移动通信中的鉴权Word下载.docx
《移动通信中的鉴权Word下载.docx》由会员分享,可在线阅读,更多相关《移动通信中的鉴权Word下载.docx(15页珍藏版)》请在冰豆网上搜索。
的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。
在网络侧,也分为鉴权响应符号SRES1的产生与鉴权比较两部分。
。
1欢迎下载
为了保证移动用户身份的隐私权,防止非法窃取用户身份码和相应的位置信息,可以采
用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。
TMSI
的具体更新过程原理如下图所示,由移动台侧与网络侧双方配合进行。
从中提取原来
原来的TMSI
的TMSI(SIM卡
中)
分配新的TMSI
给用户
加密后新的TMSI
解密
加密
消去原来的
存贮新的TMSI
移动台侧网络侧
这项技术的目的是防止非法用户接入移动网,同时也防止已老化的过期手机接入移动
网。
在网络端采用一个专门用于用户设备识别的寄存器EIR,它实质上是一个专用数据库。
负责存储每个手机唯一的国际移动设备号码IMEI。
根据运营者的要求,MSC/VLR能够触发检
查IMEI的操作。
IS-95系统的鉴权
IS-95中的信息安全主要包含鉴权(认证)与加密两个方面的问题,而且主要是针对数据
用户,以确保用户的数据完整性和保密性。
鉴权(认证)技术的目的:
确认移动台的合理身份、
保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。
加密技术的目的是防
止非法用户从信道中窃取合法用户正在传送的机密信息,它包括:
信令加密、话音加密、数
据加密。
在IS-95标准中,定义了下列两个鉴权过程:
全局查询鉴权和唯一查询鉴权。
鉴权基本原理是要在通信双方都产生一组鉴权认证参数,这组数据必须满足下列特性:
通信双方、移动台与网络端均能独立产生这组鉴权认证数据;
必须具有被认证的移动台用户
的特征信息;
具有很强的保密性能,不易被窃取,不易被复制;
具有更新的功能;
产生方法
应具有通用性和可操作性,以保证认证双方和不同认证场合,产生规律的一致性。
满足上述
五点特性的具体产生过程如下图所示:
2欢迎下载
共享保密数据输入参数:
鉴权
A密钥、移动台电子序号ESN、
随机数据RANDSSD
共享保密数据
SSD的生成
SSD-A(更新后)
SSD-A
(更新
后)
移动台识别号I
随机查询数据
MINTESN
RANDBS
鉴权算法
(单向函数)
鉴权数据抽取
AUTHBS(18bit)
AUTHBS
=?
′
相等,
通过鉴权
IS-95系统的鉴权认证过程涉及到以下几项关键技术:
共享保密数据SSD的产生,鉴权
认证算法,共享保密数据SSD的更新。
SSD的产生
SSD是存贮在移动台用户识别
UIM卡中半永久性
128bit的共享加密数据,其产生框图
如下所示。
192bit
152bit
共享保密随机数据
移动台电子序号
鉴权密钥
填充
RANDSSD
ESN
A钥
(40bit
)
(56bit)
(32bit)
(
64bit)
共享保密数据SSD生成
(DES算法)
SSD-A-NewSSD-B-New
(64bit)(64bit)
SSD的输入参数组有三部分:
共享保密的随机数据RANDSSD、移动台电子序号ESN、鉴
3欢迎下载
权密钥(A钥)、填充。
SSD输出两组数据:
SSD-A-New是供鉴权用的共享加密数据;
SSD-B-New是供加密用的共享加密数据。
鉴权认证算法
这一部分是鉴权认证的核心,鉴权认证输入参数组含有5组参数:
随机查询数据RANDBS;
移动台电子序号ESN;
移动台识别号第一部分;
更新后的共享保密数据SSD-A-New;
填充。
鉴权核心算法包含以下两步:
利用单向Hash函数,产生鉴权所需的候选数据组;
从鉴权认
证的后选数据组中摘要抽取正式鉴权认证数据AUTHR,供鉴权认证比较用。
176bit或192bit
RANDBSESNMINISSD-A-New填充
(32bit)(32bit)(24bit)(64bit)(24或40bit)
(单向函数DES)
鉴权认证数据(摘要)
抽取:
AUTHBS
SSD的更新
为了使鉴权认证数据AUTHBS具有不断随用户变化的特性,要求共享保密数据应具有不断更新的功能,SSD更新框图如下图所示。
4欢迎下载
移动台侧
基站、网络
侧
接收到SSD更新指令
发送SSD更新指令给移动台
后移动台设置输入参数
输入参数
RANDSSD(56bit)
ESN(32bit)
A钥(64bit)
A钥(64bit
SSD生成程序
SSD-A-New
SSD-B-New
(64bit)
(64bit
RANDBS基站查询指令
MINT32bit
MINT
(32bit
)(24bit
32bit
(24bit)(32bit
鉴权认证算法鉴权认证算法
AUTHBSAUTHBS
(18bit)(18bit)
基站查询指令确认
SSD更新指令确认鉴权比较成功
SSD-A改为SSD-A-New
YesSSD-B改为SSD-B-New
鉴权比较失败
丢弃新的SSD,并发送
No更新拒绝指令至移动台
SSD更新拒绝指令
WCDMA系统的鉴权
