第三代移动通信系统安全

3G移动通信系统安全

UMTS与CDMA安全中国科学技术大学软件学院3G移动系统安全3G技术发展简介3G移动通信系统的安全概述3G移动通信系统的网络访问安全3G移动通信系统的网络域安全3G移动通信技术简介中国科学技术大学软件学院3G移动通信技术简介WCDMA阵营：由GSM延伸得来，以UMTS(UniversalMobileTelecommunicationSystem)命名，下一代前景为LTE/SAE(LongTermEvolution/SystemArchitectureEvolution)，随着技术发展出现了IMS(IP多媒体子系统)；CDMA2000阵营：由CDMA演变发展而来，包括CDMA1X中的各个版本，后来出现了高速数据的EV-DO即HRPD系统，还包括一些典型业务，如BCMCS(广播多播服务)；TD-SCDMA阵营：由中国大唐电信公司和德国西门子公司合作开发的全新标准TD-SCDMA(TimeDivision-SynchronousCDMA)。3G移动通信系统

安全概述中国科学技术大学软件学院3G移动通信系统的安全概述3G移动通信系统的安全原则3G移动通信系统的安全结构3G移动通信系统的安全原则3G是从2G的基础上发展而来的1、保留2G系统中被认为是必须的以及应增强的安全特性；2、改进2G系统存在和潜在的弱安全功能；3、对提供的新业务提供安全保护；1、3G安全特性须综合考虑多业务情况下的风险性；2、非话音业务在3G中占主要地位，对安全性要求更高；3、存在多种预付费和后付费业务，3G系统应提供相应保护；4、用户对服务范围的控制和终端的应用能力大大提高；5、必须能够抵御用户的主动攻击；6、终端能力进一步加强，同一终端可能使用多SIM卡，同时支持不同的应用环境，系统应保证多种平台和应用环境的安全性；7、为了提高传输性，才能采用固定网络传输，故应考虑适应固定线路传输；安全原则安全特性3G移动通信系统的安全概述3G移动通信系统的安全原则3G移动通信系统的安全结构3G移动通信系统安全目标用户层面网络层面运营商层面保护用户产生相关信息，防止盗用保护归属和拜访网络提供的资源和服务，防止盗用确保方案具有世界范围内的通用性确保方案标准化，从而保证不同服务网络间漫游未来层面确保3G安全特性和机制是可扩展和可增强的，可以根据新的威胁和服务不断改进提高3G系统的安全体系结构用户应用网络应用应用层服务层网络层手机设备USIM手机接入网归属环境AuC服务网络VLRSGSN网络访问安全核心交换安全用户安全应用安全3G安全功能结构一、增强用户身份保密EUIC：通过HE/AuC对USIM身份信息认证；二、用户与服务网间身份认证UIC；三、认证与密钥分配AKA：用于USIM、VLR/SGSN、HLR间的双向认证及密钥分配；四、数据加密DC：UE与RNC间信息的加密；五、数据完整性DI：用于对交互消息的完整性、时效性及源与目的地进行认证。系统定义了11个安全算法：f0、f1*、f1～f9，以实现其安全功能。f8、f9分别实现DC和DI标准算法。f6、f7用于实现EUIC。AKA由f0~f5实现。3G安全体系结构的改进3G和GSM系统安全性能比较3G安全体系结构的改进-23G系统覆盖2G系统安全因素和安全弱点3G移动通信系统

网络访问安全实现中国科学技术大学软件学院3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析临时用户身份识别MSVLR/SGSNTMSI分配请求(包含原来TMSI,LAI)根据原来TMSI,LAI去找原来的VLR/SGSN获得用户对应的IMSI用户IMSI新分配的TMSI,LAI确认分配在用户IMSI和TMSI之间建立对应联系关系原VLR/SGSN删除用户原来TMSI,LAI与用户IMSI间关系存储新TMSI和LAITMSI再分配指令(TMSI,LAI)TMSI再分配完成在用户IMSI和TMSI之间建立新对应关系删除原有对应关系永久用户身份识别当服务网络无法通过TMSI识别用户身份时，网络将使用IMSI来鉴别用户身份！IMSI信息非常重要敏感GSM系统采用明文易被截获MSSN/VLRHE/

用户身份请求用户身份响应IMSIor{HE_id||HE-message}用户永久身份请求信息HE-message用户永久身份请求信息IMSI启动TMSI分配过程

