2G3G4G系统中鉴权与加密技术演进

1、2G/3G/4G系统鉴权与加密技术演进 学院：电子信息学院 班级：12通信B班 学生姓名： 周雪玲 许冠辉 黄立群 指导老师：卢晶琦 完成时间：2015.04.19【摘要】 本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的，因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营，保证用户的信息完整、可靠的传输，实现保密通信，要求有一套缜密的安全机制，这是对网络和服务的更高层次的要求，也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制，为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制，从对比和演进的角度来

2、看待这三种网络的安全机制的特点。【关键词】GAM，3G，LTE，鉴权与加密目 录1、概述41.1移动通信系统中鉴权和加密产生的背景42、保密通信的基本原理42.1工作原理42.2数学模型的建立43、GSM系统的鉴权与保密53.1 GSM系统中鉴权53.2 GSM加解密73.3 TMSI的具体更新过程83.4 GSM安全性能分析94、3G系统信息安全94.1 WCDMA系统的鉴权和加密104.2 CDMA-2000系统的鉴权和加密115、4G系统信息安全125.1 LTE系统网络架构125.2 LTE_SAE网元功能介绍135.2.1 UTRAN135.2.2 MME135.2.3 S-GW14

3、5.2.4 P-GW145.2.5 HSS145.3 LTE/SAE安全架构155.4 LTE/SAE安全层次155.5 LTE/SAE密钥架构166、 LTE与2G/3G网络的兼容177、结束语17参考文献181、概述 随着移动通信的迅速普及和业务类型的与日俱增，特别是电子商务、电子贸易等数据业务的需求，使移动通信中的信息安全地位日益显著。 1.1移动通信系统中鉴权和加密产生的背景 无线通信中的鉴权Authentication(在密码学中被称为认证,本文将使用鉴权一词)的目的是验证移动台MS和网络的真实性,即确证Ms和网络的身份。它通过验证所声称的用户和网络是否是原来真正的登记用户及网络来防

4、止盗用网络或假网络欺骗客户的行为。 无线通信中的加密包括通信安全的机密性和数据的完整性。 在第一代模拟蜂窝系统刚开始商用的时候,并没提供鉴权和加密的功能。这导致了严重的电信欺骗行为,也就是所谓的盗打他人手机的问题。此问题在20世纪90年代中期尤其是GSM商用以前变得日益突出。仅美国的运营商1996年就因此损失了大约Us$。750M:,占其行业总收入的3%。于是鉴权和加密就成了移动通信系统必须要解决的问题。 第二代移动通信重点解决了鉴权的问题,对于安全方面的考虑则并未投入较大力度。原因很简单:鉴权直接与利润相关,而当时用户并不愿意为加密功能付钱。随着电子商务的日益流行,通信的安全问题变得越来越重

5、要。因此在3G的设计中,加密功能也被大大增强了。2、保密通信的基本原理 2.1工作原理保密通信的工作原理就是对传输的信息在发送端进行加密变换处理，在接收端进行解密交换恢复成原信息，使窃密者即使截收到传输的信号，也不了解信号所代表的信息内容。 在保密通信中，发方和收方称为我方，其对立面称为敌方。我们的通信为了不被敌方获知，发方需要将信息加密再发给收方。原来的信息叫做明文M，加密后称为密文C。收方收到密文C后，要把密文去密，恢复成明文M。发送方产生明文M，利用加密密钥经加密算法E对明文加密，得到密文C。此时，如果经过未经加密保护的通道传送给接收方的话，密文有可能会被敌方截获。但是，对于不合法的接受

6、者来说，所截获的信息仅仅是一些杂乱无章，毫无意义的符号，但这是在加密算法不公开或者不能被攻破的情况下，如果截获者已知加密算法和加密密钥或者所拥有的计算资源能够攻破发送方的加密系统，那么就会造成信息的泄漏。当合法接受者接收到密文后，用解密密钥经解密算法D解密，得到明文M，信息的传送就完成了。 2.2数学模型的建立通信模型在增加了保密功能后，便成为如下的保密通信数学模型：M：明文，C：密文加密密钥e：Ke，解密密钥d：Kd，加密和解密时使用的一组秘密信息。E：加密算法，对明文进行加密时采用的一组规则，C=E(M)。D：解密算法，对密文进行解密时采用的一组规则，M=D(C)。3、GSM系统的鉴权与保

7、密 GSM 系统在安全性方面采取了许多保护手段：接入网路方面采用了对客户鉴权；无线路径上采用对通信信息加密；对移动设备采用设备识别；对客户识别码用临时识别码保护；SMI卡用 PIN 码保护。(1) 提供三参数组客户的鉴权与加密是通过系统提供的客户三参数组来完成的。客户三参数组的产生是在GSM 系统的 AUC(鉴权中心)中完成，如图 338 所示。、每个客户在签约(注册登记)时，就被分配一个客户号码(客户电话号码)和客户识别码(IMSI)。IMSI 通过 SIM 写卡机写入客户 SIM 卡中，同时在写卡机中又产生一个与此 IMSI对应的唯一客户鉴权键 Ki，它被分别存储在客户 SIM 卡和 AU

