導(dǎo)語：PKI在3G網(wǎng)絡(luò)中的應(yīng)用論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文主要研究了如何在3G的接入網(wǎng)端應(yīng)用無線pki來實(shí)現(xiàn)用戶身份的機(jī)密性。因?yàn)橛脩舻纳矸輸?shù)據(jù)是敏感的，需要很好的給予保護(hù)。身份機(jī)密性包括：用戶身份機(jī)密，用戶位置機(jī)密，用戶的不可跟蹤性。首先概要介紹了無線PKI的基本知識，證書的版本以及獲取方式。然后介紹了PKI環(huán)境下的認(rèn)證方式。緊接著敘述了現(xiàn)有的3g接入網(wǎng)的安全架構(gòu)和一些相關(guān)的安全技術(shù)，如完整性保護(hù)，加密保護(hù)和認(rèn)證和密鑰協(xié)商。最后基于無線PKI環(huán)境下實(shí)體認(rèn)證方案和現(xiàn)有的3G中的身份機(jī)密實(shí)現(xiàn)措施，經(jīng)過改進(jìn)給出了一種新的基于公鑰體制下的用于實(shí)現(xiàn)身份機(jī)密性的具體方案。

關(guān)鍵詞：無線公鑰基礎(chǔ)設(shè)施身份機(jī)密3G認(rèn)證機(jī)構(gòu)

1緒論

1.1第三代移動通信簡介及安全問題

移動通信經(jīng)歷了三個發(fā)展階段:

第一代移動通信系統(tǒng)出現(xiàn)于20世紀(jì)70年代后期，是一種模擬移動通信系統(tǒng)，以模擬電路單元為基本模塊實(shí)現(xiàn)話音通信。主要制式有美國的AMPS,北歐的NMT、英國的TACS和日本的HCMTS等。

第二代移動通信系統(tǒng)(2G)出現(xiàn)于20世紀(jì)80年代后期，以GSM,DAMPS和PDC為代表的第二代數(shù)字移動通信系統(tǒng)。

第三代的概念早在1985年就由ITU(國際電信聯(lián)盟)提出了，當(dāng)時稱為FPLMTS(未來公眾陸地移動通信系統(tǒng))。1996年更名為IMT-2000(國際移動通信一2000)。前兩代系統(tǒng)主要面向話音傳輸，與之相比，三代的主要特征是提供數(shù)據(jù)、多媒體業(yè)務(wù)，語音只是數(shù)據(jù)業(yè)務(wù)的一個應(yīng)用。第三代移動通信系統(tǒng)(3G)的目標(biāo)是:世界范圍內(nèi)設(shè)計(jì)上的高度一致性;與固定網(wǎng)絡(luò)各種業(yè)務(wù)的相互兼容;高服務(wù)質(zhì)量;全球范圍內(nèi)使用的小終端;具有全球漫游能力:支持多媒體功能及廣泛業(yè)務(wù)的終端。為了實(shí)現(xiàn)上述目標(biāo)，對第三代無線傳輸技術(shù)(RTT)提出了支持高速多媒體業(yè)務(wù)〔高速移動環(huán)境:144Kbps，室外步行環(huán)境:384Kbps,室內(nèi)環(huán)境:2Mbps)、比現(xiàn)有系統(tǒng)有更高的頻譜效率等基本要求。近幾年通信的飛速發(fā)展，使得現(xiàn)存的第二代通信系統(tǒng)已經(jīng)無法滿足現(xiàn)有的人們的需要，主要表現(xiàn)為：

(1)巨大的移動通信市場和目前頻譜資源的有限性之間的矛盾日益突出，不能滿足工業(yè)發(fā)達(dá)國家和一部分第三世界國家(如中國、印度)大中城市手機(jī)用戶高密度要求。

(2)數(shù)據(jù)網(wǎng)絡(luò)和多媒體通信逐步和無線通信的可移動性相結(jié)合，因此移動多媒體或移動IP迅速發(fā)展起來，但第二代速率過低(9.6kb/s或57kb/s)與目前IP技術(shù)與多媒體業(yè)務(wù)要求距離甚遠(yuǎn)，不能滿足政府、先進(jìn)企業(yè)及新興“白領(lǐng)”階層對高速數(shù)據(jù)量的要求。

(3)不能實(shí)現(xiàn)全球覆蓋無縫連接。

(4)通信業(yè)務(wù)的安全保障不足。

隨著技術(shù)的發(fā)展，安全問題也越來越受到大家的關(guān)注，出于質(zhì)量和效益的問題，移動通信的電勃具有較強(qiáng)的穿透力向各個方向傳播，易于被截取，或竊聽，其可靠性與安全性都有待加強(qiáng)。二十世紀(jì)八十年代的模擬通信便深受其害，由于基本上沒有采用什么安全技術(shù)，通信時的話音很容易被竊聽，盡管二代在安全性方面提出了較大的改進(jìn)，采用數(shù)字系統(tǒng)，提出了身份認(rèn)證，數(shù)據(jù)加密這一概念，系統(tǒng)考慮了一些安全因素，但絕大部分的安全規(guī)范是從運(yùn)營商的角度設(shè)計(jì)的：防止欺騙和網(wǎng)絡(luò)誤用。但是依然存在許多安全缺陷。如單向認(rèn)證，即只考慮了網(wǎng)絡(luò)對于用戶的認(rèn)證而忽視了用戶對于網(wǎng)絡(luò)的識別，這種處理方法不能提供可信的環(huán)境，不能給移動用戶足夠的信心開展電子商務(wù)和交換敏感信息。而且隨著解密技術(shù)的發(fā)展，計(jì)算能力的提高，加密算法A5，已經(jīng)證明能在短時間內(nèi)破解。技術(shù)的成熟和移動數(shù)據(jù)業(yè)務(wù)的出現(xiàn)，用戶比以前更加關(guān)注移動通信的安全問題。因此，無線PKI的應(yīng)用是解決安全問題的關(guān)鍵所在。

1.2PKI簡介

首先要介紹一下首先要介紹一下PKI（PublicKeyInfrastructure）譯為公鑰基礎(chǔ)設(shè)施。簡單地說，PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。公鑰體制是目前應(yīng)用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不相同，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專有的私鑰進(jìn)行解密。這種方式既保證了信息的機(jī)密性，又能保證信息具有不可抵賴性。目前，公鑰體制廣泛地用于CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域。

在3G系統(tǒng)中，PKI的應(yīng)用主要是WPKI，即無線PKI的應(yīng)用。主要是用來進(jìn)行網(wǎng)絡(luò)中的實(shí)體認(rèn)證，來取得網(wǎng)絡(luò)服務(wù)商與用戶之間的彼此信任。除此之外，無線PKI還將用于數(shù)據(jù)加密，完整性保護(hù)，用戶身份的機(jī)密性等多個方面。

1.3本文主要結(jié)構(gòu)及內(nèi)容提要

本文在介紹現(xiàn)有3G接入網(wǎng)安全技術(shù)的前提下，提出了新的基于公鑰體制下的實(shí)現(xiàn)用戶身份機(jī)密性的方案。第一章緒論簡要介紹了移動通信的發(fā)展及面臨的安全問題，以及PKI的引入。第二章介紹了無線PKI的一些基本知識和相關(guān)的操作。第三章給出了現(xiàn)有的3G系統(tǒng)的接入架構(gòu)以及已有的安全措施。第四章為公鑰體制下的認(rèn)證方案。第五章在介紹了已有的一些身份機(jī)密方案以及其不足之后，給出了新的基于WPKI環(huán)境下的使用公鑰體制來實(shí)現(xiàn)的保護(hù)用戶身份機(jī)密的新方案。

本文最后對新的方案進(jìn)行了總結(jié)。提出了相應(yīng)的一些技術(shù)要求。

2無線PKI

2.1概述

在無線環(huán)境中的應(yīng)用是PKI未來的發(fā)展趨勢，它的證書和身份認(rèn)證是確保在開放的無線網(wǎng)絡(luò)中安全通信的必備條件。然而無線通信網(wǎng)絡(luò)獨(dú)特的特點(diǎn)使無線安全問題更趨復(fù)雜。如消息以無線電波的方式傳播,在一定的區(qū)域內(nèi)都能很容易被截取和接收到；網(wǎng)絡(luò)接入點(diǎn)多，使任何人都能很容易地接入并對網(wǎng)絡(luò)發(fā)起攻擊；無線通信網(wǎng)絡(luò)是一個包括無線和有線兩部分的端到端的系統(tǒng)傳統(tǒng)的有線領(lǐng)域安全問題將依然影響到無線領(lǐng)域，傳統(tǒng)安全領(lǐng)域中抑制威脅的常用工具，在無線領(lǐng)域不一定有效。同時無線通信環(huán)境還存在著許多其他的限制條件，包括無線帶寬方面，目前大部分的無線通信網(wǎng)絡(luò)只提供有限的數(shù)據(jù)傳輸率；軟件應(yīng)用于開發(fā)手機(jī)、PDA等移動通信設(shè)備的開發(fā)環(huán)境、工具還很有限，相應(yīng)的應(yīng)用程序也很少；硬件方面，終端市場中各廠家的產(chǎn)品差異極大，生命周期短更新速度快；同時移動終端設(shè)備計(jì)算能力有限，內(nèi)存和存儲容量不大，顯示屏幕較小，輸入方法復(fù)雜等。所有這些特點(diǎn)及局限使PKI在無線環(huán)境中應(yīng)用非常困難。為了最大限度的解決這些困難，目前已公布了WPKI草案，其內(nèi)容涉及WPKI的運(yùn)作方式、WPKI如何與現(xiàn)行的PKI服務(wù)相結(jié)合等。簡單的說，把PKI改造為適合無線環(huán)境，就是WPKI。

