3G移動(dòng)通信中的安全改進(jìn)

��
李世鴻，李方偉
（重慶郵電學(xué)院，重慶400065）



　　摘　要：移動(dòng)通信技術(shù)的發(fā)展，對(duì)系統(tǒng)的安全性能提出更高的要求。2G的安全技術(shù)已經(jīng)不再滿足人們對(duì)安全的需要，在對(duì)比2G與3G的安全技術(shù)的基礎(chǔ)上，具體分析了3G系統(tǒng)在用戶身份保密，用戶認(rèn)證與密鑰協(xié)商以及數(shù)據(jù)完整性方面的改進(jìn)，能與2G兼容，并保留了2G中的安全功能。


　　關(guān)鍵詞：3G；加密；認(rèn)證；完整性




0　引　言


　　移動(dòng)通信中的安全問(wèn)題正受到越來(lái)越多的關(guān)注。人們?cè)诘玫绞褂靡苿?dòng)通信的便利的同時(shí)，對(duì)通信中的信息安全也提出了更高的要求。


　　在模擬蜂窩移動(dòng)通信中基本上沒(méi)有采用什么安全技術(shù)，對(duì)用戶的信息是以明文傳送的。在無(wú)線鏈路竊聽(tīng)非常容易，移動(dòng)用戶的身份鑒別過(guò)程也非常簡(jiǎn)單。移動(dòng)用戶把移動(dòng)終端的電子序列號(hào)ESN和由網(wǎng)絡(luò)分配的移動(dòng)識(shí)別號(hào)MIN一起使用明文方式傳送給網(wǎng)絡(luò)，只要二者相符，就可建立呼叫。因此只需截獲MIN和ESN就容易克隆模擬蜂窩電話。


　　在第二代數(shù)字移動(dòng)通信系統(tǒng)中，在安全性方面有了較大的改進(jìn)，通過(guò)加密方式來(lái)傳遞用戶信息，對(duì)移動(dòng)用戶的認(rèn)證采用了詢問(wèn)－響應(yīng)認(rèn)證協(xié)議。網(wǎng)絡(luò)給移動(dòng)用戶發(fā)送一個(gè)認(rèn)證請(qǐng)求詢問(wèn)，并要求用戶作出相應(yīng)的響應(yīng)。雖然可以在傳輸鏈路上截獲到該詢問(wèn)，但計(jì)算相應(yīng)的響應(yīng)需要用到與特定用戶相關(guān)的秘密信息，而該信息只有合法用戶知道，即只有合法用戶才能作出正確響應(yīng)，而且認(rèn)證算法采用了密碼學(xué)雜湊函數(shù)設(shè)計(jì)而成。即使詢問(wèn)與響應(yīng)都被截獲，也很難計(jì)算出與合法用戶相關(guān)的秘密信息。在2G系統(tǒng)中采用了臨時(shí)身份TMSI機(jī)制在無(wú)線鏈路上識(shí)別移動(dòng)用戶，一般情況下不使用IMSI來(lái)識(shí)別用戶，由此加強(qiáng)了對(duì)用戶身份的保密，而且使用了SIM卡，使得用戶終端獨(dú)立出來(lái)。


　　盡管第二代移動(dòng)通信GSM系統(tǒng)在安全性方面　　有了大的進(jìn)步，但它仍然存在許多不足。在2G系統(tǒng)中的認(rèn)證機(jī)制是單方面的，也就是說(shuō)只考慮了網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，而沒(méi)有考慮用戶對(duì)網(wǎng)絡(luò)的識(shí)別。由此帶來(lái)的問(wèn)題是，可以通過(guò)偽裝成網(wǎng)絡(luò)成員對(duì)用戶進(jìn)行攻擊。加密機(jī)制是基于基站的，只有在無(wú)線接入部分信息被加密，而在網(wǎng)絡(luò)內(nèi)的傳輸鏈路和網(wǎng)間鏈路上仍然使用明文傳送。隨著解密技術(shù)的發(fā)展和計(jì)算能力的提高，2G中使用的加密密鑰長(zhǎng)度是64 bit，現(xiàn)在已經(jīng)能在較短的時(shí)間內(nèi)解密該密鑰。在2G中沒(méi)有考慮密鑰算法的擴(kuò)展性，只采用了一種加密算法，致使更換密鑰算法十分困難。另外克服GSM中的信息傳送沒(méi)有考慮消息的完整性。


　　3G移動(dòng)通信系統(tǒng)中的安全技術(shù)是在GSM的安全基礎(chǔ)上建立起來(lái)的，它克服了GSM中的安全問(wèn)題，也增加了新的安全功能。下面將介紹3G安全中的幾個(gè)主要技術(shù)。



