（通信与信息系统专业论文）3g通信网络的安全分析.pdf

摘要 摘要 第三代移动通信系统( 3 g ) 建立在第二代移动通信系统( 2 g ) 的安全基础上， 采纳了在g s m 和其他第二代系统内己经证明是必要的和加强的安全元素，并确定 和校正了第二代系统中己知的缺点。 在第三代移动通信系统( 3 g ) 中，实现了用户和网络的相互认证，其中网络对 用户的认证采用的是动态双向鉴权方式，而用户对网络的认证采用的是动态单向鉴 权的方式。其中而用户对网络的认证采用动态单向鉴权是3 g 系统区别于2 g 系统安 全特征的一个重要特性，有其独特的设计方式。在认证和密钥分配中使用到了f 0 、 r l 、厂1 、厂2 、厂3 、厂4 、，5 和厂5 。等安全算法。 本文着重研究了第三代移动通信系统的安全。首先介绍了2 g 系统结构及其存在 的安全缺陷。然后概述了3 g 的安全原则、目标、要求及其面临的安全隐患，详细 分析了3 g 移动通信系统的安全体系结构，分析了3 g 的安全特征。对3 g 接入网络中 的鉴权和认证、数据机密性和数据完整性服务等机制进行了深入的探讨，对实现上 述各种机制的算法和协议做了详细的介绍。然后针对这些安全隐患，和业已提出的 一种高效的基于自验证公钥的认证方案相结合，给出一种基于椭圆曲线的自验证公 钥的3 g 通信系统认证方案。 关键词：3 g 系统安全安全技术鉴权和认证3 g 安全漏洞椭圆曲线 a b s l r a c t a b s t r a c t t h es e c u r i t yo ft h et h i r dg e n e r a t i o nm o b i l es y s t e mi sb u i l to nt h es e c u r i t yo ft h e s e c o n dg e n e r a t i o nm o b i l es y s t e m , b ya d o p t i n gt h es e a 啪t h a th a v eb e e np r o v e de s s e n t i a l a n ds t r e n g t h e n e do ft h eg s m g e n e r a t i o nm o b i l es y s t e m , a n dr e c t i f y i n gt h ed i s a d v a n t a g e o f t h em o b i l es y s t e n la n db a s i so f t h ec h a r a c t e r i s t i co t h e rs e c o n dg e n e r a t i o n i nt h et h i r dg e n e r a t i o nm o b i l es y s t e m ( 3 g ) t h em u t u a la u t h e n t i c a t i o nb e t w e e nt h e u s e ra n dt h en e t w o r kh a db e e np r e s e n t e d t h en e t w o r ku s e st h ed y n a m i cb i d i r e c t i o n a l a u t h e n t i c a t i o nw a yt oa u t h e n t i c a t et h eu s e r a n dt h eu s e ru s e st h ed y n a m i cu n i d i r e c t i o n a l a u t h e n t i c a t i o nw a yt oa u t h e n t i c a t et h en e t w o r k s p e c i a l l y ，t h ed y n a m i cu n i d i r e c t i o n a l a u t h e n t i c a t i o ni st h ei m p o r t a n ts e c u r i t yf e a t u r eo ft h et h i r dg e n e r a t i o nm o b i l es y s t e m v a r i e dt o2 gs y s t e m t h ef u n c t i o n so f 门、f l 、f 2 、f 3 、f 4 、f 5a n d f 5 a r eu s e di nt h e a u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c 0 1 t h i sp a p e ri sd e v o t e dt ot h es e c u r i t yo f3 gm o b i l ec o m m u n i c a t i o ns y s t e m i tf i r s t i n t r o d u c e d2 gs y s t e ma r c h i t e c t u r ea n dt h ee x i s t