三G密碼算法研究報告樣本

無線通信技術工作委員會TC5-WG5--00xXxxWG5安全加密工作組會議名稱：CCSA－CWTS－WG5#2meeting會議地點：北京會議時間：3月4號題目：關于第三代移動通信系統(tǒng)空中接口安全性算法及其應用技術研究報告來源：王衛(wèi)南京熊貓愛立信朱紅儒青島朗訊吳麗萍首信諾基亞李愛民廣東北電陳金岳杭州摩托羅拉印欣上海西門子類型：技術報告目：提交小組討論通過，成為對該題目基本文檔，增進組內(nèi)盡快形成最后技術報告，提交給全會，以便參照；闡明：從4月CWTS杭州會議至今，針對第三代移動通信系統(tǒng)空中接口安全性問題，各成員單位分別提交了8篇文稿進行激烈討論，文稿列表見附錄A。上述文稿各有側(cè)重，該文稿重要是在總結(jié)各文稿基本內(nèi)容上，從總體上形成一篇構(gòu)造完整和邏輯清晰報告，以增進組內(nèi)盡快形成最后技術報告，便于其她有關人士迅速清晰理解該問題。目錄TOC\o"1-3"\h\z摘要 31 前言 323G網(wǎng)絡空中接口安全概述 32．1UMTS（WCDMA/TD-SCDMA）空中接口安全實行過程 32．2Cdma空中接口安全實行過程 433G國際原則密碼算法簡介 53．13GPP/3GPP2原則密碼算法 53．2密碼算法標記符 63．33G國際密碼算法特點 73．3．1會話密鑰控制 73．3．13GPP/3GPP2算法公開性 73.4KASUMI和AES算法在國內(nèi)可應用性 84國內(nèi)國際算法應用比較與分析 84.1國際密碼算法分析 84.1.1國際算法優(yōu)勢分析 84.1.2國際算法劣勢分析 94．2國內(nèi)密碼算法分析 94.2.1國內(nèi)密碼算法優(yōu)勢分析 94.2.2國內(nèi)密碼算法劣勢分析 94．3國際和國內(nèi)算法同步應用分析 104．3．1雙算法方案簡介 104．3．2雙算法方案優(yōu)勢分析 104．3．3雙算法方案劣勢分析 105密碼算法公開與否利與弊 115.1GSM教訓 115.23GPP對安全算法公開改進及其益處： 125.33GPP2對安全算法公開性改進及其益處 125.4算法不公開弊端 126結(jié)論和建議 13附錄A3GPP和3GPP2相應參照文稿 13附錄B會話密鑰產(chǎn)生 14摘要隨著3G執(zhí)照發(fā)放準備工作已經(jīng)提上議事日程，中華人民共和國通信原則化協(xié)會無線技術委員會CWTS籌劃在今年8月份前完畢全套3G系統(tǒng)技術規(guī)范工作。3G網(wǎng)絡空中接口安全及其加密算法是CWTS重要工作，也是運營商關懷一種重要問題。為配合3G技術規(guī)范準時完畢，本工作組針對既有加密算法應用問題做了綜合分析，析。本文以為，對于3G網(wǎng)絡空中接口，國內(nèi)應當采用通過國際范疇內(nèi)廣泛評估、驗證和實踐原則化算法，即3GPPKASUMI和3GPP2AES算法（分別為UMTS(WCDMA和TD-SCDMA)和Cdma），也但愿能為政府主管部門提供參照性意見。前言3G網(wǎng)絡對安全規(guī)定重要是涉及3G業(yè)務安全性、系統(tǒng)完整性、對個人數(shù)據(jù)保護、終端/USIM以及合法監(jiān)聽。通過對以上技術分析，本文以為，對于3G網(wǎng)絡空間接口，國內(nèi)應當采用通過國際范疇廣泛評估、驗證和實踐原則化算法，支持本地運營商網(wǎng)絡國際化運營，支持顧客漫游和終端全球通用，從而使終端顧客、運營商和制造商在3G有關投資同步保持在最合理狀態(tài)。