(5.1)--第五章移动通信中的鉴权与加密.pdf

《(5.1)--第五章移动通信中的鉴权与加密.pdf》由会员分享，可在线阅读，更多相关《(5.1)--第五章移动通信中的鉴权与加密.pdf（82页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北邮信息理论北邮信息理论与技术教研中心与技术教研中心BUPT Information Theory&Technology Education&Research Center第五章第五章移动通信中的鉴权与加密移动通信中的鉴权与加密2BUPT Information Theory&Technology Education&Research Center本章内容本章内容 信息安全涉及内容很广，本章仅讨论移动通信中信息安全的两个核心问题：鉴权(也称认证)与加密，而且主要以空中接口即接入过程介绍为主。本章共分六节：第一节为概述，第二节为保密学的基本原理，第三节讨论GSM中的鉴权与加密，第四节叙述IS-9

2、5中的鉴权与加密，第五节简介WCDMA与cdma2000中的鉴权与加密，第六节概述LTE、WiMax系统中的鉴权与加密，最后总结移动通信中的信息安全方法。3BUPT Information Theory&Technology Education&Research Center 5.1 概述概述 随着移动通信的迅速普及和业务类型的与日俱增，特别是电子商务、电子贸易等数据业务的需求，使移动通信中的信息安全地位日益显著。4BUPT Information Theory&Technology Education&Research Center5.1.1移动通信中的安全需求移动通信中的安全需求 在上世纪

3、八九十年代，模拟手机盗号问题给电信部门和用户带来巨大的经济损失，并增加了运营商与用户之间不必要的矛盾。移动通信体制的数字化，为通信的安全保密，特别是鉴权与加密提供了理论与技术基础。数据业务与多媒体业务的开展进一步促进了移动安全保密技术的发展。移动台与手持设备的认证也推动了移动安全技术的发展。5BUPT Information Theory&Technology Education&Research Center5.1.2移动环境中的安全威胁及相应措施移动环境中的安全威胁及相应措施 目前，移动通信最有代表性的是第三代移动通信系统(3G)安全体系结构如下USIM非3GPP接入网(AN)无线服务网络

4、(SN)3GPP接入网归属环境(HE)服务商应用程序用户应用程序移动设备(ME)应用层归属层服务层传输层(1)(1*)(1)(4)(2)(1*)(1*)(1)(1)(3)(1)(2)(1)图5.1 3GPP系统的安全体系结构6BUPT Information Theory&Technology Education&Research Center(1)网络接入安全(等级1)：主要定义用户接入3GPP网络的安全特性，特别强调防止无线接入链路所受到的安全攻击，这个等级的安全机制包括USIM卡、移动设备(ME)、3GPP无线接入网(UTRAN/E-UTRAN)以及3GPP核心网(CN/EPC)之间的安

5、全通信5.1.2移动环境中的安全威胁及相应措施移动环境中的安全威胁及相应措施。(1*)非3GPP网络接入安全：主要定义ME、非3GPP接入网(例如WiMax、cdma2000与WLAN)与3GPP核心网(EPC)之间的安全通信。(2)网络域安全(等级2)：定义3GPP接入网、无线服务网(SN)和归属环境(HE)之间传输信令和数据的安全特性，并对攻击有线网络进行保护。7BUPT Information Theory&Technology Education&Research Center5.1.2移动环境中的安全威胁及相应措施移动环境中的安全威胁及相应措施(3)用户域的安全(等级3)：定义USI

6、M与ME之间的安全特性，包括两者之间的相互认证。(4)应用程序域安全(等级4)：定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于VoIP业务，IMS提供了该等级的安全框架。(5)安全的可见度与可配置性：它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。8BUPT Information Theory&Technology Education&Research Center 以空中接口为主体的安全威胁包括如下几类情况：?窃听?假冒?重放?数据完整性侵犯?业务流分析?跟踪 来自网络和数据库的安全威胁包括以下三类情况：?网络内部攻击?对数据库的非法访问?对业务的否认5.1

