无线通信安全.docx

1、无线通信安全无线通信安全目录无线通信安全调研 1一 网络的安全技术 21.1信息加密 21.1.1 对称密钥算法 21.1.2 非对称密钥算法 31.2数字签名 3二 Cellular的安全性 32.1 GSM系统的安全实现 32.2 3G网络的安全现状 32.2.1 3G网络的认证与密钥分配：3G AKA协议（使用最广泛） 32.2.2 3G网络加密和完整性算法的分析 32.2 LTE网络的安全性 32.3.1 EPS AKA协议 3三 WLAN网络的安全性 33.1 IEEE802. 11安全标准 33.2 IEEE802.11i 高级的无线局域网安全标准 33.2.1 TKIP 33.2

2、.2 AES 33.2.3 IEEE 802.1x 认证协议 33.3其他的WLAN安全认证协议（EAP认证机制） 3四 LTE-WLAN互联网络的安全性 34.1 LTE-WLAN融合背景 34.2 LTE-WLAN互连方案 34.3 LTE-WLAN互连场景 34.4 LTE-WLAN互连安全协议 34.4.1 EAP-SIM认证协议 34.4.2EAP-AKA协议 3五 LTE-WLAN互联网络安全协议的改进 35.1基于EAP-AKA的方案 35.2基于公钥加密体系的方案 3六 LTE-WLAN互联网络安全协议的仿真 3七物理层安全方案 37.1 性能度量（performance me

3、trics） 37.2 研究模型 37.2.1 窃听信道模型 37.2.2单天线信道模型 37.2.3多天线信道 37.2.4广播信道（一对多） 37.2.5干扰信道（用户之间相互干扰） 37.2.6中继和协作方案：非信任中继和信任中继 37.3 物理层安全实现方案 37.3.1 信道方法 37.3.2功率方法 37.3.3编码方法 3八无线加密 3参考文献 3注：主要包含三方面：1.移动通信系统安全认证协议（1-6章）；2.物理层安全（第7章）；3.无线加密（第八章）一 网络的安全技术1.1信息加密1.1.1 对称密钥算法对称算法有时又称为传统密码算法，加密密钥和解密密钥能够互相推算出来。由

4、于通常使用的对称算法中加密解密密钥是完全相同的，因此这些算法也称为单密钥算法。对称算法的安全性完全建立密钥之上，如果攻击者截获了该密钥，那么用户发送或接收的消息就没有任何机密性可言，所以密钥的保密性对通信性至关重要。按照对明文的处理方式不同，可将对称密码体制又分为分组密码和序列密码（或流密码）。分组密码处理数据的单位为分组块，每个输入块生成一个输出块，而序列密码（流密码）是对单个输入数据进行连续处理，生成连续的单个元素输出。1.1.1.1 分组对称密码分组密码将变编码后的明文消息序列先划分称为长度为 m 的若干组x=(x1,x2,xm), 各组分别在密钥k=(k1,k2km)作用下变换成等长的

5、序列y=(y1,y2.ym).常用的基于分组的对称加密算法有 DES、IDEA 和 AES 等。1.1.1.2序列密码序列密码是另一种形式的对称密钥，又称为流密码，具有一次一密的特点，在发送端将明文消息序列 m=m1,m2,与密钥流序列 k=k1,k2,.逐位进行进行运算（通常为异或），在接收端通过同步产生的相同密钥流与密文进行相同的运算就可以实现解密。对称密码技术优点：算法实现的效率高，速度快，系统开销小对称密码技术缺点：1 每两个用户之间就需要一对密钥，数量庞大2 加解密使用同样的密钥，一旦密钥在信道传输的过程中泄露，将会对通信安全造成极大威胁目前移动系统的安全协议一般都是基于对称密钥体系

