2G3G4G系统中鉴权与加密技术演进.doc

1、02G/3G/4G 系统鉴权与加密技术演进学院：电子信息学院班级：12 通信 B 班学生姓名： 周雪玲许冠辉黄立群指导老师：卢晶琦完成时间：2015.04.191【摘要】本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的，因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营，保证用户的信息完整、可靠的传输，实现保密通信，要求有一套缜密的安全机制，这是对网络和服务的更高层次的要求，也是现如今颇受关注的话题。本文主要研究内容是 WCDMA、LTE 的安全机制，为了更好地了解 WCDMA 的安全机制必须溯源到 GSM 的鉴权机制，从对比和演进的

2、角度来看待这三种网络的安全机制的特点。【关键词】GAM，3G，LTE，鉴权与加密2目 录1、概述 41.1 移动通信系统中鉴权和加密产生的背景 .42、保密通信的基本原理 42.1 工作原理 .42.2 数学模型的建立 .43、GSM 系统的鉴权与保密 .53.1 GSM 系统中鉴权 .53.2 GSM 加解密 .73.3 TMSI 的具体更新过程 .83.4 GSM 安全性能分析 .94、3G 系统信息安全 .94.1 WCDMA 系统的鉴权和加密 .104.2 CDMA-2000 系统的鉴权和加密 .115、4G 系统信息安全 .125.1 LTE 系统网络架构 .125.2 LTE_SA

3、E 网元功能介绍 .135.2.1 UTRAN135.2.2 MME135.2.3 S-GW145.2.4 P-GW145.2.5 HSS145.3 LTE/SAE 安全架构 .155.4 LTE/SAE 安全层次 .155.5 LTE/SAE 密钥架构 .166、 LTE 与 2G/3G 网络的兼容 .177、结束语 17参考文献 1831、概述随着移动通信的迅速普及和业务类型的与日俱增，特别是电子商务、电子贸易等数据业务的需求，使移动通信中的信息安全地位日益显著。1.1 移动通信系统中鉴权和加密产生的背景无线通信中的鉴权 Authentication(在密码学中被称为认证,本文将使用鉴权一

4、词)的目的是验证移动台 MS 和网络的真实性,即确证 Ms 和网络的身份。它通过验证所声称的用户和网络是否是原来真正的登记用户及网络来防止盗用网络或假网络欺骗客户的行为。 无线通信中的加密包括通信安全的机密性和数据的完整性。 在第一代模拟蜂窝系统刚开始商用的时候,并没提供鉴权和加密的功能。这导致了严重的电信欺骗行为,也就是所谓的盗打他人手机的问题。此问题在 20 世纪 90 年代中期尤其是 GSM 商用以前变得日益突出。仅美国的运营商 1996 年就因此损失了大约 Us$。750M:,占其行业总收入的 3%。于是鉴权和加密就成了移动通信系统必须要解决的问题。 第二代移动通信重点解决了鉴权的问题

5、,对于安全方面的考虑则并未投入较大力度。原因很简单:鉴权直接与利润相关,而当时用户并不愿意为加密功能付钱。随着电子商务的日益流行,通信的安全问题变得越来越重要。因此在 3G 的设计中,加密功能也被大大增强了。2、保密通信的基本原理2.1 工作原理保密通信的工作原理就是对传输的信息在发送端进行加密变换处理，在接收端进行解密交换恢复成原信息，使窃密者即使截收到传输的信号，也不了解信号所代表的信息内容。 在保密通信中，发方和收方称为我方，其对立面称为敌方。我们的通信为了不被敌方获知，发方需要将信息加密再发给收方。原来的信息叫做明文 M，加密后称为密文 C。收方收到密文 C 后，要把密文去密，恢复成明

6、文 M。发送方产生明文 M，利用加密密钥经加密算法 E 对明文加密，得到密文 C。此时，如果经过未经加密保护的通道传送给接收方的话，密文有可能会被敌方截获。但是，对于不合法的接受者来说，所截获的信息仅仅是一些杂乱无章，毫无意义的符号，但这是在加密算法不公开或者不能被攻破的情况下，如果截获者已知加密算法和加密密钥或者所拥有的计算资源能够攻破发送方的加密系统，那么就会造成信息的泄漏。当合法接受者接收到密文后，用解密密钥经解密算法 D 解密，得到明文 M，信息的传送就完成了。2.2 数学模型的建立通信模型在增加了保密功能后，便成为如下的保密通信数学模型：4M：明文，C：密文加密密钥 e：Ke，解密密