7、.2移动环境中的安全威胁及相应措施移动环境中的安全威胁及相应措施9BUPT Information Theory&Technology Education&Research Center5.2 保密学的基本原理保密学的基本原理 5.2.1引言引言 上世纪40年代以前它基本上是一门经验性、技术性学科。四十年代末，C.E.Shannon发表了保密学的奠基性论文保密系统的信息理论5.4，从而创立统计保密学理论。1976年，美国学者W.Differ与M.Hellman发表保密学的新方向5.1，首先提出双钥制与公开密钥理论，为现代密码学奠定了基础，从而为广义密码学、认证理论、数字签名等现代密码学及其在现

8、代信息网中的应用开辟了新的方向。10BUPT Information Theory&Technology Education&Research Center 保密系统是以信息系统的安全性为目的的专用通信系统。信息安全是针对通信系统中授权的合理用户而言，而未授权的非法用户既可以在接收端窃听，5.2.2广义保密系统的物理、数学模型广义保密系统的物理、数学模型也可以在发送端主动攻击、非法伪造。传统的保密学仅研究前者即非法窃听，又称为狭义保密学，而两者均研究的则称为广义保密学。11BUPT Information Theory&Technology Education&Research Center

9、上图为一个典型广义保密通信系统。一个广义保密系统。若上述系统中仅有，且，该保密系统退化为传统的狭义保密系统。保密系统的核心是密钥和加、解密变换的实现算法。112,(,),(,)AKKKKSMK C T TTT=1(,)KKTT11KKTT=5.2.2广义保密系统的物理、数学模型广义保密系统的物理、数学模型12BUPT Information Theory&Technology Education&Research Center5.2.3序列密码序列密码 序列加密又称为流加密，属于串行逐位加密，即通过明文序列与密钥序列逐位模二加来生成对应的密文序列。序列密码实质上是仿效理想保密体制中的“一次一密

10、”体制，从而牺牲了部分的理想性能，而换取了易于产生、易于同步的优点，且密钥的管理、分配具有工程可实现性。序列密码的原理如下图所示：13BUPT Information Theory&Technology Education&Research Center 1.m序列非线性前馈加密算法序列非线性前馈加密算法 序列密码要求密钥具有较大的线性复杂度，并且除了在整体上具有伪随机特性以外，还必须进一步具有抗统计攻击的局部随机性。m序列虽然能完全满足Golomb随机性公设，但是它的线性复杂度很低，因此不能直接用作序列密钥。为了改善m序列的线性复杂度，最简单的方法是在m序列产生器上附加一个非线性前馈滤波器。

11、选取非线性前馈函数的标准是既保留m序列的伪随机特性与优点，又要设法提高线性复杂度。5.2.3序列密码序列密码14BUPT Information Theory&Technology Education&Research Center5.2.3序列密码序列密码 2.RC算法算法 RC系列算法是密钥长度可变的序列加密算法，其中最流行的是RC4算法，可以使用高达2048位的密钥，该算法的速度可以达到DES加密的10倍左右。RC4算法的原理是“搅乱”，包括初始化模块和伪随机子密码生成模块两大部分。初始化过程将一个256字节的数列进行随机搅乱，经过伪随机子密码生成模块处理后得到不同的子密钥序列，子密钥序

12、列和明文进行异或运算(XOR)后，得到密文。由于RC4算法加密采用的是异或，所以，一旦子密钥序列出现了重复，密文就有可能被破解。但是目前还没有发现密钥长度达到128位的RC4有重复的可能性，所以，RC4是目前最安全的加密算法之一。15BUPT Information Theory&Technology Education&Research Center5.2.4分组密码分组密码分组密码是对明文信息进行分组加解密，由于处理需要一定时延，因此适合于非实时加密。本节重点介绍分组加密基本原理与分组加密标准DES。下面举一个最简单的例子，令分组长度n3，明文与密文各有8种不同组合，明文m与密文c以及密钥

