（计算机应用技术专业论文）3g移动通信系统中基于认证测试的eapaka协议研究.pdf

摘要 摘要 第三代移动通信系统( 3 g ) 是一个在全球范围内覆盖与使用的网络系统，它向用 户提供高质量多媒体通信，不仅支持传统的话音与数据业务，还支持交互式业务 与分布式业务，如多媒体业务、电子商务等，这种全新的业务环境对网络系统的 安全性提出了更高的要求。 本文着重研究了第三代移动通信系统中e a p a k a ( e x t e n s i v ea u t h e n t i c a t i o n p r o t o c o la u t h e n t i c a t i o na n dk e ya g r e e m e n t ) 协议，用串空间理论基础上建立的认证 测试方法来验i a q ：e a p a k a 协议在终端( p e e r ) 和e a p 服务器端认证的正确性。 首先研究了3 g 系统对认证协议的安全需求，描述了3 g 通信系统的安全体系结 构和安全原则以及针对系统的攻击方法，详细分析了3 g 鉴权和认证过程。然后， 分析了3 g 系统对认证协议的安全需求和认证协议面临的安全威胁；详细分析了 e a p a k a 协议的流程和安全性，通过改变密钥长度改进e a p a k a 协议，利用串空 间理论和认证测试的形式化验证方法；最后，在上述分析的基础上利用认证测试 的形式化方法证明了e a p a k a 协议在终端和e a p 服务器端可以实现相互的安全认 证，证明了该协议在w l a n 环境下为移动终端和3 g p p 服务器端实现安全的身份认 证和密钥分发服务。 关键词：3 ge a p a k a 认证测试 a b s t r a c t a b s t r a c t t h e1 1 1 i r dg e n e r a t i o nm o b i l ec o m m u n i c a t i o ns y s t e m ( 3 g ) i sag l o b a lc o v e r a g eo f t h en e t w o r ks y s t e mw h i c hi su s e dt op r o v i d eh i g h q u a l i t ym u l t i m e d i ac o m m u n i c a t i o n s t ou s e r s ，n o to n l yt os u p p o r tt h et r a d i t i o n a lv o i c ea n dd a t as e r v i c e s ，b u ta l s os u p p o r t i n t e r a c t i v es e r v i c e sa n dd i s t r i b u t e ds e r v i c e s s u c ha sm u l t i m e d i as e r v i c e sa n d e - c o m m e r c e ，t h i sb r a n d - n e ws e r v i c ee n v i r o n m e n ts e tah i g h e rr e q u e s tt on e t w o r k s y s t e m ss e c u r i t y t 1 1 i sd i s s e r t a t i o nf o c u s e so nt h ee a p a k a ( e x t e n s i v ea u t h e n t i c a t i o np r o t o c 0 1 a u t h e n t i c a t i o na n dk e ya g r e e m e n t ) o ft h et h i r dg e n e r a t i o nm o b i l ec o m m u n i c a t i o n s y s t e m s w i t ht h ea u t h e n t i c a t i o nt e s tm e t h o db a s e do nt h et h e o r yo fs t r a n ds p a c et o v e r i f yt h ec o r r e c t n e s so fe a p - a k ap r o t o c o li nt h ep e e ra n de a ps e r v e r f i r s t l y , 3 g m o b i l ec o m m u n i c a t i o ns y s t e ms e c u r i t yp r i n c i p l e s ，o b j e c t i v e s ，r e q u i r e m e n t sa n df a c i n g s e c u r i t yt h r e a t sa r ei n t r o d u c e d ；ad e t a i l e da n a l y s i so fa3 gm o b i l ec o m m u n i c a t