3G安全体系结构 张方舟 2004年3月26日.

Slides:



Advertisements
Similar presentations
第十四章 無線通訊安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
Advertisements

计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
EPC系统基础培训 廊坊移动 屈文杰 2014 年 12 月.
移动通信网络(2G) 作者:刘俊升 11电子3班.
项目一 我国电话通信网的概述.
计算机网络安全 第五章.
移动通信技术基础 主讲人:王淑君 2007年3月.
初中数学八年级下册 (苏科版) 10.4 探索三角形 相似的条件(2).
WCDMA Iu接口协议介绍 各位领导、专家下午好: 下面是华为公司的汇报,汇报题目是:.
北京移动(中国移动的子公司)是中国主要的无线运营商之一。中国移动做为无线市场的开拓者,拥有中国70%的无线通信市场,也是世界上第二大的无线提供商,北京移动拥有上亿的手机用户,支持60多个国家的漫游业务。 为北京移动创造的价值 … 优秀的性能,支持了庞大的用户群 标准化了系统接口 加强了系统的灵活性.
GPRS核心网络技术.
Kvm异步缺页中断 浙江大学计算机体系结构实验室 徐浩.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Hadoop I/O By ShiChaojie.
GPRS基础知识介绍 GPRS Team.
教育部補助「行動寬頻尖端技術跨校教學聯盟計畫-行動寬頻網路與應用-小細胞基站聯盟中心計畫」 Small Cell創新應用與服務專題 課程單元: LTE之安全需求、安全特性 與安全機制簡介 計畫主持人:許蒼嶺 授課教師:李宗南、簡銘伸、李名峰 教材編撰:李名峰 國立中山大學 資訊工程系.
第4章 WCDMA系统主要工作过程 4.1 WCDMA系统的基本工作过程 4.2 WCDMA系统中的切换 4.3 WCDMA系统安全 4.4
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SQL Injection.
矢量距离路由.
网络常用常用命令 课件制作人:谢希仁.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
Hub Web System 主要功能: 1.查询库存(Query Current Storage) 2.创建PL(Create PL) 3.查询、打印PL单(Query & Print PL) 4.查询允交量、在途量 5.修改用户的基本信息(Update Password) 6.查询GR(Query.
CPU结构和功能.
移动通信技术 第5章 GSM移动通信系统.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
第3章 信息与信息系统 陈恭和.
使用矩阵表示 最小生成树算法.
第7章 GSM数字蜂窝移动通信系统.
微机系统的组成.
顺序表的删除.
续签协议&修改密码操作手册 GDP项目组 2019/01/30.
第四章 团队音乐会序幕: 团队协作平台的快速创建
VisComposer 2019/4/17.
实验四、TinyOS执行机制实验 一、实验目的 1、了解tinyos执行机制,实现程序异步处理的方法。
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
林一平 講座教授 資訊學院院長 新竹國立交通大學
实验七 安全FTP服务器实验 2019/4/28.
IT 安全 第 11节 加密控制.
SAGE-移动终端授权 ----校外访问SAGE资源 北京办公室 1.
Lightweight Data-flow Analysis for Execution-driven Constraint Solving
成绩是怎么算出来的? 16级第一学期半期考试成绩 班级 姓名 语文 数学 英语 政治 历史 地理 物理 化学 生物 总分 1 张三1 115
数据报分片.
Chapter 18 使用GRASP的对象设计示例.
无线网络特性展现 张琦.
多层循环 Private Sub Command1_Click() Dim i As Integer, j As Integer
Touch Github = Touch the World
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
報告者: 通訊所 陳瑞文 學號: 授課教授: 潘仁義 老師
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
§2 方阵的特征值与特征向量.
WSAAsyncSelect 模型 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang
基于列存储的RDF数据管理 朱敏
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第十七讲 密码执行(1).
第十二讲 密码执行(上).
手机软件架构和底层软件介绍.
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
入侵检测技术 大连理工大学软件学院 毕玲.
网页版报名流程 Step 4 点击“详情”查阅具体岗位信息,输入身份数据及申请序列码进行最终报名
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
App 加密算法建议 Possible lab 土豪军 小陈.
多个Activity的使用 本讲大纲: 1、使用Bundle在Activity之间交换数据 2、调用另一个Activity并返回结果
Presentation transcript:

3G安全体系结构 张方舟 2004年3月26日

GSM的安全体系结构 2004.03.26

GSM的安全体系结构 GSM网络中用户身份的保密 用户有可能会在无线信道上发送IMSI,这样很容易被人为截取。为了减少IMSI在无线信道上的传输,GSM系统采用临时用户身份TMSI。在VLR处存储TMSI和IMSI之间的对应关系。这样一般来说,只有在用户开机或者VLR数据丢失的时候IMSI才被发送,平时仅在无线信道上发送移动用户相应的TMSI。 GSM系统中的用户鉴权 在GSM系统中,AuC(Authentication Center,用户鉴权中心)为每个用户准备了“鉴权三元组”(RAND,XRES,Kc),存储在HLR中。当MSC/VLR需要鉴权三元组的时候,就向HLR提出要求并发出一个消息“MAP-SEND-AUTHENTICATION-INFO”给HLR(该消息包括用户的IMSI),HLR的回答一般包括五个鉴权三元组。任何一个鉴权三元组在使用以后,将被破坏,不会重复使用。 当移动台第一次到达一个新的MSC(Moblie-Service Switching Center,移动业务交换中心)时,MSC会向移动台发出一个随机号码RAND,发起一个鉴权认证过程(MS移动到一个新的MSC时,发起的是TMSI 而不是IMSI) 2004.03.26

