浅谈GSM网络中的双向认证机制

浅谈GSM网络中的双向认证机制一、引言随着无线通信技术的发展，无线通信网络的应用已经深入人们生活的方方面面。近年来由于无线通信用户的快速增长，一些不法分子利用无线通信网络的开放性，恶意攻击无线通信网络，给无线通信网络带来了一定的不安因素。同时，给无线通信网络用户造成了恐慌。近几年国家大力治理用户信息泄密的问题，保障用户的信息安全。作为通信企业的一名员工，本文笔者就所掌握的GSM网络安全隐患，针对GSM网络的双向认证体制进行简要的介绍。二、GSM网络面临的不安定因素虽然，现有的GSM网络采用了用户接入认证、用户信息传递采用TMSI（临时识别码TemporaryMobileSubscriberIdentity）及空中接口加密等保密措施，但是，由于无线网络的开放性，仍然有一些用户信息被非法取得。非法取得用户信息主要有以下几种方式：1、重放攻击。就是攻击者在非法取得合法用户信息后，向目的交换机发送第二次认证请求，来达到欺骗系统的目的，主要用于身份认证过程。2、假冒基站套取信息。就是采用一定的设备模拟合法无线通信网络基站，以达到MS与假BTS间传递信息的目的，套取合法用户的保密性信息。3、内部泄密。由于部分地区无线通信网络对密钥采用明文传递，导致在内部维护人员或设备供应商技术人员能够轻易取得密钥。密钥的泄密途径增加。三、GSM网络认证机制GSM网络认证机制可分为：单项认证机制和双向认证机制，其中双向认证机制又分为对称认证机制（MS与VLR密钥相同）和非对称认证机制（MS与VLR密钥不同）目前，大部分GSM网络都采用单项认证机制，3G网络（TD_SCDMA/WCDMA/CDMA2000）都采用双向认证机制。双向认证机制相对单项认证机制在很大程度上可以弥补无线网络的漏洞。现行GSM网络中，直接与身份认证的参数如下：*IMSI:在用户注册时，存于HLR/AUC并烧制于SIM卡中。IMSI长度不超过15位。*TMSI:长度不超过32位，TMIS由VLR产生，只在同一VLR服务区内有效，主要用于保护用户的身份的机密性。*Ki:用户认证密钥，用户申请登记时，由系统产生的私密认证密钥，Ki产生后即被储存在AUC内，并烧录于用户的SIM卡上，所以Ki是MS及HLR所共享的密钥。Kc:在每次无线通信中，对空口进行加密时使用的密钥。LAI:服务区识别码，提供系统识别移动台的位置。GSM网络安全措施主要是基于手机认证及信息加密等两个方向考虑的。GSM网络身份认证及加密使用A3、A5及A8三个算法，Ki及Kc两个密钥，一个RAND（随机数）和SRES（响应符号）现行GSM网络认证机制流程图如下:图1：现行GSM网络认证机制流程图虽然GSM网络提供了身份认证和信息加密功能，但由于仅有VLR对MS的单向认证，致使MS易遭假冒BTS攻击；MS与网络间的认证参数采用明文方式传送，易受攻击者截收；加密算法的密钥长度太短，有被破解的隐患。四、双向认证机制分析双向认证机制有很多种技术方案，本文重点研究两种双向认证机制。1、基于现有GSM算法的快速双向认证机制该方案的主要特点是不改变现有的GSM网络结构，直接利用现有的GSM算法进行MS与VLR的双向认证。属于对称认证机制（即认证双方的密钥相同）。认证流程Stepl:当MS加入一个新的VLR并要求提供通信服务是，MS必须先送出一个包含TMSI、LAI及时间标签T1信息的身份认证请求给新的VLR。Step2:新VLR会依照所收到的LAI信息到旧的VLR处，并依据TMSI取回该MS的IMSI后新VLR将自己的身份识别码VLRID连同所取回的IMSI及T1送给HLR，并将T1存储起来。Step3:HLR收到VLR所传送的相关信息后，首先检查VLRID的有效性，若为合法有效的VLRID才会计算Ka二A8(T1,Ki),并将计算的结果Ka送给新的VLR，若VLRID无效则中止认证程序。Step4:VLR储存HLR的Ka后，计算AUTN=A5(T1,Ka)并将AUTN传送给MS,作为认证VLR的依据。Step5:当MS接收到AUTN后，首先通过SIM卡中的Ki和T1计算Ka'=A8(T1,Ki)及AUTN'=A5(T1,Ka)，并与所接收到的AUTN相比较，若两者相同则表示MS成功认证了VLR的合法身份，MS随即计算SRES'二A3(T1,Ka')，并将SRES发送给VLR，作为认证MS身份的依据。