GSM與IS-41系統(tǒng)安全機(jī)制研究與比較

��

隋愛(ài)芬，王皎


北京郵電大學(xué)信息工程學(xué)院，北京100876


　　摘　要：GSM和IS－41是第二代移動(dòng)通信標(biāo)準(zhǔn)的兩類典型系統(tǒng)，這兩類系統(tǒng)的安全都基于私鑰密碼體制，安全協(xié)議基于共享秘密，提供匿名服務(wù)、認(rèn)證和保密的安全服務(wù)，但實(shí)現(xiàn)機(jī)制有許多不同，分析了兩類系統(tǒng)的安全特征和安全機(jī)制，并進(jìn)行了較全面的比較，為第三代移動(dòng)通信奠定了良好的基礎(chǔ)。


　　關(guān)鍵詞：GSM；IS－41；認(rèn)證；密鑰管理；隱秘


　　0　引言


　　移動(dòng)通信依賴開(kāi)放的傳輸媒介，除了受到有線網(wǎng)絡(luò)安全威脅，尤其容易受到假冒用戶濫用資源和被竊聽(tīng)無(wú)線鏈路通信的威脅。第一代模擬移動(dòng)通信系統(tǒng)基本沒(méi)有考慮安全和認(rèn)證，網(wǎng)絡(luò)欺騙給運(yùn)營(yíng)商帶來(lái)巨額損失，同時(shí)用戶利益受損。第二代數(shù)字移動(dòng)通信系統(tǒng)采取了一系列安全措施，強(qiáng)調(diào)對(duì)用戶的認(rèn)證以防止欺騙和網(wǎng)絡(luò)誤用，兼顧隱秘問(wèn)題。根據(jù)認(rèn)證和安全基礎(chǔ)設(shè)施，第二代移動(dòng)通信標(biāo)準(zhǔn)可以分為兩類［1］：一類是GSM；另一類包括多種美國(guó)標(biāo)準(zhǔn)。它們具有相同的網(wǎng)絡(luò)設(shè)施——TIA IS－41，因此在本文中以IS－41統(tǒng)稱這些系統(tǒng)。由于空中傳輸帶寬受限、移動(dòng)終端處理能力和存儲(chǔ)能力受限，這兩類系統(tǒng)的安全都基于私鑰密碼體制，安全協(xié)議基于共享秘密，提供匿名服務(wù)、認(rèn)證和保密，但實(shí)現(xiàn)機(jī)制卻有許多不同。本文研究了這兩類系統(tǒng)的安全特征和安全機(jī)制，并進(jìn)行了較全面的比較。


　　1　GSM安全分析


　　GSM系統(tǒng)安全需求見(jiàn)ETSI02．09，提供以下安全特征［2］。


　�。�1）用戶身份（IMSI）保密：IMSI不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過(guò)程。防止入侵者偷聽(tīng)無(wú)線信道信令從而識(shí)別出哪個(gè)用戶在使用網(wǎng)絡(luò)資源，這一特征允許為用戶數(shù)據(jù)和信令提供更高的保密性，并保護(hù)用戶位置不被跟蹤。這要求IMSI、能推導(dǎo)出IMSI 的信息不能以明文形式在空中傳輸。


　　（2）用戶身份認(rèn)證：保護(hù)網(wǎng)絡(luò)不被未授權(quán)使用，防止入侵者偽裝成合法用戶。


　�。�3）用戶數(shù)據(jù)（語(yǔ)音或非語(yǔ)音）機(jī)密性：業(yè)務(wù)信道上的用戶信息（語(yǔ)音或非語(yǔ)音）不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過(guò)程。


　�。�4）無(wú)連接用戶數(shù)據(jù)的機(jī)密性：以無(wú)連接模式在信令信道上傳輸?shù)挠脩粜畔ⅲɡ�如短消息）不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過(guò)程。


　�。�5）信令信息的機(jī)密性：在移動(dòng)臺(tái)和基站之間交換的某些信令信息不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過(guò)程，確保與用戶相關(guān)的信令單元保密。