i o n s y s t e ms e c u r i t ya r c h i t e c t u r e ，s e c u r i t yf e a t u r e so fi t sf i v eg r o u p st ot h es e c u r i t yo f r e s e a r c h ai n d e p t ha n a l y s i so ft h e3 g ss e c u r i t yf e a t u r e so nt l l e3 ga c c e s sn e t w o r k a u t h e n t i c a t i o nm e c h n i s m ，d a t ac o n f i d e n t i a l i t ym e c h n i s ma n dd a t ai n t e g r i t ym e c h a n i s m a r ec a r r i e do u t ，t h e s ea l g o r i t h m so rp r o t o c o l sw h i c hr e a l i z i n ga b o v em e c h n i s m sa l e d i s c u s s e dt o o s e c o n d l y ，t h e3 gs y s t e ms e c u r i t yr e q u i r e m e n t so fa u t h e n t i c a t i o n p r o t o c o la n da u t h e n t i c a t i o np r o t o c o lf a c i n gs e c u r i t yt h r e a t sa r ep r e s e n t e d ；ad e t m l e d a n a l y s i so ft h ee 姆一a k aa g r e e m e n tp r o c e s s e sa n ds e c u r i t yi sc a r r i e do u t 。f i n a l l y , o n t h eb a s i so ft h ea b o v ea n a l y s i s ，a u t h e n t i c a t i o nt c s tm e t h o di s a p p l i e do nt h e v e r i f i c a t i o no fc o r r e c t n e s so fe a p a k ab o t hi nt h ep e e rs i d ea n de a ps e r v e rs i d e k e y w o r d ：3 ge a p - a k aa u t h e n t i c a t i o nt e s t 西安电子科技大学 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容外，论文中不包 含其它人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 日期：洳鸳。至，翌 关于论文使用权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果署名单位仍然为西安电子科技大学，学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在 解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名： 导师签名： 日期：乏塑：芝：篁 日期：2 盟上五g 第一章绪论 第一章绪论 1 13 g 移动通信系统的发展背景 现代科学技术和经济的飞速发展，使全球社会同益成为一个相互影响、紧密 相依的有机整体。人类对于通信技术研究和开发也提出了更高的要求一任何时间、 任何地点、任何人之间能够以任何方式进行信息交流。现代通信技术，尤其是移 动无线通信技术以其灵活、便捷的特点符合了现代社会人们对通信技术的要求。 移动通信技术从二十世纪八十年代开始，经历了第一代模拟通信技术、第二代数 字通信技术以及2 5 代的g p r s 系统，至今己经发展到第三代。 第一代系统( 1 9 8 5 年) 主要以模拟技术为基础，采用频分多址( f d m a ) 接入方 式，其中具有代表性的系统有美国的a m p s 、英国的t a c s 、北欧的n m t 等。蜂窝 化的系统设计方案解决了公用移动通信系统的大容量要求和频谱资源受限的矛 盾。虽然模拟蜂窝系统取得了巨大的成功，但也存在些问题：频谱效率较低； 业务种类单一；模拟系统干扰严重；模拟系统保密性较差。因此各国很快着手第 二代数字蜂窝移动通信系统的开发。 9 0 年代初，以t d m a 为基础的数字蜂窝移动通信系统( g s m d a m p s i d c ) 相继 投入使用，基于数字调制方式的2 g 网络系统采用了时分多址( t d m a ) 和码分多址 ( c d m a ) 的接入方式，并采用独立信道传送信令，使系统性能大为改善。