13、k(联线)的对应关系可以直观表示如右图所示。16BUPT Information Theory&Technology Education&Research Center 加密、解密方程与逻辑真值表如右：输入mc00输出000102100111062010001130110000410011175101100461100113711110151M2m3m1c2c3c 加密方程为：()()()123112312312312312321231231231231233123123123123123kkkcfm m mm m mm m mm m mm m mcfm m mm m mm m mm m mm

14、 m mcfm m mm m mm m mm m mm m m=解密方程为：()()()11111 2 31 2 31231 2 312 311 2 312 31231 2 312 311 2 31 2312312312 3kkkmgc c cc c cc c cc c cc c cmgc c cc c cc c cc c cc c cmgc c cc c cc c cc c cc c c=5.2.4分组密码分组密码17BUPT Information Theory&Technology Education&Research Center 将上述加、解密方程写成矩阵形式：即：=CK M0100

15、010000000011000000010001001010000000100001000000001111100000001100100000010001010110001000011010100000100111=同理有：即：1=MKC0000001000001000100100000110010100000000010110000001000010000000100111101000000011001100100000001111100001000101=5.2.4分组密码分组密码18BUPT Information Theory&Technology Education&Researc

16、h Center5.2.4分组密码分组密码1.DES算法算法DES是由IBM研制，并由美国国家安全局NSA认证安全。目前该标准已被广泛应用于全世界的数据加密中。DES可以构成分组(块)加密和序列(流)加密两种不同形式，但主要用于分组(块)加密，两者的唯一差别是密钥不同。DES算法把64位明文输入块变为64位密文输出块，它所使用密钥也是64位(56位密钥加8比特校验)。DES是一种Feistel结构的加密算法，即每次迭代分为左右两半，进行交叉加密操作。Horst Feistel(1915-1990)是德国物理学家和密码学家，在IBM工作期间提出了以其名字命名的加密技术，是DES标准的发明人之一。

17、19BUPT Information Theory&Technology Education&Research Center5.2.4分组密码分组密码 DES算法安全性很高，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。TripleDES算法又称3-DES，是DES算法改进，使用两个密钥对明文运行 DES算法三次，得到 112 位有效密钥，主要用于解决DES56位密钥的抵抗破解强度随着计算机运算速度加快而日益减弱的问题。20BUPT Information Theory&Technology Education&Research Center5.2.4分组密码分组

18、密码 2.Kasumi算法算法 Kasumi算法也是一种Feistel结构的分组密码，数据长度64比特，密钥长度128比特，经过8次迭代得到密文输出。Kasumi算法设计的关键与DES相同，也在于选择压缩S运算，这些映射专门针对差分与线性密码分析进行了优化，因此具有很高的非线性度。Kasumi算法的运算非常简单，可以在任意软硬件设备实现，既可以应用于分组加密，也可以应用于序列加密。Kasumi算法已经应用于GSM A5/3、GPRS GAE3加密算法，以及3GPP的加密(f8)和完整性保护(f9)算法中。21BUPT Information Theory&Technology Educatio

19、n&Research Center5.2.4分组密码分组密码 3.AES算法算法 为了应对计算机技术特别是互联网计算能力的快速增长导致的密码分析能力的迅猛发展，2000年底，美国国家标准技术局NIST决定采用新的高级加密标准AES逐步替代DES。AES的设计基于替代重排结构，不采用Feistel结构。AES的数据长度为128比特，密钥长度128、192或256比特，核心运算都基于Rijndael算法。22BUPT Information Theory&Technology Education&Research Center5.2.5公开密钥密码公开密钥密码 公开密钥打破了传统的单钥制对密码学的

