北京邮电大学信息工程学院,北京100876
摘 要:GSM和IS-41是第二代移动通信标准的两类典型系统,这两类系统的安全都基于私钥密码体制,安全协议基于共享秘密,提供匿名服务、认证和保密的安全服务,但实现机制有许多不同,分析了两类系统的安全特征和安全机制,并进行了较全面的比较,为第三代移动通信奠定了良好的基础。
关键词:GSM;IS-41;认证;密钥管理;隐秘
0 引言
移动通信依赖开放的传输媒介,除了受到有线网络安全威胁,尤其容易受到假冒用户滥用资源和被窃听无线链路通信的威胁。第一代模拟移动通信系统基本没有考虑安全和认证,网络欺骗给运营商带来巨额损失,同时用户利益受损。第二代数字移动通信系统采取了一系列安全措施,强调对用户的认证以防止欺骗和网络误用,兼顾隐秘问题。根据认证和安全基础设施,第二代移动通信标准可以分为两类[1]:一类是GSM;另一类包括多种美国标准。它们具有相同的网络设施——TIA IS-41,因此在本文中以IS-41统称这些系统。由于空中传输带宽受限、移动终端处理能力和存储能力受限,这两类系统的安全都基于私钥密码体制,安全协议基于共享秘密,提供匿名服务、认证和保密,但实现机制却有许多不同。本文研究了这两类系统的安全特征和安全机制,并进行了较全面的比较。
1 GSM安全分析
GSM系统安全需求见ETSI02.09,提供以下安全特征[2]。
(1)用户身份(IMSI)保密:IMSI不被泄漏给未授权的个人、实体或过程。防止入侵者偷听无线信道信令从而识别出哪个用户在使用网络资源,这一特征允许为用户数据和信令提供更高的保密性,并保护用户位置不被跟踪。这要求IMSI、能推导出IMSI 的信息不能以明文形式在空中传输。
(2)用户身份认证:保护网络不被未授权使用,防止入侵者伪装成合法用户。
(3)用户数据(语音或非语音)机密性:业务信道上的用户信息(语音或非语音)不被泄漏给未授权的个人、实体或过程。
(4)无连接用户数据的机密性:以无连接模式在信令信道上传输的用户信息(例如短消息)不被泄漏给未授权的个人、实体或过程。
(5)信令信息的机密性:在移动台和基站之间交换的某些信令信息不被泄漏给未授权的个人、实体或过程,确保与用户相关的信令单元保密。
为提供上述安全服务,GSM采用三种安全机制[3](见图1):匿名(用临时用户身份标识用户)、认证和加密。采用三种算法:A3—认证算法、A8—加密密钥产生算法、A5—加密算法。以独立于终端硬件设备(SIM卡)做安全模块,管理用户的所有信
息,A3和A8在SIM卡上实现,增强了系统安全性。
1.1 密钥与信任管理
每个移动台MS与归属网络(HN)有签约关系。初始化时,HN给用户分配一个惟一的标识符——国际移动用户标识(IMSI)和认证密钥Ki。Ki作为主密钥,用于认证和导出子密钥。IMSI和认证密钥Ki保存在用户SIM和HN的认证中心AC中,SIM被认为是防篡改的。
当前为用户提供服务的网络称为服务网络(SN)。SN和HN有一个双边的漫游协议,在这个协议下SN信任HN会为SN提供给MS的服务支付费用。关于MS的信息由SN保存在访问位置寄存器(VLR)中。前提是HN信任SN能够安全地处理认证数据。HN和SN之间的通信假定是安全的。
1.2 临时移动用户标识TMSI
为保证用户身份机密性,网络用临时移动用户标识TMSI替代国际移动用户标识IMSI,使第三方无法在无线信道上跟踪GSM用户。TMSI在GSM03.03中定义,只在某个VLR范围有意义,必须和LAI(位置区域标识符)一起使用。VLR(访问位置寄存器)负责管理合适的数据库来保存TMSI和IMSI之间的对应关系。
1.3 认证
认证发生在网络知道用户身份(TMSI/IMSI)之后、信道加密之前。认证过程也用于设置加密密钥。当移动台(MS)要呼叫或者位置更新时,需要网络方认证。认证时,①认证中心根据用户的IMSI找到用户的密钥Ki,然后产生认证向量三元组:triple(RAND,SRES,Kc),发送到MSC/VLR;②MSC/VLR将其中的RAND发送给MS,MS中的SIM卡根据收到的RAND和存储在卡中的Ki,利用A3和A8算法分别计算出用于认证的响应SRES和加密密钥(Kc),并将SRES回送到MSC/VLR中;③在MSC/VLR里,比较来自MS的SRES和来自认证中心的RES,若不同,则认证失败,拒绝用户接入网络;若相同,则认证成功,用户可以访问网络,并且在后面的通信过程中,用户和基站之间无线链路的通信用加密密钥Kc和A5算法进行加密。