1　用戶身份保密


　　3G系統(tǒng)中的用戶身份保密有3方面的含義：①在無(wú)線鏈路上竊聽(tīng)用戶身份IMSI是不可能的；②確保不能夠通過(guò)竊聽(tīng)無(wú)線鏈路來(lái)獲取當(dāng)前用戶的位置；③竊聽(tīng)者不能夠在無(wú)線鏈路上獲知用戶正在使用的不同的業(yè)務(wù)。
　　為了達(dá)到上述要求，3G系統(tǒng)使用了2種機(jī)制來(lái)識(shí)別用戶身份：①使用臨時(shí)身份TMSI；②使用加密的永久身份IMSI。而且要求在通信中不能長(zhǎng)期使用同一個(gè)身份。另外為了達(dá)到這些要求，那些可能會(huì)泄露用戶身份的信令信息以及用戶數(shù)據(jù)也應(yīng)該在接入鏈路上進(jìn)行加密傳送。在3G中為了保持與第二代系統(tǒng)兼容，也允許使用非加密的IMSI。盡管這種方法是不安全的。


　　在使用臨時(shí)身份機(jī)制中，網(wǎng)絡(luò)給每個(gè)移動(dòng)用戶分配了一個(gè)臨時(shí)身份TMSI。該臨時(shí)身份與IMUI由網(wǎng)絡(luò)臨時(shí)相關(guān)聯(lián)，用于當(dāng)移動(dòng)用戶發(fā)出位置更新請(qǐng)求、服務(wù)請(qǐng)求、脫離網(wǎng)絡(luò)請(qǐng)求，或連接再建立請(qǐng)求時(shí)，在無(wú)線鏈路上識(shí)別用戶身份。


　　當(dāng)系統(tǒng)不能通過(guò)TMUI識(shí)別用戶身份時(shí)，3G系統(tǒng)可以使用IMSI來(lái)識(shí)別用戶（見(jiàn)圖1）。


　　該機(jī)制由拜訪的SN／VLR發(fā)起向用戶請(qǐng)求IM－SI。用戶可選擇兩種方法來(lái)響應(yīng)：一是與GSM一樣使用IMSI明文；二是使用擴(kuò)展加密移動(dòng)用戶身份XEMSI。由于使用IMSI的明文傳送，可能導(dǎo)致IMSI被竊聽(tīng)。在3G中應(yīng)該使用加密的用戶身份。






　　在收到SN／VLR的身份請(qǐng)求后，MS／USIM把IMSI加密后嵌入HE－message中，并且用HE－id來(lái)向SN／VLR指明可以解密該HE－message的HE／UIC的地址。SN／VLR收到HE－message后，根據(jù)HE－id再把該消息傳送到相應(yīng)的HE／UIC，HE／UIC解密后把用戶的IMSI傳遞給SN／VLR。在收到用戶的IMSI后，就可以啟動(dòng)TMSI分配過(guò)程，此后將使用TMSI來(lái)識(shí)別移動(dòng)用戶身份。


　　這種增強(qiáng)型身份加密機(jī)制把原來(lái)由無(wú)線接入部分傳送明文IMSI變成在網(wǎng)絡(luò)內(nèi)傳送明文IMSI，在一定程度上加強(qiáng)了用戶身份的機(jī)密性。


2　認(rèn)　證


在GSM中采用了3元參數(shù)組（RAND／SRES／KC）來(lái)進(jìn)行認(rèn)證（見(jiàn)圖2）。鑒權(quán)中心產(chǎn)生3參數(shù)組RAND／SRESAUC／KC，將其傳送給HLR。在HLR中為每個(gè)用戶存儲(chǔ)1－10組參數(shù)，而在VLR中每個(gè)用戶存儲(chǔ)1－7組參數(shù)。VLR選取其中一組參數(shù)，將參數(shù)中用于鑒權(quán)用的隨機(jī)數(shù)RAND傳給用戶。MS利用存儲(chǔ)在SIM卡內(nèi)的與AUC共同擁有的密鑰Ki，以及收到的RAND通過(guò)A3算法計(jì)算出SRESMS。然后MS把SRESMS傳給VLR，在VLR中比較SRESMS和SRESAUC，如果兩者相同，則表示用戶認(rèn)證完成，否則網(wǎng)絡(luò)將拒絕MS。






　　3G系統(tǒng)中沿用了GSM中的認(rèn)證方法，并作了改進(jìn)。在WCDMA系統(tǒng)中使用了5參數(shù)的認(rèn)證向量AV（RAND‖XRES‖CK‖IK‖AUTN）。3G中的認(rèn)證，執(zhí)行AKA（Authentication and Key Agree－
ment）認(rèn)證和密鑰協(xié)商協(xié)議（見(jiàn)圖3）。





