3G移動通信系統(tǒng)安全

UMTS與CDMA安全中國科學技術大學軟件學院3G移動系統(tǒng)安全3G技術發(fā)展簡介3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的網絡訪問安全3G移動通信系統(tǒng)的網絡域安全3G移動通信技術簡介中國科學技術大學軟件學院3G移動通信技術簡介WCDMA陣營：由GSM延伸得來，以UMTS(UniversalMobileTelecommunicationSystem)命名，下一代前景為LTE/SAE(LongTermEvolution/SystemArchitectureEvolution)，隨著技術發(fā)展出現了IMS(IP多媒體子系統(tǒng))；CDMA2000陣營：由CDMA演變發(fā)展而來，包括CDMA1X中的各個版本，后來出現了高速數據的EV-DO即HRPD系統(tǒng)，還包括一些典型業(yè)務，如BCMCS(廣播多播服務)；TD-SCDMA陣營：由中國大唐電信公司和德國西門子公司合作開發(fā)的全新標準TD-SCDMA(TimeDivision-SynchronousCDMA)。3G移動通信系統(tǒng)

安全概述中國科學技術大學軟件學院3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的安全原則3G移動通信系統(tǒng)的安全結構3G移動通信系統(tǒng)的安全原則3G是從2G的基礎上發(fā)展而來的1、保留2G系統(tǒng)中被認為是必須的以及應增強的安全特性；2、改進2G系統(tǒng)存在和潛在的弱安全功能；3、對提供的新業(yè)務提供安全保護；1、3G安全特性須綜合考慮多業(yè)務情況下的風險性；2、非話音業(yè)務在3G中占主要地位，對安全性要求更高；3、存在多種預付費和后付費業(yè)務，3G系統(tǒng)應提供相應保護；4、用戶對服務范圍的控制和終端的應用能力大大提高；5、必須能夠抵御用戶的主動攻擊；6、終端能力進一步加強，同一終端可能使用多SIM卡，同時支持不同的應用環(huán)境，系統(tǒng)應保證多種平臺和應用環(huán)境的安全性；7、為了提高傳輸性，才能采用固定網絡傳輸，故應考慮適應固定線路傳輸；安全原則安全特性3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的安全原則3G移動通信系統(tǒng)的安全結構3G移動通信系統(tǒng)安全目標用戶層面網絡層面運營商層面保護用戶產生相關信息，防止盜用保護歸屬和拜訪網絡提供的資源和服務，防止盜用確保方案具有世界范圍內的通用性確保方案標準化，從而保證不同服務網絡間漫游未來層面確保3G安全特性和機制是可擴展和可增強的，可以根據新的威脅和服務不斷改進提高3G系統(tǒng)的安全體系結構用戶應用網絡應用應用層服務層網絡層手機設備USIM手機接入網歸屬環(huán)境AuC服務網絡VLRSGSN網絡訪問安全核心交換安全用戶安全應用安全3G安全功能結構一、增強用戶身份保密EUIC：通過HE/AuC對USIM身份信息認證；二、用戶與服務網間身份認證UIC；三、認證與密鑰分配AKA：用于USIM、VLR/SGSN、HLR間的雙向認證及密鑰分配；四、數據加密DC：UE與RNC間信息的加密；五、數據完整性DI：用于對交互消息的完整性、時效性及源與目的地進行認證。系統(tǒng)定義了11個安全算法：f0、f1*、f1～f9，以實現其安全功能。f8、f9分別實現DC和DI標準算法。f6、f7用于實現EUIC。AKA由f0~f5實現。3G安全體系結構的改進3G和GSM系統(tǒng)安全性能比較3G安全體系結構的改進-23G系統(tǒng)覆蓋2G系統(tǒng)安全因素和安全弱點3G移動通信系統(tǒng)

網絡訪問安全實現中國科學技術大學軟件學院3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析臨時用戶身份識別MSVLR/SGSNTMSI分配請求(包含原來TMSI,LAI)根據原來TMSI,LAI去找原來的VLR/SGSN獲得用戶對應的IMSI用戶IMSI新分配的TMSI,LAI確認分配在用戶IMSI和TMSI之間建立對應聯系關系原VLR/SGSN刪除用戶原來TMSI,LAI與用戶IMSI間關系存儲新TMSI和LAITMSI再分配指令(TMSI,LAI)TMSI再分配完成在用戶IMSI和TMSI之間建立新對應關系刪除原有對應關系永久用戶身份識別當服務網絡無法通過TMSI識別用戶身份時，網絡將使用IMSI來鑒別用戶身份！IMSI信息非常重要敏感GSM系統(tǒng)采用明文易被截獲MSSN/VLRHE/

