GSM、WCDMA及LTE鑒權機制的比較與分析

嚴麗云陳久雨:GSM、WCDMA及LTE鑒權機制的比較與分析嚴麗云南京郵電大學研究生，通信與信息工程專業(yè)，研究方向：網(wǎng)絡與應用技術。陳久雨中國電信股份有限公司廣東研究院移動通信技術部。引言本文研究內(nèi)容主要是幾大網(wǎng)絡的安全機制。這項研究是頗具現(xiàn)實意義的，因為一個網(wǎng)絡的安全性直接關系到用戶和網(wǎng)絡運營商本身的利益。保證合法的用戶獲取服務和網(wǎng)絡正常的運營，保證用戶的信息完整、可靠的傳輸，實現(xiàn)保密通信，要求有一套縝密的安全機制，這是對網(wǎng)絡和服務的更高層次的要求，也是現(xiàn)如今頗受關注的話題。本文主要研究內(nèi)容是WCDMA、LTE的安全機制，為了更好地了解WCDMA的安全機制必須溯源到GSM的鑒權機制，從對比和演進的角度來看待這三種網(wǎng)絡的安全機制的特點。最后，本文展望了未來移動通信中的安全機制，并提出建議。1GSM概述GSM系統(tǒng)一個顯著的優(yōu)點就是它在安全性方面比模擬系統(tǒng)有了顯著的改進，它主要是在以下部分加強了保護：在接入網(wǎng)絡方面通過AUC鑒權中心采取了對客戶鑒權；在無線路徑上采取了對通信信息的保密；對移動設備通過EIR設備識別中心采用了設備識別；對客戶身份識別碼IMSI用臨時識別碼TMSI保護；SIM卡用PIN碼保護。2GSM鑒權運營者開始使用安全功能之前，移動用戶已經(jīng)在鑒權中心被創(chuàng)建。同樣的數(shù)據(jù)也存在移動用戶的SIM卡中。以下是創(chuàng)建用戶所需要的信息：用戶的IMSI、用戶的Ki、使用的算法版本。GSM的鑒權是網(wǎng)絡要確定用戶的合法性，即確認用戶方Ki和網(wǎng)絡方Ki是相等。鑒權流程圖(如圖1)及說明如下：在呼叫建立的初始間斷、位置更新、補充業(yè)務相關的請求時需要進行鑒權，移動臺發(fā)起這類請求給MSC/VLR；MSC/VLR向HLR/AUC請求鑒權參數(shù)，及鑒權三元組；HLR/AUC根據(jù)隨機數(shù)發(fā)生器產(chǎn)生的RAND與KI通過A3單向算法計算得出SRES(i)；根據(jù)RAND與KI通過A8算法計算出Kc；將計算出的鑒權三元組(SRES(i)、RAND以及Kc(i))包含在鑒權相應中傳遞給

MSC/AUC;所謂單向算法即不可能將運算結果或此隨機數(shù)再化為原來的KI,即使SRES在空口被截獲了也是無法恢復出KI,從而保證了KI的安全性;MSC/VLR保存鑒權三元組，將接收的RAND（i）包含在用戶鑒權請求中通過基站傳遞給移動臺；移動臺根據(jù)接收到的RAND（i）以及自身保存的KI通過A3算法計算得出RES（i），通過A8算法計算出Kc（i）；將RES（i）包含在用戶鑒權響應中傳遞給MSC/VLR；MSC/VLR比較SRES（i）與RES（i）是否相等，若相等則此次鑒權成功，若不相等則鑒權失敗，網(wǎng)絡會拒絕MS的接入，如圖1。WINmifiranKHSCi)-SKFi5t.i)?Hitt?KiHzRAXDti)it-VKr-fOFTtJVAu匚ItrQlWINmifiranKHSCi)-SKFi5t.i)?Hitt?KiHzRAXDti)it-VKr-fOFTtJVAu匚ItrQlFSTlIMSIWTM^IJ3WCDMA與GSM安全機制比較從上文對GSM的安全機制介紹后，可以發(fā)現(xiàn)GSM安全機制存在一些安全漏洞，主要分為以下幾點：首先，認證是單向的，只有網(wǎng)絡對用戶的認證，而沒有用戶對網(wǎng)絡的認證，因此存在安全漏洞。