（应用数学专业论文）4g系统网络安全身份认证算法的研究.pdf

at h e s i si na p p l i e dm a t h e m a t i c s 1 。_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 1 。_ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ 。 渊 t h er e s e a r c ho fn e t w o r ks e c u r i t yi d e n t i t y a u t h e n t i c a t i o na l g o r i t h m i nt h e4 gs y s t e m b yz h e n g l i r u l a s u p e r v i s o r ： p r o f e s s o rz h a n gx i a n g d e n o r t h e a s t e r nu n i v e r s i q f e b2 0 0 8 l r 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研 究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过的研究成 果，也不包括本人为获得其他学位而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均己在论文中作了明确的说明并表示诚挚的谢意。 学位论文作者签名：绮劢煳眵 j 日 期：溯8 j j p 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的 规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允 许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部或部分内容编 入有关数据库进行检索、交流。 另外，如作者和导师不同意网上交流，请在下方签名；否则视为同意。 学位论文作者签名：导师签名： 签字日期：签字日期： j 1 1 j 垣霄lj 今； 东北大学硕士论文 摘要 4 g 系统网络安全身份认证算法的研究 摘要 随着无线网络与i n t e m e t 的不断结合，移动通信系统经历了第一代( 1 g ) 、第二代 ( 2 g ) 和第三代( 3 g ) 系统的发展历程，并朝着无处不在的全i p 化的下一代通用线通 信系统( 4 g ) 逐步演进。由于4 g 系统致力于无缝融合不同无线通信技术并支撑高速率 通信环境，其安全问题比以往的无线通信系统更加复杂和难于解决。因此，世界各国在 推动3 g 移动通信系统商用化的同时，己经把研究重点转移至4 g 系统的先期研究。纵 观所有的无线相关安全技术，从传统无线局域网的接入安全到8 0 2 1 x ，从g s m 到未来 4 g 网络的安全发展方向，身份认证技术是整个安全体系的第一道防线，而作为认证技 术核心问题的身份认证算法一直是业界关注的问题。对于多无线网络共存、结构复杂的 4 g 系统，如何高效的实现不同网络实体之间身份的相互认证，是一个相当复杂的问题， 然而现有无线网络安全体系对以上问题考虑不够深入和全面，对效率、兼容性、可扩展 性和用户可移动性的综合考虑也不够充分。本文从认证体制算法入手，研究适合于第四 代移动通信的身份认证算法方案。 本文第一章分析了4 g 系统国内外的研究和发展现状。在第一章的基础上，第二章 分析了无线网络与认证算法的密切关系，根据4 g 系统的安全设计原则，确定了4 g 系 统面临的安全威胁和安全需求；详细描述了几种常用的认证机制，并且将现有身份认证 公钥密码系统进行了详细的分析和对比。在此基础上，第三章结合椭圆曲线密码体制与 自我验证的身份认证公钥密码系统，建立了一个基于g f ( 2 m ) 域椭圆曲线的自我验证身 份认证方案。最后的一章对本文做了一个较为全面、深刻的总结。 关键词：4 g 系统；身份认证；椭圆曲线 ，一0 h厦叠h1；一 1 、 f 东北大学硕士学位论查一 一一垒坠盟 _ _ - _ - _ _ _ - _ _ - _ 一一 t h er e s e a r c ho fn e t w o r ks e c u r i t yl d e n t i t ya u t h e n t i c a t i o n a l g o r i t hm i nt h e4 gs y s t e m a b s t r a c t w 油t h ec o n t i n u o u sc o m b i n a t i o n so fw i r e l e s sn e t w o r k s 趾di n t e m e t ，t h e m o b i l e c o m