GPRS與UMTS系統網絡接入安全機制的比較與研究

2019-11-03 09:25:31

字體：大中小

來源：轉載

供稿：網友

萬仁福1,李方偉1,馬劍光2, 陳　宇1
（1. 重慶郵電學院，重慶 400065；
2. 中國聯通江西分公司，江西南昌 330002） 

　　摘　要：詳細介紹了GPRS與UMTS系統的網絡接入安全機制，分析了GPRS系統中存在的安全漏洞及UMTS較GPRS 在網絡接入安全性方面的改善，最后分析了UMTS系統中存在的安全缺陷。

　　關鍵詞：移動通信系統；網絡接入安全; 認證; 密鑰協商; 機密性; 完整性

一、引言

　　無線通信技術的迅速發展使移動通信以及以移動網絡為平臺的應用得到越來越多的重視和推廣。 GPRS是在現有GSM網絡的基礎上，通過增加一些網絡節點給用戶提供分組接入服務，即將到來的UMTS（以下簡稱3G）不僅支持傳統的話音與數據業務，還支持交互式業務，如多媒體業務、電子商務、網上銀行以及互聯網等多種信息服務。對移動用戶和網絡運營商來說，安全依然是其中至關重要的問題。由于移動用戶與通信網之間采用無線通信，易受竊聽和攻擊，因此網絡接入安全機制是移動通信系統安全方案中非常重要的一部分。本文首先詳細介紹了GPRS與3G系統的網絡接入安全機制，接著分析了3G較GPRS系統在網絡接入安全性方面的改善，最后分析了3G系統可能受到的攻擊。

二、GPRS與3G 系統的網絡接入安全機制

　　GPRS和3G提供的安全特征包括用戶身份機密性、認證與密鑰協商和用戶數據與信令數據機密性保護，在3G中還提供信令消息完整性保護。以下對上述幾個方面進行詳細分析。

 1用戶身份機密性

　　用戶身份是重要而又敏感的信息，在通信中必須保證這些信息的機密性。身份保密的目的是保護用戶的隱私，避免IMSI(永久用戶標識)信息的泄漏。

　　在GPRS系統的無線接入鏈路上，為了保護用戶身份的機密性，用臨時邏輯鏈路標識（TLLI）與路由區域標識（RAI）來鑒別用戶，而不是直接用IMSI來鑒別用戶身份。TLLI與IMSI的關系保存在SGSN（服務GPRS支持節點）的數據庫中且只有移動臺（MS）和SGSN知道。

　　在3G中，利用臨時用戶身份標識（TMSI）代替IMSI鑒別用戶身份。臨時用戶身份標識（TMSI）具有本地特征，僅在歸屬區域或用戶注冊的路由區域有效。在此區域外，為避免混淆，還應該附加一個位置區域標識（LAI）或路由區域標識（RAI）。臨時用戶標識與永久用戶標識之間的關系保存在用戶注冊的VLR/SGSN中。

　　為了避免用戶的可追蹤性，不應長期使用同一TMSI來鑒別用戶身份。TMSI的更新是在安全模式建立以后由VLR/SGSN發起，再分配過程如下：

　　（1）VLR/SGSN產生一個新的TMSIn，并將該TMSIn與IMSI的關系存儲在它的數據庫中，然后VLR/SGSN向用戶發送TMSIn及一個新的位置區域標識LAIn；

　　（2）用戶收到之后，保存TMSIn并自動刪除與先前TMSI之間的關聯后，向VLR/SGSN發送應答；

　　（3）VLR/SGSN收到應答后,從數據庫中刪除與舊的TMSIo的關聯，TMSIn用于隨后的身份鑒別過程中。

　　在GPRS或3G中，當用戶無法通過TLLI 或TMSI來鑒別其身份時，可利用IMSI來鑒別自己的身份。此過程主要用于用戶第一次注冊到一個服務網絡或VLR/SGSN無法從TLLI或TMSI中得到IMSI。此時，由VLR/SGSN向用戶發送IMSI請求，用戶的應答是包含IMSI信息的純文本，因此易造成用戶IMSI信息的泄露，違背了用戶身份的保密性。

