GSM无线通信系统的安全机制.doc

1、GSM 无线通信系统的安全机制曾玉红（北京城市学院 北京 100083）摘要：本文将通过详细、系统的论述和分析，展示安全机制在 GSM 系统中的分布和组成，以及 GSM 中的加密算法，阐述 GSM 系统中的安全和加密机制是如何使其成为一个成功的安全的移动通信系统的。最后本文将指出 GSM 系统中安全机制的缺点及其发展方向。关键词：GSM； 无线通讯；安全机制中图分类号：TN918 文献标识码： A 文章编号：1008-4851（2005）-01-093-06一、引言作为当今世界上应用最为广泛的移动通信系统，由于用于传输数据和信令的无线信道内在的弱点，移动系统中天然具有不安全性。一旦入侵者得到必

2、要的信息，他就可以对用户和运营商形成多种攻击。而在通常情况下，一个较低程度的攻击又可能会带来在更高程度上的和更加严重的攻击。因此，在移动通信系统中必须要引入鉴别和安全机制。GSM 系统在确保整个通信系统性价比的基础上，在为用户提供全球无缝漫游、高质量的语音通话、数字通信等多种多样的业务服务的同时，包含有有效的加密和鉴别机制，可以做到防止通话被窃听、无线电话被盗用、信令和数据被截取。GSM 系统中的安全机制的目的是尽可能使得无线通信系统如有线网络一样安全，以保护用户的隐私和运营商的利益。ITUT 建议书中对 GSM 的安全机制进行了详细论述参见参考文献 8。本文将系统的阐述GSM 系统所包含的安

3、全和加密机制，是如何使其成为一个成功的安全的移动通信系统，最后指出其缺点和发展方向。二、安全机制的分布GSM 系统由移动站（MS ） 、基站子系统（BSS）和网络子系统（ NSS）三部分组成。移动站和基站间通过无线连路连接，系统其他部分间则通过有线链路连接。每个移动站，即移动电话，配有一个用户识别（SIM）卡。在 SIM 卡中存有用户在 GSM系统中的注册信息，包括：给用户特定且唯一的身份标志的国际移动用户号（IMSI） 、用户电话号码、鉴别算法（A3 ） 、加密密钥生成算法（A8 ） 、个人识别号（PIN） 、单个用户鉴别密钥（Ki）等。GSM 移动电话又包含加密算法（A5） 。基站子系统用

4、于连接移动电话和 GSM 网络。基站通过无线信道与移动电话通信。这是GSM 系统中唯一使用无线信道的部分。所以，ITUT 建议中只考虑移动电话和基站之间的信息需要加密。有线电话网通过网络子系统将各个 GSM 网络连接起来。网络子系统中的本地区域注册（HLR）和访问区域注册（VLR）为移动业务交换中心（MSC ）提供协调呼叫所需的全部信息。在 HLR 中存有所有与本地用户相关的信息，如本地用户的 IMSI、电话号码、登记业务和鉴别密钥（Ki）等永久数据和一些临时数据。VLR 包含与所有当前正在接受服务的用户有关的信息，除 HLR 中的永久数据外，还有一些如临时移动用户识别号（TMSI）这样的临时

5、数据，为相应的 MSC 提供呼叫建立和鉴别阶段的支持。设备识别注册（ EIR）存有所有移动用户的 IMEI 及其在网络中的权限。鉴别中心（ AuC）是一个包含着 GSM 网络中最重要和最敏感信息的数据库，为 GSM 网络提供了鉴别用户、加密数据和信号所必需的全部信息。这些信息包括：每个用户的鉴别密钥（Ki） ，鉴别算法（A3） ，加密算法（A5） ，加密密钥生成算法（ A8） 。AuC 生成一系列随机数（RAND ） 、标识响应（SRES）和密码密钥（Kc） ，将它们传送并存储在 HLR 和 VLR 中，为鉴别和加密过程提供所需要的信息。图 1 引用自参考文献 2所示的是安全信息在 GSM 系