m u n i c a t i o ns y s t e mh 髂e x p e r i e n c e dt h ed e v e l o p m e n to f1g ( t h e f i r s tg e n e r a l t i o n ) ，2 g ( t 1 1 e s e c o n dg e n e r a t i o n ) a i l d3 g ( t h et h i r dg e n e r a t i o n ) ，a n dg r a d u a l l ye v o l v e dt o w a r d s t l l ew h o l e _ i p g e n e r a ll i n ec o m m u i l i c a t i o ns y s t e mi n4 g ( m ef o u n hg e n e r a t i o n ) e v e r ) r 、j v h e r e d u e t ot l l e m 够o nt h a tt h e4 gs y s t e ms e a n l l e s s l yi n t e 鲈a t e so fd i f r e r e n tw i r e l e s sc o m m u n i c a t l o i l sa i l d s u p p o r t sm e1 1 i 曲s p e e dc o m m u i l i c a t i o ne n v i r o m e n t ，s e c 嘶t ) ，p r o b l e m so f4 ga r em o r e c o m p l i c a t e da r l dd i 衢c u l t t 0r e s o l v et h 趾t h cf o h n e rw i r e l e s sc o m m u n i c a t l o ns y s t e m s t h e r e f o r c 。a l lc o u n t r i e si i lt 1 1 ew o r l da r ep r o m o t i n gm ec o m m e r c i a l i z a t i o no f3 gm o b i l e c o m m u n i c a t i o i l ss y s t e m s ，锄da tt h cs 锄et i m e ，t 1 1 e yh a v es h i r e dt l l er e s e a r c he m p h 弱l so n m ep r e l i m i n a d rs t u d yo ft l l e4 gs y s t e m c o m p a r i n ga ta j l t e c l l i l o l o g i e sr e l a t e d 谢t 1 1 、) l ，i r e l e 豁 n e t w o r k c u r i t i e s 。w h i c ha r e 仔o mt l l ea c c e s s c u r i 锣o f t r a d i t i o n a l 、析r e l e s sl a n st o8 0 2 1x ， 五的mg s mt 0t h es e c u r i t ) ，d e v e l o p m e n td i r e c t i o no ft i l e 如t u r e4 gs y s t e 】鸭t l l ei d e n t i 哆 a u l 帖n t i c 撕o nt e c l l l l o l o g yi st l l ef i r s td e f e n s el i n eo fm ew h o l e c u r i 哆s y 妣m 锄d m a tk i n d o fa 1 9 0 r i t h ma p p l i e di nu 1 es y s t e mi st l l em o s ti m p o r t a i l tp r o b l e mi na u t l l e n t i c a t i o nt e c l l i l o l o g y f o rm o r em a na 诵r e i e s sn e t 、o r kc o e x i s t e n c e ，a n dm ec o m p l e xs t r u c t u r eo f4 gs y s t e m ，m e r e a l i z a t i o no fh o we 衔c i e n t l yb e t w e e nd i f r e r e n tn 咖o r ke n t i t i e s 弱t 1 1 em u t u a la u t h e n t i c a t i o n ， i sav e 珂c o m p l e xi s s u ef o rm e4 gs y s t e m 晰t l lc o m p l i c a t e ds t r u c t u r ea n dv a r i o u sk i n d so f 晰r e l e s sn e t w o r kc o e x i s t e n c e s ，i ti sq u i t eac o m p l i c a t e dp r o b l e mt 0r e a i i z em ec o 。