2. GPRS與3G系統的認證與密鑰協商過程

　　GPRS與3G系統的認證過程由移動臺（MS）、SGSN/VLR和HLR/AUC三方共同完成。認證方為AUC（認證中心）和用戶的SIM卡。GPRS和3G系統的認證與密鑰協商過程分別是基于MS和HLR/AUC之間的共享密鑰Ki和K，認證過程均由SGSN/VLR發起（如圖1所示），具體如下：

　　(1）MSSGSN/VLR MS向SGSN/VLR發出接入請求。

　　(2）SGSN/VLRHLR/AUC SGSN/VLR收到MS的接入請求后，向HLR /AUC發送認證數據請求。

　　(3）HLR/AUCSGSN/VLR 在GPRS中，HLR/AUC 首先產生一個隨機數RAND，然后由Ki和RAND 經A3算法產生簽名響應SRES(AUC)，經A8算法產生加密密鑰Kc, 然后將認證向量triplet { RAND, SRES(AUC), Kc } 通過認證數據響應消息發送到SGSN；而在3G中，HLR/AUC接收到認證數據請求后，生成序列號SQN和隨機數RAND，計算認證向量AV，并把認證向量AV發送給SGSN/VLR。

　　(4）SGSN/VLRMS 在GPRS中，SGSN接收到認證向量triplet后，向MS發出認證請求，并將RAND發送給MS；在3G系統中，SGSN/VLR接收到認證向量AV后，向MS發出認證請求，將RAND及認證令牌AUTN發送給MS。

　　(5）MSSGSN/VLR 在GPRS中，MS利用密鑰Ki和接收到的RAND，經A3算法產生簽名響應SRES(SIM)，經A8算法產生加密密鑰Kc，然后將簽名響應SRES(SIM) 通過認證響應消息發送到SGSN；在3G中, MS接收到認證請求后，首先計算消息認證碼XMAC，并與認證令牌AUTN中的消息認證碼MAC比較，如果不同，則向SGSN/VLR發出拒絕認證消息，并放棄認證過程。同時MS驗證接收到的序列號SQN是否在有效的范圍內，若不在有效的范圍內，MS則向SGSN/VLR發送同步失敗消息，放棄認證過程。當以上驗證通過以后, MS才計算加密密鑰CK，完整性密鑰IK和用戶認證應答RES。并將RES發送給SGSN/VLR。

　　(6）在GPRS系統中，SGSN接收到SRES(SIM)后，與認證向量triplet中的SRES(AUC) 進行比較，相同則認證成功；在3G中，SGSN/VLR接收到來自MS的RES后，將RES與認證向量AV中的期望認證應答XRES進行比較，相同則認證成功，否則認證失敗。

　　其中Ki為128 bit，A3算法的輸出簽名響應SRES為32 bit，A8算法的輸出會話密鑰Kc為64 bit；AV：認證向量，AV= RAND║XRES║CK║IK║AUTN；期望認證應答XRES=f2K(RAND)；加密密鑰CK=f3K(RAND)；完整性密鑰IK= f4K(RAND)；認證令牌AUTN=SQN⊕AK║AMF║MAC；SQN為序列號；匿名密鑰AK=f5K(RAND)；AMF為認證管理域；消息認證碼MAC= f1K(SQN║RAND║AMF)；用戶認證應答RES= f2K(RAND)；f1-f5，為3G安全結構定義的認證與密鑰協商算法，⊕表示異或，║為連接符。

3. GPRS與3G接入鏈路數據機密性保護

　　MS與網絡之間的安全通信模式建立以后，所發送的消息都將受到機密性保護。GPRS與3G分別使用GEA和f8算法對數據進行加解密。GEA算法是保密的，其有效密鑰長度小于64 bit， f8是一個128 bit密鑰對稱加密算法。GEA算法的輸入參數：加密密鑰Kc，長為64 bit；INPUT，長為32 bit；方向位DIRECTION，長為1 bit。f8算法的輸入參數：加密密鑰CK，長為128 bit；加密序列號COUNT-C，長為32 bit；承載標識BEARER，長為5 bit；方向位DIRECTION，長為1 bit；密鑰流長度LENGTH，長為16 bit。