，更為重要是，密碼算法不公開不會增強算法自身安全性；反之，公開算法將有助于增強網(wǎng)絡安全。23G網(wǎng)絡空中接口安全概述第三代移動通信系統(tǒng)（這里3G專指WCDMA、TD－SCDMA，CDMA系統(tǒng)）中提供了完善接入安全體制，涉及顧客接入身份認證和空中接口安全兩某些，咱們在這里只討論空中接口安全機制。空中接口安全涉及兩方面：對顧客信息和信令信息可選取性加密保護；對信令信息強制性完整性保護。加密保護和完整性保護安全控制機制完全同樣。2．1UMTS（WCDMA/TD-SCDMA）空中接口安全實行過程空中接口安全控制機制啟動恰是加密和完整性算法協(xié)商過程。圖1UMTS安全實行過程1、手機和基站成功建立通信連接這時手機將發(fā)送安全能力信息給基站，告知基站手機所支持密碼算法。2、手機初次向互換機發(fā)起第三層應用消息，例如“位置更新”等，激活核心網(wǎng)開始安全控制過程；3、3G核心網(wǎng)發(fā)起安全控制過程核心網(wǎng)擬定允許基站使用哪些加密算法和完整性算法，并按照優(yōu)先順序列表，通過RANAP安全控制信令發(fā)送給基站。4、基站選取安全過程使用密碼算法基站比較“核心網(wǎng)按優(yōu)先級順序允許使用密碼算法”和“手機支持密碼算法能力”，選取共同密碼算法作為安全過程使用密碼算法。通過上述過程可以成功啟動安全控制過程，并按照上述過程擬定密碼算法對后來通信進行安全保護。2．2Cdma空中接口安全實行過程涉及網(wǎng)絡實體：手機,基站,互換機加密是在手機和基站之間進行加密過程：先使用原則化空中接口信令進行算法協(xié)商,然后用協(xié)商好加密算法進行空口加密.圖2CDMA安全實行過程如上圖所示，一方面手機發(fā)送給基站加密能力支持信息SIG_ENCRYPT_SUP和UI_ENCRYPT_SUP在如下消息中，即(1)可以是RegistrationMessageOriginationMessagePageResponseMessageSecurityModeRequestMessageStatusResponseMessage然后,基站BS回答給手機如何加密和用什么算法，這個可以通過在f-dsch或f-csch上發(fā)送SecurityModeCommandMessage來實現(xiàn).在手機和基站協(xié)商好要使用加密模式和加密算法后,就可以使用協(xié)商好算法進行加密了。33G國際原則密碼算法簡介3．13GPP/3GPP2原則密碼算法在3G當前原則中，支持強制完整性保護和可選加密保護，當前原則化作為全球統(tǒng)一使用算法為：KASUMI和AES（Rijndael）。3GPP(WCDMA)：KASUMI算法[4]KASUMI算法是由MISTY轉(zhuǎn)化而來,密鑰為128比特長,分組數(shù)據(jù)塊為64比特.當前也是一種完全公開算法,3GPP在決定使用此算法之前,對此算法也進行了全面分析,并在此詳細分析報告基本之上,最后通過公開分析定為3GPP原則化算法.中華人民共和國通信協(xié)會CCSA作為3GPP/3GPP2組織伙伴之一，已經(jīng)與其她國家和地區(qū)原則化組織一起共同訂立了屬于CWTS、ETSI、ARIB、TTA和T1共同所有基于KASUMI算法3GPP機密性算法（F8）和完整性算法（F9）管理合同。3GPP2(cdma)：AES“Rijndael”算法[2]3GPP2AES(AdvancedEncryptionStandard)即Rijndael加密算法，來自比利時兩個密碼專家:JoanDaemen博士和VincentRijmen博士.