CDMA實體認(rèn)證機制分析

1、引言

隨著移動通信技術(shù)的發(fā)展，通信中的安全問題正受到人們越來越多的關(guān)注。它關(guān)系到用戶、制造商和運營商的切身利益。人們在使用移動通信得到便利的同時，也對通信中的信息安全提出了更高的要求。

由于空中接口的開放性，為確保用戶訪問網(wǎng)絡(luò)資源的合法性、安全性以及服務(wù)網(wǎng)絡(luò)的真實性，各種移動通信系統(tǒng)普遍采用了相應(yīng)的安全機制，這些安全機制主要分為認(rèn)證和加密，其中認(rèn)證機制又包括實體認(rèn)證和消息認(rèn)證。前者是移動臺（Mobile Station，MS）和基站（Base Station，BS）之間為了驗證MS或BS的身份真實性而進(jìn)行的信息交換過程，而后者適用于接收方驗證通信內(nèi)容的真實性和完整性。本文重點研究基于IS-95的cdma2000 1x系統(tǒng)的實體認(rèn)證機制。

2、CDMA的安全機制

（1）移動通信系統(tǒng)的安全體系結(jié)構(gòu)

移動通信系統(tǒng)的安全體系結(jié)構(gòu)可以分為四個層次和五個安全域，如圖1所示。

圖1　移動通信系統(tǒng)安全體系結(jié)構(gòu)

四個層次分別為傳輸層、歸屬層/服務(wù)層、應(yīng)用層和系統(tǒng)安全管理配置層。五個安全域分別為：（Ⅰ）網(wǎng)絡(luò)接入安全；（Ⅱ）網(wǎng)絡(luò)域安全；（Ⅲ）用戶域安全；（IV）應(yīng)用域安全；（V）安全特性的可視性及可配置能力。

（2）CDMA網(wǎng)絡(luò)安全

CDMA無線鏈路采用偽隨機碼（Pseudo_random Noise code，PN）對信號進(jìn)行擴(kuò)頻，使得信號很難被攔截和竊聽，此外，還規(guī)定了一系列接入安全機制，如圖2所示。由于終端處理能力和空中帶寬受限，CDMA安全基于私鑰技術(shù)，安全協(xié)議依賴于一個64 bit認(rèn)證密鑰（A_Key）和終端的電子序列號（ESN），提供以下安全特征；

圖2　CDMA網(wǎng)絡(luò)無線接入安全機制

●匿名性，為終端分配TMSI；

●基于查詢/應(yīng)答的單向認(rèn)證

●語音/用戶數(shù)據(jù)/用戶信令保密。

其中，采用了四種安全算法：蜂窩認(rèn)證和語音加密算法（Cellular Authentication and Voice Encryption，CAVE），用于查詢/應(yīng)答（Challenge/Response）認(rèn)證協(xié)議和密鑰生成；專用長碼掩碼（Private Long Code Mask，PLCM），控制擴(kuò)頻序列，然后擴(kuò)頻序列與語音數(shù)據(jù)異或?qū)崿F(xiàn)語音保密；ORYX，是基于LSFR的流密碼，用于無線用戶數(shù)據(jù)加密服務(wù)；增強的分組加密算法（Enhanced Cellular Message Encryption Algorithm，E_CMEA），是一個分組密碼，用于加密控制信道。

（3）認(rèn)證

一般在以下場合均需要認(rèn)證：MS發(fā)起呼叫（不含緊急呼叫）、MS接收呼叫、MS位置登記、MS進(jìn)行補充業(yè)務(wù)操作、切換（包括在MSC-A內(nèi)從一個BS切換到另一個BS，從MSC-A切換到MSC-B以及在MSC-B中又發(fā)生了內(nèi)部BS之間的切換等情形）。除此以外，由于受認(rèn)證技術(shù)本身特點的影響，CDMA在更新共享秘密數(shù)據(jù)（Shared Secret Data，SSD）時還需要特殊的認(rèn)證，它主要是保證SSD的安全性。認(rèn)證過程幾乎涉及網(wǎng)絡(luò)中的所有實體，包括MSC、拜訪位置寄存器（VLR）、歸屬位置寄存器（HLR）、鑒權(quán)中心（AUC）以及基站子系統(tǒng)BSS和MS。

