2024年1月21日发(作者:皇甫希慕)
一、 GSM中,A3、A5、A8算法的原理是什么?
1、A3 Algorithm(A3 算法)
A3 算法(A3 Algorithm)是用于对全球移动通讯系统(GSM)蜂窝通信进行加密的一种算法。实际上,A3 和 A8 算法通常被同时执行(也叫做 A3/A8)。一个 A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中执行。它被用于鉴别用户和产生加密语音和数据通信的密钥,正如在 3GPP TS 43.020(Rel-4 前的 03.20)定义的一样。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM 网络操作者的事情。
A3/A8
A3/A8 是指两个算法,A3 和 A8,是用于对全球移动通信系统(GSM)蜂窝通信进行加密的算法。因为 A3 和 A8 算法通常同时执行,因此,它们通常被叫做 A3/A8,一个
A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中被执行。正如在 3GPP TS
43.020(Rel-4 前的 03.20)中定义的一样,它通常用于认证这个用户和产生一个加密语音和数据通信的密码。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM
网络操作者的事情。
A5 Algorithm(A5 算法)
A5 算法(A5 Algorithm)被用于加密全球移动通信系统(GSM)蜂窝通信。一个 A5 加密算法在电话听筒和基站之间搅乱用户语音和数据传输来提供私密。一个 A5 算法被在电话听筒和基站子系统(BSS)两者中执行。
A8 Algorithm(A8 算法)
A8 算法(A8 Algorithm)通常被用于全球信息系统(GSM) 蜂窝通信的加密。在实践中,A3 和A8 算法,也叫做 A3/A8,一般被同时执行。一个 A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中被执行。它通常用于认证这个用户和产生一个加密语音和数据通信的密钥,正如在 3GPP TS 43.020(Rel-4 前的 03.20)中定义的一样。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM 网络操作者的事情。
1. 鉴别和密钥生成算法(A3/A8)
GSM中的A3和A8算法都是基於密钥的单向碰撞函数。它们通常合在一起,统称为COMP128。COMP128算法目前被几乎世界上所有GSM系统所采用,用在鉴别过程中,存储在SIM卡和AuC中。
A3的输入是GSM网络发给移动电话的一个128比特的随机数呼叫和单个用户鉴别密钥(Ki),输出为一个32比特的标示响应。这个标示响应发回到网络,与网络自己生成的结果进行比较。如果二者相符,用户便得到了鉴别。A8的输入也是随机数和Ki,输出为一个64比特的加密密钥(Kc)。
2. 加密算法(A5)
GSM系统中的移动电话和基站之间的信令和数据通过加密算法A5使用从A8中得到的加密密钥(Kc)进行加密和解密。
当前有三种A5算法在使用中。A5/1被认为是这三种中性能最好的加密算法,被应用在西方国家。A5/2比A5/1在性能上差很多,被用在由于出口限制而禁用A5/1的地区。A5/0虽然也是A5的一种,但实际并不对数据进行加密。
在A5/1和A5/2算法中,GSM网络向移动电话发送一个加密模式请求命令,使其开始加
密数据。移动电话从SIM卡中得到在鉴别过程中由A8生成的Kc,用它对数据进行加密和解密。
GSM 的加密系统里面大致涉及三种算法,A3,A5,A8,这些并不特定指代什么算法,只是给出算法的输入和输出规范,以及对算法的要求,GSM 对于每种算法各有一个范例实现,理论上并没有限制大家使用哪种算法。但是世界上的设备商和运营商都是很懒得沟通的,看到既然有了范例实现,就都拿来用了, 于是全世界的 SIM 卡被XX了都一样拷法。
说到这里就不能不简单介绍一下 SIM 卡, SIM 卡是一种智能卡片,里面有个非常简单的 CPU 和一点 NVRAM,可以存储和读出数据,还可以进行一些运算。卡里面有很多内容,不过我只介绍和加密相关的。每张 SIM 卡里面一般都存着一个全球唯一的标志号,叫做 IMSI,这个是用来唯一标识你 SIM
卡的,手机在开机时候会从卡里面读出这个号发给移动网络,移动那里有一个很大的数据库,描述了 IMSI 和手机号的对应关系,于是网络就知道你的手机号是多少了(如果你手机卡丢了去补,新补来的卡 IMSI 和原有的不同,而移动数据库那里将你原来的手机号指向新的 IMSI,旧的卡就再也不能用了)除了 IMSI ,还有 16 个字节的密钥数据,这个数据是无法通过 SIM 卡的接口读出的,通常称为 Ki, Ki 在移动网络那边也保存了一份。
在手机登录移动 网络的时候,移动网络会产生一个 16 字节的随机数据(通常称为 RAND)发给手机,手机将这个数据发给 SIM 卡, SIM 卡用自己的密钥 Ki 和 RAND 做运算以后,生成一个 4 字节的应答(SRES)发回给手机,并转发给移动网络,与此同时,移动网络也进行了相同算法的运算,移动网络会比较一下这两个结果是否相同,相同就表明这 个卡是我发出来的,允许其登录。这个验证算法在 GSM 规范里面叫做 A3,m = 128 bit, k = 128
bit, c=32 bit,很显然,这个算法要求已知 m 和 k 可以很简单的算出 c ,但是已知 m 和 c 却很难算出 k 。A3 算法是做在 SIM 卡里面的,因此如果运营商想更换加密算法,他只要发行自己的 SIM 卡,让自己的基站和 SIM
卡都使用相同的算法就可以了,手机完全不用换。
在 移动网络发送 RAND 过来的时候,手机还会让 SIM 卡对 RAND 和 Ki 计算出另一个密钥以供全程通信加密使用,这个密钥的长度是 64 bits, 通常叫做 Kc, 生成 Kc 的算法是 A8 ,因为 A3 和 A8 接受的输入完全相同,所以实现者偷了个懒,用一个算法同时生成 SRES 和 Kc 。
在 通信过程中的加密就是用 Kc 了,这个算法叫做 A5 ,因为 A5 的加密量很巨大,而且 SIM 卡的速度很慢,因此所有通信过程中的加密都是在手机上面完成的,这样一来,除非天下所有 GSM 手机都至少支持一种相同的
A5 算法,否则就没法漫游了,这时候运营商和设备商的懒惰又体现出来了,全世界目前只有一种通用的 A5 算法,没有其他的,这个算法就是和 Kc 的
8 字节序列进行简单的循环 XOR,再和报文序号做个减法。
二、 GSM中开卡的过程是怎样的?
Ki生成及写入SIM过程:
Ki由运营商选择一种高级算法DES,以用户IMSI和母密钥Kki计算Ki=DES(IMSI,Kki);
Ki写在SIM卡中,同时也要传送AUC;在GSM中,先将Ki利用安全算法DES和加密密钥Kdes对Ki进行加密(写卡过程)密文传送给AUC/HLR,然后用Kdes解密,得到Ki(运营商开卡)保护Ki的关键在于运营商保护密钥Kdes
三、 SIM卡自我保护措施是哪些
PIN个人身份号码:用户利用手机进行设置,连续输入三次错误,PIN即被锁,如果PIN被锁,则无法进行通讯(4-8位数字);
PUK个人解锁钥:PIN被锁后需要输入PUK码来解锁,连续10次输入错误PUK码,SIM卡报废(0-9位数字);
四、 GSM用户身份保密是怎样实现的?
