（通信与信息系统专业论文）基于自证明公钥的第三代移动通信安全接入认证研究.pdf

重庆邮电火学硕士论文 摘要 摘要 随着移动通信技术的迅速发展，在移动通信领域中出现了越来越丰富的增值业 务。这些增值业务较多的涉及到用户的秘密信息和私人财富，使得第三代移动通信 网络中的安全更加受到重视。而接入认证协议是移动通信网络的安全门户，因此研 究适用于3 g 网络的安全接入认证协议具有非常重要的意义。 本文首先介绍了移动通信网络中存在的安全问题以及相关的安全技术，对2 g 中采用的安全技术进行研究，分析其存在的不足之处，并对3 g 系统的安全体系结 构、安全性能和安全要求等进行研究。随后，对3 g p p 网络中的身份认证和密钥分 配协议进行了分析和研究，指出其存在的安全问题，并针对这些安全隐患设计出一 种基于对称密钥的身份认证与密钥分配方案，同时指出使用对称密钥存在的安全隐 患，对公钥在身份认证与密钥分配协议中的优势进行分析；接着，对三种可证明用 户公钥的密码体制进行介绍和分析，指出自证明公钥最大的优点就是证明自身身份， 并设计出三种不同类型的基于自证明公钥的认证加密方案；最后，对s i e m e n s 协议 进行分析，指出其使用公钥证书带来的安全隐患，并将自证明公钥密码体制应用于 移动通信网络，在s i e m e n s 协议的基础上，设计了一种新的基于自证明公钥的适用 于移动通信网络的身份认证和密码分配方案，并对方案的正确性和安全性进行了分 析。分析证明，该方案不仅减少了用户漫游时认证向量在不同网络间的穿越，而且 用户端的计算量较少，特别适用于移动通信网络。 关键词：移动通信安全，认证协议，密钥分配，自证明公钥密码体制 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fm o b i l ec o m m u n i c a t i o nt e c h n o l o g y ，m o r ea n dm o r e n e wv a l u e a d d e ds e r v i c e sa p p e a ri nt h ef i e l do fm o b i l ec o m m u n i c a t i o n t h e s en e w v a l u e 。a d d e ds e r v i c e sm o s t l yt r e a to fu s e r ss e c r e ti n f o r m a t i o na n d p r i v a t ew e a l t ht od r a w a t t e n t i o nt os e c u r i t yo f3 gm o b i l ec o m m u n i c a t i o nn e t w o r k 恤l ea u t h e n t i c a t i o np r o t o c o l i st h es e c u r i t yg u a r df o rs e c u r i t yo fm o b i l ec o m m u n i c a t i o nn e t w o r k s o i ti sv e r y i m p o r t a n tt or e s e a r c ho ns e c u r i t ya u t h e n t i c a t i o np r o t o c 0 1f o r3 gm o b i l ec o m m u n i c a t i o n i nt h i sp a p e r ，i tf i r s t l yi n t r o d u c e dt h e s e c u r i t yp r o b l e m se x i s t e di nt h em o b i l e c o m m u n i c a t i o nn e t w o r ka n dr e l a t e ds e c u r i t yt e c h n o l o g y ，s t u d i e dt h es e c u r i t yt e c h n o l o g y a n de x i s t i n gd e f e c t si n2 gm o b i l ec o m m u n i c a t i o ns y s t e m ，a n da n a l y e dt h es e c u r i t v a r c h i t e c t u r e ，s e c u r i t yp e r f o r m a n c ea n ds e c u r i t yr e q u i r e m e n ti n3 gs y s t e m s e c o n d l y i t a l s os t u d i e da n da n a l y s e dt h ea u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c o l ，a n dp o i n t e do u t t h ee x i s t i n gs e c u r i t yp r o b l e m a i