跨平臺的移動通信安全體系的實現方法

2023-05-01 07:31:51 1

專利名稱：跨平臺的移動通信安全體系的實現方法
技術領域：
本發明涉及移動通信安全技術領域，特別是涉及一種跨平臺的移動通信安全 體系的實現方法。
背景技術：
移動通信系統安全威脅的挑戰，主要表現在以下幾個方面
① 未授權接入數據
如入侵者可能在無線接口上竊聽用戶數據；也可能在無線接口上竊聽信令數 據或控制數據，或其他在導致對系統的主動攻擊方面有用的信息；也可能在無 線接口上以截獲用戶數據、信令數據或控制數據；入侵者可能觀察在無線接口 上消息的時間、速率、長度、信源和信宿來獲取接入信息，以進行被動的業務 分析或主動發起的主動的業務分析。
② 對完整性的威脅
如入侵者可能在無線接口上修改、插入、重放或刪除用戶數據、信令數據或
控制數據，包括有意或無意的破壞。
③ 拒絕業務攻擊
如入侵者可能通過物理方法或通過引入特殊的協議從而阻塞用戶業務、信令 數據或控制數據在無線接口上傳輸，或偽裝成通信參與者的拒絕業務。
④ 未授權接入業務
裝扮成用戶，使用未授權於用戶的業務，或裝扮成一個本地環境、服務網或 服務網基本結構的一部分，目的是應用未授權用戶的接入嘗試以獲得接入業務。
⑤ 竊取數據機密
如入侵者可在終端或UICC/USIM上竊取某些用戶或業務提供者存儲的機密 數據，如認證密鑰等。
2G主要有基於時分多址(TDMA)的GSM系統、DAMPS系統及基於碼分多 址(CDMA)的CDMAone系統，這兩類系統安全機制的實現有很大區別，但都是 基於私鑰密碼體制，採用共享秘密數據(私鑰)的安全協議，實現對接入用戶的認 證和數據信息的保密。2.5G的無線通信網絡除帶寬較之2G更為優越外，安全 機制也得到了一定的提高。目前，2.5G網絡主要有兩種GPRS和CDMA20001X， 安全機制較GSM改動不是很大。3G系統的安全體制是建立在2G的基礎上的，
6在2G系統加GSM系統中已被證明是必須和穩健的安全元素將被繼續採用，而 在2G系統中的安全弱點則在3G系統中予以改進，最終提供全新的安全性能和 業務。
因為2.5G是2G到3G的過渡性網絡，本質上它的安全性級別，甚至安全機 制與2G基本一樣，它存在的安全隱患與2G網絡也如出一轍，所以在這裡，一 起分析了2G與2.5G的安全機制，存在以下問題
① 密鑰傳輸的問題對稱密鑰kc，國際移動用戶識別碼imsi,隨機數RAND， 期望響應SRES是明文傳輸的。
② 完整性問題沒有提供一個完整性算法，GSM沒有機制保證MS和SN 之間的傳輸數據不會被篡改。
③ 單方鑑定只提供了對MS的鑑定，而沒有提供對SN的鑑定，這就使得 入侵者可能會偽裝成SN而騙取MS的信任。
④ 功能較弱的密碼機制採用64bit長度的密鑰，並且按慣例，最高的10bit 要求設置為0，這樣有效長度就成了 54bit，而這個長度安全性顯然不夠。
2G與2.5G採用了一些加密算法，而這些算法的安全性取決於這些算法本 身是否能被保密，而實事上，compl28系列已經被破解。
3G與以往的移動通信系統相比，在安全性方面有了很大的提高，但是3G 仍能存在一些安全缺陷，表現在以下幾個方面
① IMSI明文傳輸在3G的認證方案中，使用臨時身份標識來鑑別用戶， 提供了一定程度的匿名性。但當用戶第一次註冊到一個服務網絡或無法從TMSI 中得到IMSI時，伺服器向用戶發送IMSI請求，用戶的應答是包含IMSI信息的 純文本，易造成用戶IMSI信息的洩漏。
② 漫遊中易被攻擊由於用戶在不同的PLMN(公共陸地移動網)之間漫遊， 這些不同PLMN分屬不同的地域，為了對用戶進行鑑權認證，本地網絡(HE/ HLR)會把用戶的鑑權五元組發送到漫遊的網絡的VLR7 SGSN ，在這個過程 中，用戶鑑權向量組穿過不同的網絡,容易受到攻擊。
③ UE未對vlr/SGSN進行鑑權驗證在雙向驗證中，實際進行的是UE與 HE之間的鑑權認證，而對VLR/SGSN的合法性，並未加以確認。
對於跨平臺的移動通信安全體系來說，需要達到的目標是增強現行2G網絡 加密強度；雙向鑑權；規避明文傳輸；平臺無關；提供完整性保護。這正是本 發明所要達到的目標。 發明內容本發明的目的在於提供一種跨平臺的移動通信安全體系的實現方法。 本發明解決其技術問題採用的技術方案如下
一種跨平臺的移動通信安全體系的實現方法，該方法的步驟如下
1) 網絡構建
移動通信安全體簡稱為SAMC，在不改變原有網絡結構的情況下，在核心 網中，增加HSE設備，用以增強網絡安全和特權服務，而HSE設備的加入，對 於VLR和HE幾乎是透明的，它並不影響現有網絡以及下一代網絡3G的正常 使用；對於普通的SIM或者USIM卡而言，並不會感覺到該設備，也不會與之 作鑑權運算。而對於專用的IME， HSE提供了CA認證，完整性保護，VLR鑑 權，端對端認證；
2) SAMC中的接入認證
整個認證過程，涉及四個網絡實體，三組雙向認證；