基于t d m a 的两个典型移动通信系统是北美的i s 5 4 系统和欧洲的g s m ( g l o b a ls y s t e mf o r m o b i l ec o m m u n i c a t i o n s ) 系统。t d m a 数字蜂窝移动通信系统i ：i , f d m a 蜂窝移动通 信系统有许多优势：频谱效率高、系统容量大、保密性能好、话音质量好等等，但 t d m a 方式仍存在系统容量不理想及越区切换性能不完善的缺点。为克服t d m a 和f d m a 两种多址方式的缺点，北美推出了i s 一9 5 c d m a 数字移动通信系统。 i s 9 5 c d m a 系统以其频率规划简单、系统容量大、频率复用系数高、抗多径能力 强、通信质量好、软容量等特点显示出巨大的发展潜力。 我国目前的蜂窝系统有两种，一种采用欧洲的g s m 系统，另一种采用北美的 窄带c d m a 系统。g s m 系统( g l o b a ls y s t e mf o rm o b i l ec o m m u n i c a t i o n ) 发展较早，最 初为欧洲标准，随着该系统在全球的广泛应用，其含义已成为全球移动通信系统。 g s m 系统具有标准化程度高、接口开放等特点，强大的联网能力推动了国际漫游 业务，用户识别卡的应用真正实现了个人移动性和终端移动性。2 5 代是在第二代 数字系统上发展而来的，2 5 代有三种技术，一般使用的是通用分组无线业务( g p r s 三3 g 移动通信系统中基丁认证测试的e a p a k a 协议研究 g e n e r a lp a c k e tr a d i os e r v i c e ) 技术，速率为5 6 k b s 蛰 1 7 1 k b s ；另外还有g s m 增强数 据速率( e d g ee n h a n c e dd a t ar a t e sf o rg s me v o l u t i o n ) 技术，速率为3 8 4 k b s ；还有 高速电路交换数据( h s c s dh i g h s p e e dc i r c u i ts w i t c h e dd a t a ) 技术。 g p r s 是g s mp h a s e 2 + 技术。它首次在g s m 网络中引人分组交换模式，将无线 数据通信与数据网络的融合推进了一大步，这在无线资源希缺的情况下显得尤为 重要。在电路交换方式下，在整个通信连接期间，用户无论是否传递数据都将占 用无线信道。在分组交换方式下，只有当用户收发数据时才占用信道，这使得用 户可以高效率地共享同一无线信道。由于共享信道，分组方式的计费是以数据量 为主要依据的。从1 9 9 7 年开始，由于第二代移动通信系统的巨大成功，用户的高 速增长与有限的系统容量和有限的业务之间的矛盾逐渐明显，第三代移动通信的 标准化工作逐渐进人实质阶段。在网络用户数量急剧增长，频率资源日益紧张， 用户要求提供更多类型和更高数据速率业务( 如移动视频、数据等多媒体业务) 的情 况下，i m t 2 0 0 0 要求第三代移动通信网络能提供更大的容量、更高的通信质量， 并支持大于2 m b p s 的数据业务，以满足人们对多媒体通信的要求，并适应通信个人 化的发展趋势。 正在深入研究和逐渐部署的第三代移动通信网，区别于现有的第一代和第二 代移动通信网的主要特点包括： ( 1 ) 支持全球无缝漫游，2 g 网络一般是区域性或国家性的，而3 g 网络在全球 范围内覆盖和使用，i t u 将完成扩展频谱的规划，全球统一标准： ( 2 ) 支持多媒体业务，特别是支持i n t e r n e t 接入服务，现有的移动通信网络主要 承载话音业务，随着技术的发展，也仅能提供速率受限的数据业务，g s m 演进到 最高阶段的速率可支持3 8 4 k b p s ，而3 g 网络的业务能力将比第二代有明显的增强， 能够支持宽速率变化范围的、话音到分组数据的多媒体业务； ( 3 ) i m t 2 0 0 0 要求3 g 网络的无线传输技术最低必须满足快速移动环境下最高 速率达4 4 k b p s ，室内环境下最高速率达3 8 4 k b p s 及室外到室内或步行环境下最高速 率达2 m b p s ： ( 4 ) 便于过渡和演进，3 g 网络的引入一定要能在己具有相当规模的2 g 网络的基 础上灵活演进，并能很好地兼容和互通固定网；高频谱效率和服务质量、低成本、 高保密性。 第章绪论 厂n 一_ 幽li3 g 通信系统网络结构 在经过几年的技术评估、研究分析及大量的协调和融合工作之后，在1 9 9 9 年 底1 t u t g 8 1 1 最后一次会议l 通过了i m t 一2 0 0 0 的无线接口技术规范，这标志着第三 代技术的格局己最终确定，它分为c d m a 和t d m a 两大类共五种技术，其中主流 技术为以下三种c d m a 技术：w c d m a 、c d m a 2 0 0 0 和t d s c d m a ：i m t - 2 0 0 0 c d m a - d s ( i m t 一2 0 0 0 直接扩频c d m a ) ，即w c d m a 。