密鑰和加密數(shù)據(jù)流可以靈活進行配備,分別可覺得128,192和256比特長.用途廣泛。在1997年,NIST宣布公開征詢一種高檔加密算法.目就是為了原則化一種不用分類,并且公開進行分析加密算法,并且可以全球免費使用.于是在1998年,NIST宣布接受到15種候選算法.然后對這15種算法從不同角度例如安全強度和效率性能等方面進行了嚴格公開分析.最后,在綜合各種分析數(shù)據(jù)基本之上,規(guī)定RIJNDAEL做為AES原則.該算法不屬于任何一種特定國家，它們是通過完全公開分析并最后擬定下來，它們是國際性并完全公開。它不受任何專利限制并且可以免費獲得。同步CCSA是3GPP2重要組織成員，因此擁有AES使用權(quán)，它可以說是CCSA和所有公司可以使用算法。綜上所述,當前KASUMI/AES算法已經(jīng)可以免費為中華人民共和國設備制造商和運營商所應用。3．2密碼算法標記符如何使用標記符區(qū)別算法在3GPP系統(tǒng)原則中，空中接口信息（涉及數(shù)據(jù)和信令）加密（UEA）以及信令簽名（UIA）容許采用不同密碼算法，來滿足不同運營商或者國家對安全算法選取。既有3GPP原則規(guī)定，信息加密和信令完整性可以采用15種原則核心算法，每種核心算法由4比特標記符（UEA）表達。代碼“0000”定義為不加密，容許對信息不作加密解決。代碼“0001”擬定為KASUMI算法，作為全球統(tǒng)一原則算法。而3GPP2cdma系統(tǒng)中，原則化算法是AES即Rijndael算法,此外，Cdma原則具備統(tǒng)一加密接口可以非常靈活配備。參照C.S0005規(guī)范，在手機終端發(fā)往基站注冊消息中（Registrationmessage）已經(jīng)為所支持算法預留了批示位。其中：SIG_ENCRYPT_SUP批示手機所支持信令加密算法，而在網(wǎng)絡方,也可以在呼喊建立過程中選取自己要使用算法，基站從而可以選取使用加密模式以及支持加密算法并最后擬定。算法標記符作用空中接口安全規(guī)定手機和所服務基站必要采用相似密碼算法。手機，基站以及核心網(wǎng)都是基于3GPP或3GPP2分派原則標記符來辨認所使用算法，進行進一步算法協(xié)商。3．33G國際密碼算法特點3．3．1會話密鑰控制作為空中接口密碼算法重要參數(shù)之一,會話密鑰:加密密鑰（CK）和完整性密鑰(IK)。，是完全可以由所在國家自己控制和決定.也就是說當本地運營商使用KASUMI或AES作為加密和完整性算法時，這些密碼算法輸入?yún)?shù)CK和IK(加密密鑰和完整性密鑰)是完全由本地來控制。（詳細技術細節(jié)請參照附錄）3．3．13GPP/3GPP2算法公開性無論是3GPPKASUMI和3GPP2AES都是完全公開算法，在決定使用此算法之前,對此算法也進行了全面分析,并在此詳細分析報告基本之上,最后定為原則。3.4KASUMI和AES算法在國內(nèi)可應用性通過以上分析,可以得出結(jié)論國內(nèi)使用UMTS系統(tǒng)原則化算法KASUMI和cdma系統(tǒng)中AES不存在任何限制,咱們可以免費使用，完全可以容許在國內(nèi)使用.盡管使用原則化算法,但是咱們依然可以控制密鑰,即控制加密自身.從純技術角度來講,這些算法已經(jīng)是通過充分評估和測試,因此性能有保障.如果在國內(nèi)使用原則化算法,不存在全球漫游問題，終端顧客可以在任何地方都享有原則服務。