　　為提供上述安全服務(wù)，GSM采用三種安全機(jī)制［3］（見(jiàn)圖1）：匿名（用臨時(shí)用戶身份標(biāo)識(shí)用戶）、認(rèn)證和加密。采用三種算法：A3—認(rèn)證算法、A8—加密密鑰產(chǎn)生算法、A5—加密算法。以獨(dú)立于終端硬件設(shè)備（SIM卡）做安全模塊，管理用戶的所有信
息，A3和A8在SIM卡上實(shí)現(xiàn)，增強(qiáng)了系統(tǒng)安全性。





　　1．1　密鑰與信任管理


　　每個(gè)移動(dòng)臺(tái)MS與歸屬網(wǎng)絡(luò)（HN）有簽約關(guān)系。初始化時(shí)，HN給用戶分配一個(gè)惟一的標(biāo)識(shí)符——國(guó)際移動(dòng)用戶標(biāo)識(shí)（IMSI）和認(rèn)證密鑰Ki。Ki作為主密鑰，用于認(rèn)證和導(dǎo)出子密鑰。IMSI和認(rèn)證密鑰Ki保存在用戶SIM和HN的認(rèn)證中心AC中，SIM被認(rèn)為是防篡改的。


　　當(dāng)前為用戶提供服務(wù)的網(wǎng)絡(luò)稱為服務(wù)網(wǎng)絡(luò)（SN）。SN和HN有一個(gè)雙邊的漫游協(xié)議，在這個(gè)協(xié)議下SN信任HN會(huì)為SN提供給MS的服務(wù)支付費(fèi)用。關(guān)于MS的信息由SN保存在訪問(wèn)位置寄存器（VLR）中。前提是HN信任SN能夠安全地處理認(rèn)證數(shù)據(jù)。HN和SN之間的通信假定是安全的。


　　1．2　臨時(shí)移動(dòng)用戶標(biāo)識(shí)TMSI


　　為保證用戶身份機(jī)密性，網(wǎng)絡(luò)用臨時(shí)移動(dòng)用戶標(biāo)識(shí)TMSI替代國(guó)際移動(dòng)用戶標(biāo)識(shí)IMSI，使第三方無(wú)法在無(wú)線信道上跟蹤GSM用戶。TMSI在GSM03．03中定義，只在某個(gè)VLR范圍有意義，必須和LAI（位置區(qū)域標(biāo)識(shí)符）一起使用。VLR（訪問(wèn)位置寄存器）負(fù)責(zé)管理合適的數(shù)據(jù)庫(kù)來(lái)保存TMSI和IMSI之間的對(duì)應(yīng)關(guān)系。


　　1．3　認(rèn)證


　　認(rèn)證發(fā)生在網(wǎng)絡(luò)知道用戶身份（TMSI／IMSI）之后、信道加密之前。認(rèn)證過(guò)程也用于設(shè)置加密密鑰。當(dāng)移動(dòng)臺(tái)（MS）要呼叫或者位置更新時(shí)，需要網(wǎng)絡(luò)方認(rèn)證。認(rèn)證時(shí)，①認(rèn)證中心根據(jù)用戶的IMSI找到用戶的密鑰Ki，然后產(chǎn)生認(rèn)證向量三元組：triple（RAND，SRES，Kc），發(fā)送到MSC／VLR；②MSC／VLR將其中的RAND發(fā)送給MS，MS中的SIM卡根據(jù)收到的RAND和存儲(chǔ)在卡中的Ki，利用A3和A8算法分別計(jì)算出用于認(rèn)證的響應(yīng)SRES和加密密鑰（Kc），并將SRES回送到MSC／VLR中；③在MSC／VLR里，比較來(lái)自MS的SRES和來(lái)自認(rèn)證中心的RES，若不同，則認(rèn)證失敗，拒絕用戶接入網(wǎng)絡(luò)；若相同，則認(rèn)證成功，用戶可以訪問(wèn)網(wǎng)絡(luò)，并且在后面的通信過(guò)程中，用戶和基站之間無(wú)線鏈路的通信用加密密鑰Kc和A5算法進(jìn)行加密。