在目前的2G和2.5G CDMA系統(tǒng)接入網(wǎng)中的認(rèn)證過程只對接入CDMA系統(tǒng)的終端進(jìn)行認(rèn)證，而終端并不對網(wǎng)絡(luò)進(jìn)行認(rèn)證。這種認(rèn)證過程能夠防止非法終端接入網(wǎng)絡(luò)、使用網(wǎng)絡(luò)資源，但無法防止偽基站的攻擊。

cdma2000實體認(rèn)證涉及到的內(nèi)容有根密鑰A_Key和SSD、SSD的更新以及網(wǎng)絡(luò)對終端認(rèn)證過程等。

3、cdma 2000 1x的接入安全機制

（1）密鑰和相關(guān)參數(shù)管理

無線接入涉及的安全參數(shù)主要有ESN、A_Key、SSD、RAND和呼叫歷史參數(shù)COUNT，cdma2000 1x主要管理A_Key和SSD的分配和更新。其中，ESN長32bit，是MS的惟一標(biāo)識，由廠家設(shè)定；A_Key是主密鑰，用于產(chǎn)生SSD，SSD則用于認(rèn)證和產(chǎn)生子密鑰；RAND是一個32bit的值，與SSD_A和其他參數(shù)結(jié)合起來對MS在發(fā)起/終止呼叫和注冊時進(jìn)行認(rèn)證；COUNT定義了一個保存在基站中的模64的事件計數(shù)。當(dāng)MS接收到一個參數(shù)更新指令后，它將更新COUNT。

在任何時候，每個MS總是擁有一個當(dāng)前的SSD值，并且整個網(wǎng)絡(luò)共享一個32 bit的隨機值RAND。RAND由服務(wù)網(wǎng)絡(luò)進(jìn)行周期性地更新。

A_Key長64 bit，存儲在MS永久性安全標(biāo)識存儲器中，僅對MS和HLR/AC可知，且不在空中傳輸。A_Key不直接參與認(rèn)證和保密，只是用于產(chǎn)生子密鑰，而子密鑰是用來進(jìn)行語音、信令及用戶數(shù)據(jù)保密工作的。因此，保證A_Key的安全至關(guān)重要。A_Key可以重新設(shè)置，終端和網(wǎng)絡(luò)認(rèn)證中心AC的A_Key必須同步更新。其設(shè)置方法有以下幾種：

●由制造商設(shè)置，并分發(fā)給服務(wù)提供商。制造商必須產(chǎn)生和存儲密鑰，制造商和服務(wù)提供商需要建立安全的分發(fā)通道，因此對制造商和服務(wù)提供商而言，這種方法不太可行，但對用戶來說非常方便。

●由服務(wù)提供商產(chǎn)生，在銷售點由機器分配或由用戶手動設(shè)置。這種方法的前提是信任經(jīng)銷商，如果是機器分配則要求所有終端具有標(biāo)準(zhǔn)接口，手動設(shè)置對用戶來說不方便，密鑰分配和管理機制也很復(fù)雜。

●通過空中服務(wù)提供功能（Over The Air Service Provisioning，OTASP）在用戶和服務(wù)提供商之間實現(xiàn)密鑰的產(chǎn)生和分配。終端的A_Key通過OTASP更新，可以切斷克隆終端的服務(wù)或為合法用戶提供新服務(wù)，實現(xiàn)簡單，是一種受歡迎的A_Key分發(fā)機制，也是目前3GPP2建議采用的方法。同時，3GPP2建議用基于Diffie_Hellman密鑰交換協(xié)議協(xié)商A_Key。

SSD長128 bit，存儲在MS中，分為兩個64 bit的子集：SSD_A和SSD_B。SSD_A用于支持認(rèn)證過程；SSD_B用于支持語音、信令和數(shù)據(jù)加密。

新的SSD由CAVE生成，SSD更新成功后，通常BS會發(fā)起一個獨特查詢/響應(yīng)子過程（為了完成雙向認(rèn)證）。CAVE算法用于SSD更新過程如圖3所示。該過程包含了MS對BS的認(rèn)證，圖中的MIN是IMSI的后10位數(shù)字。

圖3　SSD更新流程

在第一次CAVE算法中以A_Key、ESN及從網(wǎng)絡(luò)收到的隨機數(shù)作為CAVE算法的輸入，計算出新的SSD。在第二次CAVE算法中使用新生成的SSD，UIM選擇的隨機數(shù)RANDBS及IMSI作為CAVE算法的輸入?yún)��?shù)，輸出一個用于驗證的結(jié)果值。

（2）認(rèn)證過程

認(rèn)證的目的主要是為了確定MS和網(wǎng)絡(luò)的真實性，在MS和BS之間進(jìn)行鑒權(quán)驗證。認(rèn)證實質(zhì)上是為驗證MS和BS之間是否共享了相同的SSD，如果驗證共享了相同的SSD，則對MS進(jìn)行了成功的驗證；否則，認(rèn)證失敗。認(rèn)證方式包括MS主動通過BS向接入網(wǎng)注冊；BS主動對MS認(rèn)證。兩種方式的思想完全相同，不同的是發(fā)起認(rèn)證的流程。

