GSM的安全體系結(jié)構(gòu)Read課件

1、GSM的安全體系結(jié)構(gòu)-Read3G安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)2004年年3月月26日日2004.03.26GSM的安全體系結(jié)構(gòu)-Read2004.03.26GSM的安全體系結(jié)構(gòu)-Read GSM網(wǎng)絡(luò)中用戶身份的保密網(wǎng)絡(luò)中用戶身份的保密用戶有可能會在無線信道上發(fā)送IMSI，這樣很容易被人為截取。為了減少IMSI在無線信道上的傳輸，GSM系統(tǒng)采用臨時用戶身份TMSI。在VLR處存儲TMSI和IMSI之間的對應關(guān)系。這樣一般來說，只有在用戶開機或者VLR數(shù)據(jù)丟失的時候IMSI才被發(fā)送，平時僅在無線信道上發(fā)送移動用戶相應的TMSI。GSM系統(tǒng)中的用戶鑒權(quán)系統(tǒng)中的用戶鑒權(quán)在GSM系統(tǒng)中，AuC（Authe

2、ntication Center，用戶鑒權(quán)中心）為每個用戶準備了“鑒權(quán)三元組”（RAND，XRES，Kc），存儲在HLR中。當MSC/VLR需要鑒權(quán)三元組的時候，就向HLR提出要求并發(fā)出一個消息“MAP-SEND-AUTHENTICATION-INFO”給HLR（該消息包括用戶的IMSI），HLR的回答一般包括五個鑒權(quán)三元組。任何一個鑒權(quán)三元組在使用以后，將被破壞，不會重復使用。當移動臺第一次到達一個新的MSC（Moblie-Service Switching Center,移動業(yè)務(wù)交換中心）時，MSC會向移動臺發(fā)出一個隨機號碼RAND，發(fā)起一個鑒權(quán)認證過程（MS移動到一個新的MSC時，發(fā)起的

3、是TMSI 而不是IMSI）2004.03.26GSM的安全體系結(jié)構(gòu)-ReadMSVLR/SGSNHE/HLRGenerate authenticationvectors AV(1.n)Store authentication vectorsSelect authentication vector AV(i)Authentication data requestAuthentication data responseAV(1.n)User authentication requestRAND(i) | AUTN(i)User authentication responseRES(i)Compa

4、re RES(i) and XRES(i)Verify AUTN(i)Compute RES(i)Compute CK(i) and IK(i)Select CK(i) and IK(i)Authentication andkey establishmentDistribution ofauthenticationvectors from HEto SN2004.03.26GSM的安全體系結(jié)構(gòu)-Read（1）AuC產(chǎn)生一個隨機數(shù)RAND，通過（AuC中的）A3、A8算法產(chǎn)生認證（鑒權(quán)）向量組（RAND，XRES，Kc）。（2）VLR/MSC收到鑒權(quán)三元組以后存儲起來。當移動臺注冊到該VLR時，

5、VLR/MSC選擇一個認證向量，并將其中的隨機數(shù)RAND發(fā)送給移動臺。（3）移動臺收到RAND以后，利用存儲在SIM卡中的A3、A8算法，計算出SRES和Kc（計算流程如圖3所示）。移動臺將SRES發(fā)送給VLR/MSC，如果SRES等于VLR/MSC發(fā)送給用戶的RAND所在的鑒權(quán)三元組中的XRES，移動臺就完成了向VLR/MSC驗證自己身份的過程。由以上分析可看出，在GSM 系統(tǒng)中, Kc 從來不通過空中接口傳送，存儲在MS 和AuC 內(nèi)的Kc 都是由Ki 和一個隨機數(shù)通過A8算法運算得出的。密鑰Ki 以加密形式存儲在SIM 卡和AuC 中。A3RAND(128bit)Ki(128bit)XR

6、ES(32bit)A8RAND(128bit)Ki(128bit)Kc(64bit)2004.03.26GSM的安全體系結(jié)構(gòu)-Read鑒權(quán)過程完成以后，MSC將鑒權(quán)三元組中的Kc傳遞給基站BTS。這樣使得從移動臺到基站之間的無線信道可以用加密的方式傳遞信息，從而防止了竊聽。（ GSM系統(tǒng)中無線鏈路信息加解密過程如下圖所示）64bit的加密密鑰Kc，再和當前幀號Fn（22bit）作為A5算法的輸入，計算密鑰流。對消息進行逐位異或加密，將密文從移動臺傳遞到基站?；窘邮盏郊用艿男畔?，用相同的密鑰流逐位異或來解密。A5M SBTSKc(64bit)A5Fn(22bit)Fn(22bit)Kc(64b

