數(shù)字移動通信中的用戶鑒權(quán)

何紅永 唐曉梅 國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 (鄭 州 450002)
　　[摘 要 ]:本 文 分 析 和 比 較 了 目 前 第 二 代 數(shù) 字 移 動 通 信 中 的 兩 大 有 代 表 性 的 用 戶 鑒 權(quán) 體 系 ， 并 對 未 來 移 動 通 信 中 的 用 戶 鑒 權(quán) 提 出 了 意 見 和 建 議 。



　　[關(guān) 鍵 詞 ]:數(shù) 字 移 動 通 信 ； 移 動 用 戶 鑒 權(quán)






1. 前 言



　　為 檢 測 和 防 止 移 動 通 信 中 的 盜 打 、 盜 用 等 各 種 非 法 使 用 移 動 通 信 資 源 和 業(yè) 務(wù) 的 現(xiàn) 象 ， 保 證 網(wǎng) 絡(luò) 安 全 和 保 障 電 信 運(yùn) 營 者 及 用 戶 的 正 當(dāng) 權(quán) 益 ， 移 動 用 戶 鑒 權(quán) 是 一 種 行 之 有 效 的 方 法 ， 它 的 引 入 和 使 用 是 數(shù) 字 移 動 通 信 優(yōu) 越 于 模 擬 移 動 通 信 的 一 個(gè) 重 要 方 面 。 目 前 第 二 代 移 動 通 信 系 統(tǒng) 網(wǎng) 絡(luò) 均 采 取 了 相 應(yīng) 的 用 戶 鑒 權(quán) (或 用 戶 身 份 認(rèn) 證 )技 術(shù) ， 其 中 包 括 基 于 GSM09.02 MAP協(xié) 議 的 泛 歐 數(shù) 字 移 動 通 信 系 統(tǒng) (即 GSM系 統(tǒng) )和 基 于 IS－ 41 MAP協(xié) 議 的 北 美 數(shù) 字 移 動 通 信 系 統(tǒng) (如 DAMPS和 北 美 CDMA系 統(tǒng) 等 ， 以 下 簡 稱 北 美 系 統(tǒng) )， 它 們 各 成 一 派 ， 形 成 了 兩 大 有 代 表 性 的 用 戶 鑒 權(quán) 技 術(shù) 體 系 。 本 文 主 要 從 鑒 權(quán) 場 合 、 鑒 權(quán) 算 法 和 鑒 權(quán) 規(guī) 程 等 方 面 對 GSM系 統(tǒng) 和 北 美 系 統(tǒng) 的 鑒 權(quán) 技 術(shù) 進(jìn) 行 分 析 和 比 較 ， 并 提 出 對 未 來 移 動 通 信 鑒 權(quán) 技 術(shù) 的 看 法 和 建 議 。



2. 鑒 權(quán) 場 合



在 哪 些 場 合 需 要 進(jìn) 行 鑒 權(quán) ， 不 僅 關(guān) 系 到 技 術(shù) 實(shí) 現(xiàn) 的 復(fù) 雜 性 和 技 術(shù) 應(yīng) 用 的 覆 蓋 范 圍 ， 并 進(jìn) 而 影 響 到 鑒 權(quán) 的 作 用 效 果 ， 同 時(shí) 也 關(guān) 系 到 整 個(gè) 移 動 通 信 網(wǎng) 絡(luò) 的 信 令 負(fù) 荷 和 業(yè) 務(wù) 處 理 能 力 等 諸 多 方 面 。 鑒 權(quán) 是 一 個(gè) 需 要 全 網(wǎng) 配 合 、 共 同 支 持 的 處 理 過 程 ， 幾 乎 涉 及 移 動 通 信 網(wǎng) 絡(luò) 中 所 有 實(shí) 體 ， 包 括 移 動 交 換 中 心 (MSC)、 訪 問 者 位 置 寄 存 器 (VLR)、 歸 屬 位 置 寄 存 器 (HLR)、 鑒 權(quán) 中 心 (AUC)以 至 基 站 子 系 統(tǒng) (BSS)和 手 機(jī) (或 稱 移 動 終 端 )。 需 要 鑒 權(quán) 的 場 合 越 多 ， 網(wǎng) 絡(luò) 能 夠 防 范 和 保 護(hù) 的 面 也 就 越 寬 ， 但 這 也 加 重 了 網(wǎng) 絡(luò) 實(shí) 體 的 處 理 負(fù) 擔(dān) ， 并 且 由 于 在 整 個(gè) 網(wǎng) 絡(luò) 信 令 消 息 中 ， 與 鑒 權(quán) 有 關(guān) 的 消 息 占 據(jù) 相 當(dāng) 的 比 例 ， 因 而 它 對 公 網(wǎng) 信 令 流 量 的 影 響 也 是 不 容 忽 視 的 。 所 以 ， 在 實(shí) 際 應(yīng) 用 中 ， 通 常 由 運(yùn) 營 部 門 根 據(jù) 實(shí) 際 情 況 拆 衷 考 慮 ， 通 過 OAM功 能 來 選 擇 與 鑒 權(quán) 有 關(guān) 的 各 種 配 置 ， 鑒 權(quán) 場 合 的 選 擇 就 是 其 中 一 項(xiàng) 重 要 的 內(nèi) 容 。