i n gs e c u r i t yd e f e c t s a f t e rt h a t ，i tc o v e r e d t h es e c u r i t ym e n a c e sf a c e db y 3 g ，t h es e c u r i t yp r i n c i p l e s ，o b j e c t sa n dr e l u i r e m e n t s i t a l s oa n a l y z e da n ds t u d i e dt h es e c u r i t yc h a r a c t e r i s t i c so f3 g t h e ns m m n a r i z e st h e s e c u r i t yt h r e a t s3 ga r c h i t e c t u r e i sf a c i n gb ya n a l y z i n gt h es e c u r i t yf e a t u r e so f3 g s e c u r i t ya r c h i t e c t u r ep r o t o c o l ，i sp r o p o s e d t h e nai m p r o v e m e n tt oa ns e l f c e r t i f i e dp u b l i c k e yb a s e d a n t h c n t i c a t i o ns c h e m ei n c l u d i n gp u b l i ck e yb r o a d c a s tp r o t o c o la n d s e l f - c e r t i f i e dp u b l i ck e yb a s e da u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c o li sp r e s e n t e d f o r3 ( 3s y s t e m s a n di ti sb a s e do nt h ee l l i p t i cc u r v ed i s c r e t el o g a r i t h mp r o b l e m ，w e a d o p ta p p r o a c h e s t oc o m b i n i n gp u b l i ck e yb r o a d c a s tp r o t o c o l w i t hs e l f - c e r t i f i e d p u b l i c k e yb a s e d a u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c 0 1 k e y w o r d s ：3 gs e c u r i t y s e c u r i t ya l g o r i t h m a u t h e n t i c a t i o na n dk e ya g r e e m e n tp r o t o c o l e c c 声明 西安电子科技大学 创新性声明 秉承学校严谨的学分和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注 和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果； 也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表 示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名： 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留 送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容， 可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后结合学 位论文研究课题再攥写的文章一律署名单位为西安电子科技大学。 ( 保密的论文在解密后遵守此规定) 本学位论文属于保密，在一年解密后适用本授权书。 本人签名：呈垒 一。必。，7 哮 导师签名：；：羔，： 第一章绪论 第一章绪论 1 1 论文研究的背景和意义 随着移动通信技术的飞速发展和普及，在移动通信领域中出现了越来越丰富的 业务种类，除了传统的语音与数据业务外，多媒体业务、交互式数据业务、电子商 务、互联网业务等多种信息服务也越来越受到人们的青睐。这些新业务对通信系统 中信息的安全性以及网络资源使用的安全性提出了更高的要求，移动通信网络的安 全性将变得越来越重要。 移动通信网络经历了三个发展阶段i l 】： 第一代蜂窝移动通信系统出现于2 0 世纪7 0 年代后期，是基于模拟通信技术，采 用频分复用( f d m a ：f r e q u e n c yd i v i s i o nm u l t i p l ea c c e s s ) 模式，以模拟电路单元 为基本模块实现话音通信。