用戶身份請求用戶身份響應IMSIor{HE_id||HE-message}用戶永久身份請求信息HE-message用戶永久身份請求信息IMSI啟動TMSI分配過程

UIDN?用戶身份解密節(jié)點UIDNHLRUIDNVLRSGSNHESNMSIMSIIMSIIMSI增強用戶身份保密機制MSSN/VLRHE用戶身份請求SQNUIC=SQNUIC+1EMSIN=f6GK(SQNUIC||MSIN)MCC||MNC||HLR_id||EMSINGI||EMSIN重新獲得GKSQNUIC||MSIN=f7GK(EMSIN)IMSI=MCC||MNC||MSINSQNUIC為時變參數序列號利用MCC、MNC和HLR_id找到相應的HE在增強機制中，每個用戶都屬于一個組,GI和GK分別代表分組組號和分組密鑰f6和f7互為逆函數Ekey-SN/VLR(IMSI=MCC||MNC||MSIN)3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析認證與密鑰協(xié)商協(xié)議概述AKAMSSN/VLR/SGSNHE/HLR存儲認證向量認證數據請求認證數據應答AV(1..n)用戶認證請求RAND(i)||AUTN(i)用戶認證應答RES(i)比較RES(i)和XRES(i)驗證AUTN(i)計算RES(i)計算CK(i)和IK(i)選擇CK(i)和IK(i)認證與密鑰建立從HE到SN的認證向量發(fā)送過程生成認證向量AV(1..n)選擇某認證向量AV(i)認證向量AV(RAND|XRES|CK|IK|AUTN)AUTN認證令牌RES用戶應答信息XRES服務網絡應答信息CK數據加密密鑰IK數據完整新密鑰AKA的目的和前提AKA的目的完成網絡與用戶的雙向認證生成加密密鑰(CK)和完整性密鑰(IK)確保CK/IK的新鮮性，即以前沒有使用過AKA的前提條件認證中心(AuC)和USIM卡共享：用戶唯一的秘密認證密鑰K消息認證函數f1,f1*,f2密鑰產生函數f3,f4,f5,f5*AuC有隨機數產生函數AuC能夠產生新的序列號USIM能夠驗證收到的序列號的新鮮性序列號，使得用戶可以避免受到重傳攻擊。HE到SN的認證向量分發(fā)SN/VLR/SGSNHE/HLR認證數據請求(IMSI和交換類型PS/CS)認證數據應答AV(1..n)生成認證向量AV(1..n)產生序列號SQN

通過f0產生隨機數RANDf1f2f3f4f5認證與密鑰管理域AMF認證密鑰KMACXRESCKIKAK

認證向量AV=RAND||XRES||CK||IK||AUTN

K=由USIM和AuC共享的主密鑰RAND=由AuC產生的隨機數XRES=由AuC計算的期望響應RES=由USIM計算出的響應CK=空中接口加密密鑰IK=空中接口完整性保護密鑰AK=匿名密鑰（AnonymityKey）SQN=序列號AMF=認證管理域MAC=網絡側消息認證碼AUTN=網絡認證令牌