8、C 中。、AUC 产生三参数组：1 AUC 中的伪随机码发生器，产生一个不可预测的伪随机数（RAND）；2 RAND 和 Ki 经 AUC 中的 A8 算法(也叫加密算法)产生一个 Kc(密钥)，经 A3 算法(鉴权算法)产生一个符号响应(SRES)； 3 用于产生 Kc、 SRES 的那个 RAND 与 Kc 和 SRES 一起组成该客户的一个三参数组， 传送给 HLR，存储在该客户的客户资料库中。、 一般情况下， AUC 一次产生 5 组三参数， 传送给 HLR， HLR 自动存储。 HLR 可存储 110 组每个用户的三参数， 当 MSCVLR 向 HLR 请求传送三参数组时， HLR

9、一次性地向 MSCVLR 传 5 组三参数组。MSCVLR 一组一组地用，用到剩 2 组时，再向 HLR 请求传送三参数组。 3.1 GSM系统中鉴权 鉴权的作用是保护网路，防止非法盗用。同时通过拒绝假冒合法客户的“入侵”而保护GSM 移动网路的客户，鉴权的程序见图 3.1.1。、 当移动客户开机请求接入网路时， MSCVLR 通过控制信道将三参数组的一个参数伪随机数 RAND 传送给客户，SIM 卡收到 RAND 后，用此 RAND 与 SIM 卡存储的客户鉴权键 Ki，经同样的 A3 算法得出一个符号响应 SRES，并将其传送回 MSCVLR。、MSCVLR 将收到的 SRES 与三参数组

10、中的 SRES 进行比较。由于是同一 RAND，同样的 Ki 和 A3 算法，因此结果 SRES 应相同。MSCVLR 比较结果相同就允许该用户接入，否则为非法客户，网路拒绝为此客户服务。在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。 图3.1.1 GSM系统中鉴权的原理图 图3.1.2 GSM系统流程过程 3.2 GSM加解密 GSM 系统中的加密只是指无线路径上的加密， 是指 BTS 和 MS 之间交换客户信息和客户参数时不会被非法个人或团体所盗取或监听，加密程序见图 3.2.1 所示。、在鉴权程序中，当移动台客户侧计算出 SRES 时，同时用另一

11、算法(A8 算法)也计算出了密钥 Kc。、根据 MSCVLR 发送出的加密命令，BTS 侧和 MS 侧均开始使用密钥 Kc。在 MS 侧，由 Kc、TDAM 帧号和加密命令 M 一起经 A5 算法，对客户信息数据流进行加密(也叫扰码)，在无线路径上传送。在 BTS 侧，把从无线信道上收到加密信息数据流、TDMA 帧号和 Kc，再经过 A5 算法解密后，传送给 BSC 和 MSC。 图3.2.1 加解过程 3.3 TMSI的具体更新过程 为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。T

12、MSI的具体更新过程原理如下图所示，由移动台侧与网络侧双方配合进行。 图3.3.1 TMSI的具体更新过程原理 3.4 GSM安全性能分析 尽管GSM系统成功引入了鉴权与加密技术，但随着GSM系统在全球大规模商用化，暴露出诸多安全缺陷，可以总结为六方面的技术漏洞。1.SIM/MS 接口翻录2.A3/A8 算法破解3.A5 算法漏洞4.SIM 卡攻击5. 网络伪装攻击6.网络数据明文传输4、3G系统信息安全 3G安全体系目标为：确保用户信息不被窃听或盗用确保网络提供的资源信息不被滥用或盗用确保安全特征应充份标准化，且至少有一种加密算法是全球标准化安全特征的标准化，以确保全球范围内不同服务网之间的

13、相互操作和漫游安全等级高于目前的移动网或固定网的安全等级(包括GSM)安全特征具有可扩展性 目前，移动通信最有代表性的是第三代移动通信系统(3G) 安全体系结构如下： 图4.1 3G安全体系结构网络接入安全(等级1)：主要定义用户接入3GPP网络的安全特性，特别强调防止无线接入链路所受到的安全攻击，这个等级的安全机制包括USIM卡、移动设备(ME)、3GPP无线接入网(UTRAN/E-UTRAN)以及3GPP核心网(CN/EPC)之间的安全通信。 (1*)非3GPP网络接入安全：主要定义ME、非3GPP接入网(例如WiMax、cdma2000与WLAN)与3GPP核心网(EPC)之间的安全通信