用户有可能会在无线信道上发送IMSI,这样很容易被人为截取。为了减少IMSI在无线信道上的传输,GSM系统采用临时用户身份TMSI。在VLR处存 储TMSI和IMSI之间的对应关系。这样一般来说,只有在用户开机或者VLR数据丢失的时候IMSI才被发送,平时仅在无线信道上发送移动用户相应的
TMSI。
在用户鉴权的过程中,用户信息要通过核心网络和空中接口进行数据交换,因而存在极大的安全隐患,各个厂家都会采用一些特有的技术进行安全防护。
五、GSM鉴权(身份识别)是怎么实现的?
GSM鉴权过程主要涉及到AUC、HLR、MSC/VLR、MS和SIM卡,他们均各自存储着用户有关的信息或参数。当MS发出入网请求时,MSC/VLR就向MS发送RAND,SIM卡使用该RAND以及与AUC内相同的鉴权密钥Ki和鉴权算法A3,计算出符号相应SRES,然后把SRES会送给MSC/VLR,验证用户的其合法性。
鉴权密钥Ki是运营商的机密数据。鉴权密钥Ki只会在AUC和SIM卡中保存,别的网元无法获得。用户鉴权实际上就是检查用户是否拥有Ki鉴权密钥的。所以一旦用户的Ki泄密,用户就有被盗打的风险。
AUC存储HLR中所有用户的鉴权密钥Ki根据A3和A8算法生成用户的鉴权三元组RAND/Kc/SRESAUCHLRMSC/VLRMSSIM卡存储用户的密钥Ki,A3、A8算法临时存储用户的鉴权三元组,并根据VLR的请求,把鉴权三元组发送给VLR存储所有访问用户的鉴权三元组接入请求RANDKi算法A3SRESAUC=?SRESMS不相等相等鉴权失败鉴权成功
图 1 GSM鉴权网元功能图
算法A8KcSRESMS六、GSM加密是怎么实现的?
加密----在BS和MS之间无线信道上传递的消息加密,以防止第三者窃听。
加密原理:未加密序列 0111
密钥异或运算 1101
加密序列 1010
解密 1101
原消息 0111
加密过程:
1)Kc、RAND、SRES一起送往MSC/VLR。
2)MSC/VLR启动加密进程,发加密模式命令“M”(一个数据模型)
经基站发往移动台。
3)在移动台中对“M”进行加密运算(A5算法)。加密后的消息送
基站解密。若解密成功(“M”被还原出来),则从现在开始,
双方交换的信息(话音、数据、信令)均需经过加密、解密步骤。
GSM系统为了确保用户信息(语音或非语音业务)的私密性,在BTS和MS之间交换信息时,专门采用了一个加密流程。在鉴权过程中,当SIM卡计算SRES时,同时用A8算法算出加密密钥Kc。当MSC/VLR把加密模式命令(M)通过BTS发往MS时,MS根据M、Kc及TDMA帧号通过加密算法A5,产生一个加密消息“加密模式完成”,表明MS已经完成加
密,并将加密消息回送给BTS。BTS采用相应算法解密,恢复消息M,如果无误则告诉MSC/VLR,表明加密模式完成。
加密算法A5是标准化的,但规范仍然是保密的。它由GSM协会管理并在特许下发放给GSM设备制造商,包括终端制造商和基站制造商。
加密算法的选择是由移动台上报的classmark、BTS支持的加密算法和MSC/VLR配置支持的加密算法取交集,所以MSC/VLR设置支持的加密算法必须与接入侧协商。
AUC存储HLR中所有用户的鉴权密钥Ki根据A3和A8算法生成用户的鉴权三元组RAND/Kc/SRESAUC临时存储存储所有用户的鉴访问用户权三元的鉴权三组,并根元组据VLR的请求,把鉴权三元组发送给VLRRANDHLRMSC/VLRBTSMSSIM卡存储用户的密钥Ki,A3、A8算法Ki算法A8加密模式命令MKcTDMA帧号算法A5解密“加密模式完成”消息成功加密模式完成加密模式完成图2 GSM加密网元功能图
七、GSM有哪些安全问题?
目前全球有30亿用户使用GSM的2G网络通信,但是GSM已经运行多年,围绕它的安全问题层出不穷。可以非常轻易的通过软件解密窃听和模拟GSM电话通信。当完成攻击后,他们可以给被攻击号码打电话、发送短信以及查看该号码的语音邮箱。
任何时候当你使用GSM进行通信的时候,这个电话和GSM网络将对本次会话用一个临时ID和会话密钥进行加密。如果数据被记录,黑客会很快而且很容易解密
会话密钥和临时ID,然后黑客可以使用临时ID和会话密钥去伪造该号码的通信。这个问题主要源于两个因素:一个GSM使用存在缺陷的加密算法,另一个是密 钥存在缺陷。会话密钥本应该在每次通信时创建新的会话密钥,每次通信使用不同的会话密钥,但GSM密钥的缺陷主要是重复使用相同的会话密钥。目前黑客还无
法攻击新的3G和4G网络通信,他们是还比较安全的。
2009年,著名的安全专家卡尔斯滕诺尔博士宣布,德国柏林举行的第26届混沌通信大会上。与其他合作者一起破解了GSM加密算法,还原了GSM加密算法的密
码本,并将结果公布在 互联网上。此举立刻引起全球GSM手机 用户对 移动通信 安全性的极大担忧。
GSM原是移动专家组的法语缩写,该专家组是西欧国家为了制定统一的移动电话标准而成立的其开发的GSM标准第一版完成于1990年。其后,GSM含义被改变为 全球移动通讯系统 以方便GSM这一欧洲开发的第二代数字移动电话网
络标准向全世界推广。目前,GSM应用最为广泛的移动电话标准,全球200多个国家和地区范围内有超过10亿的使用者。
GSM设计安全水平仅为中等,只有 网 络 对用户的验证 而不是双向验证 因此很容易被虚拟 基站 技术截获信号和窃听。为了安全,GSM使用了多种加密算法,例如A 3 A 5和A 8大多数 运营商 使用一个版本的COMP128算法作为A 3校验和A 8密钥生成算法。而A 5/1和A 5/2两种串流密码被用于保证在空中信息的保密性。A 5/1欧洲范围使用的强力算法,而A 5/2则是其他国家使用的弱强度算法。
关于GSM安全问题由来已久,尤其是1998年以来,加州大学伯克利分校、IBM以及以色列的研究人员陆续宣称破解了GSM加密算法,并通过各种试验证明了GSM缺陷。其后,不少公司也加入到这个行列中。其中有些公司甚至为一些政府部门有偿提供破解GSM加密系统的技术。不过,至今并没有人将研究结果公开发布。
2009年年初,诺尔成功证实无绳电话加密算法存在安全漏洞,促使标准组织DECT Forum对原有安全标准加以升级。
为了让人们意识到现有GSM加密系统中长期存在漏洞,并推动行业厂商尽快使用更高级的GSM A5/3加密技术,或者开发出一套新的加密电话系统,诺尔博士在2009年8月的一次会议中公开宣称要破解GSM A5/1加密系统。为此,开发了一款开源软件,互联网上组织了志愿者团队,共同破解GSM A5/1加密系统。
通过应用一些新的增强型破解技术,24名志愿者及40台电脑的共同努力下,诺尔博士的团队用了3个多月的时间就破解了A 5/1加密技术,计算出组成加密系统的查找表,并将计算出的密码本信息以及计算用的密码表通过点对点方式公诸于众。
诺尔博士公布研究结果的当天,代表各大GSM手机厂商和运营商利益的全球移动通信协会GSMA就表示,从理论上讲,诺尔博士公布破解的加密算法代码后,确实将对GSM手机用户的通话构成安全威胁,但实际操作起来却行不通。因为黑客还需要一个接收站处理原始数据和程序。
另一方面,如果各大GSM移动运营商对现有算法加以修订后,则可将任何未经授权的监视活动拒之门外。GSMA于近日宣称,已制定了阻止黑客窃听手机通话的短期解决方案,因此全球GSM手机用户无需担心自己通话过程被他人偷听。
不过,有专业人士表示,GSMA可能没有意识到这一 计算机 系统已经可以通过免费的OpenBTS软件建立。OpenBTS软件和免费的A sterisk软件组合可以帮助安全专家建立IMSI捕捉器破译GSM网络。
诺尔博士本人表示,自己破解GSM加密算法纯属学术行为,并不是鼓励公众利用已公布代码来从事违法活动。这样做的目的为了提醒大家现在使用的GSM通讯网络并不安全,从而鞭策全球的移动运营商升级安全措施。
诺尔博士的这次破解行动与其说是一次创举,倒不如说是一种善意的提醒。不管如何评价,这一事件给手机安全领域带来的影响将是巨大而深远的不仅GSM移动运营商将耗巨资改进GSM安全性,其竞争对手在短暂的乐观之后也将不得不认真审视自己的安全措施。或许阵痛之后,普通消费者将能用上更加安全的手机。
八、3G移动通信相比GSM,在安全性方面有哪些提高?