i d e n t i t ) r a u t h e n t i c a t i o n s 锄o n gd i 疏r e n tr l e 咖r ke n t i t i e se 毹c t i v e l y h o w e v e r t h ee x i s t e dw i r e l e s s n e t w o r ks e c u r i t ys y s t e m sa r en o tc o n s i d e r e dd e e p l ya l l dc o m p r e h e n s i v e l y o nt l l ea b o v e p r o b l e m s ， a i l da r ei n s u m c i e n to nt h ec o m p r e h e l l s i v ec o n s i d e r a t i o n so fm ee f f i c i e n c y ， c o m p a t i b i l i t y e x p a n s i b i l i t ) ，a n du s e r - r e s o l v a b i l i 够t h i sp a p e rs t a r t s 行o mt h ea u t h e n t l c a t l o n s y s t e ma l g o r i t h ms y s t e m a 1 1 dr e s e a r c h e s t h ei d e n t i t y 。a u t h e n t i c a t i o na l g o r i t h mr e s e a r c h i n g p r 硝e c to f t h em o b i l ec o m m u n i c a t i o ni n4 q i nc h a p t e r1 ，t i l i st h e s i sf i r s ta 1 1 a l y z e st h cr e s e a r c h i n ga n dd e v e l o p i n gs t a t u so ft h e4 g s v s t e mi nt h eh o m ea 1 1 da b m a d ，a n dt h e ni nc h a p t e r2a n a l y z e st h ea f n n i t yo ft h ew i r e l e s s n e t w o r ka n dt h ea u t h e n t i c a t i o na l g o r i t h m a c c o r d i n gt ot h es e c u r i t yd e s i g n i n gp r i n c i p l e so f t h e4 gs y s t e m ，t h ep a p e rc o n c l u d e st h es e c u r i t yt h r e a t sa n dn e e d st h a t t h e4 gs y s t e ma r e i i i 一 -iilri-f0 东北大学硕士学位论文 a b s t r a c t f a c i n g o nt h eo t h e rh a n d ，t h ep a p e ra l s od e t a i l e dd e s c r i b e ss e v e r a lc o m m o na u t h e n t i c a t i o n m e c h a n i s m s埘t i lt h ed e t a i l e d a i l a l y s e s a l l dc o n t r a s t so ft h ee x i s t e di d e n t i f i c a t i o n a u t h e n t i c a t i o nk e yc r y p t o g r a p h i e s o nt h eb a s i so ft h i s ，i nc h a p t e r3 w i t hm ec o m b i i l a t i o no f t 1 1 e e l l i p s ec u r v i n gp a s s 、v o r dm e c h 