移动通信系统的安全机制v4
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
第二代通信系统的安全缺陷
1. 身份泄漏
13
第二代通信系统的安全缺陷
1. 身份泄漏
移动用户信息存储结构
MSISDN1 IMSI1 ……
MSISDN2 IMSI2
…… ……
…… …… ……
•HLR数据库
……
MSISDNi MSISDNj
…
IMSIi IMSIj
签约资料 签约资料 状态资料 服务区
8
第二代通信系统的安全机制
2.总体安全机制
移动台 认证请求 Ki 随机数RAND BTS+核心网络 随机数产生器 Ki
A3
认证响应 SRES A8 明文 A8
A3
SRES Y/N
Kc A5
密文/明文
Kc A5
明文
9
第二代通信系统的安全缺陷
1. SIM复制
SIM卡存储有持卡者的用户数据、保密数据和鉴权加密算法等;
……
…
14
第二代通信系统的安全缺陷
1. 身份泄漏
IMSI是用户唯一标识 TMSI:临时移动用户识别码;、
MS
进入新小区 位置更新请求 位置更新接收 位置更新接收(含TMSI)
MSC/VLR
•下列两种情况须使
用IMSI:
•①SIM卡第一次入网 •②访问位置寄存器 中与用户有关数据丢 失
TMSI再分配完成
21
生成认证向量 AV(1..n) 认证数据应答 AV(1..n) AV(RAND|XRES|CK|IK|AUTN) AUTN认证令牌 RES用户应答信息 XRES服务网络应答信息 认证与密钥建立
第三代通信系统的安全机制
产生序列号 SQN
SN/VLR/SGSN
HE/HLR
认证数据请求 (IMSI和交换类型PS/CS) 生成认证向量 AV(1..n) 认证数据应答 AV(1..n)
间建立对应联系关系
LAI与用
户IMSI间 关系
20
第三代通信系统的安全机制
MS SN/VLR/SGSN HE/HLR
认证数据请求 从HE到SN
的认证向量 发送过程 存储认证向量 选择某认证向量AV(i) 用户认证请求RAND(i)||AUTN(i) 验证AUTN(i) 计算RES(i) 用户认证应答RES(i) 比较RES(i)和XRES(i) 计算CK(i)和IK(i) 选择CK(i)和IK(i)
28
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
29
总结
3G/4G 通信系统的安全机制
存在缺陷
否认 西电
安全增强机制很多
中国移动通信集团设计院
西电 东南大学 国防科技大学四院
3G/4G 通信系统的攻击技术
KASUMI算法/ZUC算法 分析 IMSI身份捕获
即COMP128算法;
11
第二代通信系统的安全缺陷
1. SIM复制
IBM小组可以用6次查询就彻底解开Ki,普通的破解程序可以 在几分钟内破解开;
编号 测试项目 测试结果 解码: SIMScanner、 SIMonScan、QuickScan 1 单独使用(主叫,被叫,短信收发) 真卡和克隆卡 SIM 卡没有差别 2 一卡主叫时另一卡主叫 后主叫的卡抢占 3 4 5 6 两张卡都开机状态下被呼叫 一张卡被叫时再次被叫 一卡被叫时另一卡主叫 两张卡都开机状态下接收短信 被叫不确定 占线(正常) 主叫抢占(后入为 主) 接收不确定
信息一致,即可实现用户的接入。这种认证方法造成大量的“克隆”
手机,使用户和运营商深受其害
7
第二代通信系统的安全机制
1.系统框架
网络和交换子系统(NSS) 移动台 (MS) SIM 用户 ME 基站子系统(BSS) BTS BSC PDN AUC EIR 其他 MSC PSTN MSC VLR HLR
1) 2) 3) 4) 5) f1用于产生消息认证码; f2用于消息认证中的计算期望影响值; f3用于产生加密密钥; f4用于产生完整性认证密钥; f5用于产生匿名密钥;
f8~f9用于空中接口机密性和完整性保护,为标准算法:
1) f8用于无线链路加密算法,以分组密码算法KASUMI为基础构造, 利用了KASUMI算法的输出反馈模式(OFB); 2) f9用于无线链路完整性算法,以分组密码算法KASUMI为基础构造, 利用了KASUMI算法的密码分组链接模式(CBC); 3) 输入输出都是64bit,密钥为128bit。
27
第四代通信系统的安全机制
认证和密钥协商(与UMTS类似)
仍采用AKA协议
五元组变四元组(IK||CK=Kasme)
信令和数据的机密性(与UMTS类似)
EPS系统可以支持多达15种不同的密码算法 EPS标准中已确定了两种加密/完整性算法,分别是基于 欧洲组织提交的SNOW 3G算法和基于美国组织提交的 AES算法 由于专利收费原因,Kasumi算法不再成为EPS中安全算 法
30
谢 谢!