m e dt h e s eh i d d e nt r o u b l e si ns e c u r i t y ，a na u t h e n t i c a t i o n a n dk e ya g r e e m e n tp r o t o c o lb a s e do n s y m m e t r i c a lc r y p t o g r a p h i ca l g o r i t h mw a sp r o p o s e d ， a tt h es a m et i m et h ep a p e ra n a l y s e dt h ea d v a n t a g eo f p u b l i c k e yb a s e da u t h e n t i c a t i o na n d k e ya g r e e m e n tp r o t o c o lc o m p a i r i n gw i t hs y m m e t r i c a lc r y p t o g r a p h i ca l g o r i t h m t h i r d l y ， t h ep a p e rd i s c u s s e da n da n a l y s e dt h r e ek i n d so fs e l f - c e r t i f i e dp u b l i ck e yc r y p t o s y s t e m , p o i n t e do u tt h eg r e a t e s ta d v a n t a g eo fc e r t i f y i n gi t s e l f , a n dt h e nd e s i g n e dt h r e ek i n d so f a u t h e n t i c a t e de n c r y p t i o ns c h e m e sb a s e do ns e l f - c e r t i f i e do fp u b l i ck e y f i n a l l y ，t h e p r o t o c o lp r o p o s e db ys i e m e n sw a sa n a l y s e d ，a n di t sd e f e c t sa r i s e df r o mp u b l i cc e r t i f i c a t e w e r ep o i n t e do u t ，a sw e l la ss e l f - c e r t i f i e do fp u b l i ck e yc r y p t o s y s t e mw a sa p p l i e dt o m o b i l ec o m m u n i c a t i o nn e t w o r k o nt h eb a s i so ft h e p r o t o c o lo fs i e m e n s , an e w a u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c o lf o rm o b i l ec o m m u n i c a t i o nn e t w o r kb a s e do n s e l f - c e r t i f i e do fp u b l i ck e yh a sb e e np r o p o s e d ，a n dad e t a i la n a l y s i so ft h ec o r r e c t n e s sa n d s e c u r i t yw a sg i v e n n er e s u l to ft h ea n a l y z i n gs h o w st h a tt h ep r o t o c o ln o to n l yr e d u c e s a u t h e n t i c a t i o nv e c t o r st r a n s r r l ： t t e di n d i f f e r e n tn e r w o r kw h e nm o b i l es u b s c r i b e ri s r o a m i n g ，b u ta l s ot h ec o m p u t ec o m p l e x i t yo fm o b i l ee q u i p m e n ti sl o w e r , w h i c hi s e s p e c i a l l ys u i t a b l ef o rt h em o b i l es y s t e m k e yw o r d s ：s e c u r i t yo fm o b i l ec o m m u n i c a t i o n ，a u t h e n t i c a t i o np r o t o c o l ，k e y a g r e e m e n t ，s e l f - c e r t i f i e do fp u b l i ck e yc r y p t o s y t e m l i 重庆邮电大学硕十论文第一章绪论 1 1 研究的背景和意义 第一章绪论 随着移动通信技术的迅速发展，在移动通信领域中出现了越来越丰富的业务种 类，除了传统的语音业务和数据业务外，电子商务、网上银行、多媒体业务、互联 网业务等信息服务也迅速发展起来【l 】。