尽管第二代移动通信GSM系统在安全性方面 有了大的进步,但它仍然存在许多不足。在2G系统中的认证机制是单方面的,也就是说只考虑了网络对用户的认 证,而没有考虑用户对网络的识别。由此带来的问题是,可以通过伪装成网络成员对用户进行攻击。加密机制是基于基站的,只有在无线接入部分信息被加密,而在 网络内的传输链路和网间链路上仍然使用明文传送。随着解密技术的发展和计算能力的提高,2G中使用的加密密钥长度是64 bit,现在已经能在较短的时间内解密该密钥。在2G中没有考虑密钥算法的扩展性,只采用了一种加密算法,致使更换密钥算法十分困难。另外克服GSM中的 信息传送没有考虑消息的完整性。
3G移动通信系统中的安全技术是在GSM的安全基础上建立起来的,它克服了GSM中的安全问题,也增加了新的安全功能。下面将介绍3G安全中的几个主要技术。
1 用户身份保密
3G系统中的用户身份保密有3方面的含义:①在无线链路上窃听用户身份IMSI是不可能的;②确保不能够通过窃听无线链路来获取当前用户的位置;③窃听者不能够在无线链路上获知用户正在使用的不同的业务。
为了达到上述要求,3G系统使用了2种机制来识别用户身份:①使用临时身份TMSI;②使用加密的永久身份IMSI。而且要求在通信中不能长期使用同一
个身份。另外为了达到这些要求,那些可能会泄露用户身份的信令信息以及用户数据也应该在接入链路上进行加密传送。在3G中为了保持与第二代系统兼容,也允 许使用非加密的IMSI。尽管这种方法是不安全的。
在使用临时身份机制中,网络给每个移动用户分配了一个临时身份TMSI。该临时身份与IMUI由网络临时相关联,用于当移动用户发出位置更新请求、服务请求、脱离网络请求,或连接再建立请求时,在无线链路上识别用户身份。
当系统不能通过TMUI识别用户身份时,3G系统可以使用IMSI来识别用户。
该机制由拜访的SN/VLR发起向用户请求IM-SI。用户可选择两种方法来响应:一是与GSM一样使用IMSI明文;二是使用扩展加密移动用户身份XEMSI。由于使用IMSI的明文传送,可能导致IMSI被窃听。在3G中应该使用加密的用户身份。
在收到SN/VLR的身份请求后,MS/USIM把IMSI加密后嵌入HE-message中,并且用HE-id来向SN/VLR指明可以解密该 HE-message的HE/UIC的地址。SN/VLR收到HE-message后,根据HE-id再把该消息传送到相应的HE/UIC,HE/UIC 解密后把用户的IMSI传递给SN/VLR。在收到用户的IMSI后,就可以启动TMSI分配过程,此后将使用TMSI来识别移动用户身份。
这种增强型身份加密机制把原来由无线接入部分传送明文IMSI变成在网络内传送明文IMSI,在一定程度上加强了用户身份的机密性。
2 认证
在GSM中采用了3元参数组(RAND/SRES/KC)来进行认证。鉴权中心产生3参数组RAND/SRESAUC/KC,将其传送给 HLR。在HLR中为每个用户存储1-10组参数,而在VLR中每个用户存储1-7组参数。VLR选取其中一组参数,将参数中用于鉴权用的随机数RAND 传给用户。MS利用存储在SIM卡内的与AUC共同
拥有的密钥Ki,以及收到的RAND通过A3算法计算出SRESMS。然后MS把SRESMS传给 VLR,在VLR中比较SRESMS和SRESAUC,如果两者相同,则表示用户认证完成,否则网络将拒绝MS。
3G系统中沿用了GSM中的认证方法,并作了改进。在WCDMA系统中使用了5参数的认证向量AV(RAND‖XRES‖CK‖IK‖AUTN)。3G中的认证,执行AKA(Authentication and Key Agree-ment)认证和密钥协商协议。HE/HLR表示用户归属区的用户归属寄存器;AV表示认证向量;AUTN表示认证令牌;RES和XRES分别表示用户域的应答信息和服务网的应答信息;RAND表示生成的随机数;CK和IK分别表示数据保密密钥和数据完整性密钥。
AKA协议可分为2部分。①用户归属域HE到服务网SN认证向量的发送过程。SN(由VLR/SGSN实体执行)向HE(由HLR实体执行)申请认证向 量,HE生成一组认证向量AV(1,„,n)发送给SN,SN存储收到的认证向量;②认证和密钥建立的过程。SN从收到的一组认证向量中选择一个 AV(i),将AV(i)中的RAND(i)和AUTN(i)发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC,并与AUTN中包含的MAC相比较,如果二者不同,USIM将向VLR/SGSN发送拒绝认证消息。如果二者相同,USIM计算应答信息 XRES(i),发送给SN。SN在收到应答信息后,比较XRES(i)和RES(i)的值。如果相等则通过认证,否则不建立连接。最后在认证通过的基础 上,MS/USIM根据RAND(i)和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK(i)。SN根据发送的AV选择对应的 CK和IK。
比较上述2种认证机制,可以看见3G系统的实体间认证过程比原有2G系统认证功能增强很多,且增加了新功能。具体有以下3方面。
①2G系统只提供网络对用户的单向认证,而3G系统则完成了网络和用户之间的双向认证。
②3G系统增加了数据完整性这一安全特性,以防止篡改信息这样的主动攻击。
③在认证令牌AUTN中包括了序列号SQN,保证认证过程的最新性,防止重新攻击。并且SQN的有效范围受到限制。这些安全功能在2G系统中是没有的。
3 数据保密性
在2G系统中,在无线接口上的数据加密采用密码流加密。在用户侧和网络侧,分别用3参数中的Ki和RAND,通过A8算法计算出密钥Kc.然后把64 bit的密钥Kc和当前帧号Fn(22 bit)作为A5算法的两个输入参数来计算密钥流,由于Fn的不断变化,因而A5产生不同的密钥流。信息在发送端与密钥流逐位异或来加密,在接收端再使用 同密钥流逐位异或来加密。密钥流算法A5包括A5/0,A5/1,A5/2等,其中A5/1是强加密算法,A5/2是弱加密算法,而A5/0表 示不加密。但随着技术的发展,2G中的加密已经变得不太安全了,有文献表明现在的解密技术已经能达到通过分析通话时前两分钟内A5/1的输出,在不到一秒 钟的时间内得到密钥Kc。而且在2G中,加密算法是固定不变的没有更多的密钥算法可选择,缺乏算法协商和加密钥协商过程。
在3G系统中,网络接入部分的数据保密性主要提供4个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在AKA中 完成。加密算法协商由用户与服务网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密,采用了f8算法。它有5个输 入:①COUNT是密钥序列号;②BEARER是链路身份指示;③DIRECTION是上下行链路指示;④LENGTH是密码流长度指示;⑤CK是长度位 128 bit的加密密钥。
