GSM與IS-41系統安全機制研究與比較

2019-11-03 09:17:52

字體：大中小

來源：轉載

供稿：網友


隋愛芬，王皎

北京郵電大學信息工程學院，北京100876

　　摘　要：GSM和IS－41是第二代移動通信標準的兩類典型系統，這兩類系統的安全都基于私鑰密碼體制，安全協議基于共享秘密，提供匿名服務、認證和保密的安全服務，但實現機制有許多不同，分析了兩類系統的安全特征和安全機制，并進行了較全面的比較，為第三代移動通信奠定了良好的基礎。

　　關鍵詞：GSM；IS－41；認證；密鑰管理；隱秘

　　0　引言

　　移動通信依賴開放的傳輸媒介，除了受到有線網絡安全威脅，尤其容易受到假冒用戶濫用資源和被竊聽無線鏈路通信的威脅。第一代模擬移動通信系統基本沒有考慮安全和認證，網絡欺騙給運營商帶來巨額損失，同時用戶利益受損。第二代數字移動通信系統采取了一系列安全措施，強調對用戶的認證以防止欺騙和網絡誤用，兼顧隱秘問題。根據認證和安全基礎設施，第二代移動通信標準可以分為兩類［1］：一類是GSM；另一類包括多種美國標準。它們具有相同的網絡設施——TIA IS－41，因此在本文中以IS－41統稱這些系統。由于空中傳輸帶寬受限、移動終端處理能力和存儲能力受限，這兩類系統的安全都基于私鑰密碼體制，安全協議基于共享秘密，提供匿名服務、認證和保密，但實現機制卻有許多不同。本文研究了這兩類系統的安全特征和安全機制，并進行了較全面的比較。

　　1　GSM安全分析

　　GSM系統安全需求見ETSI02．09，提供以下安全特征［2］。

　　（1）用戶身份（IMSI）保密：IMSI不被泄漏給未授權的個人、實體或過程。防止入侵者偷聽無線信道信令從而識別出哪個用戶在使用網絡資源，這一特征允許為用戶數據和信令提供更高的保密性，并保護用戶位置不被跟蹤。這要求IMSI、能推導出IMSI 的信息不能以明文形式在空中傳輸。

　　（2）用戶身份認證：保護網絡不被未授權使用，防止入侵者偽裝成合法用戶。

　　（3）用戶數據（語音或非語音）機密性：業務信道上的用戶信息（語音或非語音）不被泄漏給未授權的個人、實體或過程。

　　（4）無連接用戶數據的機密性：以無連接模式在信令信道上傳輸的用戶信息（例如短消息）不被泄漏給未授權的個人、實體或過程。

　　（5）信令信息的機密性：在移動臺和基站之間交換的某些信令信息不被泄漏給未授權的個人、實體或過程，確保與用戶相關的信令單元保密。

　　為提供上述安全服務，GSM采用三種安全機制［3］（見圖1）：匿名（用臨時用戶身份標識用戶）、認證和加密。采用三種算法：A3—認證算法、A8—加密密鑰產生算法、A5—加密算法。以獨立于終端硬件設備（SIM卡）做安全模塊，管理用戶的所有信息，A3和A8在SIM卡上實現，增強了系統安全性。

　　1．1　密鑰與信任管理

　　每個移動臺MS與歸屬網絡（HN）有簽約關系。初始化時，HN給用戶分配一個惟一的標識符——國際移動用戶標識（IMSI）和認證密鑰Ki。Ki作為主密鑰，用于認證和導出子密鑰。IMSI和認證密鑰Ki保存在用戶SIM和HN的認證中心AC中，SIM被認為是防篡改的。

　　當前為用戶提供服務的網絡稱為服務網絡（SN）。SN和HN有一個雙邊的漫游協議，在這個協議下SN信任HN會為SN提供給MS的服務支付費用。關于MS的信息由SN保存在訪問位置寄存器（VLR）中。前提是HN信任SN能夠安全地處理認證數據。HN和SN之間的通信假定是安全的。

　　1．2　臨時移動用戶標識TMSI

　　為保證用戶身份機密性，網絡用臨時移動用戶標識TMSI替代國際移動用戶標識IMSI，使第三方無法在無線信道上跟蹤GSM用戶。TMSI在GSM03．03中定義，只在某個VLR范圍有意義，必須和LAI（位置區域標識符）一起使用。VLR（訪問位置寄存器）負責管理合適的數據庫來保存TMSI和IMSI之間的對應關系。