　　當(dāng)TMSI認(rèn)證失敗或舊的VLR不可達(dá)時(shí)，網(wǎng)絡(luò)請(qǐng)求MS發(fā)送IMSI，利用IMSI重復(fù)認(rèn)證步驟。這時(shí)IMSI以明文形式在空中傳輸，這是系統(tǒng)的一個(gè)安全漏洞。 A3和A8算法由運(yùn)營(yíng)商自行確定，規(guī)范中只規(guī) 定了輸入和輸出格式，Ki：128比特；RAND：128比特；SRES：32比特。


　　1．4　保密


　　保密通過(guò)數(shù)據(jù)流和密鑰流進(jìn)行逐比特相加來(lái)獲得，被保護(hù)數(shù)據(jù)包括信令消息、業(yè)務(wù)信道上的用戶數(shù)據(jù)、信令信道上無(wú)連接的用戶數(shù)據(jù)，采用OSI第1層的加密功能實(shí)現(xiàn)，這一機(jī)制涉及4種網(wǎng)絡(luò)功能：加密方法協(xié)商、密鑰設(shè)置、加／解密過(guò)程的開(kāi)始、加／解密的同步。加密算法采用流密碼A5，待加密數(shù)據(jù)和A5的輸出逐比特異或。A5算法對(duì)所有移動(dòng)臺(tái)和GSM網(wǎng)絡(luò)是相同的（必須支持漫游），其外部接口規(guī)范在文獻(xiàn)［3］定義，內(nèi)部規(guī)范由GSM／MoU負(fù)責(zé)管理。輸入?yún)��?shù)：幀號(hào)（22比特）和Kc（64比特）；輸出參數(shù)：BLOCK1（114比特）和BLOCK2（114比特），分別用于加／解密。


　　2　IS－41安全分析


　　IS－41系統(tǒng)空中接口有兩類：TDMA或CDMA。其中CDMA無(wú)線鏈路采用PN碼（偽隨機(jī)碼）對(duì)信號(hào)進(jìn)行擴(kuò)頻，使得信號(hào)很難被攔截和竊聽(tīng)。除這一物理安全措施外，IS－41規(guī)定了一系列安全機(jī)制［4，5］。IS－41的認(rèn)證和加密機(jī)制如圖2所示，其安全協(xié)議依賴于一個(gè)64比特認(rèn)證密鑰（A－Key）和終端的電子序列號(hào)（ESN），提供的安全特征與GSM類似。





　�、倌涿�性。系統(tǒng)為終端分配臨時(shí)移動(dòng)臺(tái)標(biāo)識(shí)（TMSI），采取的機(jī)制與GSM類似，下文不再分析這一機(jī)制；②認(rèn)證。網(wǎng)絡(luò)對(duì)用戶的單向認(rèn)證；③語(yǔ)音保密；④用戶數(shù)據(jù)保密；⑤信令保密。采用了4種安全算法：①CAVE，用于質(zhì)詢／應(yīng)答（challenge／response）認(rèn)證協(xié)議和密鑰生成；②專用長(zhǎng)碼掩碼PLCM控制擴(kuò)頻序列，然后擴(kuò)頻序列與語(yǔ)音數(shù)據(jù)異或?qū)崿F(xiàn)語(yǔ)音保密；③ORYX，是基于LSFR的流密碼，用于無(wú)線用戶數(shù)據(jù)加密服務(wù)；④E－CMEA（enhanced cellular message encryption algorithm：增強(qiáng)的蜂窩消息加密算法），是CMEA算法的增強(qiáng)版，是一個(gè)分組密碼，用于加密控制信道。


　　2．1　密鑰和信任管理


　　每個(gè)MS都與歸屬網(wǎng)絡(luò)HN有簽約關(guān)系。在初始化時(shí)，HN給用戶分配一個(gè)移動(dòng)身份號(hào)／電子序列號(hào)（MIN／ESN）和密鑰A－key。SN和HN有1個(gè)雙邊的漫游協(xié)議，在這個(gè)協(xié)議下，SN信任HN會(huì)為SN提供給MS的服務(wù)支付費(fèi)用。關(guān)于MS的信息由SN保存在訪問(wèn)位置寄存器（VLR）中。假設(shè)HN信任SN能夠安全地處理認(rèn)證數(shù)據(jù)，HN和SN之間的通信是安全的。