与2G相比,3G不仅加长了密钥长度,而且引入了加密算法协商机制。
当移动终端ME需要与服务网SN建立连接时,USIM告诉服务网它支持哪些加密算法。服务网根据下列规则作出以下判断。
①如果ME与SN没有相同版本的UEA(加密算法),但SN规定使用加密连接,则拒绝连接。
②如果ME与SN没有相同版本的UEA,但SN允许使用无加密的连接,则建立无加密的连接。
③如果ME与SN有相同版本的UEA,SN选择其中一个可接受的算法版本,建立加密连接。
3G系统中预留了15种UEA的可选范围。目前只用到一种算法Kasumi。这种特性增加了3G系统的灵活性,使不同的运营商之间只要支持一种相同的UEA,就可以跨网通信。
另外在2G中的加密是基于基站,消息在网络内是用明文传送,这显然是很不安全的。3G加强了消息在网络内的传送安全,采用了以交换设备为核心的安全机制,加密链路延伸到交换设备,并提供基于端到端的全网范围内加密。
4数据完整性
在移动通信中,MS和网络间的大多数信令信息是非常敏感的,需要得到完整性保护。在2G中,没有考虑完整性问题。在3G中采用了消息认证来保护用户和网络间的信令消息没有被篡改。
发送方把要传送的数据用完整性密钥IK经过f9算法产生消息认证码MAC,将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到XMAC。接收方把收到的MAC与XMAC相比较,如二者相同就说明收到的消息是完整的。
3G数据完整性主要提供3个安全特性:完整性算法(UIA)协商、完整性密钥协商、数据和信令的完整性。其中完整性密钥协商在AKA中完成;完整性算法 协商由用户与服务网间的安全模式协商机制完成,完整性算法协商与加密算法协商过程相似,在这里就不详细叙述了。3G系统预留了16种UIA的可选范围,目 前只用到一种算法Kasumi。
移动通信中的安全技术得到了很大的发展,第三代移动通信的安全以第二代中的安全为基础,保留了在二代中被证明是必要和强大的安全功能,并且考虑了能与二代兼容。在3G中克服了2G中的一些安全问题,并且对2G中的弱点做了很大的改进,同时也考虑了安全的扩展性。
九、3G移动通信相比GSM,在通话性能方面有哪些增强?
1. CDMA将是3G发展趋势
(1)高的数据传输率是移动通信系统具备强大功能的基础。尽管TDMA系统的业务综合能力较高,能进行数据和话音的综合,但是终端接入速率有限。
(2)相比而言CDMA技术更具有系统容量大,话音质量好,抗干扰性强,保密性等优点。
(3)细说CDMA----CDMA即码分多址,是由美国Qualcomm公司首先提出的技术,其原理基于扩频技术,即将需传送的具有一定信号带宽的信息数据,用一个带宽远大于信号带宽的高速伪随机码进行调制,使原数据信号的带宽被扩展,再经载波调制并发送出去,接收端由使用完全相同的伪随机码与接收的带宽信号做相关处理,以实现信息通信,与FDMA和TDMA相比,CDMA具有许多独特的优点,归纳起来,CDMA应用于数字移动通信的优点有:
----系统容量大,在CDMA系统中所有用户共用一个无线信道,当用户不讲话时,该信道内的所有其他用户会由于干扰减小而得益。因此利用人类话音特点的 CDMA系统可大幅降低相互干扰,增大其实际容量近3倍。CDMA数字移动通信网的系统容量理论上比模拟网大20倍,实际上比模拟网大10倍,比GSM大 4-5倍。
----系统通信质量更佳,软切换技术(先连接再断开)可以克服硬切换容易掉话的缺点,CDMA系统工作在相同的频率和带宽上,比TDMA系统更容易实现软切换技术,从而提高通信质量,CDMA系统采用确定声码器速率的自适应阈值技术,强有力的误码纠错,软切换技术和分离分多径分集接收机,可提供TDMA 系统不能比拟的,极高的数据质量。
----频率规划灵活,用户按不同的序列码区分,不同CDMA载波可以相邻的小区内使用,因此CDMA网络的频率规划灵活,扩展简单。CDMA网络同时还具有建造运行费用低,基站设备费用低的特点,因而用户的费用也较低。
----频带利用率高。CDMA是一种扩频通信技术,尽管扩频通信系统抗干扰性能的提高是以占用频带带宽为代价的,但是CDMA允许单一频率在整个系统区域内可重复使用,使许多用户共用这一频带同时进行通话,大大提高了频带利用率。这种扩频CDMA方式,虽然要
占用较宽的频带,但按每个用户占用的平均频带来计算,其频带利用率是很高的。CDMA系统还可以根据不同信号速率的情况,提供不同的信道频带利用动工,使给定频带得到更有效的利用。
----适用于多媒体通信系统,CDMA系统能方便地使用多CDMA信道方式和多CDMA帧方式,传送不同速率要求的多媒体业务信息,处理方式和合成方式都比TDMA方式和FDMA方式灵活、简便、有利于多媒体通信系统的应用,比如可以在提供话音服务的同时提供数据服务,使得用户在通话时也可以接收寻呼信息。
----CDMA手机的备用时间更长。低平均功率、高效的超大规模集成电路设计和先进的锂电池的结合显示了CDMA在便携式电话应用中的突破。用户可以长时间地使用手机接收电话,也可以在不挂机的情况下接收短消息。
然而,宽带CDMA系统的应用也还面临着一些技术困难,多址干扰的降低和抵消是CDMA的基本课题,也是提高宽带CDMA系统容量,发挥宽带CDMA系统特长的重要课题。
2. CDMA的关键技术
(1)功率控制技术
功率控制技术是CDMA系统的核心技术。CDMA系统是一个自扰系统,所有移动用户都占用相同带宽和频率,CDMA功率控制的目的就是使系统即能维护高质量通信,又不对其他用户产生干扰。
(2)PN码技术
PN码的选择直接影响到CDMA系统的容量,抗干扰能力,接入和切换速度等性能。CDMA信道的区分是靠PN码来进行的,因而需求pn码自相关性要好,互相关性要弱,实现和编码方案简单等。目前的CDMA系统就是采用一种基本的PN序列----m序列作为地址码,利用它的不同相位来区分不同用户。
(3)RAKE接收技术
移动通信信道是一种多径衰落信道,RAKE接收技术就是分别接收每一路的信号进行解调 ,然后叠加输出来增强接收效果,在CDMA系统中多径信号不再是一个不利因素,而且变成了一个可供利用的有利因素。
(4)声码器速率的自适应阈值技术
CDMA系统使用了确定声码器速率的自适应阈值,自适应阈值可以根据背景声学噪音电平的变化改变声码器的数据速率。这些阈值的使用压制了背景声学噪声,因而在噪声环境下也能提供清晰的话音。
2024年1月21日发(作者:皇甫希慕)
一、 GSM中,A3、A5、A8算法的原理是什么?