14、。 网络域安全(等级2)：定义3GPP接入网、无线服务网(SN)和归属环境(HE)之间传输信令和数据的安全特性，并对攻击有线网络进行保护。用户域的安全(等级3)：定义USIM与ME之间的安全特性，包括两者之间的相互认证。应用程序域安全(等级4)：定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于VoIP业务，IMS提供了该等级的安全框架。安全的可见度与可配置性：它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。以空中接口为主体的安全威胁包括如下几类情况 ： 窃听、假冒、重放、数据完整性侵犯、业务流分析、跟踪 来自网络和数据库的安全威胁包括以下三类情况： a.网络内部攻

15、击 b.对数据库的非法访问 c.对业务的否认4.1 WCDMA系统的鉴权和加密为了克服GSM系统的安全缺陷，WCDMA系统采用了双向认证技术，建立了完整的认证与密钥协商机制(AKA)。 1、UMTS 安全体系结构与AKA 过程 UMTS安全体系主要涉及到USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC等网络单元。所采用的AKA过程分为两个阶段。阶段1是HE与SN之间的安全通信，认证向量AV通过SS7信令的MAP协议传输。由于MAP协议本身没有安全功能，因此3GPP定义了扩展MAP安全协议，称为MAPsec，用于传输认证矢量AV=(RAND(随机数)，XRES(期望应答)，CK(

16、加密密钥)，IK(完整性密钥)，AUTH(认证令牌)。阶段2是SN和用户之间的安全通信，采用一次处理方式，在USIM与SGSN/VLR之间进行质询-应答处理。实现用户和网络的双向认证。UMTS在ME与RNC之间实现加密和完整性保护，对于业务数据和信令，都进行加密，为了降低处理时延，只对信令进行完整性保护。 图4.1.1 WCDMA安全体系结构 4.2 CDMA-2000系统的鉴权和加密与WCDMA类似，cdma2000系统也采用了双向认证技术与认证与密钥协商机制(AKA)。1. cdma2000 安全体系结构cdma2000的安全体系结构与UMTS类似，也采用两阶段AKA过程，涉及到UIM/M

17、E、MSC、PDSN/VLR和HLR/AC等网络单元。 图4.2.1 cdma2000 安全体系结构2.UIM 认证流程cdma2000中的UIM卡存储用户的身份信息与认证参数，其功能与GSM中的SIMUMTS中的USIM卡功能类似。 图4.2.2 UIM 认证流程图5、4G系统信息安全 5.1 LTE系统网络架构LTE采用扁平化、IP化的网络架构，E-UTRAN用E-NodeB替代原有的RNC-NodeB结构，各网络节点之间的接口使用IP传输，通过IMS承载综合业务，原UTRAN的CS域业务均可由LTE网络的PS域承载。原有PS域的SGSN（service GPRS support node

18、）和GGSN（gateway GPRS support node）功能归并后重新作了划分，成为两个新的逻辑网元：移动管理实体(MME)和服务网关(Serving Gateway)，实现PS域的承载和控制相分离。新增的PDN GW网元实现各种类型的无线接入。LTE的网络架构如下图所示： 图5.1.1 LTE系统网络架构5.2 LTE_SAE网元功能介绍SAE是LTE的系统架构演进，所以，在此有必要对其系统架构做简单介绍。 图5.2.1 SAM网络架构 5.2.1 UTRANE-UTRAN实体的主要功能包括：1.头压缩及用户平面加密；2.在没有路由到达MME的情况下，MME的选择取决于UE提供的信

19、息；3.没有路由情形下的MME选择；4.基于AMBR和MBR的上行承载级速率执行；5.上下行承载级准许控制。 5.2.2 MMEMME提供以下功能：1.NAS信令及其安全；2.跨核心网的信令（支持S3接口）；3.对处于MME-IDLE状态的UE进行寻呼；4.跟踪区域（Tracking Area）列表的管理；5.P-GW和S-GW的选择；6.发生跨MME切换时的MME选择；7.发生与2G/3G 3GPP接入网之间切换时的SGSN选择；8.支持漫游（与HSS之间的S6a接口）；9.鉴权；10.承载管理，包括专用承载（dedicated bearer）的建立。 5.2.3 S-GW对每一个与EPS相

20、关的UE，在一个时间点上，都有一个S-GW为之服务。S-GW对基于GTP和PMIP的S5/S8都能提供如下功能：1.eNode间切换时，作为本地锚定点；2.在2G/3G系统和P-GW之间传输数据信息；3.在EMM-IDLE模式下为下行数据包提供缓存；发起业务请求流程； 4.合法侦听；5.IP包路由和前转；6.IP包标记；7.计费。 5.2.4 P-GW1.基于单个用户的数据包过滤；2.UE IP地址分配；3.上下行传输层数据包的分类标示；4.上下行服务级的计费（基于SDF，或者基于本地策略）；5.上下行服务级的门控；6.上下行服务级增强，对每个SDF进行策略和整形；7.基于AMBR的下行速率整