四個網絡實體是IME， VLR/SGSN, HSE(SC,CA)，HE(HLR，AuC);
三組認證VLR/SGSN和HSE的雙向認證，IME和HSE雙向認證，IME與 VLR/SGSN的雙向認證；
HSE和HE之間未作認證處理，實事上HSE與HE應該同屬本地，甚至捆 綁在一個組裡，它們之間的信任關係應該單獨處理，在IME認證期間，HSE和 HE之間屬於可信捆綁；
認證過程分析如下
(1) IME發起認證，向VLR/SGSN發送REQ1 ， HRAND ， REQt 。 REQl=Hih(PBca,RAND) REQi)，其中，REQi=IME摘要l數字籤名，PBca是 HSE的公鑰，t為時間戳，全長128bit,HRAND為隨機數，全長128bit， HRAND=HSAND,REQt=(Hiv( PBca，HAND) @t;
(2) VLR/SGSN對IME發送的REQ1，取出HRAND ， REQt=(Hiv( PBca,HRAND) t)，用內置函數Hiv作解密處理，計算 Vt=Hiv(PBca，HRAND) (t+l)，附力口REQ2轉發至HSE ， REQ2=Hvh(PBca) REQv，REQv=VLR/SGSN摘要l數字籤名；
(3) HSE中SC收至U HRAND,REQ1,REQ2，用Hih和Hvh函數得到 REQi,REQv， SC查詢CA得到對應的IME的公鑰Hi2和VLR/SGSN的公鑰Hv2， 確認IME和VLR/SGSN的身份，如果IME與VLR/SGSN身份確認，SC讀取存 Jfc的IMSI/TMSI,轉發IMSI/TMSI到HE,同時計算
HASWi=hih(PBca，HRAND) REQh， HASWv=hvh(PBca,HRAND) @ REQh，
8REQh= HSE摘要l數字籤名，計算出完整性驗證密鑰HIK^hik(IMSI，HRAND)，計 算VHIK= hvh(PBca,HRAND) HIK，計算出加密密鑰HCK=hck(IMSI,HRAND), 計算VHCK= hvh(PBca，HRAND)④HCK，最後向HE轉發IME的IMSI;
(4) HE讀取IMSI/TMSI判斷IME的合法性，如果合法，發送鑑權矢量AV 到HSE;
(5) HSE發送AV、 HASWi、 HASWv,VHIK,VHCK到VLR/SGSN;
(6) VLR/SGSN根據網絡類型讀出RAND和AUTN(3G)， XRES,用Hvh函數 得到HSE摘要l數字籤名,驗證HSE的合法性,如果驗證無誤,利用Hvh函數算出 完整性控制密鑰HIK,加密密鑰HCK，向IME發送RAND、 AUTN(3G)、 vt、 HASWi;
(7) IME收到RAND、 AUTN(3G)、 vt、 HASWi，用Hih函數得到HSE摘要| 數字籤名判斷HSE是否合法，計算Hiv(PBca，HRAND)eVt是否等於t+l，確定 HSE和VLR/SGSN合法後，計算HIK^hik(IMSI,HRAND)用於數據的完整性計 算，計算出加密密鑰HCK^hck(IMSI，HRAND)用於數據加密，計算RES，返回給 VLR;
至此，認證結束，IME可以安全接入網絡；
整個的認證過程，用到了如下函數和變量，現在作以說明
PBca: HSE的公鑰，在無線網絡中公開；
t:時間戳，全長128bit，用於鑑定VLR/SGSN合法性；
HRAND: IME端產生的隨機數，輔助各加密算法使用；
REQ1:發向VLR和HSE的認證變量；
REQi: IME摘要I數字籤名，用來表明IME的合法性；
EQRS: —個IME產生的隨機數，用於判斷VLR/SGSN的合法性；
REQ2: VLR/SGSN發向HSE的認證變量；
REQv: VLR/SGSN摘到數字籤名，用來表明VLR/SGSN的合法性； REQh: HSE摘要I數字籤名，用來表明HSE的合法性； IME摘要定長明文，配合IME數字籤名使用；
IME數字籤名128bit散列，採用MD5算法生成，要求MD5(IME摘要)
後與IME數字籤名一致；
VLR/SGSN摘要定長明文，配合VLR/SGSN數字籤名使用； VLR/SGSN數字籤名128bit散列，採用MD5算法生成，要求
MD5(VLR/SGSN摘要)後與VLR/SGSN數字籤名一致；HSE摘要定長明文，配合HSE數字籤名使用；
HSE數字籤名128bit散列，採用MD5算法生成，要求MD5(HSE摘要) 後與HSE數字籤名一致；
EQRS:隨機數，全長128bit;
HIK:完整性算法密鑰，用於驗證數據的完整性；
HCK:加密算法密鑰，用於傳輸網絡中的密文；
HSANDO:隨機數生成函數，用以保證密碼驗證的新鮮，保存在IME端； Hih:密鑰導出函數，用於處理IME與HSE之間的身份驗證，在IME與 HSE之間共享；
Hiv:密鑰導出函數，用於處理IME與VLR/SGSN之間的身份驗證，在IME 與VLR/SGSN之間共享；
