『壹』 第三代移動通信(3G)的安全性分析
網路文庫就有的啦
你可以去看下哦
或者網路一下你就知道啦
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
USIM中的鑒權處理原理
首先計算AK,並從AUTN中將序列號恢復出來,SQN=(SQN①AK)①AK;USIM計算出XMAC,將它與AUTN中的MAC值進行比較。如果不同,用戶發送一個「用戶認證拒絕」信息給VLR/SGSN,放棄該鑒權過程。在這種情況下,VLR/SGSN向HLR發起一個「鑒權失敗報告」過程,然後由VLR/SGSN決定是否重新向用戶發起一個鑒權認證過程。
同時,用戶還要驗證接收到的序列號SQN是否在有效的范圍內,若不在,MS向VLR發送同步失敗消息,並放棄該過程。
如果XMAC和SQN的驗證都通過,那麼USIM計算出RES,發送給VLR/SGSN,比較RES是否等於XRES,如果相等,網路就認證了用戶的身份。
最後,用戶計算出CK和IK。
2.2 UMTS的加密機制
在上述雙向鑒權過程中產生的CK,在核心網和用戶終端間共享。CK在RANAP消息「安全模式命令」中傳輸,RNC獲得CK後就可以通過向終端發送RRC安全模式命令,並開始進行加密。
UMTS的加密機制是利用加密演算法f8生成密鑰流(偽隨機的掩碼數據),明文數據再和掩碼數據進行逐比特相加產生密文,然後以密文的方式在無線鏈路上傳輸用戶數據和信令信元,接收方在收到密文後,再把密文和掩碼數據(同加密時輸入參數一樣,因此產生的掩碼數據也一樣)逐比特相加,還原成明文數據,即解密。
2.3 UMTS的完整性保護機制
為防止侵入者假造消息或篡改用戶和網路間的信令消息,可以使用UMTS的完整性保護機制來保護信令的完整性。完整性保護在無線資源控制(RRC)子層執行,同加密一樣,在RNC和終端之間使用。IK在鑒權和密鑰協商過程中產生,IK也和CK一起以安全模式命令傳輸到RNC。
UMTS的完整性保護機制是發送方(UE或RNC)將要傳送的數據用IK經過f9演算法產生的消息鑒權碼MAC附加在發出的消息後。接收方(RNC或UE)收到消息後,用同樣的方法計算得到XMAC。接收方把收到的MAC和XMAC相比較,如果兩者相等,說明收到的消息是完整的,在傳輸過程中沒有被修改。
3、2G/3G網路共存時的漫遊用戶鑒權
2G與3G網路共存是目前移動通信向3G過渡必然要經歷的階段。由於用戶通過SIM卡或USIM使用雙模式手機可同時接入到2G和3G網路,當用戶在2G和3G共存的網路中漫遊時,網路必須為用戶提供必要的安全服務。由於2G和3G系統用戶安全機制之間的繼承性,所以可以通過2G和3G網路實體間的交互以及2G和3G安全上下文之間的轉換運算來實現不同接入情況下用戶的鑒權。
3.1 UMTS漫遊用戶的鑒權
在2G和3G共存網路中,UMTS漫遊用戶鑒權按以下方式進行:
a)通過UTRAN接入時,使用3G鑒權。
b)當使用3G移動台和3G MSC/VLR或SGSN通過GSM BSS接入時,使用3G鑒權機制。其中GSM密鑰從UMTS CK和IK計算獲得。
c)當使用2G移動台或2G MSC/VLR或SGSN通過GSM BSS接入時,使用GSM鑒權機制。其中用戶響應SRES和GSM密鑰從UMTS SRES、CK和IK得到。
UMTS漫遊用戶的鑒權過程包括以下幾個步驟(見圖4):
圖4 漫遊UMTS用戶在2G/3G網路中的鑒權
a)當HLR/AuC收到VLR/SGSN的鑒權數據請求消息時,將根據用戶鑰匙K生成一組3G鑒權矢量,包擴RAND、XRES、AUTN、CK和IK。
b)鑒權矢量的分發會根據請求鑒權數據的VLR/SGSN的類型而不同。如果請求鑒權數據的是3G VLR/SGSN,將直接接收HLR/AuC的3G鑒權矢量,並將它存儲起來;而當請求鑒權的是2G VLR/SGSN時,HLR/AuC會將3G鑒權矢量轉化為GSM鑒權三元組,2G VLR/SGSN將這組鑒權三元組存儲起來。
c)當UMTS通過UTRN接入時,VLR/SGSN直接進行3G鑒權,為用戶建立3G安全上下文。