7、it)114bi t keyst ream114bi t keyst ream明文明文密文無線信道2004.03.26GSM的安全體系結(jié)構(gòu)-ReadGSM中安全要素的分布：中安全要素的分布：GSM系統(tǒng)中，安全要素分布在不同的網(wǎng)絡(luò)實體平臺上。 陰影單元隨網(wǎng)絡(luò)政策變化是時間的函數(shù)，白色單元不隨時間變化陰影單元隨網(wǎng)絡(luò)政策變化是時間的函數(shù)，白色單元不隨時間變化 M SSIMBTSVLRHLR/AUCKcA5KcTM SIKcRANDXRESI M SIKiA3A8I M SIA8A3KiKcTM SIA5I M SIRAND2004.03.26GSM的安全體系結(jié)構(gòu)-ReadAuC（鑒權(quán)認證中心）存放每

8、個用戶的國際移動用戶身份IMSI（International Mobile Subscriber Identity），用于用戶開機登陸網(wǎng)絡(luò)或者在臨時移動用戶身份TMSI不能使用時驗證或搜索用戶；存放用戶的密鑰Ki（在用戶使用IMSI接續(xù)的時候，Ki被授予給用戶）；為完成鑒權(quán)過程，AuC要負責生成隨機值RAND；AuC中還存放了鑒權(quán)算法A3以及數(shù)據(jù)加密密鑰生成算法A8。VLR/MSC為每個IMSI存放若干鑒權(quán)三元組。為了避免IMSI被截取，需要最大限度地減少在無線信道上傳送。因此在VLR中記錄TMSI與IMSI的的對應關(guān)系，僅在無線信道上發(fā)送移動用戶的TMSI。BTS中存儲編碼算法A5和密鑰Kc

9、，用于解密接收到的密文形式的用戶數(shù)據(jù)和信令數(shù)據(jù)（包括解密）。移動臺將鑒權(quán)算法A3和數(shù)據(jù)加密密鑰生成算法A8、用戶密鑰Ki以及用戶身份IMSI (TMSI)存儲在SIM卡中。SIM卡是一種防篡改的設(shè)備，增強了算法和密鑰的安全性。編碼算法A5和由A8計算出的加密密鑰Kc存儲在手機中。由此可以看出A3、A8、A5、Ki、Kc是不在網(wǎng)絡(luò)中傳遞的，從而增強了網(wǎng)絡(luò)的安全性。2004.03.26GSM的安全體系結(jié)構(gòu)-ReadGSM存在的安全問題：存在的安全問題：一、GSM系統(tǒng)中的認證是單向的，只有網(wǎng)絡(luò)對用戶的認證，而沒有用戶對網(wǎng)絡(luò)的認證。因此存在安全漏洞，非法的設(shè)備（如基站）可以偽裝成的合法的網(wǎng)絡(luò)成員，從而

10、欺騙用戶，竊取用戶的信息。二、GSM系統(tǒng)中的加密不是端到端的，只是在無線信道部分即MS和BTS之間進行加密。在固定網(wǎng)中沒有加密，采用明文傳輸，這給攻擊者提供了機會。三、在移動臺第一次注冊和漫游時，IMSI可能以明文方式發(fā)送到VLR/MSC，如果攻擊者竊聽到IMSI，則會出現(xiàn)手機“克隆”。四、在移動通信中，移動臺和網(wǎng)絡(luò)間的大多數(shù)信令信息是非常敏感的，需要得到完整性保護。而在GSM網(wǎng)絡(luò)中，沒有考慮數(shù)據(jù)完整性保護的問題，如果數(shù)據(jù)在傳輸?shù)倪^程中被篡改也難以發(fā)現(xiàn)。五、隨著計算機硬件技術(shù)進步帶來的計算速度的不斷提高，解密技術(shù)也不斷發(fā)展。GSM中使用的加密密鑰長度是64bit，在現(xiàn)在的解密技術(shù)下，已經(jīng)可以在