6、统这三部分中的分布。存储在这三部分中的信息在安全机制中缺一不可。而安全信息和算法在整个系统不同部分的分布又为用户和系统地的安全提供了额外的保障。图 1: 安全信息在 GSM 网络中的分布三、安全机制的组成GSM 系统中的安全机制由用户身份鉴别、用户身份保密性和信令及数据保密性组成。在通话建立之前，系统通过一个呼叫响应过程进行用户身份鉴别，通过跟踪技术确定主叫位置。被叫也可在接受通话前确认主叫身份。存在 SIM 卡中的 IMSI 以及单个用户鉴别密钥（Ki）组成了 GSM 系统敏感的识别认证书。GSM 中鉴别和加密方案的设计保证了这些敏感信息不会通过无线信道传送。移动用户是通过 TMSI，而不是

7、 IMSI，来让网络识别自己，而 TMSI 由网络派送并周期性改变。所以第三方不可能通过窃听对话来得到用户的真正识别。GSM 中通过无线信道传输的移动用户和基站之间的数据和信令由一个临时随机生成的加密密钥（Kc）加密。Kc 由用户和运营商保密。这保证了系统用户的隐私，使系统不会被泄漏。1. GSM 的鉴别机制鉴别是通过一个基于加密的调战响应机制识别 GSM 网络用户。调战应答机制工作如下：GSM 网络向移动电话派送一个 128 比特的随机数（RAND ）作为“呼叫” 。移动电话在收到呼叫后，用鉴别算法（A3 ）和分配给移动用户的单个用户鉴别密钥（Ki）对其进行加密，得到 32 比特的标识响应（

8、SRES ） 。然后，移动电话将加密后的呼叫，即标识响应（SRES ） ，发回给 GSM 网络。GSM 网络在收到 SRES 之后，用同样的鉴别密钥 Ki 进行 A3 运算，以验证用户的身份。如果 GSM 网络的运算结果与收到的 SRES 相同，移动电话就成功地通过了鉴别，可以继续与网络通信。否则，连接就会中断。图 2 8 所示为 GSM 网络的鉴别机制以及各部分如何应用 Ki 及 A3 算法.图 2:GSM 系统中的鉴别机制在鉴别过程中，入侵者所能从无线信道中得到的是本次的调战和标识响应。但下一次将是一个新的随机调战及其对应的标识响应。因此，窃听无线信道的入侵者不会在鉴别过程中得到形成一次攻

9、击所需的足够有用信息。2. GSM 的信令和数据保密性在鉴别过程完成之后，GSM 网络和用户之间便可进行信令和数据通信。在通信过程中，它们之间的信令和数据都必须适当地进行加密，以确保其保密性。A. 生成加密密钥（Kc ）在 GSM 系统中，对信令和数据进行加密和解密的密钥及算法均不同于用于鉴别过程的密钥和算法。首先我们来看如何生成加密密钥（Kc） 。将之前在鉴别过程中使用过的相同的随机数（RAND）以单个用户鉴别密钥（Ki）为密钥，用密码密钥生成算法（A8 ）进行运算，结果便是 64 比特的用于加密信令和数据的加密密钥（Kc） 。图 3 所示为在系统中如何生成加密密钥（Kc） 。图 3: 加密

10、密钥生成机制Kc 由包含 A8 和 Ki 的 SIM 卡和 AuC 生成。而在 AuC 中生成的 Kc 又被提供给 HLR 和VLR。由于随机数 RAND 的不断改变，由其生成的 Kc 也会随之不断变化。这使得系统的安全系数得到进一步提升。Kc 是在 SIM 卡和 AuC 内部生成的。所有的敏感信息都没有经过无线信道传输。因此，所有敏感信息都得到了很好的保护。B. 信令和数据的加密与解密 在移动电话和 GSM 网络间的语音和数据通信需要通过加密算法 A5 使用加密密钥 Kc 进行加密。首先，基站向移动电话发送一个密码模式请求命令来初始化它们之间的加密通信。移动电话在收到这个命令后，使用加密算法

