3G移動通信中的安全改進

��
李世鴻，李方偉
（重慶郵電學院，重慶400065）



　　摘　要：移動通信技術(shù)的發(fā)展，對系統(tǒng)的安全性能提出更高的要求。2G的安全技術(shù)已經(jīng)不再滿足人們對安全的需要，在對比2G與3G的安全技術(shù)的基礎(chǔ)上，具體分析了3G系統(tǒng)在用戶身份保密，用戶認證與密鑰協(xié)商以及數(shù)據(jù)完整性方面的改進，能與2G兼容，并保留了2G中的安全功能。


　　關(guān)鍵詞：3G；加密；認證；完整性




0　引　言


　　移動通信中的安全問題正受到越來越多的關(guān)注。人們在得到使用移動通信的便利的同時，對通信中的信息安全也提出了更高的要求。


　　在模擬蜂窩移動通信中基本上沒有采用什么安全技術(shù)，對用戶的信息是以明文傳送的。在無線鏈路竊聽非常容易，移動用戶的身份鑒別過程也非常簡單。移動用戶把移動終端的電子序列號ESN和由網(wǎng)絡(luò)分配的移動識別號MIN一起使用明文方式傳送給網(wǎng)絡(luò)，只要二者相符，就可建立呼叫。因此只需截獲MIN和ESN就容易克隆模擬蜂窩電話。


　　在第二代數(shù)字移動通信系統(tǒng)中，在安全性方面有了較大的改進，通過加密方式來傳遞用戶信息，對移動用戶的認證采用了詢問－響應(yīng)認證協(xié)議。網(wǎng)絡(luò)給移動用戶發(fā)送一個認證請求詢問，并要求用戶作出相應(yīng)的響應(yīng)。雖然可以在傳輸鏈路上截獲到該詢問，但計算相應(yīng)的響應(yīng)需要用到與特定用戶相關(guān)的秘密信息，而該信息只有合法用戶知道，即只有合法用戶才能作出正確響應(yīng)，而且認證算法采用了密碼學雜湊函數(shù)設(shè)計而成。即使詢問與響應(yīng)都被截獲，也很難計算出與合法用戶相關(guān)的秘密信息。在2G系統(tǒng)中采用了臨時身份TMSI機制在無線鏈路上識別移動用戶，一般情況下不使用IMSI來識別用戶，由此加強了對用戶身份的保密，而且使用了SIM卡，使得用戶終端獨立出來。


　　盡管第二代移動通信GSM系統(tǒng)在安全性方面　　有了大的進步，但它仍然存在許多不足。在2G系統(tǒng)中的認證機制是單方面的，也就是說只考慮了網(wǎng)絡(luò)對用戶的認證，而沒有考慮用戶對網(wǎng)絡(luò)的識別。由此帶來的問題是，可以通過偽裝成網(wǎng)絡(luò)成員對用戶進行攻擊。加密機制是基于基站的，只有在無線接入部分信息被加密，而在網(wǎng)絡(luò)內(nèi)的傳輸鏈路和網(wǎng)間鏈路上仍然使用明文傳送。隨著解密技術(shù)的發(fā)展和計算能力的提高，2G中使用的加密密鑰長度是64 bit，現(xiàn)在已經(jīng)能在較短的時間內(nèi)解密該密鑰。在2G中沒有考慮密鑰算法的擴展性，只采用了一種加密算法，致使更換密鑰算法十分困難。另外克服GSM中的信息傳送沒有考慮消息的完整性。


　　3G移動通信系統(tǒng)中的安全技術(shù)是在GSM的安全基礎(chǔ)上建立起來的，它克服了GSM中的安全問題，也增加了新的安全功能。下面將介紹3G安全中的幾個主要技術(shù)。