無線PKI是對傳統(tǒng)IETF基于X.509公鑰基礎(chǔ)設(shè)施（PKI）的擴(kuò)展和優(yōu)化，其在協(xié)議，證書格式，密碼算法等方面進(jìn)行了一些改進(jìn)，可以適應(yīng)無線網(wǎng)絡(luò)帶寬窄和無線設(shè)備計(jì)算能力低的特點(diǎn)，用來確保通信雙方的身份認(rèn)證、保密性、完整性和不可否認(rèn)性。WPKI目前主要應(yīng)用于WAP,所以又可稱作WAPPKI。WPKI以WAP網(wǎng)關(guān)為橋梁,分別提供終端到網(wǎng)關(guān)、網(wǎng)關(guān)到服務(wù)器的安全連接,以確保整個通信過程的安全?？梢哉fWAP將無線網(wǎng)絡(luò)與Internet聯(lián)系得更為緊密,使得WPKI進(jìn)一步發(fā)展和應(yīng)用成為可能。

2.2WPKI體系

WPKI標(biāo)準(zhǔn)提供了WTLSClass2，WTLSClass3，SignText，3種功能模式[1]。

WTLSClass2模式：WTLSClass2提供了移動終端對無線網(wǎng)關(guān)的認(rèn)證能力，具體的操作過程如下：（1）無線網(wǎng)關(guān)申請證書

無線網(wǎng)關(guān)生成密鑰對，向PKIPortal提出證書的申請；

PKIPortal確認(rèn)網(wǎng)關(guān)的身份后，將消息轉(zhuǎn)發(fā)給CA；

CA簽發(fā)證書給網(wǎng)關(guān)。

（2）移動終端與應(yīng)用服務(wù)器之間的安全模式1（兩階段安全）；

移動終端與無線網(wǎng)關(guān)之間建立WTLS會話；

無線網(wǎng)關(guān)與應(yīng)用服務(wù)器之間建立SSL/TLS。

（3）移動終端與應(yīng)用服務(wù)器之間的安全模式2：（端到端的安全模式）

服務(wù)器申請證書

移動終端與應(yīng)用服務(wù)器之間建立WTLS會話，無線網(wǎng)關(guān)只起路由器的作用，移動終端與應(yīng)用服務(wù)器之間的通信對無線網(wǎng)關(guān)是不透明的。

WPKI的數(shù)字簽名（SignText）模式：SignText模式是移動終端對一條消息進(jìn)行數(shù)字簽名后用WMLScript發(fā)送給服務(wù)器的過程，具體操作過程如下：

（1）移動終端通過網(wǎng)關(guān)向RA申請證書；

（2）RA對移動終端進(jìn)行身份確認(rèn)后將請求消息轉(zhuǎn)發(fā)給CA；

（3）CA生成用戶證書并把證書的URL傳送給用戶；

（4）CA將用戶的公鑰證書存放在證書數(shù)據(jù)庫中；

（5）用戶在客戶端對一條消息進(jìn)行簽名，然后將這條消息連同對它的簽名，以及用戶證書的URL發(fā)給服務(wù)器；

（6）服務(wù)器通過用戶證書的URL從數(shù)據(jù)庫中找出用戶的證書來驗(yàn)證用戶。

WTLSClass3模式：WTLSClass3是一種認(rèn)證模式，從PKI角度來說,WTLSClass3認(rèn)證和上述的SignText形式幾乎一樣的,差別是在第5步中,SignText模型是使用應(yīng)用層簽名的方式來完成驗(yàn)證,即用戶必須對服務(wù)器端發(fā)來的可讀消息進(jìn)行確認(rèn),并附上自己的數(shù)字簽名,然后送回到服務(wù)器驗(yàn)證,其中使用的公私鑰對必須是專門用來進(jìn)行數(shù)字簽名的密鑰,而服務(wù)器端發(fā)來的消息也必須是可讀的;而WTLSClass3使用客戶端認(rèn)證密鑰對簽名來自WTLS服務(wù)器的“挑戰(zhàn)口令”,所謂“挑戰(zhàn)口令”是指由服務(wù)器發(fā)送給客戶端的一些隨機(jī)數(shù),需要由客戶端對其進(jìn)行簽名來達(dá)到認(rèn)證客戶端的目的,這些隨機(jī)數(shù)并不一定是可讀信息。簡單的說其主要的差異是客戶利用自己的私鑰對來自服務(wù)器或無線網(wǎng)關(guān)的請求進(jìn)行簽名。

2.3WTLS

WTLS（無線傳輸層安全協(xié)議）是無線應(yīng)用協(xié)議中保證通信安全的一個重要組成部分，它實(shí)際上源自TCP/IP體系的TLS/SSL協(xié)議，是一個可選層，主要在無線終端內(nèi)的微型瀏覽器和無線應(yīng)用協(xié)議網(wǎng)關(guān)之間使用數(shù)字證書創(chuàng)建一個安全的秘密的通信“管道”。WTLS在那些通過低帶寬網(wǎng)絡(luò)通信的有限資源的手持設(shè)備中提供認(rèn)證和機(jī)密性保護(hù)。WTLS使用163比特的橢圓曲線加密，強(qiáng)度相當(dāng)于2048比特RSA加密，但比RSA的計(jì)算開銷少，這對于移動終端來說是一個非常重要的因素。在WAP結(jié)構(gòu)中，TLS或SSL是在Web服務(wù)器和網(wǎng)關(guān)服務(wù)器之間使用的。網(wǎng)關(guān)將TLS和SSL信息轉(zhuǎn)換成WTLS，WTLS在建立連接時需要較少的計(jì)算開銷，這樣就可以使無線網(wǎng)絡(luò)在傳輸數(shù)據(jù)時更有效。

WTLS在實(shí)現(xiàn)上要考慮以下幾個方面：

（1）公鑰加密的速度較慢，對低帶寬的無線網(wǎng)絡(luò)尤其突出。

（2）密鑰交換的方法是基于公開密鑰體制技術(shù)的。

（3）建立無線認(rèn)證中心（WCA），用以支持身份識別及數(shù)字證書等。

（4）使用消息鑒別碼（MAC）來保證數(shù)據(jù)的完整性

2.4WPKI的操作

WAP環(huán)境中標(biāo)準(zhǔn)化的PKI操作涉及到如何處理可信CA信息、服務(wù)器WTLS證書和客戶端證書的注冊。

2.4.1可信CA信息的處理

對于需要安全通信的雙方來說,PKI是保障雙方相互認(rèn)證、通信的保密性、完整性和不可否認(rèn)性的基礎(chǔ),而CA又是PKI的基礎(chǔ),若CA不可信,則相應(yīng)的證書、認(rèn)證、密鑰都失去效用,因此驗(yàn)證CA可信性是整個安全通信的第一步?？尚臗A信息指用來驗(yàn)證CA頒發(fā)的自簽名公鑰證書所需的信息。所需信息包括公鑰和名字,但也可能包括其他信息。為了保障完整性,可信CA信息以自簽名方式提供下載,而可信CA信息的認(rèn)證則通過帶外哈?；蚝灻姆绞絹硗瓿?。帶外哈希方式是指CA的信息通過網(wǎng)絡(luò)下載到終端設(shè)備,然后通過帶外的方式接收該信息的哈希值,接著設(shè)備自己計(jì)算收到信息的哈希值,再和帶外方式獲得的哈希值進(jìn)行比較,如果符合,則接受CA信息。簽名方式是指CA用自己的私鑰對待驗(yàn)證的可信CA信息進(jìn)行簽名,或者由公認(rèn)的可信權(quán)威對其進(jìn)行簽名,如世界公認(rèn)的權(quán)威機(jī)構(gòu)加拿大Verisign公司進(jìn)行的簽名,接收端通過簽名來驗(yàn)證相應(yīng)的CA信息,最后決定是否通過認(rèn)證。