主要制式有美国的a m p s 、北欧的n m i 、英国的t a c s 和日本的h c m t s 等。第一代模拟蜂窝移动通信网络没有采用密码技术来保护无线 网络访问的安全性，使得移动用户的通话信息很容易被窃听，移动用户的身份容易 被假冒，容易出现手机克隆。 第二代数字移动通信系统( 2 g ) 出现于2 0 世纪8 0 年代后期，以g s m ，d a m p s 和p d c 为代表。采用先进的数字语音编码技术在保证话音质量的前提下可以大大减 少通信带宽的需要。从而提高网络频段资源的利用效率；差错控制技术可以用来增 强网络抗干扰能力；而且，数字加密技术可以保护数字化了的用户语音、数据和网 络信令，身份认证技术可以鉴别移动用户的身份，有效地防止身份假冒。2 g 网络 在频分复用( f d m a ) 的基础上又采用了时分多址( t d m a ：t i m e d i v i s i o n m u l t i p l e a c c e s s ) 来增加网络容量。在第二代移动通信系统中，安全性得到了提高，通过加 密方式来传送用户信息，对移动用户的认证采用了询问响应认证协议，对通话内 容也进行了加密( 无线链路段) 。尽管2 g 系统在安全性方面有了大的进步，但它 还存在许多不足和安全缺陷。如采用单项认证，伪基站，加密算法不够强。 目前在2 ( 3 和3 g 之间存在一种两代半( 2 5 g ) 的移动通信系统：通用无线分组 业务( g p r s ) 。它利用原有的2 g 电路交换技术来提供分组数据通信的业务。它的 安全性与2 g 类似，只是涉及分组数据通信方面有其特殊性，具有口网络的特点。随 着因特网与移动通信网的触合，2 g 提供的低速数据传输业务已经无法满足移动用 2 3 g 通信网络安全分析 户需求，对高速数据业务的需求推动着移动通信网络走向第三代。 第三代移动通信系统的概念早在1 9 8 5 年就由r r u ( 国际电信联盟) 提出了，当 时称为f p l m t s ( 未来公共陆地移动通信系统，1 9 9 6 年更名为国际移动电信 i m t - 2 0 0 0 ( i n t e r n a t i o n a lm o b i l et e l e c o m m u n i c a t i o n2 0 0 0 ) ，它最终由两个第三代伙伴 计划3 g p p 和3 g p p 2 分别制定的第三代蜂窝移动通信网络标准w c d m a 和 c d m a 2 0 0 0 融合而成。 3 g 是一个在全球范围内覆盖与使用的网络系统。信息的传输既经过全开放的 无线链路，亦经过开放的全球有线网络。同时，在第三代移动通信系统中，除了传 统的语音业务外，它还提供多媒体业务、数据业务、以及电子商务、电子贸易、互 联网服务等多种信息服务。因此，如何在第三代移动通信系统中保证业务信息的安 全性以及网络资源使用的安全性已成为3 g 系统中重要而迫切的问题。3 g 是一个崭 新的系统，针对层出不穷的新的数据业务，特别是对数据安全性提出了很高要求。 3 g 系统目前只在少数国家展开试运营，但从其前景来看具有极大的发展空间，所 以研究3 g 的安全具有非常重要的现实意义。 1 23 g 技术国内外发展现状 目前，国际上对3 g 进行研究和标准化的组织是：3 g p p ( 第三代移动通信系统 伙伴计划) ，是由各大公司和国家组织等参与形成。3 g 标准主要由两个部分构成； 核心网络( o n ) 和无线接入网( r a h 0 。c n 基于第二代移动通信的两种主要网络 g s mm a p 和美国的i s 4 1 ，而r a n ( 3 g p p 的d sc d m a 和c d m at d d ，3 g p p 2 的m c cd m a ) 均能够接入此两类c n 。w c d m a ，t d s c d m a 安全规范由3 g p p $ 0 定：c d m a 2 0 0 0 安全规范由3 g p p 2 制定。 在国际上，3 g p p 技术规范组中的第三工作组( s 3 ) 专门负责从事移动通信安全 方面的研究和标准制定，其成员为各大移动通信公司。现在已经制定了一些相关标 准，其在接入网方面的安全规范已经成熟，网络域安全、终端安全规范还在制定中， 网络的安全管理规范刚刚起步。为实现3 g 系统的基本安全体系，需要采用密码算 法和函数，3 g p p 针对不同的安全需求，定义了多种加密算法和函数，其中加密算 法f 8 和完整性算法f 9 已经实现标准化。目前在进行互联网多媒体服务( i m s ) 安全方面 的研究和网络域内部安全性的研究和标准制定【2 】。 对应于世界的第三代移动通信组织，我们国家的中国无线通信标准研究组 c w t s 也在积极进行3 g 的研究工作。c w t s 下设有特别加密组( a d h o c i j l l 密) 负责 第三代移动通信加密与网络安全研究。 第一章绪论 2 0 0 0 年5 月，国际电联批准了i m t 2 0 0 0 无线接1 ：3 5 种技术规范，现在t d s c d m a ， w c d m a ，及c d m a 2 0 0 0 由于其各自优势已成为主流技术。