6、。1.1.2 非对称密钥算法公钥算法基于难解的数学问题，如离散对数问题、大素数分解问题。与对称密码相不同，非对称密钥算法的使用的加密密钥和解密密钥不同，这一对密钥中，其中一个叫做公钥，可以公开，不用秘密保存；另外一个叫做私钥，只有所有者知道，不能公开。用公钥加密的信息只能用相应的私钥来解密，反之亦然，同时在计算上即使知道公钥信息也不能直接推出私钥，反之亦然。好的公共密钥算法是建立在单向函数（计算容易求逆却很困难）基础上的。目前比较典型公钥密码体系主要有：1） RSA，它的安全性基于大整数分解问题的困难程度；2） DSA， DH，EIGamal，它的安全性基于有限域上求解离散对数困难问题；3）E

7、CC，它的安全性基于椭圆曲线离散对数问题。其中椭圆加密算法 ECC 因为其计算量比ElGamal系统、RSA 系统等要小很多而安全级更高脱颖而出。在安全性相当的前提下，椭圆密码算法可以使用较短的密钥长度实现较高的安全级，ECC 算法相比其他算法具有更高的优势。ECC 算法安全指数高、计算速度高、所需存储空间小、传输带宽要求小的特性决定了它特别适合用于计算能力有限、存储能力有限、带宽有限、安全性要求高非常的领域，如智能卡、手机（SIM 卡）等无线通信设备，在移动通信系统中具有广阔的应用前景。由于ECC算法适合于手机（SIM卡），在一些改进的移动通信系统安全协议中，经常结合椭圆密钥体系来加强协议的

8、安全性。1.2数字签名在通信系统中，通信的双方中的一方有可能在通信结束后，否认发送过此消息，这种抵赖行为经常在金融和商务活动中发生，但是单纯的消息认证并不能帮助双方解决这个问题，这就需要在通信系统中提供一种类似于现实手写签名一样的机制以确保对方不能对其行为进行抵赖。数字签名具有以下特性：消息完整性。防止消息篡改。不可伪造性。在不知道签名者私钥的前提下，敌手很难伪造一个合法的数字签名。3 不可抵赖性。对普通数字签名，任何人可用签名者公钥验证签名的有效性。由于签名不可伪造，签名者无法否认他的签名。目前，数字签名所使用的签名算法主要有 RSA 数字签名算法、ElGamal数字签名算法、美国数字签名标

9、准/算法（DSS/DSA）、椭圆曲线数字签名算法等。二 Cellular的安全性2.1 GSM系统的安全实现GSM 系统的安全主要包括三个部分：对用户的鉴权，空中接口的加密以及对用户身份信息的保护。GSM 系统中的认证发生在网络知道用户身份（TMSI/IMSI）之后、信道加密之前。认证过程中同时产生加密密钥。GSM 网络使用传统的挑战应答机制对用户进行鉴权，具体过程如图所示：1. GSM网络侧VLR收到业务请求，从中提取TMSI或IMSI，并查看是否保存有认证向量三元组（RAND，XRES，Kc），有则可以直接给MS发送RAND作为挑战信息，否则继续。2. VLR向AuC发送认证请求，其中包含

10、IMSI。3. 认证中心根据IMSI找到用户的密钥Ki，然后输入Ki和随机数RAND，使用A3算法产生预期响应XRES，使用A8算法产生加密密钥Kc，即产生认证三元组：triplet（RAND，XRES，Kc），发送到MSC/VLR；4. MSC/VLR将其中的RAND发送给MS，MS中的SIM卡根据收到的RAND和存储在卡中的Ki，利用A3和A8算法分别计算出用于RES和Kc，并将RES回送到MSC/VLR中3。5. MSC/VLR比较来自MS的RES和来自认证中心的XRES，若不同，则认证失败；若相同，则认证成功，并且在后续的通信过程中，用户和基站之间使用A5算法和密钥Kc进行加密。为保证