Hvh:密鑰導出函數，用於處理VLR/SGSN與HSE之間的身份驗證，在 VLR/SGSN與HSE之間共享；
3)錯誤事件處理
在上面對認證過程的描述中，闡述的是整個的流程，而並未就在此過程中 發生的異常做進一步的分析；
(1) 完整性檢測失敗
作為一個通用的安全原則，帶有不正確的完整性檢測值的信息不需更進一 步的通告就應該丟棄。如果一個用戶不小心使用了錯誤的密鑰，而在完整性檢 測出錯之前，其他認證錯誤就已經提前發生了；
(2) 認證失敗
如果HSE驗證IME數字籤名錯誤，則返回IME非法的錯誤信息；
如果HSE驗證VLR/SGSN數字籤名錯誤，向IME返回VLR/SGSN身份無 法鑑定信息，由VLR/SGSN自行處理；
如果VLR/SGSN無法解析IME發送的時間戳t,向IME返回VLR/SGSN無 法與IME同步信息；
如果VLR/SGSN無法鑑別HSE的身份，向IME返回HSE身份VLR/SGSN 無法鑑別；
如果IME解析VLR7SGSN返回的時間戳不等於t+l,則VLR/SGSN為不正確 接入點；
如果IME無法鑑別HSE的身份，則顯示HSE不可信； 如果用戶認證失敗(RES與XRES不符)， 一個通告將會返回到IME，註冊被取消；
如果網絡認證失敗是因為在AUTN中的MAC不正確，那麼事件在網絡中 有所顯示，並且取消註冊是；
如果網絡認證失敗是因為在AUTN中的SQN不被IME所接受，那麼再次 產生同步；
如果在一定時間內未接到響應，則可以判斷為認證失效；
4) 端到端的認證 認證過程說明
(1) IMEl向IME2發起會話申請，申請中附帶IME1的CA證書；
(2) IME2收到申請後，在本端檢查證書合法性，如果沒有IME1的證書，則 向CA端提出申請，CA確認IME1的證書後，返回給IME2;
(3) IME2證明IME1的證書有效後，向IME1發出確認，並附帶IME2的CA 證書；
(4) 同樣IME1收到確認後，在本端檢查證書合法性，如果沒有IME2的證書， 則向CA端提出申請，CA確認IME2的證書後，返回給IME1;
(5) IME1證明IME2的證書有效後，雙方的認證結束，可以放心對話了
5) 加密和完整性控制
SAMC系統中定義了自己的完整性驗證函數HI0和加密函數HCOO，主要 是彌補GSM中缺少的完整性驗證和加密算法單薄的缺點，而對於UMTS，上述 兩個算法不予啟動。這兩個算法對於GSM用戶也是可選的,IME分別與RNC(無 線網絡控制器)共享上述算法。
本發明與背景技術相比，具有的有益的效果是
本發明是一種跨平臺的移動通信安全體系的實現方法，其主要功能是提出 建立一套全新的與平臺無關的移動通信安全體系的方法，主要是依靠加強密鑰， 更新加密算法，引入CA認證等一系列的辦法來實現。本方法實現了增強密鑰強 度，雙向鑑權，規避明文傳輸，平臺無關以及完整性保護，為用戶提供一個健 全的安全體系。
(1) 安全性。本方法針對現有的安全體系的弱點提出了解決的方法，實現了 增強密鑰強度，雙向鑑權，規避明文傳輸，平臺無關以及完整性保護，有利於 移動通信的安全性。
(2) 實用性。本方法應用在現行和未來無線通信網絡的安全平臺，它本身對 運載網絡沒有特殊要求。
ii

圖1是本發明的實施過程示意圖； 圖2是本發明的SAMC網絡結構圖； 圖3是本發明的SAMC安全認證過程示意圖； 圖4是本發明的SAMC系統加密函數關係圖； 圖5是本發明的UMTS五元組定義圖； 圖6是本發明的SAMC中端到端認證過程示意圖； 圖7是本發明的SAMC中的加解密函數HIO示意圖； 圖8是本發明的SAMC中的完整性驗證函數HCO示意圖。
具體實施例方式
本發明是一種跨平臺的移動通信安全體系的實現方法，下面結合圖1說明 本發明的具體實現流程 l)網絡構建
移動通信安全體系(Security Architecture for Mobile Communication),下面簡 稱為SAMC。 GSM (GPRS)的網絡和UMTS的網絡實體綜合為UE(User Equipment)用戶設備，USIM(Universal Subscriber Identify Module)通用用戶標識 模塊，SIM(Subscriber Identify Module)用戶識別模塊，VLR(Visitor Register)拜訪 位置寄存器，MSC(Mobile Switching Centre)移動交換中心，SGSN(Servering GPRS Support Node)GPRS服務支持節點，BS(Base Transceiver Station)基站收發器(GSM 為BTS， UMTS為NODE B)， HE(Home Environment)歸屬環境，RNC(Radio Network Control)無線網絡控制器。