1、A3 Algorithm(A3 算法)
A3 算法(A3 Algorithm)是用于对全球移动通讯系统(GSM)蜂窝通信进行加密的一种算法。实际上,A3 和 A8 算法通常被同时执行(也叫做 A3/A8)。一个 A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中执行。它被用于鉴别用户和产生加密语音和数据通信的密钥,正如在 3GPP TS 43.020(Rel-4 前的 03.20)定义的一样。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM 网络操作者的事情。
A3/A8
A3/A8 是指两个算法,A3 和 A8,是用于对全球移动通信系统(GSM)蜂窝通信进行加密的算法。因为 A3 和 A8 算法通常同时执行,因此,它们通常被叫做 A3/A8,一个
A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中被执行。正如在 3GPP TS
43.020(Rel-4 前的 03.20)中定义的一样,它通常用于认证这个用户和产生一个加密语音和数据通信的密码。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM
网络操作者的事情。
A5 Algorithm(A5 算法)
A5 算法(A5 Algorithm)被用于加密全球移动通信系统(GSM)蜂窝通信。一个 A5 加密算法在电话听筒和基站之间搅乱用户语音和数据传输来提供私密。一个 A5 算法被在电话听筒和基站子系统(BSS)两者中执行。
A8 Algorithm(A8 算法)
A8 算法(A8 Algorithm)通常被用于全球信息系统(GSM) 蜂窝通信的加密。在实践中,A3 和A8 算法,也叫做 A3/A8,一般被同时执行。一个 A3/A8 算法在用户识别(SIM)卡和在 GSM 网络认证中心中被执行。它通常用于认证这个用户和产生一个加密语音和数据通信的密钥,正如在 3GPP TS 43.020(Rel-4 前的 03.20)中定义的一样。尽管实例执行是可行的,但 A3 和 A8 算法被认为是个人 GSM 网络操作者的事情。
1. 鉴别和密钥生成算法(A3/A8)
GSM中的A3和A8算法都是基於密钥的单向碰撞函数。它们通常合在一起,统称为COMP128。COMP128算法目前被几乎世界上所有GSM系统所采用,用在鉴别过程中,存储在SIM卡和AuC中。
A3的输入是GSM网络发给移动电话的一个128比特的随机数呼叫和单个用户鉴别密钥(Ki),输出为一个32比特的标示响应。这个标示响应发回到网络,与网络自己生成的结果进行比较。如果二者相符,用户便得到了鉴别。A8的输入也是随机数和Ki,输出为一个64比特的加密密钥(Kc)。
2. 加密算法(A5)
GSM系统中的移动电话和基站之间的信令和数据通过加密算法A5使用从A8中得到的加密密钥(Kc)进行加密和解密。
当前有三种A5算法在使用中。A5/1被认为是这三种中性能最好的加密算法,被应用在西方国家。A5/2比A5/1在性能上差很多,被用在由于出口限制而禁用A5/1的地区。A5/0虽然也是A5的一种,但实际并不对数据进行加密。
在A5/1和A5/2算法中,GSM网络向移动电话发送一个加密模式请求命令,使其开始加
密数据。移动电话从SIM卡中得到在鉴别过程中由A8生成的Kc,用它对数据进行加密和解密。
GSM 的加密系统里面大致涉及三种算法,A3,A5,A8,这些并不特定指代什么算法,只是给出算法的输入和输出规范,以及对算法的要求,GSM 对于每种算法各有一个范例实现,理论上并没有限制大家使用哪种算法。但是世界上的设备商和运营商都是很懒得沟通的,看到既然有了范例实现,就都拿来用了, 于是全世界的 SIM 卡被XX了都一样拷法。
说到这里就不能不简单介绍一下 SIM 卡, SIM 卡是一种智能卡片,里面有个非常简单的 CPU 和一点 NVRAM,可以存储和读出数据,还可以进行一些运算。卡里面有很多内容,不过我只介绍和加密相关的。每张 SIM 卡里面一般都存着一个全球唯一的标志号,叫做 IMSI,这个是用来唯一标识你 SIM
卡的,手机在开机时候会从卡里面读出这个号发给移动网络,移动那里有一个很大的数据库,描述了 IMSI 和手机号的对应关系,于是网络就知道你的手机号是多少了(如果你手机卡丢了去补,新补来的卡 IMSI 和原有的不同,而移动数据库那里将你原来的手机号指向新的 IMSI,旧的卡就再也不能用了)除了 IMSI ,还有 16 个字节的密钥数据,这个数据是无法通过 SIM 卡的接口读出的,通常称为 Ki, Ki 在移动网络那边也保存了一份。
在手机登录移动 网络的时候,移动网络会产生一个 16 字节的随机数据(通常称为 RAND)发给手机,手机将这个数据发给 SIM 卡, SIM 卡用自己的密钥 Ki 和 RAND 做运算以后,生成一个 4 字节的应答(SRES)发回给手机,并转发给移动网络,与此同时,移动网络也进行了相同算法的运算,移动网络会比较一下这两个结果是否相同,相同就表明这 个卡是我发出来的,允许其登录。这个验证算法在 GSM 规范里面叫做 A3,m = 128 bit, k = 128
bit, c=32 bit,很显然,这个算法要求已知 m 和 k 可以很简单的算出 c ,但是已知 m 和 c 却很难算出 k 。A3 算法是做在 SIM 卡里面的,因此如果运营商想更换加密算法,他只要发行自己的 SIM 卡,让自己的基站和 SIM
卡都使用相同的算法就可以了,手机完全不用换。
在 移动网络发送 RAND 过来的时候,手机还会让 SIM 卡对 RAND 和 Ki 计算出另一个密钥以供全程通信加密使用,这个密钥的长度是 64 bits, 通常叫做 Kc, 生成 Kc 的算法是 A8 ,因为 A3 和 A8 接受的输入完全相同,所以实现者偷了个懒,用一个算法同时生成 SRES 和 Kc 。
在 通信过程中的加密就是用 Kc 了,这个算法叫做 A5 ,因为 A5 的加密量很巨大,而且 SIM 卡的速度很慢,因此所有通信过程中的加密都是在手机上面完成的,这样一来,除非天下所有 GSM 手机都至少支持一种相同的
A5 算法,否则就没法漫游了,这时候运营商和设备商的懒惰又体现出来了,全世界目前只有一种通用的 A5 算法,没有其他的,这个算法就是和 Kc 的
8 字节序列进行简单的循环 XOR,再和报文序号做个减法。
二、 GSM中开卡的过程是怎样的?
Ki生成及写入SIM过程:
Ki由运营商选择一种高级算法DES,以用户IMSI和母密钥Kki计算Ki=DES(IMSI,Kki);
Ki写在SIM卡中,同时也要传送AUC;在GSM中,先将Ki利用安全算法DES和加密密钥Kdes对Ki进行加密(写卡过程)密文传送给AUC/HLR,然后用Kdes解密,得到Ki(运营商开卡)保护Ki的关键在于运营商保护密钥Kdes
三、 SIM卡自我保护措施是哪些
PIN个人身份号码:用户利用手机进行设置,连续输入三次错误,PIN即被锁,如果PIN被锁,则无法进行通讯(4-8位数字);
PUK个人解锁钥:PIN被锁后需要输入PUK码来解锁,连续10次输入错误PUK码,SIM卡报废(0-9位数字);
四、 GSM用户身份保密是怎样实现的?
