2G3G4G系统中鉴权与加密技术演进

2G/3G/4G系统鉴权与加密技术演进
学院：电子信息学院
班级：12通信B班
学生姓名：***
许冠辉
黄立群
指导老师：***
完成时间：2015.04.19
【摘要】
本文研究内容主要是几大网络的安全机制。

这项研究是颇具现实意义的，因为一个网络的安全性直接关系到用户和网络运营商本身的利益。

保证合法的用户获取服务和网络正常的运营，保证用户的信息完整、可靠的传输，实现保密通信，要求有一套缜密的安全机制，这是对网络和服务的更高层次的要求，也是现如今颇受关注的话题。

本文主要研究内容是WCDMA、LTE 的安全机制，为了更好地了解WCDMA的安全机制必须溯源到GSM的鉴权机制，从对比和演进的角度来看待这三种网络的安全机制的特点。

【关键词】GAM，3G，LTE，鉴权与加密
目录
1、概述 (4)
1.1移动通信系统中鉴权和加密产生的背景 (4)
2、保密通信的基本原理 (4)
2.1工作原理 (4)
2.2数学模型的建立 (4)
3、GSM系统的鉴权与保密 (5)
3.1 GSM系统中鉴权 (5)
3.2 GSM加解密 (7)
3.3 TMSI的具体更新过程 (8)
3.4 GSM安全性能分析 (9)
4、3G系统信息安全 (9)
4.1 WCDMA系统的鉴权和加密 (10)
4.2 CDMA-2000系统的鉴权和加密 (11)
5、4G系统信息安全 (12)
5.1 LTE系统网络架构 (12)
5.2 LTE_SAE网元功能介绍 (13)
5.2.1 UTRAN (13)
5.2.2 MME (13)
5.2.3 S-GW (14)
5.2.4 P-GW (14)
5.2.5 HSS (14)
5.3 LTE/SAE安全架构 (15)
5.4 LTE/SAE安全层次 (15)
5.5 LTE/SAE密钥架构 (16)
6、 LTE与2G/3G网络的兼容 (17)
7、结束语 (17)
参考文献 (18)
1、概述
随着移动通信的迅速普及和业务类型的与日俱增，特别是电子商务、电子贸易等数据业务的需求，使移动通信中的信息安全地位日益显著。

1.1移动通信系统中鉴权和加密产生的背景
无线通信中的鉴权Authenti—cation(在密码学中被称为认证,本文将使用鉴权一词)的目的是验证移动台MS和网络的真实性,即确证Ms和网络的身份。

它通过验证所声称的用户和网络是否是原来真正的登记用户及网络来防止盗用网络或假网络欺骗客户的行为。

无线通信中的加密包括通信安全的机密性和数据的完整性。

在第一代模拟蜂窝系统刚开始商用的时候,并没提供鉴权和加密的功能。

这导致了严重的电信欺骗行为,也就是所谓的盗打他人手机的问题。

此问题在20世纪90年代中期尤其是GSM商用以前变得日益突出。

仅美国的运营商1996年就因此损失了大约Us$。

750M:,占其行业总收入的3%。

于是鉴权和加密就成了移动通信系统必须要解决的问题。

第二代移动通信重点解决了鉴权的问题,对于安全方面的考虑则并未投入较大力度。

原因很简单:鉴权直接与利润相关,而当时用户并不愿意为加密功能付钱。

随着电子商务的日益流行,通信的安全问题变得越来越重要。

因此在3G的设计中,加密功能也被大大增强了。

2、保密通信的基本原理
2.1工作原理
保密通信的工作原理就是对传输的信息在发送端进行加密变换处理，在接收端进行解密交换恢复成原信息，使窃密者即使截收到传输的信号，也不了解信号所代表的信息内容。

在保密通信中，发方和收方称为我方，其对立面称为敌方。

我们的通信为了不被敌方获知，发方需要将信息加密再发给收方。

原来的信息叫做明文M，加密后称为密文C。

收方收到密文C后，要把密文去密，恢复成明文M。

发送方产生明文M，利用加密密钥经加密算法E对明文加密，得到密文C。

此时，如果经过未经加密保护的通道传送给接收方的话，密文有可能会被敌方截获。

但是，对于不合法的接受者来说，所截获的信息仅仅是一些杂乱无章，毫无意义的符号，但这是在加密算法不公开或者不能被攻破的情况下，如果截获者已知加密算法和加密密钥或者所拥有的计算资源能够攻破发送方的加密系统，那么就会造成信息的泄漏。

