《无线网络安全技术》研讨课-第七讲

第7讲移动通信安全无线网络安全技术移动通信网络简介GSM安全体系第三代移动通信安全体系1移动通信网络简介移动通信指移动用户之间，或移动用户与固定用户之间的通信。发展历史Firsttelephone(photophone)–AlexanderBell,1880古列尔莫•马可尼（GuglielmoMarconi），意大利人。

1909年获诺贝尔奖。1921第一个车载移动通信系统1946第一个商用移动无线电话，BellandAT&T,半双工(PTT模式)

1936荷兰thefirstpracticalmobileradiotelephone1946,第一个电路板设计的战时手机开始商用1973第一个手持式的蜂窝手机，Motorola.1978第一个蜂窝网NewYorkTimesphotographofDr.Cooper第一阶段：20年代~50年代，短波频段，MTS-MobileTelephoneSystem第二阶段：50年代~60年代，频段更高，IMTS-ImprovedMobileTelephoneSystem第三阶段：70年代，出现模拟蜂窝移动通信系统美：AMPS-AdvancedMobilePhoneService日：NAMTS-NipponAdvancedMobileTelephoneSystem北欧：NMT-NordicMobileTelephoneSystem英：TACS-TotalAccessCommunicationSystem*以上均为模拟系统（1G）所有系统都不兼容不能全球漫游低容量，不能支持大规模用户群第四阶段：80年代起，数字蜂房移动通信系统GSMGroupSpecialMobile;GlobalSystemforMobileCommunication美：IS-54与AMPS相容日：PDC-PersonalDigitalCelleular美：IS-95（N-CDMA）*以上为2G容量增加安全性增加兼容性增强使用TDMA或CDMA2.5代：GPRS(GeneralPacketRadioServices)数据包交换网络连接采用流量计时带宽速率高达56KBpsFPLMPS-FuturePublicLoadMobilePhoneSystemIMT2000：InternationalMoblieTelecommucation2000欧：WCDMA；美：CDMA2000；中：TD-SCDMA美：WiMAX-IEEE802.16*以上为3G网络带宽2Mbps提供互联网，语音和多媒体业务不安全因素分析移动通信网络主要安全威胁无线窃听：窃听用户身份、用户数据和信令假冒攻击：假冒移动用户或假冒网络端完整性侵犯：更改传输的信令和数据业务否认：用户滥用授权或服务商伪造帐单移动电话攻击：偷窃移动电话、更改移动电话身份号和克隆移动电话无线业务的差异性带宽允许的错误率迟延和可变性功率限制移动设备要求：相对低的计算功率对设备所能支持的加密算法的类型有所限制有限的存储能力功能受限引起的功率节省带宽、错误率、迟延和易变性的基本限制有限的显示能力可用性和用户经验问题吞吐量对协议开销和压缩量存在敏感性2GSM安全体系GSM网络GSM安全体系匿名保护身份认证加密安全分析GSM网络全球移动通信系统：GlobalSystemforMobilecommunication1990年部署，世界上覆盖范围最大的移动通信网络，全球80亿部手机，190个国家使用GSM。网络结构移动终端基站子系统交换子系统网络管理用户和终端设备数据库BSCMSCVLRHLREIRACBTSBTSBTS移动站(MS)：ME：移动设备SIM：SubscriberIndentityModule移动用户身份模块存储移动用户的国际身份号IMSI（InternationalMobileEquipmentIdentity）和认证密钥Ki实现移动用户身份认证功能，并生成加密密钥Kc基站子系统BSSBSC：基站控制器，负责管理无线信道的分配，实现固定网路与移动用户之间的通信连接，传送系统信号和用户信息。BTS：基站收发信机基带部分控制部分载频部分交换子系统（MSS）移动服务交换中心MSC：MSC是蜂房移动通信网的交换与控制中心，他除完成一般交换机的功能之外，还负责对移动系统的有线中继，天线信道的控制以及处理一些特殊功能，通过标准接口与基站子系统和其他NSS连接，并与公众电话网相连用户和终端设备数据库设备号登记处（EIR）：存储IMEI，并负责鉴别。认证中心（AC）：存放用户认证密钥，它通过一组保密的鉴权参数和算法来鉴别用户的合法性拜访局（VLR）：管理移动用户的数据库归属局（HLR）：存储大量移动用户个人信息，账单，当前漫游位置等信息的数据库。GSM网络安全体系结构访问控制：SIM卡和PIN码身份认证无线链路加密匿名保护用TMSI来代替IMSISIM卡SubscriberIdentificationModule(SIM)智能卡–

包含了OS，文件系统和应用程序的单芯片计算机。通过PIN保护运营商拥有SIM应用程序可通过SIM读写器写入。身份认证和数据加密认证层会话密钥层加密层认证流程

MSVLRHLRAuthent.requestIMSIRAND,SRES1,KcRANDSRES2比较SRES是否相同？安全认证参数三元组<RAND,SRES,Kc>KiA3SRES1=?KiA3SRES2Yes/NoHLR移动终端挑战

（RAND）应答（SRES）SIM认证成功及A8算法的一致性能够保证两边生成的会话密钥Kc的一致性。Kc不会在空中传输KiA8KiA8KCHLRMSRANDKCGSM加密密钥生成A3和A8算法标准都使用COMP128加密算法COMP128是一个带密钥的散列函数COMP128Ki(128bit)128bitoutputSRES32bitandKc