20、垄断，奠定了双钥制公开密钥的新思路，为现代密码学的发展奠定了基础。本节介绍公开密钥基本原理和RSA算法。23BUPT Information Theory&Technology Education&Research Center1.公开密钥的基本原理1Bk2Bk 在上面公开密钥通信系统中，每个用户都有一对加、解密密钥，比如用户B的加解密密钥为，其中是加密密钥是公开的，可查找的，称为公钥，而是解密密钥是秘密的，它仅为用户B私有，称为私钥。12(,)公开密钥采用发收不对称的两个密钥，且将发端加密密钥公开，而仅把解密密钥作为保密的私钥。公开密钥的双钥制物理与数学模型如下所示：K K12(,)BBKK

21、1BK2BK5.2.5公开密钥密码公开密钥密码24BUPT Information Theory&Technology Education&Research Center 任何一个其它用户比如用户A若想要与用户B进行保密通信，可以首先查找到用户B的公钥进行下列加密运算：。在接收端，仅有合法用户B掌握属于自己的私钥，因此可以进行正常解密运算，并恢复原来明文m：对于其它非法用户，虽然也能窃获密文，但是由于不掌握B用户私钥，故无法解密。在公开密钥系统中，加密与解密的密钥是两个分别为公钥和私钥，且是非对称的，因此又称为非对称密钥体制。1BK1()BKCEm=1222 ()BBBBKKKKmDcDcDE

22、mm=c1K2K12KK5.2.5公开密钥密码公开密钥密码25BUPT Information Theory&Technology Education&Research Center 对每个单程保密信道有一对加解密变换：，其中加密密钥和加密变换(算法)是公开的、可查找的，而解密密钥与解密变换(算法)是秘密的，必须存在有效地产生与的简单可行方法，来实现公开密钥体制。为了满足上述要求，公开密钥提出者建议采用一类单向陷门函数作为加、解密变换的算法。若函数为单向函数，则它应满足：对每个，计算很容易实现；而若由y计算x是极其困难的(NP问题)。若函数f进一步满足存在某个陷门函数k，当k未知时，为单向函数

23、，但是若k已知时，则从中已知y求解x是可以办得到的(P类问题)。目前已找到的单向陷门函数有：RSA体制、背包体制、McEliece体制、二次剩余等等。()()1212,KKKKTTED=1KE2KD()yf x=xX()yf x=()yf x=()yf x=5.2.5公开密钥密码公开密钥密码26BUPT Information Theory&Technology Education&Research CenterRSA是美国麻省理工MIT三位教授Rivest、Shamir和Adleman于1978年提出，后人以他们三人字头RSA命名，它是迄今为止最为成功的公开密钥体制。RSA体制是建立在数论和

24、计算复杂度的基础上，采用离散指数的同余运算来构造加、解密算法。加密时：将明文m自乘e次幂，除以模数n，余数则构成密文c。即：。解密时：将密文c自乘d次幂，再除以模数n，其余数为待解的明文m。即：。mod necm=mod ndmc=2.RSA体制5.2.5公开密钥密码公开密钥密码27BUPT Information Theory&Technology Education&Research Center RSA具体算法步骤为：每个用户选取两个大素数 和，计算其积和欧拉函数，并选择一个任意整数e，使它满足，即e与互素，且。一般选、为不小于40位的十进制数。按加密方程(算法)构成密文c并送出：。由下

25、列同余方程求出解密指数幂次d：。且，只要用欧几里德算法进行次运算即可求出d值。按下列解密方程求解明文m：1p2p12npp=12()(1)(1)npp=(,()1en=()n1()en1p2p1()mod neKcEmm=1 mod(n)e d1()dn2log()n221()()mod n=()mod n=mod ndedKKKmDcDEmcmm=5.2.5公开密钥密码公开密钥密码28BUPT Information Theory&Technology Education&Research Center 下面举一简单例子说明RSA体制。设，明文m=2，则有，选加密指数幂指数e=7，再选解密指