　　第 二 代 系 統(tǒng) 一 般 均 支 持 以 下 場 合 的 鑒 權(quán) ：



　　● 移 動 用 戶 發(fā) 起 呼 叫 (不 含 緊 急 呼 叫 )



　　● 移 動 用 戶 接 受 呼 叫



　　● 移 動 臺 位 置 登 記



　　● 移 動 用 戶 進(jìn) 行 補(bǔ) 充 業(yè) 務(wù) 操 作



　　● 切 換 (包 括 在 MSC－ A內(nèi) 從 一 個(gè) BS切 換 到 另 一 個(gè) BS、 從 MSC－ A切 換 到 MSC－ B以 及 在 MSC－ B中 又 發(fā) 生 了 內(nèi) 部 BS之 間 的 切 換 等 情 形 )



　　除 此 之 外 ， 由 于 受 其 鑒 權(quán) 技 術(shù) 本 身 特 點(diǎn) 的 影 響 ， 北 美 系 統(tǒng) 在 更 新 共 享 秘 密 數(shù) 據(jù) (SSD)時(shí) 還 需 要 特 殊 的 鑒 權(quán) ， 它 主 要 是 保 證 SSD的 安 全 性 。 GSM系 統(tǒng) 則 是 在 加 密 密 鑰 序 號 (CKSN)校 驗(yàn) 未 通 過 時(shí) 而 追 加 鑒 權(quán) ， 以 保 證 加 密 的 安 全 實(shí) 施 。 CKSN校 驗(yàn) 本 身 也 可 看 作 為 鑒 權(quán) 的 一 種 替 代 ， 即 把 正 規(guī) 的 “ 鑒 權(quán) — 加 密 ” 過 程 簡 化 為 “ SKSN校 驗(yàn) — 加 密 ” 的 過 程 ， 從 而 避 免 每 次 加 密 都 要 重 新 鑒 權(quán) 。



3. 鑒 權(quán) 算 法 和 參 數(shù)



　　鑒 權(quán) 算 法 是 用 于 產(chǎn) 生 用 戶 鑒 權(quán) 所 需 簽 名 響 應(yīng) 值 的 數(shù) 學(xué) 方 法 ， 它 區(qū) 別 于 用 戶 信 令 信 息 加 密 算 法 及 為 獲 得 加 密 密 鑰 所 用 的 算 法 。 算 法 內(nèi) 核 不 是 本 文 討 論 的 內(nèi) 容 。 這 里 僅 簡 單 地 描 述 算 法 涉 及 的 外 部 輸 入 輸 出 的 數(shù) 據(jù) 界 面 。



　　GSM系 統(tǒng) 中 的 鑒 權(quán) 算 法 稱 為 A3算 法 ， 它 連 同 用 于 用 戶 通 信 保 密 的 A5和 A8算 法 一 起 ， 都 由 泛 歐 移 動 通 信 諒 解 備 忘 錄 組 織 (即 GSM的 MOU組 織 )進(jìn) 行 統(tǒng) 一 管 理 ， GSM運(yùn) 營 部 門 需 與 MOU簽 署 相 應(yīng) 的 保 密 協(xié) 定 后 方 可 獲 得 具 體 算 法 ， 用 戶 識 別 卡 (SIM)的 制 作 廠 商 也 需 簽 定 協(xié) 議 后 才 能 將 算 法 做 到 SIM卡 中 。



　　每 個(gè) 用 戶 在 電 信 局 進(jìn) 行 初 始 注 冊 時(shí) ， 都 會 分 配 一 個(gè) 128比 特 長 的 用 戶 密 鑰 (Ki)， 它 與 用 戶 的 IMSI號 碼 關(guān) 聯(lián) ， 形 成 唯 一 的 IMSI－ Ki對 ， 燒 制 到 SIM卡 中 ， 同 時(shí) 還 將 IMSI－ Ki(經(jīng) A2算 法 加 密 處 理 )對 保 存 在 鑒 權(quán) 中 心 。



　　A3算 法 的 輸 入 參 數(shù) 有 兩 個(gè) ， 一 個(gè) 是 用 戶 IMSI對 應(yīng) 的 固 定 密 鑰 Ki， 另 一 個(gè) 則 是 AUC本 地 產(chǎn) 生 的 128比 特 長 的 隨 機(jī) 數(shù) (RAND)， 運(yùn) 算 結(jié) 果 是 一 個(gè) 32比 特 長 的 用 戶 鑒 權(quán) 響 應(yīng) 值 (SRES)。 移 動 臺 和 鑒 權(quán) 中 心 采 用 同 樣 的 參 數(shù) 和 算 法 應(yīng) 得 到 相 同 的 鑒 權(quán) 響 應(yīng) 值 ， 網(wǎng) 絡(luò) 就 是 據(jù) 此 來 驗(yàn) 證 用 戶 的 身 份 。 網(wǎng) 絡(luò) 側(cè) A3算 法 的 運(yùn) 行 實(shí) 體 既 可 以 是 移 動 臺 訪 問 地 的 MSC/VLR， 也 可 以 是 移 動 臺 歸 屬 地 的 HLR/AUC。