2.4.2服務(wù)器WTLS證書的處理

無線終端要和內(nèi)容服務(wù)器進(jìn)行安全通信就必須取得該服務(wù)器的證書,該證書是由終端信任的CA所頒發(fā)的,因?yàn)闊o線網(wǎng)絡(luò)的帶寬限制以及終端處理能力和內(nèi)存有限,就有必要使用一種新的簡化了的證書,以利于無線傳播和終端操作,這就是WTLS證書,可用于WTLS安全通信。它是在原有X.509證書基礎(chǔ)上進(jìn)行優(yōu)化,保留關(guān)鍵字段,滿足無線環(huán)境的需求。由于性能、帶寬等因素,無線環(huán)境下的檢查證書撤銷和有線環(huán)境下有著極大的不同,傳統(tǒng)的CRL方法不可行,而OCSP的方法增加了信息往返、驗(yàn)證步驟和附加的客戶信任點(diǎn)。為了克服這些問題,引入了短期有效WTLS證書的概念,WTLS服務(wù)器可能實(shí)現(xiàn)短期有效證書模型作為撤銷的方法。使用這種方法,服務(wù)器在一個長期信任階段被認(rèn)證一次。然而,認(rèn)證機(jī)構(gòu)并非頒發(fā)一年有效證書,而是在這年的每一天,給公鑰頒發(fā)一個新的短期有效證書,比如四十八個小時。服務(wù)器或網(wǎng)關(guān)每天接收短期有效證書并由這個證書建立當(dāng)日客戶會話。如果認(rèn)證中心希望撤銷服務(wù)器或網(wǎng)關(guān),很簡單地它停止頒發(fā)以后的短期有效證書。WTLS服務(wù)器不再被授予當(dāng)前有效證書,因此會終止服務(wù)器端的認(rèn)證,這樣便實(shí)現(xiàn)了撤銷的方法。

2.5WPKI要素

PKI中包含認(rèn)證中心（CertificateAuthorities，CA）、注冊中心（RegistrantAuthorities，RA）、終端實(shí)體（EndEntities，EE）三個基本要素。WPKI也包含這三個基本要素，除此之外還有一個要素是證書入口，或叫做PKI入口。證書入口是一條通向RA或CA的鏈接，記錄在移動終端也就是EE中，用來在WAP網(wǎng)關(guān)和EE之間建立安全連接。

PKI證書是PKI實(shí)現(xiàn)的一個重要組成部分，為了在3G中應(yīng)用PKI，就必須對傳統(tǒng)的PKI證書的格式進(jìn)行調(diào)整，以適應(yīng)3G的無線環(huán)境的要求。WAP定義了一種WPKI證書的格式[2]，下面對其簡單的加以說明。

（1）版本號（Version）：定義了證書的版本號，證書中如果不包含任何擴(kuò)展，則版本應(yīng)該設(shè)為1（缺省值）。

（2）證書擴(kuò)展（Extension）：對證書標(biāo)準(zhǔn)部分里沒有涉及到的部分進(jìn)行說明。

（3）頒發(fā)者名稱（Issuer）：證書應(yīng)用程序必須要能夠識別X.509v3中列出的所有特定名字屬性。

（4）序列號（SerialNumber）：移動用戶證書的SN長度小于八個字節(jié)，服務(wù)器證書的SN小于二十個字節(jié)。

（5）簽名算法（Signature）：定義的簽名算法有兩種：SHA1WithRSAEncryption和EcdsaWithSHA1,首選后者。

（6）主體姓名（Subject）：和頒發(fā)者字段一樣，證書應(yīng)用程序必須能夠識別X.509v3中列出的所有特定名字屬性。

（7）主體公鑰信息（SubjectPublicKeyInfo）：這里定義的公鑰類型為兩種：RSA和ECC。

由于每張證書都有一個有效期限，根CA的證書快要到期的時候，保存在移動終端里的根CA證書要更新，也就是說要通過無線網(wǎng)絡(luò)下載新的根CA證書，如何保證該過程是安全的，WPKI規(guī)定了兩個方案。第一個方案允許用戶終端通過不安全信道直接下載新的根CA證書，但是需要通過輸入一個30位的十進(jìn)制數(shù)來“激活”該CA。顯而易見，這種方法增加了用戶的負(fù)擔(dān)。根CA的證書唯一代表了根CA的身份，根CA換證書的過程相當(dāng)于換了一個身份，那么第二個方案就可以理解為快到期的CA介紹一個新CA接替它使命的過程。CA用快到期的根密鑰對新的CA證書簽名，發(fā)送給用戶。這種方式不需要用戶做額外的操作，方便了用戶，但是必然存在一段兩張證書同時有效的時間，增加了后臺處理的工作量。

在PKI規(guī)范X.509和PKIX中都定義了證書撤銷列表（CertificateRevocationList，CRL），用來公布被撤銷了的證書。如前面所說，WPKI中規(guī)定了“短時網(wǎng)關(guān)證書”（Short-LivedGatewayCertificates），使得用戶根本不需要查詢網(wǎng)關(guān)的證書狀態(tài)。WAP網(wǎng)關(guān)生成一個密鑰對和一個證書請求，將證書請求發(fā)送給CA，CA確認(rèn)之后給網(wǎng)關(guān)頒發(fā)一個網(wǎng)關(guān)證書，其實(shí)該證書的有效期限可以比較長（如一年），也可以比較短（如兩天），但是網(wǎng)關(guān)證書的有效期限都是很短的，所以叫做“短時網(wǎng)關(guān)證書”。證書有效期限越短，證書出問題的可能性越小，也就是說證書被撤銷的可能性越小，如果短到只有一,兩天，甚至幾個小時，就可以把網(wǎng)關(guān)證書的CRL省掉。那么用戶證書的有效期限是不是也很短呢？不是的。用戶證書的狀態(tài)是由網(wǎng)關(guān)來查詢的，網(wǎng)關(guān)的計(jì)算能力和存儲能力是很強(qiáng)大的，完全可以本地存儲用戶證書的CRL或者進(jìn)行在線證書狀態(tài)查詢。

由于存儲能力有限，而且一個移動終端有可能有幾張證書適用于不同的場合，證書過期之后還要進(jìn)行更新，因此移動終端本地存儲自己的證書并不是一個很好的主意。如果把證書存儲在其他地方，需要的時候下載到終端又會對帶寬提出過高的要求。因此WPKI規(guī)定本地存儲的僅僅是證書的URL。證書保存在RA，網(wǎng)關(guān)需要與終端建立安全連接的時候，需要自己到RA取出用戶的證書驗(yàn)證。

2.6WPKI與PKI

PKI的主要功能是在私有或者是共有環(huán)境中提供可信任且有效的密鑰管理和認(rèn)證。WPKI基本上是無線環(huán)境下PKI應(yīng)用的擴(kuò)展。兩者的目的都是在所應(yīng)用的環(huán)境中提供安全的服務(wù)，其相同點(diǎn)如下：

（1）公開的、可信任的第三方：認(rèn)證機(jī)構(gòu)CA；

（2）審批中心RA；

（3）每個實(shí)體占有一對密鑰；

（4）證書是公鑰的載體，是密鑰管理手段；

（5）功能：身份認(rèn)證、保密性、數(shù)據(jù)完整性。

由于應(yīng)用環(huán)境的不同，即無線環(huán)境下移動終端的能力和通信模式使得兩者產(chǎn)生表2.1所示的不同[3]：

33G網(wǎng)絡(luò)架構(gòu)及安全技術(shù)

3.1無線接入網(wǎng)架構(gòu)

3G是個人通信發(fā)展的新階段，引入IP技術(shù)，支持語音和非語音服務(wù)。其是在第二代網(wǎng)絡(luò)的基礎(chǔ)上發(fā)展起來的。3G系統(tǒng)由CN（核心網(wǎng)），UTRAN（無線接入網(wǎng)）和UE（用戶裝置）三部分組成。CN與UTRAN的接口定義為Iu接口，UTRAN與UE的接口定義為Uu接口[4]如圖3.1所示。

Uu接口和Iu接口協(xié)議分為兩部分：用戶平面協(xié)議和控制平面協(xié)議。

UTRAN包括許多通過Iu接口連接到CN的RNS（無線網(wǎng)絡(luò)子系統(tǒng)）。每個RNS包括一個RNC（無線網(wǎng)絡(luò)控制器）和多個NodeB。NodeB通過Iub接口連接到RNC上，它支持FDD模式、TDD模式或雙模。NodeB包括一個或多個小區(qū)。

RNC負(fù)責(zé)決定UE的切換，具有合并/分離功能，用以支持在不同的NodeB之間的宏分集。

UTRAN內(nèi)部，RNSs中的RNCs能通過Iur接換信息，Iu接口和Iur接口是邏輯接口。Iur接口可以是RNC之間物理的直接相連或通過適當(dāng)?shù)膫鬏斁W(wǎng)絡(luò)實(shí)現(xiàn)。UTRAN結(jié)構(gòu)如圖3.2所示

在此簡述一下UTRAN的功能：

（1）系統(tǒng)接入控制功能:接入控制；擁塞控制；系統(tǒng)信息廣播；無線信道加密和解密。

（2）移動性功能:切換；SRNS重定位。

（3）無線資源管理和控制:無線環(huán)境調(diào)查；無線承載控制；無線協(xié)議功能等。

3.23G網(wǎng)絡(luò)安全結(jié)構(gòu)