d)當UMTS用戶通過2G接入網接入時,根據控制鑒權的VLR/SGSN類型和用戶設備類型的不同,使用的鑒權矢量可以是3G鑒權矢量,也可以是GSM鑒權三元組。當控制接入的是3G VLR/SGSN時,如果用戶使用的是3G用戶設備,VLR/SGSN和用戶之間執行3G鑒權過程,雙方協議CK和IK作為3G安全上下文,並存儲在USIM中,然後用戶設備和VLR/SGSN同時計算出Kc,並用它在以後的信令過程中對空中數據進行保護。如果此時用戶設備是2G,VLR/SGSN取出UMTS鑒權矢量對用戶鑒權時,先通過前述演算法計算出GSM鑒權三元組,然後將RAND發送到USIM,USIM通過3G鑒權演算法得到與鑒權矢量中相同的XRES、CK和IK,計算出2G的SRES和Kc,再將SRES發回到VLR/SGSN進行比較後,將Kc用作空中數據的加密。如果控制接入的是2G VLR/SGSN,則VLR/SGSN取出一個存儲的GSM鑒權三元組,將其中的RAND發送到用戶,USIM通過3G鑒權演算法得到XRES、CK和IK,再同樣計算出2G的SRES和Kc,在對SRES進行比較後,密鑰Kc協商成功。
3.2 GSM SIM漫遊用戶的鑒權
GSM SIM漫遊用戶的鑒權流程如圖5所示。
圖5 GSM SIM漫遊用戶的鑒權流程
由於GSM SIM用戶只支持GSM系統安全特性,所以鑒權過程必然是GSM系統的。具體步驟如下:
a)當VLR/SGSN向用戶歸屬2G HLR/AuC請求鑒權數據時,HLR/AuC生成一組GSM鑒權三元組。
b)HLR/AuC向請求鑒權數據的VLR/SGSN分發鑒權三元組,不管VLR/SGSN是2G還是3G類型的,VLR/SGSN會將這組鑒權三元組存儲起來,然後取出一個鑒權三元組對用戶進行鑒權。
c)如果用戶通過UTRAN接入,控制接入的3G VLR/SGSN同2G用戶之間進行GSM的鑒權過程後,在SIM卡上存儲了密鑰Kc。VLR/SGSN和用戶終端設備同時通過Kc計算出UMTS的CK和IK,然後3G VLR/SGSN將利用CK和IK為用戶提供安全保護,但由於此時用戶安全特性的核心仍是GSM密鑰Kc,所以用戶並不具備3G的安全特性。
d)當用戶通過2G接入網接入時,控制的VLR/SGSN(2G或3G)直接執行GSM鑒權過程,建立GSM安全上下文。
注意:為了支持2G鑒權和3G鑒權的兼容性,3G HLR必須支持3G鑒權5元組向2G鑒權3元組的轉換功能;3G MSC必須支持3G鑒權5元組和2G鑒權3元組之間的雙向轉換功能。
4、移動通信安全的進一步完善
隨著通信技術的不斷發展,移動通信系統在各個行業得到廣泛應用,因此對通信安全也提出了更高的要求。未來的移動通信系統安全需要進一步的加強和完善。
4.1 3G的安全體系結構趨於透明化
目前的安全體系仍然建立在假定內部網路絕對安全的前提下,但隨著通信網路的不斷發展,終端在不同運營商,甚至異種網路之間的漫遊也成為可能,因此應增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,更應盡量減少或避免網路內部人員的干預性。未來的安全中心應能獨立於系統設備,具有開放的介面,能獨立地完成雙向鑒權、端到端數據加密等安全功能,甚至對網路內部人員也是透明的。
4.2 考慮採用公鑰密碼體制
在未來的3G網路中要求網路更具有可擴展性,安全特性更加具有可見性、可操作性的趨勢下,採用公鑰密碼體制,參與交換的是公開密鑰,因而增加了私鑰的安全性,並能同時滿足數字加密和數字簽名的需要,滿足電子商務所要求的身份鑒別和數據的機密性、完整性、不可否認性。因此,必須盡快建設無線公鑰基礎設施(WPKI),建設以認證中心(CA)為核心的安全認證體系。
4.3 考慮新密碼技術的應用
隨著密碼學的發展以及移動終端處理能力的提高,新的密碼技術,如量子密碼技術、橢圓曲線密碼技術、生物識別技術等已在移動通信系統中獲得廣泛應用,加密演算法和認證演算法自身的抗攻擊能力更強健,從而保證傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4 使用多層次、多技術的安全保護機制
為了保證移動通信系統的安全,不能僅依靠網路的接入和核心網內部的安全,而應該使用多層次、多技術相結合的保護機制,即在應用層、網路層、傳輸層和物理層上進行全方位的數據保護,並結合多種安全協議,從而保證信息的安全。
今後相當長一段時期內,移動通信系統都會出現2G和3G兩種網路共存的局面,移動通信系統的安全也面臨著後向兼容的問題。因此,如何進一步完善移動通信系統的安全,提高安全機制的效率以及對安全機制進行有效的管理,都是今後亟需解決的問題。
1、防火牆
防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
防火牆技術的功能主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護。
同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網路使用體驗。
主要是在兩個網路之間做隔離並需要數據交換,網閘是具有中國特色的產品。