用户有可能会在无线信道上发送IMSI,这样很容易被人为截取。为了减少IMSI在无线信道上的传输,GSM系统采用临时用户身份TMSI。在VLR处存 储TMSI和IMSI之间的对应关系。这样一般来说,只有在用户开机或者VLR数据丢失的时候IMSI才被发送,平时仅在无线信道上发送移动用户相应的
TMSI。
在用户鉴权的过程中,用户信息要通过核心网络和空中接口进行数据交换,因而存在极大的安全隐患,各个厂家都会采用一些特有的技术进行安全防护。
五、GSM鉴权(身份识别)是怎么实现的?
GSM鉴权过程主要涉及到AUC、HLR、MSC/VLR、MS和SIM卡,他们均各自存储着用户有关的信息或参数。当MS发出入网请求时,MSC/VLR就向MS发送RAND,SIM卡使用该RAND以及与AUC内相同的鉴权密钥Ki和鉴权算法A3,计算出符号相应SRES,然后把SRES会送给MSC/VLR,验证用户的其合法性。
鉴权密钥Ki是运营商的机密数据。鉴权密钥Ki只会在AUC和SIM卡中保存,别的网元无法获得。用户鉴权实际上就是检查用户是否拥有Ki鉴权密钥的。所以一旦用户的Ki泄密,用户就有被盗打的风险。
AUC存储HLR中所有用户的鉴权密钥Ki根据A3和A8算法生成用户的鉴权三元组RAND/Kc/SRESAUCHLRMSC/VLRMSSIM卡存储用户的密钥Ki,A3、A8算法临时存储用户的鉴权三元组,并根据VLR的请求,把鉴权三元组发送给VLR存储所有访问用户的鉴权三元组接入请求RANDKi算法A3SRESAUC=?SRESMS不相等相等鉴权失败鉴权成功
图 1 GSM鉴权网元功能图
算法A8KcSRESMS六、GSM加密是怎么实现的?
加密----在BS和MS之间无线信道上传递的消息加密,以防止第三者窃听。
加密原理:未加密序列 0111
密钥异或运算 1101
加密序列 1010
解密 1101
原消息 0111
加密过程:
1)Kc、RAND、SRES一起送往MSC/VLR。
2)MSC/VLR启动加密进程,发加密模式命令“M”(一个数据模型)
经基站发往移动台。
3)在移动台中对“M”进行加密运算(A5算法)。加密后的消息送
基站解密。若解密成功(“M”被还原出来),则从现在开始,
双方交换的信息(话音、数据、信令)均需经过加密、解密步骤。
GSM系统为了确保用户信息(语音或非语音业务)的私密性,在BTS和MS之间交换信息时,专门采用了一个加密流程。在鉴权过程中,当SIM卡计算SRES时,同时用A8算法算出加密密钥Kc。当MSC/VLR把加密模式命令(M)通过BTS发往MS时,MS根据M、Kc及TDMA帧号通过加密算法A5,产生一个加密消息“加密模式完成”,表明MS已经完成加
密,并将加密消息回送给BTS。BTS采用相应算法解密,恢复消息M,如果无误则告诉MSC/VLR,表明加密模式完成。
加密算法A5是标准化的,但规范仍然是保密的。它由GSM协会管理并在特许下发放给GSM设备制造商,包括终端制造商和基站制造商。
加密算法的选择是由移动台上报的classmark、BTS支持的加密算法和MSC/VLR配置支持的加密算法取交集,所以MSC/VLR设置支持的加密算法必须与接入侧协商。
AUC存储HLR中所有用户的鉴权密钥Ki根据A3和A8算法生成用户的鉴权三元组RAND/Kc/SRESAUC临时存储存储所有用户的鉴访问用户权三元的鉴权三组,并根元组据VLR的请求,把鉴权三元组发送给VLRRANDHLRMSC/VLRBTSMSSIM卡存储用户的密钥Ki,A3、A8算法Ki算法A8加密模式命令MKcTDMA帧号算法A5解密“加密模式完成”消息成功加密模式完成加密模式完成图2 GSM加密网元功能图
七、GSM有哪些安全问题?
目前全球有30亿用户使用GSM的2G网络通信,但是GSM已经运行多年,围绕它的安全问题层出不穷。可以非常轻易的通过软件解密窃听和模拟GSM电话通信。当完成攻击后,他们可以给被攻击号码打电话、发送短信以及查看该号码的语音邮箱。
任何时候当你使用GSM进行通信的时候,这个电话和GSM网络将对本次会话用一个临时ID和会话密钥进行加密。如果数据被记录,黑客会很快而且很容易解密
会话密钥和临时ID,然后黑客可以使用临时ID和会话密钥去伪造该号码的通信。这个问题主要源于两个因素:一个GSM使用存在缺陷的加密算法,另一个是密 钥存在缺陷。会话密钥本应该在每次通信时创建新的会话密钥,每次通信使用不同的会话密钥,但GSM密钥的缺陷主要是重复使用相同的会话密钥。目前黑客还无
法攻击新的3G和4G网络通信,他们是还比较安全的。
2009年,著名的安全专家卡尔斯滕诺尔博士宣布,德国柏林举行的第26届混沌通信大会上。与其他合作者一起破解了GSM加密算法,还原了GSM加密算法的密
码本,并将结果公布在 互联网上。此举立刻引起全球GSM手机 用户对 移动通信 安全性的极大担忧。
GSM原是移动专家组的法语缩写,该专家组是西欧国家为了制定统一的移动电话标准而成立的其开发的GSM标准第一版完成于1990年。其后,GSM含义被改变为 全球移动通讯系统 以方便GSM这一欧洲开发的第二代数字移动电话网
络标准向全世界推广。目前,GSM应用最为广泛的移动电话标准,全球200多个国家和地区范围内有超过10亿的使用者。
GSM设计安全水平仅为中等,只有 网 络 对用户的验证 而不是双向验证 因此很容易被虚拟 基站 技术截获信号和窃听。为了安全,GSM使用了多种加密算法,例如A 3 A 5和A 8大多数 运营商 使用一个版本的COMP128算法作为A 3校验和A 8密钥生成算法。而A 5/1和A 5/2两种串流密码被用于保证在空中信息的保密性。A 5/1欧洲范围使用的强力算法,而A 5/2则是其他国家使用的弱强度算法。
关于GSM安全问题由来已久,尤其是1998年以来,加州大学伯克利分校、IBM以及以色列的研究人员陆续宣称破解了GSM加密算法,并通过各种试验证明了GSM缺陷。其后,不少公司也加入到这个行列中。其中有些公司甚至为一些政府部门有偿提供破解GSM加密系统的技术。不过,至今并没有人将研究结果公开发布。
2009年年初,诺尔成功证实无绳电话加密算法存在安全漏洞,促使标准组织DECT Forum对原有安全标准加以升级。
为了让人们意识到现有GSM加密系统中长期存在漏洞,并推动行业厂商尽快使用更高级的GSM A5/3加密技术,或者开发出一套新的加密电话系统,诺尔博士在2009年8月的一次会议中公开宣称要破解GSM A5/1加密系统。为此,开发了一款开源软件,互联网上组织了志愿者团队,共同破解GSM A5/1加密系统。
通过应用一些新的增强型破解技术,24名志愿者及40台电脑的共同努力下,诺尔博士的团队用了3个多月的时间就破解了A 5/1加密技术,计算出组成加密系统的查找表,并将计算出的密码本信息以及计算用的密码表通过点对点方式公诸于众。
诺尔博士公布研究结果的当天,代表各大GSM手机厂商和运营商利益的全球移动通信协会GSMA就表示,从理论上讲,诺尔博士公布破解的加密算法代码后,确实将对GSM手机用户的通话构成安全威胁,但实际操作起来却行不通。因为黑客还需要一个接收站处理原始数据和程序。
另一方面,如果各大GSM移动运营商对现有算法加以修订后,则可将任何未经授权的监视活动拒之门外。GSMA于近日宣称,已制定了阻止黑客窃听手机通话的短期解决方案,因此全球GSM手机用户无需担心自己通话过程被他人偷听。
不过,有专业人士表示,GSMA可能没有意识到这一 计算机 系统已经可以通过免费的OpenBTS软件建立。OpenBTS软件和免费的A sterisk软件组合可以帮助安全专家建立IMSI捕捉器破译GSM网络。
诺尔博士本人表示,自己破解GSM加密算法纯属学术行为,并不是鼓励公众利用已公布代码来从事违法活动。这样做的目的为了提醒大家现在使用的GSM通讯网络并不安全,从而鞭策全球的移动运营商升级安全措施。
诺尔博士的这次破解行动与其说是一次创举,倒不如说是一种善意的提醒。不管如何评价,这一事件给手机安全领域带来的影响将是巨大而深远的不仅GSM移动运营商将耗巨资改进GSM安全性,其竞争对手在短暂的乐观之后也将不得不认真审视自己的安全措施。或许阵痛之后,普通消费者将能用上更加安全的手机。
八、3G移动通信相比GSM,在安全性方面有哪些提高?