31
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
2
手机通信技术发展状况及趋势
第一代 频分多址 美国AMPS 欧洲TACS
第二代 时分多址、 码分多址
第三代
第四代
GSM CDMA PDC
WCDMA CDMA 2000 TD-SCDMA
HSDPA HSUPA HSPA+ LTE
3
4
手机通信系统中的安全威胁
23
KASUMI算法
•RKi=KLi||KOi||KIi •KLi=KLi1||KLi2 •KOi=KOi1||KOi2||KOi3 •KIi=KIi1||KIi2||KIi3 •KIij=KIij1(9bit)||KIij2(7bit)
24
算法f8
•KM=key modifier, a 128-bit
安全体制机制上存在不足 空中开放性对信息安全构成潜在威胁 网络融合化、IP化,终端智能化,业务多样化导致面临
的安全问题越来越多
ห้องสมุดไป่ตู้
5
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
6
第一代通信系统的安全机制
无机密性保护机制,终端把其电子序列号(ESN)和网络分配的 移动台识别号(MIN)以明文方式传送至网络,若和网络中保存的
SIM卡和设备间有一个开放的公共接口,移动设备通过该接口读
取 SIM 卡中的用户数据,并将数据发送给 GSM 网络,请求接入 网络
10
第二代通信系统的安全缺陷
1. SIM复制
实际设备中使用的 A3 算法被作为高级商业机密保护起来,
1999年,UC Berkeley 根据一些泄漏信息,修补得到A3算法,
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20 21
输出流
z
C
0
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20 21 22
移位 函数
x y z
17
第二代通信系统的安全缺陷
3. 对称密码算法A5破译
加密强度弱:A5使用的加密密钥长度是64 bit的算法,现在超 级计算机已经能在合理时间内破解这些算法
TMSI再分配指令
15
第二代通信系统的安全缺陷
1. 基站身份假冒
伪基站模拟成一个真实的基站,与手机交互,实施鉴权 过程,并且获得了手机用户的IMSI
16
第二代通信系统的安全缺陷
3. 对称密码算法A5破译
x A
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18
y
B
0
1
2
1999年12月,理论上攻破A5算法
19
第三代通信系统的安全机制
临时用户身份识别
MS TMSI分配请求(包含原来TMSI,LAI) VLR/SGSN 原VLR/SGSN
根据原来TMSI,LAI去找
原来的VLR/SGSN获得 用户对应的IMSI
存储 新TMSI 和LAI 用户IMSI 新分配的TMSI,LAI 确认分配 在用户IMSI和TMSI之 删除用户 原来TMSI,
1999年12月,理论上攻破A5算法
2002年5月,IBM研究人员发现更快速获取A5密钥Ki的方法 2009年,德国工程师Karsten Nohl花费两个月时间使用
NVIDIA GPU集群式破解64位A5加密算法
18
第三代通信系统的安全机制
加密强度弱:A5使用的加密密钥长度是64 bit的算法,现在超 级计算机已经能在合理时间内破解这些算法
认证与
密钥管 理域 AMF 认证 密钥 K f1
通过f0产生随机数RAND
f2 XRES
f3 CK
f4
f5
MAC
IK
AK
认证令牌AUTN=SQN , AK||AMF||MAC 认证向量AV=RAND||XRES||CK||IK||AUTN
22
第三代通信系统的安全机制
3GPP中定义了10个安全算法f1~f10; f1~f5实现AKA机制 ,由运营商和制造商协商确定
•constant used to modify a key). •取决于LENGTH值
25
算法f9
26
第三代通信系统的安全机制
双向认证,认证过程产生加密密钥和完整性密钥 密钥的分发不经过无线信道 增加了信令完整性保护机制 密钥长度增加(128b ),采用高强度的加密算法和 完整性算法 仍然是对称密钥机制,不能解决不可抵赖性问题
第二代通信系统的安全缺陷
1. 身份泄漏
13
第二代通信系统的安全缺陷
1. 身份泄漏
移动用户信息存储结构
