交换数据的保密性、数据完整性及数据来源认证； ( i l i ) 用户域安全：提供对移动终端的安全接人，包括用户和s 蹦卡的认证、 s 蹦卡和终端间的认证等。 ( ) 应用域安全：保证用户与服务提供商间在应用层面安全地交换数据。 ( v ) 安全的可视性和可配置性：使用户知道网络的安全性服务是否在运行， 以及它所使用的服务是否安全。 2 2 23 g 网络接入安全 网络接入安全包括用户身份保密、认证与密钥协商、数据机密性和完整性保 护几个方面。用户身份保密主要是通过使用临时身份标识( t m s i ) 代替用户永久 身份标识( 蹦s i ) 识别用户，从而降低用户受攻击的可能性。 2 2 2 13 g 认证和密钥协商协议 认证与密钥协商协议( a u t l l e i l _ t i c a t i o na n dk c ya g r e e i i l e n t ，a k a ) 是3 g 安全 框架的核心内容之一，它是在g s m 系统基础上发展起来的，沿用了挑战响应认 证模式，在最大限度地在兼容g s m 安全机制基础上进行了较大地改进，图2 3 所 示为3 g 系统皤a 协议执行过程【7 1 1 ，1 2 】： 图2 33 g 系统j 吼协议流程 f i g u r ；e2 3a i 妯锄乱撕锄dk 锣鲫e n t f o r3 g 通过a k a 协议实现用户与网络的相互认证以及保密性密钥和完整性密钥协 商，同时还增加了序列号跟踪确保通信双方的认证信息和密钥是新鲜的【1 3 】。川队 协议中采用五元参数的认证向量彳y ；见4 肋嬲nc x 腰彳阴， 彳叨v 表示认证令牌，脚分别表示网络对用户的期望应答响应，见4 彻为随 机数，僭和馏分别表示由舢队协议最终协商的保密性密钥和完整性密钥。剐队 协议大致可分为两个部分： 9 第一部分是用户归属域h 阴u t 向服务网络v 删s g s n 发送认证向量彳y 的 过程。当v l 刚s g s n 接收到移动用户的认证请求时，由r s g s n 向h e h l r 发 起认证向量请求，h e h l r 生成一组认证向量彳y ( 1 ，2 刀) 发送给v l 刚s g s n ， v l 刚s g s n 接收并存储认证向量彳y ( 1 ，2 刀) 。 第二部分是认证和密钥协商过程，v l 剐s g s n 从收到的认证向量组 彳y ( 1 ，2 刀) 中选择一个彳y ( f ) ，将彳y ( f ) 中的见4 肋和彳删、r 发送给用户的 删进行认证。用户收到删彻和彳锄v 后首先计算消息认证码删c ，并验 证删c 与彳叨、r 中的删c 是否相等，如果二者相等，删计算应答信息 尬s 并发送给v l 刚s g s n 。v l 刚s g s n 比较收到的尼啜和x 础强，如果相等则通 过认证，删运用见4 彻和它自身存储的秘密密钥五计算数据保密密钥c x 和 数据完整性密钥厦。 在3 g a k a 协议中，定义了五中算法 一兀，其中 算法用于产生消息认证 码m a c ， 算法用于消息认证中计算期望响应值她s ，兀用于产生加密密钥，兀 用于产生消息完整性密钥，疋用于产生匿名密钥，如图2 - 4 和2 5 所示： s q n x m a c 江! sc ki ka k f i g u 他2 _ 4g 锄e 洲o f a u l l l 既6 c a t i v t o f si nh e m i ，r l o r a n d x r e s c k i km a c 验证s q n 是否有效? l |验证m a c = x m a c ?j 图2 5 u s 刀m 用户认证 f u g u r e2 - 5u s c r 绷m e n t i c a t i o n 缸l 面o ni n 恤u s 蹦 妯认算法为非标准化算法，由运营商与制造商协商确定。 2 2 2 2 接入链路数据保密性 加密密钥协商在a k a 中完成，加密算法协商由用户与服务网间的安全模式协 商机制完成。在无线接入链路上基于 加密算法采用分组流密码对原始数据进行 加密，如图2 6 所示阮1 3 1 ，加密算法有5 个输入参数：密钥序列号3 2 b i t ( c o i 烈t - c ) 、 链路身份指示5 b i “b e a i 通r ) 、上下行链路指示1 b i t ( d 琢甩c t i o n ) 、密码流长度指 示1 6 b i t ( l e n g t h ) 、加密密钥1 2 8 b i t ( c k ) 。 c o i 烈t - cd 眦c 1 1 0 n c o in 盯cd i r e c l r i o n 密钥流 明文_ 0 叫 发送端 密钥流 密文 开放信道叫0 _ 明文 接收端 图2 63 g 系统数据机密性保护 f i g u 代2 - 6c i p h e 血go f u s 盯姐ds i 印a l l i n gd a t a ，f o r3 g 与2 g 系统相比，3 g 系统密钥长度更长，并且加密功能延伸至交换设备，系 统机密性保护强度更高。 