非法的設備（如基站）可以偽裝成合法的網(wǎng)絡成員，從而欺騙用戶，竊取用戶信息。其次，移動臺和網(wǎng)絡間的大多數(shù)信令信息是非常敏感的，需要得到完整性保護。而在GSM網(wǎng)絡中，沒有考慮數(shù)據(jù)完整性保護的問題，如果數(shù)據(jù)在傳輸?shù)倪^程中被篡改也難以發(fā)現(xiàn)。再次，加密不是端到端的，只在無線信道部分加密（即在MS和BTS之間），在固定網(wǎng)中沒有加密（采用明文傳輸），給攻擊者提供了機會。除此之外，隨著計算機硬件速度不斷提升，解密方法不斷發(fā)展，GSM的加密算法和密鑰的缺陷也給他帶來通信安全隱患，如密鑰太短，只有64bit，加密算法不公開且較為固定不變，無法協(xié)商加密算法等。隨著3G時代的到來,2G網(wǎng)絡的安全機制已經(jīng)不能適應網(wǎng)絡的安全需求了。針對GSM的安全漏洞，UTMS的安全機制就相對完善,WCDMA為例。WCDMA以五元組鑒權：RAND、期望響應（XRES）、加密密鑰（CK）、完整性密鑰（IK）、鑒權令牌（AUTN）。增加了用于完整性保護的密鑰（IK）和用于用戶驗證網(wǎng)絡的鑒權令牌（AUTN）。并且WCDMA的加密部分延長到了RNC狽0。密鑰長度也由原來2G時的64位加長至128位。4WCDMA鑒權流程AUTN:=SQN^AK\\AMF\MACAVRAND||XRES\\CK\-.fK\(AUTN圖緲CDPAA回圖網(wǎng)絡側在發(fā)起鑒權前，如果VLR內(nèi)還沒有鑒權參數(shù)五元組，此時將首先發(fā)起到HLR取鑒權集的過程，并等待鑒權參數(shù)五元組的返回。鑒權流程圖如下：（1）鑒權中心AuC為每個用戶生成基于序列號的鑒權向量組（RAND、XRES、CK、IK、AUTN），并且按照序列號排序。算法如圖2。（2）當鑒權中心HE/AUC收到VLR/SGSN的鑒權請求（authenticationdatarequest）后，發(fā)送鑒權響應（authenticationdataresponse）其中包含n個鑒權向量組給VLR/SGSN。每個用戶的n個認證向量組，按照“先入先出”（FIF0）的規(guī)則發(fā)送給移動臺，用于鑒權認證。（3）VLR/SGSN初始化的一個鑒權過程為選擇一個鑒權向量組，發(fā)送其中的RAND及AUTN給用戶。用戶收到RAND||AUTN后，在USIM側進行鑒權處理，驗證AUTN。這個步驟就是在進行用戶對網(wǎng)絡的鑒權，見圖3、4,步驟如下:JIAKid：t：di圖3AL■匚鑒取句至計算甲曲盤苗II.?I,SMACOkJIAKid：t：di圖3AL■匚鑒取句至計算甲曲盤苗II.?I,SMACOkIKHLRiAJGVLW5G5NALTNMACrSflftSAiCAMFtiQNJ.L->.M.V：：障哥Ff弭甲捷晉捍重?聲用內(nèi)囲4USIM鑒嘆首先計算AK,并從AUTN中將序列號恢復出來；USIM計算出XMAC，將它與AUTN中的MAC值進行比較。如果不同，用戶發(fā)送一個“用戶認證拒絕”信息給VLR/SGSN，放棄該鑒權過程。在這種情況下，VLR/SGSN向HLR發(fā)起一個“鑒權失敗報告”過程，原因值為MACFailure。32同時，用戶還要驗證接收到的序列號SQN是否在有效的范圍內(nèi)，若不在，MS向VLR發(fā)送“Synchfailure”。