11、用户身份的机密性，在鉴权成功之后，网络为用户分配临时移动用户标识（TMSI）来替代国际移动用户标识（IMSI）与网络进行通信，这样，第三方就无法在无线信道上通过IMSI 跟踪GSM 用户。GSM AKA认证缺点（vulnerabilities）：1 单向认证：只有网络对用户的认证，没有用户对网络的验证，因此，攻击者有可能使用非法的设备伪装成合法的网元，从而欺骗用户，盗取用户信息；2 明文传输IMSI：当用户第一次接入网络时或者在TMSI认证失败之后，网络会要求用户传输IMSI，这时候IMSI是明文传输的，容易被第三方截获3 GSM 网络中没有实现端到端的加密，用户数据只是在无线部分是加密的，在

12、有线信道采用明文传输，很容易被窃听。4 密钥太短，使用64bit 密钥Kc，比较容易被破解。5 没有对数据和信令进行完整性保护总结：GSM AKA协议仅仅实现了网络对用户的认证，但是在双向认证，用户身份保护，有信信道加密以及数据完整性保护等方面安全性不够2.2 3G网络的安全现状2.2.1 3G网络的认证与密钥分配：3G AKA协议（使用最广泛） 主要继承自GSM系统的安全协议，沿用了其优点，针对GSM安全协议的缺陷做了一些改进（1）首先 VLR 收到移动用户的注册请求后，向用户的 HLR 发送该用户的永久用户身份标识 IMSI，申请认证向量对该用户进行认证。（2）HE/HLR 生成 n 组认

13、证向量 AV 发送给 VLR/SGSN。其中AV =RANDXRESCKIKAUTN，这 5 个参数分别为 RAND（随机数）、XRES（期望响应值）、CK（加密密钥）、IK（完整性密钥）、AUTN（认证令牌）。（3）VLR 接收到认证向量后，选择其中的一个向量AV（i），并将其中的RAND（i）和AUTN（i）发送给 MS 进行认证；（4）用户侧鉴权过程如图 4-2 所示。MS 收到 RAND 和 AUTN 后，首先计算匿名密钥 AK = f5K (RAND) ，然后恢复同步序列 SQN ，SQN = (SQN AK) AK，再计算XMAC的值，XMAC = f1(K,SQNRANDAMF)

14、；并把计算果和AUTN中的MAC比较，如果XMAC MAC，则发送拒绝认证消息。若XMAC = MAC，则 MS 检验SQNHE SQNMS AMF是否成立，若不成立，则说明SQN出现了错误，MS 向 VLR 发送同步失败消息。若以上两项验证均通过，则MS开始计算RES、CK、IK，并将RES发送给VLR。然后VLR检验RES和XRES是否相等，若相等则用户和网络互相认证成功，否则认证失败。3G系统AKA协议的优点（相对于GSM系统的改进）：1 相互认证：MS通过验证MAC和XMAC来完成对HLR的认证，VLR通过验证RES和XERS来完成对MS的认证2 对数据和信令进行完整性保护3 加密密钥

15、和完整性密钥的安全性：用于数据加密和完整性保护的密钥CK、IK是用户和网络各自计算得出的，没有在开放的无线信道上传输，攻击者也就无法获取4 认证消息的新鲜性。由于每次鉴权过程中使用的鉴权向量都不同，同时鉴权向量的生成过程中，有一个随机变化的随机数作为其参数，保证了每次计算得到密钥CK与IK都不相同，具有一次一密的特点5 使用SQN验证可以防止重放攻击3G AKA缺点：1 只有ME对HE和VLR对ME的认证，没有ME对VLR的认证,也没有HSS对VLR的认证，攻击者可以假冒VLR进行进行攻击；2 用户开机注册或初次加入网络，或因特殊情况需要网络无法恢复出用户的IMSI时，用户将以明文发送IMSI