2 2 2 3 接入链路数据完整性 在移动通信中，用户和网络间的大多数信令信息是非常敏感的，需要得到完 整性保护。在3 g 中采用了消息认证来保护用户和网络间的信息不被篡改，数据完 整性保护方法如图2 7 所示【1 2 ，1 3 1 。 c o u n t - cd i r e c l l o nc o u n t - cd r i i e c l r i o n 雌c - l 开放信道卜m a g i 发送端接收端 图2 - 73 g 系统数据完整性保护 f i g 哦2 7 n e i n t e 酊锣a 础t e c t u r e f o r 3 g 通过 算法对1 2 8 b i t 完整性密钥值、消息( m e s s a g e ) 、3 2 b i t 密钥序列号 ( c o i 烈t - c ) 、1 b i t 上下行链路指示( d i l 也c t l 0 n ) 以及3 2 b i t 随机数( f r e s h ) 进行 运算产生3 2 b i t 消息认证码儿忙i ，将其附加在发送的消息后面。在接收方把收 到的消息用同样的方法计算得到m a c i ，然后与x m a c i 相比较，如二者相同就 说明收到的消息是完整的。 2 2 33 g 网络其它安全服务 3 g 系统除了提供网络接入安全外，还定义了网络域、用户域以及应用域的安 全服务。3 g 系统核心网络是一个基于口的网络架构，在3 g 网络域安全中，通过 将核心网络分为多个安全域，在每个安全域的边界部署安全网关，在安全网关之 间采用i e t f 定义的口s e c 安全协议提供网络域安全服务【1 4 】。p s e c 是一系列为m 网络提供完整安全性的协议和服务的集合，其工作在网络层，能够为上层协议和 应用提供数据机密性、数据完整性等安全服务，由于口s e c 安全协议不是本文研究 的重点，这里不再进行阐述，具体细节可参考文献2 2 中的5 0 9 页至5 4 5 页。 3 g 系统应用域安全是3 g 网络各种业务应用开展的关键，应用域安全特征使 得用户和网络运营者之间的各项应用能够安全地交换信息。3 g 应用域安全实际上 1 2 是用户与应用服务器之间端到端的安全，所以它的安全和传统的端到端的安全要 求类似，用户与应用服务器之间必须首先相互认证与密钥协商，然后用协商好的 会话密钥进行数据的完整性和机密性保护，需要的话，用户也可以对其中的重要 应用进行数字签名。只有实现了3 g 用户与应用服务器之间的端到端安全，诸如电 子商务等安全敏感业务才能得到大规模的实际应用。 用户域安全功能提供对移动终端的安全接人，包括用户和u s m 卡的认证、 u s i m 卡和终端间的认证。用户和u s i m 卡间的认证使用户对u s 蹦卡的访问权限 受限，直到用户通过u s i m 卡认证为止，这样可保证对u s i m 的访问是来自授权 用户或用户群，为了实现这一功能，终端和u s i m 需共享一个储存在u s m 卡中 的秘密信息( 如密码p i n 码) ，用户通过该秘密信息获得访问u s 蹦的权限。u s m 卡和终端间的认证，保证对终端或其它用户设备的接人限制于有权限的u s 蹦，若 u s i m 不能证实自己，则它对终端的访问将被拒绝【l 到。 2 2 43 g 网络安全性分析 3 g 的安全性能远远优于2 g ，不仅协商的加密密钥长度更长，而且还实现了 用户与网络的相互认证，并且增加了数据完整性检验等安全措施，但3 g 仍然存在 一些安全缺陷： l 、没有建立3 g 移动通信系统自己的公钥基础设施。随着3 g 网络技术的不 断发展，现有的网络安全机制很难满足移动电子商务、电子贸易等新型业务的安 全需求。建立3 g 移动通信系统自己的公钥基础设施不仅能够简化用户密钥的分配 和管理，同时还能方面地提供数字签名服务，只有这样才能保证各种移动业务的 顺利开展。 2 、系统只提供了用户对h e h l r 和v l r 对用户的认证，没有用户对v l r 的 认证，导致用户易遭受重定向攻击； 3 、安全机制基于私钥密码体制实现，导致系统存在一些潜在的安全风险，随 着用户数量不断增长，如何实现大量用户的密钥安全管理对3 g 系统将是一个极大 的挑战。 4 、不能提供端到端的信息安全传输服务，尽管3 g 系统将加密功能延伸至交 换设备，并且在核心网链路也采用了相应的安全保护，但用户信息在网络节点设 备上仍然存在明文形式，导致用户信息容易被窃听。 1 3 2 3l 1 1 e s a e 系统安全机制分析 l t e s a e ( l o n g 1 葡 i l ee v o l u t i o i l s y s t e i r a 矧加t o 嘶ee v o l 砸o n ，下一代长期演 进系统架构演进) 是u m t s 的演进，同时增加并改进了u m t s 的空中接入技术。 