11、 A5 和加密密钥 Kc 对数据进行加密和解密。基站也用同样的密钥和算法对发送和接受的数据进行加密和解密。由此，移动电话和 GSM 网络间的信令和数据交换就得以保密。图 4 所视为 GSM 系统密码模式的初始化机制。 图 4: 密码模式初始机制图 5 引自参考文献 2 所示为从 Kc 的生成到数据加密的完整的加密机制。 图 5: 使用密码密钥加密数据3. 用户身份认证（匿名）临时移动用户身份（TMSI）用于确保用户身份的保密性。TMSI 是 GSM 系统用户的临时标示符。它存储在 GSM 网络的 VLR 中，并分配给 GSM 网络的相应用户。它用于在一定时间内代替用户的真实身份。这样可以保证

12、IMSI 不经过无线网络传输。TMSI 分配和再分配给系统用户的过程如下： 当一个用户第一次打开他的移动电话时，使用的是存储在他的 SIM 卡中的IMSI。在鉴别和加密过程之后，GSM 系统将由 A5 算法使用 Kc 加密后的 TMSI 派送给移动电话。 移动电话在收到 TMSI 后，发送由同样的算法和密钥加密后的响应来确认接受。之后，当用户和网络通信时，他使用临时标识代替真正的身份。图 6 所示为 TMSI 在系统中分配和再分配的过程。图 6: GSM 系统中 TMSI 分配和再分配机制而 TMSI 再分配过程中的加密可以被视为进一步的安全措施。这样，要得到一个用户的临时身份的唯一方法就是跟

13、踪用户来破解它现在的 TMSI。 这点在系统外部是很难办到的。TMSI 在本地区域内有效。对于在本地区域之外的地方通信，除 TMSI 外，区域识别码（LAI）也是确保用户身份保密性所必需的。四、GSM 中的加密算法网络中的敏感信息，如密钥和算法，决不在无线信道中以明文形式传送。所用在移动用户和 GSM 网络间的通信都是经过加密的。在这一部分，我们讨论 GSM 系统中的加密算法。1. 鉴别和密钥生成算法（A3/A8 ）GSM 中的 A3 和 A8 算法都是基於密钥的单向碰撞函数。它们通常合在一起，统称为COMP128。COMP128 算法目前被几乎世界上所有 GSM 系统所采用，用在鉴别过程中，

14、存储在 SIM 卡和 AuC 中。A3 的输入是 GSM 网络发给移动电话的一个 128 比特的随机数呼叫和单个用户鉴别密钥（Ki） ，输出为一个 32 比特的标示响应。这个标示响应发回到网络，与网络自己生成的结果进行比较。如果二者相符，用户便得到了鉴别。A8 的输入也是随机数和 Ki，输出为一个 64 比特的加密密钥（Kc） 。图 7: A3 鉴别机制图 8: A8 密钥生成机制图 7 引自参考文献 1 所示为 GSM 系统中的 A3 鉴别机制。图 8 引自参考文献 1 所示为 GSM 系统中的 A8 密钥生成机制。2. 加密算法（A5）GSM 系统中的移动电话和基站之间的信令和数据通过加密

15、算法 A5 使用从 A8 中得到的加密密钥（Kc）进行加密和解密。当前有三种 A5 算法在使用中。 A5/1 被认为是这三种中性能最好的加密算法，被应用在西方国家。A5/2 比 A5/1 在性能上差很多，被用在由于出口限制而禁用 A5/1 的地区。A5/0 虽然也是 A5 的一种，但实际并不对数据进行加密。在 A5/1 和 A5/2 算法中，GSM 网络向移动电话发送一个加密模式请求命令，使其开始加密数据。移动电话从 SIM 卡中得到在鉴别过程中由 A8 生成的 Kc，用它对数据进行加密和解密。五、GSM 的技术缺陷虽然 GSM 系统提供了定的安全框架，但从现在观点看它所用的安全机制仍然有很多