3G系統(tǒng)是在2G的基礎(chǔ)上發(fā)展起來的，認(rèn)識到GSM/GPRS的安全缺陷，3GPP采取了公開透明的設(shè)計(jì)方法推進(jìn)公眾對移動數(shù)據(jù)業(yè)務(wù)的信心。其安全設(shè)計(jì)基于以下假設(shè)：

被動和主動的攻擊是非常嚴(yán)重的威脅；終端設(shè)備不能被信任；網(wǎng)間和網(wǎng)內(nèi)信令協(xié)議（七號信令和IP）并不安全；能夠應(yīng)付欺騙用戶的偽基站攻擊。

3G系統(tǒng)的安全設(shè)計(jì)遵循以下原則：

所有在GSM或其他2G系統(tǒng)中認(rèn)為是必須或應(yīng)增強(qiáng)的安全特征在3G系統(tǒng)中都必須被保留，它們包括：無線接口加密；無線接口用戶識別安全；無線接口用戶身份保密；用戶接入服務(wù)認(rèn)證；在歸屬環(huán)境下對服務(wù)網(wǎng)絡(luò)的信任進(jìn)行最小化；網(wǎng)絡(luò)運(yùn)營商管理可移動的硬件安全模塊SIM，其安全功能獨(dú)立于終端。

3G將改進(jìn)2G系統(tǒng)存在和潛在的弱安全功能。

對3G系統(tǒng)將提供的新的業(yè)務(wù)提供安全保護(hù)。

3G系統(tǒng)除了支持傳統(tǒng)的語音和數(shù)據(jù)業(yè)務(wù)外，還提供交互式和分布式業(yè)務(wù)。全新的業(yè)務(wù)環(huán)境體現(xiàn)了全新的業(yè)務(wù)特征，同時也要求系統(tǒng)提供對應(yīng)的安全特征。這些新的業(yè)務(wù)特征和安全特征如下：不同的服務(wù)商提供多種新業(yè)務(wù)及不同業(yè)務(wù)的并發(fā)支持，因此3G安全特征必須綜合考慮多業(yè)務(wù)情況下的風(fēng)險(xiǎn)性；在3G系統(tǒng)中占主要地位的是非話音業(yè)務(wù)，對安全性的要求更高；用戶對自己的服務(wù)數(shù)據(jù)控制能力增加，終端應(yīng)用能力也大為增加；3G系統(tǒng)中的新安全特征必須抗擊對用戶的主動攻擊。針對3G業(yè)務(wù)特點(diǎn)提供新的安全特征和安全服務(wù)。

基于上述原則，3G系統(tǒng)安全應(yīng)達(dá)到如下目標(biāo)：確保歸屬網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)提供的資源與服務(wù)得到足夠保護(hù)，以防濫用或盜用；確保所有用戶產(chǎn)生的或與用戶相關(guān)的信息得到足夠的保護(hù)，以防濫用或盜用；確保標(biāo)準(zhǔn)安全特性全球兼容能力；確保提供給用戶與運(yùn)營商的安全保護(hù)水平高于已有固定或移動網(wǎng)絡(luò)；確保安全特征的標(biāo)準(zhǔn)化，保證不同服務(wù)網(wǎng)絡(luò)間的漫游與互操作能力；確保3G安全能力的擴(kuò)展性，從而可以根據(jù)新的威脅不斷改進(jìn)。

3G網(wǎng)絡(luò)是一個規(guī)模龐大的，技術(shù)復(fù)雜的系統(tǒng)，為此必須提出一個通用的安全體系，用來指導(dǎo)3G網(wǎng)絡(luò)的建設(shè)、管理與應(yīng)用。3G系統(tǒng)安全結(jié)構(gòu)分為三層，定義了五組安全特性[6]（如圖3.3）。

（1）網(wǎng)絡(luò)接入安全：主要抗擊針對無線鏈路的攻擊，包括用戶身份保密、用戶位置保密、用戶行蹤保密、實(shí)體身份認(rèn)證、加密密鑰分發(fā)、用戶數(shù)據(jù)與信令數(shù)據(jù)的保密及消息認(rèn)證；

（2）網(wǎng)絡(luò)域安全：主要保證核心網(wǎng)絡(luò)實(shí)體間安全交換數(shù)據(jù)，包括網(wǎng)絡(luò)實(shí)體間身份認(rèn)證、數(shù)據(jù)加密、消息認(rèn)證以及對欺騙信息的收集；

（3）用戶域安全：主要保證對移動臺的安全接入，包括用戶與智能卡間的認(rèn)證、智能卡與終端間的認(rèn)證及鏈路的保護(hù)；

（4）應(yīng)用域安全：用來在用戶和服務(wù)提供商應(yīng)用程序間提供安全交換信息的一組安全特征，主要包括應(yīng)用實(shí)體間的身份認(rèn)證、應(yīng)用數(shù)據(jù)重放攻擊的檢測、應(yīng)用數(shù)據(jù)完整性保護(hù)、接收確認(rèn)等。

由于在第三代移動通信系統(tǒng)中，終端設(shè)備和服務(wù)網(wǎng)間的接口是最容易被攻擊的點(diǎn)，所以如何實(shí)現(xiàn)更加可靠的網(wǎng)絡(luò)接入安全能力，是3G系統(tǒng)安全方案中至關(guān)重要的一個問題。網(wǎng)絡(luò)安全接入機(jī)制應(yīng)該包括如下：用戶身份保密、接入鏈路數(shù)據(jù)的保密性和完整性保護(hù)機(jī)制以及認(rèn)證和密鑰分配機(jī)制。

3G安全功能結(jié)構(gòu)如圖3.4[7]，橫向代表安全措施，縱向代表相應(yīng)的網(wǎng)絡(luò)實(shí)體。安全措施分為五類：（1）EUIC（增強(qiáng)用戶身份保密）通過HE/AuC（本地環(huán)境/認(rèn)證中心）對USIM（用戶業(yè)務(wù)識別模塊）身份信息進(jìn)行認(rèn)證；（2）UIC（用戶與服務(wù)網(wǎng)絡(luò)的相互身份認(rèn)證）；（3）AKA用于USIM、VLR（訪問位置寄存器）、HLR（歸屬位置寄存器）間的雙向認(rèn)證及密鑰分配；（4）數(shù)據(jù)加密（DC），即UE（用戶終端）與RNC（無線網(wǎng)絡(luò)控制器）間信息的加密；（5）數(shù)據(jù)完整性（DI），即對信令消息的完整性、時效性等進(jìn)行認(rèn)證。

3.3安全接入機(jī)制

3.3.1身份保密

用戶身份是重要而又敏感的信息，在通信中必須保證這些信息的機(jī)密性。身份保密的目的是保護(hù)用戶的隱私，避免IMSI(永久用戶標(biāo)識)信息的泄漏。具體相關(guān)技術(shù)將在第五章詳細(xì)介紹。

3.3.2數(shù)據(jù)保密性及完整性保護(hù)

網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供四個安全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在AKA中完成；加密算法協(xié)商由用戶與服務(wù)網(wǎng)絡(luò)間的安全模式協(xié)商機(jī)制完成，使得ME和SN之間能夠安全的協(xié)商它們隨后將使用的算法。用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密用以保證數(shù)據(jù)在無線接入接口上不可能被竊聽。

在2G中的加密是基于基站,消息在網(wǎng)絡(luò)內(nèi)是用明文傳送,這顯然是很不安全的。3G加強(qiáng)了消息在網(wǎng)絡(luò)內(nèi)的傳送安全,采用了以交換設(shè)備為核心的安全機(jī)制,加密鏈路延伸到交換設(shè)備,并提供基于端到端的全網(wǎng)范圍內(nèi)加密。

在無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密，采用了f8算法（如圖3.5）。f8算法對用戶數(shù)據(jù)和信令消息數(shù)據(jù)進(jìn)行加密保護(hù)，在UE和RNC（無線網(wǎng)絡(luò)控制器）中的RLC（無線鏈路控制）/MAC（媒體介入控制）層實(shí)施，以保證用戶信息及信令消息不被竊聽，進(jìn)而能夠保證用戶信息及信令消息難以被有效更改。

加密算法的輸入?yún)?shù)除了加密密鑰CK（128bit）外，還包括加密序列號COUNT-C(由短計(jì)數(shù)器和計(jì)數(shù)器超幀號HFN組成32bit)、無線承載標(biāo)識BEARER（5bit）、上下行鏈路指示DIRECTION（方向位，其長度為1bit?！?”表示UE至RNC，“1”表示RNC至UE）和密鑰流長度指示LENGTH（16bit）。掩碼生成算法f8基于一種新的塊加密，這個塊算法把64bit的輸入轉(zhuǎn)變成64bit的輸出，轉(zhuǎn)換由128bit的密鑰f8來控制。如果f8未知，就不能從輸入有效地計(jì)算輸出或根據(jù)輸出計(jì)算輸入。原則上，如果滿足下面的條件之一就可以進(jìn)行轉(zhuǎn)換：（1）試所有可能的密鑰，直到找到正確地密鑰；（2）以某種方式收集一個巨大的表，包含所有264的輸入輸出對。