l t e s a e 系统架构基于分组交换实现，除了提供传统的话音业务外，还提供了诸 如移动电子商务、网上银行及多媒体等高速率数据业务，因此l t e s a e 系统安全 显得尤为重要。 2 3 1l t e s a e 网络安全架构 l t e s a e 系统安全相比3 g 系统有了更进一步的完善、扩展和加强。系统安 全结构中也定义了五种安全特征，网络接入安全、网络域安全、用户域安全、应 用域安全、安全服务的可视性和可配置性【1 5 】，每种安全针对不同的安全威胁完成 特定的安全功能，如图2 8 所示。 图2 - 8 删s a e 系统安全结构 f i g u r e2 8 i t e s a es e 饥r i t ya r c b j t e c t i 】 由图可以看出l t e s a e 网络的安全架构和3 g 系统的安全架构基本相似，不 同的是在移动终端与服务网络之间增加了非接入层安全服务，即在接入网与服务 网络之间也需要进行安全保护，同时还增加了服务网络认证的概念，即h e 与服务 网络之间的单向箭头变成了双向箭头。 2 3 2l t e s a e 网络接入安全 网络接入安全为用户提供安全接入网络获取服务，包括用户身份匿名性保护、 认证与密钥协商、链路数据保密性及完整性保护等。 1 4 2 3 2 1 删s a e 网络认证和密钥协商 在l t e s a e 系统中沿用眦s 中可信的认证和密钥协商的信令流程，继承 了u m t s 中五元组认证机制的优点【1 6 】。l t e s a e 系统与3 g 系统在m m s l 接收到连接请求响应消息( 7 ) 后，解密并验证瓦、签名 勉肘：= s m ：( ( q ：1 iq l ：) ) 和m s 2 公钥证书疗腑的有效性，验证通过则创建连接 确认消息 汜。：i l q ：。) 发送给m s 2 ，其中q ：= 五箸q ：，q l ：= 墨置嚣。 ( 9 ) v l r l v l r 2 ： 佗1 2 i i q 2 1 ) i i ( 五) v l 且1 接收到连接确认( 8 ) 后，将摘要值 ( 瓦) 和消息( 8 ) 一起发送给展2 。 ( 1 0 ) v l r 2 - m s 2 ： 佗1 2 i i q z i ) v u 也接收确认消息( 1 0 ) 后，验证 ( 正) 是否正确，验证通过后将连接确认 消息j i l 他：l i q ：1 ) 发送给m s 2 ，m s 2 接收并验证消息们，q 。：0 q 2 1 ) 的正确性，如果验证 通过，则m s l 与m s 2 完成了相互的认证过程。 在完成相互的认证后，m s l 与m s 2 之间协商加密密钥 伍= 晨l q 2 = 只2 q l = 墨足2 g ，完整性保护密钥为厦= q 1 2 + q 2 l 。此后， m s l 与m s 2 之间将以此协商密钥对通信内容进行机密性和完整性保护，v l r l 和 ，r 2 只需要转发信息，而不需要对信息进行解密或者其他操作，从而实现了一个 跨域的端到端的认证和安全通信方案。而对于同属一个v l r 的用户之间的端到端 的认证与密钥协商类似，这里不再赘述。 3 4 2 端到端舢认协议安全性分析 通常端到端的会话密钥由一个具有权威性的第三方机构产生并分配给通信用 户，这种方法虽结构简单，但密钥的生成及密钥的安全性依赖第三方，这对第三 方机构提出了很高的要求。本文提出的认证与密钥协商协议由通信双方独立完成， 其间不需要第三方的参与，因此协议结构简捷，安全性高，执行效率快。 协议基于用户的数字公钥证书实现通信双方的相互认证，因为数字公钥证书 是经过认证中心c a 签名的，是不可伪造的，同时用户还运用自己的私钥对消息进 行签名，一方面保证了信息是来自真正的发送方，另一方面还能保证信息的完整 性及不可否认性，协议执行完成后，通信双方有理由相信通信对方是真实的。 每次认证与密钥协商过程结束后，协商密钥c x 和厦由通过通信双方m s l 和 m s 2 间安全参数冠和足来确定的，冠和心是m s l 和m s 2 在认证时随机产生的， 并且不在网络中传输，在网络中传输的是q ，和q ：，攻击者想要从q ，和q ：中恢复 冠和罡，攻击者需要解决椭圆曲线离散对数问题，而这几乎是不可能的，因此能 够保证协商的加密密钥c 署= 震。x 足：x g 和完整性密钥厦= q 2 l + q 1 2 是新鲜的、安 全的，能够保证一次一密安全需求。 在协议的每次交互中，都加入了时间戳信息，能够保证信息的时效性，能有 效抵抗重放攻击。 能够有效抵抗中间人攻击。假设攻击者拦截了q l ，并对消息进行了修改，但 是由于攻击者不能伪造m s l 用来签名的私钥，导致在m s 2 验证签名不正确时会终 止认证，就算攻击者侥幸通过m s 2 的签名验证，在接着的认证请求响应消息中， 攻击者首先不能伪造i l ( q 2 。i iq l ：) ，其次是不能伪造m s 2 的