　　北 美 系 統(tǒng) 的 鑒 權(quán) 算 法 、 話 音 保 密 和 信 令 加 密 算 法 統(tǒng) 稱 為 蜂 窩 鑒 權(quán) 與 話 音 保 密 算 法 (簡 稱 CAVE)， CAVE由 美 國 政 府 有 關(guān) 法 規(guī) (即 美 國 國 際 事 務(wù) 和 軍 事 條 例 ITAR以 及 出 口 管 理 條 例 )控 制 ， 只 向 使 用 者 提 供 標(biāo) 準(zhǔn) 的 算 法 接 口 (輸 入 輸 出 參 數(shù) )。 CAVE中 與 鑒 權(quán) 有 關(guān) 的 算 法 程 序 共 有 兩 種 ， 即 鑒 權(quán) 簽 名 算 法 程 序 和 共 享 秘 密 數(shù) 據(jù) 生 成 算 法 程 序 。 與 GSM A3算 法 接 口 的 一 個(gè) 重 要 區(qū) 別 是 ： 在 不 同 鑒 權(quán) 場 合 和 不 同 的 鑒 權(quán) 方 式 下 ， CAVE算 法 輸 入 參 數(shù) 的 組 成 是 不 同 的 ， 而 且 不 同 場 合 輸 出 的 結(jié) 果 值 在 鑒 權(quán) 信 令 規(guī) 程 中 的 作 用 也 是 不 同 的 ， 移 動 臺 及 網(wǎng) 絡(luò) 實(shí) 體 必 須 按 照 要 求 提 供 或 使 用 這 些 參 數(shù) 及 結(jié) 果 。



4. 鑒 權(quán) 方 式 和 規(guī) 程



　　鑒 權(quán) 規(guī) 程 定 義 了 移 動 臺 和 各 網(wǎng) 絡(luò) 實(shí) 體 相 互 之 間 為 了 實(shí) 施 和 完 成 鑒 權(quán) 而 進(jìn) 行 的 一 系 列 交 互 過 程 及 信 令 消 息 處 理 。 雖 然 GSM系 統(tǒng) 和 北 美 系 統(tǒng) 所 支 持 的 鑒 權(quán) 場 合 基 本 相 同 ， 但 是 就 每 種 鑒 權(quán) 場 合 下 鑒 權(quán) 的 具 體 實(shí) 施 而 言 ， 兩 者 又 有 重 大 差 別 。 這 里 主 要 介 紹 兩 大 系 統(tǒng) 在 鑒 權(quán) 規(guī) 程 上 的 主 要 特 點(diǎn) 和 處 理 機(jī) 制 。



　　(1)GMS系 統(tǒng)



　　GSM系 統(tǒng) 中 的 鑒 權(quán) 規(guī) 程 在 GSM09.02 MAP協(xié) 議 中 定 義 ， 相 對 于 北 美 系 統(tǒng) 而 言 要 簡 單 得 多 。 所 有 場 合 下 的 鑒 權(quán) 都 一 視 同 仁 ， 處 理 機(jī) 制 完 全 相 同 。 在 需 要 鑒 權(quán) 時(shí) ， 網(wǎng) 絡(luò) 側(cè) 的 MSC/VLR向 移 動 臺 發(fā) 出 鑒 權(quán) 命 令 消 息 ， 其 中 包 含 鑒 權(quán) 算 法 所 需 的 隨 機(jī) 數(shù) ， 移 動 臺 用 此 隨 機(jī) 數(shù) 和 自 身 的 Ki算 得 SRES， 通 過 鑒 權(quán) 響 應(yīng) 消 息 將 SRES值 傳 回 網(wǎng) 絡(luò) 側(cè) ， 只 要 其 值 與 網(wǎng) 絡(luò) 側(cè) 的 一 致 (一 般 由 MSC/VLR進(jìn) 行 核 對 )， 就 認(rèn) 為 是 合 法 用 戶 ， 鑒 權(quán) 成 功 。 如 果 鑒 權(quán) 不 成 功 ， 網(wǎng) 絡(luò) 可 以 拒 絕 用 戶 的 業(yè) 務(wù) 要 求 。



