第三代移動通信系統(tǒng)安全

3G移動通信系統(tǒng)安全

UMTS與CDMA安全中國科學(xué)技術(shù)大學(xué)軟件學(xué)院3G移動系統(tǒng)安全3G技術(shù)發(fā)展簡介3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全3G移動通信系統(tǒng)的網(wǎng)絡(luò)域安全3G移動通信技術(shù)簡介中國科學(xué)技術(shù)大學(xué)軟件學(xué)院3G移動通信技術(shù)簡介WCDMA陣營：由GSM延伸得來，以UMTS(UniversalMobileTelecommunicationSystem)命名，下一代前景為LTE/SAE(LongTermEvolution/SystemArchitectureEvolution)，隨著技術(shù)發(fā)展出現(xiàn)了IMS(IP多媒體子系統(tǒng))；CDMA2000陣營：由CDMA演變發(fā)展而來，包括CDMA1X中的各個版本，后來出現(xiàn)了高速數(shù)據(jù)的EV-DO即HRPD系統(tǒng)，還包括一些典型業(yè)務(wù)，如BCMCS(廣播多播服務(wù))；TD-SCDMA陣營：由中國大唐電信公司和德國西門子公司合作開發(fā)的全新標(biāo)準(zhǔn)TD-SCDMA(TimeDivision-SynchronousCDMA)。3G移動通信系統(tǒng)

安全概述中國科學(xué)技術(shù)大學(xué)軟件學(xué)院3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的安全原則3G移動通信系統(tǒng)的安全結(jié)構(gòu)3G移動通信系統(tǒng)的安全原則3G是從2G的基礎(chǔ)上發(fā)展而來的1、保留2G系統(tǒng)中被認(rèn)為是必須的以及應(yīng)增強的安全特性；2、改進2G系統(tǒng)存在和潛在的弱安全功能；3、對提供的新業(yè)務(wù)提供安全保護；1、3G安全特性須綜合考慮多業(yè)務(wù)情況下的風(fēng)險性；2、非話音業(yè)務(wù)在3G中占主要地位，對安全性要求更高；3、存在多種預(yù)付費和后付費業(yè)務(wù)，3G系統(tǒng)應(yīng)提供相應(yīng)保護；4、用戶對服務(wù)范圍的控制和終端的應(yīng)用能力大大提高；5、必須能夠抵御用戶的主動攻擊；6、終端能力進一步加強，同一終端可能使用多SIM卡，同時支持不同的應(yīng)用環(huán)境，系統(tǒng)應(yīng)保證多種平臺和應(yīng)用環(huán)境的安全性；7、為了提高傳輸性，才能采用固定網(wǎng)絡(luò)傳輸，故應(yīng)考慮適應(yīng)固定線路傳輸；安全原則安全特性3G移動通信系統(tǒng)的安全概述3G移動通信系統(tǒng)的安全原則3G移動通信系統(tǒng)的安全結(jié)構(gòu)3G移動通信系統(tǒng)安全目標(biāo)用戶層面網(wǎng)絡(luò)層面運營商層面保護用戶產(chǎn)生相關(guān)信息，防止盜用保護歸屬和拜訪網(wǎng)絡(luò)提供的資源和服務(wù)，防止盜用確保方案具有世界范圍內(nèi)的通用性確保方案標(biāo)準(zhǔn)化，從而保證不同服務(wù)網(wǎng)絡(luò)間漫游未來層面確保3G安全特性和機制是可擴展和可增強的，可以根據(jù)新的威脅和服務(wù)不斷改進提高3G系統(tǒng)的安全體系結(jié)構(gòu)用戶應(yīng)用網(wǎng)絡(luò)應(yīng)用應(yīng)用層服務(wù)層網(wǎng)絡(luò)層手機設(shè)備USIM手機接入網(wǎng)歸屬環(huán)境AuC服務(wù)網(wǎng)絡(luò)VLRSGSN網(wǎng)絡(luò)訪問安全核心交換安全用戶安全應(yīng)用安全3G安全功能結(jié)構(gòu)一、增強用戶身份保密EUIC：通過HE/AuC對USIM身份信息認(rèn)證；二、用戶與服務(wù)網(wǎng)間身份認(rèn)證UIC；三、認(rèn)證與密鑰分配AKA：用于USIM、VLR/SGSN、HLR間的雙向認(rèn)證及密鑰分配；四、數(shù)據(jù)加密DC：UE與RNC間信息的加密；五、數(shù)據(jù)完整性DI：用于對交互消息的完整性、時效性及源與目的地進行認(rèn)證。系統(tǒng)定義了11個安全算法：f0、f1*、f1～f9，以實現(xiàn)其安全功能。f8、f9分別實現(xiàn)DC和DI標(biāo)準(zhǔn)算法。f6、f7用于實現(xiàn)EUIC。AKA由f0~f5實現(xiàn)。3G安全體系結(jié)構(gòu)的改進3G和GSM系統(tǒng)安全性能比較3G安全體系結(jié)構(gòu)的改進-23G系統(tǒng)覆蓋2G系統(tǒng)安全因素和安全弱點3G移動通信系統(tǒng)