枷s ma i l dt 1 1 es e l f v a j i d a t e di ( 1 e n t i t ya u t l l e n t i c a t i o nk e y c r y p t o 聊h y ，t 1 1 es e l v a j i d a t e di d e n t i t ya u t l l e n t i c a t i o np r o j e c tb a s e do nt l l eg f ( 2 m ) f i e l d e l l i p s ec u r v ei ss e tu p 访m ep a p e r i nt l l el a s tc h a p t e r ，ac o n c l u s i o nf o rt | l ew h o l em e s i si ss e t u p k e yw b r d s ：4 gs y s t e m ；i d e n t i t ya u m e n t i c a t i o n ；e l l i p t i cc u r v e i v o 东北大学硕士学位论文缩略语 缩略语 1 gt h ef i r s tg e n e r a t i o n 第一代移动通信系统 a m p sa d v 锄c e dm o b i l ep h o n es y s t e m 高级移动电话系统 1 a c s t o t a l a c c e s s c o m m 哪i c a t i o n s s y s t e m 全入网通信系统 n m l u 5 0n o r d i cm o b i l e1 e l e p h o n y 一4 5 0 北欧移动电话4 5 0 2 gs e c o n dg e n e r a t i 第二代移动通信系统 g s m g l o b a is y s t e mf o rm o b i i ec o m m u n i c a t i o n 全球移动通信系统 i s 9 5 ac d m a f s - 9 5 ac o d ed i v i s i o nm u l t i p l ea c c e s s 窄带c d m a ( n c d m a ) 标准 g p r s( j e n e m lp a c k e tr a d i os e r 、，i c e 通用分组无线业务 c d m a 2 0 0 0c o d ed i v i s i o nm u l t i p l ea c c e s s 2 0 0 0 - ixc d m a2 0 0 0 第一阶段 l x e d g ee n h a n c e dd a t ar a t ef o rg s me v o l u t i o n 增强型数据速率g s m 演进技术 3 gt 1 l en i r dg e n e 亿t i 第三代移动通信系统 u m t s u n i v e 髓im o b i l e1 c i e c o m u n i c a t i o ns y s t e m 全球移动通信系统 w c d m aw i d e b a i l dc o d ed i v i s i 伽m u l t i p i ea c c e s s 宽带码分多址 t d s c d m a1 伽ed i v i s i 鲫一跏1 c h 姗o u sc o d ed i v i s i 时分同步码分多址 m u l t i p l ea c c e 鹞 c d m a 2 0 0 0c d m am u l t i c a r r i e rc d m a 2 0 0 0 w p ：a nw i r e l e s sp e 体o n a la r e an e t w o r k 无线个人局域网 w l a n w i r e l e s sl o c a la 他an e “y o r k s无线局域网 u w bu l n aw i d eb 鲫d 无线超宽带通信 w b a nw i r c i e s sb o d ya r e an e t w o r k 无线物体域 4 g t h ef o u n hg e n e r a t i o n第四代移动通信系统 v tuj，kf j也噩7，；1 东北大学硕士学位论文 目录 目录 独创性声明i 摘要i i a b s t r a c t “i i i 第一章绪论“l 1 14 g 系统应用及其安全问题l 1 24 g 系统研究与发展现状1 1 2 1 世界4 g 系统研究发展现状l 1 2 2 我国4 g 系统研究发展现状3 1 3 论文的主要工作和章节安排3 第二章4 g 系统身份认证算法5 2 14 g 系统与认证算法5 2 24 g 系统的安全设计原则一5 2 2 1 4 g 系统的安全威胁- 8 2 2 24 g 系统的安全需求1 l 2 3 安全认证方法l2 2 4 常用的认证体制1 3 2 4 1f eig e fia t s h a mir 算法l3 2 4 2g ui i lo u q uis q u a t e r 算法1 4 2 4 3c i a u s s c h n o r r 算法。