GSM的安全体系结构 2004.03.26

GSM的安全体系结构 (1)AuC产生一个随机数RAND,通过(AuC中的)A3、A8算法产生认证(鉴权)向量组(RAND,XRES,Kc)。 (2)VLR/MSC收到鉴权三元组以后存储起来。当移动台注册到该VLR时,VLR/MSC选择一个认证向量,并将其中的随机数RAND发送给移动台。 (3)移动台收到RAND以后,利用存储在SIM卡中的A3、A8算法,计算出SRES和Kc(计算流程如图3所示)。移动台将SRES发送给VLR/MSC,如果SRES等于VLR/MSC发送给用户的RAND所在的鉴权三元组中的XRES,移动台就完成了向VLR/MSC验证自己身份的过程。 由以上分析可看出,在GSM 系统中, Kc 从来不通过空中接口传送,存储在MS 和AuC 内的Kc 都是由Ki 和一个随机数通过A8算法运算得出的。密钥Ki 以加密形式存储在SIM 卡和AuC 中。 2004.03.26

GSM的安全体系结构 鉴权过程完成以后,MSC将鉴权三元组中的Kc传递给基站BTS。这样使得从移动台到基站之间的无线信道可以用加密的方式传递信息,从而防止了窃听。( GSM系统中无线链路信息加解密过程如下图所示) 64bit的加密密钥Kc,再和当前帧号Fn(22bit)作为A5算法的输入,计算密钥流。对消息进行逐位异或加密,将密文从移动台传递到基站。基站接收到加密的信息,用相同的密钥流逐位异或来解密。 2004.03.26

GSM的安全体系结构 GSM中安全要素的分布:GSM系统中,安全要素分布在不同的网络实体平台上。  阴影单元随网络政策变化是时间的函数,白色单元不随时间变化 2004.03.26

GSM的安全体系结构 AuC(鉴权认证中心)存放每个用户的国际移动用户身份IMSI(International Mobile Subscriber Identity),用于用户开机登陆网络或者在临时移动用户身份TMSI不能使用时验证或搜索用户;存放用户的密钥Ki(在用户使用IMSI接续的时候,Ki被授予给用户);为完成鉴权过程,AuC要负责生成随机值RAND;AuC中还存放了鉴权算法A3以及数据加密密钥生成算法A8。 VLR/MSC为每个IMSI存放若干鉴权三元组。为了避免IMSI被截取,需要最大限度地减少在无线信道上传送。因此在VLR中记录TMSI与IMSI的的对应关系,仅在无线信道上发送移动用户的TMSI。 BTS中存储编码算法A5和密钥Kc,用于解密接收到的密文形式的用户数据和信令数据(包括解密)。 移动台将鉴权算法A3和数据加密密钥生成算法A8、用户密钥Ki以及用户身份IMSI (TMSI)存储在SIM卡中。SIM卡是一种防篡改的设备,增强了算法和密钥的安全性。编码算法A5和由A8计算出的加密密钥Kc存储在手机中。 由此可以看出A3、A8、A5、Ki、Kc是不在网络中传递的,从而增强了网络的安全性。 2004.03.26

GSM的安全体系结构 GSM存在的安全问题: 二、GSM系统中的加密不是端到端的,只是在无线信道部分即MS和BTS之间进行加密。在固定网中没有加密,采用明文传输,这给攻击者提供了机会。 三、在移动台第一次注册和漫游时,IMSI可能以明文方式发送到VLR/MSC,如果攻击者窃听到IMSI,则会出现手机“克隆”。 四、在移动通信中,移动台和网络间的大多数信令信息是非常敏感的,需要得到完整性保护。而在GSM网络中,没有考虑数据完整性保护的问题,如果数据在传输的过程中被篡改也难以发现。 五、随着计算机硬件技术进步带来的计算速度的不断提高,解密技术也不断发展。GSM中使用的加密密钥长度是64bit,在现在的解密技术下,已经可以在较短时间内被破解。 六、在GSM系统中,加密算法是不公开的,这些密码算法的安全性不能得到客观的评价,在实际中,也受到了很多攻击。 七、在GSM系统中,加密算法是固定不变的,没有更多的密钥算法可供选择,缺乏算法协商和加密密钥协商的过程。 2004.03.26