但實(shí)際上，這兩種方法都是不可行的。終端使用加密指示符來表示用戶是否使用加密，這樣提供了加密機(jī)制的可見性。

網(wǎng)絡(luò)接入部分的數(shù)據(jù)完整性主要提供三個安全特性：完整性算法協(xié)商，完整性密鑰協(xié)商，數(shù)據(jù)和信令的完整性。其中完整性密鑰協(xié)商在AKA中完成；完整性算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制完成。3G系統(tǒng)預(yù)留了16種UIA的可選范圍。目前只用到一種Kasumi算法。

該安全特性是3G系統(tǒng)新增的。它使系統(tǒng)對入侵者的主動攻擊有更強(qiáng)的防御能力。與UEA協(xié)商功能的作用類似，UIA的協(xié)商增加了系統(tǒng)的靈活性，為3G系統(tǒng)的全球漫游打下基礎(chǔ)。

UMTS的完整性保護(hù)機(jī)制是：發(fā)送方（UE或RNC）將要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過f9算法產(chǎn)生的消息認(rèn)證碼MAC（MessageAuthenticationCode），附加在發(fā)出的消息后面。接受方（RNC或UE）收到消息后，用同樣的方法計(jì)算得到XMAC。接收方把收到的MAC和XMAC相比較，如果兩者相等，就說明收到的消息是完整的，在傳輸?shù)倪^程中沒有被篡改。f9算法的使用如圖3.6

該算法的輸入?yún)?shù)除了完整性密鑰IK（128bit）外，還包括完整性序列號COUNT-I(32bit，由RRC序列號SN和RRC超幀號HFN組成)、發(fā)送的消息MESSAGE、DIRECTION（方向位，其長度為1bit?！?”表示UE至RNC，“1”表示RNC至UE）、MAC-I（用于消息完整性保護(hù)的消息認(rèn)證碼）和隨機(jī)數(shù)FRESH（為網(wǎng)絡(luò)方產(chǎn)生的隨機(jī)數(shù)并傳輸給UE，長度為32bit，用以防止重傳攻擊）。我們需要對網(wǎng)絡(luò)進(jìn)行保護(hù)，以防止惡意為COUNT-I選擇初始值。實(shí)際上，HFN的最重要的部分存儲在連接間的USIM中。攻擊者可能偽裝成USIM并給網(wǎng)絡(luò)發(fā)送一個假值以強(qiáng)迫初始值變得非常小。這時，如果沒有執(zhí)行認(rèn)證過程就使用舊的IK，就會為攻擊者在只缺少FRESH的情況下利用以前記錄的MAC-I值對以前連接的RRC信令消息進(jìn)行再次發(fā)送提供了可能。通過使用FRESH，RNC可以防止這類重放攻擊。當(dāng)FRESH在一個單獨(dú)的連接中保持不變時，不斷遞增的COUNT-I又可以防止基于同一連接中已經(jīng)記錄的消息的重放攻擊。

認(rèn)證與密鑰協(xié)商涉及到實(shí)體認(rèn)證將在下一章節(jié)詳細(xì)進(jìn)行介紹。

3.43G系統(tǒng)有待研究的問題

3G系統(tǒng)的新特點(diǎn)在于提供高帶寬和更好的安全特性。從3G網(wǎng)絡(luò)接入部分的安全結(jié)構(gòu)中可以看出，3G系統(tǒng)的變化很大。無論從提供的服務(wù)種類上，還是從服務(wù)質(zhì)量上都有很大改觀。但是3G系統(tǒng)仍存在一些開放問題有待繼續(xù)研究。這里主要討論一下幾個方面的內(nèi)容：數(shù)據(jù)保密和數(shù)據(jù)完整性。

數(shù)據(jù)保密性方面的工作已經(jīng)做了很多，但是仍有下列問題沒有解決：一是密文生成的同步問題；二是在一個UTRAN（UMTS陸地?zé)o線接入網(wǎng)）的不同核心網(wǎng)絡(luò)之間加密和加密密鑰的選擇問題；三是如何決定從哪個消息開始加密。

數(shù)據(jù)完整性方面的主要問題是：如何確定哪些消息需要保護(hù)；如何在UTRAN結(jié)構(gòu)中集成數(shù)據(jù)完整性功能

4實(shí)體認(rèn)證

4.1PKI中的實(shí)體認(rèn)證

PKI安全平臺能夠提供智能化的信任與有效授權(quán)服務(wù)。其中，信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”的問題，PKI是在網(wǎng)絡(luò)上建立信任體系最行之有效的技術(shù)。授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個實(shí)體能干什么”的問題。

在現(xiàn)實(shí)生活中，認(rèn)證采用的方式通常是兩個人事前進(jìn)行協(xié)商，確定一個秘密，然后，依據(jù)這個秘密進(jìn)行相互認(rèn)證。隨著網(wǎng)絡(luò)的擴(kuò)大和用戶的增加，事前協(xié)商秘密會變得非常復(fù)雜，特別是在電子政務(wù)中，經(jīng)常會有新聘用和退休的情況。另外，在大規(guī)模的網(wǎng)絡(luò)中，兩兩進(jìn)行協(xié)商幾乎是不可能的。透過一個密鑰管理中心來協(xié)調(diào)也會有很大的困難，而且當(dāng)網(wǎng)絡(luò)規(guī)模巨大時，密鑰管理中心甚至有可能成為網(wǎng)絡(luò)通信的瓶頸。

PKI通過證書進(jìn)行認(rèn)證，認(rèn)證時對方知道你就是你，但卻無法知道你為什么是你。在這里，證書是一個可信的第三方證明，通過它，通信雙方可以安全地進(jìn)行互相認(rèn)證，而不用擔(dān)心對方是假冒的。

CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，業(yè)界人士通常稱它為認(rèn)證中心。從廣義上講，認(rèn)證中心還應(yīng)該包括證書申請注冊機(jī)構(gòu)RA（RegistrationAuthority），它是數(shù)字證書的申請注冊、證書簽發(fā)和管理機(jī)構(gòu)。

CA的主要職責(zé)包括：驗(yàn)證并標(biāo)識證書申請者的身份。對證書申請者的信用度、申請證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查，確保證書與身份綁定的正確性。

確保CA用于簽名證書的非對稱密鑰的質(zhì)量和安全性。為了防止被破譯，CA用于簽名的私鑰長度必須足夠長并且私鑰必須由硬件卡產(chǎn)生。

管理證書信息資料。管理證書序號和CA標(biāo)識，確保證書主體標(biāo)識的惟一性，防止證書主體名字的重復(fù)。在證書使用中確定并檢查證書的有效期，保證不使用過期或已作廢的證書，確保網(wǎng)上交易的安全。和維護(hù)作廢證書列表（CRL），因某種原因證書要作廢，就必須將其作為“黑名單”在證書作廢列表中，以供交易時在線查詢，防止交易風(fēng)險(xiǎn)。對已簽發(fā)證書的使用全過程進(jìn)行監(jiān)視跟蹤，作全程日志記錄，以備發(fā)生交易爭端時，提供公正依據(jù)，參與仲裁。

由此可見，CA是保證電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等交易的權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)。在現(xiàn)有文獻(xiàn)中出現(xiàn)過認(rèn)證這個名詞，但是未見有對其進(jìn)行明確功能劃分的確切定義。實(shí)際的安全系統(tǒng)中，幾乎所有的安全需要都要通過對用戶或?qū)嶓w授權(quán)、對內(nèi)容的真實(shí)完整性鑒別才能有效實(shí)現(xiàn)，而要實(shí)現(xiàn)對用戶或?qū)嶓w的授權(quán)就必須實(shí)現(xiàn)用戶或?qū)嶓w的認(rèn)證。涉及到系統(tǒng)的用戶或?qū)嶓w通常對數(shù)據(jù)、信息或?qū)嶓w具有閱讀或操作或按權(quán)限訪問、傳播和使用控制的權(quán)利。顧名思義，認(rèn)證是一個實(shí)體對另一個實(shí)體具有的所有權(quán)或操作權(quán)等權(quán)利的鑒別。實(shí)體認(rèn)證是由參與某次通信連接或會話的遠(yuǎn)端的一方提交的，驗(yàn)證實(shí)體本身的身份。一些主要的認(rèn)證技術(shù)[8]分別是：口令，認(rèn)證令牌，智能卡和生物特征。不同的認(rèn)證技術(shù)對應(yīng)不同的安全級別、不同的使用難度、效益和成本。