　　圖3中，HE／HLR表示用戶歸屬區(qū)的用戶歸屬寄存器；AV表示認(rèn)證向量；AUTN表示認(rèn)證令牌；RES和XRES分別表示用戶域的應(yīng)答信息和服務(wù)網(wǎng)的應(yīng)答信息；RAND表示生成的隨機(jī)數(shù)；CK和IK分別表示數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。


　　AKA協(xié)議可分為2部分。①用戶歸屬域HE到服務(wù)網(wǎng)SN認(rèn)證向量的發(fā)送過(guò)程。SN（由VLR／SGSN實(shí)體執(zhí)行）向HE（由HLR實(shí)體執(zhí)行）申請(qǐng)認(rèn)證向量，HE生成一組認(rèn)證向量AV（1，…，n）發(fā)送給SN，SN存儲(chǔ)收到的認(rèn)證向量；②認(rèn)證和密鑰建立的過(guò)程。SN從收到的一組認(rèn)證向量中選擇一個(gè)AV（i），將AV（i）中的RAND（i）和AUTN（i）發(fā)送給用戶的USIM進(jìn)行認(rèn)證。用戶收到RAND和AUTN后計(jì)算出消息認(rèn)證碼XMAC（見(jiàn)圖4），并與AUTN中包含的MAC相比較，如果二者不同，USIM將向VLR／SGSN發(fā)送拒絕認(rèn)證消息。如果二者相同，USIM計(jì)算應(yīng)答信息XRES（i），發(fā)送給SN。SN在收到應(yīng)答信息后，比較XRES（i）和RES（i）的值。如果相等則通過(guò)認(rèn)證，否則不建立連接。最后在認(rèn)證通過(guò)的基礎(chǔ)上，MS／USIM根據(jù)RAND（i）和它在入網(wǎng)時(shí)的共享密鑰Ki來(lái)計(jì)算數(shù)據(jù)保密密鑰CKi和數(shù)據(jù)完整性密鑰IK（i）。SN根據(jù)發(fā)送的AV選擇對(duì)應(yīng)的CK和IK。





　　比較上述2種認(rèn)證機(jī)制，可以看見(jiàn)3G系統(tǒng)的實(shí)體間認(rèn)證過(guò)程比原有2G系統(tǒng)認(rèn)證功能增強(qiáng)很多，且增加了新功能。具體有以下3方面。


　�、�2G系統(tǒng)只提供網(wǎng)絡(luò)對(duì)用戶的單向認(rèn)證，而3G系統(tǒng)則完成了網(wǎng)絡(luò)和用戶之間的雙向認(rèn)證。


　�、�3G系統(tǒng)增加了數(shù)據(jù)完整性這一安全特性，以防止篡改信息這樣的主動(dòng)攻擊。


　�、墼谡J(rèn)證令牌AUTN中包括了序列號(hào)SQN，保證認(rèn)證過(guò)程的最新性，防止重新攻擊。并且SQN的有效范圍受到限制。這些安全功能在2G系統(tǒng)中是沒(méi)有的。


3　數(shù)據(jù)保密性


　　在2G系統(tǒng)中，在無(wú)線接口上的數(shù)據(jù)加密采用密碼流加密。在用戶側(cè)和網(wǎng)絡(luò)側(cè)，分別用3參數(shù)中的Ki和RAND，通過(guò)A8算法計(jì)算出密鑰Kc．然后把64 bit的密鑰Kc和當(dāng)前幀號(hào)Fn（22 bit）作為A5算法的兩個(gè)輸入?yún)��?shù)來(lái)計(jì)算密鑰流，由于Fn的不斷變化，因而A5產(chǎn)生不同的密鑰流。信息在發(fā)送端與密鑰流逐位異或來(lái)加密，在接收端再使用同密鑰流逐位異或來(lái)加密（見(jiàn)圖5）。密鑰流算法A5包括A5／0，A5／1，A5／2等，其中A5／1是強(qiáng)加密算法，A5／2是弱加密算法，而A5／0表示不加密。但隨著技術(shù)的發(fā)展，2G中的加密已經(jīng)變得不太安全了，有文獻(xiàn)表明現(xiàn)在的解密技術(shù)已經(jīng)能達(dá)到通過(guò)分析通話時(shí)前兩分鐘內(nèi)A5／1的輸出，在不到一秒鐘的時(shí)間內(nèi)得到密鑰Kc。而且在2G中，加密算法是固定不變的沒(méi)有更多的密鑰算法可選擇，缺乏算法協(xié)商和加密鑰協(xié)商過(guò)程。