其中我国提出的具有自 主知识产权的t d s c d m a 技术在频谱利用率、对业务支持的灵活性方面以及在许 多方面非常符合移动通信未来的发展方向所具有的优势，标志着我国在移动通信领 域取得重大进展。 1 3 本文研究主要内容 3 g 安全体系结构是在改进了2 g 系统的弱点，适应移动通信业务新要求的目标 和原则基础上建立起来的。3 g p p 安全协议中的认证与密钥管理部分己经比2 g 有了 很大的提高。在g s m 系统中己经被证明是必需的和稳定有效的安全要素将被继续 使用，但是它还有一些弱点和安全威胁。所以本文的主要研究工作包括： ( 1 ) 简单介绍了第二代通信系统的体系结构及安全策略，分析安全缺陷。分 析了第三代移动通信系统的安全体系结构，对其五个安全特征组的安全性加以研 究。概述了3 g 的安全原则、目标和要求及其面临的安全威胁。对3 g 接入网络中的 认证和密钥协商、数据机密性和数据完整性服务等机制进行了深入的探讨，对实现 上述各种机制的算法和协议做了详细的介绍。 ( 2 ) 对3 g 中认证和密钥分配协议的安全性进行研究，分析其加密机制，从而 讨论出3 g 的认证与密钥协商过程可能存在的安全隐患和可能道到的攻击。 ( 3 ) 介绍椭圆曲线密码体制的理论基础，结合前文中分析出存在的安全漏洞 提出一种改进方案，以保证网络端传输信息的机密性。 1 4 论文结构安排 第l 章：绪论。介绍论文背景和研究意义，以及3 g 技术国内外发展现状和本文 的主要内容。 第2 章：g s m 的安全机制。本章论述了第二代移动通信系统的体系结构，以及 所采用的安全措施，用户身份认证和采取的加密算法。并分析了g s m 网存在的安 全缺陷。 第3 章：3 g 系统的安全体系结构。论述了3 g 的安全原则、目标和要求及其存 在的安全威胁，研究了3 g 的安全特征、鉴权认证过程，重点对3 g 的鉴权认证过 程进行详细分析讨论。并指出3 g 系统存在的安全漏洞。 4 3 g 通信网络安全分析 第4 章：分析安全技术理论；首先介绍了数据加密技术，包括对称加密机制和 不对称加密机制。然后对数据交换完整性和密钥交换技术做了分析和探讨，然后介 绍椭圆曲线的理论。为第五章方案的提出奠定理论基础。 第5 章：通过第三章对3 g 系统安全技术分析以及得出的其中存在的安全漏洞以 及第四章中对椭圆曲线基本知识的介绍，在业已给出的基于自验证公钥的3 g 通信 系统认证方案的基础上，给出一种基于椭圆曲线自验证公钥的3 g 通信系统认证方 案，从而提高3 g 系统的安全性和认证效率。 最后是结束语，总结全文并展望今后的工作方向。 第二章g s m 的安全体系结构 第二章6 s m 的安全体系结构 2 1g s m 的系统结构 在第二代数字通信系统g s m 网络中，在安全性方面作了很多工作。对移动用 户的认证采取询问响应认证协议，网络向用户发送一个认证请求询问，并要求 用户做出相应的影响，从而认证用户的合法身份，防止非授权用户使用网络资源。 在g s m 网络中，采取临时身份机制在无线链路上识别移动用户，一般情况下不使 用i m s i 识别用户，由此加强了对用户身份的保密。在无线传输部分，对用户信息 加密，防止窃听泄密。 下图是g s m 系统的结构： 图2 1 g s m 系统结构 g s m 移动通信系统的主要组成部分可分为移动台( m s ) ，基站子系统和网络子 系统。基站子系统( 简称基站b s ) 由基站收发台( b t s ) 和基站控制器( b s c ) 组成；网络子系统由移动交换中心( m s c ) 和操作维护中心( o m c ) 以及归宿位 置寄存器( h l r ) 、拜访位置寄存器( v l r ) 、鉴权中心( a u c ) 和标志寄存器( e i r ) 等组成。 m s ：移动台就是移动用户设备部分，它有两部分组成，移动设备( m 巳) 和 用户识别模块( s n 讧) ，s i m 卡就是“身份卡”，也称作智能卡，存有认证用户身份 6 3 g 通信网络安全分析 所需的所有信息；以及安全所需的a 3 ，a 8 和a 5 算法，国际移动用户标识( i m s i ) 和k i ( 永久密钥) 。并能执行一些与安全保密相关的重要信息，以防止非法用户进 入网络。s i m 卡还存储着与网络和用户相关的管理数据，只有插入s i m 卡后移动 终端方可进网。 b t s ：在网络的固定部分和无线部分之间提供中继，移动用户通过空中接口与 b t s 相连b t s 包括收发信机和天线，以及与无线接口有关的信号处理电路等，它 也可以看作是一个复杂的无线解调器。 b s c ：b s c 通过b t s 和移动台的远端命令管理所有的无线接口，主要是进行无 线信道的分配、释放以及越区信道切换的管理等，起着基站子系统中交换设备的作 用。b s c 由b t s 控制部分、交换部分和公共处理器部分等组成。根据b t s 的业务 能力，一台b s c 可以管理多达几十个b t s 。 