　　值 得 說 明 的 是 ， AUC可 預(yù) 先 為 本 網(wǎng) 內(nèi) 的 每 個(gè) 用 戶 提 供 若 干 個(gè) 鑒 權(quán) 參 數(shù) 組 (其 中 包 括 RAND、 SRES和 用 于 加 密 的 Kc)， 并 在 移 動 臺 位 置 登 記 時(shí) 由 HLR在 響 應(yīng) 消 息 中 順 便 傳 給 VLR， 比 如 一 次 可 先 送 5組 ， 保 存 在 VLR中 待 用 ， 以 后 可 視 使 用 情 況 隨 時(shí) 再 向 AUC申 請 。 這 樣 做 的 一 大 好 處 是 鑒 權(quán) 算 法 程 序 的 執(zhí) 行 時(shí) 間 不 占 用 移 動 用 戶 實(shí) 時(shí) 業(yè) 務(wù) 的 處 理 時(shí) 間 ， 有 利 于 提 高 呼 叫 接 續(xù) 速 度 。



　　(2)北 美 系 統(tǒng)



　　北 美 數(shù) 字 蜂 窩 移 動 通 信 系 統(tǒng) 的 MAP規(guī) 程 原 先 是 采 用 IS－ 41－ B(1991年 底 頒 布 )， 該 標(biāo) 準(zhǔn) 中 當(dāng) 時(shí) 尚 未 包 含 鑒 權(quán) 和 加 密 規(guī) 程 ， 所 以 涉 及 鑒 權(quán) 和 加 密 規(guī) 程 的 這 部 分 內(nèi) 容 一 般 參 照 TSB51臨 時(shí) 標(biāo) 準(zhǔn) 。 直 到 95年 底 ， 最 新 版 本 的 IS－ 41－ C才 正 式 將 鑒 權(quán) 和 加 密 規(guī) 程 列 入 其 標(biāo) 準(zhǔn) 文 本 之 中 ， 從 而 取 代 了 TSB51。



　　北 美 系 統(tǒng) 的 鑒 權(quán) 根 據(jù) 場 合 不 同 采 取 的 方 式 不 盡 相 同 ， 參 與 鑒 權(quán) 運(yùn) 算 的 參 數(shù) (參 數(shù) 來 源 或 組 成 )和 鑒 權(quán) 涉 及 的 信 令 過 程 也 會 有 所 區(qū) 別 。



　　● 標(biāo) 準(zhǔn) 鑒 權(quán) 方 式 ： 這 是 可 由 移 動 臺 根 據(jù) 基 站 廣 播 的 要 求 系 統(tǒng) 接 入 鑒 權(quán) 指 示 以 及 鑒 權(quán) 所 用 的 隨 機(jī) 數(shù) (RAND)而 主 動 進(jìn) 行 的 一 種 鑒 權(quán) 方 式 ， 在 標(biāo) 準(zhǔn) 鑒 權(quán) 過 程 中 還 可 包 含 接 入 事 件 計(jì) 數(shù) 器 (COUNT)的 更 新 。 在 進(jìn) 行 以 下 系 統(tǒng) 接 入 時(shí) 將 采 用 標(biāo) 準(zhǔn) 鑒 權(quán) ：



　　�� 移 動 用 戶 主 呼



　　�� 移 動 用 戶 被 呼



　　�� 移 動 臺 位 置 登 記



　　標(biāo) 準(zhǔn) 鑒 權(quán) 方 式 還 稱 作 共 用 RAND方 式 ， 意 即 某 個(gè) 蜂 窩 小 區(qū) 的 所 有 MS都 是 共 用 本 小 區(qū) 前 向 信 道 /尋 呼 信 道 上 廣 播 的 隨 機(jī) 數(shù) RANDs， 以 此 作 為 鑒 權(quán) 算 法 輸 入 參 數(shù) 之 一 ， 然 后 在 進(jìn) 行 系 統(tǒng) 接 入 時(shí) 通 過 其 初 始 接 入 消 息 提 供 算 出 的 響 應(yīng) 值 AUTHR和 所 對 應(yīng) 的 RANDC， 并 且 移 動 臺 還 可 根 據(jù) 情 況 對 內(nèi) 部 保 存 的 COUNT計(jì) 數(shù) 值 增 1， 結(jié) 果 值 同 樣 放 在 初 始 接 入 消 息 中 送 給 網(wǎng) 絡(luò) 方 。 初 始 接 入 消 息 可 以 是 位 置 登 記 ， 呼 叫 始 發(fā) ， 或 尋 呼 響 應(yīng) ， 因 而 這 種 形 式 的 鑒 權(quán) 在 A接 口 上 無 顯 式 的 規(guī) 程 ， 其 消 息 過 程 隱 含 在 相 應(yīng) 的 位 置 登 記 或 呼 叫 建 立 規(guī) 程 所 用 的 初 始 接 入 消 息 中 。