16、，易被截获；3 固定加密算法，没有安全灵活协商的途径；4 ME和HE长期共享密钥K，一旦泄漏对用户是不可估量的损失；5 没有提供前向安全性6 一旦接受到SQN的不在正确范围之内，UE会进行SQN同步过程，这会导致额外的带宽消耗总结：3G系统AKA协议相对于GSM系统来说增加了双向认证，数据完整性保护等方面的安全性，但是仍然存在用户身份泄露，缺乏前向安全性，SQN同步等方面的问题2.2.2 3G网络加密和完整性算法的分析3GPP 定义了 10 种加密算法。分别为随机数生成函数f0、重同步消息认证函数f1网络认证函数f1、用户认证函数f2、加密密钥生成函数f3、完整性密钥生成函数f4、一般情况下的

17、匿名密钥生成函数f5、重同步情况下使用的匿名密钥生成函数f5、数据加密算法 f8、信令完整性保护算法f9。其中，函数f0f5的用于生成鉴权向量，函数f1和f5分别用于在重同步过程中生成消息鉴权码MAC S和隐藏用户身份。2.2.3.1数据加密算法 f8 分析UTMS 在无线接入链路上采用采用了 f8 算法生成分组密码流对原始数据加密。UE 和 RNC 中都支持f8算法。加密过程如图 6-1 所示f8 算法相当于一个密钥流生成器，在发送端，需要发送的明文信息块和 f8算法输出的密钥流进行异或运算得到密文，在接收端通过同步等手段使 f8 算法具有同样的输入参数，从而产生相同的密钥流，再与密文按位异

18、或恢复出明文。如果无线承载使用的是非透明 RLC 模式（AM 或 UM），数据加密功能将在 RLC子层完成。如果无线承载使用的是透明 RLC 模式，数据加密功能将在 RLC 子层完成。加密算法的输入参数包括：（1）加密序列号 COUNT -C：长度为 32bit，依赖于时间计数器。（2）加密密钥CK：长度为 128bit。（3）无线承载标志符 BEARER：长度为 5bit。同一个用户的不同承载可以使用一个密钥，而将 BEARER 作为输入参数就可以避免使用统一密钥生成的密钥流相同，这样就避免了使用同一密钥流去加密几个承载。（4 ）链路方向标识符 DIRECTION：长度为lbit。使用链路方

19、向标识符DIRECTION 是为了避免上行链路和下行链路的密钥流使用相同的数据参数集作为输入。从 UE 到 RNC 方向的消息，DIRECTION 的值设为 0：从 RNC 到 UE方向的消息，DIRECTION 的值设为 1。（5）密钥流长度标志符 LENGTH：长度标志符指定了所要求的密钥流的长度，长度为 16bit。但是由于密钥流发生器输出的密钥流长度是 64 的整倍数，所以密钥流分组中最后的几个没有意义的比特会被舍弃。因此参数 LENGTH 只会影响分组的个数，而不会影响密钥流的实际比特。2.2.3.2信令完整性保护算法 f9 分析UMTS 采用了 f9 算法来对无线链路上 UE 和

20、RNC 之间的信令进行完整性保护。鉴权信令消息是否被篡改的过程如图 6-3 所示。f9算法在输入参数随机数 FRESH、方向比特 DIRECTION、完整性序列号COUNT -I、完整性密钥 IK 和信令数据 MESSAGE 的作用下，生成消息鉴权码MAC-I。当在无线信道上发送信令消息时，就将 MAC-I 附加到消息 MESSAGE的后面。接收者在收到加有完整性鉴权码的信令消息后，以同样的方法计算所接收消息的 XMAC-I，然后对 XMAC-I 和收到 MAC-I 进行比较，若 XMAC-I=MAC-I，则说明控制信令没有被篡改。f9 算法的输入包括如下参数：（1）完整性序列号 COUNT