11、較短時間內(nèi)被破解。六、在GSM系統(tǒng)中，加密算法是不公開的，這些密碼算法的安全性不能得到客觀的評價，在實際中，也受到了很多攻擊。七、在GSM系統(tǒng)中，加密算法是固定不變的，沒有更多的密鑰算法可供選擇，缺乏算法協(xié)商和加密密鑰協(xié)商的過程。2004.03.26GSM的安全體系結(jié)構(gòu)-ReadGSM和和3G的安全比較的安全比較2004.03.26GSM的安全體系結(jié)構(gòu)-Read3G的安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu)2004.03.26GSM的安全體系結(jié)構(gòu)-Read3G的安全功能結(jié)構(gòu)的安全功能結(jié)構(gòu)2004.03.26GSM的安全體系結(jié)構(gòu)-Read安全措施分為安全措施分為5類：類：一、增強用戶身份保密（EUIC）：通過

12、HE/AuC（本地環(huán)境/認證中心）對USIM（用戶業(yè)務(wù)識別模:塊）身份信息進行認證；二、用戶與服務(wù)網(wǎng)間身份認證（UIC）；三、認證與密鑰分配（AKA）：用于USIM、VLR/SGSN（訪問位置寄存器/服務(wù)GPRS支持節(jié)點）、HLR（歸屬位置寄存器）間的雙向認證及密鑰分配；四、數(shù)據(jù)加密（DC）：UE（用戶終端）與RNC（無線網(wǎng)絡(luò)控制器）間信息的加密；五、數(shù)據(jù)完整性（DI）：用于對交互消息的完整性、時效性及源與目的地進行認證。系統(tǒng)定義了11個安全算法：f0、f1*、f1f9，以實現(xiàn)其安全功能。f8、f9分別實現(xiàn)DC和DI標準算法。f6、f7用于實現(xiàn)EUIC。AKA由f0f5實現(xiàn)。2004.03.2

13、6GSM的安全體系結(jié)構(gòu)-Read 3G鑒權(quán)認證過程鑒權(quán)認證過程MSVLR/SGSNHE/HLR認證請求生成認證向量組AV（1.n）存儲認證向量組選擇一個認證向量組RAND|AUTN驗證AUTN計算RESRES比較RES和XRES計算CK和IK選擇CK和IK2004.03.26GSM的安全體系結(jié)構(gòu)-Read 一、認證中心AuC為每個用戶生成基于序列號的認證向量組(RAND,XRES,CK,IK,AUTN)，并且按照序列號排序。AuC產(chǎn)生認證向量組的流程如下圖所示： f0是一個偽隨機數(shù)生成函數(shù)，只存放于AuC中，用于生成隨機數(shù)RAND。3G認證向量中有一個“認證令牌”AUTN，包含了一個序列號，使

14、得用戶可以避免受到重傳攻擊。其中AK是用來在AUTN中隱藏序列號，因為序列號可能會暴露用戶的身份和位置信息。2004.03.26GSM的安全體系結(jié)構(gòu)-Read 二、 當認證中心收到VLR/SGSN的認證請求，發(fā)送N個認證向量組給VLR/SGSN。在VLR/SGSN中，每個用戶的N個認證向量組，按照“先入先出”（FIFO）的規(guī)則發(fā)送給移動臺，用于鑒權(quán)認證。2004.03.26GSM的安全體系結(jié)構(gòu)-Read 三、VLR/SGSN初始化一個認證過程，選擇一個認證向量組，發(fā)送其中的RAND和AUTN給用戶。用戶收到后RAND|AUTN后，在USIM卡中進行下列操作。2004.03.26GSM的安全體系

15、結(jié)構(gòu)-Readl 首 先 計 算 A K 并 從 A U T N 中 將 序 列 號 恢 復 出 來SQN=(SQNAK)AK；l USIM計算出XMAC，將它與AUTN中的MAC值進行比較。如果不同，用戶發(fā)送一個“用戶認證拒絕”信息給VLR/SGSN，放棄該認證過程。在這種情況下，VLR/SGSN向HLR發(fā)起一個“認證失敗報告”過程，然后由VLR/SGSN決定是否重新向用戶發(fā)起一個認證過程。l 用戶比較收到的SQN是否在正確范圍內(nèi)（為了保證通信的同步，同時防止重傳攻擊，SQN應該是目前使用的最大的一個序列號，由于可能發(fā)生延遲等情況，定義了一個較小的“窗口”，只要SQN收到的在該范圍內(nèi)，就認為

