移动通信中的鉴权Word下载.docx

移动通信中的鉴权Word下载.docx

《移动通信中的鉴权Word下载.docx》由会员分享，可在线阅读，更多相关《移动通信中的鉴权Word下载.docx（15页珍藏版）》请在冰豆网上搜索。

的一组随机数RAND通过A3算法产生输出的鉴权响应符号SRES2。

在网络侧，也分为鉴权响应符号SRES1的产生与鉴权比较两部分。

。

1欢迎下载

为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采

用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码IMSI。

TMSI

的具体更新过程原理如下图所示，由移动台侧与网络侧双方配合进行。

从中提取原来

原来的TMSI

的TMSI（SIM卡

中）

分配新的TMSI

给用户

加密后新的TMSI

解密

加密

消去原来的

存贮新的TMSI

移动台侧网络侧

这项技术的目的是防止非法用户接入移动网，同时也防止已老化的过期手机接入移动

网。

在网络端采用一个专门用于用户设备识别的寄存器EIR，它实质上是一个专用数据库。

负责存储每个手机唯一的国际移动设备号码IMEI。

根据运营者的要求，MSC/VLR能够触发检

查IMEI的操作。

IS-95系统的鉴权

IS-95中的信息安全主要包含鉴权（认证）与加密两个方面的问题，而且主要是针对数据

用户，以确保用户的数据完整性和保密性。

鉴权（认证）技术的目的：

确认移动台的合理身份、

保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。

加密技术的目的是防

止非法用户从信道中窃取合法用户正在传送的机密信息，它包括：

信令加密、话音加密、数

据加密。

在IS-95标准中，定义了下列两个鉴权过程：

全局查询鉴权和唯一查询鉴权。

鉴权基本原理是要在通信双方都产生一组鉴权认证参数，这组数据必须满足下列特性：

通信双方、移动台与网络端均能独立产生这组鉴权认证数据；

必须具有被认证的移动台用户

的特征信息；

具有很强的保密性能，不易被窃取，不易被复制；

具有更新的功能；

产生方法

应具有通用性和可操作性，以保证认证双方和不同认证场合，产生规律的一致性。

满足上述

五点特性的具体产生过程如下图所示：

2欢迎下载

共享保密数据输入参数：

鉴权

A密钥、移动台电子序号ESN、

随机数据RANDSSD

共享保密数据

SSD的生成

SSD-A（更新后）

SSD-A

（更新

后）

移动台识别号I

随机查询数据

MINTESN

RANDBS

鉴权算法

（单向函数）

鉴权数据抽取

AUTHBS（18bit）

AUTHBS

＝？

′

相等，

通过鉴权

IS-95系统的鉴权认证过程涉及到以下几项关键技术：

共享保密数据SSD的产生，鉴权

认证算法，共享保密数据SSD的更新。

SSD的产生

SSD是存贮在移动台用户识别

UIM卡中半永久性

128bit的共享加密数据，其产生框图

如下所示。

192bit

152bit

共享保密随机数据

移动台电子序号

鉴权密钥

填充

RANDSSD

ESN

A钥

（40bit

）

（56bit）

（32bit）

（

64bit）

共享保密数据SSD生成

（DES算法）

SSD-A-NewSSD-B-New

（64bit）（64bit）

SSD的输入参数组有三部分：

共享保密的随机数据RANDSSD、移动台电子序号ESN、鉴

3欢迎下载

权密钥（A钥）、填充。

SSD输出两组数据：

SSD-A-New是供鉴权用的共享加密数据；

SSD-B-New是供加密用的共享加密数据。

鉴权认证算法

这一部分是鉴权认证的核心，鉴权认证输入参数组含有5组参数：

随机查询数据RANDBS；

移动台电子序号ESN；

移动台识别号第一部分；

更新后的共享保密数据SSD-A-New；

填充。

鉴权核心算法包含以下两步：

利用单向Hash函数，产生鉴权所需的候选数据组；

从鉴权认

证的后选数据组中摘要抽取正式鉴权认证数据AUTHR，供鉴权认证比较用。

176bit或192bit

RANDBSESNMINISSD-A-New填充

（32bit）（32bit）（24bit）（64bit）（24或40bit）

（单向函数DES）

鉴权认证数据（摘要）

抽取：

AUTHBS

SSD的更新

为了使鉴权认证数据AUTHBS具有不断随用户变化的特性，要求共享保密数据应具有不断更新的功能，SSD更新框图如下图所示。

4欢迎下载

移动台侧

基站、网络

侧

接收到SSD更新指令

发送SSD更新指令给移动台

后移动台设置输入参数

输入参数

RANDSSD（56bit）

ESN（32bit）

A钥（64bit）

A钥（64bit

SSD生成程序

SSD-A-New

SSD-B-New

（64bit）

（64bit

RANDBS基站查询指令

MINT32bit

MINT

（32bit

）（24bit

32bit

（24bit）（32bit

鉴权认证算法鉴权认证算法

AUTHBSAUTHBS

（18bit）（18bit）

基站查询指令确认

SSD更新指令确认鉴权比较成功

SSD-A改为SSD-A-New

YesSSD-B改为SSD-B-New

鉴权比较失败