網(wǎng)絡(luò)訪問安全實現(xiàn)中國科學(xué)技術(shù)大學(xué)軟件學(xué)院3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析臨時用戶身份識別MSVLR/SGSNTMSI分配請求(包含原來TMSI,LAI)根據(jù)原來TMSI,LAI去找原來的VLR/SGSN獲得用戶對應(yīng)的IMSI用戶IMSI新分配的TMSI,LAI確認(rèn)分配在用戶IMSI和TMSI之間建立對應(yīng)聯(lián)系關(guān)系原VLR/SGSN刪除用戶原來TMSI,LAI與用戶IMSI間關(guān)系存儲新TMSI和LAITMSI再分配指令(TMSI,LAI)TMSI再分配完成在用戶IMSI和TMSI之間建立新對應(yīng)關(guān)系刪除原有對應(yīng)關(guān)系永久用戶身份識別當(dāng)服務(wù)網(wǎng)絡(luò)無法通過TMSI識別用戶身份時，網(wǎng)絡(luò)將使用IMSI來鑒別用戶身份！IMSI信息非常重要敏感GSM系統(tǒng)采用明文易被截獲MSSN/VLRHE/

用戶身份請求用戶身份響應(yīng)IMSIor{HE_id||HE-message}用戶永久身份請求信息HE-message用戶永久身份請求信息IMSI啟動TMSI分配過程

UIDN?用戶身份解密節(jié)點UIDNHLRUIDNVLRSGSNHESNMSIMSIIMSIIMSI增強用戶身份保密機制MSSN/VLRHE用戶身份請求SQNUIC=SQNUIC+1EMSIN=f6GK(SQNUIC||MSIN)MCC||MNC||HLR_id||EMSINGI||EMSIN重新獲得GKSQNUIC||MSIN=f7GK(EMSIN)IMSI=MCC||MNC||MSINSQNUIC為時變參數(shù)序列號利用MCC、MNC和HLR_id找到相應(yīng)的HE在增強機制中，每個用戶都屬于一個組,GI和GK分別代表分組組號和分組密鑰f6和f7互為逆函數(shù)Ekey-SN/VLR(IMSI=MCC||MNC||MSIN)3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析認(rèn)證與密鑰協(xié)商協(xié)議概述AKAMSSN/VLR/SGSNHE/HLR存儲認(rèn)證向量認(rèn)證數(shù)據(jù)請求認(rèn)證數(shù)據(jù)應(yīng)答AV(1..n)用戶認(rèn)證請求RAND(i)||AUTN(i)用戶認(rèn)證應(yīng)答RES(i)比較RES(i)和XRES(i)驗證AUTN(i)計算RES(i)計算CK(i)和IK(i)選擇CK(i)和IK(i)認(rèn)證與密鑰建立從HE到SN的認(rèn)證向量發(fā)送過程生成認(rèn)證向量AV(1..n)選擇某認(rèn)證向量AV(i)認(rèn)證向量AV(RAND|XRES|CK|IK|AUTN)AUTN認(rèn)證令牌RES用戶應(yīng)答信息XRES服務(wù)網(wǎng)絡(luò)應(yīng)答信息CK數(shù)據(jù)加密密鑰IK數(shù)據(jù)完整新密鑰AKA的目的和前提AKA的目的完成網(wǎng)絡(luò)與用戶的雙向認(rèn)證生成加密密鑰(CK)和完整性密鑰(IK)確保CK/IK的新鮮性，即以前沒有使用過AKA的前提條件認(rèn)證中心(AuC)和USIM卡共享：用戶唯一的秘密認(rèn)證密鑰K消息認(rèn)證函數(shù)f1,f1*,f2密鑰產(chǎn)生函數(shù)f3,f4,f5,f5*AuC有隨機數(shù)產(chǎn)生函數(shù)AuC能夠產(chǎn)生新的序列號USIM能夠驗證收到的序列號的新鮮性序列號，使得用戶可以避免受到重傳攻擊。HE到SN的認(rèn)證向量分發(fā)SN/VLR/SGSNHE/HLR認(rèn)證數(shù)據(jù)請求(IMSI和交換類型PS/CS)認(rèn)證數(shù)據(jù)應(yīng)答AV(1..n)生成認(rèn)證向量AV(1..n)產(chǎn)生序列號SQN