7、钥 d：Kd，加密和解密时使用的一组秘密信息。E：加密算法，对明文进行加密时采用的一组规则，C=E(M)。D：解密算法，对密文进行解密时采用的一组规则，M=D(C)。3、GSM 系统的鉴权与保密GSM 系统在安全性方面采取了许多保护手段：接入网路方面采用了对客户鉴权；无线路径上采用对通信信息加密；对移动设备采用设备识别；对客户识别码用临时识别码保护；SMI 卡用 PIN 码保护。(1) 提供三参数组客户的鉴权与加密是通过系统提供的客户三参数组来完成的。客户三参数组的产生是在 GSM 系统的 AUC(鉴权中心)中完成，如图 338 所示。、每个客户在签约(注册登记)时，就被分配一个客户号码(客户

8、电话号码)和客户识别码(IMSI)。IMSI 通过 SIM 写卡机写入客户 SIM 卡中，同时在写卡机中又产生一个与此 IMSI 对应的唯一客户鉴权键 Ki，它被分别存储在客户 SIM 卡和 AUC 中。、AUC 产生三参数组：1 AUC 中的伪随机码发生器，产生一个不可预测的伪随机数（RAND）；2 RAND 和 Ki 经 AUC 中的 A8 算法(也叫加密算法)产生一个 Kc(密钥)，经 A3 算法(鉴权算法)产生一个符号响应(SRES)；3 用于产生 Kc、 SRES 的那个 RAND 与 Kc 和 SRES 一起组成该客户的一个三参数组， 传送给 HLR，存储在该客户的客户资料库中。、

9、 一般情况下， AUC 一次产生 5 组三参数， 传送给 HLR， HLR 自动存储。 HLR 可存储 110 组每个用户的三参数， 当 MSCVLR 向 HLR 请求传送三参数组时， HLR 一次性地向 MSCVLR 传 5 组三参数组。MSCVLR 一组一组地用，用到剩 2 组时，再向 HLR 请求传送三参数组。 3.1 GSM 系统中鉴权鉴权的作用是保护网路，防止非法盗用。同时通过拒绝假冒合法客户的“入侵”而保护 GSM 移动网路的客户，鉴权的程序见图 3.1.1。5、 当移动客户开机请求接入网路时， MSCVLR 通过控制信道将三参数组的一个参数伪随机数 RAND 传送给客户，SIM

10、卡收到 RAND 后，用此 RAND 与 SIM 卡存储的客户鉴权键 Ki，经同样的 A3 算法得出一个符号响应 SRES，并将其传送回 MSCVLR。、MSCVLR 将收到的 SRES 与三参数组中的 SRES 进行比较。由于是同一 RAND，同样的 Ki 和 A3 算法，因此结果 SRES 应相同。MSCVLR 比较结果相同就允许该用户接入，否则为非法客户，网路拒绝为此客户服务。在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。 图 3.1.1 GSM 系统中鉴权的原理图6图 3.1.2 GSM 系统流程过程3.2 GSM 加解密GSM 系统中的加密只

11、是指无线路径上的加密， 是指 BTS 和 MS 之间交换客户信息和客户参数时不会被非法个人或团体所盗取或监听，加密程序见图 3.2.1 所示。、在鉴权程序中，当移动台客户侧计算出 SRES 时，同时用另一算法(A8 算法)也计算出了密钥 Kc。、根据 MSCVLR 发送出的加密命令，BTS 侧和 MS 侧均开始使用密钥 Kc。在 MS 侧，由 Kc、TDAM 帧号和加密命令 M 一起经 A5 算法，对客户信息数据流进行加密(也叫扰码)，在无线路径上传送。在 BTS 侧，把从无线信道上收到加密信息数据流、TDMA 帧号和 Kc，再经过 A5 算法解密后，传送给 BSC 和 MSC。7图 3.2.

12、1 加解过程3.3 TMSI 的具体更新过程为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采用不断更新临时移动用户身份码 TMSI 取代每个用户唯一的国际移动用户身份码 IMSI。TMSI 的具体更新过程原理如下图所示，由移动台侧与网络侧双方配合进行。8图 3.3.1 TMSI 的具体更新过程原理3.4 GSM 安全性能分析尽管 GSM 系统成功引入了鉴权与加密技术，但随着 GSM 系统在全球大规模商用化，暴露出诸多安全缺陷，可以总结为六方面的技术漏洞。1.SIM/MS 接口翻录2.A3/A8 算法破解3.A5 算法漏洞4.SIM 卡攻击5. 网络伪装攻击6.网络数