3G安全体系目标为:
确保用户信息不被窃听或盗用;
确保网络提供的资源信息不被滥
用或盗用;
确保安全特征应充份标准化,且至少有一种加密算法是全球标准化;
安全特征的
标准化,以确保全球范围内不同服务网之间的相互操作和漫游;
安全等级高于目前的移动网
或固定网的安全等级(包括GSM);
安全特征具有可扩展性。
为了克服GSM系统的安全缺陷,WCDMA系统采用了双向认证技术,建立了完整的认证与密钥协商机制(AKA)。
1.UMTS安全体系结构与AKA过程
UMTS安全体系主要涉及到USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC等网络单元。
所采
用的AKA过程分为两个阶段。
阶段1是HE与SN之间的安全通信,认证向量AV通过SS7信令的MAP协议传输。
由于
MAP协议本身没有安全功能,因此3GPP定义了扩展MAP安全协议,称为MAPsec,用于传输
认证矢量AV=(RAND(随机数),XRES(期望应答),CK(加密密钥),IK(完整性密钥),AUTH(认
5欢迎下载
证令牌))。
阶段2是SN和用户之间的安全通信,采用一次处理方式,在USIM与SGSN/VLR之间进
行质询-应答处理。
实现用户和网络的双向认证。
UMTS在ME与RNC之间实现加密和完整性
保护,对于业务数据和信令,都进行加密,为了降低处理时延,只对信令进行完整性保护。
用户服务网络(SN)归属环境(HE)
Uu接口Iu接口
MSC/VLR
USIMMENodeBRNCSGSN/VLRHLR/AuC
UMTSAKA阶段1:
基于
MAP协议传输认证向量(AV)
UMTSAKA阶段2:
质询-应答
加密与完整性保护
CDMA2000系统的鉴权
与WCDMA类似,CDMA2000系统也采用了双向认证技术与认证与密钥协商机制(AKA)。
1.CDMA2000安全体系结构
CDMA2000的安全体系结构与UMTS类似,也采用两阶段AKA过程,涉及到UIM/ME、MSC、PDSN/VLR和HLR/AC等网络单元。
UIMMEMSCPDSN/VLRHLR/AC
移动台识别码(MSID)
AKA阶段1:
基于IP/SS7协
议传输认证向量(AV)
2.UIM认证流程
CDMA2000中的UIM卡存储用户的身份信息与认证参数,其功能与GSM中的SIM卡、UMTS中的USIM卡功能类似。
6欢迎下载
移动设备(ME)UIM网络
接收AV向量
通过与f5(RAND)异或,解密
SQN
验证不匹配?
AUTN=f1(RAND,SQN,AMF)
错误:
不正确的网络认证
重放
检查SQN范围重新同步
分别用(f2,f3,f11)生成
CK,IK,UAK(可选)
返回
生成RES=f4(RAND)
反馈RES,用户认证成功
RES,CK,IK
第三代移动通信系统(3G)安全体系
目前,移动通信最有代表性的是第三代移动通信系统(3G)安全体系结构如下:
应用层
用户应用程序
(4)
服务商应用程序
服务层
归属层
(3)
(1)
归属环境
(2)
USIM
(HE)
无线
服务
网络
3GPP接入网
(SN)
移动设备(ME)
(1*)
非3GPP
接入网(AN)
传输层
图5.13GPP系统的安全体系结构
(1)网络接入安全(等级1):
主要定义用户接入3GPP网络的安全特性,特别强调防止
无线接入链路所受到的安全攻击,这个等级的安全机制包括USIM卡、移动设备(ME)、3GPP
7欢迎下载
无线接入网(UTRAN/E-UTRAN)以及3GPP核心网(CN/EPC)之间的安全通信。
(1*)非3GPP网络接入安全:
主要定义ME、非3GPP接入网(例如WiMax、cdma2000与WLAN)
与3GPP核心网(EPC)之间的安全通信。
(2)网络域安全(等级2):
定义3GPP接入网、无线服务网(SN)和归属环境(HE)之间传
输信令和数据的安全特性,并对攻击有线网络进行保护。
(3)用户域的安全(等级3):
定义USIM与ME之间的安全特性,包括两者之间的相互认
证。
(4)应用程序域安全(等级4):
定义用户应用程序与业务支撑平台之间交换数据的安全性,例如对于VoIP业务,IMS提供了该等级的安全框架。
(5)安全的可见度与可配置性:
它定义了用户能够得知操作中是否安全,以及是否根据安全特性使用业务。
信息服务中还存在一类信息安全问题,即来自发送端非法用户的主动攻击,包含非法用户的伪造纂改、删除、重放,甚至是来自合法用户的抵赖与纂改等。
这类来自发送端的非法
攻击的防范措施通称为认证技术,在移动通信中称为鉴权技术。
认证系统的基本原理如下图所示:
非法用户
信源认证加密信道认证解密信宿
密钥源1密钥源2
消息认证:
一个消息认证系统是由明文M、密钥K、密文C和认证函数fm,k以及认证码集合
Am,k组成的。
2G、3G和4G移动通信系统中对合法用户的鉴权都属于身份认证。
GSM系统中用户识别
码IMSI存储在SIM卡与AuC中;
IS-95系统中用户序列号ESN存储在移动台或UIM卡与AC中;
UMTS/CDMA2000系统中,用户识别码IMSI存储在USIM卡与AuC中。
8欢迎下载
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求
9欢迎下载