此技术在一个宽达5 m 的频带 内直接对信号进行扩频：i m t 2 0 0 0 c d m a m c ( r a t 一2 0 0 0 多载波c d m a ) ，即 c d m a 2 0 0 0 。这是美国提出的技术，由多个12 5 m 的窄带直接扩频系统组成的一个宽 带系统：i m t - 2 0 0 0 c d m at d d ( 时分双工c d m a ) ，目前包括t d s c d m a ，其中 t d s c d m a 是我国提出的技术。 第一代模拟移动通信系统基本上没有考虑安全问题，信息在系统的空中接口 与核心网络上以明文方式直接传输。因此，1 g 系统对窃听攻击具有脆弱性。尤其 在空中接口或者称为无线网段窃听和拷机现象十分严重，以至于影响到系统的正 常运行。由于存在安全隐患，第一代移动通信产品的销售和使用受到阻碍。 为了提高1 g 系统的安全性能和通信质量，2 g 系统引入数字技术，数字技术在 语音传输和安全性能方面的优越性皱人们普遍认可和接受。因此在九+ 年代2 g 系 统大获成功，并一直沿用至今典型的系统有g s m 系统和基于c d m a 的i s 9 5 系统等 2 g 系统在设计之初将安全问题作为一个专题进行研究，提出了相应的安全框架研 究的重点放在对空中接lj 的保护上，使其达到至少与有线嘲相同的安仝级别。它 所提供的安全特性主要包括数据保密性，用户身份保密性和嘲络对用p 的单向认 证在核心网段又称为宵线网段。2 0 系统采用专网形式当时认为在专网上传输明 文数据不是一个大的安全问题。因此有线网段没响对信息进行加密保护。网络通 一 一 一4 3 g 移动通信系统中基于认证测试的e a p a k a 协议研究 信实体之间采用默认的信任关系。 1 23 g 系统协议安全性研究现状 第三代移动通信系统( 3 g ) 是一个在全球范围内覆盖与使用的网络系统，它集 有线、蜂窝和卫星通信于一体，向用户提供高质量多媒体通信。信息的传输既经 过全开放的无线链路，亦经过开放的全球有线网络；同时，在第三代移动通信系 统中，不仅支持传统的话音与数据业务，还支持交互式业务与分布式业务，如多 媒体业务、电子商务、电子贸易、网上银行，以及互联网服务等多种信息服务。 这样一来各种机密的、敏感的、隐私的数据传输量会大大增加，这种全新的业务 环境便对网络系统的安全性提出了更高的要求。因此，3 g 系统除了满足传统语音、 数据业务的安全性保障之外，还应该能够为其新业务提供相应的安全特征。这些 新业务安全特征主要有：用户信息不被窃听或盗用；网络提供的资源信息不被滥用 或盗用；安全特征应充分的标准化保证至少有一个算法是全球标准化；安全等级 高于目前的移动网或固定网的安全等级：安全特征具有可扩展性。 在第三代移动通信系统中，终端设备和服务器网问的接口是最容易被攻击的 点，所以如何实现更加可靠的网络接入安全能力，是3 g 系统安全方案中至关重要 的一个问题。它主要包括：u s i m 卡接入网络的安全，即用户与网络间的双向身份 认t i e ( 或称鉴权) ；以及信息在终端和网络间的安全传输，即数据的完整性保护和机 密性保护。作为呼叫建立过程的一部分，身份认证和密钥协商协议在其中扮演着 举足轻重的角色。如果身份认证和密钥协商协议出现安全漏洞，整个会话就没有 安全性可言，还会危及随后会话的安全性。 3 g 与w l a n 互连是指w l a n 终端用户使用3 g 系统的资源和接入服务，互连的 目的就是把3 g 系统的服务和功能扩展到w l a n 接入环境，从而使w l a n 有效地成 为3 g 系统的补充无线接入网络。w l a n 的优势在于极高的接入速率，但覆盖范围 有限。而3 g 系统有较大的覆盖能力，但是接入速率较低。因此，结合两者的优点 进行网络建设已经成为大势所趋。 串空间模型l i ( s t r a n ds p a c em o d e l ，简称s s m ) 是t h a y e rf h b r e g a ，h e r z o g 和 g u t t m a n 等人在1 9 9 8 年提出的安全协议分析模型，它借助图论的方法描述协议的 执行过程。协议主体的行为序列构成s t r a n d ，而s t r a n d 空间则是所有s t r a n d 的集合； 不同协议事体的串之间通过消息数据的收发相互关联从而形成簇( b u n d l e ) 。在簇的 基础上，不同节点之间的偏序关系使得存在极小元，从而又产生了一种类似于归 纳法i i 驯的协议安全性的证明方法。串空间模型能够准确描述协议执行过程中事件 的先后顺序关系，为研究人员提供了一种全新的协议分析方法，但是它主要用于 协议j 下确性的证明，研究人员无法应用它来查找协议中存在的漏洞，并进一步获 第一章绪论 取为何存在漏洞以及如何进行改进等方面的有用信息。 认证测试是在串空间模型的基础上发展而来的一种基于挑战响应概念的协 议分析技术。它的基本思想是，如果协议的一个主体发送了包含某个特定值a ( 明 文或者密文形式) 的消息，并在之后收到改变了形式后的a 值( 被加密或者解密) ， 那么可以肯定存在一个持有相应密钥的普通协议主体参与了该协议的执行。