13、据明文传输4、3G 系统信息安全3G 安全体系目标为：确保用户信息不被窃听或盗用确保网络提供的资源信息不被滥用或盗用确保安全特征应充份标准化，且至少有一种加密算法是全球标准化安全特征的标准化，以确保全球范围内不同服务网之间的相互操作和漫游安全等级高于目前的移动网或固定网的安全等级(包括 GSM)安全特征具有可扩展性目前，移动通信最有代表性的是第三代移动通信系统(3G) 安全体系结构如下：9图 4.1 3G 安全体系结构网络接入安全(等级 1)：主要定义用户接入 3GPP 网络的安全特性，特别强调防止无线接入链路所受到的安全攻击，这个等级的安全机制包括 USIM 卡、移动设备(ME)、3GPP

14、无线接入网(UTRAN/E-UTRAN)以及 3GPP 核心网(CN/EPC)之间的安全通信。(1*)非 3GPP 网络接入安全：主要定义 ME、非 3GPP 接入网(例如WiMax、cdma2000 与 WLAN)与 3GPP 核心网(EPC)之间的安全通信。网络域安全(等级 2)：定义 3GPP 接入网、无线服务网(SN)和归属环境(HE)之间传输信令和数据的安全特性，并对攻击有线网络进行保护。用户域的安全(等级 3)：定义 USIM 与 ME 之间的安全特性，包括两者之间的相互认证。应用程序域安全(等级 4)：定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于 VoIP 业务，

15、IMS 提供了该等级的安全框架。安全的可见度与可配置性：它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。以空中接口为主体的安全威胁包括如下几类情况 ：窃听、假冒、重放、数据完整性侵犯、业务流分析、跟踪来自网络和数据库的安全威胁包括以下三类情况：a.网络内部攻击b.对数据库的非法访问c.对业务的否认4.1 WCDMA 系统的鉴权和加密为了克服 GSM 系统的安全缺陷，WCDMA 系统采用了双向认证技术，建立了完整的认证与密钥协商机制(AKA)。1、UMTS 安全体系结构与 AKA 过程UMTS 安全体系主要涉及到 USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC

16、10等网络单元。所采用的 AKA 过程分为两个阶段。阶段 1 是 HE 与 SN 之间的安全通信，认证向量 AV 通过 SS7 信令的 MAP 协议传输。由于 MAP 协议本身没有安全功能，因此 3GPP 定义了扩展 MAP 安全协议，称为 MAPsec，用于传输认证矢量 AV=(RAND(随机数)，XRES(期望应答)，CK(加密密钥)，IK(完整性密钥)，AUTH(认证令牌)。阶段 2 是 SN 和用户之间的安全通信，采用一次处理方式，在 USIM 与SGSN/VLR 之间进行质询-应答处理。实现用户和网络的双向认证。UMTS 在 ME与 RNC 之间实现加密和完整性保护，对于业务数据和信

17、令，都进行加密，为了降低处理时延，只对信令进行完整性保护。图 4.1.1 WCDMA 安全体系结构4.2 CDMA-2000 系统的鉴权和加密与 WCDMA 类似，cdma2000 系统也采用了双向认证技术与认证与密钥协商机制(AKA)。1. cdma2000 安全体系结构cdma2000 的安全体系结构与 UMTS 类似，也采用两阶段 AKA 过程，涉及到UIM/ME、MSC、PDSN/VLR 和 HLR/AC 等网络单元。图 4.2.1 cdma2000 安全体系结构112.UIM 认证流程cdma2000 中的 UIM 卡存储用户的身份信息与认证参数，其功能与 GSM 中的SIMUMTS

18、 中的 USIM 卡功能类似。图 4.2.2 UIM 认证流程图5、4G 系统信息安全5.1 LTE 系统网络架构LTE 采用扁平化、IP 化的网络架构，E-UTRAN 用 E-NodeB 替代原有的 RNC-NodeB 结构，各网络节点之间的接口使用 IP 传输，通过 IMS 承载综合业务，原UTRAN 的 CS 域业务均可由 LTE 网络的 PS 域承载。原有 PS 域的 SGSN（service GPRS support node）和 GGSN（gateway GPRS support node）功能归并后重新作了划分，成为两个新的逻辑网元：移动管理实体(MME)和服务网关(Servin