1 5 2 5 身份认证公钥密码系统1 5 2 5 1 基于身份的公钥密码系统1 6 2 5 2 基于证书的公钥密码系统1 8 2 5 3 自我验证的公钥密码系统1 9 2 。6 本章小结2 2 第三章基于椭圆曲线的自我验证身份认证算法2 3 3 1 方案提出的背景2 3 3 2 身份认证协议2 6 v i 3 2 1 身份认证协议总体方案，6 3 2 2 协议初始化阶段，) 7 3 2 3 用户的注册阶段，7 3 2 4 身份认证过程，o 3 3 协议分析：21 3 3 1 安全性分析11 3 3 2 复杂度分析1 ， 3 4 本章小结气气 第四章结论3 4 参考文献，7 致谢4 1 v i i 东北大学硕士学位论文第一章绪论 第一章绪论 1 14 g 系统应用及其安全问题 随着移动通信系统与互联网的不断互连，全球移动用户数目正迅猛增长，移动业务 的主体也在快速转变，手持移动终端将逐步取代p c 机成为人机接口的主要设备。在我 国，移动通信也是最具发展活力的产业之一。国家发改委与信息产业部联合发布的信 息产业“十一五”规划称，到2 0 1 0 年，移动电话用户总数将达6 亿户，普及率4 5 部 百人。 然而，在这样的一个迅猛增长的态势下，为高速数据和流媒体业务设计的第三代 ( 3 g ) 移动通信系统在通信的容量与质量等方面将远远不能满足要求。如3 g 缺乏全球 统一标准；所采用的语音交换架构仍承袭了第二代( 2 g ) 的电路交换，而不是纯i p 方 式；流媒体( 视频) 的应用不尽如人意；数据传输率也只接近于普通拨号接入的水平等。 因此，世界各国在推动3 g 移动通信系统商用化的同时，己经把研究重点转移至第四代 ( 4 g ) 移动通信系统的先期研究，在概念和技术上寻求创新和突破，从而使无线通信的 容量和速率有十倍甚至百倍的提高。 由于4 g 移动通信系统致力于无缝融合不同无线通信技术并支撑高速率通信环境， 其安全问题比以往的无线通信系统更加复杂。而现有3 g 等无线网络安全体系由于缺乏 可扩展性、不可否认性、对有线链路和移动终端( m e ) 的安全考虑不够充分等缺陷， 不能满足下一代移动通信系统的安全需求。如果不及时研究合理的安全体系，4 g 的各 种优势将受到巨大的威胁，最终留下致命安全隐患并导致q o s 下降，从而很可能使整个 系统功败垂成。因此，尽快针对4 g 的安全体系进行深入的研究，形成自主、创新的理 论体系，可增加我国在4 g 标准制定中的国际竞争力，具有非常积极的理论和现实意义。 1 24 g 系统研究与发展现状 1 2 1 世界4 g 系统研究发展现状 目前世界发达国家都正在积极进行4 g 技术规格的研究制定，力争在全球4 g 规格 制定中享有发言权。4 g 的各项运行标准将由国际电信联盟( i t u ) 电信标准局决定。新一 代无线通信技术在美国及日本等发达国家己经进入密集的研发和市场化阶段。新的研究 1 东北大学硕士学位论文第一章绪论 包括网络结构、用户切换和漫游等移动环境下的系统实现方案，从而实现用户的大范围 移动。这种技术路线是当前国际上设计第四代移动通信系统的主要思路。移动通信系统 与互联网的结合，给双方的发展都将注入更大的活力。 在新一代技术刚推出市场之后，更高的技术应用已经在实验室进行研发。目前全球 范围内有多个组织正在进行4 g 系统的研究和标准化工作，如i p v 6 论坛、s d r 论坛、 3 g p p 、无线世界研究论坛( m ew i r e l e s sw o r l dr e s e a r c hf o n l m ) 、i e r f ( t h ei n t e m e t e n 西n e 嘶n gt a s kf o r c e ) 和m w i f ( t h em o b i l ew i r e l e s si i l t e m e tf o 眦1 ) 等。一些全球著名的 移动通信设备厂商也在进行4 g 的研究和开发工作。由1 4 家无线运营商、手机厂商以及 基础设备厂商组成的无限移动访问( u n l i c e n s e dm o b i l ea c c e s s ) 组织发布了无线移动访问标 准草案，旨在实现移动设备在蜂窝式网络和无线数据网络间的无缝转换。日本的n t t d o c o m o 公司已经表示，4 g 通信的试验网络已经部署在公司的横须贺研发园内，该网 络集结了试验基站和移动终端，同时n t td o c o m o 公司还表示，4 g 通信服务将于2 0 1 0 年推出，网络的下载速度可以达到1 0 0 m b p s ，上载速度为2 0 m b p s 。