利用密鑰更新改進的3G認證協(xié)議

　　摘 要 詳細分析了3G認證和密鑰分配協(xié)議過程及其安全性，針對該協(xié)議中可能被攻擊的弱點，提出密鑰更新的協(xié)議改進方法。經(jīng)過分析，這一改進協(xié)議不但滿足3G的安全需求，而且通過密鑰更新，明顯增強了認證的安全性。

　　關(guān)鍵詞 認證，加密，解密，密鑰更新，3G，信息安全

　　移動通信飛速發(fā)展及提供的業(yè)務(wù)越來越廣泛使得人們對通信中的安全機制越來越重視。當前的移動通信系統(tǒng)（包括2C和3G）使用的都是對稱密鑰加密機制。在對稱加密系統(tǒng)中，加密和解密之間有一個共享密鑰。對稱加密系統(tǒng)的優(yōu)點是可在加密和解密之間提供快捷的服務(wù)，尤其適用于移動終端。然而，由于加解密雙方共享同一個密鑰，而這個密鑰很有可能泄漏或被識破，例如網(wǎng)絡(luò)運營商的內(nèi)部工作人員若有心盜用他人密鑰的話，成功的幾率很大，因此在安全性上存在漏洞。鑒于這一弱點，在不改變對稱密鑰加密機制及當前網(wǎng)絡(luò)結(jié)構(gòu)的前提下，本文利用密鑰更新機制來變換這一共享的密鑰，使得無論什么時間完成認證進程，每次使用的密鑰都是不同的，從而提高了對稱密鑰加密系統(tǒng)的安全性。在介紹我們的改進協(xié)議之前，首先有必要回顧一下3G的認證協(xié)議。

　　一、3G認證和密鑰分配協(xié)議

　　1.協(xié)議過程

　　3G系統(tǒng)的安全技術(shù)是在GSM的基礎(chǔ)上建立起來的，并充分考慮了和GSM系統(tǒng)的兼容性。3G系統(tǒng)沿用GSM的請求-響應(yīng)認證模式，但是做了較大的改進。它通過在移動臺（MS）和歸屬環(huán)境/歸屬位置寄存器（HE/HLR）中共享的密鑰，實現(xiàn)MS和HE/HLR之間的雙向認證。

　　有三個實體參與3G認證與密鑰分配協(xié)議過程：MS、訪問位置寄存器/支持GPRS服務(wù)節(jié)點（VLR/SGSN）和HE/HLR，具體步驟如下：

　�、佼擬S第一次入網(wǎng)或由于某種原因VLR/SGSN需要MS的永久身份認證時，MS向VLR/SGSN發(fā)送用戶永久身份標識（IMSI），請求注冊。在平時的認證中這一步驟并不存在。

　�、赩LR/SGSN把IMSI轉(zhuǎn)發(fā)到HE/HLR，申請認證向量（AV）以對MS進行認證。

　�、跦E/HLR生成n組AV發(fā)送給VLR/SGSN。

　　其中，AV=n（RAND||XRES||CK||IK||AUTN），這5個參數(shù)分別為隨機數(shù)（RAND）、期望響應(yīng)值（XRES）、加密密鑰（CK）、完整性密鑰（Ⅸ）和認證令牌（AUTN）。它們由如下的方法產(chǎn)生：

RAND由f0產(chǎn)生

XRES=f2k（RAND）

CK=f3k（RAND）

IK=f4k（RAND）

AUTN=SQN+（AAK||AMF||MAC

其中，SQN是序列號；AK是匿名密鑰，用于隱藏SQN；AMF是認證管理域；MAC是消息認證碼。

AK=f5k（RAND）

MAC=flk（SQN||RAND||AMF）

　　f0～f5是3G安全結(jié)構(gòu)定義的密碼算法。f0算法只用在認證中產(chǎn)生隨機數(shù)，f1算法用于產(chǎn)生消息認證碼，f2算法用于在消息認證中計算期望響應(yīng)值，f3算法用于產(chǎn)生加密密鑰，f4算法用于產(chǎn)生完整性密鑰，f5算法用于產(chǎn)生匿名密鑰。K是MS和HE/HLR之間共享的密鑰。