通過f0產(chǎn)生隨機數(shù)RANDf1f2f3f4f5認(rèn)證與密鑰管理域AMF認(rèn)證密鑰KMACXRESCKIKAK

認(rèn)證向量AV=RAND||XRES||CK||IK||AUTN

K=由USIM和AuC共享的主密鑰RAND=由AuC產(chǎn)生的隨機數(shù)XRES=由AuC計算的期望響應(yīng)RES=由USIM計算出的響應(yīng)CK=空中接口加密密鑰IK=空中接口完整性保護密鑰AK=匿名密鑰（AnonymityKey）SQN=序列號AMF=認(rèn)證管理域MAC=網(wǎng)絡(luò)側(cè)消息認(rèn)證碼AUTN=網(wǎng)絡(luò)認(rèn)證令牌

認(rèn)證令牌AUTN=SQNAK||AMF||MAC

USIM中的用戶認(rèn)證功能AK用來在AUTN中隱藏序列號，因為序列號可能會暴露用戶的身份和位置信息為了保證通信同步，同時防止重傳攻擊，SQN應(yīng)是目前使用最大的一個序列號，由于可能發(fā)生延遲等情況，定義了一個較小的“窗口”，只要收到SQN在該范圍內(nèi)，就認(rèn)為是同步的。重新認(rèn)證如果用戶計算出SQN(序列號)不在USIM認(rèn)為正確的范圍內(nèi)，將發(fā)起一次“重新認(rèn)證”UE/USIMHE/AUCVLR/SGSNRAND||AUTNAUTSRAND||AUTSAV(1...n)SQN不在正確范圍認(rèn)證失敗發(fā)起重新認(rèn)證AUTS構(gòu)建過程f1*f5*XORSQNMSKRANDAMFMAC-SAKSQNMSAKAUTS=SQNMSAK||MAC-SSQNMS是移動臺中存儲的計數(shù)器序號，前面提到的SQN為HE/AUC中計數(shù)器的序號,反送回去的含義是希望HE/AUC比較當(dāng)前計數(shù)器序號，判斷是否真可能出現(xiàn)重放攻擊，并重新開始驗證認(rèn)證AKA安全性分析雙向認(rèn)證，認(rèn)證完成后提供加密密鑰和完整性密鑰，防止假基站攻擊；密鑰的分發(fā)沒有在無線信道上傳輸，AV認(rèn)證向量在固定網(wǎng)內(nèi)的傳輸也由網(wǎng)絡(luò)域安全提供保障；密鑰的新鮮性，由新的隨機數(shù)提供，防止重放攻擊；對有可能暴露用戶位置信息和身份信息的SQN用AK異或，達(dá)到隱藏SQN的目的；MAC的新鮮性，SQN和RAND變化，防止重放攻擊；3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析3G系統(tǒng)安全算法3GPP中定義了10個安全算法f1~f10；f1~f5實現(xiàn)AKA機制：f1用于產(chǎn)生消息認(rèn)證碼；f2用于消息認(rèn)證中的計算期望影響值；f3用于產(chǎn)生加密密鑰；f4用于產(chǎn)生完整性認(rèn)證密鑰；f5用于產(chǎn)生匿名密鑰；AKA中算法為非標(biāo)準(zhǔn)化算法，由運營商和制造商協(xié)商確定；f8~f9分別用于空中接口機密性和完整性保護，為標(biāo)準(zhǔn)算法：f8用于無線鏈路加密算法，以分組密碼算法KASUMI為基礎(chǔ)構(gòu)造，利用了KASUMI算法的輸出反饋模式(OFB)；f9用于無線鏈路完整性算法，以分組密碼算法KASUMI為基礎(chǔ)構(gòu)造，利用了KASUMI算法的密碼分組鏈接模式(CBC)；輸入輸出都是64bit，密鑰為128bit。KASUMI算法RKi=KLi||KOi||KIiKLi=KLi1||KLi2KOi=KOi1||KOi2||KOi3KIi=KIi1||KIi2||KIi3KIij=KIij1(9bit)||KIij2(7bit)KASUMI算法分析主算法由線性混合函數(shù)FL和非線性混合函數(shù)FO組成；非線性混合函數(shù)的非線性部分為FI，F(xiàn)I也是KASUMI函數(shù)惟一的非線性變化；非線性盒子S7和S9(置換表見教材)是整個非線性子函數(shù)FI的核心，也是KASUMI算法的核心，它的強度就決定了密碼算法的強度；S盒的設(shè)計準(zhǔn)測包括非線性度、差分均勻性、代數(shù)次數(shù)及項目分布、雪崩效應(yīng)和完全性、擴散性、可逆性以及是否有陷門等多方面來考慮;KASUMI輪密鑰需要8個輪密鑰，每輪密鑰RKi為128位RKi=KLi||KOi||KIi=KLi1||KLi2||KOi1||KOi2||KOi3||KIi1||KIi2||KIi3用戶密鑰K為128位Ki=K1||K2||K3||K4||K5||K6||K7||K8利用Ki’=KiCiC1=0x0123C2=0x4567C3=0x89ABC4=0xCDEFC5=0xFEDCC6=0xBA98C7=0x7654C8=0x3210輪密鑰取值表見教材表3.1算法f8KM=keymodifier,a128-bitconstantusedtomodifyakey).