UIDN?用户身份解密节点UIDNHLRUIDNVLRSGSNHESNMSIMSIIMSIIMSI增强用户身份保密机制MSSN/VLRHE用户身份请求SQNUIC=SQNUIC+1EMSIN=f6GK(SQNUIC||MSIN)MCC||MNC||HLR_id||EMSINGI||EMSIN重新获得GKSQNUIC||MSIN=f7GK(EMSIN)IMSI=MCC||MNC||MSINSQNUIC为时变参数序列号利用MCC、MNC和HLR_id找到相应的HE在增强机制中，每个用户都属于一个组,GI和GK分别代表分组组号和分组密钥f6和f7互为逆函数Ekey-SN/VLR(IMSI=MCC||MNC||MSIN)3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析认证与密钥协商协议概述AKAMSSN/VLR/SGSNHE/HLR存储认证向量认证数据请求认证数据应答AV(1..n)用户认证请求RAND(i)||AUTN(i)用户认证应答RES(i)比较RES(i)和XRES(i)验证AUTN(i)计算RES(i)计算CK(i)和IK(i)选择CK(i)和IK(i)认证与密钥建立从HE到SN的认证向量发送过程生成认证向量AV(1..n)选择某认证向量AV(i)认证向量AV(RAND|XRES|CK|IK|AUTN)AUTN认证令牌RES用户应答信息XRES服务网络应答信息CK数据加密密钥IK数据完整新密钥AKA的目的和前提AKA的目的完成网络与用户的双向认证生成加密密钥(CK)和完整性密钥(IK)确保CK/IK的新鲜性，即以前没有使用过AKA的前提条件认证中心(AuC)和USIM卡共享：用户唯一的秘密认证密钥K消息认证函数f1,f1*,f2密钥产生函数f3,f4,f5,f5*AuC有随机数产生函数AuC能够产生新的序列号USIM能够验证收到的序列号的新鲜性序列号，使得用户可以避免受到重传攻击。HE到SN的认证向量分发SN/VLR/SGSNHE/HLR认证数据请求(IMSI和交换类型PS/CS)认证数据应答AV(1..n)生成认证向量AV(1..n)产生序列号SQN

通过f0产生随机数RANDf1f2f3f4f5认证与密钥管理域AMF认证密钥KMACXRESCKIKAK

认证向量AV=RAND||XRES||CK||IK||AUTN

K=由USIM和AuC共享的主密钥RAND=由AuC产生的随机数XRES=由AuC计算的期望响应RES=由USIM计算出的响应CK=空中接口加密密钥IK=空中接口完整性保护密钥AK=匿名密钥（AnonymityKey）SQN=序列号AMF=认证管理域MAC=网络侧消息认证码AUTN=网络认证令牌