26、数幂指数满足，且，则，或。因此求解出5时，d=343。按加密方程求密文，按解密方程可以求得明文：117p=231p=1217 31527npp=12()(1)(1)16 30480npp=1 mod(n)e d=i1()dn1/mod(n)de=e(n)1d=+7modn=2 mod527128ecm=343256641642mod n128mod 527128128128128 128 128mod 527 35 256 35 101 47 128mod 5272mod 527dmc=5.2.5公开密钥密码公开密钥密码29BUPT Information Theory&Technology

27、Education&Research Center5.2.6认证系统认证系统 信息服务中还存在另一类信息安全问题，即来自发送端非法用户的主动攻击，包含非法用户的伪造纂改、删除、重放，甚至是来自合法用户的抵赖与纂改等。这类来自发送端的非法攻击的防范措施通称为认证技术，在移动通信中称为鉴权技术。认证系统的基本原理如下图所示：30BUPT Information Theory&Technology Education&Research Center1.消息认证(,)f m k 一个消息认证系统是由明文M、密钥K、密文C和认证函数以及认证码集合组成的。2G、3G和4G移动通信系统中对合法用户的鉴权都属

28、于身份认证。GSM系统中用户识别码IMSI存储在SIM卡与AuC中；IS-95系统中用户序列号ESN存储在移动台或UIM卡与AC中；UMTS/cdma2000系统中，用户识别码IMSI存储在USIM卡与AuC中。(,)A m k5.2.6认证系统认证系统31BUPT Information Theory&Technology Education&Research Center2.数据完整性保护数据完整性保护在3G以后的移动通信系统中，为了防止数据传输的中间截获攻击，数据完整性保护得到了更多重视。在发送端，使用加密算法对发送数据进行计算，得到一小段附加消息。这一小段数据与发送数据每一位都相关。然

29、后将其与原数据一起通过信道发送。在接收端，根据接收到的数据重新计算附加消息，并与接收到的附加消息比较，用它可判断原数据的内容是否被改变，出处是否真实。单向杂凑Hash函数，是一种用于数据完整性保护的典型技术，下面简要介绍其原理。Hash函数是一类单向函数，也可称作消息摘要(Message Digest)函数，主要用于鉴权认证和数字签名。它以长度可变的消息M为输入并将其变换成长度固定的消息摘要函数H(M)作为输出，且一般，例如H(M)可以是16、64或128比特，而M则为兆字节或更长。5.2.6认证系统认证系统32BUPT Information Theory&Technology Educat

30、ion&Research Center5.2.6认证系统认证系统Hash函数具有下列主要性质：(1)H(M)适用于任何变长输入消息的数据块；(2)H(M)本身是定长输出；(3)H(M)应按用户特殊保密要求对给定的M进行计算。根据指定消息摘要H(M)求得消息M至少在计算上是极其困难的。对于任意给定的消息M要找到另一个消息，使在计算上也是不可行的，换言之，要找到映射到同一个消息摘要的两个不同的M与在计算上是不可行的，满足这一性质的Hash函数称为抗碰撞的Hash函数。反之，如果找到一对消息，具有相同的摘要，则称为产生一次碰撞。一般的，碰撞分为“强无碰撞”和“弱无碰撞”。强无碰撞无法产生有实际意义的

31、原文，也就无法篡改和伪造出有意义的明文。而弱无碰撞则指根据消息摘要可以构造另一个有实际意义的原文，从而可以篡改和伪造数据。33BUPT Information Theory&Technology Education&Research Center5.2.6认证系统认证系统 值得指出的是，在Crypto2004年会上，我国学者王小云等人成功找到MD4、MD5、HAVAL-128和RIPEMD等四种消息摘要算法的强无碰撞，后来又找到了SHA-1算法的强无碰撞，这是密码学界的一个重大突破。尽管这些结果只具有理论意义，还不是弱无碰撞，但它表明现有的消息摘要算法都存在缺陷，我们需要重新审视这些算法的安全