在文 献【2 0 】中，对应于挑战方响应方对值a 不同的加解密处理，作者g u t t m a n 和t h a y e r f h b r e g a 将认证测试划分为3 种类型：i n c o m i n gt e s t ( i t ) ，o u t g o i n gt e s t ( o t ) 和 u n s o l i c i t e dt e s t ( u t ) 。a t 概念提供了简洁、强大的协议分析能力，并且能够应用 于安全协议的设计【2 l 】；但是，与串空间模型一样，它对协议不正确的判断基于串 参数的不一致性，而如何判断参数的不一致并没有提供明确而可行的分析方法。 1 3 本文主要工作和章节安排 移动通信网络现在应用范围广泛，成为社会生活中重要的组成部分，其安全 性直接影响客户和运营商的切身利益，以及市场经济秩序。2 g 网络虽然商业运行 很多年，但还是存在很多安全缺陷，3 g 网络是一个崭新的系统，针对层出不穷的 新的数据业务，对数据安全性提出了更高要求。3 g 系统被提出来十多年了， 目 前才在少数国家展开试运营，但从其前景来看具有极大的发展空间。所以研究移 动通信网络安全策略不仅具有商业意义，同样具有重大的国家信息安全意义。 希望通过分析和研究目前移动通信网络安全所面临的主要威胁，以及现有卞 要安个策略的缺点和漏洞，结合密码学和安全协议等方面的知识，提出一些安全 强度更高的安全策略，来实现用户的身份和接入的安全以及无线通信中信息的保 密。 从3 g 网络的安全目标，整体安全原则分析出发，结合认证协议和基于串空间 理论的认证测试等协议理论分析知识，重点研究了e a p a k a 协议的流程、安全 性分析和基于认证测试的形式化分析过程。各章安排如下： 1 第一章绪论。介绍了移动通信系统发展的历程，指出通信的安全问题越 来越成为突出的问题。 2 第二章主要研究了3 g 系统对认证协议的安全需求，具体分析了认证协 议的运行环境和面临的威胁以及典型的认证协议攻击方法；描述了3 g 通 信系统的安全体系结构和安全原则以及针对系统的攻击方法；详细分析了 3 g 鉴权和认证过程 3 第三章3 g 移动通信系统的认证和密钥分配( a k a ) 协议过程分析和安 全性研究，；分析了e a p a k a 协议的流程和安全性分析；引入了基于串 空间理论和消息类型构建的改进型认证测试方法用来分析e a p a k a 认 垒3 g 移动通信系统中基于认证测试的e a p a k a 协议研究 证过程。 4 第四章针对其中的e a p a k a 方案中密钥的长度是固定的，容易被攻击 提出了使其成为变长密钥，另j l - 弓l 入参数。从而增强认证过程的抵抗攻击 的能力；用形式化的方法证明了e a p a k a 能够完成对等端主体和e a p 服务器之间的双向身份认证和密钥分发。 5 第五章结束语。 1 4 本章小结 本章从移动通信系统的发展历程讲起详细讲述了移动通信技术从第一代模 拟通信技术、第二代的数字通信技术和第三代的移动通信技术；讲述了3 g 移动 通信系统安全性研究现状，引出本文的主要背景安全知识。 第：一：章3 g 移动通信网络的安全体系结构 2 1 1 引言 第二章移动通信系统的认证协议 2 1 移动通信系统的认证协议 7 一 通信安全性对终端用户和运营商一样重要，当移动用户通过通信网络安全地 建立起呼叫时，问题可以归结为如何j 下确地使用加密算法来提供所需的安全服务， 其中最关键的问题是如何设计一个认证和密钥管理协议集成到呼叫建立过程中， 认证过程作为安全通信的开始在保密通信系统中有着重要的地位和作用。认证协 议安全性能的好坏将直接影响到整个会话过程的安全性，以及后续会话的安全性。 在2 g 系统中由于电信网络主要由几个大机构掌管电信网络以专网形式为客户 提供服务，一般用户都默认服务网是真实可靠的，所以当时认为系统只要提供用 户对网络的单向认证就足够了。随着技术的发展和需求的增加，到了3 g 时代，电 信网络朝着全i p 网络结构的方向发展，逐渐与i n t e m e t 相融合。随着电信网络提 供服务的多样化。针对服务网络的攻击也会相应增多，假冒服务网以窃取用户的 机密信息，或者假冒竞争对手网络为自己的服务网扩大用户群的行为，使得用户 对网络的信任程度降低。传统的默认信任方式不再适用。用户要求对网络的真实 性进行认证。从而确保双方的利益均不受损害。因而在3 g 系统中提出了双向认证 的安全要求。 此外新应用的出现提出了新的安全需求，它们的成功实现均需要通信网络支 持新的安全特性，其中最主要的应用是增值服务v a s ( v a l u e a d d e ds e r v i c e s ) ，v a s 的大量出现要求移动用户可以拥有在线电子支付功能。为了精简系统丌销有的协 议将认证功能与在线支付功能集成在一个协议中完成。 为了适应新的应用环境，设计新的认证协议在所难免，但是要设计一个好的 认证和密钥分配协议并不是一件容易的事，从已发表的大量的协议中可以看出这 一点：许多协议都存在缺陷一般地协议发表后几年内，协议的漏洞就会被发现在 移动通信环境下由于具有特殊的限制和要求使得设计协议变得更加困难。