认证令牌AUTN=SQNAK||AMF||MAC

USIM中的用户认证功能AK用来在AUTN中隐藏序列号，因为序列号可能会暴露用户的身份和位置信息为了保证通信同步，同时防止重传攻击，SQN应是目前使用最大的一个序列号，由于可能发生延迟等情况，定义了一个较小的“窗口”，只要收到SQN在该范围内，就认为是同步的。重新认证如果用户计算出SQN(序列号)不在USIM认为正确的范围内，将发起一次“重新认证”UE/USIMHE/AUCVLR/SGSNRAND||AUTNAUTSRAND||AUTSAV(1...n)SQN不在正确范围认证失败发起重新认证AUTS构建过程f1*f5*XORSQNMSKRANDAMFMAC-SAKSQNMSAKAUTS=SQNMSAK||MAC-SSQNMS是移动台中存储的计数器序号，前面提到的SQN为HE/AUC中计数器的序号,反送回去的含义是希望HE/AUC比较当前计数器序号，判断是否真可能出现重放攻击，并重新开始验证认证AKA安全性分析双向认证，认证完成后提供加密密钥和完整性密钥，防止假基站攻击；密钥的分发没有在无线信道上传输，AV认证向量在固定网内的传输也由网络域安全提供保障；密钥的新鲜性，由新的随机数提供，防止重放攻击；对有可能暴露用户位置信息和身份信息的SQN用AK异或，达到隐藏SQN的目的；MAC的新鲜性，SQN和RAND变化，防止重放攻击；3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析3G系统安全算法3GPP中定义了10个安全算法f1~f10；f1~f5实现AKA机制：f1用于产生消息认证码；f2用于消息认证中的计算期望影响值；f3用于产生加密密钥；f4用于产生完整性认证密钥；f5用于产生匿名密钥；AKA中算法为非标准化算法，由运营商和制造商协商确定；f8~f9分别用于空中接口机密性和完整性保护，为标准算法：f8用于无线链路加密算法，以分组密码算法KASUMI为基础构造，利用了KASUMI算法的输出反馈模式(OFB)；f9用于无线链路完整性算法，以分组密码算法KASUMI为基础构造，利用了KASUMI算法的密码分组链接模式(CBC)；输入输出都是64bit，密钥为128bit。KASUMI算法RKi=KLi||KOi||KIiKLi=KLi1||KLi2KOi=KOi1||KOi2||KOi3KIi=KIi1||KIi2||KIi3KIij=KIij1(9bit)||KIij2(7bit)KASUMI算法分析主算法由线性混合函数FL和非线性混合函数FO组成；非线性混合函数的非线性部分为FI，FI也是KASUMI函数惟一的非线性变化；非线性盒子S7和S9(置换表见教材)是整个非线性子函数FI的核心，也是KASUMI算法的核心，它的强度就决定了密码算法的强度；S盒的设计准测包括非线性度、差分均匀性、代数次数及项目分布、雪崩效应和完全性、扩散性、可逆性以及是否有陷门等多方面来考虑;KASUMI轮密钥需要8个轮密钥，每轮密钥RKi为128位RKi=KLi||KOi||KIi=KLi1||KLi2||KOi1||KOi2||KOi3||KIi1||KIi2||KIi3用户密钥K为128位Ki=K1||K2||K3||K4||K5||K6||K7||K8利用Ki’=KiCiC1=0x0123C2=0x4567C3=0x89ABC4=0xCDEFC5=0xFEDCC6=0xBA98C7=0x7654C8=0x3210轮密钥取值表见教材表3.1算法f8KM=keymodifier,a128-bitconstantusedtomodifyakey).

取决于LENGTH值

算法f9算法f8/f9总结f8适用于所有用户业务信息和关键信令信息的加密；采用序列密码来实现。有不同的算法可以选择，算法标识符占4位：在终端和RNC中实现“0000”，UEA0算法，不加密“0001”，UEA1算法，基于Kasumi算法f9适用于用户信令信息的完整性保护，数据完整性保护采用在网络域的完整性保护方法；采用序列密码来实现。有不同的算法可以选择，算法标识符占4位：在终端和RNC中实现“0001”，UIA1，基于Kasumi算法3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析安全链接的建立加密密钥CK和完整性密钥IK，在AKA阶段完成；完整性模式协商：如果移动终端和网络之间没有共同的UIA算法版本，则释放链接；如果至少有一个共同的UIA版本，则选择相互可以接受的UIA算法使用；（3G系统中预留了16种UIA的可选范围）加密模式协商：如果没有共同的UEA算法版本，且网络不准备使用不加密链接，则释放链接；如果没有共同的UEA算法版本，且用户和网络愿意使用不加密链接，使用不加密链接；如果至少有一个共同的UEA版本，则选择相互可以接受的UEA算法使用。（3G系统中预留了15种UEA的可选范围）安全链接的建立加密密钥和完整性密钥寿命给RRC链接设置STARTCS和STARTPS，存储在USIM中，当RRC连接请求发生且STARTCS和STARTPS达到运营商设置的最大值时，ME将触发新的加密和完整性密钥生成，原有的相关密钥随之删除；加密密钥和完整性密钥识别密钥集标识符KSI，和GPRS中的CKSN对应；KSI有3bit，7个值可供使用；值”111”在移动台表示密钥集无效，在SN上被保留。安全连接建立过程MSSRNCVLR/SGSN1.RRC连接建立，包括MS传送HFN起始值和UE的安全性能到SRNC1.存储HFN起始值和UE的安全性能2.初始L3消息，含用户身份、KSI等3.认证和密钥产生4.决定允许的UIA和UEA5.安全模式命令(UIA,UEA,CK等)6.选择UIA和UEA，产生FRESH开始完整性保护7.安全模式命令(CN域，UIA，FRESH，UE安全性能，UEA，MAC-1等)8.UE安全性能控制，验证消息，开始完整性保护9.安全模式完成(MAC-1等)10.验证收到的消息11.安全模式完成(选择UIA和UEA)开始加密/解密开始加密/解密3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析用户信息加密在完成了用户鉴权认证以后，在移动台生成了加密密钥CK。这样用户就可以以密文的方式在无线链路上传输用户信息和信令信息。发送方采用分组密码流对原始数据加密，采用了f8算法。接收方接收到密文，经过相同过程，恢复出明文。COUNT：密钥序列号，32bitBEARER：链路身份指示，5bitDIRECTION：上下行链路指示，1bit，消息从移动台到RNC，取值为0；反之为1。LENGTH：密码流长度指示，16bitCK：加密密钥，128bit用户信息完整性保护在3G中，采用了消息认证来保护用户和网络间的信令消息没有被篡改。发送方将要传送的数据用完整性密钥IK经过f9算法产生的消息认证码MAC，附加在发出的消息后面。接受方接收到的消息，用同样的方法计算得到XMAC。接收方把收到的MAC和XMAC相比较，如果两者相等，就说明收到的消息是完整的，在传输过程中没有被修改。COUNT-I：密钥序列号，32bitMESSAGE：消息DIRECTION：上下行链路指示，1bit。消息从移动台到RNC，取值为0；反之为1。FRESH：网络生成的一个随机数，32bitIK：完整性密钥；128bitMAC-I：消息认证码f9COUNT-IMESSAGEDIRECTIONFRESHIKMAC-IUEf9COUNT-IMESSAGEDIRECTIONFRESHIKXMAC-IRNC3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保护技术2G/3G共存处理3G安全性分析2G和3G共存网络的安全性准则

