GSM、WCDMA及LTE鉴权机制的比较与分析

1、严丽云 陈久雨严丽云南京邮电大学研究生,通信与信息工程专业,研究方向:网络与应用技术。陈久雨中国电信股份有限公司广东研究院移动通信技术部。文章主要比较了2G 、3G 、4G 中极具代表性的网络的鉴权机制,分别是GSM 、WCDMA 、LTE 。比较他们之间的差异性,从而展望未来的安全机制发展方向。摘要关键词:GSM WCDMA LTE 鉴权GSM 、WCDMA 及LTE 鉴权机制的比较与分析引言本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的,因为一个网络的安全性直接关系到用户和网络运营商本身的利益。保证合法的用户获取服务和网络正常的运营,保证用户的信息完整、可靠的传输,实现保密

2、通信,要求有一套缜密的安全机制,这是对网络和服务的更高层次的要求,也是现如今颇受关注的话题。本文主要研究内容是WCDMA 、LTE 的安全机制,为了更好地了解WCDMA 的安全机制必须溯源到GSM 的鉴权机制,从对比和演进的角度来看待这三种网络的安全机制的特点。最后,本文展望了未来移动通信中的安全机制,并提出建议。1 GSM 概述GSM 系统一个显著的优点就是它在安全性方面比模拟系统有了显著的改进,它主要是在以下部分加强了保护:在接入网络方面通过AUC 鉴权中心采取了对客户鉴权;在无线路径上采取了对通信信息的保密;对移动设备通过EIR 设备识别中心采用了设备识别;对客户身份识别码IMSI 用临

3、时识别码TMSI 保护;SIM 卡用PIN 码保护。2 GSM 鉴权运营者开始使用安全功能之前,移动用户已经在鉴权中心被创建。同样的数据也存在移动用户的SIM 卡中。以下是创建用户所需要的信息:用户的IMSI 、用户的Ki 、使用的算法版本。GSM 的鉴权是网络要确定用户的合法无线论坛GSM、WCDMA及LTE鉴权机制的比较与分析性,即确认用户方Ki和网络方Ki 是相等。鉴权流程图(如图1及说明如下:在呼叫建立的初始间断、位置更新、补充业务相关的请求时需要进行鉴权,移动台发起这类请求给MSC/ VLR;MSC/VLR向HLR/AUC请求鉴权参数,及鉴权三元组;HLR/AUC根据随机数发生器产生

4、的RAND与KI通过A3单向算法计算得出SRES(i;根据RAND与KI通过A8算法计算出Kc;将计算出的鉴权三元组(SRES(i、RAND 以及Kc(i包含在鉴权相应中传递给MSC/AUC;所谓单向算法即不可能将运算结果或此随机数再化为原来的KI,即使SRES在空口被截获了也是无法恢复出KI,从而保证了KI的安全性;MSC/VLR保存鉴权三元组,将接收的RAND(i包含在用户鉴权请求中通过基站传递给移动台;移动台根据接收到的RAND(i以及自身保存的KI通过A3算法计算得出RES(i,通过A8算法计算出Kc(i;将RES(i包含在用户鉴权响应中传递给MSC/VLR;MSC/VLR比较SRES

5、(i与RES(i是否相等,若相等则此次鉴权成功,若不相等则鉴权失败,网络会拒绝MS 的接入,如图1。图1 GSM鉴权流程3 WCDMA与GSM安全机制比较从上文对GSM的安全机制介绍后,可以发现GSM安全机制存在一些安全漏洞,主要分为以下几点:首先,认证是单向的,只有网络对用户的认证,而没有用户对网络的认证,因此存在安全漏洞。非法的设备(如基站可以伪装成合法的网络成员,从而欺骗用户,窃取用户信息。其次,移动台和网络间的大多数信令信息是非常敏感的,需要得到完整性保护。而在GSM网络中,没有考虑数据完整性保护的问题,如果数据在传输的过程中被篡改也难以发现。再次,加密不是端到端的,只在无线信道部分加

6、密(即在MS和BTS之间,在固定网中没有加密(采用明文传输,给攻击者提供了机会。除此之外,随着计算机硬件速度不断提升,解密方法不断发展,GSM的加密算法和密钥的缺陷也给他带来通信安全隐患,如密钥太短,只有64bit,加密算法不公开且较为固定不变,无法协商加密算法等。随着3G时代的到来,2G网络的安全机制已经不能适应网络的安全需求了。针对GSM的安全漏洞,UTMS的安全机制就相对完善,以WCDMA为例。WCDMA以五元组鉴权:RAND、期望响应(XRES、加密密钥(CK、完整性密钥(IK、鉴权令牌(AUTN。增加了用于完整性保护的密钥(IK和用于用户验证网络的鉴权令牌(AUTN。并且WCDMA的