这些新兴的业务较多的涉及到用户的秘密信 息和个人财富，对通信系统中的信息安全和网络安全提出了更高的要求，移动通信 网络的安全性将越来越受到人们的重视。 移动通信网络的一个突出优势是用户可以在移动环境中进行通信，通过无线信 道与网络交换信息。由于无线信道是一个开放性信道，很容易受到攻击，因此信息 安全就显得尤其重要。而接入认证与密钥协商作为安全体系的基础，是通信网络安 全的门户，是实现正常安全通信、保护用户与运营商利益的重要保证，因此研究其 安全性、有效性、实用性就具有非常现实的意义1 2 】。 现有的第二代移动通信网络中虽然采用了身份认证与密钥分配等措施加强了系 统安全性，但是系统中还存在一些安全缺陷，例如认证机制是单方面的，只考虑了 网络对用户的认证；加密机制是基于基站的，只有在无线接入部分信息被加密，而 在网络内的传输链路和网间链路上仍然使用明文传送等等。 第三代移动通信网络的身份认证与密钥分配协议是在g s m 系统身份认证协议 的基础上发展而来，仍然采用对称密码体制，运用挑战应答机制进行认证，但是进 行了较大的改进。它解决了一些g s m 系统身份认证协议的安全漏洞，如g s m 的单 向身份认证问题，网络内认证协议的明文传送问题，防止重放攻击等。但是，3 g 协 议仍然存在一些不完善的方面。在3 g 中仍然采用了基于单钥密码技术的身份认证 和密钥分配方法来保障网络安全。然而，由于单钥密码技术中的认证双方必须共享 同一密钥，在这种情况下，网络服务提供商就需要与多个网络运营商共享移动用户 的秘密认证密钥，由此产生了移动通信网络问复杂而又棘手的认证密钥安全管理问 题以及引起移动用户与服务提供商之间难以解决的付费纠纷问题。 基于公钥密码技术的身份认证与密钥分配协议，不仅可以实现基于单钥密码技 术的身份认证与密钥分配方案所能实现的移动通信网络安全访问业务，如身份认证 和会话密钥分配。此外，基于公钥密码技术的身份认证与密钥分配方案，还提供了 基于单钥密码技术的身份认证与密钥分配方案所不具有的移动用户身份保密性和服 务不可抵赖性，并且从根本上解决了移动通信网络中移动用户与网络端之间的对称 密钥管理问题p j 。因此，基于公钥密码技术的身份协议受到了人们的重视。 重庆邮电大学硕士论文 第一章绪论 目前，基于公钥密码技术的身份认证方案有很多，例如d e n n i n g s a e c o 协议、 w o o l a m 协议、e k e ( 加密密钥分配) 协议等。但是，这些协议多数是为计算机网 络如因特网而设计的，不适合于移动通信网络中移动端与网络端在计算能力上和计 算资源上的不对称，即移动端计算能力低且计算资源差，而网络端计算能力强和计 算资源丰富。如何设计更适用于移动通信网络的身份认证与密钥分配协议，已成为 移动通信系统中的一个重要安全问题。 1 2 目前的研究现状以及存在的问题 从2 0 世纪9 0 年代开始，人们就在研究如何利用公钥密码体制的非对称性来设计 身份认证与密钥分配方案。例如，y a c o b i 等提出的三种著名的公钥认证方案m s r 、 i m s r 和m s r + d h l 4 - 5 ，1 9 9 4 年a z i z 和d i f e e 提出一种不需要预计算的相互认证和 密钥交换协议f 6 】；h o m 等人在1 9 9 8 年提出著名的a s p e c t 协议 7 1 ；l a w 等人8 1 提 出的用户端计算量较小、适于无线移动通信系统的用户和网络之间的相互认证和密 钥交换协议；2 0 0 5 年c p o o e s u 提出的不需要第三方的密钥交换协议 9 1 。而s t e f a np u t z 等人依据通信网络特殊的认证环境，为u m t s 认证列举了4 种认证方案【1 0 j ，包括基 于对称钥的英国皇家h o l l o w a y 方案、基于公钥体制的s i e m e n s 方案、k p n 方案和 d e t e m o b i l e 方案。其中s i e m e n s 方案最终被欧洲a s p e c t 采用作为u m t s 安全实验 网的认证方案，这是上述各认证方案中唯一被实验网试验的【j 羽。此外，第三代移 动通信系统的应用系统认证上，w p k 得到了广泛的应用，例如w a p ( w i r e l e s s a p p l i c a t i o np r o t o c 0 1 ) 、m e t ( m o b i l ee l e c t r o n i ct r a n s a c t i o n s ) 、m o b i l ei p 、m o b i l ea g e n t 等i l3 l 。由此可见，使用公钥技术的认证协议在第三代移动通信系统中的应用越来越 成熟。 目前，国内一些厂商如中兴通讯股份有限公司、吉大正元股份有限公司等也在 着手w p k i 的研究和开发，已经取得一些进展。