32、性。34BUPT Information Theory&Technology Education&Research Center5.3 GSM系统的鉴权与加密系统的鉴权与加密 为了保障GSM系统的安全保密性能，在系统设计中采用了很多安全、保密措施，其中最主要的有以下四类：?防止未授权的非法用户接入的鉴权(认证)技术?防止空中接口非法用户窃听的加、解密技术?防止非法用户窃取用户身份码和位置信息的临时移动用户身份码TMSI更新技术?防止未经登记的非法用户接入和防止合法用户过期终端(手机)在网中继续使用的设备认证技术35BUPT Information Theory&Technology Educa

33、tion&Research Center 鉴权(认证)5.3.1防止未授权非法用户接入鉴权防止未授权非法用户接入鉴权(认证认证)技术技术目的是防止未授权的非法用户接入GSM系统。其基本原理是利用认证技术在移动网端访问寄存器VLR时，对入网用户的身份进行鉴别。GSM系统中鉴权的原理图如右所示。36BUPT Information Theory&Technology Education&Research Center 本方案的核心思想是在移动台与网络两侧各产生一个供鉴权(认证)用鉴别响应符号SRES1和SRES2，然后送至网络侧VLR中进行鉴权(认证)比较，通过鉴权的用户是合理用户可以入网，通不过

34、鉴权的用户则是非法(未授权)用户，不能入网。在移动台的用户识别卡SIM中，分别给出一对IMSI和个人用户密码Ki。在SIM卡中利用个人密码Ki与从网络侧鉴权中心AUC和安全工作站SWS并经VLR传送至移动台SIM卡中的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。在网络侧，也分为鉴权响应符号SRES1的产生与鉴权比较两部分。5.3.1防止未授权非法用户接入鉴权防止未授权非法用户接入鉴权(认证认证)技术技术37BUPT Information Theory&Technology Education&Research Center5.3.2 防止空中接口窃听的加解密技术防止空中接

35、口窃听的加解密技术 这种技术的加密目的是防止非法窃听用户的机密信息，它的基本原理遵循密码学中序列(流)加密原理。其加解密原理框图如左所示。本方案基本思路是在移动台以及网络侧分别提供话音/数据业务加、解密用序列(流)加、解密密钥，以供用户加解密用。38BUPT Information Theory&Technology Education&Research Center5.3.3临时移动用户身份码临时移动用户身份码TMSI更新技术更新技术 为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。

36、TMSI的具体更新过程原理如上图所示，由移动台侧与网络侧双方配合进行。39BUPT Information Theory&Technology Education&Research Center5.3.4 防止非法或过期设备接入的用户识别寄存防止非法或过期设备接入的用户识别寄存器器(EIR)这项技术的目的是防止非法用户接入移动网，同时也防止已老化的过期手机接入移动网。在网络端采用一个专门用于用户设备识别的寄存器EIR，它实质上是一个专用数据库。负责存储每个手机唯一的国际移动设备号码IMEI。根据运营者的要求，MSC/VLR能够触发检查IMEI的操作。40BUPT Information The

37、ory&Technology Education&Research Center5.3.5 GSM安全性能分析安全性能分析尽管GSM系统成功引入了鉴权与加密技术，但随着GSM系统在全球大规模商用化，暴露出诸多安全缺陷，可以总结为六方面的技术漏洞。1.SIM/MS接口翻录接口翻录SIM-ME之间的接口不受保护，因此当合法用户的SIM卡被插入仿真的非法移动设备中时，SIM卡和MS接口间的消息都可以被截获和翻录。2.A3/A8算法破解算法破解GSM系统中采用Comp128算法实现A3和A8。但Wagnner和Gold berg等人指出如果收集160000个RAND-SRES对，可以获取Ki。因此如果

38、获取合法用户的SIM卡，大约只要花10个小时，就可以破解Comp128算法。41BUPT Information Theory&Technology Education&Research Center5.3.5 GSM安全性能分析安全性能分析3.A5算法漏洞算法漏洞Biryukov和Shamir5.16以及Wagner5.17等人发现了A5算法的分析方法。这种方法首先建立算法状态和密钥流对应的数据库，然后通过对截获数据的匹配搜索，即可以轻易获得Kc密码。文献指出，一定条件下，只要耗时2分钟，甚至2秒钟，就可以破解A5/1和A5/2算法。4.SIM卡攻击卡攻击由于SIM只是一个简单集成电路，可以