　　系統(tǒng)安全參數(shù)主要是電子序列號(hào)ESN、A Key和共享秘密數(shù)據(jù)SSD。其中，ESN是一個(gè)32位的二進(jìn)制數(shù)，是移動(dòng)臺(tái)的惟一標(biāo)識(shí)，必須由廠家設(shè)定。


　　A Key作為主密鑰，不直接參與認(rèn)證和保密，而是用于產(chǎn)生子密鑰，而子密鑰用于語(yǔ)音、信令及用戶數(shù)據(jù)的保密，這是IS－41同GSM相比的一個(gè)優(yōu)點(diǎn)。AKey長(zhǎng)64比特，分配給移動(dòng)臺(tái)，存儲(chǔ)在移動(dòng)臺(tái)永久性安全標(biāo)識(shí)存儲(chǔ)器中，僅對(duì)移動(dòng)臺(tái)和歸屬位置寄存器／認(rèn)證中心（HLR／AC）是可知的，且不在空中傳輸。


　　SSD長(zhǎng)度為128比特，存儲(chǔ)在移動(dòng)臺(tái)中，且對(duì)基站而言是可用的，它分為2個(gè)不同子集：SSD－A和SSD－B，64比特的SSD－A用于支持認(rèn)證過(guò)程；64比特的SSD－B用于支持話音、信令和數(shù)據(jù)加密。


　　2．2　認(rèn)證


　　一個(gè)成功的認(rèn)證需要移動(dòng)臺(tái)和基站處理一組完全相同的共享秘密數(shù)據(jù)（SSD）。文獻(xiàn)［4］中定義了兩種主要的認(rèn)證過(guò)程：全局質(zhì)詢／應(yīng)答認(rèn)證和惟一質(zhì)詢／應(yīng)答認(rèn)證。全局認(rèn)證包括注冊(cè)認(rèn)證、發(fā)起呼叫認(rèn)證、尋呼響應(yīng)認(rèn)證；惟一認(rèn)證由基站在下列情況下發(fā)起：
注冊(cè)認(rèn)證失敗、發(fā)起呼叫認(rèn)證失敗、尋呼響應(yīng)認(rèn)證失敗以及信道分配后的任何時(shí)候。


　　2．3　保密機(jī)制


　　CDMA系統(tǒng)中話音保密是通過(guò)采用專用長(zhǎng)碼掩碼（PLCM：private long code mask）進(jìn)行PN擴(kuò)頻實(shí)現(xiàn)的，終端利用SSD－B和CAVE算法產(chǎn)生專用長(zhǎng)碼掩碼、64比特的CMEA密鑰和32比特的數(shù)據(jù)加密密鑰。終端和網(wǎng)絡(luò)利用專用長(zhǎng)碼掩碼來(lái)改變PN碼的特征，改變后的PN碼用于語(yǔ)音置亂（與語(yǔ)音數(shù)據(jù)作異或運(yùn)算），這樣進(jìn)一步增強(qiáng)了空中接口的保密性。


　　終端和網(wǎng)絡(luò)利用CMEA密鑰和CMEA算法來(lái)加／解密空中接口的信令消息。CMEA是一個(gè)對(duì)稱密碼，類似DES（數(shù)字加密標(biāo)準(zhǔn)）。采用64比特密鑰，但由于算法本身的弱點(diǎn)，實(shí)際有效密鑰長(zhǎng)度只有24或32比特，1997年被攻破。


　　ORYX是基于LSFR的流密碼，用于用戶數(shù)據(jù)加密。ORYX也被證明是不安全的。


　　3　兩種系統(tǒng)的安全比較


　　從上述安全特征和安全機(jī)制的分析可以看出，由于終端處理能力受限，無(wú)線帶寬受限，GSM和IS－41的安全機(jī)制都基于私鑰密碼技術(shù)；都具有一個(gè)主密鑰；都提供匿名性、認(rèn)證和保密服務(wù)；所有算法秘密設(shè)計(jì)，沒(méi)有經(jīng)過(guò)公開(kāi)的安全論證就投入使用。兩種系統(tǒng)的安全特征和機(jī)制的比較見(jiàn)表1。





