物联网信息安全 课件 第5章 2G（GSM）安全机制

5.3.22G（GSM）

安全机制计算机学院王思琦目录5.3.2.1GSM的安全需求5.3.2.2GSM用户认证与密钥协商协议1.用户认证2.对用户标识的隐私保护

GSM简介:

GSM全名为：GlobalSystemforMobileCommunications，中文为全球移动通讯系统，俗称"全球通"，是一种起源于欧洲的移动通信技术标准，是第二代移动通信技术，其开发目的是让全球各地可以共同使用一个移动电话网络标准，让用户使用一部手机就能行遍全球。目前，中国移动、中国联通各拥有一个GSM网，为世界最大的移动通信网络。

5.3.2.1GSM的安全需求中国移动中国联通5.3.2.1GSM的安全需求GSM网络的构成:5.3.2.1GSM的安全需求GSM系统移动台(MS)基站子系统(BBS)交换子系统(NSS)操作维护子系统(OSS)GSM系统的组成5.3.2.1GSM的安全需求GSM系统结构5.3.2.1GSM的安全需求GSM系统是基于GSM规范制定的。它包括GSM900：900MHz、GSM1800：1800MHz及GSM1900：1900MHz等几个频。除了提供基本的语音和数据通信业务外，它还提供各种增值业务和承载业务。它采用FDMA/TDMA接入方式以及扩频通信技术，从而提高了频率的复用率，同时，也增强了系统的干扰性。GSM主要采用电路交换。它主要提供鉴权和加密功能，在一定程度上确保用户和网络的安全。GSM是第二代数字蜂窝移动通信系统的典型例子，其最主要的安全需求是用户的认证接入（因为涉及通信服务计费的问题）。除了用户认证之外，GSM还需要对无线信道内在的威胁（如窃听）采取措施。这样就需要在空中接口上传送的语音通信和传送信息提供保密性。此外，还需要保护用户的隐私，即隐藏用户的真实身份（标识）。在实际中，GSM安全架构中的一个基本假设就是：用户与宿主网络（HomeNetwork）之间具有长期共享的秘密密钥（存放在SIM卡中），这个秘密密钥是用户认证的基本依据。5.3.2.1GSM的安全需求在GSM中，秘密密钥和其他与用户身份相关的信息存储在一个安全单元中，称为SIM（SubscriberIdentityModule，用户身份识别模块）。SIM以智能卡的形式实现，可以插入手机或者从手机中移除。虽然密钥也可以存储在手机的非易失性存储设备中，用一个口令进行加密，但是将密钥存储在可移除性模块中是一个更好的选择，因为这样允许用户身份在不同的设备之间具有移植性，用户只需要取出SIM卡，便可以更换手机而保持同样的身份。5.3.2.2GSM用户认证

与密钥协商协议1.用户认证GSM中的用户认证基于挑战——应答方式，即认证方（网络运营商）提出问题，被认证方（移动终端）进行回答。移动终端收到一个不可预知的随机数作为一个挑战，为了完成认证，必须计算出一个正确的应答。正确的应答必须通过秘密密钥计算得来，不知道秘密密钥便不能计算出正确的应答。因此，如果网络运营商接收到一个正确的应答，就可认为这是一个合法用户。询问必须保证随机性，否则应答就可以预测或者重放。因为挑战值是不可预测的，所以网络运营商在发送挑战后，一定知道应答是刚刚计算的，而不是重放的以前的应答。用于认证的计算由用户的手机和SIM卡完成，无需手机用户的人工参与。假设用户漫游到一个本地服务区域外的网络，通常称为被访问网络（VisitedNetwork）。5.3.2.2GSM用户认证

