移动通信中的安全问题

1移动通信中的安全机制单广玉shanguangyu@hotmail.com2内容!移动通信中的安全威胁!GSM系统中的安全机制!3GPP中的接入安全机制3内容!移动通信中的安全威胁!GSM系统中的安全机制!3GPP中的接入安全机制4通信系统中的安全威胁☺正常流程☺窃听#$$中断#$$#伪造$$#篡改$$%%收到了吗?抵赖不是!没有!是你发的吗?可用性完整性机密性不可否认认证5移动通信中的安全威胁机密性:非授权获取通信内容完整性：非授权修改敏感数据认证性：非授权使用网络提供的服务AB6模拟移动通信的安全机制MIN,ESN语音PSTNPSTNMIN,ESN语音归属网7内容!移动通信中的安全威胁!GSM系统中的安全机制!3GPP中的安全机制8GSM系统中的安全机制!GSM网络结构!用户认证与密钥协商!用户数据加密!用户身份的机密性!针对GSM的安全攻击9GSM系统中的安全机制•GSM网络结构•用户认证与密钥协商•用户数据加密•用户身份的机密性•针对GSM的安全攻击10GSM系统网络结构移动终端基站子系统交换子系统网络管理用户和终端设备数据库MSCVLRHLREIROMCBTSBTSBTSAUCBSC11GSM安全相关参数和算法分布AuC(A3,A8,Ki,IMSI)(A5，Kc)BTSHLR(RAND,SRES,Kc)VLR(RAND,SRES,Kc)MSMSCSIM(A3,A8,IMSI,Ki,Kc)(A5,Kc)!两种密钥Ki和Kc!三个算法A3、A8和A512GSM系统中的安全机制•GSM网络结构•用户认证与密钥协商•用户数据加密•用户身份的机密性•针对GSM的安全攻击13GSM用户认证•认证的目的•认证SIM卡的合法性•保护网络免受非授权使用•建立会话密钥•认证方案•通过IMSI或TMSI识别用户•通过挑战－应答方式由网络认证用户14GSM用户认证过程MSVLRAuC认证数据请求(RAND,SRES,Kc)RANDSRES业务请求认证结果15GSM用户认证过程A3移动终端空中接口GSM网络A3KiKi挑战(RAND)应答(SRES)SRES’SRESSRES＝SRES’?SIM随机数产生RAND•认证的前提是终端中的SIM卡和网络共享密钥Ki及认证算法A316GSM加密密钥生成A8移动终端空中接口GSM网络A8KiKi挑战(RAND)KcKcSIM随机数产生RAND•认证成功及A8算法的一致性能够保证两边生成的会话密钥Kc的一致性。•Kc不会在空中传输。17A3和A8算法的实现COMP128RAND(128bit)Ki(128bit)输出128bit32bit作为SRES,54bit作为Kc!A3和A8算法都在SIM卡和AuC中实现!A3和A8算法在SIM卡中的运算时Ki不出卡!算法的具体实现由运营商决定!大部分的GSM网络运营商都选用COMP128作为A3和A8算法的实现!COMP128是一个带密钥的散列函数。18GSM系统中的安全机制•GSM网络结构•用户认证与密钥协商•空中接口加密•用户身份的机密性•针对GSM的安全攻击19GSM系统空中接口加密终端基站子系统交换系统网络管理用户和终端设备数据库BSCMSCVLRHLREIRAUCOMCBTSBTSBTSA5加密20GSM系统的加密FnA5KcFnA5Kc明文帧密文帧明文帧114比特的密钥流分组114比特的密钥流分组发方(ME或BTS)收方(BTS或ME)21A5算法•A5是一个序列密码算法•可以在硬件上高效实现•该算法的设计没有公开•但最终还是泄漏出去了•算法的变种•A5/1–较强的版本•A5/2–较弱的版本•A5/3–基于Kasumi22加密算法协商认证请求（RAND）认证响应（SRES）加密命令(选用的算法)服务请求（支持的算法）加密命令完成加密通信用户BTS/BSC23GSM系统中的安全机制•GSM网络结构•用户认证与密钥协商•空中接口加密•用户身份保密•针对GSM的安全攻击24用户身份保密!基本方法:用TMSI代替IMSI!IMSI–InternationalMobileSubscriberIdentity!TMSI–TemporaryMobileSubscriberIdentity!TMSI的使用!TMSI的分配!MS关机时TMSI的存储25用户身份保密－用TMSI代替IMSI26GSM系统中的安全机制•GSM网络结构•用户认证与密钥协商•空中接口加密•用户身份保密•针对GSM的安全攻击27针对GSM系统的攻击•SIM卡攻击•空中接口攻击•运营商网络攻击28对GSM的攻击!1998年4月•SIM卡上的COMP128算法被攻破!1999年12月•一定条件下A5/1算法能被攻破!2002年5月•IBM研究人员发现新的快速获取密钥Ki的方法。!2003年8月•GSMA5/2算法被攻破，很实用29A5算法在中国30GSM系统安全机制小结!认证方式!加密范围!密码算法及密钥长度!完整性保护!在认证过程中,有可能在无线信道上以明文发送安全参数IMSI。31内容!移动通信中的安全威胁!GSM系统中的安全机制!3GPP中的接入安全机制323GPP中的接入安全机制•安全目标和原则•安全模型•认证与密钥协商•空中接口安全保护333GPP安全目标!确保用户相关的信息安全!确保网络资源和业务安全!确保安全特征的充分标准化!确保给用户和业务提供者提供的安全水平高于当前正在使用的固定网络和移动网络!确保3G安全特征的可扩展性343GPP安全原则!建立在2G系统安全基础之上!对2G系统安全机制增强!根据3G提供的业务特点353GPP中的接入安全机制•安全目标和原则•安全模型•认证与密钥协商•空中接口安全保护363G安全模型I.接入安全II.网络安全III.用户安全IV.应用安全V.