有许多 作者提出了各种各样的针对无线移动通信的认证与密钥分配协议。它们有各自的 设计目标和安全侧重点，这使得人们很难比较选择适合他们需求的协议。 本节从移动通信系统对安全的需求着手论述在认证与密钥分配领域中安全协 议需要满足的基本要求，其中有的需求在现有的系统中已经满足，而有的需求是 未来移动通信系统新加入的本文在全面分析安全需求的基础上，通过对经典的认 墨3 g 移动通信系统中基丁认证测试的e a p a k a 协议研究 证与密钥分配协议进行分析，讨论这些协议的特点和弱点，以及它们对移动通信 系统提出的安全需求的满足程度， 然后根据3 g 系统的特点和安全协议的设计中经常出现的问题，总结出设计一 个安全认证与密钥分配协议应该注意的事项和需要遵守的设计准则，并在此基础 上提出一个新的用于3 g 系统无线通信环境的认证与密钥分配协议，通过分析新协 议的特性讨论它的执行效率可用性和安全性能。 2 1 23 g 系统对认证协议的安全需求 一个好的认证协议不但要满足系统提出的安全需求，还要保证必须的运行效 率，本节将从认证协议的运行环境面对的威胁，以及系统需求出发，说明移动通 信系统对认证协议设计上的要求： 1 认证协议的运行环境 认证和密钥协商协议在有线网络环境下已经有很多研究成果，当应用到移动 通信中时，由于无线网络和移动终端设备各自的特点，因而对认证和密钥协商协 议的需求与有线网络相比不完全相同。 在无线通信环境下，由于移动终端计算资源存储空间和能源储备能力的限制， 以及有限的无线带宽资源，使得认证和密钥分配协议必须考虑到计算负载和通信 量等问题。具体体现在协议所需的消息传递次数尽可能少，每个消息的长度尽量 短，协议在受限设备上的计算量尽量小，至i j 3 g 时代，尽管移动终端的计算能力存 储能力和待机时间都会有很大提高，无线链路的带宽利用率也有了技术上的突破， 但是上述限制仍然存在。只是约束条件有所放宽。因此在设计认证和密钥协商协 议时这些仍然是必须考虑的因素。 在移动通信环境下，由于无线网络在传输质量和速度方面都无法与有线网相 比，因此在协议的设计上，必须充分考虑到系统的可用性问题。针对特定的应用 场合以够用原则为导向，在协议提供的安全性和协议的执行效率之间找到合适的 契合点。 2 认证协议面对的威胁 目前已经存在对认证协议的多种攻击，参见( 【3 7 】【3 8 】【3 9 4 0 】【4 1 】【4 2 】 【4 3 4 4 1 ) ，它们从不同的角度分析认证协议存在的漏洞。一般攻击一个安全协议 可以从以下两个方面进行考虑，一是寻找协议中采用的密码算法的安全漏洞；一 是从协议没计的结构出发，寻找协议设计上的缺陷；通常在设计安全协议时，都 假设协议中所采用的密码算法是安全的，可以抵抗唯密文攻击。已知明文攻击等。 因此安全协议的结构是否合理成为设计协议的关键。这里并不排除，由于密码算 法上的漏洞而导致可以从协议结构上进行攻击的情况。但是这类攻击的最终解决 第二章3 g 移动通信网络的安全体系结构 9 一 方法，还是得从算法本身入手。下面将着重讨论协议的设计结构问题 首先从典型的对认证协议的攻击方法考察协议结构的不合理带来的威胁 ( 1 ) 简单类型攻击 这类攻击主要针对认证方案本身，对它需要传送的秘密信息的保护不够而实施 的。例如：将用户的帐户与口令信息以明文方式在公开的网络上传输。或 者在公钥密码体制中采用先加密后签名的方式，使得攻击很容易成功。 ( 2 ) o r a c l e 类型攻击 此类攻击针对认证方案设计得过于对称，认证消息的格式单一，无法区分相 同协议的不同实例之间消息的区别，或者同一个协议运行实例中不同消息之间的 区别，从而使得攻击者可以借助一个合法用户为他生成或者解密一些信息。属于 此类攻击的方法有：并行攻击( p a r a l l e ls e s s i o na t t a c k ) ，先知攻击( o r a c l es e s s i o n a t t a c k ) ，反射攻击( r e f l e c t i o na t t a c k ) ，多重角色攻击( m u l t i r o l ea t t a c k ) 以及因 果攻击( c a s u a lc o n s i s t e n c ya t t a c k ) 等在公钥系统中的中间人攻击 m a n i n t h e m i d d l e a t t a c k 也属于这类攻击。 ( 3 ) 重放攻击( r e p l a ya t t a c k ) 这类攻击针对认证方案中，没有提供足够的新鲜性检测机制而实施的。协议 的执行者无法验证收到的消息是一个新消息还是一个旧消息。抗击这类攻击的方 法，一般是在认证协议中引入随机数计数器或者时间戳。 ( 4 ) 对签名信息的攻击 这类攻击的主要目的是获得用户的身份信息，或者对于可恢复的签名方案来 说，得到签名中的部分内容。其中攻击类型主要有签名验证攻击( s i g n e r v e r i f i c a t i o n a t t a c k ) 和内容验证攻击( c o n t e n tv e r i f i c a t i o na t t a c k ) 。攻击者实施签名验证攻击时， 用公开的签名验证密钥对签名数据进行验证。