当合法接受者接收到密文后，用解密密钥经解密算法D 解密，得到明文M，信息的传送就完成了。

2.2数学模型的建立
通信模型在增加了保密功能后，便成为如下的保密通信数学模型：
M：明文，C：密文
加密密钥e：Ke，解密密钥d：Kd，加密和解密时使用的一组秘密信息。

E：加密算法，对明文进行加密时采用的一组规则，C=E(M)。

D：解密算法，对密文进行解密时采用的一组规则，M=D(C)。

3、GSM系统的鉴权与保密
GSM 系统在安全性方面采取了许多保护手段：接入网路方面采用了对客户鉴权；无线路径上采用对通信信息加密；对移动设备采用设备识别；对客户识别码用临时识别码保护；SMI卡用 PIN 码保护。

(1) 提供三参数组
客户的鉴权与加密是通过系统提供的客户三参数组来完成的。

客户三参数组的产生是在GSM 系统的 AUC(鉴权中心)中完成，如图 3－38 所示。

①、每个客户在签约(注册登记)时，就被分配一个客户号码(客户电话号码)
和客户识别码(IMSI)。

IMSI 通过 SIM 写卡机写入客户 SIM 卡中，同时在写卡机中又产生一个与此 IMSI对应的唯一客户鉴权键 Ki，它被分别存储在客户 SIM 卡和 AUC 中。

②、AUC 产生三参数组：
1> AUC 中的伪随机码发生器，产生一个不可预测的伪随机数（RAND）；
2> RAND 和 Ki 经 AUC 中的 A8 算法(也叫加密算法)产生一个 Kc(密钥)，
经 A3 算法(鉴权算法)产生一个符号响应(SRES)；
3> 用于产生 Kc、 SRES 的那个 RAND 与 Kc 和 SRES 一起组成该客户的一个三参数组，传送给 HLR，存储在该客户的客户资料库中。

③、一般情况下， AUC 一次产生 5 组三参数，传送给 HLR， HLR 自动
存储。

HLR 可存储 1～10 组每个用户的三参数，当 MSC／VLR 向 HLR 请求传送三参数组时， HLR 一次性地向 MSC／VLR 传 5 组三参数组。

MSC／VLR 一组一组地用，用到剩 2 组时，再向 HLR 请求传送三参数组。

3.1 GSM系统中鉴权
鉴权的作用是保护网路，防止非法盗用。

同时通过拒绝假冒合法客户的“入侵”而保护GSM 移动网路的客户，鉴权的程序见图 3.1.1。

①、当移动客户开机请求接入网路时， MSC／VLR 通过控制信道将三参数组的一个参数伪随机数 RAND 传送给客户，SIM 卡收到 RAND 后，用此 RAND 与SIM 卡存储的客户鉴权键 Ki，经同样的 A3 算法得出一个符号响应 SRES，并将其传送回 MSC／VLR。

②、MSC／VLR 将收到的 SRES 与三参数组中的 SRES 进行比较。

由于是同一 RAND，同样的 Ki 和 A3 算法，因此结果 SRES 应相同。

MSC／VLR 比较结果相同就允许该用户接入，否则为非法客户，网路拒绝为此客户服务。

在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。

图3.1.1 GSM系统中鉴权的原理图
图3.1.2 GSM系统流程过程
3.2 GSM加解密
GSM 系统中的加密只是指无线路径上的加密，是指 BTS 和 MS 之间交换客户信息和客户参数时不会被非法个人或团体所盗取或监听，加密程序见图
3.2.1 所示。

①、在鉴权程序中，当移动台客户侧计算出 SRES 时，同时用另一算法(A8 算法)也计算出了密钥 Kc。

②、根据 MSC／VLR 发送出的加密命令，BTS 侧和 MS 侧均开始使用密钥Kc。

在 MS 侧，由 Kc、TDAM 帧号和加密命令 M 一起经 A5 算法，对客户信息数据流进行加密(也叫扰码)，在无线路径上传送。

在 BTS 侧，把从无线信道上收到加密信息数据流、TDMA 帧号和 Kc，再经过 A5 算法解密后，传送给 BSC 和MSC。

图3.2.1 加解过程
3.3 TMSI的具体更新过程
为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。

TMSI的具体更新过程原理如下图所示，由移动台侧与网络侧双方配合进行。

图3.3.1 TMSI的具体更新过程原理
3.4 GSM安全性能分析
尽管GSM系统成功引入了鉴权与加密技术，但随着GSM系统在全球大规模商用化，暴露出诸多安全缺陷，可以总结为六方面的技术漏洞。