美国a 1 设t 公司推 出的4 g 通信网络的试验，据说可以配合目前的e d g e 进行无线上传，并通过o f d m 技 术达到快速下载的目的。美国a t & t 公司声称大约还需要五年，这项技术才能发布；再 有十年左右的时间，4 g 才能真正投入到商用阶段。在去年二月份，欧洲的四家移动设 备生产商阿尔卡特、爱立信、诺基亚和西门子组成了世界无线研究论坛( w w i 疆) j 以研究3 g 以后的发展方向。w w r f 预计4 g 技术将在2 0 1 0 年开始投入应用。这一代 通信技术可以将不同的无线局域网络和通信标准，手机信号，无线电通信和电视广播以 及卫星通信结合起来，这样手机用户就可以随心所欲的漫游了。目前在欧洲地区，无线 区域回路与数字音讯广播已针对其室内( i n d 0 0 r ) 应用而进行相关的研发，测试项目包括 1 0 m b p s 与m p e g 影像传输应用，而第四代移动通信技术则将会是现有两项研发技术的 延伸，先从室内技术开始，再逐渐扩展到室外的移动通信网路。爱立信公司的一位高级 官员表示，该公司在经济不景气的情况下不会减少研发第四代无线通讯技术的预算的， 该公司的负责人同时表示，该公司的研发工作具有3 1 0 年的前瞻性，暂时的需求不振 不会使该公司放慢研究的速度。 国际电信联盟无线电通信部也已经达成共识，将把移动通信系统同其他系统结合起 来，在2 0 i o 年之前是数据传输数率达到1 0 0 m b p s 。对于更高级的3 g 系统，l t u 决定同 时发展i m t _ 2 0 0 0 的两个标准提高数据包和声音文件的传输速率被日本n t t d o c o m o 和j p h o n e 两家公司采用的w c d m a 将能最大达到2 m b p s 的下载速率，而 2 一 东北大学硕士学位论文 第一章绪论 c d m a 2 0 0 0 系统也将达到2 4 m b p s 的速率。同时i t u 对外发表声明说目前第四代移动 通信的频段尚未被讨论与制订，不过原则上将会是以高频段频谱为主，另外也将会使用 到微波相关的技术与频段。 1 2 2 我国4 g 系统研究发展现状 在我国，第四代移动通信已被正式列入了国家“十五”、“8 6 3 研究计划，并且 于2 0 0 l 启动了名为f u t u i 汪( f u t u r et e c l l i l o l o g i e sf o ru n i v e r s a lr a d i oe n v i r 0 姗锄t ) 的未 来移动通信研究计划。这个计划分以下三阶段实施： 2 0 0 1 年1 2 月至2 0 0 3 年1 2 月( f u t u r ei ) ，开展b e y o n d3 g 4 g 蜂窝通信空中接口技 术研究，完成b e y o n d3 g 4 g 无线传输系统的核心软、硬件研制工作，开展相关传输 实验，向i t u 提交有关建议，申请一批核心技术专利。 2 0 0 4 年1 月至2 0 0 5 年1 2 月( f u t u r ei + ) ，使b e y o n d3 g 缁g 空中接口技术研究达到 相对成熟的水平，进行与之相关的系统总体技术研究( 包括与无线自组网络、游牧 无线接入网络的互联互通技术研究等) ，完成联网实验和演示业务的开发，建成具 有b e y o n d3 g 膳g 技术特征的演示系统，向i t u 提交初步的新一代无线通信体制标准。 2 0 0 6 年1 月至2 0 l o 年1 2 月( f u t u r ei i ) ，设立有关重大专项，完成通用无线环境的 体制标准研究及其系统实用化研究，开展较大规模的现场实验，完成预商用系统的 研制。 1 3 论文的主要工作和章节安排 身份认证算法及在4 g 系统中的实现问题将作为本论文的重点讨论内容。认证技术 是信息安全理论与技术的一个重要方面，而身份认证则是安全系统中的第一道关卡。用 户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的 身份和授权数据库决定用户是否能够访问某个资源。访问控制和审计系统都要依赖于身 份认证系统的提供的“信息”一用户的身份。可见身份认证在安全系统中的地位极其重 要，是最基本的安全服务，其它的安全服务都要依赖于它。一但身份认证系统被攻破， 那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统。而认证 算法是身份认证技术的核心部分，因此加强身份算法及其应用的研究是一个非常重要的 课题。 4 g 系统的一个突出特点就是融合了多种多样的现存无线网络，如何实现用户与不 同网络实体之间的相互认证，使一个值得考虑和探索的问题。本文提出了一种基于可信 一3 - 东北大学硕士学位论文第一章绪论 任第三方的椭圆曲线身份认证协议，并且分析了其安全性及时间复杂度。本文的研究为 4 g 系统中的身份认证的实现提供了参考，并为4 g 系统的设计、实旌和普及提供有利的 凭证和参考。 