USIM用户SIM用户3GVLR3G安全上下文2G安全上下文2GVLR2G安全上下文2G安全上下文2G和3G共存网络的接入环境

2G和3G共存的情况下向用户提供的安全性

2G和3G网络共存时的用户鉴权

用户使用USIM卡接入到2G和3G共存的网络中：(1)通过UTRAN（WCDMA系统是IMT-2000家族的一员，它由CN（核心网）、UTRAN（UMTS陆地无线接入网）和UE（用户装置）组成。UTRAN和UE采用WCDMA无线接入技术。）接入时，使用UMTS（UniversalMobileTelecommunicationsSystem的缩写，中文译为通用移动电信系统）鉴权；(2)当使用3G移动台和3GMSC/VLR或SGSN通过GSMBSS接入时使用UMTS鉴权机制。其中GSM密钥从UMTSCK和IK计算获得；(3)如果使用2G移动台或2GMSC/VLR或SGSN通过GSMBSS接入，使用GSM鉴权机制。其中用户响应SRES和GSM密钥从UMTSSRES、CK和IK得到。2G和3G网络共存时的用户鉴权

在2G和3G共存网络中，用户也可以使用SIM卡接入到网络中。由于GSMSIM用户只支持GSM系统安全特性，所以鉴权过程必然是GSM系统的。

注意：在SIM卡用户接入到UTRAN，与VLR/SGSN进行鉴权认证的过程以后，3GVLR/SGSN将利用CK和IK为用户提供安全保护，但由于此时用户安全特性的核心仍是GSM密钥Kc，所以用户并不具备3G的安全特性。

2G和3G网络共存时的用户鉴权

2G和3G安全上下文之间转换运算的算法1.RAND[GSM]=RAND2.SRES[GSM]=XRES*1xorXRES*2xorXRES*3xorXRES*4GSM中RES是32bit，所以将3G中的XRES分成每段为32bit的四部分3.XRES*=XRES*1||XRES*2||XRES*3||XRES*4如果XRES为128bit，XRES=XRES*如果XRES不足128bit，就用0补足，即XRES*=XRES||0..0。4.Kc[GSM]=CK1xorCK2xorIK1xorIK2Kc是64bit，CK和IK是128bit，所以将CK、IK分为两半：CK=CK1||CK2，IK=IK1||IK2

5.CK[USIM]=0…0||Kc即Kc占据CK的低64bit，高64bit为0。6.IK[USIM]=Kc||Kc3G移动通信系统的网络访问安全实现移动用户身份保密技术3G系统中的认证与密钥协商3G加密算法本地认证与连接建立接入链路的加密技术与完整性保