　　在 標(biāo) 準(zhǔn) 鑒 權(quán) 中 網(wǎng) 絡(luò) 方 需 要 執(zhí) 行 三 項(xiàng) 校 驗(yàn) ： 一 是 校 驗(yàn) RANDC， 二 是 校 驗(yàn) AUTHR， 三 是 校 驗(yàn) COUNT， 只 有 三 項(xiàng) 校 驗(yàn) 均 通 過 ， 才 允 許 移 動 臺 接 入 。 RANDC的 檢 驗(yàn) 為 了 驗(yàn) 證 移 動 臺 鑒 權(quán) 所 用 的 隨 機(jī) 數(shù) 是 否 為 本 交 換 機(jī) (即 移 動 臺 準(zhǔn) 備 接 入 的 系 統(tǒng) )所 產(chǎn) 生 的 ， AUTHR校 驗(yàn) 則 類 似 于 GSM中 SRES校 驗(yàn) 。 這 里 要 特 別 介 紹 COUNT校 驗(yàn) ， 它 是 識 別 網(wǎng) 絡(luò) 中 是 否 有 仿 制 或 偽 冒 移 動 臺 (即 采 用 非 法 手 段 制 作 的 “ 克 隆 ” 移 動 臺 )的 一 種 有 效 手 段 ， 所 以 COUNT校 驗(yàn) 也 稱 “ 克 隆 ” 檢 測 。 假 如 一 部 手 機(jī) 被 “ 克 隆 ” ， 那 么 只 要 真 手 機(jī) 和 “ 克 隆 ” 機(jī) 都 在 網(wǎng) 上 使 用 ， 兩 機(jī) 所 提 供 的 COUNT值 總 歸 會 有 不 同 ， 而 且 由 于 網(wǎng) 絡(luò) 記 錄 的 COUNT呼 叫 事 件 發(fā) 生 次 數(shù) 實(shí) 際 上 是 兩 機(jī) 呼 叫 事 件 發(fā) 生 次 數(shù) 和 ， 所 以 兩 機(jī) 中 任 意 一 部 在 某 次 進(jìn) 行 系 統(tǒng) 接 入 嘗 試 時(shí) 必 定 會 出 現(xiàn) 手 機(jī) 的 COUNT值 與 網(wǎng) 絡(luò) 方 保 存 的 COUNT值 不 同 的 情 形 ， 網(wǎng) 絡(luò) 即 可 據(jù) 此 認(rèn) 定 有 “ 克 隆 ” 存 在 ， 此 時(shí) 網(wǎng) 絡(luò) 方 除 了 拒 絕 接 入 外 還 可 另 外 再 采 取 有 關(guān) 措 施 ， 比 如 對 移 動 臺 進(jìn) 行 跟 蹤 等 等 。



　　● 獨(dú) 特 征 詢 的 鑒 權(quán) 方 式 ： 這 是 由 MSC向 移 動 臺 發(fā) 起 的 一 種 顯 式 鑒 權(quán) 規(guī) 程 ， 其 消 息 過 程 與 始 呼 、 尋 呼 響 應(yīng) 或 登 記 等 消 息 過 程 是 互 相 獨(dú) 立 的 ， MSC可 指 示 基 站 在 控 制 信 道 或 話 音 信 道 上 向 某 MS發(fā) 出 一 個(gè) 特 定 的 (獨(dú) 特 的 )RAND值 (即 RANDU)， 這 個(gè) 隨 機(jī) 數(shù) 是 非 廣 播 性 的 。 在 以 下 場 合 將 使 用 獨(dú) 特 征 詢 的 鑒 權(quán) 方 式 ：



　　�� 發(fā) 生 切 換 時(shí) 的 鑒 權(quán)



　　�� 在 話 音 信 道 上 鑒 權(quán)



　　�� 移 動 臺 始 呼 、 被 呼 及 位 置 登 記 時(shí) 標(biāo) 準(zhǔn) 鑒 權(quán) 失 敗 后 可 能 進(jìn) 行 的 再 次 鑒 權(quán)



　　�� 移 動 臺 閃 動 請 求 (即 與 補(bǔ) 充 業(yè) 務(wù) 有 關(guān) 的 操 作 要 求 )



　　�� SSD(共 享 保 密 數(shù) 據(jù) )更 新 時(shí)



　　MSC可 在 任 何 時(shí) 候 發(fā) 起 獨(dú) 特 征 詢 規(guī) 程 ， 最 典 型 的 情 況 是 在 呼 叫 建 立 或 登 記 的 開 始 階 段 實(shí) 施 這 個(gè) 規(guī) 程 ， 當(dāng) 然 在 發(fā) 生 切 換 或 標(biāo) 準(zhǔn) 鑒 權(quán) 失 敗 后 也 可 追 加 這 種 專 門 的 獨(dú) 特 征 詢 鑒 權(quán) 過 程 。 MS用 RANDU計(jì) 算 得 到 AUTHU值 ， 并 通 過 專 門 的 鑒 權(quán) 響 應(yīng) 消 息 發(fā) 給 基 站 /MSC。



　　● SSD更 新 的 鑒 權(quán) 方 式 。 這 是 一 種 最 高 級 別 的 安 全 性 措 施 ， 主 要 有 以 下 應(yīng) 用 情 形 ：