尽管第二代移动通信GSM系统在安全性方面 有了大的进步,但它仍然存在许多不足。在2G系统中的认证机制是单方面的,也就是说只考虑了网络对用户的认 证,而没有考虑用户对网络的识别。由此带来的问题是,可以通过伪装成网络成员对用户进行攻击。加密机制是基于基站的,只有在无线接入部分信息被加密,而在 网络内的传输链路和网间链路上仍然使用明文传送。随着解密技术的发展和计算能力的提高,2G中使用的加密密钥长度是64 bit,现在已经能在较短的时间内解密该密钥。在2G中没有考虑密钥算法的扩展性,只采用了一种加密算法,致使更换密钥算法十分困难。另外克服GSM中的 信息传送没有考虑消息的完整性。
3G移动通信系统中的安全技术是在GSM的安全基础上建立起来的,它克服了GSM中的安全问题,也增加了新的安全功能。下面将介绍3G安全中的几个主要技术。
1 用户身份保密
3G系统中的用户身份保密有3方面的含义:①在无线链路上窃听用户身份IMSI是不可能的;②确保不能够通过窃听无线链路来获取当前用户的位置;③窃听者不能够在无线链路上获知用户正在使用的不同的业务。
为了达到上述要求,3G系统使用了2种机制来识别用户身份:①使用临时身份TMSI;②使用加密的永久身份IMSI。而且要求在通信中不能长期使用同一
个身份。另外为了达到这些要求,那些可能会泄露用户身份的信令信息以及用户数据也应该在接入链路上进行加密传送。在3G中为了保持与第二代系统兼容,也允 许使用非加密的IMSI。尽管这种方法是不安全的。
在使用临时身份机制中,网络给每个移动用户分配了一个临时身份TMSI。该临时身份与IMUI由网络临时相关联,用于当移动用户发出位置更新请求、服务请求、脱离网络请求,或连接再建立请求时,在无线链路上识别用户身份。
当系统不能通过TMUI识别用户身份时,3G系统可以使用IMSI来识别用户。
该机制由拜访的SN/VLR发起向用户请求IM-SI。用户可选择两种方法来响应:一是与GSM一样使用IMSI明文;二是使用扩展加密移动用户身份XEMSI。由于使用IMSI的明文传送,可能导致IMSI被窃听。在3G中应该使用加密的用户身份。
在收到SN/VLR的身份请求后,MS/USIM把IMSI加密后嵌入HE-message中,并且用HE-id来向SN/VLR指明可以解密该 HE-message的HE/UIC的地址。SN/VLR收到HE-message后,根据HE-id再把该消息传送到相应的HE/UIC,HE/UIC 解密后把用户的IMSI传递给SN/VLR。在收到用户的IMSI后,就可以启动TMSI分配过程,此后将使用TMSI来识别移动用户身份。
这种增强型身份加密机制把原来由无线接入部分传送明文IMSI变成在网络内传送明文IMSI,在一定程度上加强了用户身份的机密性。
2 认证
在GSM中采用了3元参数组(RAND/SRES/KC)来进行认证。鉴权中心产生3参数组RAND/SRESAUC/KC,将其传送给 HLR。在HLR中为每个用户存储1-10组参数,而在VLR中每个用户存储1-7组参数。VLR选取其中一组参数,将参数中用于鉴权用的随机数RAND 传给用户。MS利用存储在SIM卡内的与AUC共同
拥有的密钥Ki,以及收到的RAND通过A3算法计算出SRESMS。然后MS把SRESMS传给 VLR,在VLR中比较SRESMS和SRESAUC,如果两者相同,则表示用户认证完成,否则网络将拒绝MS。
3G系统中沿用了GSM中的认证方法,并作了改进。在WCDMA系统中使用了5参数的认证向量AV(RAND‖XRES‖CK‖IK‖AUTN)。3G中的认证,执行AKA(Authentication and Key Agree-ment)认证和密钥协商协议。HE/HLR表示用户归属区的用户归属寄存器;AV表示认证向量;AUTN表示认证令牌;RES和XRES分别表示用户域的应答信息和服务网的应答信息;RAND表示生成的随机数;CK和IK分别表示数据保密密钥和数据完整性密钥。
AKA协议可分为2部分。①用户归属域HE到服务网SN认证向量的发送过程。SN(由VLR/SGSN实体执行)向HE(由HLR实体执行)申请认证向 量,HE生成一组认证向量AV(1,„,n)发送给SN,SN存储收到的认证向量;②认证和密钥建立的过程。SN从收到的一组认证向量中选择一个 AV(i),将AV(i)中的RAND(i)和AUTN(i)发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC,并与AUTN中包含的MAC相比较,如果二者不同,USIM将向VLR/SGSN发送拒绝认证消息。如果二者相同,USIM计算应答信息 XRES(i),发送给SN。SN在收到应答信息后,比较XRES(i)和RES(i)的值。如果相等则通过认证,否则不建立连接。最后在认证通过的基础 上,MS/USIM根据RAND(i)和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK(i)。SN根据发送的AV选择对应的 CK和IK。
比较上述2种认证机制,可以看见3G系统的实体间认证过程比原有2G系统认证功能增强很多,且增加了新功能。具体有以下3方面。
①2G系统只提供网络对用户的单向认证,而3G系统则完成了网络和用户之间的双向认证。
②3G系统增加了数据完整性这一安全特性,以防止篡改信息这样的主动攻击。
③在认证令牌AUTN中包括了序列号SQN,保证认证过程的最新性,防止重新攻击。并且SQN的有效范围受到限制。这些安全功能在2G系统中是没有的。
3 数据保密性
在2G系统中,在无线接口上的数据加密采用密码流加密。在用户侧和网络侧,分别用3参数中的Ki和RAND,通过A8算法计算出密钥Kc.然后把64 bit的密钥Kc和当前帧号Fn(22 bit)作为A5算法的两个输入参数来计算密钥流,由于Fn的不断变化,因而A5产生不同的密钥流。信息在发送端与密钥流逐位异或来加密,在接收端再使用 同密钥流逐位异或来加密。密钥流算法A5包括A5/0,A5/1,A5/2等,其中A5/1是强加密算法,A5/2是弱加密算法,而A5/0表 示不加密。但随着技术的发展,2G中的加密已经变得不太安全了,有文献表明现在的解密技术已经能达到通过分析通话时前两分钟内A5/1的输出,在不到一秒 钟的时间内得到密钥Kc。而且在2G中,加密算法是固定不变的没有更多的密钥算法可选择,缺乏算法协商和加密钥协商过程。