当TMSI认证失败或旧的VLR不可达时,网络请求MS发送IMSI,利用IMSI重复认证步骤。这时IMSI以明文形式在空中传输,这是系统的一个安全漏洞。 A3和A8算法由运营商自行确定,规范中只规 定了输入和输出格式,Ki:128比特;RAND:128比特;SRES:32比特。
1.4 保密
保密通过数据流和密钥流进行逐比特相加来获得,被保护数据包括信令消息、业务信道上的用户数据、信令信道上无连接的用户数据,采用OSI第1层的加密功能实现,这一机制涉及4种网络功能:加密方法协商、密钥设置、加/解密过程的开始、加/解密的同步。加密算法采用流密码A5,待加密数据和A5的输出逐比特异或。A5算法对所有移动台和GSM网络是相同的(必须支持漫游),其外部接口规范在文献[3]定义,内部规范由GSM/MoU负责管理。输入参数:帧号(22比特)和Kc(64比特);输出参数:BLOCK1(114比特)和BLOCK2(114比特),分别用于加/解密。
2 IS-41安全分析
IS-41系统空中接口有两类:TDMA或CDMA。其中CDMA无线链路采用PN码(伪随机码)对信号进行扩频,使得信号很难被拦截和窃听。除这一物理安全措施外,IS-41规定了一系列安全机制[4,5]。IS-41的认证和加密机制如图2所示,其安全协议依赖于一个64比特认证密钥(A-Key)和终端的电子序列号(ESN),提供的安全特征与GSM类似。
①匿名性。系统为终端分配临时移动台标识(TMSI),采取的机制与GSM类似,下文不再分析这一机制;②认证。网络对用户的单向认证;③语音保密;④用户数据保密;⑤信令保密。采用了4种安全算法:①CAVE,用于质询/应答(challenge/response)认证协议和密钥生成;②专用长码掩码PLCM控制扩频序列,然后扩频序列与语音数据异或实现语音保密;③ORYX,是基于LSFR的流密码,用于无线用户数据加密服务;④E-CMEA(enhanced cellular message encryption algorithm:增强的蜂窝消息加密算法),是CMEA算法的增强版,是一个分组密码,用于加密控制信道。
2.1 密钥和信任管理
每个MS都与归属网络HN有签约关系。在初始化时,HN给用户分配一个移动身份号/电子序列号(MIN/ESN)和密钥A-key。SN和HN有1个双边的漫游协议,在这个协议下,SN信任HN会为SN提供给MS的服务支付费用。关于MS的信息由SN保存在访问位置寄存器(VLR)中。假设HN信任SN能够安全地处理认证数据,HN和SN之间的通信是安全的。
系统安全参数主要是电子序列号ESN、A Key和共享秘密数据SSD。其中,ESN是一个32位的二进制数,是移动台的惟一标识,必须由厂家设定。
A Key作为主密钥,不直接参与认证和保密,而是用于产生子密钥,而子密钥用于语音、信令及用户数据的保密,这是IS-41同GSM相比的一个优点。AKey长64比特,分配给移动台,存储在移动台永久性安全标识存储器中,仅对移动台和归属位置寄存器/认证中心(HLR/AC)是可知的,且不在空中传输。
SSD长度为128比特,存储在移动台中,且对基站而言是可用的,它分为2个不同子集:SSD-A和SSD-B,64比特的SSD-A用于支持认证过程;64比特的SSD-B用于支持话音、信令和数据加密。
2.2 认证
一个成功的认证需要移动台和基站处理一组完全相同的共享秘密数据(SSD)。文献[4]中定义了两种主要的认证过程:全局质询/应答认证和惟一质询/应答认证。全局认证包括注册认证、发起呼叫认证、寻呼响应认证;惟一认证由基站在下列情况下发起:
注册认证失败、发起呼叫认证失败、寻呼响应认证失败以及信道分配后的任何时候。
2.3 保密机制