因而統(tǒng)一空中接口安全算法是國內(nèi)網(wǎng)絡和手機為保證國外顧客國內(nèi)漫游和國內(nèi)內(nèi)顧客到國外漫游安全面必要保證，KASUMI/AES算法應是國內(nèi)網(wǎng)絡設備和終端設備必選安全算法之一。4國內(nèi)國際算法應用比較與分析4.1國際密碼算法分析4.1.1國際算法優(yōu)勢分析不存在手機漫游問題：可覺得顧客在漫游時提供安全性服務.算法是公開并得到公開分析定下來,充分吸取了GSM發(fā)展歷史教訓,3GPP/3GPP2在制定三代安全原則時就已達到新原則即公開空中接口加密算法,這樣做大大增強了公眾對該加密算法牢固性信心。公眾對算法信任：3G系統(tǒng)在安全性方面優(yōu)勢是其比2G系統(tǒng)性能更優(yōu)越方面之一，因而終端顧客和網(wǎng)絡運營商將會對加密算法可靠性產(chǎn)生很大關注，對加密算法安全可靠性信任對3G業(yè)務開展將會產(chǎn)生至關重要作用。完整3GPP/3GPP2原則早已穩(wěn)定，各設備制造商按照原則制定進度已基本完畢支持最初3G原則版本產(chǎn)品開發(fā)。4.1.2國際算法劣勢分析當前并未發(fā)現(xiàn)安全漏洞(可以參照3GPP和3GPP2分析報告)4．2國內(nèi)密碼算法分析在安全組會議上,關于部門提出了國內(nèi)密碼算法問題，由于國內(nèi)密碼算法迄今為止并未公開,因此咱們這里只是從實際應用和操作角度予以了分析。4.2.1國內(nèi)密碼算法優(yōu)勢分析國內(nèi)加密算法屬自有知識產(chǎn)權(quán)，有知識產(chǎn)權(quán)方面優(yōu)勢。但值得注意是當前3GPPs加密算法已通過努力取消了知識產(chǎn)權(quán)限制，中華人民共和國公司其實已經(jīng)可以免費使用這些加密算法，在加密算法方面實際已無知識產(chǎn)權(quán)問題。4.2.2國內(nèi)密碼算法劣勢分析無法解決手機漫游問題：由于加密功能是由手機和RNC設備來完畢和實現(xiàn)，因而規(guī)定中華人民共和國銷售手機和RNC設備只支持國內(nèi)加密算法，將會導致手機漫游時無法完畢加密功能問題。一方面國內(nèi)顧客漫游到國外移動網(wǎng)絡，由于加密算法協(xié)商過程中中華人民共和國手機使用是國內(nèi)算法而和國外網(wǎng)絡使用國際原則算法，這樣會導致在算法協(xié)商過程中手機和RNC設備無法找到互相匹配加密算法，而使加密功能無法進行。另一方面國外手機顧客漫游到中華人民共和國，同樣會由于其手機加密算法與中華人民共和國網(wǎng)絡RNC設備中加密算法互相不匹配而無法啟動正常加密功能。缺少算法管理權(quán)及算法公開與否方略考慮：以GSM發(fā)展歷史看來，由于GSM空中接口加密算法A5算法不公開，至使只有訂立GSMMou運營商才可以應用A5算法，這早已受到公眾廣泛批評。3GPPs在制定三代安全原則時就已達到新原則即：公開空中接口加密算法。這樣做反而會增強公眾對該加密算法牢固性信心。缺少公開評估過程，無法得到公眾對算法信任感：國內(nèi)加密算法公開評估和測試工作始終沒有開展，算法強健性無法得到公眾和權(quán)威機構(gòu)承認。3G系統(tǒng)在安全性方面優(yōu)勢是其比2G系統(tǒng)性能更優(yōu)越方面之一，因而終端顧客和網(wǎng)絡運營商將會對加密算法可靠性產(chǎn)生很大關注，對加密算法安全可靠性信任對3G業(yè)務開展將會產(chǎn)生至關重要作用。