第五章 移动通信中的鉴权与加密

北邮信息理论与技术教研中心BUPTInformationTheory&TechnologyEducation&ResearchCenter第五章移动通信中的鉴权与加密BUPTInformationTheory&TechnologyEducation&ResearchCenter2本章内容•移动信道的开放性，要求有相应的安全性。•移动通信中信息安全的两个核心问题：–鉴权(也称认证)–加密–主要以空中接口即接入过程介绍为主。•数字技术BUPTInformationTheory&TechnologyEducation&ResearchCenter35.1.2移动环境中的安全威胁及相应措施•目前，移动通信最有代表性的是第三代移动通信系统(3G)安全体系结构如下USIM非3GPP接入网(AN)无线服务网络(SN)3GPP接入网归属环境(HE)服务商应用程序用户应用程序移动设备(ME)应用层归属层服务层传输层(1)(1*)(1)(4)(2)(1*)(1*)(1)(1)(3)(1)(2)(1)图5.13GPP系统的安全体系结构BUPTInformationTheory&TechnologyEducation&ResearchCenter45.1.2移动环境中的安全威胁及相应措施•(1)网络接入安全(等级1)：主要定义用户接入3GPP网络的安全特性，特别强调防止无线接入链路所受到的安全攻击，–(1*)非3GPP网络接入安全：主要定义ME、非3GPP接入网(例如WiMax、cdma2000与WLAN)与3GPP核心网(EPC)之间的安全通信。•(2)网络域安全(等级2)：定义3GPP接入网、无线服务网(SN)和归属环境(HE)之间传输信令和数据的安全特性，并对攻击有线网络进行保护。BUPTInformationTheory&TechnologyEducation&ResearchCenter55.1.2移动环境中的安全威胁及相应措施•(3)用户域的安全(等级3)：定义USIM与ME之间的安全特性，包括两者之间的相互认证。•(4)应用程序域安全(等级4)：定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于VoIP业务，IMS提供了该等级的安全框架。•(5)安全的可见度与可配置性：它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。BUPTInformationTheory&TechnologyEducation&ResearchCenter6•以空中接口为主体的安全威胁包括如下几类情况：窃听假冒重放数据完整性侵犯业务流分析跟踪•来自网络和数据库的安全威胁包括以下三类情况：网络内部攻击对数据库的非法访问对业务的否认5.1.2移动环境中的安全威胁及相应措施BUPTInformationTheory&TechnologyEducation&ResearchCenter7解决方式•鉴权（认证）•加密、解密•数字签名：防止合法用户的抵赖行为BUPTInformationTheory&TechnologyEducation&ResearchCenter8§5.2保密学的基本原理•5.2.1引言•上世纪40年代以前它基本上是一门经验性、技术性学科。•四十年代末，C.E.Shannon发表了保密学的奠基性论文《保密系统的信息理论》[5.4]，从而创立统计保密学理论。•1976年，美国学者W.Differ与M.Hellman发表《保密学的新方向》[5.1]，首先提出双钥制与公开密钥理论，为现代密码学奠定了基础，从而为广义密码学、认证理论、数字签名等现代密码学及其在现代信息网中的应用开辟了新的方向。BUPTInformationTheory&TechnologyEducation&ResearchCenter95.2.2广义保密系统的物理、数学模型•保密系统是以信息系统的安全性为目的的专用通信系统。•信息安全是针对通信系统中授权的合理用户而言，而未授权的非法用户既可以在接收端窃听，也可以在发送端主动攻击、非法伪造。•传统的保密学仅研究前者即非法窃听，又称为狭义保密学，而两者均研究的则称为广义保密学。BUPTInformationTheory&TechnologyEducation&ResearchCenter10伪造者窃听者明文源MA加密变换T1加密变换T2解密变换T2解密变换T1明文宿MB密钥源K1密钥源K密钥源K-1密钥源K2信道mck1kk2c´k-1•一个广义保密系统。若上述系统中仅有，且，该保密系统退化为传统的狭义保密系统。•保密系统的核心是密钥和加、解密变换的实现算法。112,,,(,),(,)AKKKKSMKCTTTT1(,)KKTT11KKTT5.2.2广义保密系统的物理、数学模型BUPTInformationTheory&TechnologyEducation&ResearchCenter115.2.3序列密码•序列加密又称为流加密，属于串行逐位加密，即通过明文序列与密钥序列逐位模二加来生成对应的密文序列。•序列密码实质上是仿效理想保密体制中的“一次一密”体制，从而牺牲了部分的理想性能，而换取了易于产生、易于同步的优点，且密钥的管理、分配具有工程可实现性。•序列密码的原理如下图所示：明文源M密钥源PN序列产生器信道密钥源PN序列产生器明文宿M’明文序列m密文序列c接收的密文序列恢复后的明文密钥序列K密钥序列KC’m'BUPTInformationTheory&TechnologyEducation&ResearchCenter12•1.m序列非线性前馈加密算法•序列密码要求密钥具有较大的线性复杂度，并且除了在整体上具有伪随机特性以外，还必须进一步具有抗统计攻击的局部随机性。