39、采用逆向工程方法，直接从卡中解析IMSI和Ki等安全数据。另外，IBM研究人员指出，采用分割攻击方法，也能够快速克隆SIM卡。这说明，SIM的物理安全性亟待加强。42BUPT Information Theory&Technology Education&Research Center5.3.5 GSM安全性能分析安全性能分析5.网络伪装攻击网络伪装攻击更为严重的问题是GSM只提供了单向认证，即网络对用户的认证。因此可以采用伪装的网络单元，如伪基站对MS发起攻击，获取MS的IMSI、Ki与Kc。并且这种方法要比直接破解鉴权与加密算法更方便。6.网络数据明文传输网络数据明文传输另一个严重问题是在

40、GSM网络侧，所有用户数据与信令都是明文传输，因此如果在网络侧进行监听与截获，则能够比空中接口更容易获取所需信息。43BUPT Information Theory&Technology Education&Research Center5.4 IS-95系统的鉴权与加密系统的鉴权与加密 IS-95中的信息安全主要包含鉴权(认证)与加密两个方面的问题，而且主要是针对数据用户，以确保用户的数据完整性和保密性。鉴权(认证)技术的目的：确认移动台的合理身份、保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。加密技术的目的是防止非法用户从信道中窃取合法用户正在传送的机密信息，它包括：信令加

41、密、话音加密、数据加密。44BUPT Information Theory&Technology Education&Research Center5.4.1 鉴权认证技术鉴权认证技术 在IS-95标准中，定义了下列两个鉴权过程：全局查询鉴权和唯一查询鉴权。鉴权基本原理是要在通信双方都产生一组鉴权认证参数，这组数据必须满足下列特性：?通信双方、移动台与网络端均能独立产生这组鉴权认证数据?必须具有被认证的移动台用户的特征信息?具有很强的保密性能，不易被窃取，不易被复制?具有更新的功能?产生方法应具有通用性和可操作性，以保证认证双方和不同认证场合，产生规律的一致性45BUPT Informatio

42、n Theory&Technology Education&Research Center 满足上述五点特性的具体产生过程如右图所示。IS-95系统的鉴权认证过程涉及到以下几项关键技术：?共享保密数据SSD的产生?鉴权认证算法?共享保密数据SSD的更新5.4.1 鉴权认证技术鉴权认证技术46BUPT Information Theory&Technology Education&Research Center1.SSD的产生 SSD是存贮在移动台用户识别UIM卡中半永久性128bit的共享加密数据，其产生框图如下所示。SSD的输入参数组有三部分：共享保密的随机数据RANDSSD、移动台电子序号

43、ESN、鉴权密钥(A钥)、填充。SSD输出两组数据：SSD-A-New是供鉴权用的共享加密数据；SSD-B-New是供加密用的共享加密数据。5.4.1 鉴权认证技术鉴权认证技术47BUPT Information Theory&Technology Education&Research Center2.鉴权认证算法 这一部分是鉴权认证的核心，鉴权认证输入参数组含有5组参数：随机查询数据RANDBS；移动台电子序号ESN；移动台识别号第一部分；更新后的共享保密数据SSD-A-New；填充。鉴权核心算法：包含以下两步：?利用单向Hash函数，产生鉴权所需的候选数据组?从鉴权认证的后选数据组中摘要抽

44、取正式鉴权认证数据AUTHR，供鉴权认证比较用5.4.1 鉴权认证技术鉴权认证技术48BUPT Information Theory&Technology Education&Research Center3.SSD的更新 为了使鉴权认证数据AUTHBS具有不断随用户变化的特性，要求共享保密数据应具有不断更新的功能。SSD更新框图如右图所示。5.4.1 鉴权认证技术鉴权认证技术49BUPT Information Theory&Technology Education&Research Center5.4.2 加密技术加密技术 IS-95系统可以对下列不同业务类型进行加密：?信令消息加密?话音