如通過口令進(jìn)行身份認(rèn)證，一種可靠的方法是，不要在認(rèn)證系統(tǒng)中存儲真正的口令，而是對口令進(jìn)行一定的運(yùn)算再把值存儲在系統(tǒng)中。當(dāng)用戶訪問系統(tǒng)時，系統(tǒng)對口令進(jìn)行相同的運(yùn)算來確認(rèn)是否與存儲的值是否相同，通過這種方法，可以避免明文口令在系統(tǒng)中的存儲。以免以前存放明文口令的認(rèn)證數(shù)據(jù)庫成為攻擊者的主要目標(biāo)，畢竟數(shù)據(jù)庫的拷貝意味著將有許多用戶的口令被竊取。通過這種改進(jìn)的口令系統(tǒng)，可以防止明文口令在輸入設(shè)備和認(rèn)證系統(tǒng)之間傳輸。對于上述算法的要求，攻擊者要找到一個口令來使得它產(chǎn)生的值恰是他們所看到的，這在計(jì)算上是不可能的。如MD4，MD5或者SHA1這樣的加密散列算法可以滿足上述的要求。但是這種認(rèn)證方式要避免的是重放攻擊，即攻擊者之間獲得運(yùn)算后的值，從而直接將其重放給認(rèn)證系統(tǒng)，已獲得訪問權(quán)。為了解決這個問題，系統(tǒng)可以使用隨機(jī)數(shù)的加入來防止重放攻擊。通過這種技術(shù)可以使得攻擊者只能看到隨機(jī)數(shù)，用戶的口令并沒有在輸入系統(tǒng)和認(rèn)證系統(tǒng)中傳輸，甚至由口令產(chǎn)生的值都不會出現(xiàn)在系統(tǒng)之間，采用所謂的質(zhì)詢/響應(yīng)的認(rèn)證過程，便是當(dāng)今口令認(rèn)證機(jī)制的基礎(chǔ)。

簡單口令的最常見的替代品是認(rèn)證令牌。認(rèn)證令牌有兩類：質(zhì)詢/響應(yīng)令牌和時間令牌。認(rèn)證令牌與PKI的關(guān)系主要體現(xiàn)在兩個方面。首先結(jié)合服務(wù)器端的PKI，令牌可以充當(dāng)客戶端的認(rèn)證機(jī)制；另一方面，令牌可以擔(dān)當(dāng)授權(quán)訪問私鑰的初始認(rèn)證。通過PKI，可以對Web服務(wù)器進(jìn)行強(qiáng)有力的認(rèn)證以及提供強(qiáng)加密通信；通過認(rèn)證令牌，可以對用戶進(jìn)行強(qiáng)身份認(rèn)證。PKI用于認(rèn)證服務(wù)器和加密會話，令牌則用于認(rèn)證客戶端。這種混合方案很可能會促使令牌成為未來一段時間內(nèi)的主要強(qiáng)認(rèn)證方式。

4.2現(xiàn)有3G中的認(rèn)證過程

3G接入網(wǎng)部分的實(shí)體認(rèn)證包含了三個方面。一是認(rèn)證機(jī)制協(xié)商，該機(jī)制允許用戶和服務(wù)網(wǎng)絡(luò)安全協(xié)商將要使用的安全認(rèn)證機(jī)制。二是用戶身份認(rèn)證，服務(wù)網(wǎng)絡(luò)認(rèn)證用戶身份的合法性。三是用戶對他所連接的網(wǎng)絡(luò)進(jìn)行認(rèn)證。

認(rèn)證和密鑰分配機(jī)制完成用戶和網(wǎng)絡(luò)之間通過密鑰K（128bit）相互認(rèn)證，以及完成上面提到的加密密鑰和完整性密鑰的分配。密鑰K僅存在于用戶歸屬網(wǎng)絡(luò)環(huán)境HE的AuC（認(rèn)證中心）和UICC/USIM（用戶服務(wù)識別模塊）中，并且在兩者之間共享。UICC是能夠防止篡改的具有身份驗(yàn)證功能的智能卡，而USIM是運(yùn)行在UICC上的一個模塊。為了保證認(rèn)證的安全性，一個基本要求是在給定的UICC/USIM的使用期內(nèi)密鑰K絕不能泄漏或者損壞。在SGSN/VLR和USIM之間執(zhí)行的認(rèn)證過程是基于一種交互式認(rèn)證策略。另外，USIM和HE分別保存SQNms和SQNhe計(jì)數(shù)用以支持認(rèn)證。序號SQNhe是用戶獨(dú)立的計(jì)數(shù)器，由HLR/AuC維護(hù)每個用戶具有的獨(dú)立序號；而SQNms是指USIM收到的最高序號。

認(rèn)證與密鑰分配機(jī)制[9]過程如圖4.1所示，整個過程分為幾個子過程：從HE/AuC發(fā)送認(rèn)證消息到VLR/SGSN的過程；VLR/SGSN和MS之間相互認(rèn)證和新加密和完整性密鑰的建立過程；重同步過程。

其中：（1）每個認(rèn)證向量包括：一個隨機(jī)數(shù)、一個期望的應(yīng)答、加密密鑰CK、完整性密鑰IK、認(rèn)證令牌A；

（2）每個認(rèn)證向量適用于一次VLR/SGSN與USIM之間的認(rèn)證和密鑰協(xié)商；

（3）認(rèn)證方為用戶HE的認(rèn)證中心和用戶移動站中的USIM。

圖4.2為VLR/SGSN和MS之間相互認(rèn)證、新加密和完整性密鑰的建立過程。

USIM收到RAND和AUTN后，按以下步驟進(jìn)行認(rèn)證和新加密和完整性密鑰的建立。

步驟（1）計(jì)算匿名密鑰AK，并且獲取序列號SQN；

步驟（2）USIM計(jì)算XMAC，將它和MAC比較，MAC包含在AUTN中。如果兩者不同，用戶就傳送包含拒絕原因指示用戶認(rèn)證拒絕信息給VLR/SGSN，然后終止該過程。在這種情況下，VLR/SGSN將初始化一個認(rèn)證失敗報(bào)告過程給HLR。如果相同進(jìn)行步驟（3）。

步驟（3）USIM校驗(yàn)收到的SQN是不是在正確的范圍內(nèi)。

步驟（4）如果序號在正確范圍內(nèi)，則進(jìn)行步驟（5）；如果序號不在正確的范圍內(nèi)，它將發(fā)送一個包含適當(dāng)參數(shù)的同步失敗信息給VLR/SGSN，然后終止該過程。VLR會根據(jù)同步失敗消息向HE請求重同步過程。

步驟（5）如果序號在正確的范圍內(nèi)，USIM計(jì)算CK和IK。

步驟（6）USIM計(jì)算RES，該參數(shù)包含在用戶認(rèn)證響應(yīng)中傳給VLR/SGSN。

收到用戶認(rèn)證響應(yīng)后，VLR/SGSN將響應(yīng)RES與所選認(rèn)證向量中獲得XRES比較。如果兩者相等，那么用戶就通過認(rèn)證。VLR/SGSN就從選擇的認(rèn)證向量中獲得正確的CK和IK。USIM和VLR將保存原始CK和IK，直到下一次AKA完成。如果XRES和RES不相等，則初始化一個新的鑒別和認(rèn)證過程。

在3G系統(tǒng)中，實(shí)現(xiàn)了用戶與網(wǎng)絡(luò)的相互認(rèn)證，簡單的說，通過驗(yàn)證XRES與RES是否相同，實(shí)現(xiàn)了VLR/SGSN對MS的認(rèn)證；通過比較XMAC與MAC是否相同，實(shí)現(xiàn)了MS對HLR/AuC的認(rèn)證。以上便是在3G系統(tǒng)中用戶和網(wǎng)絡(luò)服務(wù)商之間雙向認(rèn)證的一個詳細(xì)過程。通過雙向認(rèn)證機(jī)制，3G有效的保護(hù)了用戶與運(yùn)營商雙方的利益。

4.3WPKI應(yīng)用下的實(shí)體認(rèn)證

首先CA用Rabin算法和自己的私鑰Pu和Qu來為網(wǎng)絡(luò)端和移動端簽發(fā)證書。網(wǎng)絡(luò)端B的公鑰為Nb，移動端A的公鑰為ELGamal簽名算法的公鑰Pa。網(wǎng)絡(luò)端保存相應(yīng)的Rabin算法私鑰Pb和Qb，移動端保存相應(yīng)的ELGamal算法私鑰Sa。移動端和網(wǎng)絡(luò)端通過驗(yàn)證對方的證書合法性和相應(yīng)的私鑰來進(jìn)行雙向的認(rèn)證。具體過程如圖4.3

5身份機(jī)密性

5.1相關(guān)的安全特征

與用戶身份機(jī)密性相關(guān)的安全特征如下：

用戶身份機(jī)密性（useridentityconfidentiality）：接受業(yè)務(wù)用戶的永久身份（IMSI）在無線接入鏈路上不可能被竊聽。

用戶位置機(jī)密性（userlocationconfidentiality)：用戶在某一區(qū)域出現(xiàn)或到達(dá)，不可能在無線接入鏈路上通過竊聽來確定。

用戶的不可跟蹤性（useruntraceability）：入侵者不可能通過在無線接入鏈路上竊聽而推斷出不同的業(yè)務(wù)是否傳遞給同一用戶，即無法獲知用戶正在使用不同的業(yè)務(wù)。