1　用戶身份保密


　　3G系統(tǒng)中的用戶身份保密有3方面的含義：①在無線鏈路上竊聽用戶身份IMSI是不可能的；②確保不能夠通過竊聽無線鏈路來獲取當前用戶的位置；③竊聽者不能夠在無線鏈路上獲知用戶正在使用的不同的業(yè)務(wù)。
　　為了達到上述要求，3G系統(tǒng)使用了2種機制來識別用戶身份：①使用臨時身份TMSI；②使用加密的永久身份IMSI。而且要求在通信中不能長期使用同一個身份。另外為了達到這些要求，那些可能會泄露用戶身份的信令信息以及用戶數(shù)據(jù)也應(yīng)該在接入鏈路上進行加密傳送。在3G中為了保持與第二代系統(tǒng)兼容，也允許使用非加密的IMSI。盡管這種方法是不安全的。


　　在使用臨時身份機制中，網(wǎng)絡(luò)給每個移動用戶分配了一個臨時身份TMSI。該臨時身份與IMUI由網(wǎng)絡(luò)臨時相關(guān)聯(lián)，用于當移動用戶發(fā)出位置更新請求、服務(wù)請求、脫離網(wǎng)絡(luò)請求，或連接再建立請求時，在無線鏈路上識別用戶身份。


　　當系統(tǒng)不能通過TMUI識別用戶身份時，3G系統(tǒng)可以使用IMSI來識別用戶（見圖1）。


　　該機制由拜訪的SN／VLR發(fā)起向用戶請求IM－SI。用戶可選擇兩種方法來響應(yīng)：一是與GSM一樣使用IMSI明文；二是使用擴展加密移動用戶身份XEMSI。由于使用IMSI的明文傳送，可能導致IMSI被竊聽。在3G中應(yīng)該使用加密的用戶身份。






　　在收到SN／VLR的身份請求后，MS／USIM把IMSI加密后嵌入HE－message中，并且用HE－id來向SN／VLR指明可以解密該HE－message的HE／UIC的地址。SN／VLR收到HE－message后，根據(jù)HE－id再把該消息傳送到相應(yīng)的HE／UIC，HE／UIC解密后把用戶的IMSI傳遞給SN／VLR。在收到用戶的IMSI后，就可以啟動TMSI分配過程，此后將使用TMSI來識別移動用戶身份。


　　這種增強型身份加密機制把原來由無線接入部分傳送明文IMSI變成在網(wǎng)絡(luò)內(nèi)傳送明文IMSI，在一定程度上加強了用戶身份的機密性。


2　認　證


在GSM中采用了3元參數(shù)組（RAND／SRES／KC）來進行認證（見圖2）。鑒權(quán)中心產(chǎn)生3參數(shù)組RAND／SRESAUC／KC，將其傳送給HLR。在HLR中為每個用戶存儲1－10組參數(shù)，而在VLR中每個用戶存儲1－7組參數(shù)。VLR選取其中一組參數(shù)，將參數(shù)中用于鑒權(quán)用的隨機數(shù)RAND傳給用戶。MS利用存儲在SIM卡內(nèi)的與AUC共同擁有的密鑰Ki，以及收到的RAND通過A3算法計算出SRESMS。然后MS把SRESMS傳給VLR，在VLR中比較SRESMS和SRESAUC，如果兩者相同，則表示用戶認證完成，否則網(wǎng)絡(luò)將拒絕MS。






　　3G系統(tǒng)中沿用了GSM中的認證方法，并作了改進。在WCDMA系統(tǒng)中使用了5參數(shù)的認證向量AV（RAND‖XRES‖CK‖IK‖AUTN）。3G中的認證，執(zhí)行AKA（Authentication and Key Agree－
ment）認證和密鑰協(xié)商協(xié)議（見圖3）。





　　圖3中，HE／HLR表示用戶歸屬區(qū)的用戶歸屬寄存器；AV表示認證向量；AUTN表示認證令牌；RES和XRES分別表示用戶域的應(yīng)答信息和服務(wù)網(wǎng)的應(yīng)答信息；RAND表示生成的隨機數(shù)；CK和IK分別表示數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。