此外，一些科研机构也成立了一些 研究移动通信系统中的安全问题的科研课题。本实验室在重庆市发改委的t d s c d m a 系统的若干关键技术问题研究和重庆市教委移动通信认证和密钥算法 研究等科研项目的支持下，对移动通信系统中的安全技术进行了研究，并提出了 多种基于公钥的移动通信的认证协议【l 6 1 。 在移动通信系统中使用公钥密码技术，就必须解决公钥的认证问题，即如何识 别接收到的公钥就是发送者的真实公钥。在移动通信系统中，移动用户的数量很大， 不可能让每个服务网络和归属网络都建立一个数据库来存放用户的公钥；而移动终 端的存储能力有限，只能存储少量的数据，也不可能存储很多服务网络的公钥。因 此，需要在移动通信系统采用一个可证明用户公钥的密码系统。 2 重庆邮电大学硕士论文 第一章绪论 目前，主要有三种类型的可证明用户公钥的密码体制：基于证书的公钥密码体 制，基于身份的公钥密码体制和自证明公钥密码体制。基于证书的公钥密码体制是 一个认证中心c a 颁发和撤销公钥证书，而用户的公钥都存放在c a 的数据库中。 多数公钥认证协议都采用了基于证书的公钥密码体制来管理用户的公钥，例如 s i e m e n s 协议。在采用基于公钥证书的协议中，用户与网络进行认证之前，必须验 证对方证书的合法性和有效性，严重增加了无线终端的计算负担；当用户漫游至不 同信任域的无线终端时，可能需要c a 临时颁发公钥证书，给用户的及时接入造成 很大的困难；c a 需要在数据库中存储用户的身份、公钥以及其它的认证信息，若 被攻击者侵入，可能造成很大的损失。 在自证明公钥密码体制中，公钥具有自我证明的特性，能证明其自己确实属于 某个用户，而且任何用户都能够根据c a 的签名和c a 的公钥推导出用户的公钥。 用户使用自证明公钥对消息签名后，验证者只需验证用户对消息的自证明签名，从 而省去了一次对证书的签名验证过程。由此可见，基于自证明公钥密码体制的签名 所取得的效率优势在于减少了验证签名的数量，而移动通信网络要求计算量小的算 法。由此可见，自证明公钥密码体制的这种优势，使得它比基于证书的公钥密码体 制等适合于移动通信网络中。因此研究自证明公钥密码体制，设计基于自证明公钥 的身份认证与密钥分配协议是一个有着重要意义的课题。 1 3 本文工作 本文所做的工作是重庆市教委资助的重庆市教委科学技术研究项目( n o k j 0 6 0 5 1 0 ) 和重庆市发改委资助的项目t d s c d m a 系统的若干关键技术问题研 究( n o 2 0 0 4 1 0 7 2 ) 重要组成部分，是在前期对多种密码体制和签名算法的广泛 研究基础上所作的后续研究，本文所做的主要工作包括： ( 1 ) 对第二代移动通信系统中采用的身份认证和密钥分配协议和身份保护技术 进行研究，指出其存在的安全缺陷。 ( 2 ) 对已有的三种可证实用户公钥的密码体制进行研究，分析自证明公钥密码 体制的优点；对c h a n g 基于自证明公钥的认证加密方案进行研究，并设计三种基 于自证明公钥的认证加密方案。 ( 3 ) 对3 g p p 网络中的身份认证和密钥分配协议进行研究，指出其存在的不足 之处和可能遭受的攻击，并针对3 g p p 协议的不足，设计一种改进的3 g p p 身份认 证和密钥分配方案，对其安全性进行分析。 ( 4 ) 对欧洲a s p e c t 在u m t s 安全实验网中采用的s i e m e n s 协议进行分析， 指出认证过程中存在的不足，以及使用公钥证书带来的缺陷。 3 重庆邮电大学硕士论文 第一章绪论 ( 5 ) 结合移动通信网络的安全要求和自证明公钥的特点，提出一种新的基于自 证明公钥密码体制的身份认证和密钥分配方案，并对其正确性和安全性进行了分析。 1 4 论文结构 本文共分为六章，各章内容安排如下： 第一章分析了移动通信网络安全机制的发展历程，以及当前通信网络安全机制 存在的问题，阐述了采用公钥密码体制的优势和公钥认证方案的研究现状，指出自 证明公钥密码体制的优点，以及自证明公钥体制应用于移动通信网络的可行性和重 要意义。 第二章主要介绍移动通信网中存在的安全威胁和可采用的安全技术，并分析 g s m 网中采用的安全技术和存在的安全缺陷，以及第三代网络提出的安全体系结 构、安全原则和安全要求等等。 第三章首先对3 g p p 网络中的身份认证和密钥分配协议进行分析，并指出其存 在的不足之处和可能遭受的攻击。然后，设计了一种改进的3 g p p 身份认证和密钥 分配方案，该新方案采用对称密码体制，改进了3 g p p 协议中存在的缺陷。最后， 分析采用对称密码体制存在的弊端，以及使用公钥密码体制带来的优势。 第四章对三种可证实用户公钥的密码体制进行比较和分析，指出自证明公钥最 大的优势是自我证明，可以减少用户的计算量。同时，分析c h a n g 等人的基于自 证明公钥的认证加密方案存在的缺陷，并设计了三种不同类型的基于自证明公钥的 认证加密方案。分析表明，这三种方案中的自证明公钥体制都能达到信任标准3 。 第五章将自证明公钥密码体制应用于移动通信网络，设计了一种新的基于自证 明公钥的适用于移动通信网络的身份认证和密码分配方案，并对其正确性和安全性 进行了分析。分析证明，该方案不仅减少了用户漫游时认证向量在不同网络间的穿 越，而且用户端的计算量较少，特别适用于移动通信网络。 