　�、躒LR/SGSN接收到認證向量后，將其中的RAND和AUTN發(fā)送給MS進行認證。

　�、軲S收到RAND和AUTN后，計算期望消息認證碼（XMAC）的值（XMAC=f1K（SQN||RAND||AMF）），并把計算結(jié)果和AUTN中的MAC比較，如不等，則發(fā)送拒絕認證消息，放棄該過程。如果二者相等，MS驗證SQN是否在正確的范圍內(nèi)，若不在正確的范圍內(nèi)，則MS向VLR/SGSN發(fā)送同步失敗消息，并放棄該過程。若上面的兩項驗證都通過，則MS分別計算響應(yīng)值（RES，RES=f2k（RAND））以及CK、IK的值，并將RES發(fā)送給VLR/SGSN。

　　最后，VLR/SGSN收到應(yīng)答信息后，比較RES和XRES，相等則認證成功，否則認證失敗。

　　2.安全性分析

　　該協(xié)議通過MS和HE/HLR共享的密鑰K，實現(xiàn)了以下目標。

　�。�1）MS和HE/HLR之間的相互認證

　　VLR/SGSN接收到來自HE/HLR的認證向量中包括了期望MS產(chǎn)生應(yīng)答的XRES（XRES=f2k（RAND）），如果MS是合法用戶，則RES=XRES。而MS對HE/HLR的認證是通過MAC實現(xiàn)的。MS接收到VLR/SGSN發(fā)過來的MAC，計算XMAC=f1k（SQN，RAND，AMF），如果MAC=XMAC，則認證成功。

　�。�2）MS和VLR/SGSN之間的密鑰分配

　　VLR/SGSN接收到來自HE/HLR的認證向量中包含的CK1和IK1，合法用戶接收到正確的RAND之后，在MS中計算得到CK2=f3k（RAND）和IK2=f4k（RAND），并且CK1=CK2，IK1=IK2。由于通信中的密鑰并沒有在空中傳輸，確保了密鑰的安全。

　　3.可能的攻擊

　　通過上面的分析可以發(fā)現(xiàn)，3G安全機制完全建立在MS和HE/HLR之間共享密鑰K的基礎(chǔ)之上，若該密鑰K泄漏，那么通信中的安全將無從談起，攻擊者可以輕而易舉地在空中截獲RAND，并用相關(guān)算法取得相互認證且計算出CK和IK，從而通信中的所有數(shù)據(jù)都可以被攻擊者截獲。由于這個密鑰K是長期不變的，所以一旦泄漏，將對用戶和網(wǎng)絡(luò)運營商造成不可估量的損失。

　　二、改進方察

　　通過上面對3G認證和密鑰分配協(xié)議的安全性分析，我們提出了一種改進機制，對這個長期不變的密鑰K進行更新。不斷變化的密鑰可以使通信更加安全。

　　1.改進的協(xié)議過程

　　改進協(xié)議主要考慮不改變當前通信中的安全體系結(jié)構(gòu)，而又能對這一弱點進行有效的改進。

　　改進協(xié)議認證過程中各元素的含義如下：

Rm：由MS產(chǎn)生的隨機數(shù)；

Rv：由VLR/SGSN產(chǎn)生的隨機數(shù)；

Rh：由HE/HLR產(chǎn)生的隨機數(shù)；

E()：加密算法；

E＇（)：新密鑰的加密算法；

Ki+1=E＇（Ki，h（RMRH））：由用戶和網(wǎng)絡(luò)各自產(chǎn)生的更新密鑰；

AUTHhv=E（Ki，h（Rv））：從HE/HLR到VLR/SGSN產(chǎn)生的認證信息；

AUTHhm=E（Ki+1，h（Rv））：從HE/HLR到MS產(chǎn)生的認證信息；

AUTHmv=E（Ki，h（Rv））：從MS到VLR/SGSN產(chǎn)生的認證信息；

AUTHmh=E（Ki+1，h（RH））：從MS到HE/HLR產(chǎn)生的認證信息。

　　改進協(xié)議的認證步驟如下：

　�、費S產(chǎn)生隨機數(shù)Rm，并發(fā)送給VLR/SGSN。若，MS是第一次入網(wǎng)或由于某種原因VLR/SGSN需要MS的永久身份認證，則MS還要把IMSI與Rm一起發(fā)送給VLR/SGSN。

　�、赩LR/SGSN收到IMSI和Rm后，產(chǎn)生隨機數(shù)Rv，并把IMSI、Rm和Rv一起發(fā)送給HE/HLR。

　�、跦E/HLR收到VLR/SGSN發(fā)來的信息后，首先根據(jù)IMSI檢索出MS上次的密鑰Ki，并產(chǎn)生隨機數(shù)Rh，然后計算Ki+1=E＇（Ki，h（RmRh））、AUTHhv=E（Ki,h（Rv））和AUTHhm=E（Ki+1,h（Rv）），并把AUTHhv、Rh和AUTHhm發(fā)送給VLR/SGSN。