為了滿足上述要求，3G系統(tǒng)采用了兩種機(jī)制來識別用戶身份，（1）在用戶與服務(wù)網(wǎng)之間采用臨時身份機(jī)制（用戶的IMSI由臨時身份識別號TMSI代替），為了實(shí)現(xiàn)用戶的不可跟蹤性要求用戶不應(yīng)長期使用同一TMSI，即TMSI要定期更換。（2）使用加密的永久身份IMSI。但是3G標(biāo)準(zhǔn)沒有排斥用戶直接使用IMSI進(jìn)行身份識別，即GSM式身份識別。此外在3G中，任何可能暴露用戶身份的信令和用戶數(shù)據(jù)都要求進(jìn)行加密。

5.2GSM中的身份保密

GSM系統(tǒng)采用用戶的臨時身份實(shí)現(xiàn)用戶的身份保密。對進(jìn)入其訪問區(qū)的每個用戶，VLR（拜訪位置寄存器）都會分配一個TMSI（臨時身份識別號），TMSI和IMSI一起存于VLR的數(shù)據(jù)庫中，用戶只要使用TMSI和位置區(qū)域標(biāo)識LAI即可標(biāo)識自己的身份。一般情況下不使用IMSI來識別用戶。

但是當(dāng)用戶第一次注冊或者服務(wù)網(wǎng)絡(luò)不能根據(jù)用戶的TMSI時必須使用用戶的永久身份IMSI。這時IMSI將在無線鏈路上以明文進(jìn)行傳輸，這就可能會造成用戶身份的泄漏。顯然，GSM系統(tǒng)在用戶身份保密方面存在明顯的缺陷。圖5.1表示了GSM系統(tǒng)中身份識別的過程[10]。

5.33G中已有的身份機(jī)密性設(shè)計(jì)

現(xiàn)有的身份機(jī)密的方案如圖:該機(jī)制由訪問的VLR/SGSN發(fā)起，向用戶請求IMSI。用戶有兩種選擇進(jìn)行響應(yīng)，選擇和GSM系統(tǒng)一樣的直接回復(fù)明文IMSI或者使用特有的增強(qiáng)的身份保密機(jī)制來進(jìn)行響應(yīng)。

采用明文的IMSI是為了與第二代通信網(wǎng)絡(luò)保持兼容。一般在3G系統(tǒng)中，移動用戶配置成增強(qiáng)型用戶身份保密機(jī)制[11]。

圖5.2中，HE-message表示包含加密IMSI的消息，其組成如下：HE-message=GI‖EMUI，EMUI=fgk（SQNuic‖IMSI）。其中GI表示群身份標(biāo)識，EMUI表示加密IMSI。EMUI是SQNuic和IMSI經(jīng)過fgk函數(shù)加密運(yùn)算得到，SQNuic表示用戶認(rèn)證中心UIC生成的序列號，用于保持認(rèn)證的最新性，GK是用戶入網(wǎng)時與HE/UIC及群中的其它用戶共享的群密鑰。HE為用戶歸屬域。

增強(qiáng)型用戶身份保密機(jī)制將用戶的IMSI以密文形式嵌入HE-message中，VLR/SGSN不能直接解密HE-message，而是根據(jù)HE/UIC-id將HE-message傳送到相應(yīng)的HE/UIC。由HE/UIC根據(jù)GI檢索相應(yīng)的GK，用解密HE-message得到用戶的IMSI，再傳送給VLR/SGSN。這樣做的目的是保證用戶的IMSI不被竊聽。此后VLR/SGSN建立用戶IMSI和TMSI之間的對應(yīng)關(guān)系。以后用戶就用VLR/SGSN分配的TMSI進(jìn)行通信。

增強(qiáng)型用戶身份保密機(jī)制是3G引進(jìn)的，規(guī)定了每個用戶都屬于某一個群，而每個群擁有一個GI。用戶群有一個GK，該密鑰安全的保存在USIM和HE/VLR中。相比2G而言用戶身份的保密性有了較大的改進(jìn)，但我們可以看到，從HE/UIC傳給VLR/SGSN的解密用戶身份IMSI仍然使用了明文方式，因此該方式也還存在一定的弱點(diǎn)，需要進(jìn)一步的改進(jìn)。而且依靠HE/UIC來進(jìn)行消息的解密會使得效率低下。因此下面給出了一個基于公鑰體制下的用戶身份機(jī)密性的實(shí)現(xiàn)方案。

5.4在WPKI基礎(chǔ)上設(shè)計(jì)的身份機(jī)密方案

首先由于無線PKI的應(yīng)用，各個PKI實(shí)體都要求具有一個公鑰證書。有了公鑰證書，實(shí)體間才可以通過證書鑒定的方式來建立起信任關(guān)系，也更方便進(jìn)行認(rèn)證。為了保證用戶與其公鑰的一一對應(yīng)。證書權(quán)威需要首先驗(yàn)證終端實(shí)體的身份。

證書頒發(fā)過程可以采用離線的方式，如在USIM的生產(chǎn)過程中就加入初始的用戶的證書，或者也可以采用在線的方式或通過可信任的第三者進(jìn)行證書的辦法?；菊J(rèn)證方案如下圖5.3

在3G系統(tǒng)中，當(dāng)服務(wù)網(wǎng)絡(luò)不能通過TMSI來識別用戶身份時，將使用永久用戶身份標(biāo)識來鑒別用戶身份，特別是在移動用戶第一次在服務(wù)網(wǎng)絡(luò)內(nèi)注冊，以及網(wǎng)絡(luò)不能由用戶在無線鏈路上的TMSI獲得相應(yīng)的IMSI時。用戶的永久身份是一個敏感而且非常重要的數(shù)據(jù)，需要得到很好的保護(hù)，但如上文提到的在GSM中，用戶的永久身份是用明文的形式發(fā)送的，3G系統(tǒng)對此要進(jìn)行安全改進(jìn)。

有了證書之后，用戶首次入網(wǎng)注冊時，就可以使用證書和IMSI一起進(jìn)行注冊了，具體的操作過程如下

符號說明：CertMS用戶證書CertHLRHLR的證書

SKMS用戶的私鑰SKHLRHLR的私鑰

PKHLRHLR的公鑰R1，R2，Ks隨機(jī)數(shù)

同樣在用戶的USIM中，存有CA的公鑰，自己的私鑰，如果已經(jīng)取得自己的證書，則也應(yīng)該保存在USIM中。

注冊過程如下圖5.4：

1．用戶向網(wǎng)絡(luò)發(fā)起入網(wǎng)登記請求

2．網(wǎng)絡(luò)發(fā)送自己的證書和隨機(jī)數(shù)R1給MS

3．用戶收到網(wǎng)絡(luò)的證書CertHLR，利用CA的公鑰來驗(yàn)證HLR的真實(shí)性，如果通過驗(yàn)證，。首先生成兩個隨機(jī)數(shù)Ks，和R2，利用用戶的私有密鑰對(R2‖R1)作簽名成為(R2‖R1)SKMS，再用HLR的公開密鑰PKHLR對Ks作加密，最后利用對稱性加密算法如IDEA或DES對IMSI,CertMS及(R2‖R1)SKms，以Ks進(jìn)行加密。然后將加密信息發(fā)送到HLR，同時MS存儲R1,R2,Ks，以及CertHLR。

4．網(wǎng)絡(luò)側(cè)收到響應(yīng)后，用自己的私鑰SKHLR解密消息（Ks）PKHLR得到Ks，再用Ks解密（CertMS‖IMSI‖(R2‖R1)SKms）Ks，得到用戶的IMSI和CertMS，首先驗(yàn)證IMSI的合法性，然后使用HLR和CA之間的安全通道向CA發(fā)送用戶的CertMS來獲取用戶相應(yīng)的公鑰PKMS，然后使用用戶的公鑰PKMS來解密(R2‖R1)SKMS，獲得R2‖R1，如果R1確實(shí)正確，就產(chǎn)生一個TMSI并把TMSI和IMSI進(jìn)行關(guān)聯(lián)并且存儲存儲在服務(wù)器中，同時存儲R2。至此HLR確認(rèn)MS的合法性。

5．當(dāng)HLR確認(rèn)MS合法之后，則送回第三個信息以及生成會話密鑰，否則拒絕所要求的服務(wù)。首先利用私有密鑰SKHLR對R2作簽名，再以Ks利用對稱性的密碼算法，對TMSI和IMSI及以（R2‖R1)SKHLR作加密，生成（TMSI‖IMSI‖（R2‖R1）SKHLR）Ks再將信息送至MS，最后利用R1和R2作異或運(yùn)算生成會話密鑰，并且將Ks刪除。HLR的認(rèn)證已經(jīng)完成。

6.MS收到HLR的信息后，利用Ks解開信息，得到TMSI‖IMSI‖（R2‖R1）SKHLR,

首先檢查IMSI是否是自己的IMSI，再來利用HLR的證書驗(yàn)證（R2‖R1）SKHLR是否等于(R2‖R1)通過驗(yàn)證，再利用R1和R2作異或運(yùn)算生成會話密鑰，并且保存TMSI在MS中否則表示注冊失敗。