Step6:VLR根据收到的SRES'后,首先根据VLR中储存的T1和Ki计算SRES=A3(T1,Ka)，并与收到的SRES'比对，如果两者相同即表示VLR成功认证了MS的合法身份。图图2：基于现有的GSM算法的快速双向认证流程图为了保证Ki的保密性，引入K4算法对Ki进行加密，只有制卡中心及通信企业内部的Ki信息管理者才能获取Ki的明文，在其他Ki的传送过程中，均采用密文方式传送，最大程度的减少了泄密的途径。安全性分析*MS与VLR间通信都提供双向身份认证，同时对Ki加密，保证了Ki的保密性，假冒MS无法计算出合法的Ka及SRES通过VLR的认证。*假冒的VLR无法获取Ki信息，不能计算出合法的Ka及AUTN，无法通过MS认证，避免了MS遭受假冒VLR的欺骗危险。*在每次认证请求中加入不同的时间标签T1，使得每次计算的SRES和AUTN的结果均与T1相关且不同。即使攻击者拦截到认证请求及相关身份认证信息，但是由于时间不同计算的结果不同，因此攻击者无法通过重送SERS或AUTN来冒充MS或VLR欺骗对方，可以有效避免遭受重送相关身份认证信息的攻击。2、基于ECC组合公钥的GSM双向认证机制该方案属于非对称认证机制(即认证双方的密钥不同)，目前，针对基于非对称加密密钥技术的GSM认证方案研究非常活跃。该方案的特点是不引入第三方的前提下引入组合公钥，并采用ECC(elipticcurvecryptograhpy)椭圆曲线加密法计算组合公钥，增加了破解的难度。2.1密钥的生产及分发存储实行密钥的离线生产，首次根据ECC组合公钥算构建私钥矩阵和公钥矩阵；根据HLR、VLR网络实体标识分配相应的公、私密钥对（Kpub_hlr、Kpri_hlr、Kpub_vlr、Kpri_vlr）再将公、私密钥对及公钥矩阵通过安全途径传送至相应的网络实体。将IMSI作为唯一用户标识，通过映射算法和私钥矩阵生产用户私钥Kpri_ms，将IMSI、私钥、Kpri_ms以及所属HLR的公钥Kpub_hlr保存到SIM卡中。认证流程图3：基于ECC组合公钥的GSM双向认证认证流程Stepl:MS发出认证请求前，先产生一个随机数RAND1,用所属HLR的公钥Kpub_hlr通过ECC算法进行加密产生密文Epub_hlr（RAND1）与IMSI组成认证请求发送给当地的VLR。Step2:VLR根据IMSI获取MS的公钥Kpub_ms，再转发密文Epub_hlr（RAND1）给所属HLR。Step3:HLR用私钥解密密文得到RAND1后，再把RAND1发送给VLR。Step4:VLR生成随机RAND2,并将RAND1，RAND2及自己的公钥Kpub_vlr用MS公钥Kpub_ms加密，再把密文Epub_ms(RAND1,RAND2,Kpub_vlr)发给MS。Step5:MS用私钥解密得到RAND1,RAND2,Kpub_vlr，并比较收到的RAND1与发出的RAND1是否相同，若相同则认证成功。Step6:MS再将获得的RAND2用Kpub_vlr加密，并将密文Epub_hlr(RAND2)发送给VLR。Step7:VLR解密得到RAND2与发出的RAND2比较，若相同则VLR对MS认证成功。安全性分析该方案采用的非对称双向认证确保了MS与VLR间的互相认证，另外，该方案中无线链路上传输的信息都是通过接收者的公钥进行加密，只有使用正确的私钥才能解密，而且公钥与私钥分别存储于MS于HLR/VLR内，无法同时获得公钥和私钥，因此可以有效的防止攻击者的攻击，提高了网络传输信息的安全性。*由于每次产生的随机数不同，并且随机数传输均采用公钥加密私钥解密，因此重放攻击是行不通的。*采用公钥加密保证了认证请求信息密文传送。*由于采用实体标识计算公、私密钥矩阵，不引入第三方，保证公、私密钥矩阵保密性。另一方面，采用双向认证和密钥协商，避免了假冒基站攻击。*私钥实行离线生产，且由用户自己保存，防止了内部泄密。

五、以上两种认证体制的综合比较综合对比万案现行GSM网络认证基于现行算法的双向认证基于ECC组合公钥的双向认证密钥技术对称加密对称加密非对称加密安全性低中高同等长度密钥加密强度弱中高加密密钥新鲜度弱中中算法是否公开不公开不公开公开算法复杂度低中高是否改变现行网络结构—一—一不改变改变六、结束语目前，由于用户信息安全日