　　�� 定 時(shí) 的 SSD更 新



　　�� 標(biāo) 準(zhǔn) 鑒 權(quán) 失 敗 后 可 能 要 進(jìn) 行 的 SSD更 新



　　�� 其 它 管 理 方 面 的 需 要



　　由 于 SSD是 前 兩 者 鑒 權(quán) 方 式 下 參 與 算 法 執(zhí) 行 的 重 要 參 數(shù) ， 因 此 SSD數(shù) 據(jù) 需 要 經(jīng) 常 更 新 ， 比 如 按 時(shí) 間 更 新 或 是 網(wǎng) 絡(luò) 檢 測 到 某 種 不 安 全 或 可 疑 情 況 時(shí) 進(jìn) 行 的 更 新 。 出 于 安 全 考 慮 SSD更 新 的 發(fā) 起 和 更 新 結(jié) 果 的 確 認(rèn) 只 能 由 AC完 成 ， 不 能 在 MSC/VLR中 進(jìn) 行 ， 在 更 新 過 程 中 SSD參 數(shù) 連 同 表 明 移 動 臺 身 份 的 MIN號 碼 、 ESN號 碼 都 不 能 在 空 中 傳 遞 ， 所 以 在 SSD更 新 過 程 中 一 定 同 時(shí) 伴 隨 基 站 征 詢 和 獨(dú) 特 鑒 權(quán) ， 通 過 基 站 征 詢 過 程 中 的 中 間 響 應(yīng) 值 AUTHBS來 確 認(rèn) 移 動 臺 和 網(wǎng) 絡(luò) 側(cè) 的 SSD已 取 得 一 致 更 新 。


　　由 此 可 知 ， 北 美 系 統(tǒng) 的 鑒 權(quán) 機(jī) 制 和 規(guī) 程 相 對 于 GSM要 復(fù) 雜 得 多 ， 這 主 要 是 由 北 美 的 安 全 保 密 體 制 及 其 算 法 本 身 決 定 的 。


5.有 關(guān) 建 議



　　下 面 從 幾 個(gè) 不 同 的 角 度 對 移 動 通 信 系 統(tǒng) 的 鑒 權(quán) 技 術(shù) 提 出 建 議 。



　　首 先 是 在 未 來 的 移 動 通 信 和 個(gè) 人 通 信 中 ， 應(yīng) 充 分 重 視 鑒 權(quán) 算 法 的 自 主 性 。 鑒 權(quán) 算 法 自 主 性 是 各 國 各 地 區(qū) 網(wǎng) 絡(luò) 主 管 者 和 所 有 者 的 經(jīng) 濟(jì) 、 政 治 自 主 性 的 一 個(gè) 重 要 方 面 。 如 第 二 代 移 動 通 信 系 統(tǒng) 原 先 都 只 是 區(qū) 域 性 的 ， 盡 管 現(xiàn) 在 已 普 遍 被 原 區(qū) 域 之 外 的 許 多 國 家 引 進(jìn) 和 使 用 (如 我 國 的 900/1800MHz TDMA以 及 800 MHz CDMA系 統(tǒng) )， 形 成 了 國 際 性 通 信 網(wǎng) 絡(luò) ， 但 鑒 權(quán) 算 法 的 管 理 和 許 可 權(quán) 卻 仍 然 歸 屬 那 些 區(qū) 域 性 組 織 機(jī) 構(gòu) ， 這 不 利 于 一 個(gè) 國 家 的 通 信 自 主 和 安 全 ， 也 使 相 當(dāng) 一 部 分 潛 在 收 益 流 失 。 比 如 我 國 已 具 備 自 主 開 發(fā) 和 研 制 移 動 通 信 設(shè) 備 的 能 力 ， 但 載 有 鑒 權(quán) 和 加 密 算 法 的 手 機(jī) SIM卡 卻 不 得 不 從 國 外 供 貨 或 取 得 許 可 證 才 能 生 產(chǎn) 。 我 們 認(rèn) 為 ， 無 論 從 技 術(shù) 角 度 還 是 從 政 治 、 經(jīng) 濟(jì) 角 度 而 言 ， 鑒 權(quán) 算 法 完 全 可 以 也 應(yīng) 該 由 用 戶 歸 屬 的 網(wǎng) 絡(luò) 管 理 者 決 定 和 使 用 ， 鑒 權(quán) 算 法 的 執(zhí) 行 也 一 律 交 由 歸 屬 的 鑒 權(quán) 中 心 完 成 ， 將 鑒 權(quán) 算 法 與 網(wǎng) 絡(luò) 從 屬 的 通 信 體 系 相 獨(dú) 立 ， 以 充 分 體 現(xiàn) 鑒 權(quán) 算 法 的 自 主 性 。