1.SIM/MS 接口翻录
2.A3/A8 算法破解
3.A5 算法漏洞
4.SIM 卡攻击
5. 网络伪装攻击
6.网络数据明文传输
4、3G系统信息安全
3G安全体系目标为：
确保用户信息不被窃听或盗用
确保网络提供的资源信息不被滥用或盗用
确保安全特征应充份标准化，且至少有一种加密算法是全球标准化
安全特征的标准化，以确保全球范围内不同服务网之间的相互操作和漫游安全等级高于目前的移动网或固定网的安全等级(包括GSM)
安全特征具有可扩展性
目前，移动通信最有代表性的是第三代移动通信系统(3G) 安全体系结构如下：
图4.1 3G安全体系结构
网络接入安全(等级1)：主要定义用户接入3GPP网络的安全特性，特别强调防止无线接入链路所受到的安全攻击，这个等级的安全机制包括USIM卡、移动设备(ME)、3GPP无线接入网(UTRAN/E-UTRAN)以及3GPP核心网(CN/EPC)之间的安全通信。

(1*)非3GPP网络接入安全：主要定义ME、非3GPP接入网(例如WiMax、cdma2000与WLAN)与3GPP核心网(EPC)之间的安全通信。

网络域安全(等级2)：定义3GPP接入网、无线服务网(SN)和归属环境(HE)之间传输信令和数据的安全特性，并对攻击有线网络进行保护。

用户域的安全(等级3)：定义USIM与ME之间的安全特性，包括两者之间的相互认证。

应用程序域安全(等级4)：定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于VoIP业务，IMS提供了该等级的安全框架。

安全的可见度与可配置性：它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。

以空中接口为主体的安全威胁包括如下几类情况：
窃听、假冒、重放、数据完整性侵犯、业务流分析、跟踪来自网络和数据库的安全威胁包括以下三类情况：
a.网络内部攻击
b.对数据库的非法访问
c.对业务的否认
4.1 WCDMA系统的鉴权和加密
为了克服GSM系统的安全缺陷，WCDMA系统采用了双向认证技术，建立了完整的认证与密钥协商机制(AKA)。

1、UMTS 安全体系结构与AKA 过程
UMTS安全体系主要涉及到USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC
等网络单元。

所采用的AKA过程分为两个阶段。

阶段1是HE与SN之间的安全通信，认证向量AV通过SS7信令的MAP协议传输。

由于MAP协议本身没有安全功能，因此3GPP定义了扩展MAP安全协议，称为MAPsec，用于传输认证矢量AV=(RAND(随机数)，XRES(期望应答)，CK(加密密钥)，IK(完整性密钥)，AUTH(认证令牌))。

阶段2是SN和用户之间的安全通信，采用一次处理方式，在USIM与SGSN/VLR 之间进行质询-应答处理。

实现用户和网络的双向认证。

UMTS在ME与RNC之间实现加密和完整性保护，对于业务数据和信令，都进行加密，为了降低处理时延，只对信令进行完整性保护。

图4.1.1 WCDMA安全体系结构
4.2 CDMA-2000系统的鉴权和加密
与WCDMA类似，cdma2000系统也采用了双向认证技术与认证与密钥协商机制(AKA)。

1. cdma2000 安全体系结构
cdma2000的安全体系结构与UMTS类似，也采用两阶段AKA过程，涉及到UIM/ME、MSC、PDSN/VLR和HLR/AC等网络单元。

图4.2.1 cdma2000 安全体系结构
2.UIM 认证流程
cdma2000中的UIM卡存储用户的身份信息与认证参数，其功能与GSM中的SIMUMTS中的USIM卡功能类似。

图4.2.2 UIM 认证流程图
5、4G系统信息安全
5.1 LTE系统网络架构
LTE采用扁平化、IP化的网络架构，E-UTRAN用E-NodeB替代原有的RNC-NodeB结构，各网络节点之间的接口使用IP传输，通过IMS承载综合业务，原UTRAN的CS域业务均可由LTE网络的PS域承载。

原有PS域的SGSN（service GPRS support node）和GGSN（gateway GPRS support node）功能归并后重新作了划分，成为两个新的逻辑网元：移动管理实体(MME)和服务网关(Serving Gateway)，实现PS域的承载和控制相分离。