7、加密部分延长到了RNC侧。密钥长度也由原来2G时的64位加长至128位。4 WCDMA鉴权流程图2 WCDMA鉴权图网络侧在发起鉴权前,如果VLR内还没有鉴权参数五无线论坛元组,此时将首先发起到HLR取鉴权集的过程,并等待鉴权参数五元组的返回。鉴权流程图如下:(1鉴权中心AuC为每个用户生成基于序列号的鉴权向量组(RAND、XRES、CK、IK、AUTN,并且按照序列号排序。算法如图2。(2当鉴权中心HE/AUC收到VLR/SGSN的鉴权请求(authentication data request后,发送鉴权响应(authentication data response其中包含n个鉴权向量组给

8、VLR/SGSN。每个用户的n个认证向量组,按照“先入先出”(FIFO的规则发送给移动台,用于鉴权认证。(3VLR/SGSN初始化的一个鉴权过程为选择一个鉴权向量组,发送其中的RAND及AUTN给用户。用户收到RAND|AUTN后,在USIM侧进行鉴权处理,验证AUTN。这个步骤就是在进行用户对网络的鉴权,见图3、4,步骤如下:图3 AUC鉴权向量计算图4 USIM鉴权首先计算AK,并从AUTN中将序列号恢复出来; USIM计算出XMAC,将它与AUTN中的MAC值进行比较。如果不同,用户发送一个“用户认证拒绝”信息给VLR/SGSN,放弃该鉴权过程。在这种情况下,VLR/ SGSN向HLR发

9、起一个“鉴权失败报告”过程,原因值为MAC Failure。同时,用户还要验证接收到的序列号SQN是否在有效的范围内,若不在,MS向VLR发送“Synch failure”。如果XMAC和SQN的验证都通过,至此,用户完成了对网络的鉴权,此所谓双向就爱你全,那么USIM计算出RES(用户响应,发送给VLR/SGSN,比较RES是否等于XRES,如果相等,网络就认证了用户的身份。最后,用户计算出CK和IK。其中CK用于加密,IK用于完整性保护。鉴权失败(失败原因为“MAC Failure”处理:此时,网络侧将根据手机终端上报的用户标识来决定是否发起识别过程。如果当前的标识为T M S I(或P-

10、TMSI,则发起识别流程,要求手机终端上报IMSI信息。然后再次发起鉴权流程。鉴权失败(失败原因为“Synch failure”处理:如果 USIM认为SQN不在范围内,返回Synchronisa-tion failure消息,包含AUTS参数。HLR/AUC接到请求后,完成以下操作:HLR/AUC验证AUTS,若证明合法,则HLR/AUC将SQNHE计数器值重置为与SQNMS相同。(其中HLR/AUC发送鉴权数据响应并附带一些新的鉴权五元组给V L R/ SGSN。VLR/SGSN收到HLR/AUC送来的“同步失败标识”的鉴权数据响应后,本地的旧鉴权消息删除,MS将根据这些新的鉴权参数进行鉴

11、权。见图5。图5 同步失败处理流程5 LTE、3G安全机制比较LTE相比3G,网络架构上进行了简化,采用eNB单层结构,省去RNC,从而简化网络和减少时延,实现了低时延,低复杂度和低成本的要求。相比3G的安全机制也有很大的不同。首先我们先了解3G网络存在的安全隐患:13G认证实现了MS对HLR的认证,但没有实现MS 对VLR的认证。因此攻击者可以截获合法的IMSI进行攻无线论坛无线论坛击。可以冒充MS入网。(2 没有考虑网络端的认证和保密通信,攻击者可以通过截取VLR与HLR之间的信息获得AV从而获得CK和IK。(3 由于用户在不同的PLMN之间漫游,不同PLMN 可以是不同国家的不同网络,当

12、本地HE/HLR把AV发送到漫游网络的VLR/SGSN过程中,穿过不同网络,很容易被截获。(4 3G加密算法和密钥是通过协商的,需有一种安全方法让用户和网络之间对此进行协商。总之,3G的安全性是建立在网络足够可信的基础上的。唯一的用户表示IMSI也暴露给网络,缺乏对网络端的验证。鉴于3G网络安全机制的漏洞,针对3G只有一层安全保障,LTE分层安全机制这一新思想孕育而生。即LTE将安全在AS(接入层和NAS信令之间分离,无线链路和核心网需要有各自的密钥,用户安全终止于eNB,因为eNB处在不被信任的域中。第一层为E-UTRAN中的RRC层安全层和用户层安全,第二层是EPC中的NAS信令安全,如图