認證令牌AUTN=SQNAK||AMF||MAC

USIM中的用戶認證功能AK用來在AUTN中隱藏序列號，因為序列號可能會暴露用戶的身份和位置信息為了保證通信同步，同時防止重傳攻擊，SQN應是目前使用最大的一個序列號，由于可能發(fā)生延遲等情況，定義了一個較小的“窗口”，只要收到SQN在該范圍內，就認為是同步的。重新認證如果用戶計算出SQN(序列號)不在USIM認為正確的范圍內，將發(fā)起一次“重新認證”UE/USIMHE/AUCVLR/SGSNRAND||AUTNAUTSRAND||AUTSAV(1...n)SQN不在正確范圍認證失敗發(fā)起重新認證AUTS構建過程f1*f5*XORSQNMSKRANDAMFMAC-SAKSQNMSAKAUTS=SQNMSAK||MAC-SSQNMS是移動臺中存儲的計數器序號，前面提到的SQN為HE/AUC中計數器的序號,反送回去的含義是希望HE/AUC比較當前計數器序號，判斷是否真可能出現重放攻擊，并重新開始驗證認證AKA安全性分析雙向認證，認證完成后提供加密密鑰和完整性密鑰，防止假基站攻擊；密鑰的分發(fā)沒有在無線信道上傳輸，AV認證向量在固定網內的傳輸也由網絡域安全提供保障；密鑰的新鮮性，由新的隨機數提供，防止重放攻擊；對有可能暴露用戶位置信息和身份信息的SQN用AK異或，達到隱藏SQN的目的；MAC的新鮮性，SQN和RAND變化，防止重放攻擊；3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析3G系統(tǒng)安全算法3GPP中定義了10個安全算法f1~f10；f1~f5實現AKA機制：f1用于產生消息認證碼；f2用于消息認證中的計算期望影響值；f3用于產生加密密鑰；f4用于產生完整性認證密鑰；f5用于產生匿名密鑰；AKA中算法為非標準化算法，由運營商和制造商協(xié)商確定；f8~f9分別用于空中接口機密性和完整性保護，為標準算法：f8用于無線鏈路加密算法，以分組密碼算法KASUMI為基礎構造，利用了KASUMI算法的輸出反饋模式(OFB)；f9用于無線鏈路完整性算法，以分組密碼算法KASUMI為基礎構造，利用了KASUMI算法的密碼分組鏈接模式(CBC)；輸入輸出都是64bit，密鑰為128bit。KASUMI算法RKi=KLi||KOi||KIiKLi=KLi1||KLi2KOi=KOi1||KOi2||KOi3KIi=KIi1||KIi2||KIi3KIij=KIij1(9bit)||KIij2(7bit)KASUMI算法分析主算法由線性混合函數FL和非線性混合函數FO組成；非線性混合函數的非線性部分為FI，FI也是KASUMI函數惟一的非線性變化；非線性盒子S7和S9(置換表見教材)是整個非線性子函數FI的核心，也是KASUMI算法的核心，它的強度就決定了密碼算法的強度；S盒的設計準測包括非線性度、差分均勻性、代數次數及項目分布、雪崩效應和完全性、擴散性、可逆性以及是否有陷門等多方面來考慮;KASUMI輪密鑰需要8個輪密鑰，每輪密鑰RKi為128位RKi=KLi||KOi||KIi=KLi1||KLi2||KOi1||KOi2||KOi3||KIi1||KIi2||KIi3用戶密鑰K為128位Ki=K1||K2||K3||K4||K5||K6||K7||K8利用Ki’=KiCiC1=0x0123C2=0x4567C3=0x89ABC4=0xCDEFC5=0xFEDCC6=0xBA98C7=0x7654C8=0x3210輪密鑰取值表見教材表3.1算法f8KM=keymodifier,a128-bitconstantusedtomodifyakey).

取決于LENGTH值

算法f9算法f8/f9總結f8適用于所有用戶業(yè)務信息和關鍵信令信息的加密；采用序列密碼來實現。有不同的算法可以選擇，算法標識符占4位：在終端和RNC中實現“0000”，UEA0算法，不加密“0001”，UEA1算法，基于Kasumi算法f9適用于用戶信令信息的完整性保護，數據完整性保護采用在網絡域的完整性保護方法；采用序列密碼來實現。有不同的算法可以選擇，算法標識符占4位：在終端和RNC中實現“0001”，UIA1，基于Kasumi算法3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析安全鏈接的建立加密密鑰CK和完整性密鑰IK，在AKA階段完成；完整性模式協(xié)商：如果移動終端和網絡之間沒有共同的UIA算法版本，則釋放鏈接；如果至少有一個共同的UIA版本，則選擇相互可以接受的UIA算法使用；（3G系統(tǒng)中預留了16種UIA的可選范圍）加密模式協(xié)商：如果沒有共同的UEA算法版本，且網絡不準備使用不加密鏈接，則釋放鏈接；如果沒有共同的UEA算法版本，且用戶和網絡愿意使用不加密鏈接，使用不加密鏈接；如果至少有一個共同的UEA版本，則選擇相互可以接受的UEA算法使用。（3G系統(tǒng)中預留了15種UEA的可選范圍）安全鏈接的建立加密密鑰和完整性密鑰壽命給RRC鏈接設置STARTCS和STARTPS，存儲在USIM中，當RRC連接請求發(fā)生且STARTCS和STARTPS達到運營商設置的最大值時，ME將觸發(fā)新的加密和完整性密鑰生成，原有的相關密鑰隨之刪除；加密密鑰和完整性密鑰識別密鑰集標識符KSI，和GPRS中的CKSN對應；KSI有3bit，7個值可供使用；值”111”在移動臺表示密鑰集無效，在SN上被保留。安全連接建立過程MSSRNCVLR/SGSN1.RRC連接建立，包括MS傳送HFN起始值和UE的安全性能到SRNC1.存儲HFN起始值和UE的安全性能2.初始L3消息，含用戶身份、KSI等3.認證和密鑰產生4.決定允許的UIA和UEA5.安全模式命令(UIA,UEA,CK等)6.選擇UIA和UEA，產生FRESH開始完整性保護7.安全模式命令(CN域，UIA，FRESH，UE安全性能，UEA，MAC-1等)8.UE安全性能控制，驗證消息，開始完整性保護9.安全模式完成(MAC-1等)10.驗證收到的消息11.安全模式完成(選擇UIA和UEA)開始加密/解密開始加密/解密3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析用戶信息加密在完成了用戶鑒權認證以后，在移動臺生成了加密密鑰CK。這樣用戶就可以以密文的方式在無線鏈路上傳輸用戶信息和信令信息。發(fā)送方采用分組密碼流對原始數據加密，采用了f8算法。接收方接收到密文，經過相同過程，恢復出明文。COUNT：密鑰序列號，32bitBEARER：鏈路身份指示，5bitDIRECTION：上下行鏈路指示，1bit，消息從移動臺到RNC，取值為0；反之為1。LENGTH：密碼流長度指示，16bitCK：加密密鑰，128bit用戶信息完整性保護在3G中，采用了消息認證來保護用戶和網絡間的信令消息沒有被篡改。發(fā)送方將要傳送的數據用完整性密鑰IK經過f9算法產生的消息認證碼MAC，附加在發(fā)出的消息后面。接受方接收到的消息，用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較，如果兩者相等，就說明收到的消息是完整的，在傳輸過程中沒有被修改。COUNT-I：密鑰序列號，32bitMESSAGE：消息DIRECTION：上下行鏈路指示，1bit。消息從移動臺到RNC，取值為0；反之為1。FRESH：網絡生成的一個隨機數，32bitIK：完整性密鑰；128bitMAC-I：消息認證碼f9COUNT-IMESSAGEDIRECTIONFRESHIKMAC-IUEf9COUNT-IMESSAGEDIRECTIONFRESHIKXMAC-IRNC3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保護技術2G/3G共存處理3G安全性分析2G和3G共存網絡的安全性準則