新增的PDN GW
网元实现各种类型的无线接入。

LTE的网络架构如下图所示：
图5.1.1 LTE系统网络架构
5.2 LTE_SAE网元功能介绍
SAE是LTE的系统架构演进，所以，在此有必要对其系统架构做简单介绍。

图5.2.1 SAM网络架构
5.2.1 UTRAN
E-UTRAN实体的主要功能包括：
1.头压缩及用户平面加密；
2.在没有路由到达MME的情况下，MME的选择取决于UE提供的信息；
3.没有路由情形下的MME选择；
4.基于AMBR和MBR的上行承载级速率执行；
5.上下行承载级准许控制。

5.2.2 MME
MME提供以下功能：
1.NAS信令及其安全；
2.跨核心网的信令（支持S3接口）；
3.对处于MME-IDLE状态的UE进行寻呼；
4.跟踪区域（Tracking Area）列表的管理；
5.P-GW和S-GW的选择；
6.发生跨MME切换时的MME选择；
7.发生与2G/3G 3GPP接入网之间切换时的SGSN选择；
8.支持漫游（与HSS之间的S6a接口）；
9.鉴权；
10.承载管理，包括专用承载（dedicated bearer）的建立。

5.2.3 S-GW
对每一个与EPS相关的UE，在一个时间点上，都有一个S-GW为之服务。

S-GW 对基
于GTP和PMIP的S5/S8都能提供如下功能：
1.eNode间切换时，作为本地锚定点；
2.在2G/3G系统和P-GW之间传输数据信息；
3.在EMM-IDLE模式下为下行数据包提供缓存；发起业务请求流程；
4.合法侦听；
5.IP包路由和前转；
6.IP包标记；
7.计费。

5.2.4 P-GW
1.基于单个用户的数据包过滤；
2.UE IP地址分配；
3.上下行传输层数据包的分类标示；
4.上下行服务级的计费（基于SDF，或者基于本地策略）；
5.上下行服务级的门控；
6.上下行服务级增强，对每个SDF进行策略和整形；
7.基于AMBR的下行速率整形基于MBR的下行速率整上下行承载的绑定；合法性监听；
5.2.5 HSS
HSS是用于存储用户签约信息的数据库，归属网络中可以包含一个或多个HSS。

HSS负责保存以下跟用户相关的信息：
1.用户标识、编号和路由信息；
2.用户安全信息：用于鉴权和授权的网络接入控制信息
3.用户位置信息：HSS支持用户注册，并存储系统间的位置信息
4.用户轮廓信息
HSS还能产生用于鉴权、完整性保护和加密的用户安全信息。

HSS负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。

5.3 LTE/SAE安全架构
LTE/SAE网络的安全架构和UMTS的安全架构基本相同，如下图所示：
图5.3.1 LTE/SAE安全架构
LTE/SAE网络的安全也分为5个域：
1)网络接入安全(I)
2)网络域安全(II)
3)用户域安全(III)
4)应用域安全(IV)
5)安全服务的可视性和可配置性（V）
LTE/SAE的安全架构和UMTS的网络安全架构相比，有如下区别：
1)在ME和SN之间增加了双向箭头表明ME和SN之间也存在非接入层安全。

2)在AN和SN之间增加双向箭头表明AN和SN之间的通信需要进行安全保护。

3)增加了服务网认证的概念，因此HE和SN之间的箭头由单向箭头改为双向箭头。

5.4 LTE/SAE安全层次
在LTE中，由于eNB轻便小巧，能够灵活的部署于各种环境。

但是，这些eNB部署点环境较为复杂，容易受到恶意的攻击。

为了使接入网安全受到威胁时不影响到核心网，LTE在安全方面采取分层安全的做法，将接入层（AS）安全和非接入层（NAS）安全分离，AS安全负责eNB和UE之间的安全，NAS安全负责MME和UE之间的安全。

采用这种方式能够更好的保护UE的接入安全。

这样LTE
系统有两层保护，而不像UMTS系统只有一层安全保障。

第一层为E-UTRAN网络中的RRC安全和用户面（UP）安全，第二层是EPC（演进的包核心）网络中的NAS 信令安全。

这种设计目的是使E-UTRAN安全层（第一层）和EPC安全层（第二层）相互的影响最小化。

该原则提高了整个系统的安全性；对运营商来说，允许将eNB 放置在易受攻击的位置而不存在高的风险。

同时，可以在多接入技术连接到EPC 的情况下，对整个系统安全性的评估和分析更加容易。

即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。

图5.4.1 LTE/SAE安全层次
5.5 LTE/SAE密钥架构
为了管理UE和LTE接入网络各实体共享的密钥，LTE定义了接入安全管理实体（ASME），该实体是接入网从HSS接收最高级（top-level）密钥的实体。