第六章对本文的工作进行了总结，并对进一步的工作进行了探讨。 4 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 第二章移动通信系统中安全技术的概述与分析 移动通信网络是目前人们使用最多的网络之一，越来越多的人们通过移动通信 网络传递秘密信息，因此移动通信网络中信息安全保密的研究工作是非常重要的。 2 1 移动通信网络中的安全问题以及采用的安全技术 移动通信网络与无线通信网络一样，一般存在以下三种安全威胁： ( 1 ) 无线接口上的安全威胁 在移动通信网络中，移动终端与固定网络端之间的所有通信都是通过无线接口 来传输的。由于无线接1 5 1 的开放性，无线信道上传输的信息很容易被截获、修改或 者重传，导致非法用户很容易假冒用户滥用资源和盗取用户的机密信息，给用户和 网络运营商带来很大的损失。 ( 2 ) 网络端的安全威胁 在移动通信网络中，移动用户的身份、位置以及身份认证信息是由网络端的 m s c 负责在h l r 和v l r 之间转发的，这些消息都是用户入网的凭证。如果这些信息 泄露就可能导致移动用户身份被假冒，从而引起移动用户帐单的纠纷。 ( 3 ) 移动端的安全威胁 移动端作为用户访问网络的工具，存储用户的机密信息，如鉴权密钥k 和i m s i 等。如果移动端丢失或者被攻击，就可能导致机密信息的泄露，导致非法用户接入 网络。 在移动通信网络中，为了确保用户通信的安全，一般采用以下安全措施来保护 通信网络【1 7 】： 认证 认证分为实体认证和身份认证。实体认证是指证明某个用户或者系统的身份： 数据源认证主要是指验证数据的来源。 访问控制 访问控制主要是防止非法访问网络资源，阻止非法用户接入网络，保护合法用 户得到网络服务的权利。 数据加密 数据加密是指保护信息不被暴露或者泄露给非法用户。 数据完整性保护 数据完整性保护是指保护数据在传输过程中不被非法增删、修改或替代。 不可否认性 5 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 不可否认性是指用户不能否认自己使用的网络服务，网络也不能伪造用户的服 务凭证。 2 2 移动通信网络中采用安全技术的简介与分析 2 2 1 第一代移动通信网络中存在的安全问题 第一代模拟蜂窝移动通信网络几乎没有采取任何安全和认证技术。在无线信道 和网络中传送的用户信息没有采用任何保密措施，全部是以明文传送，很容易被截 获。此外，移动用户的身份鉴别也非常简单，移动用户将移动台的电子序列号( e s n ) 和网络分配的移动台识别号( m i n ) 一起以明文方式传送至网络，若二者相符，即 可实现用户的接入。因此，攻击者只需截获m i n 和e s n 就可以很容易的克隆手机。 这些安全漏洞很容易造成网络欺骗行为，给网络运营商带来巨大的损失，用户利益 也因此受到伤害【l 引。 2 2 2 第二代移动通信网络中存在的安全问题 第二代移动通信系统，在安全性方面有了较大的改进，强调对用户的身份认证 和网络误用，兼顾信息加密和用户身份保密，采用了身份认证、密钥分配和数据流 加密等密码技术。用户的信息是以密文的方式传送的，对移动用户的身份认证采用 了询问一响应认证协议。第二代移动通信主要是g s m 网络，因此我们简要介绍g s m 的安全技术 ( 1 ) 身份保密 用户接入网络时，网络可能会要求用户发送永久身份i m s i ，而该i m s i 是在无 线信道上传输，很容易被人为截取。为了减少i m s i 在无线信道上的传输，g s m 系 统采用临时用户身份t m s i 。拜访网络v l r 存储t m s i 和i m s i 之间的对应关系。 通常情况下，移动用户请求接入网络时，通过无线信道传输t m s i 。只有当用户首 次接入网络，或者网络找不到t m s i 和i m s i 之间的对应关系时，i m s i 才被发送。 此外，当用户所在的位置区发生改变时，通过位置区更新过程实现t m s i 的重新分 配，重新分配给用户的t m s i 是在用户的认证完成时，启动加密模式后，由v l r 加 密后传送给用户，从而实现了t m s i 的保密。同时，v l r 将旧的t m s i 从v l r 中 删除。 ( 2 ) 身份认证 当移动用户入网时，在用户端，鉴权键飚连同i m s i 一起存储在s i m 卡中：在 网络端，飚存贮在鉴权中心a u c 。鉴权认证过程如下： 步骤l ：用户将自己的身份标识t m s i 传给v l r ，请求接入网络。 6 重庆邮电大学硕士论文第二章移动通信系统中安全技术的概述与分析 步骤2 ：v l r 检查自己的数据库中是否存储用户的认证数据。若存储了用户的 认证数据，则转到步骤4 执行；若没有存储用户数据，则把t m s i 传送给h l r ，由 h l r 产生有关的认证数据。 步骤3 ：h l r 首先产生一个随机数r a n d ，并根据共享的密钥磁和随机数 r a n d ，利用a 3 算法产生s r e s ，然后利用a 8 算法产生会话密钥k ，并将认证三 元组( r a n d ，s r e s ，k c ) 回传给v l r 。 