•m序列虽然能完全满足Golomb随机性公设，但是它的线性复杂度很低，因此不能直接用作序列密钥。•为了改善m序列的线性复杂度，最简单的方法是在m序列产生器上附加一个非线性前馈滤波器。选取非线性前馈函数的标准是既保留m序列的伪随机特性与优点，又要设法提高线性复杂度。5.2.3序列密码BUPTInformationTheory&TechnologyEducation&ResearchCenter135.2.3序列密码•2.RC算法•RC系列算法是密钥长度可变的序列加密算法，其中最流行的是RC4算法，可以使用高达2048位的密钥，该算法的速度可以达到DES加密的10倍左右。RC4算法的原理是“搅乱”，包括初始化模块和伪随机子密码生成模块两大部分。•初始化过程将一个256字节的数列进行随机搅乱，经过伪随机子密码生成模块处理后得到不同的子密钥序列，子密钥序列和明文进行异或运算(XOR)后，得到密文。•由于RC4算法加密采用的是异或，所以，一旦子密钥序列出现了重复，密文就有可能被破解。但是目前还没有发现密钥长度达到128位的RC4有重复的可能性，所以，RC4是目前最安全的加密算法之一。BUPTInformationTheory&TechnologyEducation&ResearchCenter145.2.4分组密码•分组密码是对明文信息进行分组加解密，由于处理需要一定时延，因此适合于非实时加密。本节重点介绍分组加密基本原理与分组加密标准DES。•下面举一个最简单的例子，令分组长度n＝3，明文与密文各有8种不同组合，明文m与密文c以及密钥k(联线)的对应关系可以直观表示如右图所示。串并变换0123456701234567并串变换输入明文输出密文m=m1m2m3c=c1c2c3明文集合密文集合BUPTInformationTheory&TechnologyEducation&ResearchCenter15•加密、解密方程与逻辑真值表如右：输入输出mc00000102100111062010001130110000410011175101100461100113711110151M2m3m1c2c3c•加密方程为：123112312312312312321231231231231233123123123123123kkkcfmmmmmmmmmmmmmmmcfmmmmmmmmmmmmmmmcfmmmmmmmmmmmmmmm•解密方程为：111112312312312312311231231231231231123123123123123kkkmgcccccccccccccccmgcccccccccccccccmgccccccccccccccc5.2.4分组密码BUPTInformationTheory&TechnologyEducation&ResearchCenter16•将上述加、解密方程写成矩阵形式：•即：CKM0100010000000011000000010001001010000000100001000000001111100000001100100000010001010110001000011010100000100111•同理有：•即：1MKC00000010000010001001000001100101000000000101100000010000100000001001111010000000110011001000000011111000010001015.2.4分组密码BUPTInformationTheory&TechnologyEducation&ResearchCenter175.2.4分组密码1.DES算法DES是由IBM研制，并由美国国家安全局NSA认证安全。目前该标准已被广泛应用于全世界的数据加密中。DES可以构成分组(块)加密和序列(流)加密两种不同形式，但主要用于分组(块)加密，两者的唯一差别是密钥不同。DES算法把64位明文输入块变为64位密文输出块，它所使用密钥也是64位(56位密钥加8比特校验)。DES是一种Feistel结构的加密算法，即每次迭代分为左右两半，进行交叉加密操作。HorstFeistel(1915-1990)是德国物理学家和密码学家，在IBM工作期间提出了以其名字命名的加密技术，是DES标准的发明人之一。BUPTInformationTheory&TechnologyEducation&ResearchCenter185.2.4分组密码•DES算法安全性很高，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。•TripleDES算法又称3-DES，是DES算法改进，使用两个密钥对明文运行DES算法三次，得到112位有效密钥，主要用于解决DES56位密钥的抵抗破解强度随着计算机运算速度加快而日益减弱的问题。BUPTInformationTheory&TechnologyEducation&ResearchCenter195.2.4分组密码•2.Kasumi算法•Kasumi算法也是一种Feistel结构的分组密码，数据长度64比特，密钥长度128比特，经过8次迭代得到密文输出。•Kasumi算法设计的关键与DES相同，也在于选择压缩S运算，这些映射专门针对差分与线性密码分析进行了优化，因此具有很高的非线性度。•Kasumi算法的运算非常简单，可以在任意软硬件设备实现，既可以应用于分组加密，也可以应用于序列加密。•Kasumi算法已经应用于GSMA5/3、GPRSGAE3加密算法，以及3GPP的加密(f8)和完整性保护(f9)算法中。BUPTInformationTheory&TechnologyEducation&ResearchCen