19、g Gateway)，实现 PS 域的承载和控制相分离。新增的 PDN GW网元实现各种类型的无线接入。LTE 的网络架构如下图所示： 12图 5.1.1 LTE 系统网络架构5.2 LTE_SAE 网元功能介绍SAE 是 LTE 的系统架构演进，所以，在此有必要对其系统架构做简单介绍。图 5.2.1 SAM 网络架构5.2.1 UTRANE-UTRAN 实体的主要功能包括：1.头压缩及用户平面加密；2.在没有路由到达 MME 的情况下，MME 的选择取决于 UE 提供的信息；3.没有路由情形下的 MME 选择；4.基于 AMBR 和 MBR 的上行承载级速率执行；5.上下行承载级准许控制。1

20、35.2.2 MMEMME 提供以下功能：1.NAS 信令及其安全；2.跨核心网的信令（支持 S3 接口）；3.对处于 MME-IDLE 状态的 UE 进行寻呼；4.跟踪区域（Tracking Area）列表的管理；5.P-GW 和 S-GW 的选择；6.发生跨 MME 切换时的 MME 选择；7.发生与 2G/3G 3GPP 接入网之间切换时的 SGSN 选择；8.支持漫游（与 HSS 之间的 S6a 接口）；9.鉴权；10.承载管理，包括专用承载（dedicated bearer）的建立。5.2.3 S-GW对每一个与 EPS 相关的 UE，在一个时间点上，都有一个 S-GW 为之服务。S

21、-GW 对基于 GTP 和 PMIP 的 S5/S8 都能提供如下功能：1.eNode 间切换时，作为本地锚定点；2.在 2G/3G 系统和 P-GW 之间传输数据信息；3.在 EMM-IDLE 模式下为下行数据包提供缓存；发起业务请求流程； 4.合法侦听；5.IP 包路由和前转；6.IP 包标记；7.计费。5.2.4 P-GW1.基于单个用户的数据包过滤；2.UE IP 地址分配；3.上下行传输层数据包的分类标示；4.上下行服务级的计费（基于 SDF，或者基于本地策略）；5.上下行服务级的门控；6.上下行服务级增强，对每个 SDF 进行策略和整形；7.基于 AMBR 的下行速率整形基于 MB

22、R 的下行速率整上下行承载的绑定；合法性监听；5.2.5 HSSHSS 是用于存储用户签约信息的数据库，归属网络中可以包含一个或多个HSS。HSS 负责保存以下跟用户相关的信息：141.用户标识、编号和路由信息；2.用户安全信息：用于鉴权和授权的网络接入控制信息3.用户位置信息：HSS 支持用户注册，并存储系统间的位置信息4.用户轮廓信息HSS 还能产生用于鉴权、完整性保护和加密的用户安全信息。HSS 负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。5.3 LTE/SAE 安全架构LTE/SAE 网络的安全架构和 UMTS 的安全架构基本相同，如下图所示：图 5.3.1 LTE/SAE

23、 安全架构LTE/SAE 网络的安全也分为 5 个域：1)网络接入安全(I) 2)网络域安全(II) 3)用户域安全(III) 4)应用域安全(IV) 5)安全服务的可视性和可配置性（V）LTE/SAE 的安全架构和 UMTS 的网络安全架构相比，有如下区别：1)在 ME 和 SN 之间增加了双向箭头表明 ME 和 SN 之间也存在非接入层安全。2)在 AN 和 SN 之间增加双向箭头表明 AN 和 SN 之间的通信需要进行安全保护。 3)增加了服务网认证的概念，因此 HE 和 SN 之间的箭头由单向箭头改为双向箭头。155.4 LTE/SAE 安全层次在 LTE 中，由于 eNB 轻便小巧，

24、能够灵活的部署于各种环境。但是，这些eNB 部署点环境较为复杂，容易受到恶意的攻击。为了使接入网安全受到威胁时不影响到核心网，LTE 在安全方面采取分层安全的做法，将接入层（AS）安全和非接入层（NAS）安全分离，AS 安全负责 eNB 和 UE 之间的安全，NAS 安全负责 MME 和 UE 之间的安全。采用这种方式能够更好的保护 UE 的接入安全。这样 LTE 系统有两层保护，而不像 UMTS 系统只有一层安全保障。第一层为 E-UTRAN 网络中的 RRC 安全和用户面（UP）安全，第二层是 EPC（演进的包核心）网络中的 NAS 信令安全。这种设计目的是使 E-UTRAN 安全层（第一

25、层）和 EPC 安全层（第二层）相互的影响最小化。该原则提高了整个系统的安全性；对运营商来说，允许将eNB 放置在易受攻击的位置而不存在高的风险。同时，可以在多接入技术连接到 EPC 的情况下，对整个系统安全性的评估和分析更加容易。即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。图 5.4.1 LTE/SAE 安全层次5.5 LTE/SAE 密钥架构为了管理 UE 和 LTE 接入网络各实体共享的密钥，LTE 定义了接入安全管理实体（ASME），该实体是接入网从 HSS 接收最高级（top-level）密钥的实体。对于 LTE 接入网络而言，MM 执行 ASME 的功能。L