步骤4 ：v l r 收到认证三元组后，选取r a n d 作为一个挑战发送给用户，并要 求用户送回对应的s r e s 。 步骤5 ：用户利用r a n d 、k i 来产生r e s ，并将r e s 发送给v l r 。同时，用 户计算出话密钥k c 。 步骤6 ：v l r 将用户发送来的r e s 和记录中的s r e s 进行比较，如果二者不等， 则拒绝接入请求：如果相等，认证通过。v l r 会挑选一个t m s i 当成用户新的临时 身份，并用k 加密起来，回传给用户。 步骤7 ：用户利用k c 解密得到t m s i ，并且将t m s i 作为临时身份存储在存储 卡中。同时，用户回传k c 给v l r 。 ( 3 ) 数据加密 认证过程完成以后，m s c 将认证三元组中的传递给基站b t s 。这样使得从 移动台到基站之间的无线信道可以用加密的方式传递信息，从而防止了窃听。加密 过程为：利用加密密钥k c 和当前帧号f n 作为a 5 算法的输入，计算密钥流：再利 用密钥流对消息进行逐位异或加密，最后将密文从移动台传递到基站。基站接收到 加密的信息，用相同的密钥流逐位异或来解密消息。 虽然采用了一些安全措施，但是第二代通信网络仍然存在许多不足，主要的缺 陷有 i s - i9 】： 认证机制是单向的，只实现了网络对用户的认证，而实现用户对网络的认证。 由于用户不能对网络进行认证，因此存在伪基站攻击等安全问题。例如非法的基站 可以伪装成合法的基站，通过欺骗用户来窃取用户的私密信息，甚至将用户接入一 个他不想接入的网络。 加密密钥和认证数据在网络中以明文方式传输，很容易被攻击者截获。若攻 击者截获这些信息，就可以进行非法监听、非法接入网络等等。 密钥太短，加密算法固定。g s m 中使用的6 4 b i t k c 和2 2 b i t 的帧号f n 生成11 4 b i t 的密钥流，在现在的解密技术下，已经可以在较短的时间内被破解；加密算法是固 定不变的，没有更多的密钥算法可供选择，而且缺乏算法协商和加密密钥协商过程， 网络工作人员可能会泄露这些机密信息，损害用户利益。 加密功能没有延伸到核心网，只对移动台和基站之间的无线信道进行加密， 7 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 而在网络内的传输链路和网间链路上仍然采用明文传送，很容易被截获、窃听。 在移动台第一次注册和网络找不到用户t m s l 对应的身份时，会要求用户发 送i m s i 到v l 刚m s c ，由于此时没有建立加密协议，i m s i 可能以明文方式发送，很 容易被攻击者截获，从而假冒用户接入网络。 g s m 网络没有考虑数据完整性保护的问题。在移动通信系统中，移动台和 网络间的大多数信令信息是非常敏感的，需要得到完整性保护。而在第二代移动通 信系统中没有提供数据完整性业务，因此数据在传输过程中被篡改也难以发现。 无第三方仲裁功能，当网络各实体间出现费用纠纷时，无法提交给第三方进 行仲裁；对系统的安全升级及安全功能改进没有详细考虑，缺乏升级能力。 不能提供不可否认性服务。用户否认接受的服务，网络可能否认用户的付账 帐单，这就需要在信息交互的过程中提供不可否认性服务。在第二代移动通信系统 中没有提供不可否认性服务，出现纠纷就很难查证。 2 3 第三代移动通信系统的安全概述 2 3 1 第三代移动通信系统的安全体系结构 3 g 系统安全逻辑结构如图2 1 所示，它定义了五个安全特征组，每一安全特征 组对付某些威胁，实现某些安全目标1 1 8 之o 】： 移动终端 i f 接 h 入 l 网 s n v l r s g s n i ；服务层 ! 服分层 传ii 网络接入域安全 输li i 网络域安全 层l：0 是角甍耋叁 s n ：j r 务网，v l r ：访问位置寄存器，s g s n ：服务g p r s 支持节点 h e ：归属环境，a u c ：认证中心 图2 13 g 系统安全逻辑结构 网络接入安全( i ) ：该组安全特征集为用户提供安全访问3 g 业务，并且专 门提供无线接入链路上的攻击保护。为了网络接入安全，通常采用用户身份保密， 网络与用户之间的双向身份认证，以及提供无线线路上的信息的机密性保护和数据 8 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 的安全性保护等等。 网络域安全( i i ) ：该组安全特征集使在提供者域中的结点能够安全地交换信 令数据，防止有线网络上的攻击。为了实现网络域安全，采用网络单元之间的实体 认证，对网络中传递的机密信息进行加密保护，以及对网络中传递的数据提供完整 性保护。 用户域安全( i i i ) ：该组安全特征集提供安全接入移动台服务。接入u s i m 是 受限制的，以确保只有授权用户才可以访问u s i m ；u s i m 接入终端是受限的，为 了确保只有授权的u s i m 才可以访问终端或者用户设备。 应用域安全( i v ) ：该组安全特征集使在用户域和网络提供域之间的应用能够 安全地交换信息。u s i m 应用工具包将为运营商或第三方提供者提供创建应用的能 力，这需要确保网络运营商或应用提供者选择的安全等级在网络上安全的将消息传 递给u s i m 上应用。 