存在向3GPPs申請算法標記符問題：既有3GPPs規(guī)范定義了通過終端和網(wǎng)絡間算法協(xié)商來擬定選取共同支持原則算法進行空中接口加密，但這種協(xié)商基本是必要分派好不同算法標記符。3G部屬上時間問題：而當前國內(nèi)算法許多問題如算法公開評估、算法公開性、如何申請算法標記等，至今沒有得到確認和解決，這無疑都會嚴重影響3G原則擬定從而影響網(wǎng)絡迅速實行和部屬。對于網(wǎng)絡運營商來講原則穩(wěn)定意味著其網(wǎng)絡部屬、業(yè)務投入使用迅速完畢；對于設備制造商來講原則穩(wěn)定意味著可以迅速開發(fā)產(chǎn)品為客戶提供及時供貨服務。4．3國際和國內(nèi)算法同步應用分析4．3．1雙算法方案簡介雙算法方案指是：手機和基站中同步加載本地算法和國際原則算法。移動網(wǎng)絡依照手機顧客歸屬網(wǎng)絡是中華人民共和國境內(nèi)還是國外，分別選取不同空中接口安全算法。對于中華人民共和國國內(nèi)手機顧客，將采用本地算法進行空中接口完整性保護和信息加密，對于漫游到境內(nèi)國外顧客，將采用國際原則KASUMI/AES算法進行空中接口完整性保護和信息加密。4．3．2雙算法方案優(yōu)勢分析如果由于國家政策法規(guī)等方面因素，中華人民共和國必要在空中接口對中華人民共和國手機顧客采用本地算法，那么，在此前提下，雙算法方案比單一采用本地算法方案具備如下優(yōu)勢：支持國際漫游顧客在中華人民共和國境內(nèi)正常接入使用，避免了由于國外顧客手機不支持本地算法而不能在中華人民共和國漫游問題；對中華人民共和國手機顧客按照規(guī)定采用了本地算法；4．3．3雙算法方案劣勢分析不論本地算法是以芯片方式還是以軟件形式提供，由于算法是在較低層次鏈路層上實現(xiàn)，因此手機和基站設備（RNC/BS）都要進行較大改動；如果采用芯片形式提供，那么還將涉及到特別手機和基站設備硬件改動，增長了手機終端設計困難；如果采用軟件實現(xiàn)，那么系統(tǒng)性能將大大受到影響。手機和基站設備加載本地算法改導致本較大，事實上也是增長了中華人民共和國第三代移動通信市場成本；本地算法不開放將額外增長改造難度，限制制造商研發(fā)和測試，影響產(chǎn)品性能。專用芯片使用額外增長了手機和基站設備成本，最后將影響運營商和個人顧客利益。采用本地算法時，將引起中華人民共和國顧客在國際邊界通話時經(jīng)常掉話，影響通話質(zhì)量。否則，本地算法提供安全保證將受制于相鄰國家采用空中接口算法健壯性。否則，就猶如GSM中浮現(xiàn)問題：GSM網(wǎng)中存在A5/1,A5/3兩種空中接口算法，為了不導致邊界掉話，采用了容許不同算法使用相似密鑰方略，但是這樣卻提供了一種安全缺口：即運用A網(wǎng)合同漏洞獲取密鑰可以在B網(wǎng)中繼續(xù)使用。導致成果是：從8月后來，從空中接口截獲A5算法密鑰，即可以用在A5/1,也可以用在A5/3中。這事實上使一種算法健壯性受限于另一種算法了。為了支持雙算法方案，咱們不得不向3GPP/3GPP2申請本地算法算法標記符，這就規(guī)定有關部門一定精力投入。如果不申請算法標記符：從長遠來看，在國際上或者其她國家引入新算法后，會導致標記符沖突，影響互相間漫游；基站和網(wǎng)絡進行算法協(xié)商過程中，如果不使用國際原則算法標記符(UIA/UEA)，會引起RANAP信令流程變化。