第三代移动通信系统网络接入安全机制分析

第三代移动通信系统网络接入安全机制分析
戴沁芸
【摘要】3G移动通信系统中的接入安全技术是在2G安全基础上建立起来的,克服了GSM中的问题,增加了新的安全功能,虽然3C系统网络接入的安全协议较GSM 系统有所改进,特别是增加了移动台对网络的鉴权,但安全协议并没有完全达到其设计目标,如何完善还需进一步探讨.
【期刊名称】《现代电信科技》
【年(卷),期】2010(000)004
【总页数】6页(P12-17)
【关键词】3G;网络安全;网络接入;身份识别;鉴权
【作者】戴沁芸
【作者单位】国家计算机网络应急技术处理协调中心上海分中心
【正文语种】中文
无线网络的应用扩展了用户的自由度，网络结构方便、灵活、经济，可提供无线覆盖范围内全功能漫游服务。

然而，这种结构给网络安全带来了挑战。

由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性，使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境。

例如防火墙对通过无线电波进行的网络通讯无法发挥作用，任何人在区域范围之内都可以截获和插入数据，计算量大的加密/解密算法不适宜用于移动设备等。

因此，需要研究新的适合于无线
网络环境的安全理论、安全方法和安全技术[1]。

第三代移动通信系统（3G）是一个在全球范围内覆盖与使用的网络系统，信息的
传输既经过全开放的无线链路亦经过开放的全球有线网络。

第三代移动通信系统提供的业务包括语音、多媒体、数据、电子商务、电子贸易、互联网服务等多种信息。

3G移动通信系统中的安全技术是在第二代移动通信系统（2G）安全基础上建立起来的，它克服了GSM中的安全问题，增加了新的安全功能。

未来的移动通信系统已向开放式网络演进，它可为用户提供开放式应用程序接口以满足用户的个性化需求。

网络的开放性以及无线传输的特性，使移动通信系统的网络安全成为需要研究的核心问题之一。

1 3G系统的整体安全架构
3G安全系统基本以2G安全系统为基础，保留了2G中被证明是必要和有效的安
全功能，同时考虑了与2G的兼容。

3G系统安全逻辑结构如图1所示，它分为三
个层面，定义了五个安全特征组[2]，每一类安全特征组针对一定的安全威胁进行
设计，实现相应的安全防护。

五个安全特征组基本情况如下：
图1 3G系统安全逻辑结构
（1）网络接入安全。

网络接入安全提供四个方面的安全特性：
用户标识的保密性：包括用户标识的保密、用户位置的保密以及用户的不可追踪性；实体认证：包括用户认证和网络认证；
加密：包括加密算法协商、加密密钥协商、用户数据的加密和信令数据的加密；
数据完整性：包括完整性算法协商、完整性密钥协商、数据完整性和数据源认证。

（2）网络域安全。

网络域安全分为三个层次：
第一层（密钥建立）：密钥管理中心产生并存储非对称密钥对，保存其他网络的公开密钥，产生、存储并分配用于加密信息的对称会话密钥，接收并分配来自其他网络的用于加密信息的对称会话密钥；
第二层（密钥分配）：为网络中的节点分配会话密钥；
第三层（安全通信）：使用对称密钥实现数据加密、数据源认证和数据完整性保护。

（3）用户域安全。

用户域安全提供两个方面的安全特性：第一，用户到用户服务身份模块（USIM）的认证：用户接入到USIM之前必须经过USIM的认证，确保接入到USIM的用户为已授权用户；
第二，USIM到终端的连接：确保只
有授权的USIM才能接入到终端或其他用户环境。

（4）应用程序域安全。

USIM应用程序为操作员或第三方运营商提供了创建驻留
应用程序的能力，这就需要确保通过网络向USIM应用程序传输信息的安全性。

其安全级别可由网络操作员或应用程序提供商根据需要选择。

（5）安全可见度与可配置性。

安全可见度是指通常情况下，安全特性对用户是透明的。

第三代移动系统中，对一些特定事件或按照用户需求提供了更大的安全特性操作可见度，包括：
接入网络加密提示，通知用户是否保护传输的数据，特别是建立非加密的呼叫连接时进行提示；
安全级别提示，通知用户被访问网络提供什么样的安全级别，特别是当用户被递交或漫游到低安全级别的网络（如3G到2G）时进行提示。