本文首先分析了4 g 系统国内外的研究和发展现状。然后分析了无线网络与认证技 术的密切关系，根据4 g 系统的安全设计原则，确定了4 g 系统面临的安全威胁和安全 需求；详细描述了几种常用的认证机制，并且将现有身份认证公钥密码系统进行了详细 的分析和对比。在此基础上，结合椭圆曲线密码体制与自我验证的身份认证公钥密码系 统，建立了一个基于g f ( 2 m ) 域椭圆曲线的自我验证身份认证方案。本文文章的结构如 下： 第一章介绍了4 g 系统在未来的应用以及面临的安全问题，并在此基础上分析了 4 g 系统在国内外的研究和发展现状。 第二章分析了认证算法在未来4 g 系统中的重要作用，根据4 g 移动通信网的设计 原则，确定了4 g 网络的安全威胁和安全需求。介绍了几种典型的认证体制。然后结合 无线环境的固有特点，分析了几种公钥密码系统的优缺点。在此基础上选定自我验证的公 钥密码作为本文系统设计的公钥密码方案。 第三章在前几章的工作上，利用改进的椭圆曲线快速算法和自我验证的公钥密码 系统，进一步实现了一种4 g 网络环境下的身份认证方案。它是一种将椭圆曲线密码算 法的高效性和自我验证的公钥密码系统的简洁性相结合提出的适用于第四代移动通信 网环境下的身份认证方案。 第四章对全文进行了总结。 4 东北大学硕士学位论文第二章4 g 系统身份认证算法 第二章4 g 系统身份认证算法 2 14 g 系统与认证算法 科技的发展推动了时代的前进，同时也推动了移动通信系统的发展。移动通信自其 兴起之日已经经历了三代，每一代系统都将沿袭其前一代系统的优点，并且将新技术与 移动通信的自身特点紧密结合。随着科学技术的发展，无线移动通信发展同新月异，新 业务、新技术层出不穷。科技的不断发展、当前通信系统存在着不可忽视的缺陷以及人 们日益增长的业务需求三者之间的矛盾推动着下一代移动通信系统的设计和研究。尽管 3 g 标准比现有其他无线技术更强大，但是也将面临竞争和标准不兼容等问题。国际电 信联盟( i t u ) 目前已经开始研究制订第四代移动通信系统标准，并已达成共识：把移 动通信系统同其它系统( 例如无线局域网等) 结合起来，产生4 g 技术，2 0 1 0 年之前使 数据传输数率达到l o o m b p s ，以提供更有效的多种业务。4 g 将适合所有的移动通信用 户，最终实现商业无线网络、局域网、蓝牙、广播、电视卫星通信的无缝衔接并相互兼 容。 纵观所有的无线相关安全技术，从传统无线局域网的接入安全到8 0 2 1 x ，从g s m 到未来4 g 网络的安全发展方向，身份认证技术是整个安全体系的第一道防线，而作为 认证技术核心部分的身份认证算法一直是业界关注的问题。认证包括终端对服务器或者 说网络的认证、网络对终端的认证以及终端对终端的认证，主要用于保证用户的安全入 网、网络的安全保障和抗抵赖性保证。对于多无线网络共存、结构复杂的4 g 系统，如 何高效的实现不同网络实体之间身份的相互认证，是一个值得关注的问题。 2 24 g 系统的安全设计原则 目前，很多学者或研究机构都开始针对4 g 的安全展开研究，提出了不少的建议和 设想。其主要研究思路基本可分为两大技术路线：第一条路线是把4 g 系统抽象为一个 全i p 的移动网络，不关心具体的无线通信技术和空中接口，也不考虑接入网的组成方 式，以研究移动i p 的安全作为4 g 安全的入手点。另一条路线则坚持以2 g 3 g 蜂窝网 为骨架，重点考虑蜂窝网与其它无线网络的互连互通问题，如2 5 g 3 g 和w l a n 的连 通问题。 5 东北大学硕士学位论文第二章4 g 系统身份认证算法 目前4 g 的标准尚未制定，不同的研究机构和学者都有自己的看法和见解。但从被 大家普遍接受的抽象概念上来讲，第四代移动通信系统是一种宽( b r o a d b a j l d ) 接入和 分布式的全i p 网络。图2 1 描述了4 g 系统的抽象模型。 图2 14 g 系统的体系结构 f i g 2 14 gs y s t e ma r c h i t e c t u r e 4 g 系统是自3 g 移动通信系统基础上发展起来的。4 g 系统的安全性非常重要。它 将继承3 g 系统的安全优点，同时针对4 g 系统的新特性，定义更加完善的安全特征与 安全服务。4 g 系统集3 g 系统与w l a n 于一体的，并能够传输高质量视频图像，它的 图像传输质量与高清晰度电视不相上下。4 g 系统能够以1 0 0 m b p s 的速度下载，比目前 的拨号上网快2 0 0 0 倍，上传的速度也能达到2 0 m b p s ，并能够满足几乎所有用户对于无 线服务的要求。 由于无线网络区别与有线网络的特性，在设计安全方案时应同时考虑安全性、效率、 兼容性、可扩展性和用户的可移动性五大因素。特别是对于多无线网络共存、结构复杂 的4 g 系统，该五大因素是检验其安全方案的相互关联、影响、且密不可分的重要指标。 