上面所呈現的是GSM(GPRS)和UMTS中安全接入中所涉及的網絡實體， SAMC以此為基礎，它額外需要三個實體支持①智慧型手機(Intelligent Mobile Equipment),以下簡稱IME;②安全中心(Security Center),以下簡稱SC;③認 證中心(Certification Authority),以下簡稱CA。其中SC與CA構成一個歸屬安 全環境(Home Security Environment)，以下簡稱為HSE。
下面就這三個網絡實體，作以說明
(l)IME:這裡所講的IME包括兩個部分， 一個是設備，即手持終端，另一個 是IC卡，即傳統的SIM和下一代的USIM，在SAMC系統中，我們認為二者作 為一個整體出現，即總體定義為IME。 IME中除了存貯傳統網絡中所需要的元 素外(如GSM、 GPRS、 UMTS所規定的常量、加密函數)，為提高安全性，IME 中還應該提供SAMC所額外增加的安全機制，SAMC需要進行額外的編碼和完
12整性控制，所以移動終端必須擁有一個強大的處理器和比較多的內存。本安全
機制要求一個智慧型手機和USIM/SIM卡支持。
(2) SC:每一個UMTS/GSM的HE/HLR配置一個SC， SC有這麼幾方面 的作用1、區別對待SAMC體系與非SAMC體系；2、驗證IME的合法性；3、 驗證VLR/SGSN的合法性；4、提取IMSI，與HE進行對話。SC被用來處理來 自於移動終端的請求。保證SAMC的安全性。
(3) CA: CA為SC提供認證和保密服務。這裡的CA有兩個作用， 一是 對GSM和UMTS中未加驗證的網絡實體加以驗證，二是以數字證字代替原本 在網絡中傳輸的明文，如IMSI。
SC和CA認證被稱為IME的本地安全環境(home security environment—HSE)。如上所述，每一個HSE都對應的一個原網絡中的HE/HLR, 原本VLR/MSC/SGSN直接訪問HE替換為先訪問HSE ，由HSE對 VLR/MSC/SGSN作鑑權處理，並且根據情況提取UE的IMSI,對UE作出特權 判斷，如合法則將VLR/MSC/SGSN傳遞的參數，轉遞至HE。
SAMC網絡結構圖如圖2所示。其中IME (Intelligent Mobile Equipment)智 能手機，VLR(Visitor Register)拜訪位置寄存器，MSC(Mobile Switching Centre) 移動交換中心，SGSN(Servering GPRS Support Node)GPRS服務支持節點， BS(Base Transceiver Station), HE(Home Environment)歸屬環境，HLR(HOME Location Register)歸屬位置寄存器，AuC(Authentication Centre)認證中心， RNC(Radio Network Control)無線網絡控制器，HSE (home security environment) 歸屬安全環境，SC(Security Center)安全中心，CA(Certification Authority)認證中 心。
SAMC在不改變原有網絡結構的情況下，在CN(CENTRE NETWORK)核心 網中，增加HSE設備，用以增強網絡安全和特權服務，而HSE設備的加入，對 於VLR和HE幾乎是透明的，它並不影響現有網絡以及下一代網絡3G的正常 使用。對於普通的SIM或者USIM卡而言，並不會感覺到該設備，也不會與之 作鑑權運算。而對於專用的IME， HSE提供了CA認證，完整性保護，VLR鑑 權，端對端認證。
2)SAMC中的接入認證
作為一個終端要進行通信的話，必須滿足接入服務網絡，而接入的安全性 保障無疑是整個體系的基石下面，下面就SAMC的認證過程加以講解。這裡要 說明的是，SAMC會根據UE的不同，採取透明和處理兩種方式。透明狀態是指當UE端為傳統的用戶識別模塊SIM和UMTS中的通用用戶識別模塊 USIM，SAMC體系中HSE裡的安全中心SC中是轉發VLR/MSC/SGSN的信念， 本身不做任何處理；處理方式是當UE端採用SAMC體系中所定義的IME時， 針對當前所依託的通信網絡採取一定的安全機制。對於透明方式，因為過程簡 單明了，這裡不做詳細講解，主要介紹下在UE端為SAMC體系中定義的IME 時，SAMC的安全認證過程如圖3所示。 認證過程說明
整個認證過程，涉及四個網絡實體，三組雙向認證 四個網絡實體是IME， VLR/SGSN， HSE(SC，CA),HE(HLR,AuC) 三組認證VLR/SGSN和HSE的雙向認證，IME和HSE雙向認證,IME與
VLR/SGSN的雙向認證
HSE和HE之間未作認證處理，實事上HSE與HE應該同屬本地，甚至捆
綁在一個組裡，它們之間的信任關係應該單獨處理，在IME認證期間，HSE和
HE之間屬於可信捆綁。 認證過程分析如下