　　1．3　認證

　　認證發生在網絡知道用戶身份（TMSI／IMSI）之后、信道加密之前。認證過程也用于設置加密密鑰。當移動臺（MS）要呼叫或者位置更新時，需要網絡方認證。認證時，①認證中心根據用戶的IMSI找到用戶的密鑰Ki，然后產生認證向量三元組：triple（RAND，SRES，Kc），發送到MSC／VLR；②MSC／VLR將其中的RAND發送給MS，MS中的SIM卡根據收到的RAND和存儲在卡中的Ki，利用A3和A8算法分別計算出用于認證的響應SRES和加密密鑰（Kc），并將SRES回送到MSC／VLR中；③在MSC／VLR里，比較來自MS的SRES和來自認證中心的RES，若不同，則認證失敗，拒絕用戶接入網絡；若相同，則認證成功，用戶可以訪問網絡，并且在后面的通信過程中，用戶和基站之間無線鏈路的通信用加密密鑰Kc和A5算法進行加密。

　　當TMSI認證失敗或舊的VLR不可達時，網絡請求MS發送IMSI，利用IMSI重復認證步驟。這時IMSI以明文形式在空中傳輸，這是系統的一個安全漏洞。 A3和A8算法由運營商自行確定，規范中只規定了輸入和輸出格式，Ki：128比特；RAND：128比特；SRES：32比特。

　　1．4　保密

　　保密通過數據流和密鑰流進行逐比特相加來獲得，被保護數據包括信令消息、業務信道上的用戶數據、信令信道上無連接的用戶數據，采用OSI第1層的加密功能實現，這一機制涉及4種網絡功能：加密方法協商、密鑰設置、加／解密過程的開始、加／解密的同步。加密算法采用流密碼A5，待加密數據和A5的輸出逐比特異或。A5算法對所有移動臺和GSM網絡是相同的（必須支持漫游），其外部接口規范在文獻［3］定義，內部規范由GSM／MoU負責管理。輸入參數：幀號（22比特）和Kc（64比特）；輸出參數：BLOCK1（114比特）和BLOCK2（114比特），分別用于加／解密。

　　2　IS－41安全分析

　　IS－41系統空中接口有兩類：TDMA或CDMA。其中CDMA無線鏈路采用PN碼（偽隨機碼）對信號進行擴頻，使得信號很難被攔截和竊聽。除這一物理安全措施外，IS－41規定了一系列安全機制［4，5］。IS－41的認證和加密機制如圖2所示，其安全協議依賴于一個64比特認證密鑰（A－Key）和終端的電子序列號（ESN），提供的安全特征與GSM類似。

　　①匿名性。系統為終端分配臨時移動臺標識（TMSI），采取的機制與GSM類似，下文不再分析這一機制；②認證。網絡對用戶的單向認證；③語音保密；④用戶數據保密；⑤信令保密。采用了4種安全算法：①CAVE，用于質詢／應答（challenge／response）認證協議和密鑰生成；②專用長碼掩碼PLCM控制擴頻序列，然后擴頻序列與語音數據異或實現語音保密；③ORYX，是基于LSFR的流密碼，用于無線用戶數據加密服務；④E－CMEA（enhanced cellular message encryption algorithm：增強的蜂窩消息加密算法），是CMEA算法的增強版，是一個分組密碼，用于加密控制信道。

　　2．1　密鑰和信任管理

　　每個MS都與歸屬網絡HN有簽約關系。在初始化時，HN給用戶分配一個移動身份號／電子序列號（MIN／ESN）和密鑰A－key。SN和HN有1個雙邊的漫游協議，在這個協議下，SN信任HN會為SN提供給MS的服務支付費用。關于MS的信息由SN保存在訪問位置寄存器（VLR）中。假設HN信任SN能夠安全地處理認證數據，HN和SN之間的通信是安全的。

　　系統安全參數主要是電子序列號ESN、A Key和共享秘密數據SSD。其中，ESN是一個32位的二進制數，是移動臺的惟一標識，必須由廠家設定。

　　A Key作為主密鑰，不直接參與認證和保密，而是用于產生子密鑰，而子密鑰用于語音、信令及用戶數據的保密，這是IS－41同GSM相比的一個優點。AKey長64比特，分配給移動臺，存儲在移動臺永久性安全標識存儲器中，僅對移動臺和歸屬位置寄存器／認證中心（HLR／AC）是可知的，且不在空中傳輸。

　　SSD長度為128比特，存儲在移動臺中，且對基站而言是可用的，它分為2個不同子集：SSD－A和SSD－B，64比特的SSD－A用于支持認證過程；64比特的SSD－B用于支持話音、信令和數據加密。