取決于LENGTH值

算法f9算法f8/f9總結(jié)f8適用于所有用戶業(yè)務(wù)信息和關(guān)鍵信令信息的加密；采用序列密碼來實現(xiàn)。有不同的算法可以選擇，算法標(biāo)識符占4位：在終端和RNC中實現(xiàn)“0000”，UEA0算法，不加密“0001”，UEA1算法，基于Kasumi算法f9適用于用戶信令信息的完整性保護，數(shù)據(jù)完整性保護采用在網(wǎng)絡(luò)域的完整性保護方法；采用序列密碼來實現(xiàn)。有不同的算法可以選擇，算法標(biāo)識符占4位：在終端和RNC中實現(xiàn)“0001”，UIA1，基于Kasumi算法3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析安全鏈接的建立加密密鑰CK和完整性密鑰IK，在AKA階段完成；完整性模式協(xié)商：如果移動終端和網(wǎng)絡(luò)之間沒有共同的UIA算法版本，則釋放鏈接；如果至少有一個共同的UIA版本，則選擇相互可以接受的UIA算法使用；（3G系統(tǒng)中預(yù)留了16種UIA的可選范圍）加密模式協(xié)商：如果沒有共同的UEA算法版本，且網(wǎng)絡(luò)不準(zhǔn)備使用不加密鏈接，則釋放鏈接；如果沒有共同的UEA算法版本，且用戶和網(wǎng)絡(luò)愿意使用不加密鏈接，使用不加密鏈接；如果至少有一個共同的UEA版本，則選擇相互可以接受的UEA算法使用。（3G系統(tǒng)中預(yù)留了15種UEA的可選范圍）安全鏈接的建立加密密鑰和完整性密鑰壽命給RRC鏈接設(shè)置STARTCS和STARTPS，存儲在USIM中，當(dāng)RRC連接請求發(fā)生且STARTCS和STARTPS達(dá)到運營商設(shè)置的最大值時，ME將觸發(fā)新的加密和完整性密鑰生成，原有的相關(guān)密鑰隨之刪除；加密密鑰和完整性密鑰識別密鑰集標(biāo)識符KSI，和GPRS中的CKSN對應(yīng)；KSI有3bit，7個值可供使用；值”111”在移動臺表示密鑰集無效，在SN上被保留。安全連接建立過程MSSRNCVLR/SGSN1.RRC連接建立，包括MS傳送HFN起始值和UE的安全性能到SRNC1.存儲HFN起始值和UE的安全性能2.初始L3消息，含用戶身份、KSI等3.認(rèn)證和密鑰產(chǎn)生4.決定允許的UIA和UEA5.安全模式命令(UIA,UEA,CK等)6.選擇UIA和UEA，產(chǎn)生FRESH開始完整性保護7.安全模式命令(CN域，UIA，F(xiàn)RESH，UE安全性能，UEA，MAC-1等)8.UE安全性能控制，驗證消息，開始完整性保護9.安全模式完成(MAC-1等)10.驗證收到的消息11.安全模式完成(選擇UIA和UEA)開始加密/解密開始加密/解密3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析用戶信息加密在完成了用戶鑒權(quán)認(rèn)證以后，在移動臺生成了加密密鑰CK。這樣用戶就可以以密文的方式在無線鏈路上傳輸用戶信息和信令信息。發(fā)送方采用分組密碼流對原始數(shù)據(jù)加密，采用了f8算法。接收方接收到密文，經(jīng)過相同過程，恢復(fù)出明文。COUNT：密鑰序列號，32bitBEARER：鏈路身份指示，5bitDIRECTION：上下行鏈路指示，1bit，消息從移動臺到RNC，取值為0；反之為1。LENGTH：密碼流長度指示，16bitCK：加密密鑰，128bit用戶信息完整性保護在3G中，采用了消息認(rèn)證來保護用戶和網(wǎng)絡(luò)間的信令消息沒有被篡改。發(fā)送方將要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過f9算法產(chǎn)生的消息認(rèn)證碼MAC，附加在發(fā)出的消息后面。接受方接收到的消息，用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較，如果兩者相等，就說明收到的消息是完整的，在傳輸過程中沒有被修改。COUNT-I：密鑰序列號，32bitMESSAGE：消息DIRECTION：上下行鏈路指示，1bit。消息從移動臺到RNC，取值為0；反之為1。FRESH：網(wǎng)絡(luò)生成的一個隨機數(shù)，32bitIK：完整性密鑰；128bitMAC-I：消息認(rèn)證碼f9COUNT-IMESSAGEDIRECTIONFRESHIKMAC-IUEf9COUNT-IMESSAGEDIRECTIONFRESHIKXMAC-IRNC3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保護技術(shù)2G/3G共存處理3G安全性分析2G和3G共存網(wǎng)絡(luò)的安全性準(zhǔn)則