在3G系统中,网络接入部分的数据保密性主要提供4个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在AKA中 完成。加密算法协商由用户与服务网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密,采用了f8算法。它有5个输 入:①COUNT是密钥序列号;②BEARER是链路身份指示;③DIRECTION是上下行链路指示;④LENGTH是密码流长度指示;⑤CK是长度位 128 bit的加密密钥。
与2G相比,3G不仅加长了密钥长度,而且引入了加密算法协商机制。
当移动终端ME需要与服务网SN建立连接时,USIM告诉服务网它支持哪些加密算法。服务网根据下列规则作出以下判断。
①如果ME与SN没有相同版本的UEA(加密算法),但SN规定使用加密连接,则拒绝连接。
②如果ME与SN没有相同版本的UEA,但SN允许使用无加密的连接,则建立无加密的连接。
③如果ME与SN有相同版本的UEA,SN选择其中一个可接受的算法版本,建立加密连接。
3G系统中预留了15种UEA的可选范围。目前只用到一种算法Kasumi。这种特性增加了3G系统的灵活性,使不同的运营商之间只要支持一种相同的UEA,就可以跨网通信。
另外在2G中的加密是基于基站,消息在网络内是用明文传送,这显然是很不安全的。3G加强了消息在网络内的传送安全,采用了以交换设备为核心的安全机制,加密链路延伸到交换设备,并提供基于端到端的全网范围内加密。
4数据完整性
在移动通信中,MS和网络间的大多数信令信息是非常敏感的,需要得到完整性保护。在2G中,没有考虑完整性问题。在3G中采用了消息认证来保护用户和网络间的信令消息没有被篡改。
发送方把要传送的数据用完整性密钥IK经过f9算法产生消息认证码MAC,将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到XMAC。接收方把收到的MAC与XMAC相比较,如二者相同就说明收到的消息是完整的。
3G数据完整性主要提供3个安全特性:完整性算法(UIA)协商、完整性密钥协商、数据和信令的完整性。其中完整性密钥协商在AKA中完成;完整性算法 协商由用户与服务网间的安全模式协商机制完成,完整性算法协商与加密算法协商过程相似,在这里就不详细叙述了。3G系统预留了16种UIA的可选范围,目 前只用到一种算法Kasumi。
移动通信中的安全技术得到了很大的发展,第三代移动通信的安全以第二代中的安全为基础,保留了在二代中被证明是必要和强大的安全功能,并且考虑了能与二代兼容。在3G中克服了2G中的一些安全问题,并且对2G中的弱点做了很大的改进,同时也考虑了安全的扩展性。
九、3G移动通信相比GSM,在通话性能方面有哪些增强?
1. CDMA将是3G发展趋势
(1)高的数据传输率是移动通信系统具备强大功能的基础。尽管TDMA系统的业务综合能力较高,能进行数据和话音的综合,但是终端接入速率有限。
(2)相比而言CDMA技术更具有系统容量大,话音质量好,抗干扰性强,保密性等优点。
(3)细说CDMA----CDMA即码分多址,是由美国Qualcomm公司首先提出的技术,其原理基于扩频技术,即将需传送的具有一定信号带宽的信息数据,用一个带宽远大于信号带宽的高速伪随机码进行调制,使原数据信号的带宽被扩展,再经载波调制并发送出去,接收端由使用完全相同的伪随机码与接收的带宽信号做相关处理,以实现信息通信,与FDMA和TDMA相比,CDMA具有许多独特的优点,归纳起来,CDMA应用于数字移动通信的优点有:
----系统容量大,在CDMA系统中所有用户共用一个无线信道,当用户不讲话时,该信道内的所有其他用户会由于干扰减小而得益。因此利用人类话音特点的 CDMA系统可大幅降低相互干扰,增大其实际容量近3倍。CDMA数字移动通信网的系统容量理论上比模拟网大20倍,实际上比模拟网大10倍,比GSM大 4-5倍。
----系统通信质量更佳,软切换技术(先连接再断开)可以克服硬切换容易掉话的缺点,CDMA系统工作在相同的频率和带宽上,比TDMA系统更容易实现软切换技术,从而提高通信质量,CDMA系统采用确定声码器速率的自适应阈值技术,强有力的误码纠错,软切换技术和分离分多径分集接收机,可提供TDMA 系统不能比拟的,极高的数据质量。
----频率规划灵活,用户按不同的序列码区分,不同CDMA载波可以相邻的小区内使用,因此CDMA网络的频率规划灵活,扩展简单。CDMA网络同时还具有建造运行费用低,基站设备费用低的特点,因而用户的费用也较低。
----频带利用率高。CDMA是一种扩频通信技术,尽管扩频通信系统抗干扰性能的提高是以占用频带带宽为代价的,但是CDMA允许单一频率在整个系统区域内可重复使用,使许多用户共用这一频带同时进行通话,大大提高了频带利用率。这种扩频CDMA方式,虽然要
占用较宽的频带,但按每个用户占用的平均频带来计算,其频带利用率是很高的。CDMA系统还可以根据不同信号速率的情况,提供不同的信道频带利用动工,使给定频带得到更有效的利用。
----适用于多媒体通信系统,CDMA系统能方便地使用多CDMA信道方式和多CDMA帧方式,传送不同速率要求的多媒体业务信息,处理方式和合成方式都比TDMA方式和FDMA方式灵活、简便、有利于多媒体通信系统的应用,比如可以在提供话音服务的同时提供数据服务,使得用户在通话时也可以接收寻呼信息。
----CDMA手机的备用时间更长。低平均功率、高效的超大规模集成电路设计和先进的锂电池的结合显示了CDMA在便携式电话应用中的突破。用户可以长时间地使用手机接收电话,也可以在不挂机的情况下接收短消息。
然而,宽带CDMA系统的应用也还面临着一些技术困难,多址干扰的降低和抵消是CDMA的基本课题,也是提高宽带CDMA系统容量,发挥宽带CDMA系统特长的重要课题。
2. CDMA的关键技术
(1)功率控制技术
功率控制技术是CDMA系统的核心技术。CDMA系统是一个自扰系统,所有移动用户都占用相同带宽和频率,CDMA功率控制的目的就是使系统即能维护高质量通信,又不对其他用户产生干扰。
(2)PN码技术
PN码的选择直接影响到CDMA系统的容量,抗干扰能力,接入和切换速度等性能。CDMA信道的区分是靠PN码来进行的,因而需求pn码自相关性要好,互相关性要弱,实现和编码方案简单等。目前的CDMA系统就是采用一种基本的PN序列----m序列作为地址码,利用它的不同相位来区分不同用户。
(3)RAKE接收技术
移动通信信道是一种多径衰落信道,RAKE接收技术就是分别接收每一路的信号进行解调 ,然后叠加输出来增强接收效果,在CDMA系统中多径信号不再是一个不利因素,而且变成了一个可供利用的有利因素。
(4)声码器速率的自适应阈值技术
CDMA系统使用了确定声码器速率的自适应阈值,自适应阈值可以根据背景声学噪音电平的变化改变声码器的数据速率。这些阈值的使用压制了背景声学噪声,因而在噪声环境下也能提供清晰的话音。