　　用戶數據和信令數據加解密的方法：發端通過GEA 或f8算法產生密鑰流，密鑰流與要發送的明文消息逐比特異或產生密文，完成加密過程；密文傳到收端后，由收端先通過GEA算法或f8算法產生密鑰流，然后與接收到的密文逐比特異或產生明文，完成解密過程。4. 信令消息完整性保護

　　3G不僅提供數據機密性保護，還提供信令數據完整性保護，保證了信令數據在傳輸過程中的完整性。保護流程如圖2所示。

　　其中f9為完整性保護算法；IK為完整性密鑰，長為128bit；COUNT-I為完整性序列號，長為32 bit； FRESH為網絡產生的隨機數，長為32 bit，用于防止重放攻擊；MESSAGE為發送的報文；DIRECTION為方向位，長為1 bit，0表示UE→RNC，1表示RNC→UE。

　　MAC-I為用于信令消息完整性保護的消息認證碼。發送端用圖2所示的方法計算MAC-I，并把它附加在報文后與報文一起發給接收端，接收端收到報文后用發送端同樣的方法計算XMAC-I，并與接收到的MAC-I比較，以驗證信令消息的完整性。

三、3G較GPRS系統在網絡接入安全性方面的改善

　　從以上分析過程中，不難看出3G與GPRS相比，網絡接入安全性在以下幾個方面的得到改善和提高。

1身份認證方面

　　在GPRS系統中，通過比較SRES(SIM)和SRES(AUC)是否相同，實現了網絡對用戶的認證，可以防止非授權用戶使用GPRS的網絡資源，但認證是一個單向身份認證過程（網絡→用戶），只實現了網絡對用戶的認證，用戶對SGSN不進行認證。無法防止假SGSN對用戶的欺騙，讓用戶以為連接到了真正的GPRS 網絡上，這樣可能使用戶的敏感信息被竊聽或無法正常訪問網絡資源。而在3G中，實現了用戶與網絡的相互認證，通過驗證XRES與RES是否相同，實現了VLR/SGSN對MS的認證；通過比較XMAC與MAC是否相同，實現了MS對HLR/AUC的認證。3G的相互認證機制有效地保護了用戶與運營商雙方的利益。

2. 用戶數據與信令數據加密方面

　　加密技術是實現安全通信的核心，為了保證敏感數據不被竊聽，必須對用戶數據和信令數據進行有效加密。現在，對于一段用64 bit密鑰加密的密文，采用強行攻擊（Brute-force）的方法，嘗試所有可能的密鑰，直至取得可理解明文從計算復雜度上講已不再困難。顯然，隨著計算機處理器速度的不斷提高，GPRS的數據加密算法GEA加密密鑰Kc（64 bit）長度太短，無法抵抗窮舉攻擊。而3G的加密算法f8其密鑰K長度為128 bit，在相當長的時間內能有效抗擊這種類型的攻擊。

3. 信令消息完整性保護方面

　　信令是重要而又敏感的數據，必須得到有效保護。GPRS沒有提供信令消息完整性保護機制，無法保證信令數據在傳輸過程中的完整性。3G增加了信令消息完整性保護機制，防止非授權方隨意更改信令數據，這些更改包括篡改、插入、重演或刪除，3G的信令消息完整性保護機制保證了信令數據在傳輸過程中的完整性。

四、3G安全缺陷

　　3G與以往的移動通信系統相比，在安全性方面有了很大的提高，但是3G仍能存在一些安全缺陷，表現在以下幾個方面：

　　（1）未保護到的信令數據

　　用戶真實身份、當前位置及其運動模式是重要而又敏感的信息，在通信中必須保證這些信息的機密性。在3G的認證方案中，使用臨時身份標識（TMSI）來鑒別用戶，提供了一定程度的匿名性。但當用戶第一次注冊到一個服務網絡或無法從TMSI中得到IMSI時，服務器向用戶發送IMSI請求，用戶的應答是包含IMSI信息的純文本，易造成用戶IMSI信息的泄漏，違背了用戶身份的保密性，因此直接通過IMSI鑒別用戶身份的方式應盡量少用。