安全可见性与可配置性应用层归属/服务层用户应用运营商应用USIMUE传输层BTS/BSCSGSNHEAuCANSNVLR移动终端设备(I)(I)(I)(I)(I)(II)(III)(IV)HLR移动用户服务网归属网373G安全功能结构383GPP中的接入安全机制•安全目标和原则•安全模型•认证与密钥协商•空中接口安全保护39认证与密钥协商(AKA)!AKA的目的&完成网络与用户的双向认证&生成加密密钥(CK)和完整性密钥(IK)&确保CK/IK的新鲜性,即以前没有使用过!AKA的前提条件&认证中心（AuC)和USIM卡共享：'用户唯一的秘密认证密钥K'消息认证函数f1,f1*,f2'密钥产生函数f3,f4,f5,f5*&AuC有随机数产生函数&AuC能够产生新的序列号&USIM能够验证收到的序列号的新鲜性40AKA中用到的变量和函数K=由USIM和AuC共享的主密钥RAND=由AuC产生的随机数，认证时的挑战（Challenge）XRES=f2K(RAND)，由AuC计算的期望响应RES=f2K(RAND)，由USIM计算出的响应CK=f3K(RAND)，空中接口加密密钥IK=f4K(RAND)，空中接口完整性保护密钥AK=f5K(RAND)，匿名密钥（AnonymityKey）SQN=序列号AMF=认证管理域（AuthenticationManagementField）MAC=f1K(SQN||RAND||AMF)，网络侧消息认证码AUTN=SQN⊕AK||AMF||MAC，网络认证令牌Quintet=(RAND,XRES,CK,IK,AUTN)，认证五元组或认证向量（AV）41认证和密钥协商过程USIM/MEVLR/SGSNHE/HLR认证数据请求产生认证向量AV(1…n)认证数据响应AV(1…n)存储认证向量AV(1…N)选择认证向量AV(i)用户认证请求RAND(i)||AUTN(i)验证AUTN(i)计算RES(i)用户认证数据响应RES(i)比较RES(i)和XRES(i)计算CK(i)和IK(i)选择CK(i)和IK(i)认证向量AV的分配（从HE到SN）服务请求认证和密钥协商(RAND,XRES,CK,IK,AUTN)42AuC中认证向量的产生43USIM卡中的用户认证功能44AKA的安全性分析!双向认证,认证完成后提供加密密钥和完整性密钥,防止假基站攻击!密钥的分发没有在无线信道上传输,AV在固定网内的传输也由网络域安全提供保障!密钥的新鲜性,由新的随机数提供,防止重放攻击!对有可能暴露用户位置信息和身份信息的SQN用AK异或,达到隐藏SQN的目的!MAC的新鲜性,(SQN和RAND变化,防止重放攻击)453GPP中的安全机制•安全目标和原则•安全模型•认证与密钥协商•空中接口安全保护463G中的加解密算法-f8!适用于所有用户业务信息和关键信令信息的加密!采用序列密码来实现。有不同的算法可以选择,算法标识符占4位：!在终端和RNC中实现•“0000”,UEA0,不加密•“0001”,UEA1,基于Kasumi算法473G中的加解密示意f8COUNT-CBEARERDIRECTIONLENGTHCK密钥流f8COUNT-CBEARERDIRECTIONLENGTHCK密钥流密文明文明文发送方(UE或RNC)接收方(RNC或UE)483G中的完整性算法-f9!适用于所有用户业务信息和关键信令信息的加密!采用序列密码来实现。有不同的算法可以选择,算法标识符占4位：!在终端和RNC中实现•“0001”,UIA1,基于Kasumi算法493G中的完整性保护示意FRESHf9COUNT-IMESSAGEDIRECTIONFRESHIKMAC-If9COUNT-IMESSAGEDIRECTIONIKXMAC-I发送端(UE或RNC)接收端(RNC或UE)50安全连接建立过程ME/USIMRNCVLR/SGSN连接建立RRCRRC1.IMSIInterrogationMMMM3.认证与密钥协商MMMM4.SecuritymodecommandRANAP5.SecuritymodecommandRRC6.SecuritymodecompleteRRC7.SecuritymodecompleteRANAP8.ResponsetoinitialL3messageMM9.TMSI分配MMMM10.InitialL3message2.MMMMME支持的加密算法和完整性算法ME当前存储的密钥的标识（KSI）网络可以使用的加密算法和完整性算法的列表、密钥选定的加密算法和完整性算法（该消息被完整性保护）该消息被加密和完整性保护513GPP接入安全小结•双向身份认证•算法经过公开评估•密钥长度增加，可以采用高强度的加密算法和完整性算法•增加了信令完整性保护机制•提出了保护核心网络节点之间通信的机制52移动通信安全相关标准!GSM03.20Securityrelatednetworkfunction!TR33.900AGuideto3rdGenerationsecurity!TS33.120Securityprinciplesandobjectives!TS21.133Securitythreatsandrequirements!TS33.102Securityarchitecture!TS33.103Integrationguidelines!TS33.105Cryptographicalgorithmrequirement!TS35.201f8andf9specification!TS35.202KASUMIspecification!TS35.203Implementors’Testdata!TS35.204Designconformancetestdata53Q&Ashanguangyu@hotmail.com54谢谢大家！