m s c ：m s c 是整个g s m 网络的核心，它控制所有b s c 的业务，提供交换功 能及和系统内其它功能的连接，m s c 可以直接提供或通过移动网关g m s c 提供和 公共电话交换网( p s t n ) 、综合业务数字网( i s d n ) 、公共数据网( p d n ) 等固定 网的接口功能，把移动用户与移动用户、移动用户和固定网用户互相连接起来。 v l r ：访问用户位置寄存器( v l r ) 是服务于其控制区域内移动用户的，存储 着进入其控制区域内已登记的移动用户相关信息，为已登记的移动用户提供建立呼 叫接续的必要条件。当某用户进入v l r 控制区后，此v l r 将由该移动用户的归属 用户位置寄存器( h l r ) 获取并存储必要数据。而一旦此用户离开后，将取消v l r 中此用户的数据。 h l r ：归宿位置寄存器存储管理部门用于管理移动用户的数据。每个移动用 户都应在其归属位置寄存器( h l r ) 注册登记，它主要存储两类信息：一是有关用 户的参数；二是有关用户目前所处位置的信息，以便建立至移动台的呼叫路由，例 如m s c 、v l r 地址等。 a u c ：a u c ( 鉴权认证中心) 存放每个用户的国际移动用户身份 i m s i ( i n t e r n a t i o n a lm o b i l es u b s c r i b e ri d e n t i t y ) ，用于用户开机登陆网络或者在临时移 动用户身份t m s i 不能使用时验证或搜索用户；存放用户的密钥k i ( 在用户使用 i m s i 接续的时候，鼬被授予给用户) ；为完成鉴权过程，a u c 要负责生成随机值 r a n d ；a u c 中还存放了鉴权算法a 3 以及数据加密密钥生成算法a 8 。 e i r ：是一个存储了有关移动设备参数的数据库。主要完成对移动设备的识别、 监视、闭锁等功能，以防止非法移动台使用。 第二章g s m 的安全体系结构 2 2 g s m 的鉴权和认证 2 2 1g s m 网络中用户身份的保密 7 为了保护用户的隐私防止用户位置被跟踪，g s m 中使用临时用户身份t m s i 来 对用户身份进行保密不在特殊情况下不会使用用户的i m s i 对用户进行识别，只有在 网络根据t m s i 无法识别出它所在的h l r a u c ，或是无法到达用户所在的 h l r a u c ，才会使用用户的i m s i 来识别用户，从它所在的h l r a u c 获取鉴权参数 来对用户进行认证。在g s m 中t m s i 总是与一定的l a i ( 位置区识别符) 相关联的， 当用户所在的l a ( 位置区) 发生改变时，通过位置区更新过程实现t m s i 的重新分 配，重新分配给用户的t m s i 是在用户的认证完成时，启动加密模式后，由v u l 加 密后传送用户，从而实现了t m s i 的保密。 同时在v l r 中保存新分配给用户的t m s i ，将旧的t m s i 从v l r 中删除。这样一 般来说，只有在用户开机或者v l r 数据丢失的时候i m s i 才被发送，平时仅在无线信 道上发送移动用户相应的t m s i 。 2 2 2 g s m 系统中用户鉴权 在g s m 系统中，使用鉴权三参数数组( 随机数r a n d ，期望响应x r e s ，加密 密钥k e ) 实现用户鉴权。在用户入网时，用户鉴权键连同i m s i 一起分配给用户。 在网络端瞄存储在用户鉴权中心a u c ( a u t h e n t i c a t i o n c e n t e r ) ，在用户端飚存储在 s i m 卡中。a u c 为每个用户设置三参数数组【3 】( r a n d ，x r e s ，k c ) ，存储在h l r 中。当m s c v l r 需要鉴权三元组的时候，就向h l r 提出要求并发出一个消息 “m a p s e n d - a u t h e n t i c a t i o n i n f o ”给h l r ( 该消息包括用户的讧s i ) ，h l r 的回答一般包括五个鉴权三元组。任何一个鉴权三元组在使用以后，将被破坏，不 会重复使用。 当移动台第一次到达一个新的m s c ( m o b i l e - s e r v i c es w i t c h i n gc e n t e r ，移动业 务交换中心) 时，m s c 会向移动台发出一个随机号码r a n d ，发起一个鉴权认证过 程。过程如下图所示： 3 g 通信网络安全分析 v l r m s c h e a u c 图2 2g s m 鉴权和认证流程 ( 1 ) a m c 产生一个随机数l 乙蝌d ，通过a 3 ，a8 算法【4 】产生认证向量组( r a n d xr e s ，k c ) 。具体产生流程见下图所示： 图2 3g s m 系统中鉴权三元组的产生过程 ( 2 ) v l r m s g 收到鉴权三元组以后存储起来。当m s 注册到该v l r 时，v l r m s g 第二章g s m 的安全体系结构 9 选择一个认证向量，并将其中的随机数r a n d 发送给m s 。 ( 3 ) 移动台收到黜卅d 以后，利用存储在s i m 卡中的a 3 ，a 8 算法【4 】，计算出s r e s 和k c ( 计算流程如图2 3 所示) 。