21、-I：长度为 32bit，依赖于时间计数器。（2）完整性密钥 IK：长度为 1286it。（3）随机数 FRESH：长度为 32bit。在安全模式建立的时侯，由 RNC 产生FRESH，并将随控制信令 security mode command 一起发送给用户。FRESH 的值的使用能使网络防止用户重放任何 old MAC-I 值。（4）链路方向标识符 DIRECTION：长度为lbit。从 UE 到 RNC 方向，DIRECTION 的值设为 0：从 RNC 到 UE 方向，DIRECTION 的值设为 1。（5） 信令消息 MESSAGE：信令消息本身。2.2 LTE网络的安全性2.3.1

22、EPS AKA协议EPS AKA协议是由3G AKA协议改进而来，其沿用了以往协议“挑战应答的实现方式，用户和网络之间在成功认证的前提下，完成了会话密钥的协商，进而为后继的业务交互提供了相应的安全保障。（详见文献）EPS AKA协议优点：1 增加了对服务网络的认证，从而有效的防止了因服务网络身份假冒而给系统带来的各种攻击2 采用了层次性的密钥生成机制，提高了会话的安全强度。协议在用户，用户归属网络以及服务网络之间完成相互身份认证之后，才协商产生一个基础密钥，该密钥将针对不同实体间的链路以及链路上传输的不同数据类型分别选用相应的算法衍生出不同的加密密钥和完整性保护密钥3 采用了独立的SQN管理机

23、制以及按序存储，按序使用的认证向量处理机制，从而有效的避免了SQN虚假同步失败现象的出现，减小了不必要SQN重同步给系统带来的巨大开销。EPS AKA缺陷：1 协议中，当用户首次入网(含注册和业务接入)以及MME无法由用户临时身份标识(Temporary Mobile Subscriber Vector，STMSI)恢复出IMSI的时候，网络将要求用户以明文形式发送IMSI，这样IMSI就存在泄漏的危险2 网络实体之间的有线链路缺乏必要保护，在HSS和MME之间以明文形式传输的AV易遭截获3 协议仍然采用了基于共享密钥K的方式来实现HSS与UE间的相互认证以及生成会话密钥，一旦丢失，整个协议毫

24、无安全性可言（缺乏perfect forward secrecy）总结：LTE 的EPS-AKA协议相对3G系统AKA协议增加了对服务网络的认证等增强安全措施，但是仍然存在用户身份泄露，MME认证，缺乏前向安全性等方面的漏洞三 WLAN网络的安全性3.1 IEEE802. 11安全标准802. 11标准是最基本的标准，它要通过认证和数据加密必须是通过一个保密协议，这个保密协议就是有线对等保密协议(见文献)。WEP采用RC4算法进行数据加密，但是RC4算法存在巨大漏洞，会导致信息泄露，有很大安全隐患。3.2IEEE802.11i 高级的无线局域网安全标准IEEE802.1li标准草案中主要包含加

25、密技术：TKIP(Temporal Key Integrity Protoco1)和AES(Advanced Encryption Standard)，以及认证协议：IEEE 802.1x。3.2.1 TKIP新一代的加密技术TKIP也是基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分”(每发一个包重新生成一个新的密钥)、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。3.2.2 AESIEEE 802.11i中还定义了一种基于“高级加密标准”AES的加密算法，以实施更强大的加密和

26、信息完整性检查。AES是一种对称的块加密技术，比W EP/TKIP中RC4算法更高的加密性能，它将在IEEE 802.11i最终确认后，成为取代WEP的新一代的加密技术，为无线网络带来更强大的安全防护。3.2.3 IEEE 802.1x 认证协议IEEE802.1x协议的体系结构包括三个重要的部分:客户端、认证系统和认证服务器。802.1x认证流程：在具有802.1x认证功能网络系统中当个用户需要对网络资源进行访问的前必须先要完成以下认证过程。1) 用户有上网需求，打开802.1x客户端程序输入已经申请、登记过用户名和口令，发起连接请求，客户端程序将发出请求认证报文给交换机并启动次认证过程。2