　　（1）主密鑰的使用。GSM系統(tǒng)中，主密鑰Ki直接用于產(chǎn)生認(rèn)證簽名。IS－41系統(tǒng)中，主密鑰AKey并不直接用于認(rèn)證，而是由它生成中間密鑰SSD，再由SSD產(chǎn)生認(rèn)證簽名和子密鑰，這是IS－41的一個(gè)優(yōu)點(diǎn)。


　　（2）認(rèn)證方式。兩種系統(tǒng)的認(rèn)證都是基于共享秘密的質(zhì)詢／應(yīng)答方式，只提供網(wǎng)絡(luò)對(duì)用戶的單向認(rèn)證。因此容易受到偽裝基站攻擊和中間人攻擊。


　�。�3）保密算法。GSM系統(tǒng)中，所有加密采用A5算法（1998年被攻破）。而IS－41的保密機(jī)制復(fù)雜得多，采用ORYX算法實(shí)現(xiàn)數(shù)據(jù)加密（1998年被攻破），CMEA實(shí)現(xiàn)信令加密（1997年被攻破），專用長(zhǎng)碼掩碼改變PN序列與語(yǔ)音異或?qū)崿F(xiàn)語(yǔ)音保密（1992年被攻破），但加密只限于無(wú)線接口，沒(méi)有延伸到核心網(wǎng)。


　�。�4）其他安全機(jī)制。GSM系統(tǒng)中，采用獨(dú)立的SIM卡存儲(chǔ)用戶身份和主密鑰，認(rèn)證算法在SIM中執(zhí)行。IS－41系統(tǒng)沒(méi)有采用用戶身份卡，安全參數(shù)和算法存儲(chǔ)在終端，3GPP2關(guān)于CDMA2000的規(guī)范中作了改進(jìn)，引入了UIM卡。


　　總的來(lái)看，第二代移動(dòng)通信系統(tǒng)的安全更多的是從運(yùn)營(yíng)商的角度來(lái)設(shè)計(jì)的，從用戶角度看，大量應(yīng)該保密的數(shù)據(jù)（IMSI，IMEI，主叫號(hào)碼、被叫號(hào)碼、位置信息等）被存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中，用于支持認(rèn)證、移動(dòng)性和計(jì)費(fèi)，并在網(wǎng)絡(luò)中傳輸，這些數(shù)據(jù)可能被誤用（改動(dòng)計(jì)費(fèi)、跟蹤用戶等），從而危害用戶隱私。而且用戶只能依賴網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)選擇網(wǎng)絡(luò)運(yùn)營(yíng)的參數(shù)（TMSI和認(rèn)證參數(shù)等），這種依賴性違背了
多邊安全原則［6］，潛在地危害了用戶的隱私。第三代移動(dòng)系統(tǒng)在這方面有很大改進(jìn)。


　　參考文獻(xiàn)


　�。�1］　ROSEGreg．Authentication and security inmobile phones［EB／OL］．http：／／www．qualcomm．com．a(chǎn)u／PublicationsDocs／AUUG99AuthSec．pdf，1999．


　�。�2］　GSM 02．09－2001，Security aspects．version8．0．1，Release 1998，Phase 2＋［S］．


　　［3］　GSM 03．20－2001，Security related networkfunctions．Version 9．0．0，Phase 2＋［S］．


　�。�4］　TIA IS－41C－1995．Telecommunications Industry Association［S］．


　　［5］　WINGERT C，NAIDU M．CDMA2000 1xRTT security：Overview［EB／OL］．http：／／www．qualcomm．com／enterprise／pdf／CDMA2000 1xRTT＿security．pdf，2002．


　�。�6］　RANNENBERG K．Recent development ininformation technology security evaluation—The need for evaluation criteria formultilateralsecurity［A］．Proceedings of theIFIPTC9／WG9．6 Working Conference［C］．1993，113－128．


　　
摘自《重慶郵電學(xué)院學(xué)報(bào)》