移动台将s r e s 发送给v l r m s c ，如果s r e s 等于 v l r m s g 发送给用户的r a n d 所在的鉴权三元组中的x r e s ，移动台就完成了向 v l r m s g 验证自己身份的过程。 由以上分析可看出，在g s m 系统中，k c 从来不通过空中接口传送，存储在m s 和a u c 内的k c 都是由鼬和一个随机数通过a 8 算法运算得出的。密钥飚以加密形式 存储在s i m 卡和a u c 中。 2 2 3g s m 无线信道上发送的加密数据 鉴权过程完成以后，m s c 将鉴权三元组中的k c 传递给基站b t s 。这样使得从移 动台到基站之间的无线信道可以用加密的方式传递信息，从而防止了窃听。加解密 过程如下图所示： 回圈 k c ( 6 4 b i t )f n ( 2 2 b i t )k c ( 6 4 b i 0f n ( 2 2 b i t ) 图2 4g s m 系统中无线链路的加解密 加密密钥k c 的产生过程是通过密钥算法a 8 和加密算法a 3 有相同的输入参数 r a n d 和鼢，因而可以将两个算法合为一个算法【5 1 ，用来计算期望响应和加密密钥。 加密的过程是将“比特的加密密钥k c ，和承载用户数据流的t d m a 数据帧的帧号 1 0 3 g 通信网络安全分析 f n ( 2 2 比特) 作为a 5 算法的输入参数，计算密钥流。对消息进行逐位异或加密， 将密文从移动台传递到基站。基站接收到加密的信息，用相同的密钥流逐位异或来 解密。说明：a 5 算法主要在欧溯国家的g s m 系统中使用，由于最初的a 5 算法安 全强度较高，限制对某些国家出口，所以最初的a 5 算法命名为a 5 i ，其它的算法 包括a 5 0 ( 实际上就是没加密) ，a 5 2 是一种比较弱的加密算法。估计破译a s 1 的时间复杂度大致是2 的“次方，而a 5 2 的时间复杂度估计低于2 的1 6 次方1 6 】。 2 3g s m 中安全要素的分布 g s m 系统中，安全要素分布在不同的网络实体平台上。如下图所示： 日回囤 阴影单元随网络政策变化是时间的函数，白色单元不随时间变化 图2 5 安全要素分布图 a u c ( 鉴权认证中心) 存放每个用户的国际移动用户身份i m s i ( i n t e m a t i o n a l m o b i l es u b s c r i b e ri d e n t i t y ) ，用于用户开机登陆网络或者在临时移动用户身份t m s i 不能使用时验证或搜索用户：存放用户的密钥k i ( 在用户使用i m s i 接续的时候， 被授予给用户) ：为完成鉴权过程，a u c 要负责生成随机值r a n d ；a u c 中还存 放了鉴权算法a 3 以及数据加密密钥生成算法a 8 。 v l r m s c 为每个i m s i 存放若干鉴权三元组。为了避免1 m s i 被截取，需要最大 限度地减少在无线信道上传送。因此在v l r 中记录t m s i 与i m s i 的对应关系，仅在 第二章g s m 的安全体系结构 无线信道上发送移动用户的t m s i 。 b t s 中存储编码算法a 5 和密钥k c ，用于解密接收到的密文形式的用户数据和信 令数据。 移动台中将鉴权算法a 3 和数据加密密钥生成算法a 8 ，用户密钥尉以及用户身 份i m s i ( t m s i ) 存储在s i m 卡中。s i r 卡是一种防篡改的设备，增强了算法和密钥 的安全性。编码算法a 5 和由a s 计算出的加密密钥k e 存储在手机中。 由此可以看出a 3 ，a 8 ，a 5 ，k i ，k c 是不在网络中传递的，从而增强了网络的 安全性。 2 4g s m 存在的安全问题 虽然第二代移动通信g s m 系统在安全性方面作了上述的措施，但是仍然存在很 多不足。 ( 1 ) g s m 系统中的认证是单向的，只有网络对用户的认证，而没有用户对网络 的认证。因此存在安全漏洞，非法的设备( 如基站) 可以伪装成合法的网络成员。 从而欺编用户，窃取用户的信息。 ( 2 ) g s m 系统中的加密不是端到端的，只是在无线信道部分即m s 和b t s 之间进 行加密。在固定网中没有加密，采用明文传输。这给攻击者提供了机会。 ( 3 ) 在移动台第一次注册和漫游时，i m s i 可能以明文方式发送到。r m s c ，如 果攻击者窃听到i m s i 则会出现手机“克隆”。 ( 4 ) 在移动通信中，移动台和网络间的大多数信令信息是非常敏感的，需要得到 完整性保护。而在g s m 网络中，没有考虑数据完整性保护的问题，如果数据在传 输的过程中被篡改也难以发现。 ( 5 ) 随着计算机硬件技术进步带来的计算速度的不断提高，解密技术也不断发展。 g s m 中使用的加密密钥长度是6 4 比特，在现在的解密技术下，己经可以在较短时 间内被破解。 ( 6 ) 在g s m 系统中，加密算法是不公开的，这些密码算法的安全性不能得到客观 的评价，在实际中，也受到了很多攻击。 ( 7 ) 在g s m 系统中，加密算法是固定不变的，没有更多的密钥算法可供选择，缺 乏算法协商和加密密钥协商的过程。 2 5 小结 本章对迄今最为成功的移动通信系统一第二代通信系统( g s m ) 的安全体系结 构做了介绍。首先介绍t o s m 系统的组成部分，详细介绍各个组成部分所处位置， 以及功能。 然后用较大篇幅介绍t g s m 系统的鉴权和认证过程，其中包括如何对网络中用 户的身份就行保密，如何进行用户鉴权以及在无线信道上加密数据的发送。以及 a 3 a 5 ，a 8 各个算法为认证及加密过程发挥何种作用进行了阐述。在对第二代移动 通信系统中安全要素分布进行介绍后，指出了第二代移动通信系统存在的安全问 题。 第三章3 g 的安全体系结构 第三章3 g 的安全体系结构 3 13 g 的安全原则和安全目标 1 3 3 g 的安全体系目标可以参考3 g p p 组织定义的安全条款，以及其详细的定义3 g p p t s3 3 1 2 0 t t l ： ( 1 ) 确保用户信息或与用户相关的信息受到保护，不被盗用和滥用。 ( 2 ) 确保提供给用户的资源和服务受到保护，不被盗用和滥用。 ( 3 ) 确保安全方案具有世界范围内的通用性( 至少存在一种加密算法可以出 口到其它国家) 。 ( 4 ) 确保安全方案的标准化，适应不同国家不同运营商之间的漫游和互操作。 ( 5 ) 确保提供给用户和运营商的安全保护优于当今的固定和移动网络，这也 即暗示了3 g 的安全方案要克服第二代移动通信的安全缺陷。 ( 6 ) 确保3 g 的安全方案是可扩展和可增强的，以抵制各种各样的攻击。 ( 7 ) 确保3 g 的安全方案能够提供电子商务、电子贸易以及其它一些互联网服 务。 3 23 g 系统的安全要求【8 】 ( 1 ) 保证业务接入的需要除紧急呼叫外，接入任何第三代移动通信系统的业 务都应该需要一有效的u s i m ，由网络决定紧急呼叫是否需要u s i m 。应防止入侵者 通过伪装成合法用户来非法接入3 g 业务。用户可以在业务开始、传送期间验证服 务网是合法的，以用户归属环境提供3 g 业务。 ( 2 ) 保证业务提供的需要对业务提供者可以在业务开始、传送期间验证用户 的合法性，以防止入侵者通过伪装或误用权限来接入3 g 业务。应能检测和阻止欺 诈性的使用业务和安全有关的事件发生时可以向业务提供者报警并产生相应的记 录。应防止使用特殊的u s l m 接入3 g 业务。对某些用户，服务网络提供的归属环境 可以立即停止它所提供的所有业务。对服务网络，在无线接口上可以验证用户业务、 信令数据和控制数据的发起者。通过逻辑手段限制业务的获得来阻止入侵者。对网 络运营商，应加强基础网络的安全性。 ( 3 ) 满足系统完整性的需要应防止越权修改用户业务，防止越权修改某些信 1 4 3 g 通信网络安全分析 令数据和控制数据，特别是在无线接口上。防止越权修改的和用户有关的数据下载 到或存储在终端或u s i m 中。防止越权修改由提供者存储或处理的、和用户有关的 数据。应保证可以检查应用和下载到终端或u i c c 中的数据的起源和完整性。也应 保证下载的应用和数据的保密性。应保证数据的由来、完整性及最新的，特别是无 线接口上的密钥。应保证基础网络的安全性。 ( 4 ) 保护个人数据的要求，应可以保证某些信令数据和控制数据、用户业务、 用户身份数据、用户位置数据的保密性，特别是在无线接口上，应防止参与特定3 g 业务的用户位置数据不必要地泄露给同一业务的其它参与者。用户可以检查它的业 务及与呼叫有关的信息是否需要保密。应可以保证由提供者存储或处理的、和用户 有关的数据的保密性。应可以保证由用户存储在终端或u s i m 中、和用户有关的数 据的保密性。 ( 5 ) 对终端u s i m 的要求应可以控制接入到一u s i m ，以便用户只使用它来接 入3 g 业务。可以控制获得u s i m 中的数据，如某些数据只有授权的归属环境才能获 得。不能获得只在u s i m 中使用的数据，如验证密钥和算法。可以检测出是否是偷 窃的终端。可以禁止某些终端接入3 g 业务。改动终端的身份很困难。 ( 6 ) 合法的窃听的要求依国家相关法律，3 g 可以为执法机构提供检测和窃听 每一个呼叫和呼叫尝试，和其它服务。 3 33 g 的安全漏洞 ( 1 ) 对敏感数据的非法获取，对系统信息的保密性进行攻击。其中主要包括： 侦听：攻击者对通信链路进行非法窃听，获取消息； 伪装：攻击者伪装合法身份，诱使用户和网络相信其身份合法，从而窃取 系统信息； 浏览：攻击者对敏感数据的存储位置进行搜索； 泄露：攻击者利用合法接入进程获取敏感信息；试探：攻击者通过向系统 发送信号来观察系统的反应。 ( 2 ) 对敏感数据的非法操作，对消息的完整性进行攻击。主要包括：对消息 的篡改、插入、重放或者删除。 ( 3 ) 对网络服务的干扰和滥用，从而导致系统拒绝服务或者服务质量低下。 主要包括： 干扰：攻击者通过阻塞用户业务、信令或控制数据使合法用户无法使用网 第三章3 g 的安全体系结构 络资源； 资源耗尽：攻击者通过使网络过载，从而导致用户无法使用服务； 特权滥用：用户或服务网络利用其特权非法获取非授权信息； 服务滥用：攻击者通过滥用某些系统服务，从而获得好处。