　　在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供4個(gè)安全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在AKA中完成。加密算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制完成。在無(wú)線接入鏈路上仍然采用分組密碼流對(duì)原始數(shù)據(jù)加密，采用了f8算法（見(jiàn)圖6）。它有5個(gè)輸入：①COUNT是密鑰序列號(hào)；②BEARER是鏈路身份指示；③DIRECTION是上下行鏈路指示；④LENGTH是密碼流長(zhǎng)度指示；⑤CK是長(zhǎng)度位128 bit的加密密鑰。






　　與2G相比，3G不僅加長(zhǎng)了密鑰長(zhǎng)度，而且引入了加密算法協(xié)商機(jī)制。


　　當(dāng)移動(dòng)終端ME需要與服務(wù)網(wǎng)SN建立連接時(shí)，USIM告訴服務(wù)網(wǎng)它支持哪些加密算法。服務(wù)網(wǎng)根據(jù)下列規(guī)則作出以下判斷。


　　①如果ME與SN沒(méi)有相同版本的UEA（加密算法），但SN規(guī)定使用加密連接，則拒絕連接。


　�、谌绻鸐E與SN沒(méi)有相同版本的UEA，但SN允許使用無(wú)加密的連接，則建立無(wú)加密的連接。


　　③如果ME與SN有相同版本的UEA，SN選擇其中一個(gè)可接受的算法版本，建立加密連接。


　　3G系統(tǒng)中預(yù)留了15種UEA的可選范圍。目前只用到一種算法Kasumi。這種特性增加了3G系統(tǒng)的靈活性，使不同的運(yùn)營(yíng)商之間只要支持一種相同的UEA，就可以跨網(wǎng)通信。


　　另外在2G中的加密是基于基站，消息在網(wǎng)絡(luò)內(nèi)是用明文傳送，這顯然是很不安全的。3G加強(qiáng)了消息在網(wǎng)絡(luò)內(nèi)的傳送安全，采用了以交換設(shè)備為核心的安全機(jī)制，加密鏈路延伸到交換設(shè)備，并提供基于端到端的全網(wǎng)范圍內(nèi)加密。


4　數(shù)據(jù)完整性


　　在移動(dòng)通信中，MS和網(wǎng)絡(luò)間的大多數(shù)信令信息是非常敏感的，需要得到完整性保護(hù)。在2G中，沒(méi)有考慮完整性問(wèn)題。在3G中采用了消息認(rèn)證來(lái)保護(hù)用戶和網(wǎng)絡(luò)間的信令消息沒(méi)有被篡改。數(shù)據(jù)完整性保護(hù)方法如圖7所示。






　　發(fā)送方把要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過(guò)f9算法產(chǎn)生消息認(rèn)證碼MAC，將其附加在發(fā)出的消息后面。在接收方把收到的消息用同樣的方法計(jì)算得到XMAC。接收方把收到的MAC與XMAC相比較，如二者相同就說(shuō)明收到的消息是完整的。


　　3G數(shù)據(jù)完整性主要提供3個(gè)安全特性：完整性算法（UIA）協(xié)商、完整性密鑰協(xié)商、數(shù)據(jù)和信令的完整性。其中完整性密鑰協(xié)商在AKA中完成；完整性算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制完成，完整性算法協(xié)商與加密算法協(xié)商過(guò)程相似，在這里就不詳細(xì)敘述了。3G系統(tǒng)預(yù)留了16種UIA的可選范圍，目前只用到一種算法Kasumi。


5　結(jié)　論


　　移動(dòng)通信中的安全技術(shù)得到了很大的發(fā)展，第三代移動(dòng)通信的安全以第二代中的安全為基礎(chǔ)，保留了在二代中被證明是必要和強(qiáng)大的安全功能，并且考慮了能與二代兼容。在3G中克服了2G中的一些安全問(wèn)題，并且對(duì)2G中的弱點(diǎn)做了很大的改進(jìn)，同時(shí)也考慮了安全的擴(kuò)展性。



參考文獻(xiàn)



［1］　張平，王衛(wèi)東．第三代蜂窩移動(dòng)通信系統(tǒng)—WCDMA［M］．北京：北京郵電大學(xué)出版社，
2000．


［2］　楊義先．網(wǎng)絡(luò)信息安全與保密［M］．北京：北京郵電大學(xué)出版社，1999．


［3］　祁玉生，邵世祥．現(xiàn)代移動(dòng)通信系統(tǒng)［M］．北京：人民郵電出版社，1999．


［4］　3GPPTechnical Specification 33．102，2000．3Gsecurity architecture［S］．


［5］　3GPPTechnical Specification 33．103，2000．3Gsecurity：Integration Guidelines［S］．


［6］　3GPPTechnical Specification 33．900，2000．3Gsecurity：Aguide to 3rd Generation Se－curity［S］．



摘自　北極星電技術(shù)網(wǎng)