16、缺陷。这些安全方案不能保证 GSM 的每一个组成部分和每一种服务都免受攻击。主要问题集中在以下方面。1. 安全系统内在的弱点由于 GSM 系统只在接入阶段提供安全措施，固定网络中的数据和信令传输并未得到充分的保护。在 AuC 中存着几乎一个 GSM 网络入侵者想要得到的全部信息。在 HLR 和 VLR中也存着在鉴别和加密过程中所使用的信息。如果一个入侵者能得到这些信息，它就可以控制网络的全部工作。SIM 卡易受一种称为“SIM 克隆”的攻击。这是一种对用户和系统都很严重的威胁。如果入侵者可以得到用户的 SIM 卡并获得它所存储的关键信息，如 Ki，它就可以再做一个SIM 卡 来盗用这部电话。2

17、. 支持数据业务的引入的弱点GSM 系统中不断增加的新业务也带来了新的安全问题。短信息业务利润丰厚，也很受用户欢迎。但这项业务并不安全，因为信息在传输时并未加密，易受攻击。幸运的是目前这一隐患并没有带来太大问题，而且可望在未来的 3G 中得到解决。而为用户提供 Internet 接入的通用分组无线业务（GPRS）中，由于使用与 Internet 中相同的设备和协议，来自 Internet的黑客和可接触到手机的人都可对他发动攻击。3. 加密算法的弱点David Wagner 和 Ian Goldberg参考文献 5曾用不到一天的时间破解了 COMP128 算法。他们指出了其中的缺陷，并证实了在得

18、到 SIM 卡的情况下，存在其中的 Ki 可在 8 小时内被破解出来。这样就会引发“SIM 克隆”攻击。然而，GSM 运营商和 SIM 卡的制造商都不愿意，也无法用其他算法来取代 A8/A3。因为 COMP128 已经在全世界范围内得到了广泛使用。A5/1 的算法从未被正式公布，但曾有人对它的机制和弱点进行了详细的描述。有人发现了三种可能对 A5/1 发动有效攻击的方法。所以，它并不是所想得那么可靠。A5/2 比 A5/1 复杂，可却几乎没用，因为有人可以用不到一天的时间完全破解它。而 A5/0 实际上就没有加密。因此，虽然 GSM 系统比传统的模拟移动通信系统安全，但并未尽善尽美，其中仍有很

19、多问题。在即将到来的 3G 系统中，将有更加细致完善的方法和新技术来解决安全问题。 六、结论虽然存在着一些安全隐患和问题，GSM 网络中所使用的鉴别、加密、临时鉴定号码等安全机制使其成为目前正在使用的最安全的移动通信系统之一。随着 3G 技术的成熟及其在 GSM 系统中的应用，GSM 系统将更加安全。参考文献；Steve Lord, “Modern GSM Insecurities- An ISS Technical White Paper”, X-Force Security Assessment Services EMEA at Internet Security Systems, htt

20、p:/ David Margrave, “GSM Security and Encryption” http:/spyhard.narod.ru/phreak/gsm-secur.html Metodi Popov , “Security Aspects of the Cellular Communications “, Information & Security. Volume 4, 2000, ISSN 1311-1493 http:/www.isn.ethz.ch/researchpub/publihouse/infosecurity/volume_4/B3/B3_index.htm

21、Emmanuel Gadaix, “GSM and 3G Security”, EGlobal technology report, April 2001 GSM Cloning (Cracking COMP128) http:/www.isaac.cs.berkeley.edu/isaac/gsm.html Biryukov, Shamir & Wagner, “Real Time Cryptanalysis of A5/1 on a PC” http:/cryptome.org/a51-bsw.htm William Stalings, “Cryptography and Network Security: Principles and Practice”, third edition, Pearson Education, Inc, 2003 Suraj Srinivas, “The GSM Standard (An overview of its security)”, December 20, 2001 http:/www.sans.org/rr/telephone/GSM_standard.php 收稿日期：2004 年 12 月 8 日作者简介：曾玉红，北京城市学院 教师