(DIME發起認證，向VLR/SGSN發送REQ1 ， HRAND ， REQt 。 REQl-Hih(PBca,RAND)④REQi)，其中，REQi=IME摘要l數字籤名，PBca是 HSE的公鑰,t為時間戳，全長128bit,HRAND為隨機數，全長128bit， HRAND=HSAND，REQt=(Hiv( PBca,HAND) t。
(2) VLR/SGSN對IME發送的REQ1,取出HRAND ， REQt=(Hiv( PBca，HRAND)④t)， 用內置函數Hiv作解密處理，計算 Vt=Hiv(PBca,HRAND)@(t+1)，附力[]REQ2轉發至HSE 。 REQ2=Hvh(PBca) @ REQv,REQv=VLR7SGSN摘要l數字籤名。
(3) HSE中SC收到HRAND，REQ1，REQ2，用Hih和Hvh函數得到 REQi,REQv， SC查詢CA得到對應的IME的公鑰Hi2和VLR/SGSN的公鑰Hv2， 確認IME和VLR/SGSN的身份,如果IME與VLR/SGSN身份確認，SC讀取存 貯的 IMSI/TMSI， 轉發 IMSI/TMSI 至lj HE， 同時計算 HAS Wi-hih(PBca,HRAND) @ REQh ， HASWv-hvh(PBca,HRAND) REQh，REQh- HSE摘要l數字籤名，計算出完整性 驗證密鑰HIK-hik(IMSI,HRAND)，計算VfflK- hvh(PBca,HRAND) HIK，計算 出加密密鑰HCK-hck(IMSI,HRAND)，計算VHCK= hvh(PBca,HRAND) HCK, 最後向HE轉發IME的IMSI。(4) HE讀取IMSI/TMSI判斷IME的合法性，如果合法，發送鑑權矢量AV 至U HSE
(5) HSE發送AV、 HASWi、 HASWv，VHIK,VHCK到VLR/SGSN
(6) VLR/SGSN根據網絡類型讀出RAND和AUTN(3G), XRES，用Hvh函數得 到HSE摘要l數字籤名，驗證HSE的合法性,如果驗證無誤，利用Hvh函數算出完 整性控制密鑰HIK，加密密鑰HCK，向IME發送RAND、 AUTN(3G)、 vt、 HASWi
(7) IME收到RAND、 AUTN(3G)、 vt、 HASWi，用Hih函數得到HSE摘要| 數字籤名判斷HSE是否合法，計算Hiv(PBca，HRAND)eVt是否等於t+l，確定 HSE和VLR/SGSN合法後，計算HIK-hik(IMSI,HRAND)用於數據的完整性計 算，計算出加密密鑰HCK-hck(IMSI，HRAND)用於數據加密,計算RES，返回給 VLR
至此，認證結束，IME可以安全接入網絡。
整個的認證過程，用到了如下函數和變量，現在作以說明
PBca: HSE的公鑰，在無線網絡中公開
t:時間戳，全長128bit，用於鑑定VLR/SGSN合法性
HRAND: IME端產生的隨機數，輔助各加密算法使用
REQ1:發向VLR和HSE的認證變量
REQi: IME摘要I數字籤名，用來表明IME的合法性
EQRS: —個IME產生的隨機數，用於判斷VLR/SGSN的合法性
REQ2: VLR/SGSN發向HSE的認證變量
REQv: VLR/SGSN摘要傲字籤名，用來表明VLR/SGSN的合法性 REQh: HSE摘要I數字籤名，用來表明HSE的合法性 IME摘要定長明文，配合IME數字籤名使用
IME數字籤名128bit散列，採用MD5算法生成，要求MD5(IME摘要)後 與IME數字籤名一致
VLR/SGSN摘要定長明文，配合VLR/SGSN數字籤名使用
VLR/SGSN數字籤名128bit散列，採用MD5算法生成，要求 MD5(VLR/SGSN摘要)後與VLR/SGSN數字籤名一致
HSE摘要定長明文，配合HSE數字籤名使用
HSE數字籤名128bit散列，採用MD5算法生成，要求MD5(HSE摘要) 後與HSE數字籤名一致
EQRS:隨機數，全長128bitHIK:完整性算法密鑰，用於驗證數據的完整性 HCK:加密算法密鑰，用於傳輸網絡中的密文
HSAND:隨機數生成函數，用以保證密碼驗證的新鮮，保存在IME端 Hih:密鑰導出函數，用於處理IME與HSE之間的身份驗證，在IME與HSE 之間共享；
Hiv:密鑰導出函數，用於處理IME與VLR/SGSN之間的身份驗證，在IME 與VLR/SGSN之間共享；
HvhO:密鑰導出函數，用於處理VLR/SGSN與HSE之間的身份驗證，在 VLR/SGSN與HSE之間共享；
以上SAMC系統定義的加密函數關係表現如圖4所示。
IME端產生時間戳變量T和隨機數HRAND， HRAND和CA中心的公鑰 PBca作為Hiv， Hih， Hvh加密函數的參數。
另外，AV矢量為GSM和UMTS所定定義的矢量，其中GSM為RAND， SRES， KC，而UMTS為RAND， XRES， CK， IK， AUTN。可以證明3G網中， GSM的三元組可以由UMTS五元組構成，UMTS的五元組定義，如圖5所示。