　　其 次 是 關(guān) 于 鑒 權(quán) 算 法 執(zhí) 行 體 的 問 題 。 在 第 二 代 移 動 通 信 系 統(tǒng) 中 ， 網(wǎng) 絡(luò) 側(cè) 鑒 權(quán) 算 法 的 運(yùn) 算 實(shí) 體 既 可 以 是 MSC/VLR， 也 可 是 移 動 臺 的 歸 屬 地 鑒 權(quán) 中 心 。 而 從 長 遠(yuǎn) 來 看 ， 我 們 認(rèn) 為 鑒 權(quán) 算 法 應(yīng) 在 鑒 權(quán) 中 心 執(zhí) 行 ， 主 要 理 由 有 ： (1)用 戶 密 鑰 不 會 暴 露 給 MSC/VLR等 其 它 網(wǎng) 絡(luò) 實(shí) 體 ， 僅 由 鑒 權(quán) 中 心 單 方 統(tǒng) 一 管 理 ， 算 法 受 人 為 攻 擊 的 機(jī) 會 大 為 減 少 ， 因 而 安 全 性 更 高 ； (2)設(shè) 備 制 造 商 和 網(wǎng) 絡(luò) 運(yùn) 營 者 在 開 發(fā) 或 選 用 配 置 MSC/VLR時(shí) 不 必 關(guān) 心 具 體 的 鑒 權(quán) 算 法 ， 運(yùn) 營 者 之 間 也 可 避 免 算 法 一 致 性 的 磋 商 ， 因 此 網(wǎng) 間 漫 游 更 容 易 支 持 ； (3)鑒 權(quán) 算 法 自 主 性 的 需 要 。 當(dāng) 然 在 鑒 權(quán) 中 心 進(jìn) 行 鑒 權(quán) 運(yùn) 算 會 增 加 從 MSC/VLR到 HLR之 間 傳 遞 鑒 權(quán) 信 息 的 信 令 開 銷 和 處 理 時(shí) 延 ， 但 卻 節(jié) 省 了 VLR/MSC為 了 執(zhí) 行 鑒 權(quán) 算 法 所 需 要 額 外 占 用 的 處 理 能 力 ， 而 這 部 分 能 力 并 不 象 AUC的 處 理 能 力 那 樣 容 易 預(yù) 測 。 由 于 AUC處 理 能 力 主 要 取 決 于 歸 屬 它 的 用 戶 總 數(shù) 和 用 戶 平 均 鑒 權(quán) 次 數(shù) ， 隨 時(shí) 間 分 布 的 運(yùn) 算 的 負(fù) 荷 能 夠 做 到 比 較 平 坦 ， 也 易 于 使 設(shè) 計(jì) 能 力 與 實(shí) 際 能 力 較 為 匹 配 。



　　第 三 ， 從 鑒 權(quán) 技 術(shù) 對 MAP應(yīng) 用 業(yè) 務(wù) 單 元 (ASE)的 處 理 復(fù) 雜 度 、 處 理 器 工 作 負(fù) 荷 和 處 理 時(shí) 延 的 影 響 來 考 慮 ， 鑒 權(quán) 算 法 的 執(zhí) 行 時(shí) 刻 應(yīng) 與 鑒 權(quán) 決 策 過 程 相 分 離 ， 也 即 不 占 用 鑒 權(quán) 規(guī) 程 的 當(dāng) 前 處 理 時(shí) 間 。 這 一 點(diǎn) GSM系 統(tǒng) 已 經(jīng) 做 到 ， 但 北 美 系 統(tǒng) 無 法 做 到 ， 比 如 在 標(biāo) 準(zhǔn) 鑒 權(quán) 方 式 中 由 于 鑒 權(quán) 簽 名 算 法 程 序 所 需 的 RAND是 廣 播 共 享 的 ， 因 此 鑒 權(quán) 簽 名 算 法 執(zhí) 行 時(shí) 間 不 得 不 包 含 在 鑒 權(quán) 的 當(dāng) 前 處 理 過 程 中 ， 是 造 成 規(guī) 程 處 理 時(shí) 延 的 重 要 因 素 ， 對 于 用 戶 敏 感 的 呼 叫 業(yè) 務(wù) 尤 其 不 利 。



　　第 四 ， 鑒 權(quán) 規(guī) 程 涉 及 的 參 數(shù) 不 應(yīng) 過 多 ， 參 數(shù) 之 間 的 關(guān) 聯(lián) 性 應(yīng) 盡 可 能 小 ， 否 則 就 可 能 得 不 償 失 。 以 北 美 系 統(tǒng) 被 叫 鑒 權(quán) 為 例 ， 簽 名 算 法 程 序 需 要 4個(gè) 輸 入 參 數(shù) ， 其 中 的 ESN(設(shè) 備 電 子 序 列 號 )和 MIN(用 戶 身 份 號 )還 是 一 種 雙 重 引 入 ， 因 為 另 一 個(gè) 參 與 運(yùn) 算 的 SSD數(shù) 據(jù) 實(shí) 際 上 是 通 過 用 戶 A鑰 (體 現(xiàn) MIN的 唯 一 關(guān) 聯(lián) )、 ESN及 隨 機(jī) 運(yùn) 算 得 到 的 ， 但 是 ESN和 MIN完 全 可 以 被 別 有 用 心 者 非 法 成 對 獲 取 ， 這 兩 個(gè) 參 數(shù) 的 效 用 實(shí) 際 上 只 相 當(dāng) 于 一 個(gè) 參 數(shù) ， 從 這 個(gè) 意 義 上 說 和 GSM的 鑒 權(quán) 保 護(hù) 效 果 不 相 上 下 ， 但 是 鑒 權(quán) 信 令 開 銷 和 處 理 開 銷 卻 顯 然 比 GSM的 大 得 多 。