用户可对安全特性进行
配置。

这些特性包括：允许或不允许用户到USIM的认证；接收或不接收未加密
的呼叫；建立或不建立非加密的呼叫；接收或拒绝使用某种加密算法。

上述五个安全特征组，在网络接入域安全方面的规范相对成熟，而网络域安全、终端安全、网络安全管理及其他规范等方面还并不完善。

以下主要对3G系统中的网络接入域安全机制[3]进行分析。

2 3G网络接入的安全机制
2.1 通过临时身份识别
这种机制允许通过临时用户身份（TMSI）在无线接入链路上识别用户。

TMSI只
在用户登记注册的位置区或路由区才有意义。

为了不引起混淆，一旦出了注册区，它必须与位置区域标识（LAI）或路由区域标识（RAI）一起使用。

永久用户身份（IMSI）和TMSI的关联保存在用户登记的访问位置寄存器（VLR/SGSN）中。

在给用户分配了TMSI之后，就可用它在无线接入路径上识别用户了，比如寻呼请求、位置更新请求、连接请求、服务请求、连接重建立请求和分离请求等。

2.2 通过永久身份识别
这种机制允许通过IMSI在无线接入链路上识别用户。

当服务网（SN）无法用TMSI识别用户时，特别是当用户第一次登记接入SN或是SN无法从TMSI得到IMSI时，网络将要求用户采用IMSI来标识自己。

该机制由拜访的SN/VLR发起，向用户请求IMSI。

用户可选择两种方法来响应，一是与GSM一样使用明文IMSI；二是使用扩展加密移动用户身份XEMSI。

采用明文的IMSI是为了与第二代保持兼容。

一般在第三代移动通信系统中，移动用户配置成增强型用户身份保密机制时，使用XEMSI。

XEMSI包含了用户身份解密的节点地址（UIDN_address）和一个用于传送加密用户身份(EMSI)的容器。

这种机制允许用户通过使用由组密码加密的用户永久身份在无线接入链路上识别自己。

在收到VLR/SGSN的身份请求后，MS/USIM把IMSI加密后嵌入归属环境信息（HE-message）中，并且用归属环境身份（HE-id）来向SN/VLR指明可以解密该HE-message的UIDN(或称：归属环境用户与服务网络的相互身份认证即
HE/UIC)的地址。

SN/VLR收到HE-message后，根据HE-id再把该消息传送到
相应的HE/UIC，HE/UIC解密后把用户的IMSI传递给SN/VLR。

在收到用户的IMSI后，就可以启动TMSI分配过程，此后将使用TMSI来识别移动用户身份。

此外，3G系统中还引入了一种增强型用户身份保密机制，规定了每个用户都属于某一个组，每个组都拥有一个组标识（GI）；每个用户组都有一个组密钥（GK），
该组的所有用户和用户的归属网络共享该密钥，该密钥安全地保存在USIM和
HE/UIDN中。