与密钥协商协议1.用户认证（3）宿主网络查询对应于IMSI的用户秘密密钥，然后生成一个三元组（RAND，SRES，CK），其中RAND是一个伪随机数（PseudorandomNumber），SRES是此询问的正确应答（SignedRESponse），CK是用于加密的密钥（即加密会话内容的会话密钥，CipherKey），用于加密空中接口（手机和被访问网络基站之间的无线通信接口）中传递的内容。RAND由伪随机数产生器（PseudoRandomNumberGenerator，PRNG）产生。在GSM规范中，SERS和CK为RAND和K分别利用A3算法和A8算法（两种专属算法）计算而来。将三元组（RAND，SRES，CK）发送到被访问网络。用户认证（1）手机从SIM中读取IMSI（InternationalMobileSubscriberIdentity，国际移动用户识别码），并且将其发送给被访问网络。（2）通过IMSI，被访问网络确定此用户的宿主网络，然后凭借骨干网，被访问网络将IMSI转发给用户所在宿主网络。GSM用户认证协议的步骤解释（5）手机将RAND转到SIM，SIM计算并且输出应答SRES'和加密密钥CK'。手机将SRES'发送到被访问网络，然后将其与SERS比较。如果SRES'=SRES，则用户得到认证。用户认证成功后，手机和被访问网络的基站之间的通信用会话密钥CK加密，容易看出，会话密钥CK'=CK。使用的加密算法为序列密码算法，在GSM规范中叫A5算法。（4）被访问网络向手机发送询问RAND。用户认证GSM用户认证协议的步骤解释用户认证GSM用户认证协议的步骤解释GSM认证协议用户认证GSM用户认证协议的步骤解释GSM认证协议2．对用户标识的隐私保护5.3.2.2GSM用户认证

与密钥协商协议2G还提供了对通过认证的用户身份标识IMSI的保护，目的是为了保护用户的位置隐私，方法是隐藏空中接口上的IMSI：用户认证成功后，从被访问网络接收到一个称为TMSI（TemporaryMobileSubscriberIdentity）的临时识别码。TMSI用新生成的密钥CK加密，因而不能被窃听者知道。接下来使用TMSI，而不是IMSI。被访问网络保留TMSI和IMSI间的映射。当用户进入另外一个被访问网络（不妨称为B）时，B联系先前的被访问网络（不妨称为A），将收到的TMSI发送给A。A查询与TMSI关联的数据并且将用户的IMSI和保留的三元组发送给B，从而B可以为用户服务。如果TMSI不再适用（例如手机在漫游到B前曾经长时间关机），B可请求手机发送IMSI，以重新引导TMSI机制。IMSI:TMSI:对用户标识的隐私保护GSM安全协议提供了以下的安全服务：（1）用户认证基于挑战——应答协议以及用户和宿主网络共享的长期秘密密钥。认证数据从宿主网络发送到被访问网络，长期秘密密钥没有泄露给被访问网络。（2）空中接口（无线链路）上通信的保密性由会话密钥加密来保证，此会话密钥建立在用户认证基础上，在手机和被访问网络间共享，并且由宿主网络协助完成。（3）使用临时识别码保护无线接口中的用户真实身份不被窃听识别，即通信中大多数时间不使用真实的身份识别码，窃听者很难追踪用户，从而保护了用户的隐私。对用户标识的隐私保护GSM的技术缺陷一、安全系统内在的弱点二、支持数据业务引入的弱点三、加密算法的弱点一、安全系统内在的弱点GSM的技术缺陷

由于GSM系统只在接入阶段提供安全措施，固定网络中的数据和信令传输并未得到充分的保护。在鉴别中心（AuC）中存在着几乎一个GSM网络入侵者想要得到的全部信息。在本地区域注册（HLR）和访问区域注册（VAR）中也存在着鉴别和加密过程中所使用的信息。如果一个入侵者能得到这些信息，它就可以控制网络的全部工作。

SIM卡易受一种称为“SIM克隆”的攻击，这是一种对用户和系统都很严重的威胁。如果入侵者可以得到用户的SIM卡并获得它所存储的关键信息，如用户鉴别密钥（Ki），它就可以再做一个SIM卡来盗用这部电话。GSM的技术缺陷二、支持数据业务引入的弱点GSM系统中不断增加的新业务也带来了新的安全问题。蹲信息业务利润丰厚，也很受用户欢迎。但这项业务并不安全，因为信息在传输时并未加密，易受攻击。幸运的是，目前这一隐患并没有带来太大的问题，而为用户提供Internet接入的通用分组无线业务（GPRS）中，由于使用与Internet中相同的设备和协议，来自Internet的黑客和可接触到手机的人都可以对他发动攻击。GSM的技术缺陷三、加密算法的弱点DavidWagner和IanGold