16、是同步的。）l 如果SQN在正確范圍內(nèi)，USIM計算出RES，發(fā)送給VLR/SGSN，比較RES是否等于XRES。如果相等，網(wǎng)絡(luò)就認證了用戶的身份。l 最后，用戶計算出加密密鑰CK=f3(RAND，K)，完整性密鑰IK=f4(RAND，K)2004.03.26GSM的安全體系結(jié)構(gòu)-Read 四、 如果用戶計算出SQN(序列號)不在USIM認為正確的范圍內(nèi)，將發(fā)起一次“重新認證”UE/USIMHE/AUCVLR/SGSNRAND|AUTNAUTSRAND|AUTSAV(1.n)2004.03.26GSM的安全體系結(jié)構(gòu)-Read在完成了用戶鑒權(quán)認證以后，在移動臺生成了加密密鑰CK。這樣用戶就可以以

17、密文的方式在無線鏈路上傳輸用戶信息和信令信息。發(fā)送方采用分組密碼流對原始數(shù)據(jù)加密，采用了f8算法。接收方接收到密文，經(jīng)過相同過程，恢復出明文。COUNT：密鑰序列號，32bitBEARER：鏈路身份指示，5bitDIRECTORY：上下行鏈路指示，1bit，消息從移動臺到RNC，取值為0；反之為1。LENGTH：密碼流長度指示，16bitCK：加密密鑰，128bit2004.03.26GSM的安全體系結(jié)構(gòu)-Read在3G中，采用了消息認證來保護用戶和網(wǎng)絡(luò)間的信令消息沒有被篡改。發(fā)送方將要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過f9算法產(chǎn)生的消息認證碼MAC，附加在發(fā)出的消息后面。接受方接收到的消息，用同

18、樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較，如果兩者相等，就說明收到的消息是完整的，在傳輸過程中沒有被修改。COUNT-I：密鑰序列號，32bitMESSAGE：消息DIRECTORY：上下行鏈路指示，1bit。消息從移動臺到RNC，取值為0；反之為1。FRESH：網(wǎng)絡(luò)生成的一個隨機數(shù)，32bitIK：完整性密鑰；128bitMAC-I：消息認證碼f9COUNT-IMESSAGEDIRECTIONFRESHIKMAC-If9COUNT-IMESSAGEDIRECTIONFRESHIKXMAC-IUERNC2004.03.26GSM的安全體系結(jié)構(gòu)-Read EUIC的實現(xiàn)過程

19、（對IMSI的加密和解密算法）GK：用戶入網(wǎng)時，與HE/AuC及群中的其他用戶共享的群密鑰。SQN_UIC：USIM產(chǎn)生的序列號，每次均不同。2004.03.26GSM的安全體系結(jié)構(gòu)-ReadMSIN（Mobile Station Identity Number）：移動用戶鑒權(quán)號碼，是IMSI組成部分之一。 MCC：移動通信國家碼 MNC：移動網(wǎng)絡(luò)碼2004.03.26GSM的安全體系結(jié)構(gòu)-Read3G系統(tǒng)中，增加了密鑰協(xié)商機制，在認證和密鑰協(xié)商機制的執(zhí)行過程中實現(xiàn)。加密算法協(xié)商和完整性算法協(xié)商都是通過用戶和網(wǎng)絡(luò)之間的安全協(xié)商機制實現(xiàn)的。當移動臺需要與服務(wù)網(wǎng)絡(luò)之間以加密方式通信時，以下列規(guī)則做

20、出判斷：當移動臺需要與服務(wù)網(wǎng)絡(luò)之間以加密方式通信時，以下列規(guī)則做出判斷：1) 如果移動臺和服務(wù)網(wǎng)絡(luò)沒有相同版本的UEA（加密算法），但是網(wǎng)絡(luò)規(guī)定要使用加密連接，則拒絕連接。2) 如果移動臺和服務(wù)網(wǎng)絡(luò)沒有相同版本的UEA（加密算法），但是網(wǎng)絡(luò)允許使用不加密的連接，則建立無加密的連接。3) 如果移動臺和服務(wù)網(wǎng)絡(luò)有相同版本的UEA，由服務(wù)網(wǎng)絡(luò)選擇其中一個可接受的算法版本，建立加密連接。3G系統(tǒng)中預留了15種UEA的可選范圍。為了實現(xiàn)用戶信息和信令信息的完整性保護，服務(wù)網(wǎng)絡(luò)與移動臺之間以下列規(guī)則為了實現(xiàn)用戶信息和信令信息的完整性保護，服務(wù)網(wǎng)絡(luò)與移動臺之間以下列規(guī)則進行算法協(xié)商：進行算法協(xié)商：1) 如果