3)錯誤事件處理
在上面對認證過程的描述中，闡述的是整個的流程，而並未就在此過程中 發生的異常做進一步的分析。
(1) 完整性檢測失敗
作為一個通用的安全原則，帶有不正確的完整性檢測值的信息不需更進一 步的通告就應該丟棄。如果一個用戶不小心使用了錯誤的密鑰，而在完整性檢 測出錯之前，其他認證錯誤就已經提前發生了。
(2) 認證失敗
如果HSE驗證IME數字籤名錯誤，則返回IME非法的錯誤信息；
如果HSE驗證VLR/SGSN數字籤名錯誤，向IME返回VLR/SGSN身份無 法鑑定信息，由VLR/SGSN自行處理
如果VLR/SGSN無法解析IME發送的時間戳t,向IME返回VLR/SGSN無 法與IME同步信息。
如果VLR/SGSN無法鑑別HSE的身份，向IME返回HSE身份VLR/SGSN 無法鑑別。
如果IME解析VLR/SGSN返回的時間戳不等於t+l,則VLR/SGSN為不正確 接入點。
16如果IME無法鑑別HSE的身份，則顯示HSE不可信。 如果用戶認證失敗(RES與XRES不符)， 一個通告將會返回到IME，註冊被 取消；
如果網絡認證失敗是因為在AUTN中的MAC不正確，那麼事件在網絡中 有所顯示，並且取消註冊是；
如果網絡認證失敗是因為在AUTN中的SQN不被IME所接受，那麼再次 產生同步
如果在一定時間內未接到響應，則可以判斷為認證失效。 從上面認證過程，可以看到SAMC並未破壞移動通信系統結構，只是在 VLR/SGSN中增加了兩個密鑰導出函數，Hiv和Hvh，用於增強安全性。移動 通信系統作為SAMC的最底層。它的作用就是被SAMC調用。SAMC是一套平 臺無關的系統，可以應用在不同的通信網絡，如GSM、 GPRS和UMTS下。
4) 端到端的認證
在SAMC體系中，引入第三方認證機制，由HSE負責端對端的認證，整個 處理過程如圖6所示。 認證過程說明
① IME1向IME2發起會話申請，申請中附帶IME1的CA證書
② IME2收到申請後，在本端檢査證書合法性，如果沒有IME1的證書，則 向CA端提出申請，CA確認IME1的證書後，返回給IME2
③ IME2證明IME1的證書有效後，向IME1發出確認，並附帶IME2的CA
證書
同樣IME1收到確認後，在本端檢查證書合法性，如果沒有IME2的證書， 則向CA端提出申請，CA確認IME2的證書後，返回給IME1
⑤IME1證明IME2的證書有效後，雙方的認證結束，可以放心對話了 當然，對話的前提是會話密鑰一致性協商已經完成，這個可以參見前面的 接入認證過程。
整個認證過程，清晰明了，採用了CA認證後，能夠有效的降低用戶端負擔 和網絡負載，並且管理規範，安全性得到極大提高的同時，也為日後的升級提 供了便利，因為整個安全的核心不在UE端，而在HSE的CA中心，這就使得 可以動態的對安全機制升級，以時時提高整體的安全性能。
5) 加密和完整性控制
安全機制的每一個部分沒有嚴格的邊界，它們依靠對方而存在。認證是整個安全機制的基礎，因為它是建立會話的前提。與此同時，認證依賴於密碼機 制和完整性控制。
SAMC系統中定義了自己的完整性驗證函數HI0和加密函數HCO，主要 是彌補GSM中缺少的完整性驗證和加密算法單薄的缺點，而對於UMTS，上述 兩個算法不予啟動。這兩個算法對於GSM用戶也是可選的，IME分別與RNC(無 線網絡控制器)共享上述算法。
參考2G標準中的A3， A8以及3GPP標準中的的f8,f9,現將ffl0和HCO 定義如下
HIO和HC0均定義為同步流加密函數，加密解密操作基於相同密鑰和一系 列相同初始化參數，HC0產生的密鑰流塊通過與明文按位異或來加密明文得到 密文，再使用相同的輸入參數得到相同密鑰流塊，與密文進行按位異或操作得 到明文。如圖7所示。
安全機制的每一個部分沒有嚴格的邊界，它們依靠對方而存在。認證是整 個安全機制的基礎，因為它是建立會話的前提。與此同時，認證依賴於密碼機 制和完整性控制。
SAMC系統中定義了自己的完整性驗證函數HI0和加密函數HCO，主要 是彌補GSM中缺少的完整性驗證和加密算法單薄的缺點，而對於UMTS，上述 兩個算法不予啟動。這兩個算法對於GSM用戶也是可選的，IME分別與RNC(無
線網絡控制器)共享上述算法。
參考2G標準中的A3， A8以及3GPP標準中的的f8，f9，現將HI0和HCO
定義如下-
HIO和HC0均定義為同步流加密函數，加密解密操作基於相同密鑰和一系 列相同初始化參數，HC0產生的密鑰流塊通過與明文按位異或來加密明文得到 密文，再使用相同的輸入參數得到相同密鑰流塊，與密文進行按位異或操作得 到明文。
如圖7所示是SAMC中的加解密函數HIO的定義，說明如下
HIO的參數HIK(完整性密鑰)，COUNT-I(基於時間和幀的輸入)，FRESH(— 個由網絡端產生的隨機數值)，DIRECTION(方向性)，MESSAGE(信令信息)
