TD-SCDMAandWCDMA鉴权与安全模式

鉴权与安全模式1.概述无线通信领域中，每个无线通信系统都很重视空中接口的安全性，防止非法者监听或是盗用系统的空中无线资源。TD-SCDMA系统使用的空中传输介质是一种基于广播的介质。在小区的任何地方，窃密者都可以截取无线通信信号，通过对移动台上下行数据的检测和破解，窃密者很容易的监听到移动台的通话内容或是冒充合法移动台的身份在网络中使用，所以在无线通信中安全问题一直是无线通信领域中一个比较关注的问题。在整个系统中是否采用鉴权和加密过程是由网络确定的，如果需要鉴权和加密时，无论在终端和网络之间的信令建立过程还是进入连接模式之后，网络都可以随时发起鉴权过程进行验证移动台的合法性。2相互鉴权过程鉴权流程是接入安全机制中最重要的环节，由网络侧发起，其作用包括：1.用于网络检查是否允许终端接入网络；2.提供鉴权参数五元组中的随机数数组；3.供终端计算出加密密钥（CK）以及完整性保护密钥（IK）；4.并且可以提供终端对网络的鉴权。与GSM的鉴权相比，TD-SCDMA的鉴权流程增加了完整性保护以及终端对网络的鉴权功能。用户的USIM卡和归宿网络的HLR/AuC共享一个安全根密钥K（128bit），K值并不在空中传送，K值必须在开户时在HLR定进去的。基于该密钥，网络可以对用户进行认证，用户也可以认证网络，另外基站和手机间可以对无线链路进行加密和完整性保护。TD系统的双向认证、加密和完整性保护是基于（RAND,XRES,CK,IK,AUTN）五元组实现的。5元组(RANDXRESCKIKAUTH)RAND:网络质询随机数，在鉴权中心AUC中由算法f0产出的一个随机数XRES:用户应答的期望值，和UE发过来的RES对比，用于对UE的鉴权认证。CK:加密密钥,用于用户数据的加密,128bit。IK:完整性密钥，用于完整性保护128bit。AUTN:网络身份确认标记，由网络发给UE，用于UE对网络的认证。SQN:同步序列号K:安全根密钥K（128bit）开户时在HLR存定进去的。MAC：消息认证码鉴权过程1.当需要对用户进行认证时，服务网络的MSC/VLR（对电路域业务）或者SGSN（对分组域业务）会向用户归属的HLR/AuC请求认证向量。2.HLR/AuC首先产生一个随机数RAND和一个SQN，然后基于这个RAND、SQN和用户的根密钥K按图1所示进行如下计算：用f2算法生成移动台应返回的认证响应XRES，用f3算法生成加密密钥CK，用f4算法生成完整性保护密钥IK，用f1和f5算法生成网络对应的认证响应AUTN，HLR/AuC也可能产生多组这样的认证向量。图2鉴权认证的算法处理五元向量组AV=RAND||XRES||CK||IK||AUTNAUTN=SQN⊕AK||AMF||MAC3.HLR/AuC将一个或多个（RAND,XRES,CK,IK,AUTN）五元组返回给服务网络的MSC/VLR或者SGSN。4.在检测到鉴权参数五元组的存在后，网络侧下发鉴权请求消息。此消息中将包含某个五元组的RAND和AUTN。终端收到此消息后，首先在USIM卡中计算XMAC值，然后和网络发送消息中的MAC值比较，完成对网络的鉴权。若两者一致说明网络合法，USIM卡将利用RAND来计算出CK与IK和签名XRES。终端将发送鉴权响应消息（包括参数RES）给网络，同时终端把CK和IK存储到USIM卡中并替换旧的参数；若MAC和XMAC不一致，终端将发送鉴权失败。5.网络侧在收到鉴权响应消息RES之后，比较此鉴权响应消息中的XRES与存储在VLR数据库中的鉴权参数五元组的XRES，确定鉴权是否成功，则继续后面的正常流程；不成功，则会发起异常处理流程，释放网络侧与此终端间的连接，并释放被占用的网络资源、无线资源在成功的鉴权之后，6.接入网从服务地的核心网获得CK和IK，终端从步骤4获得或者从卡上读取CK和IK，各自用它们作为密钥，（这两个CK和IK之所以相同，是由于他们都是通过同一个RAND算出来的。所以这样的话，UE和SGSN/VLR就能采用相同的CK和IK来进行数据加密了。）然后用f8、f9算法进行加/解密和完整性保护。终端和接入网间也可以借完整性保护（IK和f9算法）实现简单的本地认证功能。相互鉴权机制以存储于鉴权中心和USIM卡中的两个参数为基础：主密钥K以及动态序列号SQN。密钥K是静态不变的，它不能通过空中接口直接传输，防止被攻击者截取利用。SQN用于网侧和终端的同步，因为记录了早期鉴权事件的攻击者可能会有意识的重发RAND和AUTN来试图接入网络，SQN的引入避免了这种情况的发生。在鉴权过程中，网侧会向终端发送SQN参数，SQN由SEQ（序列号）和INDEX（索引）组成一般SQN都进行升序处理，即SEQ是逐次增大的，每次UE在收到SEQ后会与USIM卡中的SEQ值做比较，如果收到的值比当前的大，则鉴权会通过，并将收到的值重新存入USIM卡，用于下次比较。