13、6。图6 LTE/SAE的安全层6 LTE鉴权LTE鉴权是一个基于四元组的鉴权:Ka s m e、AUTN、RAND以及XRES,见图7。(1UE向NAS层MMS发起鉴权请求;(2MME则向HSS索要鉴权向量;(3H S S返回一套或多套E P S鉴权向量RAND,AUTN,XRES, Kasme给MME,其中包含AMF 分隔符,”1”代表LTE/SAE,”0”代表非LTE/SAE,如GSM,UMTS;(4MME收到后保存XRES、Kasme并将随机数RAND和鉴权令牌AUTN发送给UE;图7 LTE鉴权图(5U E通过A U T N对网络进行鉴权,并根据A U T N&R A N D

14、计算出R E S&C K/I K,进一步计算出Kasme;(6UE与MME根据Kasme推导出NAS层与AS层所需的加密密钥和完整性保护密钥。当UE从ACTIVE到IDLE态时,将删除这些密钥;7 兼容性UMTS AKA是可信的认证协议,在SAE/LTE中重用UMTS中的认证和密钥协商的信令流程,并生成用于派生用户层和控制层密钥CK/IK。非3GPP接入的AKA应用使用基于USIM的EAP AKA。允许R99 USIM接入LTE,但不允许2G SIM接入LTE。2G安全不够充分。做一个假设:当UE在GSM中认证并后续执行切换到UMTS时,64位加密密钥KC被转换成128位的将加密密钥C

15、K和完整性保护密钥IK。这个操作没有增加CK和IK的熵,如果允许在GSM和LTE之间直接切换,如果攻击者破解GSM加密并获得Kc,当UE移动到LTE后,攻击者将能破译LTE中的流量。8 总结和展望第三代移动通信系统较第二代移动通信系统在安全方面有了较大的改善,但是它仍然存在着一些不足,其中没有对网络进行鉴权是第三代移动通信系统主要漏洞,由此引发了一系列的安全隐患。针对此不足,第四代移动通信LTE系统进行了改进,引进了双层加密体制,大大加强了其网络的安全性。但LTE的安全机制也不是完美的,它GSM、WCDMA及LTE鉴权机制的比较与分析无线论坛(下转第61页更有效地利用计算资源,帮助企业实现“节

16、能减排”的目标。工信部联合六部委日前共同发布关于推进光纤宽带网络建设的意见,提出“到2011年,光纤宽带端口超过8 000万,城市用户接入能力平均达到8bit/s以上,农村用户接入能力平均达到2bit/s以上,商业楼宇用户基本实现100bit/s以上的接入能力”的建设目标。一场宽带提速的计划正在3G大规模建设的同时展开。对于目前个人宽带用户最高4M带宽现状的提升路径,中国电信给出的答案是三年提升到100M。在虚拟化服务的众多需求的刺激下,在网速大提升背景的推动下,虚拟化管理运营服务有着广阔的前景。参考文献matrixauto-mgr/5 樊勇兵,丁圣勇, 陈天, 汪来富等. 云计算技术手册.

17、2010, 046 金海. 计算系统虚拟化原理与应用. 北京. 清华大学出版社, 2008,127 英特尔开源软件技术中心. 系统虚拟化-原理与实现. 北京.清华大学出版社, 2009,038 虚拟化与云计算小组. 虚拟化与云计算. 北京. 电子工业出版社, 2009,109 VMware. Inc. Understanding full virtualization,paravirtualization, and hardware assist. 200710 RedHat. Inc. Red hat enterprise virtualization: Hypervisor.2009(收稿

18、日期:2010-9-30主要存在的安全威胁有:UE面临的安全威胁、强制切换以及对eNB的攻击。随着三网融合的步伐走近,运营商不断推出双模或多模的终端,以适应不同网络的接入,针对不同业务会定义不同的鉴权系统,这不仅造成使用者的不便,势必加重了系统的复杂性,所以未来的鉴权应该朝着独立化、智能化和透明化方向发展,未来的安全中心应能独立于系统设备,具有开放的接口,能独立地完成双向鉴权、端到端数据加密等安全功能,甚至对网络内部人员也是透明的,以便实现不同的接入网在一个平台为用户提供多种增值业务。此外,未来的加密技术应采用公式密码体制增加密钥安全性,并应该采用加密新技术,增加加密的安全性。鉴权中心的数据库应该朝着分布式的方向发展,增加备份,提高容灾能力。随着运营者和用户对网络和业务的安全性要求越来越高,安全机制将不断地完善。从空间上看,需要鉴权的场合将越来越多,网络能够防范和保护的范围将越来越宽,鉴权将是一个几乎涉及移动通信网络中所有实体,需要全网配合、共同支持的处理过程,这也加重了网络实体的处理负担,并且由于在整个网络信令消息中,与鉴权有关的消息占据相当的比例,因而它对公网信令流量的影响也是不容忽视的,这都是鉴权发展趋势背后带来