影響手機終端全球通用性國外生產(chǎn)手機在中華人民共和國不能使用；如果國外顧客到中華人民共和國后，出于費率考慮，更換成中華人民共和國運營商USIM卡，在這種國外手機＋中華人民共和國USIM卡狀況下，存在如下問題：雙算法方案中，核心網(wǎng)依照USIM卡信息顧客歸屬網(wǎng)絡是中華人民共和國，因此選取必要使用本地算法，但是國外手機沒有加載本地算法，因此導致該顧客被回絕接入網(wǎng)絡；如果減少對本地加密算法強制應用規(guī)定，容許在手機不支持本地算法狀況下，使用國際原則算法或者對不加密，那么可以解決上述回絕接入問題，但是同步也將支持非法中華人民共和國手機終端（沒有加載本地算法）接入，事實上給本地算法在本地強制應用提供了漏洞。這個問題本質(zhì)是，在當前網(wǎng)絡內(nèi)沒有啟用IMEI(終端全球碼)狀況下，網(wǎng)絡無法區(qū)別中華人民共和國手機終端和國外手機終端。因此從技術上無法辨認非法手機。而強制終端必要加載本地算法規(guī)定，從技術上沒有辦法控制，否則就會以犧牲某種形式國際漫游顧客為代價。55密碼算法公開與否利與弊5.1GSM教訓GSM系統(tǒng)中加密算法是A5/1，A5/2，當前歐洲采用就是該算法。當前，該算法依然由GSMA控制，沒有公開發(fā)布。這種決策初衷是通過“非公開”來增強其安全性。然而實踐成果卻證明事與愿違。由于反編譯等技術采用，A5算法已被破解。,因此,今天咱們可以很容易地在互聯(lián)網(wǎng)上找到該算法編碼。值得注意是，僅僅由于該算法“非公開性”，就吸引了各類破譯者們?nèi)ヒu擊它弱點，其中重要因素僅僅是由于破譯者們被該算法“非公開”所誘惑。因此，GSM教訓和公眾對A5算法不公開廣泛批評告訴咱們，加密算法非公開性實質(zhì)上恰恰會導致它不安全性，并減少它牢固性。5.23GPP對安全算法公開改進及其益處：針對如何保證算法安全性，3GPP/3GPP2在制定3G規(guī)范時，也曾有過充分討論和全面評估，最后達到共識：“評估一套算法安全性應當基于如下考慮－－即襲擊者可以知曉算法一切細節(jié)和算法所應用系統(tǒng)，襲擊者唯一不懂得只有密鑰”…“固然，算法非公開為其提供了一種外層保護，但GSM歷史告訴咱們，非公開算法事實上很難真正做到非公開.而一旦非公開算法被破解發(fā)布，那么，算法可信度將被嚴重傷害?！惫蚀?，在制定3G安全原則時3GPP達到新原則是--公開空中接口安全算法--這樣反而增強公眾對該加密算法牢固性信心。5.33GPP2對安全算法公開性改進及其益處在研究和結(jié)識到歷史經(jīng)驗與教訓后，3GPP2同樣以為保持算法秘密性是不可取。因此，當3GPP2在選取加密算法過程中，廣泛征求了各種算法,并對這些算法進行了公開競爭與篩選。隨后，這些算法不但發(fā)布于世,并且還廣范地被密碼專家進行深層次評估和密碼分析。最后,所選中算法AES被證明可以抵制既有密碼襲擊.最后AES即Rijndael算法被廣泛采用和接納.5.4算法不公開弊端給接入網(wǎng)帶來負面影響由于加密操作和加密算法是在RNC端執(zhí)行，因此制造商必要規(guī)范化加密輸入?yún)?shù)變量，系統(tǒng)才干正常工作。但是如果加密算法細節(jié)不公開，這些輸入?yún)?shù)變量規(guī)范化工作無法開展。這樣在很大限度上將限制制造商研發(fā)工作。算法不公開，勢必大幅增長制造商在專用加密芯片支出，從而增長了設備成本。關于接口測試也會受到很大影響。專用加密芯片采用，會給集成和測試工作帶來諸多問題。對終端負面影響每個終端必須增長專用加密芯片和相應外圍電路及軟件，導致開發(fā)和制導致本上升，給那些對安全規(guī)定相對較低消費者導致不必要經(jīng)濟承擔。相反，原則國際加密算法是完全公開并免費，制造商完全可以自己將