26、TE/SAE 网络密钥层次架构如图9 所示。16图 5.5.1 LTE/SAE 网络密钥层次架构LTE/SAE 网络的密钥层次架构中包含如下密钥：UE 和 HSS 间共享的密钥。K：存储在 USIM 和认证中心 AuC 的永久密钥；CK/IK：AuC 和 USIM 在 AKA 认证过程中生成的密钥对。（2）ME 和 ASME 共享的中间密钥。KASME：UE 和 HSS 根据 CK/IK 推演得到的密钥。密钥 KASME 作为 SAE 特定认证向量响应的部分从 HSS 传输到 ASME。（3）LTE 接入网络的密钥。KeNB：用于推导保护 RRC 流量的密钥和 UP 流量的密钥；KNASint

27、：用于和特定的完整性算法一起保护 NAS 流量；KNASenc：用于和特定的加密算法一起保护 NAS 流量； KUPenc：用于和特定的加密算法一起保护 UP 流量；KRRCint：用于和特定的完整性算法一起保护RRC 流量；KRRCenc：用于和特定的加密算法一起保护 RRC 流量。6、 LTE 与 2G/3G 网络的兼容用户在 LTE 和 2G/3G 之间切换时需要进行密钥转换。用户从 2G/3G 到 LTE时，LTE 不信任 2G/3G 的密钥，因此在切换或小区重选（TAU）完成后，如果MME 和 UE 之间没有存有转移之前协商好的 LTE 安全上下文，LTE 网络会要求重新做 AKA，

28、生成新的安全上下文。如果存有转移之前协商好的 LTE 安全上下文，则启用原有安全上下文。考虑到减少切换信令交互的消耗时间和复杂度，切换过程中还是使用由 2G/3G 安全上下文影射（MAP）过来的安全上下文，根据UMTS/GERAN 中的 IK、CK 生成 KASME。用户从 LTE 转移到 2G/3G 时，使用 LTE 安全上下文影射为 GERAN/UMTS 安全上，由 KASME 转换为 CK、IK。从 2G/3G 切换到 LTE 过程中，MME 将 CK/IK 和 PLMN-id 生成17KASME，KASME=KDF（IK，CK，PLMN-id），然后由 KASME 和上行 NASCOU

29、NT 生成KeNB，使用的安全算法为默认的安全算法或 UMTS/GERAN 算法。在 TAU 过程中，如果存有原来协商好的安全上下文，则在 TAU 过程中使用存有的安全上下文，如果没有则将 UMTS/GERAN 安全上下文影射为 LTENAS 安全上下文。7、结束语3GPPLTE 作为 3G 系统的长期演进技术，不仅使传输速度和系统容量得到了提高，实现了系统时延的降低，而且提供了更坚实的安全架构和更缜密的安全措施，为用户数据提供了最大限度的安全保障。伴随着中国移动等运营商的高调介入，LTE/SAE 将会获得长足的发展，成为中短期移动通信技术发展的一个重要方向。18参考文献1 谭利平，李方伟 移

30、动通信系统中的认证与密钥协商协议，重庆邮电大学，2007,27（06）：13431344，1348 2徐胜波，马文平，王新梅，无线通信网中的安全技术人民邮电出版社，2003136162 3王志勤第三代移动通信发展概况江苏通信技术2003，V0119：6-9 4郭梯云，邬国杨，李建东移动通信(修订版)西安电子科技大学出版社20017-1P255258 5周金芳，朱华飞，陈抗生GSM 安全机制移动通信1999，V015：24-25 6李翔3G 的安全体系结构电信技术200210：24-27 7李文宇移动通信系统的长期演进无线网络结构和协议J.电信科学,2006,22(6):2933 8郑宇,何大可,梅其详.基于自验证公钥的 3G 移动通信系统认证方案J.计算机学报,2005,8(8):1328-1332 9曾勇. LTE/SAE 密钥管理技术研究通信技术, 2009-07,42. 10郎为民,焦巧,蔡理金,宋壮志, 3GPP LTE 系统安全性研究, 电信工程技术与标准化,2009.7 11郎为民，蔡理金，LTE 系统中用户安全研究，通信管理与技术，2009-08 12宋健霖刘辉,LTE 系统中接人层加密和完整性保护研究, 广西通信技术2010 年第 2 期