　　AKA協(xié)議可分為2部分。①用戶歸屬域HE到服務(wù)網(wǎng)SN認證向量的發(fā)送過程。SN（由VLR／SGSN實體執(zhí)行）向HE（由HLR實體執(zhí)行）申請認證向量，HE生成一組認證向量AV（1，…，n）發(fā)送給SN，SN存儲收到的認證向量；②認證和密鑰建立的過程。SN從收到的一組認證向量中選擇一個AV（i），將AV（i）中的RAND（i）和AUTN（i）發(fā)送給用戶的USIM進行認證。用戶收到RAND和AUTN后計算出消息認證碼XMAC（見圖4），并與AUTN中包含的MAC相比較，如果二者不同，USIM將向VLR／SGSN發(fā)送拒絕認證消息。如果二者相同，USIM計算應(yīng)答信息XRES（i），發(fā)送給SN。SN在收到應(yīng)答信息后，比較XRES（i）和RES（i）的值。如果相等則通過認證，否則不建立連接。最后在認證通過的基礎(chǔ)上，MS／USIM根據(jù)RAND（i）和它在入網(wǎng)時的共享密鑰Ki來計算數(shù)據(jù)保密密鑰CKi和數(shù)據(jù)完整性密鑰IK（i）。SN根據(jù)發(fā)送的AV選擇對應(yīng)的CK和IK。





　　比較上述2種認證機制，可以看見3G系統(tǒng)的實體間認證過程比原有2G系統(tǒng)認證功能增強很多，且增加了新功能。具體有以下3方面。


　�、�2G系統(tǒng)只提供網(wǎng)絡(luò)對用戶的單向認證，而3G系統(tǒng)則完成了網(wǎng)絡(luò)和用戶之間的雙向認證。


　�、�3G系統(tǒng)增加了數(shù)據(jù)完整性這一安全特性，以防止篡改信息這樣的主動攻擊。


　�、墼谡J證令牌AUTN中包括了序列號SQN，保證認證過程的最新性，防止重新攻擊。并且SQN的有效范圍受到限制。這些安全功能在2G系統(tǒng)中是沒有的。


3　數(shù)據(jù)保密性


　　在2G系統(tǒng)中，在無線接口上的數(shù)據(jù)加密采用密碼流加密。在用戶側(cè)和網(wǎng)絡(luò)側(cè)，分別用3參數(shù)中的Ki和RAND，通過A8算法計算出密鑰Kc．然后把64 bit的密鑰Kc和當前幀號Fn（22 bit）作為A5算法的兩個輸入?yún)��?shù)來計算密鑰流，由于Fn的不斷變化，因而A5產(chǎn)生不同的密鑰流。信息在發(fā)送端與密鑰流逐位異或來加密，在接收端再使用同密鑰流逐位異或來加密（見圖5）。密鑰流算法A5包括A5／0，A5／1，A5／2等，其中A5／1是強加密算法，A5／2是弱加密算法，而A5／0表示不加密。但隨著技術(shù)的發(fā)展，2G中的加密已經(jīng)變得不太安全了，有文獻表明現(xiàn)在的解密技術(shù)已經(jīng)能達到通過分析通話時前兩分鐘內(nèi)A5／1的輸出，在不到一秒鐘的時間內(nèi)得到密鑰Kc。而且在2G中，加密算法是固定不變的沒有更多的密鑰算法可選擇，缺乏算法協(xié)商和加密鑰協(xié)商過程。





　　在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供4個安全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在AKA中完成。加密算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機制完成。在無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密，采用了f8算法（見圖6）。它有5個輸入：①COUNT是密鑰序列號；②BEARER是鏈路身份指示；③DIRECTION是上下行鏈路指示；④LENGTH是密碼流長度指示；⑤CK是長度位128 bit的加密密鑰。