当验证通过时，就可以确定签名者 的身份信息，这在需要提供用户匿名性的场合下，对用户身份信息的保密性构成 威胁，属于信息泄漏的一种形式。内容验证攻击与签名验证攻击类似。攻击者的 目的是为确定签名信息中的一部分信息。这类攻击的前提是攻击者知道待定信息 的可能集合，一般是有限集。例如：攻击者知道签名的大部分明文内容和消息格 式而为确定一小部分未知信息。 ( 5 ) 源替代攻击( s o u r c es u b s t i t u t i o na t t a c k ) 4 列 在公钥系统中。若证书的颁发者没有很好的审查，证书申请者对私钥的拥有 就会造成攻击者申请一个与受害者具有相同公钥和名字的证书。但是攻击者并不 知道其对应的私钥从而可以对受害者实施假冒攻击。解决方法通常是要求证书颁 发机构强制实施对私钥拥有情况的检查。还有类称为未知密钥共享攻击【4 3 j 【删 ( u n k n o w nk e ys h a r ea t t a c k ) ， 攻击者在已知签名内容、签名信息和签名验证公钥 的前提下，生成一对新的公私钥对，使得用新密钥对已知内容的签名与已有签名 一1 0 3 g 移动通信系统中基丁认证测试的e a p a k a 协议研究 信息相同，攻击者以此新密钥对在线申请新的公钥证书，以假冒受害者。这种攻 击方法靠证书颁发机构是无法解决的 ( 6 ) 部分选择密钥攻击( p a r t i a lc h o s e nk e ya t t a c k ) 此类攻击与密钥控制相关【4 5 1 ，当两个通信实体需要协商一个会话密钥时，其中 一方首先向另一方出示它对会话密钥的贡献( 密钥生成的参数) ，这时通信的另 一方可以根据已经出示的密钥参数有目的地选择自己的那部分密钥参数，从而使 得密钥的生成具有不平衡性。一般地基于公钥技术的密钥协商协议都具有潜在的 受到部分选择密钥攻击的可能性。 ( 7 ) 已知密钥攻击( k n o w nk e ya t t a c k ) 这类攻击适用于当旧会话密钥受到威胁后将影响到以后新生成的会话密钥的 场合，当会话密钥的安全性比长期密钥更重要的时候这类，攻击将会十分有效。 ( 8 ) 电码簿攻击( c o d e b o o ka t t a c k ) 3 9 j 通过存储用相同密钥加密的密文，即使在对应明文未知的情况下，侦听网络 中的加密信息。当侦听到有相同的密文出现时，就可以肯定它是以相同的密钥加 密的。上述攻击只是各种攻击类型中的一部分，但是它们是攻击认证协议时常用 的方法或者说用得比较多的攻击手段，通过了解对认证协议的攻击方法可以帮助 我们在协议设计中避免重蹈覆辙。 3 移动通信系统对认证协议的需求 考虑到认证协议面对的多种威胁，以及无线应用环境的特点。现将第三代移动 通信系统中认证与密钥分配协议需要提供的安全需求归纳如下： ( 1 ) 移动终端与接入网之间的双向身份认证 接入安全对移动用户和服务网同样重要。在无线环境下，开放的通信链路使信 道上传送的信息很容易被窃听。为了防止非法用户盗用服务，用户在访问网络时 需要进行身份认证。这一点在2 g 系统中已经实现，但是2 g 系统中采用的身份认证 技术具有安全漏洞，在特定场合下会泄漏用户的身份信息，从而破坏了用户身份 保密性。因此在3 g 系统中需要提供增强的身份认证机制。 另外，2 g 系统采用单向认证技术，只有服务网对用户的认证，却没有提供用户 对服务网的认证功能。使得假冒服务网进行攻击成为可能。在3 g 系统中为了实现 全球覆盖和支持更多种类的服务，接入网的数量将大幅度增长，很多中小型接入 网会相继出现。这将一改传统系统中接入网由少数大机构掌管的局面。各类服务 网的竞争将会很激烈。因此竞争对手之间很可能会为争夺客户而假冒或损害其竞 争对手的网络。所以在3 g 系统中需要提供用户对服务网的身份认证，以保证用户 与服务网的利益均不受损害。因而服务网与移动用户之间的双向身份认证是必不 可少的 ( 2 ) 密钥建立 第：章3 g 移动通信网络的安全体系结构 为了保证用户在接入服务网之后的通信仍然受到保护，需要在认证阶段为通 信双方建立起一个共享会话密钥，以便提供后续通信的保密性。这是认证与密钥 建立协议的一个基本要求。 ( 3 ) 双向隐式密钥认证 该需求保证移动终端与接入网之间拥有相同的会话密钥，且会话密钥不被未 授权的第三方获得。 ( 4 ) 密钥新鲜性的保证 该项需求是为了防止重放旧密钥攻击，确保通信双方所用的会话密钥不是旧 的，或者是已经受到威胁的密钥，保证密钥的有效性。值得注意的是密钥的最近 使用并不能保证密钥的新鲜性。最近使用的密钥可以是一个旧密钥或者是受到威 胁的密钥，所以保证密钥的新鲜性，对加强系统的安全性有着十分重要的作用。 ( 5 ) 移动用户的身份信息在空中接e l 的保密性 与移动用户身份保密性相关的内容有，用户身份信息的保密性；用户位置的 保密性和用户不可被追踪性。由于无线接口的开放性，要防止攻击者通过窃听等 手段得到用户的相关信息。因为在有些场合下用户的身份信息有着重要的利用价 值。 ( 6 ) 移动终端与接入网交换签发的公钥 该需求是在采用基于公钥的技术的协议中才需要的，它为后续的认证与密钥 建立过程提供支持。