MSISDN1 IMSI1 ……
MSISDN2 IMSI2
…… ……
…… …… ……
•HLR数据库
……
MSISDNi MSISDNj
…
IMSIi IMSIj
签约资料 签约资料 状态资料 服务区
8
第二代通信系统的安全机制
2.总体安全机制
移动台 认证请求 Ki 随机数RAND BTS+核心网络 随机数产生器 Ki
A3
认证响应 SRES A8 明文 A8
A3
SRES Y/N
Kc A5
密文/明文
Kc A5
明文
9
第二代通信系统的安全缺陷
1. SIM复制
SIM卡存储有持卡者的用户数据、保密数据和鉴权加密算法等;
……
…
14
第二代通信系统的安全缺陷
1. 身份泄漏
IMSI是用户唯一标识 TMSI:临时移动用户识别码;、
MS
进入新小区 位置更新请求 位置更新接收 位置更新接收(含TMSI)
MSC/VLR
•下列两种情况须使
用IMSI:
•①SIM卡第一次入网 •②访问位置寄存器 中与用户有关数据丢 失
TMSI再分配完成
21
生成认证向量 AV(1..n) 认证数据应答 AV(1..n) AV(RAND|XRES|CK|IK|AUTN) AUTN认证令牌 RES用户应答信息 XRES服务网络应答信息 认证与密钥建立
第三代通信系统的安全机制
产生序列号 SQN
SN/VLR/SGSN
HE/HLR
认证数据请求 (IMSI和交换类型PS/CS) 生成认证向量 AV(1..n) 认证数据应答 AV(1..n)
间建立对应联系关系
LAI与用
户IMSI间 关系
20
第三代通信系统的安全机制
MS SN/VLR/SGSN HE/HLR
认证数据请求 从HE到SN
的认证向量 发送过程 存储认证向量 选择某认证向量AV(i) 用户认证请求RAND(i)||AUTN(i) 验证AUTN(i) 计算RES(i) 用户认证应答RES(i) 比较RES(i)和XRES(i) 计算CK(i)和IK(i) 选择CK(i)和IK(i)
28
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
29
总结
3G/4G 通信系统的安全机制
存在缺陷
否认 西电
安全增强机制很多
中国移动通信集团设计院
西电 东南大学 国防科技大学四院
3G/4G 通信系统的攻击技术
KASUMI算法/ZUC算法 分析 IMSI身份捕获
即COMP128算法;
11
第二代通信系统的安全缺陷
1. SIM复制
IBM小组可以用6次查询就彻底解开Ki,普通的破解程序可以 在几分钟内破解开;
编号 测试项目 测试结果 解码: SIMScanner、 SIMonScan、QuickScan 1 单独使用(主叫,被叫,短信收发) 真卡和克隆卡 SIM 卡没有差别 2 一卡主叫时另一卡主叫 后主叫的卡抢占 3 4 5 6 两张卡都开机状态下被呼叫 一张卡被叫时再次被叫 一卡被叫时另一卡主叫 两张卡都开机状态下接收短信 被叫不确定 占线(正常) 主叫抢占(后入为 主) 接收不确定
信息一致,即可实现用户的接入。这种认证方法造成大量的“克隆”
手机,使用户和运营商深受其害
7
第二代通信系统的安全机制
1.系统框架
网络和交换子系统(NSS) 移动台 (MS) SIM 用户 ME 基站子系统(BSS) BTS BSC PDN AUC EIR 其他 MSC PSTN MSC VLR HLR
1) 2) 3) 4) 5) f1用于产生消息认证码; f2用于消息认证中的计算期望影响值; f3用于产生加密密钥; f4用于产生完整性认证密钥; f5用于产生匿名密钥;
f8~f9用于空中接口机密性和完整性保护,为标准算法:
1) f8用于无线链路加密算法,以分组密码算法KASUMI为基础构造, 利用了KASUMI算法的输出反馈模式(OFB); 2) f9用于无线链路完整性算法,以分组密码算法KASUMI为基础构造, 利用了KASUMI算法的密码分组链接模式(CBC); 3) 输入输出都是64bit,密钥为128bit。
27
第四代通信系统的安全机制
认证和密钥协商(与UMTS类似)
仍采用AKA协议
五元组变四元组(IK||CK=Kasme)
信令和数据的机密性(与UMTS类似)
EPS系统可以支持多达15种不同的密码算法 EPS标准中已确定了两种加密/完整性算法,分别是基于 欧洲组织提交的SNOW 3G算法和基于美国组织提交的 AES算法 由于专利收费原因,Kasumi算法不再成为EPS中安全算 法
30
谢 谢!