一般由于两端不同步而造成的鉴权不成功，经常都是由于网络侧发送的SEQ小于或等于ＵＳＩＭ卡中的ＳＥＱ所致。在终端侧，鉴权失败可能由MAC校验失败和同步失败引起。3终端的完整性保护及加密过程TD-SCDMA系统中的加密机制能保护用户和网络之间传输的数据不被攻击者泄漏或窃听，从而保证网络的安全。在用户和网络成功鉴权后，两者之间就建立了安全通信，此时加密密钥CK存在于终端和CN（核心网）。加密过程在终端和网络侧的RNC（无线网络控制器）中进行。在网络侧，如果是透明传输模式，加密在MAC-d实体中进行，否则在RLC实体中进行。加密只对MACPDU和RLCPDU进行加密，而不包括PDU头。一致性校验是在RRC层进行的。图3安全模式控制流程（加密和完整性保护一般过程）图3所示是安全模式控制流程。该过程中核心网侧向无线接入网侧发送加密信息。在此过程中，核心网侧将与无线接入网协商对用户终端进行加密的算法，使得用户在后续的数据传输中使用该加密算法。核心网通过发送一个SECURITYMODECOMMAND消息到接入网开始该过程。此消息包含了接入网可以使用的加密密钥以及加密算法。接入网收到该消息后。当无线接口向终端发送一个RRC安全模式控制命令消息来启动加密过程成功地完成后，接入网返回一个SECURITYMODECOMPLETE消息到核心网，这个消息包括了被选择的加密算法。3.1加密过程描述在终端和网络侧确定CK和加密算法之后，无线链路上传输的数据就会按照图4所示的进行加密，f8中使用的核心算法是基于块加密的过程。加密过程所使用的算法函数是f8KASUMI算法，算法的具体实现可以参考3GPP规范TS35.202，本文不做详细。产生数据无关的密钥流，它和数据明文按位做异或运算得到密文。密文在无线链路上传输，接收方用和发送方同样的方法产生密钥流，然后用该密钥流和收到的密文做异或运算得到真正的明文。每次加密都会使用不同的密钥流，因为如果两条明文使用同样的密钥流加密，这样得到的两条密文可能会被攻击者相加，从而密钥被破译。图4无线链路中传输数据的加密f8算法主要参数说明：(1)CK：加密密钥，该参数在鉴权流程中已作详细说明。(2)LENGTH：指示密钥流的长度。(3)DIRECTION：指示数据传输方向是上行还是下行，1bit长。0代表上行，1代表下行。(4)COUNT-C：加密序列号，32bit长。在每个无线承载的上、下行都分别存在该值，它的初始值由HFN（超帧号）决定。HFN是用于计数的。HFN的计数周期很长，并且当新的密钥产生时，HFN会重新置零，因此用COUNT-C作为密钥产生机制中的一个经常改变的输入参数，使得密钥很难被破译。(5)BEARER：无线承载标识符，5bit长。它与每个用户是相关的，在每个10ms物理层帧上复用的每一无线承载都有该参数。这样可以避免对不同的密钥流使用相同的输入参数集。3.2完整性保护过程描述对终端和网络之间在无线链路上传送的信令消息进行完整性保护，可以防止信令消息被修改、增加、删除或其它破坏。在RRC连接建立和安全模式建立之后，所有终端和网络之间的控制面专用消息均需要进行完整性保护。特别的，只有RRC连接、寻呼和系统广播消息等不需要完整性保护。完整性保护过程的启动和加密过程类似，也是通过发送安全模式控制消息来完成的，该消息中包含了IK和完整性保护的算法。具体过程如图3所示。信令的完整性保护过程在RRC。和f8一样，f9的核心算法也是KASUMI层完成。完整性保护过程中调用的算法函数是f9算法。图5说明了调用f9函数产生信令消息鉴权码（MAC）的过程。发送端通过f9产生MAC-I，将其添加到信令消息上。接收端以同样的方法计算出接收消息的XMAC-I，并将它与所收到的MAC-I进行比较来检验数据完整性，完整性验证失败的消息将被接收端丢弃。图5信令消息鉴权码的产生f9算法主要参数说明：(1)IK：128bit，完整性保护密钥，该参数在鉴权流程中已作详细说明。(2)DIRECTION：指示数据传输方向是上行还是下行，1bit，0代表上行，1代表下行。(3)FRESH：32bit长，每个用户都有一个指示更新的FRESH参数。它由RNC随机选择，在信令SecurityModeCommand中发送，被终端读取。用来使网络抗击用户信令消息的重发。如果没有FRESH参数，攻击者可能会利用以前截取的MAC-I值来重发信令消息。(4)COUNT-I：32bit，完整性序列号。每个SRB（信令无线承载）的上、下行链路分别存在一个COUNT-I值，它由RRC序列号和HFN组成。COUNT-I用于计数，它在FRESH值不变的基础上逐次增加，避免了消息被重复发送，使得完整性保护函数每次运行的结果是不同的。