圖4是接入網(wǎng)發(fā)起對MS的認(rèn)證概要流程，其過程為：

圖4　鑒權(quán)流程

a.MSC首先向BS發(fā)起認(rèn)證請求（Authentication Request），然后啟動定時器T3260；

b.BS將攜帶一個要發(fā)給MS的隨機數(shù)（Random Variable Unique Challenge，RANDU）的認(rèn)證請求消息（Authentication Challenge Message）通過空中接口發(fā)給MS；

c.MS基于SSD、特定的RANDU通過認(rèn)證算法CAVE計算出認(rèn)證摘要碼（AUTHU），并返回攜帶認(rèn)證摘要碼的認(rèn)證查詢響應(yīng)消息（Authentication Challenge Response Message）給BS；

d.通過發(fā)送認(rèn)證響應(yīng)消息（Authentication Response Message）給MSC，MSC在接收到認(rèn)證響應(yīng)消息后，停止定時器T3260。

cdma2000中的認(rèn)證功能包括構(gòu)成新的算法進(jìn)行用戶認(rèn)證、認(rèn)證密鑰管理、數(shù)據(jù)加密密鑰產(chǎn)生等。CAVE算法有三個基本部分為：一個32位的線性移位寄存器、16個8位混合寄存器以及一個置換表。上述A_Key、SSD產(chǎn)生過程中都調(diào)用了CAVE算法，針對具體的應(yīng)用有相應(yīng)的輸入和輸出參數(shù)。

cdma2000 1x提供網(wǎng)絡(luò)對MS的單向認(rèn)證。根據(jù)AC/HLR和VLR之間是否共享SSD，認(rèn)證可分為SSD共享和非SSD共享兩種情況。在共享SSD時，CAVE算法在VLR中完成，而在非SSD共享時CAVE算法是在AC/HLR中完成。規(guī)范中定義了兩種主要的認(rèn)證過程：全局查詢/應(yīng)答認(rèn)證和惟一查詢/應(yīng)答認(rèn)證。這兩種認(rèn)證都基于共享SSD的認(rèn)證。

●全局查詢/應(yīng)答認(rèn)證

全局認(rèn)證包括注冊認(rèn)證、發(fā)起呼叫認(rèn)證、尋呼響應(yīng)認(rèn)證，如圖5所示。全局查詢在尋呼和接入信道上啟動，MS可在接入信道上完成注冊認(rèn)證、發(fā)起呼叫認(rèn)證、尋呼響應(yīng)認(rèn)證等內(nèi)容。

圖5　全局查詢/應(yīng)答認(rèn)證流程

這一過程只有網(wǎng)絡(luò)對MS的認(rèn)證，不能防止網(wǎng)絡(luò)欺騙，缺點根源為用于認(rèn)證的RAND是全局的。如果AUTHR被某些MS泄露了。那么它就可能被偽裝者使用直至其失效。

●惟一查詢/應(yīng)答認(rèn)證

惟一查詢/應(yīng)答認(rèn)證在接入認(rèn)證失敗時啟動，或用于驗證快速請求的有效性。由BS發(fā)起，可以在尋呼信道和接入信道上實現(xiàn)，也可以在前向和反向業(yè)務(wù)信道上實現(xiàn)，如圖6所示。

圖6　惟一查詢/應(yīng)答認(rèn)證流程

如果比較失敗，BS拒絕MS的接入，終止進(jìn)行中的呼叫，或者啟動SSD更新過程，這一過程中網(wǎng)絡(luò)只對某一MS認(rèn)證，安全性較高。

4、結(jié)束語

A_Key的保密性是認(rèn)證機制起作用的基本前提，從根本上來說，認(rèn)證的安全性是由A_Key的安全性決定的。雖然在SSD更新中包含MS對VLR的認(rèn)證，但總的來說，基于IS-95的cdma2000 1x系統(tǒng)的認(rèn)證主要是網(wǎng)絡(luò)對MS的認(rèn)證，這是因為在移動網(wǎng)絡(luò)建立初期主要考慮保護(hù)運營商的利益，減少“克隆”手機的危害。另外，上述認(rèn)證過程并沒有考慮VLR和HLR之間的通信安全，它們之間的信息交互可能是未經(jīng)加密的，這樣，如果攻擊者對兩者之間的通信進(jìn)行竊聽，則可獲取認(rèn)證向量等重要信息，進(jìn)而發(fā)起重放攻擊。

cdma2000新的認(rèn)證過程正在發(fā)展過程中。針對存在的問題，為了提高系統(tǒng)認(rèn)證的可靠性和互操作性，并有利于第三代移動通信系統(tǒng)之間的互聯(lián)互通，cdma2000 1x升級系統(tǒng)已經(jīng)決定采用3GPP的AKA機制；保密機制采用AES算法；所有密鑰長度增加到128 bit。新的認(rèn)證方式稱為增強型用戶認(rèn)證（ESA），此方式增強了認(rèn)證的功能，實現(xiàn)網(wǎng)絡(luò)和終端的相互認(rèn)證，可以防止偽基站的入侵。