21、形基于MBR的下行速率整上下行承载的绑定；合法性监听； 5.2.5 HSSHSS是用于存储用户签约信息的数据库，归属网络中可以包含一个或多个HSS。HSS负责保存以下跟用户相关的信息：1.用户标识、编号和路由信息；2.用户安全信息：用于鉴权和授权的网络接入控制信息3.用户位置信息：HSS支持用户注册，并存储系统间的位置信息4.用户轮廓信息HSS还能产生用于鉴权、完整性保护和加密的用户安全信息。HSS负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。 5.3 LTE/SAE安全架构LTE/SAE网络的安全架构和UMTS的安全架构基本相同，如下图所示： 图5.3.1 LTE/SAE安全架构L

22、TE/SAE网络的安全也分为5个域：1)网络接入安全(I) 2)网络域安全(II) 3)用户域安全(III) 4)应用域安全(IV) 5)安全服务的可视性和可配置性（V）LTE/SAE的安全架构和UMTS的网络安全架构相比，有如下区别：1)在ME和SN之间增加了双向箭头表明ME和SN之间也存在非接入层安全。2)在AN和SN之间增加双向箭头表明AN和SN之间的通信需要进行安全保护。 3)增加了服务网认证的概念，因此HE和SN之间的箭头由单向箭头改为双向箭头。 5.4 LTE/SAE安全层次在LTE中，由于eNB轻便小巧，能够灵活的部署于各种环境。但是，这些eNB部署点环境较为复杂，容易受到恶意的

23、攻击。为了使接入网安全受到威胁时不影响到核心网，LTE在安全方面采取分层安全的做法，将接入层（AS）安全和非接入层（NAS）安全分离，AS安全负责eNB和UE之间的安全，NAS安全负责MME和UE之间的安全。采用这种方式能够更好的保护UE的接入安全。这样LTE系统有两层保护，而不像UMTS系统只有一层安全保障。第一层为E-UTRAN网络中的RRC安全和用户面（UP）安全，第二层是EPC（演进的包核心）网络中的NAS信令安全。这种设计目的是使E-UTRAN安全层（第一层）和EPC安全层（第二层）相互的影响最小化。该原则提高了整个系统的安全性；对运营商来说，允许将eNB放置在易受攻击的位置而不存在

24、高的风险。同时，可以在多接入技术连接到EPC的情况下，对整个系统安全性的评估和分析更加容易。即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。 图5.4.1 LTE/SAE安全层次 5.5 LTE/SAE密钥架构为了管理UE和LTE接入网络各实体共享的密钥，LTE定义了接入安全管理实体（ASME），该实体是接入网从HSS接收最高级（top-level）密钥的实体。对于LTE接入网络而言，MM执行ASME的功能。LTE/SAE网络密钥层次架构如图9所示。 图5.5.1 LTE/SAE网络密钥层次架构LTE/SAE网络的密钥层次架构中包含如下密钥：UE和HSS间共享的密钥。K：存

25、储在USIM和认证中心AuC的永久密钥；CK/IK：AuC和USIM在AKA认证过程中生成的密钥对。（2）ME和ASME共享的中间密钥。KASME：UE和HSS根据CK/IK推演得到的密钥。密钥KASME作为SAE特定认证向量响应的部分从HSS传输到ASME。（3）LTE 接入网络的密钥。KeNB：用于推导保护RRC流量的密钥和UP流量的密钥；KNASint：用于和特定的完整性算法一起保护NAS流量；KNASenc：用于和特定的加密算法一起保护NAS流量； KUPenc：用于和特定的加密算法一起保护UP流量；KRRCint：用于和特定的完整性算法一起保护RRC流量；KRRCenc：用于和特定的

26、加密算法一起保护RRC流量。6、 LTE与2G/3G网络的兼容 用户在LTE和2G/3G之间切换时需要进行密钥转换。用户从2G/3G到LTE时，LTE不信任2G/3G的密钥，因此在切换或小区重选（TAU）完成后，如果MME和UE之间没有存有转移之前协商好的LTE安全上下文，LTE网络会要求重新做AKA，生成新的安全上下文。如果存有转移之前协商好的LTE安全上下文，则启用原有安全上下文。考虑到减少切换信令交互的消耗时间和复杂度，切换过程中还是使用由2G/3G安全上下文影射（MAP）过来的安全上下文，根据UMTS/GERAN中的IK、CK生成KASME。 用户从LTE转移到2G/3G时，使用LTE安全上下文影射为GERAN/UMTS安全上，由KASME转换为CK、IK。从2G/3G切换到LTE过程中，MME将CK/IK和PLMN-id生成KASME，K