对于LTE接入网络而言，MM执行ASME的功能。

LTE/SAE网络密钥层次架构如图9所示。

图5.5.1 LTE/SAE网络密钥层次架构
LTE/SAE网络的密钥层次架构中包含如下密钥：
UE和HSS间共享的密钥。

K：存储在USIM和认证中心AuC的永久密钥；
CK/IK：AuC和USIM在AKA认证过程中生成的密钥对。

（2）ME和ASME共享的中间密钥。

KASME：UE和HSS根据CK/IK推演得到的密钥。

密钥KASME作为SAE特定认证向量响应的部分从HSS传输到ASME。

（3）LTE 接入网络的密钥。

KeNB：用于推导保护RRC流量的密钥和UP流量的密钥；
KNASint：用于和特定的完整性算法一起保护NAS流量；
KNASenc：用于和特定的加密算法一起保护NAS流量；
KUPenc：用于和特定的加密算法一起保护UP流量；
KRRCint：用于和特定的完整性算法一起保护
RRC流量；
KRRCenc：用于和特定的加密算法一起保护RRC流量。

6、 LTE与2G/3G网络的兼容
用户在LTE和2G/3G之间切换时需要进行密钥转换。

用户从2G/3G到LTE 时，LTE不信任2G/3G的密钥，因此在切换或小区重选（TAU）完成后，如果MME 和UE之间没有存有转移之前协商好的LTE安全上下文，LTE网络会要求重新做AKA，生成新的安全上下文。

如果存有转移之前协商好的LTE安全上下文，则启用原有安全上下文。

考虑到减少切换信令交互的消耗时间和复杂度，切换过程中还是使用由2G/3G安全上下文影射（MAP）过来的安全上下文，根据UMTS/GERAN 中的IK、CK生成KASME。

用户从LTE转移到2G/3G时，使用LTE安全上下文影射为GERAN/UMTS安全上，由KASME转换为CK、IK。

从2G/3G切换到LTE过程中，MME将CK/IK和PLMN-id生成KASME，KASME=KDF （IK，CK，PLMN-id），然后由KASME和上行NASCOUNT生成KeNB，使用的安全算法为默认的安全算法或UMTS/GERAN算法。

在TAU过程中，如果存有原来协商好的安全上下文，则在TAU过程中使用存有的安全上下文，如果没有则将UMTS/GERAN安全上下文影射为LTENAS安全上下文。

7、结束语
3GPPLTE作为3G系统的长期演进技术，不仅使传输速度和系统容量得到了提高，实现了系统时延的降低，而且提供了更坚实的安全架构和更缜密的安全措施，为用户数据提供了最大限度的安全保障。

伴随着中国移动等运营商的高调介入，LTE/SAE将会获得长足的发展，成为中短期移动通信技术发展的一个重要方向。

参考文献
[1] 谭利平，李方伟移动通信系统中的认证与密钥协商协议，重庆邮电大学，2007,27（06）：1343—1344，1348
[2]徐胜波，马文平，王新梅，无线通信网中的安全技术．人民邮电出版社，2003．136．162 ．
[3]王志勤．第三代移动通信发展概况．江苏通信技术．2003，V01．19：6-9
[4]郭梯云，邬国杨，李建东．移动通信(修订版)．西安电子科技大学出版社．2001．7-1．P255．258
[5]周金芳，朱华飞，陈抗生．GSM安全机制．移动通信．1999，V01．5：24-25
[6]李翔．3G的安全体系结构电信技术．2002．10：24-27
[7]李文宇移动通信系统的长期演进—无线网络结构和协议[J].电信科学,2006,22(6):29–33
[8]郑宇,何大可,梅其详.基于自验证公钥的3G移动通信系统认证方案[J].计算机学报,2005,8(8):1328-1332
[9]曾勇. LTE/SAE 密钥管理技术研究通信技术, 2009-07,42.
[10]郎为民,焦巧,蔡理金,宋壮志, 3GPP LTE系统安全性研究, 电信工程技术与标准化,2009.7 [11]郎为民，蔡理金，LTE系统中用户安全研究，通信管理与技术，2009-08
[12]宋健霖刘辉,LTE系统中接人层加密和完整性保护研究, 广西通信技术2010年第2期。