　　（2）拒絕服務攻擊

　　在安全模式建立過程中，MS通過空中接口以明文方式把安全能力參數發送給RNC，假如攻擊者截獲到此報文，對其篡改后再發給RNC，那么RNC接收到的參數與儲存在其數據庫中UE的服務能力參數將會不同，RNC終止接入程序，這可能導致合法用戶不能正常訪問服務網絡，但用戶身份的匿名性能抗擊針對某一特定用戶的拒絕服務攻擊。

　　（3）未提供用戶數據完整性保護

　　3G的完整性保護機制只用在UE和RNC之間信令數據傳輸中，沒有提供用戶數據的完整性保護。當然，用戶數據沒有得到完整性保護并不表明完全不能抵抗攻擊者的惡意篡改，差錯控制機制能夠檢測和糾正數據中的一些更改。另外，經過篡改過的數據中所含信息量會較少，解密后很可能沒有多少有實際意義的信息，此時用戶或應用程序能夠檢測并采取恰當的方式接收這些更改過的報文，因此對于話音和一般的數據業務，影響不是很大，但對于開展網上銀行、網上證券這些新業務，僅通過差錯控制機制和加解密提供低等極的完整性保護是不充分的，因此，對于這些要求高安全性的業務，應提供端到端的完整性保護功能。

　　（4）Iu和Iur接口上傳輸的數據缺乏保護措施

　　VLR/SGSN和RNC之間的接口稱為Iu接口，RNC之間的接口稱為Iur接口。在3G中，在Iu接口上以明文方式傳輸保密參數（如完整性密鑰IK），如果RNC控制多個Node B且和VLR/SGSN設置在同一地點時, 容易實現Iu接口上數據傳輸的安全性, 但當VLR/SGSN負責多個分布在不同地點的RNC時，保證Iu接口數據傳輸的安全性是一項富有挑戰性的工作。另外，用戶越區切換時，密鑰在Iur接口上也是以明文方式傳給新的RNC。一旦攻擊者通過Iu接口和Iur接口獲得密鑰，用戶隨后的通信將沒有安全性而言。因此應根據已經形成的接入網安全規范，充分認識接入網、服務網和核心網之間的交互關系，設計一個完整的安全架構，不僅形成一個網絡域（接入網、服務網和核心網）實體之間的安全信息交互，而且實現整個網絡范圍內不同用戶之間的安全業務通信，這個工作還有待于進一步研究。

五、總結

　　3G是在全球范圍內覆蓋與使用的通信網絡系統，它是在GSM與GPRS的基礎上發展起來的，繼承了GPRS網絡中有效的安全特征，如采用身份認證和用戶數據和信令數據的加密等，并在身份認證、用戶數據與信令數據加密和信令消息完整性保護方面克服和改進其不足之處，因此，3G較GPRS在網絡接入安全性方面有很大的提高，但3G仍能存在一些安全漏洞，在未來實用3G系統研究與設計中，應考慮這些可能的攻擊并加以克服，使用戶享受更加安全的通信服務。

參考文獻

［1］Geir M Kien. Overview of UMTS security ［J］.Telektronikk 1-2002:102～107

［2］Geir M Kien. UMTS Network Domain Security ［J］.Telektronikk 1-2002:164～171

［3］ETSI TS101.106， Digital cellular telecommunications system (Phase 2+): GPRS ciphering algorithm requirements ［S］.

［4］ETSI GSM 03.60，Digital cellular telecommunications system (Phase 2+): Service description ［S］.

［5］3GPP TS33.102，3G Security: Security Architecture ［S］.

［6］3GPP TS35.201，Specification of the 3GPP Confidentiality and Integrity Algorithms; Document 1: f8 and f9 Specification ［S］.

摘自　電訊技術

上一篇：移動通信的未來發展趨勢討論

下一篇：改變無線通信前進的方式