31
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
2
手机通信技术发展状况及趋势
第一代 频分多址 美国AMPS 欧洲TACS
第二代 时分多址、 码分多址
第三代
第四代
GSM CDMA PDC
WCDMA CDMA 2000 TD-SCDMA
HSDPA HSUPA HSPA+ LTE
3
4
手机通信系统中的安全威胁
23
KASUMI算法
•RKi=KLi||KOi||KIi •KLi=KLi1||KLi2 •KOi=KOi1||KOi2||KOi3 •KIi=KIi1||KIi2||KIi3 •KIij=KIij1(9bit)||KIij2(7bit)
24
算法f8
•KM=key modifier, a 128-bit
安全体制机制上存在不足 空中开放性对信息安全构成潜在威胁 网络融合化、IP化,终端智能化,业务多样化导致面临
的安全问题越来越多
ห้องสมุดไป่ตู้
5
目
1
录
手机通信现状概述
手机通信安全机制
2
3
总结与思考
6
第一代通信系统的安全机制
无机密性保护机制,终端把其电子序列号(ESN)和网络分配的 移动台识别号(MIN)以明文方式传送至网络,若和网络中保存的
SIM卡和设备间有一个开放的公共接口,移动设备通过该接口读
取 SIM 卡中的用户数据,并将数据发送给 GSM 网络,请求接入 网络
10
第二代通信系统的安全缺陷
1. SIM复制
实际设备中使用的 A3 算法被作为高级商业机密保护起来,
1999年,UC Berkeley 根据一些泄漏信息,修补得到A3算法,
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20 21
输出流
z
C
0
1
2
3
4
5
6
7
8
9 10 11 12 13 14 15 16 17 18 19 20 21 22
移位 函数
x y z
17
第二代通信系统的安全缺陷
3. 对称密码算法A5破译
加密强度弱:A5使用的加密密钥长度是64 bit的算法,现在超 级计算机已经能在合理时间内破解这些算法
TMSI再分配指令
15
第二代通信系统的安全缺陷
1. 基站身份假冒
伪基站模拟成一个真实的基站,与手机交互,实施鉴权 过程,并且获得了手机用户的IMSI
16
第二代通信系统的安全缺陷
3. 对称密码算法A5破译
x A
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18
y
B
0
1
2
1999年12月,理论上攻破A5算法
19
第三代通信系统的安全机制
临时用户身份识别
MS TMSI分配请求(包含原来TMSI,LAI) VLR/SGSN 原VLR/SGSN
根据原来TMSI,LAI去找
原来的VLR/SGSN获得 用户对应的IMSI
存储 新TMSI 和LAI 用户IMSI 新分配的TMSI,LAI 确认分配 在用户IMSI和TMSI之 删除用户 原来TMSI,
1999年12月,理论上攻破A5算法
2002年5月,IBM研究人员发现更快速获取A5密钥Ki的方法 2009年,德国工程师Karsten Nohl花费两个月时间使用
NVIDIA GPU集群式破解64位A5加密算法
18
第三代通信系统的安全机制
加密强度弱:A5使用的加密密钥长度是64 bit的算法,现在超 级计算机已经能在合理时间内破解这些算法
认证与
密钥管 理域 AMF 认证 密钥 K f1
通过f0产生随机数RAND
f2 XRES
f3 CK
f4
f5
MAC
IK
AK
认证令牌AUTN=SQN , AK||AMF||MAC 认证向量AV=RAND||XRES||CK||IK||AUTN
22
第三代通信系统的安全机制
3GPP中定义了10个安全算法f1~f10; f1~f5实现AKA机制 ,由运营商和制造商协商确定
•constant used to modify a key). •取决于LENGTH值
25
算法f9
26
第三代通信系统的安全机制
双向认证,认证过程产生加密密钥和完整性密钥 密钥的分发不经过无线信道 增加了信令完整性保护机制 密钥长度增加(128b ),采用高强度的加密算法和 完整性算法 仍然是对称密钥机制,不能解决不可抵赖性问题