　　2．2　認證

　　一個成功的認證需要移動臺和基站處理一組完全相同的共享秘密數據（SSD）。文獻［4］中定義了兩種主要的認證過程：全局質詢／應答認證和惟一質詢／應答認證。全局認證包括注冊認證、發起呼叫認證、尋呼響應認證；惟一認證由基站在下列情況下發起：注冊認證失敗、發起呼叫認證失敗、尋呼響應認證失敗以及信道分配后的任何時候。

　　2．3　保密機制

　　CDMA系統中話音保密是通過采用專用長碼掩碼（PLCM：PRivate long code mask）進行PN擴頻實現的，終端利用SSD－B和CAVE算法產生專用長碼掩碼、64比特的CMEA密鑰和32比特的數據加密密鑰。終端和網絡利用專用長碼掩碼來改變PN碼的特征，改變后的PN碼用于語音置亂（與語音數據作異或運算），這樣進一步增強了空中接口的保密性。

　　終端和網絡利用CMEA密鑰和CMEA算法來加／解密空中接口的信令消息。CMEA是一個對稱密碼，類似DES（數字加密標準）。采用64比特密鑰，但由于算法本身的弱點，實際有效密鑰長度只有24或32比特，1997年被攻破。

　　ORYX是基于LSFR的流密碼，用于用戶數據加密。ORYX也被證明是不安全的。

　　3　兩種系統的安全比較

　　從上述安全特征和安全機制的分析可以看出，由于終端處理能力受限，無線帶寬受限，GSM和IS－41的安全機制都基于私鑰密碼技術；都具有一個主密鑰；都提供匿名性、認證和保密服務；所有算法秘密設計，沒有經過公開的安全論證就投入使用。兩種系統的安全特征和機制的比較見表1。

　　（1）主密鑰的使用。GSM系統中，主密鑰Ki直接用于產生認證簽名。IS－41系統中，主密鑰AKey并不直接用于認證，而是由它生成中間密鑰SSD，再由SSD產生認證簽名和子密鑰，這是IS－41的一個優點。

　　（2）認證方式。兩種系統的認證都是基于共享秘密的質詢／應答方式，只提供網絡對用戶的單向認證。因此容易受到偽裝基站攻擊和中間人攻擊。

　　（3）保密算法。GSM系統中，所有加密采用A5算法（1998年被攻破）。而IS－41的保密機制復雜得多，采用ORYX算法實現數據加密（1998年被攻破），CMEA實現信令加密（1997年被攻破），專用長碼掩碼改變PN序列與語音異或實現語音保密（1992年被攻破），但加密只限于無線接口，沒有延伸到核心網。

　　（4）其他安全機制。GSM系統中，采用獨立的SIM卡存儲用戶身份和主密鑰，認證算法在SIM中執行。IS－41系統沒有采用用戶身份卡，安全參數和算法存儲在終端，3GPP2關于CDMA2000的規范中作了改進，引入了UIM卡。

　　總的來看，第二代移動通信系統的安全更多的是從運營商的角度來設計的，從用戶角度看，大量應該保密的數據（IMSI，IMEI，主叫號碼、被叫號碼、位置信息等）被存儲在網絡數據庫中，用于支持認證、移動性和計費，并在網絡中傳輸，這些數據可能被誤用（改動計費、跟蹤用戶等），從而危害用戶隱私。而且用戶只能依賴網絡運營商來選擇網絡運營的參數（TMSI和認證參數等），這種依賴性違背了多邊安全原則［6］，潛在地危害了用戶的隱私。第三代移動系統在這方面有很大改進。

　　參考文獻

　　［1］　ROSEGreg．Authentication and security inmobile phones［EB／OL］．http：／／www．qualcomm．com．au／PublicationsDocs／AUUG99AuthSec．pdf，1999．

　　［2］　GSM 02．09－2001，Security aspects．version8．0．1，Release 1998，Phase 2＋［S］．

　　［3］　GSM 03．20－2001，Security related networkfunctions．Version 9．0．0，Phase 2＋［S］．

　　［4］　TIA IS－41C－1995．Telecommunications Industry Association［S］．

　　［5］　WINGERT C，NAIDU M．CDMA2000 1xRTT security：Overview［EB／OL］．http：／／www．qualcomm．com／enterprise／pdf／CDMA2000 1xRTT＿security．pdf，2002．

　　［6］　RANNENBERG K．Recent development ininformation technology security evaluation—The need for evaluation criteria formultilateralsecurity［A］．Proceedings of theIFIPTC9／WG9．6 Working Conference［C］．1993，113－128．

　　
摘自《重慶郵電學院學報》

上一篇：DSP系統的動態加載技術

下一篇：Super G 108M突破WLAN極速