如果XMAC和SQN的驗證都通過，至此，用戶完成了對網(wǎng)絡的鑒權，此所謂雙向就愛你全，那么USIM計算出RES（用戶響應），發(fā)送給VLR/SGSN，比較RES是否等于XRES，如果相等，網(wǎng)絡就認證了用戶的身份。最后，用戶計算出CK和IK。其中CK用于加密，IK用于完整性保護。鑒權失?。ㄊ≡驗椤癕ACFailure”）處理：此時，網(wǎng)絡側將根據(jù)手機終端上報的用戶標識來決定是否發(fā)起識別過程。如果當前的標識為TMSI（或P-TMSI），則發(fā)起識別流程，要求手機終端上報IMSI信息。然后再次發(fā)起鑒權流程。鑒權失敗（失敗原因為"Synchfailure”）處理：如果USIM認為SQN不在范圍內(nèi)，返回Synchronisa-tionfailure消息，包含AUTS參數(shù)。HLR/AUC接到請求后，完成以下操作：HLR/AUC驗證AUTS，若證明合法，則HLR/AUC將SQNHE計數(shù)器值重置為與SQNMS相同。（其中）HLR/AUC發(fā)送鑒權數(shù)據(jù)響應并附帶一些新的鑒權五元組給VLR/SGSN。VLR/SGSN收到HLR/AUC送來的“同步失敗標識”的鑒權數(shù)據(jù)響應后，本地的舊鑒權消息刪除，MS將根據(jù)這些新的鑒權參數(shù)進行鑒權。見圖5。WUSIjM「Vi.R■曲曲|jH.L■陽譏花RAND-AL4■?—■5LTE、3G安全機制比較相比，網(wǎng)絡架構上進行了簡化，采用單LTE3GeNB層結構，省去，從而簡化網(wǎng)絡和減少時延，實現(xiàn)了低RNC時延，低復雜度和低成本的要求。相比的安全機制也有3G很大的不同。首先我們先了解網(wǎng)絡存在的安全隱患：3G）認證實現(xiàn)了對的認證，但沒有實現(xiàn)13GMSHLRMS對的認證。因此攻擊者可以截獲合法的進行攻VLRIMSI擊?？梢悦俺銶S入網(wǎng)。（2）沒有考慮網(wǎng)絡端的認證和保密通信，攻擊者可以通過截取VLR與HLR之間的信息獲得AV從而獲得CK和IK°（3）由于用戶在不同的PLMN之間漫游，不同PLMN可以是不同國家的不同網(wǎng)絡，當本地HE/HLR把AV發(fā)送到漫游網(wǎng)絡的VLR/SGSN過程中，穿過不同網(wǎng)絡，很容易被截獲。（4）3G加密算法和密鑰是通過協(xié)商的，需有一種安全方法讓用戶和網(wǎng)絡之間對此進行協(xié)商?？傊?，3G的安全性是建立在網(wǎng)絡足夠可信的基礎上的。唯一的用戶表示IMSI也暴露給網(wǎng)絡，缺乏對網(wǎng)絡端的驗證。鑒于3G網(wǎng)絡安全機制的漏洞，針對3G只有一層安全保障，LTE分層安全機制這一新思想孕育而生。即LTE將安全在AS（接入層）和NAS信令之間分離，無線鏈路和核心網(wǎng)需要有各自的密鑰，用戶安全終止于eNB，因為eNB處在不被信任的域中。第一層為E-UTRAN中的RRC層安全層和用戶層安全，第二層是EPC中的NAS信令安全，如圖6。HE圖呂HE圖呂LTE泊AE的寶全層6LTE鑒權LTE鑒權是一個基于四元組的鑒權：Kasme、AUTN、RAND以及XRES，見圖7。（1）UE向NAS層MMS發(fā)起鑒權請求；（2）MME則向HSS索要鑒權向量;(3)HSS返回一套或多套EPS鑒權向量｛RAND,AUTN,XRES,Kasme｝給MME，其中包含AMF分隔符，”1”代表LTE/SAE,”O(jiān)”代表非LTE/SAE,如GSM,UMTS；(4)MME收到后保存XRES、Kasme并將隨機數(shù)RAND和鑒權令牌AUTN發(fā)送給UE；(5)UE通過AUTN對網(wǎng)絡進行鑒權，并根據(jù)AUTN&RAND計算出RES&CK/IK，進一步計算出Kasme；(6)UE與MME根據(jù)Kasme推導出NAS層與AS層所需的加密密鑰和完整性保護密鑰。