用户使用用户认证中心UIC生成的序列号（SQNUIC）作为时变参数，用来防止跟踪性的被动攻击，以及用以保持USIM与HE中推导出的TEMSI
同步。

用户发送的响应信号包括MCC||MNC和用户MSIN的头三个数字，这三个数字指明了用户归属网络中所用的HLR。

从上述过程来看，3G中对用户永久身份的保密有所加强。

用户永久身份不再使用明文方式在无线接入链路上传送，相比2G用户身份的安全有了较大提升。

但从UIDN传给VLR/SGSN的解密用户身份仍然使用了明文方式，因此该方法依然有
待改进。

2.3 认证和密钥协商(AKA)
该机制实现了用户与网络之间的双向认证。

用户与网络共享一个密钥，该密钥只保存在USIM和用户归属域（HE）的认证中心（AuC）中。

同时USIM和AuC分别跟踪SQNMS和SQNHE的变化以支持网络认证。

序列号SQNHE是为每一个用
户配备的独立计数器，而序列号SQNMS则指明了USIM可接收的最大序列号值。

通过采用这种方法达到了与当前GSM安全结构的最大兼容性，同时使得由GSM
向UMTS的演进更加容易，其具体过程如图2所示。

收到VLR/SGSN的请求之后，HE/AuC发送一组有序的n个认证矢量给
VLR/SGSN，认证矢量基于序列号排序。

每个认证矢量包括如下部分:一个随机数（RAND），期望响应（XRES），加密密钥（CK），完整性密钥（IK），和一个认证令牌（AUTN）。

每个认证向量只对VLR/SGSN与USIM间的一次认证与密
钥协商有效。

当VLR/SGSG初始化一个认证与密钥协商后，它会从其有序数组中选择下一个认
证向量，将RAND与AUTN发送给用户。

认证向量的使用遵循先入先出（FIFO）
原则。

USIM检验AUTN是否可以被接受，如果可以，产生一个应答（RES）发回VLR/SGSN。

同时 USIM也会计算出 IK、CK。

VLR/SGSN将接收到的RES与XRES比较，如果相同，VLR/SGSN则认为认证与密钥协商，其交换成功完成。

建立的CK和IK也会由USIM和VLR/SGSN传送给执行加密和完整性保护功能的实体。

当HE/AuC链路不可用时，VLR/SGSN依然可以通过使用前面得到的加密和完整
性密钥来提供安全服务，这样便不需要认证和密钥协商仍然可以建立安全连接。

这种情况下其认证是通过一个共享的完整性密钥，通过对信令消息的数据完整性保护。

认证的实体是用户归属域HE的AuC和用户移动台的USIM。

其认证机制包含下
列过程：
认证信息从HE/AuC到VLR/SGSN的分发过程。

用户的HE认为VLR/SGSN能
够安全地处理认证信息，同样假设VLR/SGSN和HE/AuC之间的内部链路是足够安全的，并进一步假定用户完全信任HE；
互相认证以及在VLR/SGSN和MS之间建立新的加密和完整性密钥过程；
从以前访问的VLR向新访问的VLR分发认证信息的过程；这里同样假设
VLR/SGSN之间的链路是足够安全的。