21、移動臺和服務(wù)網(wǎng)絡(luò)沒有相同版本的UIA（完整性算法），則拒絕連接。2) 如果移動臺和服務(wù)網(wǎng)絡(luò)有相同版本的UIA，由服務(wù)網(wǎng)絡(luò)選擇一種可接受的算法版本，建立連接。3G系統(tǒng)中預留了16種UIA的可選范圍。通過實現(xiàn)算法協(xié)商，增加了3G系統(tǒng)的靈活性，是不同的運營上之間只要支持一種相同的UEA/UIA，就可以跨網(wǎng)通信。2004.03.26GSM的安全體系結(jié)構(gòu)-Read3G VLR / SG SN3G 接入網(wǎng)2G 接入網(wǎng)2G VLR / SG SN2G 接入網(wǎng) USIM用戶SIM用戶3G VLR3G安全上下文2G安全上下文2G VLR2G安全上下文2G安全上下文2G和3G共存網(wǎng)絡(luò)的接入環(huán)境 2G和3G共存的情

22、況下向用戶提供的安全性 2004.03.26GSM的安全體系結(jié)構(gòu)-Read 用戶使用用戶使用USIM卡接入到卡接入到2G和和3G共共存的網(wǎng)絡(luò)中：存的網(wǎng)絡(luò)中：(1) 通過UTRAN（WCDMA系統(tǒng)是IMT-2000家族的一員，它由CN（核心網(wǎng)）、UTRAN（UMTS陸地無線接入網(wǎng)）和UE（用戶裝置）組成。UTRAN 和UE采用WCDMA無線接入技術(shù)。） 接入時，使用UMTS（Universal Mobile Telecommunications System 的縮寫，中文譯為通用移動電信系統(tǒng) ）鑒權(quán)；(2) 當使用3G移動臺和3G MSC/VLR 或SGSN通過GSM BSS 接入時使用UMTS

23、 鑒權(quán)機制。其中GSM密鑰從UMTS CK和IK計算獲得；(3) 如果使用2G移動臺或2G MSC/VLR 或SGSN 通過GSM BSS 接入，使用GSM 鑒權(quán)機制。其中用戶響應SRES 和GSM密鑰從UMTS SRES、CK和IK得到。 2004.03.26GSM的安全體系結(jié)構(gòu)-Read 在在2G和和3G共存網(wǎng)絡(luò)中共存網(wǎng)絡(luò)中，用戶也可以使用SIM卡接入到網(wǎng)絡(luò)中。由于GSM SIM 用戶只支持GSM系統(tǒng)安全特性，所以鑒權(quán)過程必然是GSM 系統(tǒng)的。注意：在SIM卡用戶接入到UTRAN，與VLR/SGSN進行鑒權(quán)認證的過程以后，3G VLR/SGSN 將利用CK和IK為用戶提供安全保護，但由于此

24、時用戶安全特性的核心仍是GSM密鑰Kc ，所以用戶并不具備3G的安全特性。 2004.03.26GSM的安全體系結(jié)構(gòu)-Read2G和和3G安全上下文之間轉(zhuǎn)換運算的算法安全上下文之間轉(zhuǎn)換運算的算法c1 ： RANDGSM = RANDc2 ： SRESGSM = XRES*1 xor XRES*2 xor XRES*3 xor XRES*4GSM中RES是32bit，所以將3G中的XRES分成每段為32bit的四部分。 XRES* = XRES*1 | XRES*2 | XRES*3 | XRES*4如果XRES為128bit，XRES=XRES*如果XRES不足128bit，就用0補足，即XRES*=XRES|0.0。c3 ： KcGSM = CK1 xor CK2 xor IK1 xor IK2 Kc是64bit，CK和IK是128bit，所以將CK、IK分為兩半：CK=CK1|CK2，IK=IK1|IK2 c