　�、躒LR/SGSN收到這些信息后，把AUTHhv存儲起來，并把AUTHhm、Rh和Rv發(fā)送給MS。

　　⑤MS收到VLR/SGSN發(fā)來的消息后，首先計算Ki+1=E＇(Ki,h(RmRh))和AUTHhm＇=E(Ki+1,h(Rv))，驗證AUTHhm=AUTHhm＇是否成立，若成立，則MS認證網(wǎng)絡(luò)成功，然后計算AUTHmv=E（Ki,h(Rv))和AUTHmh=E(Ki+1,h(RH))，并把這兩個計算值發(fā)送給VLR/SGSN。若不成立，則認證失敗。

　�、轛LR/SGSN收到AUTHmv和AUTHmh后，首先驗證AUTHmv=AUTHhv是否成立，若成立，則認證成功，然后VLR/SGSN把AUTHmh發(fā)送給HE/HLR。若不成立，則認證失敗。

　�、逪E/HLR收到AUTHmh后，計算AUTHmh＇=E（Ki+1，h（RH）），并驗證AUTHmh＇=AUTHmh＇是否成立，若成立，則證明MS是自己的合法用戶，認證成功。若不成立，則認證失敗。

　　2.協(xié)議達到的目標

　�。�1）通過驗證AUTHhm=AUTHhm＇是否成立，MS可以確認這些信息是否來自HE/HLR，因此也可以確認VLR/SGSN是不是HE/HLR所信任的實體；對于HE/HLR，通過驗證AUTHmh’=AUTHmh是否成立，可以確知MS是不是合法用戶；而對于VLR/SGSN，通過驗證AUTHmv=AUTHhv是否成立，可以知道MS是否為HE/HLR的合法用戶。

　�。�2）密鑰是MS和HE/HLR協(xié)商確定的，可以向MS和HE/HLR確保共享密鑰Ki+1是“新鮮”的，對雙方來說也是公平的。

　　三、安全分析

　　與3G認證協(xié)議相同，在改進的認證協(xié)議中，VLR/SGSN和HE/HLR之間的信任關(guān)系應(yīng)由網(wǎng)絡(luò)域的安全機制來保證，此處假設(shè)這兩者之間是絕對安全的。下面對該協(xié)議可能存在的攻擊做一簡要分析。

　�。�1）抵制重放攻擊

　　為了有效抵制重放攻擊，協(xié)議里必須包含“新鮮”特性。改進協(xié)議中，通過MS和HE/HLR各自產(chǎn)生的隨機數(shù)，并且利用原來的共享密鑰產(chǎn)生新的密鑰，因此，新密鑰包含了MS和HE/HLR雙方的“新鮮”信息。同時，HE/HLR是用新密鑰來驗證來自MS的消息AUTHmh，每次用戶都使用不同的密鑰要求登記和密鑰交換，因此能有效防止重放攻擊。

　�。�2）抵制猜測襲擊

　　口令認證廣泛地應(yīng)用在許多安全系統(tǒng)中，然而攻擊者可能猜測出這個密碼。本協(xié)議中，密鑰更新特性提供了一個方法來阻止這種猜測襲擊。每次更新密鑰，用戶需要使用不同的密鑰登陸，所以，猜測襲擊是不可行的。

　　四、結(jié) 語

　　安全依然是移動通信領(lǐng)域不可忽視的一個方面，身份認證和密鑰協(xié)商是一個重要的問題。本文提出了一個改進的3G認證密鑰更新協(xié)議，該協(xié)議不但完全滿足3G的安全需求，而且通過密鑰更新增強了用戶通信中的安全性。當然，改進的協(xié)議與原3G認證協(xié)議相比，在充分考慮共享密鑰安全及通信安全的同時，可能會忽略原協(xié)議中一些良好的特性，如何充分兼顧這兩個協(xié)議的優(yōu)點，進一步優(yōu)化3G認證協(xié)議，還有待進一步研究。

李 朔 重慶郵電學院通信信息學院碩士研究生

李方偉 重慶郵電學院通信信息學院教授

張 蓉 重慶郵電學院通信信息學院碩士研究生