安全的可视性和可配置性( v ) ：该组安全特征集用于通知用户本身是否按照 某种安全性操作以及服务的提供和使用是否依赖于改组安全特征。可视性是指在某 些情况下，根据用户所关心的问题，提供更多安全特征操作的用户可视性；可配置 性是指用户和用户的归属环境可以根据正在运行的安全特性来配置是否使用或者提 供服务，确保所有与业务相关的及由用户配置所要求的安全特征都在运行之中，这 个业务才能被使用。 2 3 2 第三代移动通信系统的安全原则 第三代移动通信系统是在第二代移动通信系统的基础上发展起来的，因此3 g 的 安全是建立在2 g 的基础上的。3 g 网络将保持与2 g 网络的安全兼容性确保网络内的 互操作与切换，它将保留2 g 中已证明是必须的和强健的安全技术，改善2 g 中存在或 者潜在的安全缺陷，同时针对3 g 系统的新特性提供全新的安全特征与安全服务1 2 0 1 。 3 g 系统的安全设计必须遵循以下三个原则： ( 1 ) 保留2 g 系统中被认为是必须的或应增强的安全特征； ( 2 ) 3 g 将改进2 g 系统存在和潜在的弱安全功能； ( 3 ) 3 g 系统将对提供的新业务提供安全保护。 2 3 3 第三代移动通信系统的安全目标 基于上述原则，3 g 系统安全应达到如下目标： ( 1 ) 保护所有用户产生或与之相关的信息不被滥用或盗用； ( 2 ) 保护归属网络与拜访网络提供的资源与服务不被防滥用或盗用： 9 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 ( 3 ) 实现安全功能标准全球兼容能力： ( 4 ) 将安全功能的标准化，实现不同服务网络间的漫游与互操作能力； ( 5 ) 确保提供给用户与运营商的安全保护水平高于已有固定或移动网络； ( 6 ) 确保3 g 安全能力的扩展性，使得3 g 系统安全具备升级能力。 2 3 4 第三代移动通信系统的安全要求 第三代移动通信系统的安全要求如下：1 1 9 ( 1 ) 保证业务接入的需要 除紧急呼叫外，接入任何第三代移动通信系统的业务都应需要有效的u s i m ， 由网络决定紧急呼叫是否需要u s i m 。应防止入侵者通过伪装成合法用户来越权接 入3 g 业务。用户可以在业务开始、传送期间验证服务网络是合法的，以用户归属 环境提供3 g 业务。 ( 2 ) 保证业务提供的需要 对业务提供者可以在业务开始、传送期间验证用户的合法性，以防止入侵者通 过伪装或误用权限来接入3 g 业务。应能检测和阻止欺诈性的使用业务和安全有关 的事件发生时，可以向业务提供者报警并产生相应的记录。应防止使用特殊的u s i m 接入3 g 业务。对某些用户，服务网络提供的归属环境可以使用特殊的u s i m 接入 3 g 业务。对某些用户，服务网络提供的归属环境可以立即停止它所提供的所有业务。 对服务网络，在无线接口上可以验证用户业务、信令数据和控制数据的发起者。通 过逻辑手段限制业务的获得来阻止入侵者。对网络运营商，应加强基础网络的安全 性。 ( 3 ) 满足系统完整性的需要 应防止越权修改用户业务，防止越权修改某些信令数据和控制数据，特别是在 无线接口上。防止越权修改的和用户有关的数据下载到或存储在终端u s i m 中。防 止越权修改由提供者存储或处理的、和用户有关的数据。应保证可以检查应用和下 载到终端u i c c 中的数据的起源和完整性。也应保证下载的应用和数据的保密性。 应保证验证数据的由来、完整性及最新的，特别是无线接口上的密钥。应保证基础 网络的安全性。 ( 4 ) 保护个人数据的要求 应可以保证某些信令数据和控制数据、用户业务、用户身份数据、用户位置数 掘的保密性，特别是在无线接口上。应防止参与特定3 g 业务的用户位置数据不必 要的泄露给同一业务的其它参与者。用户可以检查它的业务及与呼叫有关的信息是 否需要保密。应可以保证由提供者存储或处理的与用户有关的数据的保密性。应可 1 0 重庆邮电大学硕士论文 第二章移动通信系统中安全技术的概述与分析 以保证由用户存储在终端或u s i m 中的与用户有关的数据的保密性。 ( 5 ) 对终端u s i m 的要求 应可以控制接入到u s i m ，以便用户只使用它来接入3 g 业务。可以控制获得 u s i m 中的数据，如某些数据只有授权的归属环境才能获得。不能获得只在u s i m 中使用的数据，如验证密钥和算法。可以检测出是否是偷窃的终端。可以禁止某些 终端接入3 g 业务。改动终端的身份很困难。 ( 6 ) 合法的窃听的要求 依照国家相关法律，3 g 应该可以为执法机构提供检测和窃听每一个呼叫和呼叫 尝试，用户行为相关的呼叫和其它的服务。这可以通过相应设备或通过在服务网络 或归属环境中设置接口来实现。 2 4 本章小结 本章主要介绍了移动通信网络中存在的安全威胁，以及可采用的几种安全措施， 并对第二代移动通信中采用的安全技术进行介绍，并分析其存在的缺陷。同时，对 第三代移动通信网络的安全体系结构、安全目标、安全原则等进行说明。 重庆邮电大学硕士论文 第三章3 g p p 的无线接入认证的简介与研究 第三章3 g p p 的无线接入认证的简介与研究 第三代移动通信网络是在第二代通信网络的基础上建立起来的，并充分考虑了 和第二代网络的兼容性。