　　與2G相比，3G不僅加長了密鑰長度，而且引入了加密算法協(xié)商機制。


　　當移動終端ME需要與服務(wù)網(wǎng)SN建立連接時，USIM告訴服務(wù)網(wǎng)它支持哪些加密算法。服務(wù)網(wǎng)根據(jù)下列規(guī)則作出以下判斷。


　�、偃绻鸐E與SN沒有相同版本的UEA（加密算法），但SN規(guī)定使用加密連接，則拒絕連接。


　�、谌绻鸐E與SN沒有相同版本的UEA，但SN允許使用無加密的連接，則建立無加密的連接。


　　③如果ME與SN有相同版本的UEA，SN選擇其中一個可接受的算法版本，建立加密連接。


　　3G系統(tǒng)中預(yù)留了15種UEA的可選范圍。目前只用到一種算法Kasumi。這種特性增加了3G系統(tǒng)的靈活性，使不同的運營商之間只要支持一種相同的UEA，就可以跨網(wǎng)通信。


　　另外在2G中的加密是基于基站，消息在網(wǎng)絡(luò)內(nèi)是用明文傳送，這顯然是很不安全的。3G加強了消息在網(wǎng)絡(luò)內(nèi)的傳送安全，采用了以交換設(shè)備為核心的安全機制，加密鏈路延伸到交換設(shè)備，并提供基于端到端的全網(wǎng)范圍內(nèi)加密。


4　數(shù)據(jù)完整性


　　在移動通信中，MS和網(wǎng)絡(luò)間的大多數(shù)信令信息是非常敏感的，需要得到完整性保護。在2G中，沒有考慮完整性問題。在3G中采用了消息認證來保護用戶和網(wǎng)絡(luò)間的信令消息沒有被篡改。數(shù)據(jù)完整性保護方法如圖7所示。






　　發(fā)送方把要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過f9算法產(chǎn)生消息認證碼MAC，將其附加在發(fā)出的消息后面。在接收方把收到的消息用同樣的方法計算得到XMAC。接收方把收到的MAC與XMAC相比較，如二者相同就說明收到的消息是完整的。


　　3G數(shù)據(jù)完整性主要提供3個安全特性：完整性算法（UIA）協(xié)商、完整性密鑰協(xié)商、數(shù)據(jù)和信令的完整性。其中完整性密鑰協(xié)商在AKA中完成；完整性算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機制完成，完整性算法協(xié)商與加密算法協(xié)商過程相似，在這里就不詳細敘述了。3G系統(tǒng)預(yù)留了16種UIA的可選范圍，目前只用到一種算法Kasumi。


5　結(jié)　論


　　移動通信中的安全技術(shù)得到了很大的發(fā)展，第三代移動通信的安全以第二代中的安全為基礎(chǔ)，保留了在二代中被證明是必要和強大的安全功能，并且考慮了能與二代兼容。在3G中克服了2G中的一些安全問題，并且對2G中的弱點做了很大的改進，同時也考慮了安全的擴展性。



參考文獻



［1］　張平，王衛(wèi)東．第三代蜂窩移動通信系統(tǒng)—WCDMA［M］．北京：北京郵電大學出版社，
2000．


［2］　楊義先．網(wǎng)絡(luò)信息安全與保密［M］．北京：北京郵電大學出版社，1999．


［3］　祁玉生，邵世祥．現(xiàn)代移動通信系統(tǒng)［M］．北京：人民郵電出版社，1999．


［4］　3GPPTechnical Specification 33．102，2000．3Gsecurity architecture［S］．


［5］　3GPPTechnical Specification 33．103，2000．3Gsecurity：Integration Guidelines［S］．


［6］　3GPPTechnical Specification 33．900，2000．3Gsecurity：Aguide to 3rd Generation Se－curity［S］．



摘自　北極星電技術(shù)網(wǎng)