CDMA系统中话音保密是通过采用专用长码掩码(PLCM:private long code mask)进行PN扩频实现的,终端利用SSD-B和CAVE算法产生专用长码掩码、64比特的CMEA密钥和32比特的数据加密密钥。终端和网络利用专用长码掩码来改变PN码的特征,改变后的PN码用于语音置乱(与语音数据作异或运算),这样进一步增强了空中接口的保密性。
终端和网络利用CMEA密钥和CMEA算法来加/解密空中接口的信令消息。CMEA是一个对称密码,类似DES(数字加密标准)。采用64比特密钥,但由于算法本身的弱点,实际有效密钥长度只有24或32比特,1997年被攻破。
ORYX是基于LSFR的流密码,用于用户数据加密。ORYX也被证明是不安全的。
3 两种系统的安全比较
从上述安全特征和安全机制的分析可以看出,由于终端处理能力受限,无线带宽受限,GSM和IS-41的安全机制都基于私钥密码技术;都具有一个主密钥;都提供匿名性、认证和保密服务;所有算法秘密设计,没有经过公开的安全论证就投入使用。两种系统的安全特征和机制的比较见表1。
(1)主密钥的使用。GSM系统中,主密钥Ki直接用于产生认证签名。IS-41系统中,主密钥AKey并不直接用于认证,而是由它生成中间密钥SSD,再由SSD产生认证签名和子密钥,这是IS-41的一个优点。
(2)认证方式。两种系统的认证都是基于共享秘密的质询/应答方式,只提供网络对用户的单向认证。因此容易受到伪装基站攻击和中间人攻击。
(3)保密算法。GSM系统中,所有加密采用A5算法(1998年被攻破)。而IS-41的保密机制复杂得多,采用ORYX算法实现数据加密(1998年被攻破),CMEA实现信令加密(1997年被攻破),专用长码掩码改变PN序列与语音异或实现语音保密(1992年被攻破),但加密只限于无线接口,没有延伸到核心网。
(4)其他安全机制。GSM系统中,采用独立的SIM卡存储用户身份和主密钥,认证算法在SIM中执行。IS-41系统没有采用用户身份卡,安全参数和算法存储在终端,3GPP2关于CDMA2000的规范中作了改进,引入了UIM卡。
总的来看,第二代移动通信系统的安全更多的是从运营商的角度来设计的,从用户角度看,大量应该保密的数据(IMSI,IMEI,主叫号码、被叫号码、位置信息等)被存储在网络数据库中,用于支持认证、移动性和计费,并在网络中传输,这些数据可能被误用(改动计费、跟踪用户等),从而危害用户隐私。而且用户只能依赖网络运营商来选择网络运营的参数(TMSI和认证参数等),这种依赖性违背了
多边安全原则[6],潜在地危害了用户的隐私。第三代移动系统在这方面有很大改进。
参考文献
[1] ROSEGreg.Authentication and security inmobile phones[EB/OL].http://www.qualcomm.com.au/PublicationsDocs/AUUG99AuthSec.pdf,1999.
[2] GSM 02.09-2001,Security aspects.version8.0.1,Release 1998,Phase 2+[S].
[3] GSM 03.20-2001,Security related networkfunctions.Version 9.0.0,Phase 2+[S].
[4] TIA IS-41C-1995.Telecommunications Industry Association[S].
[5] WINGERT C,NAIDU M.CDMA2000 1xRTT security:Overview[EB/OL].http://www.qualcomm.com/enterprise/pdf/CDMA2000 1xRTT_security.pdf,2002.
[6] RANNENBERG K.Recent development ininformation technology security evaluation—The need for evaluation criteria formultilateralsecurity[A].Proceedings of theIFIPTC9/WG9.6 Working Conference[C].1993,113-128.
摘自《重庆邮电学院学报》