加密函數HIO用來保護數據完整性和認證RRC層信令數據的數據來源。加 密信息認證算法在密鑰參數和初始數值集控制下，從任意升序信息中產生一個 固定長度HMAC,比較發送端和接收端，如果一致表明數據未被破壞。
圖8所示是SAMC中的完整性驗證函數HC0，說明如下
18HC0參數HCK(加密密鑰)，COUNT-C(基於時間的輸入)，BEARER(承載 標識)，DIRECTION(傳輸方向)，LENGTH(明文塊長度)
每一次認證過和中都會重新產生一個HCK。 COUNT-C、 BEARER和 DIRECTION是初始化參數，產生每個密鑰流塊時都要對它們進行更新。基於時 間的輸入COUNT-C作為同步流加密的一個同步參數也在明文中被發送。輸入 參數LENGTH只影響密鑰流塊的長度。
算法根據這些輸入參數產生輸出密鑰流塊，用來加密輸入明言語塊，以產 生輸出密文塊。
參數說明
COUNT-C:基於時間的輸入，長度為32bit，密碼流同步是基於物理層幀計 數器和超幀計數器結合的使用，這樣可以避免密碼流的重複使用。COUNT-C在 建立連接時初始化。
BEARER:無線承載標識，長度5bit。相同密鑰可能被一個用戶的多個無線 承載同時使用，為了避免使用相同密鑰流加密多個承載，算法根據無線承載標 識來產生不同密鑰流。
DIRECTION:傳輸方向，上行即從IME到RNC定義為0，下行，即RNC 到IME定義為1，由於上行和下行的信道有可能使用相同密鑰，DIRECTION位 的目的就是避免這樣情況。
LENGTH:密鑰流長度，是1到20000之間的整數，長16bit。用於體現明 文長度。LENGTH數值的範圍是由信令數據單元的大小和數量決定的。
FRESH: —次性隨機數，長度32bit, FRESH值作為算法的輸入是為了保證 網絡端用戶不重複使用HMAC
MESSAGE:信令數據。
19
權利要求
1. 一種跨平臺的移動通信安全體系的實現方法，其特徵在於該方法的步驟如下1)網絡構建移動通信安全體簡稱為SAMC，在不改變原有網絡結構的情況下，在核心網中，增加HSE設備，用以增強網絡安全和特權服務，而HSE設備的加入，對於VLR和HE幾乎是透明的，它並不影響現有網絡以及下一代網絡3G的正常使用；對於普通的SIM或者USIM卡而言，並不會感覺到該設備，也不會與之作鑑權運算。而對於專用的IME，HSE提供了CA認證，完整性保護，VLR鑑權，端對端認證；2)SAMC中的接入認證整個認證過程，涉及四個網絡實體，三組雙向認證；四個網絡實體是IME，VLR/SGSN，HSE(SC，CA)，HE(HLR，AuC)；三組認證VLR/SGSN和HSE的雙向認證，IME和HSE雙向認證，IME與VLR/SGSN的雙向認證；HSE和HE之間未作認證處理，實事上HSE與HE應該同屬本地，甚至捆綁在一個組裡，它們之間的信任關係應該單獨處理，在IME認證期間，HSE和HE之間屬於可信捆綁；認證過程分析如下(1)IME發起認證，向VLR/SGSN發送REQ1，HRAND，REQt。其中，REQi＝IME摘要|數字籤名，PBca是HSE的公鑰，t為時間戳，全長128bit，HRAND為隨機數，全長128bit，(2)VLR/SGSN對IME發送的REQ1，取出HRAND，用內置函數Hiv作解密處理，計算附加REQ2轉發至HSE，摘要|數字籤名；(3)HSE中SC收到HRAND，REQ1，REQ2，用Hih和Hvh函數得到REQi，REQv，SC查詢CA得到對應的IME的公鑰Hi2和VLR/SGSN的公鑰Hv2，確認IME和VLR/SGSN的身份，如果IME與VLR/SGSN身份確認，SC讀取存貯的IMSI/TMSI，轉發IMSI/TMSI到HE，同時計算REQh＝HSE摘要|數字籤名，計算出完整性驗證密鑰HIK＝hik(IMSI，HRAND)，計算計算出加密密鑰HCK＝hck(IMSI，HRAND)，計算最後向HE轉發IME的IMSI；(4)HE讀取IMSI/TMSI判斷IME的合法性，如果合法，發送鑑權矢量AV到HSE；(5)HSE發送AV、HASWi、HASWv，VHIK，VHCK到VLR/SGSN；(6)VLR/SGSN根據網絡類型讀出RAND和AUTN(3G)，XRES，用Hvh函數得到HSE摘要|數字籤名，驗證HSE的合法性，如果驗證無誤，利用Hvh函數算出完整性控制密鑰HIK，加密密鑰HCK，向IME發送RAND、AUTN(3G)、vt、HASWi；(7)IME收到RAND、AUTN(3G)、vt、HASWi，用Hih函數得到HSE摘要|數字籤名判斷HSE是否合法，計算是否等於t+1，確定HSE和VLR/SGSN合法後，計算HIK＝hik(IMSI，HRAND)用於數據的完整性計算，計算出加密密鑰HCK＝hck(IMSI，HRAND)用於數據加密，計算RES，返回給VLR；至此，認證結束，IME可以安全接入網絡；整個的認證過程，用到了如下函數和變量，現在作以說明PBcaHSE的公鑰，在無線網絡中公開；t時間戳，全長128bit，用於鑑定VLR/SGSN合法性；HRANDIME端產生的隨機數，輔助各加密算法使用；REQ1發向VLR和HSE的認證變量；REQiIME摘要|數字籤名，用來表明IME的合法性；EQRS一個IME產生的隨機數，用於判斷VLR/SGSN的合法性；REQ2VLR/SGSN發向HSE的認證變量；REQvVLR/SGSN摘要|數字籤名，用來表明VLR/SGSN的合法性；REQhHSE摘要|數字籤名，用來表明HSE的合法性；IME摘要定長明文，配合IME數字籤名使用；IME數字籤名128bit散列，採用MD5算法生成，要求MD5(IME摘要)後與IME數字籤名一致；VLR/SGSN摘要定長明文，配合VLR/SGSN數字籤名使用；VLR/SGSN數字籤名128bit散列，採用MD5算法生成，要求MD5(VLR/SGSN摘要)後與VLR/SGSN數字籤名一致；HSE摘要定長明文，配合HSE數字籤名使用；HSE數字籤名128bit散列，採用MD5算法生成，要求MD5(HSE摘要)後與HSE數字籤名一致；EQRS隨機數，全長128bit；HIK完整性算法密鑰，用於驗證數據的完整性；HCK加密算法密鑰，用於傳輸網絡中的密文；HSAND隨機數生成函數，用以保證密碼驗證的新鮮，保存在IME端；Hih密鑰導出函數，用於處理IME與HSE之間的身份驗證，在IME與HSE之間共享；Hiv密鑰導出函數，用於處理IME與VLR/SGSN之間的身份驗證，在IME與VLR/SGSN之間共享；Hvh密鑰導出函數，用於處理VLR/SGSN與HSE之間的身份驗證，在VLR/SGSN與HSE之間共享；3)錯誤事件處理在上面對認證過程的描述中，闡述的是整個的流程，而並未就在此過程中發生的異常做進一步的分析；(1)完整性檢測失敗作為一個通用的安全原則，帶有不正確的完整性檢測值的信息不需更進一步的通告就應該丟棄。如果一個用戶不小心使用了錯誤的密鑰，而在完整性檢測出錯之前，其他認證錯誤就已經提前發生了；(2)認證失敗如果HSE驗證IME數字籤名錯誤，則返回IME非法的錯誤信息；如果HSE驗證VLR/SGSN數字籤名錯誤，向IME返回VLR/SGSN身份無法鑑定信息，由VLR/SGSN自行處理；如果VLR/SGSN無法解析IME發送的時間戳t，向IME返回VLR/SGSN無法與IME同步信息；如果VLR/SGSN無法鑑別HSE的身份，向IME返回HSE身份VLR/SGSN無法鑑別；如果IME解析VLR/SGSN返回的時間戳不等於t+1，則VLR/SGSN為不正確接入點；如果IME無法鑑別HSE的身份，則顯示HSE不可信；如果用戶認證失敗(RES與XRES不符)，一個通告將會返回到IME，註冊被取消；如果網絡認證失敗是因為在AUTN中的MAC不正確，那麼事件在網絡中有所顯示，並且取消註冊是；如果網絡認證失敗是因為在AUTN中的SQN不被IME所接受，那麼再次產生同步；如果在一定時間內未接到響應，則可以判斷為認證失效；4)端到端的認證認證過程說明(1)IME1向IME2發起會話申請，申請中附帶IME1的CA證書；(2)IME2收到申請後，在本端檢查證書合法性，如果沒有IME1的證書，則向CA端提出申請，CA確認IME1的證書後，返回給IME2；(3)IME2證明IME1的證書有效後，向IME1發出確認，並附帶IME2的CA證書；(4)同樣IME1收到確認後，在本端檢查證書合法性，如果沒有IME2的證書，則向CA端提出申請，CA確認IME2的證書後，返回給IME1；(5)IME1證明IME2的證書有效後，雙方的認證結束，可以放心對話了5)加密和完整性控制SAMC系統中定義了自己的完整性驗證函數HI0和加密函數HC0，主要是彌補GSM中缺少的完整性驗證和加密算法單薄的缺點，而對於UMTS，上述兩個算法不予啟動。這兩個算法對於GSM用戶也是可選的，IME分別與RNC(無線網絡控制器)共享上述算法。
全文摘要
本發明公開了一種跨平臺的移動通信安全體系的實現方法。該方法的步驟是網絡構建，SAMC中的接入認證，錯誤事件處理，端到端的認證，加密和完整性控制。主要是依靠加強密鑰，更新加密算法，引入CA認證等一系列的辦法來實現。本方法實現了增強密鑰強度，雙向鑑權，規避明文傳輸，平臺無關以及完整性保護，為用戶提供一個健全的安全體系。本發明可應用在現行和未來無線通信網絡的安全平臺，它本身對運載網絡沒有特殊要求，有利於移動通信的安全性。
文檔編號H04W12/06GK101483870SQ20091009612
公開日2009年7月15日 申請日期2009年2月12日 優先權日2009年2月12日
發明者嚴力科, 吳斌斌, 施青松, 滿 曹, 超 王, 章鐵飛, 威 胡, 斌 謝, 陳天洲, 馬健良 申請人:浙江大學