27、) 交换机收到请求认证数据帧后，发出个请求帧要求客户端程序将输入用户名提交上来。3) 客户端程序响应交换机的请求，将用户名信息通过数据帧发送给交换机。4) 交换机将客户端发来的数据帧经过封包处理后转给认证服务器进行处理。5) 认证服务器收到交换机转发的用户名信息后，将该信息和数据库中的用户名表相比对，找到该用户名对应口令信息，用随机生成个加密字对它进行加密处理，将此加密字传送给交换机，由交换机传给客户端程序。6) 客户端程序收到交换机传来的加密字后，用该加密字对口令部分进行加密处理(此种加算法通常是不可逆的)，并通过交换机传给认证服务器。7) 认证服务器将送上来的加密后的口令信息和其自己经过加

28、密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络，否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。3.3其他的WLAN安全认证协议（EAP认证机制）EAP-TLS(见文献)，EAP-MD5,EAP-TTLS等20EAP-TLS流程如下：1)客户端发出EAP-start消息请求认证；2)AP发出请求帧，要求客户端输入用户名；3)客户机响应请求，将用户名信息通过数据帧发送至AP；4)AP将客户端传来的信息重新封装成RADIUS AccessRequest

29、包发送给服务器；5)RADIUS服务器验证用户名合法后向客户端发送数字证书；6)客户端通过数字证书验证服务器的身份；7)客户端向服务器发送自己的数字证书；8)服务器通过数字证书验证客户端的身份，至此完成相互认证；9)在相互认证的过程中，客户端和服务器获得主会话密钥；10)认证成功，RADIUS服务器向AP发送RADIUS ACCEPT消息，其中包含密钥信息；1 1)AP向客户端转发EAP Success消息，认证成功EAP-TLS优点：采用数字证书完成认证，安全性高，并且生成的密钥不用在无线链路上传输，不存在泄漏的危险EAP-TLS 缺点：要求终端持有数字证书，并有足够的计算能力，而这正是移动

30、终端较难克服的问题。同时，整个移动通信体系需要建立完善的 PKI 系统，现在还不具备这个条件。四 LTE-WLAN互联网络的安全性4.1 LTE-WLAN融合背景LTE系统覆盖面积大，成本高，而WLAN成本低，传输速率高，但是覆盖面积小，而且安全性不如LTE系统，因此两者的融合可以实现两者优势互补4.2LTE-WLAN互连方案松耦合从逻辑上将3G业务域和WLAN业务域进行分离，让WLAN专注于提供高速存取能力，3G核心网络的服务内容不需要改变，只针对AAA(授权认证计费)机制做整合松耦合仅需要3GPP执行认证方法，WLAN与3G网络分享对AAA的使用。紧耦合解决方案用WLAN无线接口作为通用移

31、动通信系统UMTS的承载者，WLAN在该方案中是一个接入网，通过luPS参考点与3G核心网络连接，进而充分利用3G核心网络已有的移动、安全与服务品质等机制4.3 LTE-WLAN互连场景(1)统一计费和客户服务(2)基于3GPP系统的接入控制和计费(3) WLAN接入3G网络分组域业务(4)连续性(5)无缝业务(6)接入3G电路交换业务4.4 LTE-WLAN互连安全协议IETF和3GPP根据GSM和3G特点主要制订了两种互联网络认证方式：EAP-SIM和EAP-AKA（文献）4.4.1 EAP-SIM认证协议EAP-SIM认证采用现有的GSM-AKA的认证方法，并增加了对网络认证的功能，向下兼容GSM 网络的SIM认证(见文献)EAP-SIM认证流程4.4.2EAP-AKA协议EAP-AKA认证则基于3G 系统的AKA认证EAP-AKA认证流程EAP-AKA协议的优点：1. 无线局域网与3GPP(LTE)系统的相互认证2.