通過以上的注冊過程，在入網(wǎng)過程中，用戶的永久身份標(biāo)識IMSI從頭至尾都沒有用明文的形式在鏈路上傳輸，而得到了網(wǎng)絡(luò)的認(rèn)證并且獲得TMSI用于以后的服務(wù)。所有使用IMSI來向網(wǎng)絡(luò)進(jìn)行認(rèn)證時，通過以上方法就可以保證了用戶的機(jī)密性。

對于安全性的分析：

鏈路上的竊聽者無法獲知用戶的身份，從而無法知道用戶的位置和所進(jìn)行的服務(wù)。同時由于每次的會話密鑰都是由R1和R2產(chǎn)生的，而且Ks是隨機(jī)產(chǎn)生的，竊聽者無法通過多次的比較獲得任何通信的內(nèi)容。而且即使一次會話的密鑰被竊取了，也無法繼續(xù)獲得以后的會話密鑰。因?yàn)槊看蜶1和R2都是重新產(chǎn)生。對于假冒的HLR，即使可以送出第一條明文消息，但是因?yàn)椴痪哂泻戏ǖ腟KHLR所有無法獲得Ks，從而無法繼續(xù)注冊過程。同樣攻擊者惡意假冒MS，即使事先知道CertMS，R1，R2和(R2‖R1)SKMS。但是對于新的R1無法生成對應(yīng)的新的(R2‖R1)SKMS來進(jìn)行重放攻擊。至于直接猜測會話密鑰實(shí)際上是不可能的，因?yàn)镽1雖然是明文傳送，但是R2是密文傳送的。

3G系統(tǒng)分為電路域CS和分組域PS，電路域使用TMSI和LAI來表示用戶，TMSI由VLR分配，分組域使用移動用戶分組P-TMSI和路由域標(biāo)識RAI來表示用戶，P-TMSI由SGSN分配[12]。臨時身份TMSI/P-TMSI只有在用戶登記的位置區(qū)和路由區(qū)中才有意義。所以，它應(yīng)該與LAI或RAI一起使用。IMSI和TMSI的關(guān)聯(lián)保存在用戶登記的拜訪位置寄存器VLR/SGSN中。

一旦用戶獲取了P-TMSI/TMSI后，網(wǎng)絡(luò)就可以在接入無線鏈路上識別用戶了。用戶就可以進(jìn)行如下操作：尋呼請求，位置更新請求，連接請求，服務(wù)請求，分離請求，重新建立連接請求等。

但是為了避免長期使用同一臨時身份對TMSI/LAI或P-TMSI/RAI，3G系統(tǒng)采用TMSI的再分配機(jī)制。TMSI的更新是在安全模式建立以后由VLR/SGSN發(fā)起。分配過程如圖5.5

詳細(xì)步驟如下：

（1）VLR/SGSN產(chǎn)生一個新的TMSIn，并將該TMSIn與IMSI的關(guān)系存儲在它的數(shù)據(jù)庫中，然后向CA請求相應(yīng)的IMSI的公鑰PKMS，當(dāng)CA把公鑰發(fā)送回來之后，VLR/SGSN把TMSIn和一個新的位置區(qū)域標(biāo)識經(jīng)過用戶的PKMS加密然后發(fā)送給用戶。

（2）用戶收到之后，使用自己的SKMS解密消息并保存TMSIn并自動刪除與先前TMSIo之間的關(guān)聯(lián)后，向VLR/SGSN發(fā)送應(yīng)答。

（3）VLR/SGSN收到應(yīng)答后，從自己的數(shù)據(jù)庫中刪除與舊的TMSIo的關(guān)聯(lián)，TMSIn用于隨后的用戶身份鑒別。

（4）如果VLR/SGSN沒有收到用戶的確認(rèn)應(yīng)答信息，則網(wǎng)絡(luò)將同時存儲TMSI與IMSI的新的關(guān)聯(lián)和舊的關(guān)聯(lián)。然后在隨后由用戶發(fā)起的業(yè)務(wù)中，網(wǎng)絡(luò)允許用戶使用新的關(guān)聯(lián)或舊的關(guān)聯(lián)來識別自己的身份。同時網(wǎng)絡(luò)由此可判定用戶所使用的TMSI，并刪除沒有使用的那一對TMSI和IMSI的關(guān)聯(lián)。在另一種情況下，網(wǎng)絡(luò)發(fā)起業(yè)務(wù)，會使用用戶的IMSI來識別用戶，當(dāng)建立連接后，網(wǎng)絡(luò)指示用戶刪除TMSI。這兩種情況下，網(wǎng)絡(luò)隨后都會再次發(fā)起一次TMSI的分配過程。但是如果TMSI的分配失敗次數(shù)達(dá)到一定的門限值，就需要上報(bào)給O&M。

當(dāng)移動用戶的位置發(fā)生改變時，如果用戶使用由訪問VLRn分配的TMSIo/LAIo來識別自己，則可以從數(shù)據(jù)庫中正常獲得IMSI。如果不能，訪問VLRn將要求用戶使用自己的永久身份IMSI來進(jìn)行識別就如同用IMSI進(jìn)行首次入網(wǎng)注冊。如果用戶不是使用由拜訪VLRn分配的TMSIo/LAIo來識別自己，則先前訪問的VLRo和新訪問的VLRn相互間交換認(rèn)證數(shù)據(jù)，新的VLRn要求先前VLRo發(fā)送用戶的永久身份，該過程包含在VLR相互之間交換和分發(fā)認(rèn)證數(shù)據(jù)的機(jī)制中。如果先前的VLRo不能連接或者是不能得到用戶的身份，訪問的VLRn將要求用戶使用永久身份IMSI來識別。

至此用戶可以使用TMSI或者IMSI來進(jìn)行入網(wǎng)注冊，而同時保證了身份的機(jī)密性。

6結(jié)論

隨著3G網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及無線PKI相關(guān)技術(shù)的應(yīng)用，無線PKI在3G系統(tǒng)中的應(yīng)用也會越來越成熟。同時隨著終端處理能力的提升，公鑰體制在實(shí)現(xiàn)用戶身份機(jī)密性的過程中，會相比單鑰體制具有更多的優(yōu)勢。因?yàn)樵趩舞€體制下，用戶的安全依賴于網(wǎng)絡(luò)，而現(xiàn)在使用公鑰技術(shù)來保護(hù)用戶的身份，因?yàn)橛脩舻乃借€只有用戶自己知道，身份的機(jī)密性不再依賴于網(wǎng)絡(luò)。

但是在使用公鑰體制和WPKI相結(jié)合的方案下，需要解決的是更好的保護(hù)用戶證書的安全性，因?yàn)閷τ诰W(wǎng)絡(luò)內(nèi)部來說，盜取證書是可能的。而且對于CA的安全性能也提出了更高的要求。

參考文獻(xiàn)

［1］孫林紅，葉頂鋒，馮登國．無線PKI體系的設(shè)計(jì)．中國科學(xué)院研究生院學(xué)報(bào)，2002.19(3):223～228

［2］WirelessApplicationProtocolForum．Version24-Apr-2001．WirelessApplicationProtocolPublicKeyInfrastructureDefinition

［3］Symeon(Simos)XenitellisOpenCATeamVersion2.4.6Edition，2000．TheOpen–sourcePKIBook:AguidetoPKIsandOpen–sourceImplementations

［4］張平．第三代蜂窩移動通信系統(tǒng)-WCDMA．北京：北京郵電大學(xué)出版社2001，19～22

［5］隋愛芬，楊義先．第三代移動通信系統(tǒng)的安全．世界電信，2003，5：37～40

［6］肖寧．WCDMA系統(tǒng)接入安全機(jī)制的研究．重慶郵電學(xué)院學(xué)報(bào)，2004.16（3）：43～46

［7］林德敬，林柏鋼，林德清．3GPP系統(tǒng)全系列信息安全及其算法設(shè)計(jì)與應(yīng)用．重慶郵電學(xué)院學(xué)報(bào)，2003，15（4）：18～23

［8］AndrewNash，WilliamDuane，CeliaJoseph，DerekBrink著；張玉清，陳建奇，楊波，薛偉譯．公鑰基礎(chǔ)設(shè)施（PKI）實(shí)現(xiàn)和管理電子安全．北京：清華大學(xué)出版社2002，255～314

［9］3GPPTechnicalSpecification33.102V6.3.0,2004-12.3GSecurityarchitecture[S].

［10］李世鴻，李方偉．3G移動通信中的安全改進(jìn)．重慶郵電學(xué)院學(xué)報(bào)，2002.14（4）：24～32

［11］姚惠明．鑒權(quán)理論和技術(shù)研究：[博士學(xué)位論文]．北京：北京郵電大學(xué)，2003

［12］左益強(qiáng)．無線環(huán)境中身份匿名認(rèn)證機(jī)制的研究：[碩士學(xué)位論文]．上海：復(fù)旦大學(xué)，2003