當UE從ACTIVE到IDLE態(tài)時，將刪除這些密鑰；兼容性UMTSAKA是可信的認證協(xié)議，在SAE/LTE中重用UMTS中的認證和密鑰協(xié)商的信令流程，并生成用于派生用戶層和控制層密鑰CK/IK。非3GPP接入的AKA應用使用基于USIM的EAPAKA。允許R99USIM接入LTE,但不允許2GSIM接入LTE。2G安全不夠充分。做一個假設：當UE在GSM中認證并后續(xù)執(zhí)行切換到UMTS時，64位加密密鑰KC被轉換成128位的將加密密鑰CK和完整性保護密鑰IK。這個操作沒有增加CK和IK的熵，如果允許在GSM和LTE之間直接切換，如果攻擊者破解GSM加密并獲得Kc,當UE移動到LTE后，攻擊者將能破譯LTE中的流量。總結和展望第三代移動通信系統(tǒng)較第二代移動通信系統(tǒng)在安全方面有了較大的改善，但是它仍然存在著一些不足，其中沒有對網(wǎng)絡進行鑒權是第三代移動通信系統(tǒng)主要漏洞，由此引發(fā)了一系列的安全隱患。針對此不足，第四代移動通信LTE系統(tǒng)進行了改進，引進了雙層加密體制，大大加強了其網(wǎng)絡的安全性。但LTE的安全機制也不是完美的，它主要存在的安全威脅有：UE面臨的安全威脅、強制切換以及對eNB的攻擊。隨著三網(wǎng)融合的步伐走近，運營商不斷推出雙?；蚨嗄５慕K端，以適應不同網(wǎng)絡的接入，針對不同業(yè)務會定義不同的鑒權系統(tǒng)，這不僅造成使用者的不便，勢必加重了系統(tǒng)的復雜性，所以未來的鑒權應該朝著獨立化、智能化和透明化方向發(fā)展，未來的安全中心應能獨立于系統(tǒng)設備，具有開放的接口，能獨立地完成雙向鑒權、端到端數(shù)據(jù)加密等安全功能，甚至對網(wǎng)絡內(nèi)部人員也是透明的，以便實現(xiàn)不同的接入網(wǎng)在一個平臺為用戶提供多種增值業(yè)務。此外，未來的加密技術應采用公式密碼體制增加密鑰安全性，并應該采用加密新技術，增加加密的安全性。鑒權中心的數(shù)據(jù)庫應該朝著分布式的方向發(fā)展，增加備份，提高容災能力。隨著運營者和用戶對網(wǎng)絡和業(yè)務的安全性要求越來越高，安全機制將不斷地完善。從空間上看需要鑒權的場合將越來越多，網(wǎng)絡能夠防范和保護的范圍將越來越寬，鑒權將是一個幾乎涉及移動通信網(wǎng)絡中所有實體，需要全網(wǎng)配合、共同支持的處理過程，這也加重了網(wǎng)絡實體的處理負擔，并且由于在整個網(wǎng)絡信令消息中，與鑒權有關的消息占據(jù)相當?shù)谋壤?，因而它對公網(wǎng)信令流量的影響也是不容忽視的，這都是鑒權發(fā)展趨勢背后帶來的副面影響，不容忽視。參考文獻1TechnicalSpecification3rdGenerationPartnershipProject;technicalspecificationgroupservicesandsystemaspects;3Gsecurityarchitecture.3GTS33.102version3.4.0release.1999:23-5523GPPTR33.821.Rationaleandtrackofsecuritydecisionsinlongtermevolved(LTE)RAN/3GPP