6 东北大学硕士学位论文 第二章4 g 系统身份认证算法 针对以上五大因素，在制定4 g 无线网络安全方案时应综合采用以下策略。如图2 2 所 示。 图2 2 4 g 系统安全策略 f 弛2 24 gs y s t e ms e c u r i 够s t r a t e g y ( 1 ) 安全策略 可采用图2 1 描述的安全技术策略和安全管理策略。 认证技术包括实体认证和数据源认证。实体认证是证明一个用户、系统或应用 所声称的身份。这在混合了多种无线网络的4 g 系统中，具有突出重要的地位。 它能够抵御伪基站攻击，并且使得非法用户无法接入服务网络。 加密技术是为了防止信息未经授权泄露、篡改和破坏，同时防止攻击者对通信 业务的分析。数据加密通常可分为链路加密、节点加密和端到端加密。 由于缺乏完整性保护和完善的访问控制策略，容易被病毒、木马或恶意代码所 侵蚀，从而造成用户的机密信息被泄漏或篡改，攻击者骗取合法用户使用被恶 意改造的移动终端，以截获用户的个人信息和敏感数据，如用户口令或指纹。 不可否认性要求系统采取必要的措施防止用户否认其使用的服务或资源这一行 为。 ( 2 ) 效率策略 由于无线网络各种资源的限制，所设计的安全方案如要在可接受的时限内提供期望 的安全，须考虑以下效率策略： 7 东北大学硕士学位论文第二章4 g 系统身份认证算法 安全协议要求交互的消息数目尽量少，每条消息的长度尽量短。 需要移动终端完成的任务应尽量的少，以减少时延。 协议要求的计算能力要具有明显的非对称性，大的计算负担应该在服务网络端 完成，从而进一步减轻移动终端的负担。 充分利用移动终端的空闲时间进行预计算和预认证。 对于短时间内无法获得实质性服务的业务( 如几秒钟的话音和视频业务并不能 构成实际的服务) ，在紧急情况下可先提供服务，然后进行滞后认证。如未能通 过认证，则中止服务。 选用效率高且需要资源少的密码算法。 充分利用先前已建立的信任关系，减少再次认证的成本。如缓存机制和临时身 份机制等。 ( 3 ) 其他策略 兼容性、可移动性和可扩展性是密切关联的三个因素，在4 g 系统中应对这些因素 的策略是： 协商机制：移动终端和无线网络协商共同支持的协议和算法。 可配置机制：合法用户可在安全保障下配置终端的安全选项。 混合制策略：结合不同安全体制，形成优势互补。 多策略机制：针对不同的场景提供不同的安全策略，比如，首次登录网络和再 次接入网络的认证应给予不同的考虑。应充分利用已有的先验知识来节约开销， 提高效率。另外切换认证也应该较普遍接入认证有更高的效率。 多安全级别策略：针对不同的场合和需求使用不同的安全级别。如普通通话和 基于移动终端的电子商务应具有不同的安全级别。另外，不同的无线网络也具 有不同的安全级别，如3 g 用户进入2 g 网络时，应采用2 g 网络的安全级别。 2 2 14 g 系统的安全威胁 作为一个多种无线网络共存的通信系统，4 g 系统包括移动终端、无线接入网、无 线核心网和i p 骨干网i n t e m e t 四个部分【1 吲。因此，其面临的安全威胁也来自于这四个 方面，并且现有无线网络和i n t e m e t 中存在的安全隐患都将共存于4 g 系统中。由于i p 骨干网i n t e m e t 的安全问题早已被提上议程，且相关的研究工作很多，其安全问题不是 本文的研究重点。限于文章的篇幅，本章根据4 g 系统的特性，从移动终端、无线网络 一8 东北大学硕士学位论文 第二章4 g 系统身份认证算法 ( 包括接入网和核心网) 、无线业务面临的威胁三方面来分析4 g 系统特有的安全威胁。 令移动终端在4 g 系统中的面临的安全威胁 移动终端在4 g 系统中的面临的安全威胁包括以下几个方面： ( 1 ) 移动终端硬件平台面临的安全威胁： 移动终端硬件平台缺乏完整性保护和验证机制，平台中各个模块的固件容易 被攻击者篡改； 移动终端内部各个通信接口缺乏机密性和完整性保护，在此之上传递的信息 容易被窃听或篡改； 现有移动平台缺乏完善的访问控制机制，特别是基于硬件的强访问控制，信 息容易被非法访问和窃取，无线终端丢失后造成的损失也更加巨大； ( 2 ) 移动终端使用不同种类的操作系统，但根据表2 1 的分析可以看出，各种移动操 作系统并不安全，存在许多公开的漏洞； ( 3 ) 移动终端支持越来越多的无线应用，如基于无线网络的电子商务、电子邮件等。 此类应用固有的安全隐患和相应程序自身的漏洞将给计算能力有限的无线终端 带来更大安全威胁。同时这些无线应用也丰富了移动终端感染病毒、木马和蠕 虫的渠道； ( 4 ) 用户对移动终端的配置能力逐渐增强，不合理的配置很可能会导致安全级别的 降低； ( 5 ) 随着性能的提升，移动终端将被利用成为新的攻击工具，用于入侵无线、有线 网络： ( 6 ) 移动终端体积逐渐缩小，品质不断提高，价格昂贵的高端手机也相继问世，但 丢失和被窃取的概率也随之增大。而现有基于口令的用户认证机制难以抵