45、消息加密?数据消息加密 IS-95系统就业务而言，可以分为信令、话音与数据，但是就加密模式而言，则可分为两大类型：?信源消息加密：其中外部加密方式和内部加密方式。?信道输入信号加密50BUPT Information Theory&Technology Education&Research Center5.5 3G系统的信息安全系统的信息安全 本节主要简介WCDMA系统的鉴权与认证 3G安全体系目标为：?确保用户信息不被窃听或盗用?确保网络提供的资源信息不被滥用或盗用?确保安全特征应充份标准化，且至少有一种加密算法是全球标准化?安全特征的标准化，以确保全球范围内不同服务网之间的相互操作和漫游?

46、安全等级高于目前的移动网或固定网的安全等级(包括GSM)?安全特征具有可扩展性51BUPT Information Theory&Technology Education&Research Center5.5.1 WCDMA系统的鉴权与加密系统的鉴权与加密为了克服GSM系统的安全缺陷，WCDMA系统采用了双向认证技术，建立了完整的认证与密钥协商机制(AKA)。1.UMTS安全体系结构与安全体系结构与AKA过程过程图5.16 UMTS安全体系结构52BUPT Information Theory&Technology Education&Research Center5.5.1 WCDMA系统的

47、鉴权与加密系统的鉴权与加密1.UMTS安全体系结构与安全体系结构与AKA过程过程 UMTS安全体系主要涉及到USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC等网络单元。所采用的AKA过程分为两个阶段。阶段1是HE与SN之间的安全通信，认证向量AV通过SS7信令的MAP协议传输。由于MAP协议本身没有安全功能，因此3GPP定义了扩展MAP安全协议，称为MAPsec，用于传输认证矢量AV=(RAND(随机数)，XRES(期望应答)，CK(加密密钥)，IK(完整性密钥)，AUTH(认证令牌)。53BUPT Information Theory&Technology Education

48、&Research Center5.5.1 WCDMA系统的鉴权与加密系统的鉴权与加密1.UMTS安全体系结构与安全体系结构与AKA过程过程 阶段2是SN和用户之间的安全通信，采用一次处理方式，在USIM与SGSN/VLR之间进行质询-应答处理。实现用户和网络的双向认证。UMTS在ME与RNC之间实现加密和完整性保护，对于业务数据和信令，都进行加密，为了降低处理时延，只对信令进行完整性保护。54BUPT Information Theory&Technology Education&Research Center 为了满足不同制造商设备(手机、基站)之间的互连互通，必须要求3G空中接口安全算法

49、标准化，目前定义的标准算法是Kasami算法，它同时适用于数据加密和接入链路数据完整性的f8与f9算法。55BUPT Information Theory&Technology Education&Research Center1.数据加密算法 f8算法在3G中用户终端设备UE与无线网络控制器RNC中链路层RLC/MAC层中实施。WCDMA系统数据加密原理如上所示。56BUPT Information Theory&Technology Education&Research Center2.接入链路数据完整性保护 f9算法为数据完整性保护算法，在UE与RNC之间实施，可以选用16种不同算法，应

50、该采用标准化算法。WCDMA系统中消息认证码MAC-1或XMAC-1产生原理图如上所示。57BUPT Information Theory&Technology Education&Research Center 4.UMTS安全性能总结安全性能总结 UMTS的接入安全机制要远好于GSM，质询应答机制提供了用户与网络的双向认证，消除了伪基站的安全威胁。UMTS系统中采用的认证算法集合也比GSM系统中的A3/A8安全性能更好。UMTS中的加密算法性能远好于GSM中的A5算法。Kasumi算法自从提出以来，仍然被认为非常安全，预计能够有20年的安全期。并且随着技术的进展，可以将加密算法升级为更安全