有的认证协议假设用户和服务网在通信之前，已经拥有对方 的已认证的数字证书或者公钥。但是这一假设并不是在所有情况下都成立。因此 为了满足一般情况需要在认证协议中完成证书的交换任务。 ( 7 ) 支持非否认性 当服务网为用户提供服务时，用户必须支付相应的服务费用。为了防止某些 用户在接受服务前同意支付服务费用。而在享受服务后却否认抵赖曾经同意支付 费用的情况，需要对用户的承诺提供不可否认的安全措施。 ( 8 ) 满足移动终端的条件限制 移动终端是受限设备，具有有限的计算资源、存储空间和能源储备。因此设 计的协议和算法必须满足系统的可用性。 ( 9 ) 满足无线通信的带宽限制 无线信道与有线信道相比具有较小的带宽，传输信息的出错率高，而且网络 延迟比较严重等问题。为了使得通信的效率有所保证，因此需要次性传输的信 息长度尽量不要太长，以免多次传输失败。传输的信息以短小简洁为要，同时协 议的交互次数尽可能少。 在上述需求中( 1 ) n ( 5 ) 是从认证协议本身出发所要满足的基本要求需求( 6 ) 是针对基于公钥的认证与密钥协商协议而言需要满足的安全需求。需求( 7 ) 是在增 一1 2 3 g 移动通信系统中基丁认证测试的e a p a k a 协议研究 值服务日益增长的情况下提出的新需求。需求( 8 ) 和( 9 ) 是针对无线移动通信系统中 的特殊限制而言的，是由无线网络和移动终端的物理特性决定的。 2 2 3 g 通信系统安全体系结构 2 2 13 g 系统的安全原则9 i 第三代移动通信系统是在第二代移动通信系统的基础上发展起来的，它继承 了2 g 系统的安全优点，同时针对3 g 系统的新特性，定义更加完善的安全特性与安 全服务。因此3 g 系统安全设计应遵循以下原则： 所有在g s m 或其它2 g 系统中被认为是必须或应增强的安全特性，在3 g 系 统中必须被采纳； 改进2 g 系统中现存和潜在的安全缺陷； 针对3 g 业务特点提供新的安全特征和安全服务； 3 g 安全系统应达到下列目标： 确保用户产生的或与用户相关的信息得到足够的保护，以防滥用或盗用： 充分保护服务网络和归属环境所提供的资源和服务，以防滥用或盗用； 确保安全标准的安全特性有全球兼容能力； 确保安全特性标准化，保证不同服务网络之间的漫游和全球互操作能力； 为用户和服务所提供的安全优于现行的固定和移动网络； 提高3 g 系统安全特性的扩展性，以便不断改进来应对新的服务和威胁。 1 保证业务接入的需要 除紧急呼n q # l , ，接入任何第三代移动通信系统的业务都应该需要一有效的 u s i m ，由网络决定紧急呼叫是否需要u s i m 。应防止入侵者通过伪装成合法用 户来越权接入3 g 业务。用户可以在业务开始、传送期间验证服务网是合法的， 以用户归属环境提供3 g 业务。 ( 1 ) 保证业务提供的需要 对业务提供者可以在业务丌始、传送期间验证用户的合法性，以防止入侵者 通过伪装或误用权限来接入3 g 业务。应能检测和阻止欺诈性的使用业务和安全有 关的事件发生时可以向业务提供者报赞并产生相应的记录。应防止使用特殊的 u s i m 接入3 g 业务。对某些用户，服务网络提供的归属环境可以立即停止它所提供 的所有业务。对服务网络。在无线接口上可以验证用户业务、信令数据和控制数 据的发起者。通过逻辑手段限制业务的获得来阻止入侵者。对网络运营商，应加 强基础网络的安全性。 ( 2 ) 满足系统完整性的需要 第一：章3 g 移动通信网络的安全体系结构 应防止越权修改用户业务，防止越权修改某些信令数据和控制数据，特别是 在无线接口上。防止越权修改的和用户有关的数据下载到或存储在终端u s i m 中。 防止越权修改由提供者存储或处理的、和用户有关的数据。应保证可以检查应用 和下载到终端u i c c 中的数据的起源和完整性。也应保证下载的应用和数据的保密 性。应保证数据的由来、完整性及最新的，特别是无线接口上的密钥。应保证基 础网络的安全性。 ( 3 ) 保护个人数据的要求 应可以保证某些信令数据和空着数据、用户业务、用户身份数据、用户位置 数据的保密性，特别是在无线接口上，应防止参与一特定3 g 业务的用户位置数据 不必要地泄露给同一业务的其它参与者用户可以检查它的业务及与呼叫有关的信 息是否需要保密。应可以保证由提供者存储或处理的、和用户有关的数据的保密 性。应可以保证由用户存储在终端或u s i m 中、和用户有关的数据的保密性。 ( 4 ) 对终端u s i m 的要求 应可以控制接入到一u s i m ，以便用户只使用它来接入3 g 业务。可以控制获得 u s i m 中的数据，如某些数据只有授权的归属环境才能获得。不能获得只在u s i m 中使用的数据，如验证密钥和算法。可以检测出是否是偷窃的终端。可以禁止某 些终端接入3 g 业务。改动终端的身份很困难。 ( 5 ) 合法的窃听的要求 依国家相关法律，3 g 可以为执法机构提供检测和窃听每一个呼叫和呼叫尝试， 和其它服务。 3 g 通信系统的安全威胁： ( 1 ) 对敏感数据的非法获取，对系统信息的保密性进行攻击。其中主要包括： 侦听：攻击者对通信链路进行非法窃听，获取消息； 伪装：攻击者伪装合法身份，诱