由于第二代移动通信网主要是g s m 网络，因此本章主要 研究3 g p p 系统中的认证与密钥分配协议。 3 13 g p p 的身份认证协议的概述与分析 3 1 13 g p p 的身份认证协议的概述 用户每次接入网络都需要进行身份认证，确保合法用户可以接入网络。3 g p p 的安全体系结构中的身份认证与密钥分配协议是一个交互式过程，它沿用了g s m 的挑战应答认证模式，但是进行了较大的改进，具有更好的安全性。该认证过程是 在用户端( m s ) 和网络端的服务g p r s 支持节点( s g s n ) 和访问位置寄存器( v l r ) 之间执行；认证数据由归属网络归属位置寄存器v l r 和认证中心a u c 生成。该过 程称为身份认证和密钥分配( a k a ) 协议，具体的执行过程如图3 1 所示【职0 1 。 m s s m v l r s g s n )r m f f m r a u o 图3 1 身份认证与密钥分配协议 1 2 重庆邮电火学硕士论文 第三章3 g p p 的无线接入认证的简介与研究 由图3 1 可见，该协议分为两个部分：第一部分，认证数据的生成与传递，即 归属网络h e ( h l r a u c ) 给服务网络s n ( v l r s g s n ) 传递认证数据；第二部分， 服务网络对m s 的认证，即服务网络认证用户的身份，建立起呼叫连接。协议的具 体执行过程描述如下： 步骤l ：当移动用户m s 第一次访问网络时，把m s 的永久移动身份标识i m s i 传递给服务网络v l r s g s n ，发起接入通信网络的请求。 步骤2 - v l r s g s n 对m s 进行登记，然后将m s 的i m s i 发送给归属网络 h l r a u c ，请求发送m s 的认证数据。 步骤3 ：h l r a u c 收到v l r s g s n 发送的认证数据请求后，生成认证数据av , 并发送几组a v 给v l 刚s g s n 。 步骤4 ：v l r s g s n 从a v 中取出r a n d 和a u t n ，传给移动用户m s 。 步骤5 ：m s 收到r a n d 和a u t n 后，首先认证网络端身份，如认证成功，m s 生成移动用户身份认证相应r e s ，并传给v l r ，同时生成保密性密钥c k 和完整性 密钥i k 。 步骤6 ：v l r 从a u t n 中取出a u c 生成的嬲，比较r 殿是否与x r e s 相同； 如果相同，v l r 为移动用户分配一个临时身份号t m s i ，并利用保密性算法，8 加密 后传给移动用户。 步骤7 - u s i m 使用保密性算法压解密得到t m s i ，并将t m s i 存储起来，在以 后的通信过程，代替i m s i 在无线信道和网络中传递。 在上述协议第三步中，h l r a u c 生成的认证参数为：a 胆删dl | x r e s | | c ki l | ia u t n 。a v 的各个参数计算如下： 消息认证码：m a c = a ，r a n d ，s q n ，a m d ，长度为6 4 b i t ； 用户身份认证响应：r e s = - a ( k ，r a n d ) ，长度为6 4 b i t ； 加密密钥：c k = a ( k ，r a n d ) ，长度为1 2 8 b i t ； 完整性密钥：i k = f a ( k ，r a n d ) ，长度为1 2 8 b “； 认证令牌：a u t n = s q n a k l i a m f l l m a c 。 其中，a u t n 的各个参数为：s q n 为序列号计数器产生的序列值，a k 为4 8 b i t 的匿名密钥( a k = a ( k ，r a n d ) ) ，a m f 为认证与密钥管理域，m a c 为消息认证码。 生成各个参数的框图如图3 2 所示。 1 3 重庆邮电大学硕士论文 第三章3 g p p 的无线接入认证的简介与研究 认证 密钥k 臣亘亟三巫叵匦回 图3 2h l r a u c 中认证与密钥分配生成原理 上述协议第五步中，m s 卡的具体操作操作如下： 计算匿名密钥：么仁磊岱，r a n d ) 。 通过异或运算恢复序列值：s q n = ( s q noa k ) o a k 。 计算消息认证码：x m a c = f l ，r a n d ，s q n ，a m f ) ，并将其与a u t n 中的 m a c 进行比较。若两者不相同，m s 发送用户认证拒绝消息给v l r s g s n ，放弃连 接过程。 检查s q n ；是否在有效的范围之内。若蛳在有效的范围内，则放弃本次认 证过程。同时，m s 将发送同步失败消息给v l r s g s n ，其中包括一个参麴矾瞎， 随后中止认证过程。 其中，参麴u 硒= c o n e q m s ) i im a c - s 。而c o n c ( s ) = 啪s0 石 r a n d ) 是隐蔽在移动n m s q u 的计数器序列号s q n m s 的值。m a c s = ；趴sl