　　第 五 ， 為 減 少 鑒 權(quán) 信 令 消 息 的 傳 輸 和 處 理 開 銷 ， 從 而 也 減 小 對 全 網(wǎng) 信 令 負(fù) 荷 、 MSC/VLR系 統(tǒng) 處 理 能 力 的 影 響 ， 鑒 權(quán) 技 術(shù) 的 復(fù) 雜 度 應(yīng) 該 主 要 體 現(xiàn) 在 鑒 權(quán) 算 法 內(nèi) 核 程 序 的 復(fù) 雜 度 上 ， 而 盡 量 避 免 鑒 權(quán) 協(xié) 議 和 規(guī) 程 的 復(fù) 雜 性 ， 如 北 美 系 統(tǒng) 的 COUNT校 驗(yàn) 和 GSM系 統(tǒng) 的 CKSN校 驗(yàn) 都 是 既 簡 便 又 實(shí) 用 的 鑒 權(quán) 手 段 之 一 ， 此 外 還 可 配 合 采 用 用 戶 口 令 字 校 驗(yàn) ， 這 類 方 法 對 協(xié) 議 和 規(guī) 程 的 復(fù) 雜 度 要 求 遠(yuǎn) 比 密 鑰 算 法 所 要 求 的 低 。



　　第 六 ， 在 未 來 的 移 動 通 信 系 統(tǒng) 中 還 應(yīng) 進(jìn) 一 步 提 高 網(wǎng) 絡(luò) 實(shí) 體 尤 其 是 MSC/VLR的 鑒 權(quán) 智 能 化 程 度 ， 以 優(yōu) 化 全 網(wǎng) 整 體 效 能 。 比 如 原 先 鑒 權(quán) 場 合 一 般 由 操 作 人 員 通 過 人 機(jī) 命 令 事 先 設(shè) 置 ， 鑒 權(quán) 參 數(shù) 的 獲 取 也 只 是 根 據(jù) 庫 存 門 限 值 決 定 ， 將 來 就 可 能 結(jié) 合 網(wǎng) 絡(luò) 的 實(shí) 際 運(yùn) 行 情 況 和 用 戶 業(yè) 務(wù) 使 用 情 況 ， 由 網(wǎng) 絡(luò) 實(shí) 體 根 據(jù) 內(nèi) 部 動 態(tài) 策 略 自 動 選 擇 何 時(shí) 需 要 實(shí) 施 鑒 權(quán) 以 及 何 時(shí) 向 鑒 權(quán) 中 心 請 求 鑒 權(quán) 參 數(shù) 組 ， 決 定 因 素 包 括 實(shí) 體 當(dāng) 前 的 處 理 負(fù) 荷 、 網(wǎng) 絡(luò) 的 信 令 負(fù) 荷 、 業(yè) 務(wù) 種 類 和 使 用 頻 度 、 鑒 權(quán) 優(yōu) 先 級 以 至 用 戶 話 費(fèi) 變 化 情 況 等 。



　　第 七 ， 鑒 權(quán) 協(xié) 議 和 規(guī) 程 可 考 慮 形 成 國 際 性 的 統(tǒng) 一 標(biāo) 準(zhǔn) ， 著 力 于 規(guī) 范 與 鑒 權(quán) 相 關(guān) 的 數(shù) 據(jù) 界 面 和 通 信 界 面 ， 這 樣 也 有 利 于 達(dá) 成 第 三 代 移 動 通 信 所 追 求 的 真 正 開 放 、 兼 容 與 互 通 。



6.結(jié) 束 語


　　由 于 移 動 通 信 在 未 來 的 信 息 產(chǎn) 業(yè) 中 占 有 舉 足 輕 重 的 地 位 ， 人 們 對 移 動 通 信 中 的 可 靠 性 及 保 密 性 提 出 了 越 來 越 高 的 要 求 ， 加 密 、 安 全 和 用 戶 身 份 驗(yàn) 證 技 術(shù) 就 顯 得 更 為 重 要 。 第 二 代 數(shù) 字 移 動 通 信 中 的 不 同 的 用 戶 鑒 權(quán) 體 系 各 有 所 長 ， 而 如 何 取 長 補(bǔ) 短 、 在 現(xiàn) 有 技 術(shù) 的 基 礎(chǔ) 上 研 究 和 確 定 更 完 善 的 第 三 代 移 動 通 信 用 戶 鑒 權(quán) 體 系 應(yīng) 是 人 們 關(guān) 注 的 焦 點(diǎn) 。




摘自《移動通信》2001.7