2.3.1 HE到SN的认证数据分发
该过程的目的是从用户的归属环境HE给VLR/SGSN提供一组最新的认证向量来
执行用户认证（如图 3）。

图3 认证数据的发布
VLR/SGSN通过向HE/AuC请求认证向量调用该过程。

认证数据请求中应该包括IMSI和所请求的节点类型（PS或CS）。

在收到由VLR/SGSN发送的认证数据请求后，HE会计算认证向量的需求号，并从HLR的数据库中提取，或者也可以按
照需要计算认证数据。

HE/AuC发送认证数据响应给VLR/SGSN，其中包括一个
有序的n维认证向量组AV(1…n)。

2.3.2 认证和密钥协商
该过程的目的是认证用户，并在VLR/SGSN与USIM间建立一对新的加密密钥与完整性密钥。

在认证过程中，USIM验证认证向量的新旧属性（如图4）。

图4 认证与密钥的建立
VLR/SGSN从它的数据库中的有序认证向量组中选取下一个没有使用的认证向量，从而调用该过程。

认证向量按照FIFO的原则来选取。

VLR/SGSN把选取的认证向量中的RAND和AUTN发送给USIM。

3 3G系统网络接入安全机制存在的缺陷
虽然3G系统网络接入的安全协议较GSM系统有所改进，特别是增加了移动台对网络的鉴权，但安全协议并没有完全达到其设计目标。

3.1 认证协议攻击
3G网络接入安全机制是以核心网安全为前提条件的，因此在认证与密钥协商的协议中，认证向量是通过明文传输的。

如果攻击者对VLR与HLR之间的信息进行窃听，就可以获得HLR传给VLR的认证向量（AV），从而获得CK与IK。

此时，
攻击者再假冒该合法用户身份入网，即可实现正常的保密通信，而且合法用户传送的信息也就失去了保密性，其过程如图5所示。

3.2 对SQN的依赖
CK、IK的新旧属性主要取决于随机数的新旧属性，而随机数的新旧属性又取决于SQN的新旧属性。

SQN本身的设计方法可以保证使用过的鉴权向量不会被再次使用，也就是说这种类型的重放攻击是无法生效的。

但是根据3G的移动管理协议，攻击者可以取得新旧属性的鉴权向量来给用户鉴权。

通过这种方法，攻击者既欺骗了网络又欺骗了用户，达到了攻击的目的。

但这种攻击方式最大的问题就是难以实现，因为模拟一个基站发射WCDMA信号的技术是十分困难的。

3.3 无法抵御拒绝服务攻击
根据3GPP协议，用户IMSI完全可能在无加密的条件下传输。

所以攻击者只需制作一张被攻击方IMSI的USIM卡就可以实施这种攻击。

这种攻击需要MS能发出错误的RES，一般的MS并不能做到这点。

但是，只需将步骤稍做改变，即使是普通的MS也能实施拒绝服务攻击。

由于USIM中的IMSI与合法用户的IMSI是一致的，所以ID请求无法取得鉴别用户的目的。

通过以上两种的攻击方式，可以使得合法用户在网络侧的资源被非正常释放掉，导致用户掉线。

3.4 未提供用户数据完整性保护
3G的完整性保护机制只用在UE和RNC之间信令数据传输中，没有提供用户数据的完整性保护能力。

当然，用户数据没有得到完整性保护并不表明完全不能抵抗攻击者的恶意篡改，差错控制机制能够检测和纠正数据中的一些更改。

3.5 “伪基站”技术
“伪基站”通过广播信号合成和功率调整等方法能吸引指定区域内手机注册，一旦目标用户注册到该基站，该用户就不能得到合法网络提供的服务。

3.6 2G与3G并存期的攻击
3G终端与2G网络的兼容，以及2G终端与3G网络的兼容均可能带来潜在的安全隐患。

4 3G系统网络接入安全机制的后续工作
3G移动通信系统的主要特点之一是提供了更完善的安全特性，从其网络接入部分的安全结构中可以看出，3G系统变化很大，无论从提供的服务种类，还是从服务质量上都有很大改观。

但3G系统网络接入安全机制仍存在一些开放问题有待继续研究，包括数据保密、数据完整性、移动设备的识别、全网范围内加密与合法侦听等。

数据保密性方面存在如下问题有待解决：一是密文生成的同步问题；二是不同核心网络之间加密和加密密钥的选择问题；三是如何决定信息加密的起始点。

数据完整性方面的主要问题包括信息保护的选择原则和如何对数据完整性功能进行集成。

移动设备识别是指在一些情况下，SN需要移动终端提供全球唯一设备识别号（IMEI），以便验证设备的合法性，例如是否是被盗手机等。

这一需求在2G系统中已提出，但该功能的实现机制并不安全，3G系统如何对其完善还需进一步探讨。

全网范围内加密和合法侦听是3G系统提出的新功能，然而这两个功能之间存在一定的矛盾。

如果提供全网范围内加密，那么势必使合法侦听变得困难。

现有的2G 系统只提供无线链路上的加密，在有线网段数据是以明文方式传输的，所以侦听很容易实现。

3G系统为得到更高的安全性能，希望数据在全网范围内进行加密传送，因此在有线网段必须提供合法侦听的接口，在需要的时刻进行侦听。

但是，目前侦听接口如何提供仍未明确。

如果用户选择全网加密功能，将会涉及到一系列问题，如：全网加密的同步机制设计；数据通道如何适应全网加密功能；如何为内网用户通道在网关终止全网加密功能和全网密钥管理功能；如何处理多方会话；如何进行全网加密控制算法选择、模式选择和用户控制；在建立连接时用户和VLR间交换
访问链路密钥的确切机制等。

参考文献
[1]杨义先.无线通信网中的安全技术【M】.北京：人民邮电出版社,2005.
[2]Christos Xenakis,Lazaros Merakos.Security in third generation mobile puter Communications 27（2004）,638-650.
[3]3GPP TS33.102:“3rd Generation partnership Project;Technical Specification Group Services and System Aspects;3G Security;Security
Architecture”.。