USIM用戶SIM用戶3GVLR3G安全上下文2G安全上下文2GVLR2G安全上下文2G安全上下文2G和3G共存網絡的接入環(huán)境

2G和3G共存的情況下向用戶提供的安全性

2G和3G網絡共存時的用戶鑒權

用戶使用USIM卡接入到2G和3G共存的網絡中：(1)通過UTRAN（WCDMA系統(tǒng)是IMT-2000家族的一員，它由CN（核心網）、UTRAN（UMTS陸地無線接入網）和UE（用戶裝置）組成。UTRAN和UE采用WCDMA無線接入技術。）接入時，使用UMTS（UniversalMobileTelecommunicationsSystem的縮寫，中文譯為通用移動電信系統(tǒng)）鑒權；(2)當使用3G移動臺和3GMSC/VLR或SGSN通過GSMBSS接入時使用UMTS鑒權機制。其中GSM密鑰從UMTSCK和IK計算獲得；(3)如果使用2G移動臺或2GMSC/VLR或SGSN通過GSMBSS接入，使用GSM鑒權機制。其中用戶響應SRES和GSM密鑰從UMTSSRES、CK和IK得到。2G和3G網絡共存時的用戶鑒權

在2G和3G共存網絡中，用戶也可以使用SIM卡接入到網絡中。由于GSMSIM用戶只支持GSM系統(tǒng)安全特性，所以鑒權過程必然是GSM系統(tǒng)的。

注意：在SIM卡用戶接入到UTRAN，與VLR/SGSN進行鑒權認證的過程以后，3GVLR/SGSN將利用CK和IK為用戶提供安全保護，但由于此時用戶安全特性的核心仍是GSM密鑰Kc，所以用戶并不具備3G的安全特性。

2G和3G網絡共存時的用戶鑒權

2G和3G安全上下文之間轉換運算的算法1.RAND[GSM]=RAND2.SRES[GSM]=XRES*1xorXRES*2xorXRES*3xorXRES*4GSM中RES是32bit，所以將3G中的XRES分成每段為32bit的四部分3.XRES*=XRES*1||XRES*2||XRES*3||XRES*4如果XRES為128bit，XRES=XRES*如果XRES不足128bit，就用0補足，即XRES*=XRES||0..0。4.Kc[GSM]=CK1xorCK2xorIK1xorIK2Kc是64bit，CK和IK是128bit，所以將CK、IK分為兩半：CK=CK1||CK2，IK=IK1||IK2

5.CK[USIM]=0…0||Kc即Kc占據CK的低64bit，高64bit為0。6.IK[USIM]=Kc||Kc3G移動通信系統(tǒng)的網絡訪問安全實現移動用戶身份保密技術3G系統(tǒng)中的認證與密鑰協(xié)商3G加密算法本地認證與連接建立接入鏈路的加密技術與完整性保