54bit语音和数据加密方案的实现BaseStation

SubsystemExchange

SystemNetwork

ManagementSubscriberandterminal

equipmentdatabasesBSCMSCVLRHLREIRAUCBTSBTSBTSA5EncryptionA5算法：流加密算法输入参数：64bit加密密钥

22bit帧序列号可以在硬件上高效实现该算法的设计没有公开但最终还是泄漏出去了算法的变种A5/1–

较强的版本A5/2–

较弱的版本A5/3–

基于KasumiA5/3算法安全参数和算法分布

阴影单元为临时参数匿名保护使用TMSI替代用户IMSI作为替代IMSI临时使用的用户号防止攻击者窃取用户识别号在初始认证时使用IMSIVLR为每个用户生成一个TMSIVLR执行TMSI的分配，管理，和更新工作使用Kc加密TMSI首次通话交换时，IMSI发送给AC，分配得到一个TMSI。用户移动时，新的MSC会分配用户一个新的TMSITMSI在MS进行会话连接建立的时候。网络通过TMSI和MS进行通信在MS端，TMSI存放在SIM卡中用于下次使用。安全分析只提供单向认证，难以防止中间人攻击和伪基站攻击；加密只在空中接口部分进行，固网中不提供端到端的加密加密功能没有延伸到核心网络，从基站到基站之间的传输链路中用户信息和信令数据都以明文传输用户身份认证密钥不可变更，无法抗重放保护用户数据和信令数据缺乏完整性保护机制算法设计过程不公开用户出于漫游状态时，服务网络采用的认证参数与归属网络之间没有有效的联系无第三方仲裁功能，当网络实体间出现费用纠纷时，无法递交给第三方进行仲裁用户认证过程中IMSI可能以明文方式在无线信道上传输无法对系统的安全升级及安全功能的更新对GSM的身份认证攻击

MS攻击者网络Authent.requestRANDSRESAuthent.requestRANDSRESOKerrorSIM卡克隆获取卡上的Ki和IMSI。利用读写器向SIM卡发送大量的假挑战，通过分析输入和输出数据之间的关系分析出Ki。A5/A8算法安全性：150000次尝试对加密算法的攻击：1998年4月：SIM卡上的COMP128算法被攻破1999年12月：一定条件下A5/1算法能被攻破2002年5月：IBM研究人员发现新的快速获取密钥Ki的方法。2003年8月：GSMA5/2算法被攻破，很实用对信令网络的攻击通信以明文形式在网络上传输传统密码分析方法TraditionalCryptographic

AttacksInputCryptoProcessingSensitiveInformationOutputSmartCard攻击者可以获得的信息SideChannelsPowerConsumptionElectromagneticradiationTimingErrorsEtc.SideChannelAttacksInputCryptoProcessingSensitiveInformationOutputSmartCard电源分析攻击目前绝大多数的集成电路都是由半导体晶体管组成，这些晶体管进行开关动作时，电流将通过晶体管下方的硅基，同时消耗一些电能并辐射出一些电磁信息，这二者都能被探测到。我们可以通过简单的检测电能消耗来辨别当前正在执行的操作。SPA（SimplePowerAnalysis）：采集加密期间电能消耗度量，通过直接解释采集到的波形来获取加密操作有关信息。针对DES加密芯片的SPA轨迹DPA(DifferentialPowerAnalysis)：通过统计分析和错误纠正技术来进行电源分析攻击。首先采集密码设备在加解密期间的电能消耗情况来获得一系列数据；随后通过一系列的数据分析和错误纠正最终破解密钥信息针对SIM卡的电源分析攻击：PartitioningAttack：不到1000个随机输入或者255个选择输入既可破解SIM卡中128bit的Ki。33GPP网络中的安全技术3GPP标准概述3GPP网络的基本架构身份认证和密钥分配方案3GPP中的加密技术3.13GPP标准概述GPRS(GeneralPacketRadioService)：通用分组无线服务，是GSM移动电话用户可用的一种移动数据业务。2.5G移动通信标准：位于第二代(2G)和第三代(3G)移动通讯技术之间。它通过利用GSM网络中未使用的TDMA信道，提供中速的数据传递。采用报文交换技术带宽利用率高多用户共享按流量计费。支持IP协议,点到点协议PPP和X.25连接。电路域分组域GPRS骨干网SGSNGGSNBGCGDNSSGSN对MS进行认证和加密移动性管理路由选择建立MS和SGSN之间的会话管理协议转换计费和业务统计GGSN：是连接GSM网络和外部分组交换网(如因特网和局域网)的网关。把GSM网中的GPRS分组数据包进行协议转换。3GPP网络基本结构3GPP网络安全概述3GPP的安全原则3G安全构筑在第二代移动通信系统基础之上。3G安全应该对第二代移动通信系统安全进行改进。3G安全应该提供新的安全特征，保护3G提供的新服务。3GPP网络安全概述第二代移动通信系统安全弱点存在伪基站攻击的可能加密密钥和鉴权数据在网络中以明文方式发送加密朝核心网络延伸不够充分，导致在微波链路上(从BTS到BSC)按明文方式传输用户数据和信令数据没有提供数据完整性保护。3G保留2G系统以及进一步开发的安全特点用户服务访问鉴权：改进算法加密算法需改进应该提供更为安全的用户身份机密保护机制应实现机卡分离安全操作特征独立于用户，用户不必为安全操作作任何事。安全服务匿名保护密钥生成身份鉴别加密体制完整性校验匿名保护思路：将所有跟用户身份有关的信息加密保护。整个安全体系需要移动终端进行身份（IMSI）鉴定步骤，这个步骤无法避免。由VSC/MLR发起的TMS