丢弃新的SSD，并发送

No更新拒绝指令至移动台

SSD更新拒绝指令

WCDMA系统的鉴权

3G安全体系目标为：

确保用户信息不被窃听或盗用；

确保网络提供的资源信息不被滥

用或盗用；

确保安全特征应充份标准化，且至少有一种加密算法是全球标准化；

安全特征的

标准化，以确保全球范围内不同服务网之间的相互操作和漫游；

安全等级高于目前的移动网

或固定网的安全等级（包括GSM）；

安全特征具有可扩展性。

为了克服GSM系统的安全缺陷，WCDMA系统采用了双向认证技术，建立了完整的认证与密钥协商机制（AKA）。

1.UMTS安全体系结构与AKA过程

UMTS安全体系主要涉及到USIM、ME、RNC、MSC/SGSN/VLR、HLR/AuC等网络单元。

所采

用的AKA过程分为两个阶段。

阶段1是HE与SN之间的安全通信，认证向量AV通过SS7信令的MAP协议传输。

由于

MAP协议本身没有安全功能，因此3GPP定义了扩展MAP安全协议，称为MAPsec，用于传输

认证矢量AV=（RAND（随机数），XRES（期望应答），CK（加密密钥），IK（完整性密钥），AUTH（认

5欢迎下载

证令牌））。

阶段2是SN和用户之间的安全通信，采用一次处理方式，在USIM与SGSN/VLR之间进

行质询-应答处理。

实现用户和网络的双向认证。

UMTS在ME与RNC之间实现加密和完整性

保护，对于业务数据和信令，都进行加密，为了降低处理时延，只对信令进行完整性保护。

用户服务网络（SN）归属环境（HE）

Uu接口Iu接口

MSC/VLR

USIMMENodeBRNCSGSN/VLRHLR/AuC

UMTSAKA阶段1：

基于

MAP协议传输认证向量（AV）

UMTSAKA阶段2：

质询－应答

加密与完整性保护

CDMA2000系统的鉴权

与WCDMA类似，CDMA2000系统也采用了双向认证技术与认证与密钥协商机制（AKA）。

1.CDMA2000安全体系结构

CDMA2000的安全体系结构与UMTS类似，也采用两阶段AKA过程，涉及到UIM/ME、MSC、PDSN/VLR和HLR/AC等网络单元。

UIMMEMSCPDSN/VLRHLR/AC

移动台识别码（MSID）

AKA阶段1：

基于IP/SS7协

议传输认证向量（AV）

2.UIM认证流程

CDMA2000中的UIM卡存储用户的身份信息与认证参数，其功能与GSM中的SIM卡、UMTS中的USIM卡功能类似。

6欢迎下载

移动设备（ME）UIM网络

接收AV向量

通过与f5（RAND）异或，解密

SQN

验证不匹配?

AUTN=f1（RAND,SQN,AMF）

错误：

不正确的网络认证

重放

检查SQN范围重新同步

分别用（f2,f3,f11）生成

CK,IK,UAK（可选）

返回

生成RES=f4（RAND）

反馈RES，用户认证成功

RES,CK,IK

第三代移动通信系统（3G）安全体系

目前，移动通信最有代表性的是第三代移动通信系统（3G）安全体系结构如下：

应用层

用户应用程序

（4）

服务商应用程序

服务层

归属层

（3）

（1）

归属环境

（2）

USIM

（HE）

无线

服务

网络

3GPP接入网

（SN）

移动设备（ME）

（1*）

非3GPP

接入网（AN）

传输层

图5.13GPP系统的安全体系结构

（1）网络接入安全（等级1）：

主要定义用户接入3GPP网络的安全特性，特别强调防止

无线接入链路所受到的安全攻击，这个等级的安全机制包括USIM卡、移动设备（ME）、3GPP

7欢迎下载

无线接入网（UTRAN/E-UTRAN）以及3GPP核心网（CN/EPC）之间的安全通信。

（1*）非3GPP网络接入安全：

主要定义ME、非3GPP接入网（例如WiMax、cdma2000与WLAN）

与3GPP核心网（EPC）之间的安全通信。

（2）网络域安全（等级2）：

定义3GPP接入网、无线服务网（SN）和归属环境（HE）之间传

输信令和数据的安全特性，并对攻击有线网络进行保护。

（3）用户域的安全（等级3）：

定义USIM与ME之间的安全特性，包括两者之间的相互认

证。

（4）应用程序域安全（等级4）：

定义用户应用程序与业务支撑平台之间交换数据的安全性，例如对于VoIP业务，IMS提供了该等级的安全框架。

（5）安全的可见度与可配置性：

它定义了用户能够得知操作中是否安全，以及是否根据安全特性使用业务。

信息服务中还存在一类信息安全问题，即来自发送端非法用户的主动攻击，包含非法用户的伪造纂改、删除、重放，甚至是来自合法用户的抵赖与纂改等。

这类来自发送端的非法

攻击的防范措施通称为认证技术，在移动通信中称为鉴权技术。

认证系统的基本原理如下图所示：

非法用户

信源认证加密信道认证解密信宿

密钥源1密钥源2

消息认证：

一个消息认证系统是由明文M、密钥K、密文C和认证函数fm,k以及认证码集合

Am,k组成的。

2G、3G和4G移动通信系统中对合法用户的鉴权都属于身份认证。

GSM系统中用户识别

码IMSI存储在SIM卡与AuC中；

IS-95系统中用户序列号ESN存储在移动台或UIM卡与AC中；

UMTS/CDMA2000系统中，用户识别码IMSI存储在USIM卡与AuC中。

8欢迎下载

欢迎您的下载，

资料仅供参考！

致力为企业和个人提供合同协议，策划案计划书，学习资料等等

打造全网一站式需求

9欢迎下载