USIM用戶SIM用戶3GVLR3G安全上下文2G安全上下文2GVLR2G安全上下文2G安全上下文2G和3G共存網(wǎng)絡(luò)的接入環(huán)境

2G和3G共存的情況下向用戶提供的安全性

2G和3G網(wǎng)絡(luò)共存時的用戶鑒權(quán)

用戶使用USIM卡接入到2G和3G共存的網(wǎng)絡(luò)中：(1)通過UTRAN（WCDMA系統(tǒng)是IMT-2000家族的一員，它由CN（核心網(wǎng)）、UTRAN（UMTS陸地?zé)o線接入網(wǎng)）和UE（用戶裝置）組成。UTRAN和UE采用WCDMA無線接入技術(shù)。）接入時，使用UMTS（UniversalMobileTelecommunicationsSystem的縮寫，中文譯為通用移動電信系統(tǒng)）鑒權(quán)；(2)當(dāng)使用3G移動臺和3GMSC/VLR或SGSN通過GSMBSS接入時使用UMTS鑒權(quán)機制。其中GSM密鑰從UMTSCK和IK計算獲得；(3)如果使用2G移動臺或2GMSC/VLR或SGSN通過GSMBSS接入，使用GSM鑒權(quán)機制。其中用戶響應(yīng)SRES和GSM密鑰從UMTSSRES、CK和IK得到。2G和3G網(wǎng)絡(luò)共存時的用戶鑒權(quán)

在2G和3G共存網(wǎng)絡(luò)中，用戶也可以使用SIM卡接入到網(wǎng)絡(luò)中。由于GSMSIM用戶只支持GSM系統(tǒng)安全特性，所以鑒權(quán)過程必然是GSM系統(tǒng)的。

注意：在SIM卡用戶接入到UTRAN，與VLR/SGSN進行鑒權(quán)認(rèn)證的過程以后，3GVLR/SGSN將利用CK和IK為用戶提供安全保護，但由于此時用戶安全特性的核心仍是GSM密鑰Kc，所以用戶并不具備3G的安全特性。

2G和3G網(wǎng)絡(luò)共存時的用戶鑒權(quán)

2G和3G安全上下文之間轉(zhuǎn)換運算的算法1.RAND[GSM]=RAND2.SRES[GSM]=XRES*1xorXRES*2xorXRES*3xorXRES*4GSM中RES是32bit，所以將3G中的XRES分成每段為32bit的四部分3.XRES*=XRES*1||XRES*2||XRES*3||XRES*4如果XRES為128bit，XRES=XRES*如果XRES不足128bit，就用0補足，即XRES*=XRES||0..0。4.Kc[GSM]=CK1xorCK2xorIK1xorIK2Kc是64bit，CK和IK是128bit，所以將CK、IK分為兩半：CK=CK1||CK2，IK=IK1||IK2

5.CK[USIM]=0…0||Kc即Kc占據(jù)CK的低64bit，高64bit為0。6.IK[USIM]=Kc||Kc3G移動通信系統(tǒng)的網(wǎng)絡(luò)訪問安全實現(xiàn)移動用戶身份保密技術(shù)3G系統(tǒng)中的認(rèn)證與密鑰協(xié)商3G加密算法本地認(rèn)證與連接建立接入鏈路的加密技術(shù)與完整性保