或导致系统崩 溃。 ( 4 ) 否认。主要指用户或网络否认曾经发生的动作。 ( 5 ) 对服务的非法访问。包括： 攻击者伪造成网络和用户实体，对系统服务进行非法访问； 用户或网络通过滥用访问权限非法获取未授权服务。 3 3 1 对空中接口的攻击 ( 1 ) 对非授权数据的非法获取，基本手段包括对用户业务的窃听、对信令与 控制数据的窃听、伪装成网络实体截取用户信息以及对用户流量进行主动与被动分 析。 ( 2 ) 对数据完整性的攻击。主要是对系统无线链路中传输的业务与信令、控 制信息进行篡改，包括插入、修改、删除等。 ( 3 ) 拒绝服务攻击。可分为三个层次： 物理级干扰：攻击者通过物理手段对系统无线链路进行干扰，从而使用 户数据与信令数据无法传输，典型的例子就是阻塞； 协议级干扰：攻击者通过诱使特定的协议流程失败，干扰正常通信； 伪装成网络实体拒绝服务：攻击者伪装成合法网络实体，对用户的服务请 求作出拒绝问答。 ( 4 ) 对业务的非法访问攻击。攻击者伪装成其他合法用户身份，非法访问网 络，或切入用户与网络之间，进行中间攻击。 ( 5 ) 对用户身份主动捕获攻击。攻击者伪装成服务网络，对目标用户发出身 份请求，从而捕获用户明文形式的永久身份号。 ( 6 ) 对目标用户与服务网络之间的加密流程进行压制，使加密流程失效，基 本手段有： 攻击者伪装成服务网络，分别与用户和合法服务网络建立链路，加密流程 失效； 转发交互信息。从而使攻击者通过篡改用户与服务网络之间的信令，使用 1 6 3 g 通信网络安全分析 户与网络的加密不匹配，从而使加密流程失效。 3 3 2 针对系统核心网的攻击 ( 1 ) 对数据的非法获取。基本手段包括： 对用户业务、信令和控制数据的窃听，伪装成网络实体截取用户信息以及对用 户流量进行主动与被动分析： 对系统数据存储实体的非法访问； 在呼叫建立阶段伪装用户位置信息等。 ( 2 ) 对数据的完整性的攻击。基本手段包括： 对用户业务与信令消息进行篡改： 对下载到用户终端或u s i m 的应用程序与数据进行篡改； 通过伪装成应用程序及数据发起方篡改用户终端或u s i m 的行为； 篡改系统存储实体中储存的用户数据等。 ( 3 ) 拒绝服务攻击。基本手段包括物理干扰、协议级干扰、伪装成瞬络实体 对用户请求作出拒绝回答，滥用紧急服务等。 ( 4 ) 否认。主要包括对费用的否认、对发送数据的否认、对接受数据的否认 等。 ( 5 ) 对非授权业务的非法访问。基本手段包括伪装成用户、服务网络、归属 网络，滥用特权非法访问非授权业务。 3 3 3 针对终端的攻击 ( 1 ) 使用偷窃的终端和智能卡； ( 2 ) 对终端或智能卡中的数据进行篡改； ( 3 ) 对终端和智能卡间的通信进行侦听； ( 4 ) 伪装身份截取终端与智能卡间的交互信息； ( 5 ) 非法获取终端和智能卡中存储的数据。 3 43 g 安全技术分析i t，、jj 工j ，x 7 i 、，j 根据3 g p p 和w a p 的标准化规定，3 g 中运用了许多新的以及增强型的安全技 第三章3 g 的安全体系结构 术，各种详细的安全技术分析如下。 3 4 1 接入网安全 1 7 用户信息是通过开放的无线信道进行传输，因而很容易受到攻击。第二代移动 通信系统的安全标准也主要关注的是移动台到网络的无线接入这部分安全性能。 在3 g 系统中，提供了相对于g s m 而言更强的安全接入控制，同时考虑了与g s m 的兼容性，使得g s m 平滑地向3 g 过渡。与g s m 中一样，3 g 中用户端接入网安 全也是基于一个物理和逻辑上均独立的智能卡设备，即u s i m 。 未来的接入网安全技术将主要关注的是如何支持在各异种接入媒体包括蜂窝 网、无线局域网以及固定网之间的全球无缝漫游。这将是一个全新的研究领域。 3 4 2 核心网安全技术 与第二代移动通信系统一样，3 g p p 组织最初也并未定义核心网安全技术。但 是随着技术的不断发展，核心网安全也已受到了人们的广泛关注，在可以预见的未 来，它必将被列入3 g p p 的标准化规定。目前一个明显的趋势是，3 g 核心网将向 全口网过渡，因而它必然要面对p 网所固有的一系列问题。因特网安全技术也将 在3 g 网中发挥越来越重要的作用，移动无线因特网论坛( m w i f ) 就致力于为3 g p p 定义一个统一的结构。 3 4 3 传输层安全 尽管现在已经采取了各种各样的安全措施来抵抗网络层的攻击，但是随着 w a p 和i n t e m e t 业务的广泛使用，传输层的安全也越来越受到人们的重视。在这一 领域的相关协议包括w a p 论坛的无线传输层安全【9 】( w t l s ) ，i e f t 定义的传输层 安全【1 0 】( t l s ) 或其之前定义的s o c k e t 层安全【】( s s l ) 。这些技术主要是采用公 钥加密方法，因而p k i 技术【1 2 】可被利用来进行必要的数字签名认证，提供给那些 需要在传输层建立安全通信的实体以安全保障。 与接入网安全类似，用户端传输层的安全也是基于智能卡设备。在w a p 中即 定义了w i m 。当然在实际应用中，可以把w i m 嵌入到u s i