3G的安全体系结构 GSM和3G的安全比较 2004.03.26

3G的安全体系结构 3G的安全体系结构 2004.03.26

3G的安全体系结构 3G的安全功能结构 2004.03.26

3G的安全体系结构 安全措施分为5类: 一、增强用户身份保密(EUIC):通过HE/AuC(本地环境/认证中心)对USIM(用户业务识别模:块)身份信息进行认证; 二、用户与服务网间身份认证(UIC); 三、认证与密钥分配(AKA):用于USIM、VLR/SGSN(访问位置寄存器/服务GPRS支持节点)、HLR(归属位置寄存器)间的双向认证及密钥分配; 四、数据加密(DC):UE(用户终端)与RNC(无线网络控制器)间信息的加密; 五、数据完整性(DI):用于对交互消息的完整性、时效性及源与目的地进行认证。   系统定义了11个安全算法:f0、f1*、f1~f9,以实现其安全功能。f8、f9分别实现DC和DI标准算法。f6、f7用于实现EUIC。AKA由f0~f5实现。 2004.03.26

3G的安全体系结构   3G鉴权认证过程 2004.03.26

3G的安全体系结构:认证鉴权过程祥解 一、认证中心AuC为每个用户生成基于序列号的认证向量组(RAND,XRES,CK,IK,AUTN),并且按照序列号排序。AuC产生认证向量组的流程如下图所示: f0是一个伪随机数生成函数,只存放于AuC中,用于生成随机数RAND。3G认证向量中有一个“认证令牌”AUTN,包含了一个序列号,使得用户可以避免受到重传攻击。其中AK是用来在AUTN中隐藏序列号,因为序列号可能会暴露用户的身份和位置信息。 2004.03.26

3G的安全体系结构:认证鉴权过程祥解  二、 当认证中心收到VLR/SGSN的认证请求,发送N个认证向量组给VLR/SGSN。在VLR/SGSN中,每个用户的N个认证向量组,按照“先入先出”(FIFO)的规则发送给移动台,用于鉴权认证。 2004.03.26

3G的安全体系结构:认证鉴权过程祥解 三、VLR/SGSN初始化一个认证过程,选择一个认证向量组,发送其中的RAND和AUTN给用户。用户收到后RAND||AUTN后,在USIM卡中进行下列操作。 2004.03.26

3G的安全体系结构:认证鉴权过程祥解 l 首先计算AK并从AUTN中将序列号恢复出来SQN=(SQN⊕AK)⊕AK; l         USIM计算出XMAC,将它与AUTN中的MAC值进行比较。 如果不同,用户发送一个“用户认证拒绝”信息给VLR/SGSN,放弃该认证过程。在这种情况下,VLR/SGSN向HLR发起一个“认证失败报告”过程,然后由VLR/SGSN决定是否重新向用户发起一个认证过程。 l         用户比较收到的SQN是否在正确范围内(为了保证通信的同步,同时防止重传攻击,SQN应该是目前使用的最大的一个序列号,由于可能发生延迟等情况,定义了一个较小的“窗口”,只要SQN收到的在该范围内,就认为是同步的。) l         如果SQN在正确范围内,USIM计算出RES,发送给VLR/SGSN,比较RES是否等于XRES。如果相等,网络就认证了用户的身份。 l         最后,用户计算出加密密钥CK=f3(RAND,K),完整性密钥IK=f4(RAND,K) 2004.03.26

3G的安全体系结构:认证鉴权过程祥解 四、 如果用户计算出SQN(序列号)不在USIM认为正确的范围内,将发起一次“重新认证” 2004.03.26

3G的安全体系结构:用户信息加密 在完成了用户鉴权认证以后,在移动台生成了加密密钥CK。这样用户就可以以密文的方式在无线链路上传输用户信息和信令信息。发送方采用分组密码流对原始数据加密,采用了f8算法。接收方接收到密文,经过相同过程,恢复出明文。   COUNT:密钥序列号,32bit   BEARER:链路身份指示,5bit   DIRECTORY:上下行链路指示,1bit,消息从移动台到RNC,取值为0;反之为1。   LENGTH:密码流长度指示,16bit   CK:加密密钥,128bit 2004.03.26

3G的安全体系结构:用户信息完整性保护 在3G中,采用了消息认证来保护用户和网络间的信令消息没有被篡改。发送方将要传送的数据用完整性密钥IK经过f9算法产生的消息认证码MAC,附加在发出的消息后面。接受方接收到的消息,用同样的方法计算得到XMAC。接收方把收到的MAC和XMAC相比较,如果两者相等,就说明收到的消息是完整的,在传输过程中没有被修改。 COUNT-I:密钥序列号,32bit MESSAGE:消息 DIRECTORY:上下行链路指示,1bit。消息从移动台到RNC,取值为0;反之为1。 FRESH:网络生成的一个随机数,32bit IK:完整性密钥;128bit MAC-I:消息认证码 2004.03.26

3G的安全体系结构:增强的用户身份认证(EUIC)  EUIC的实现过程(对IMSI的加密和解密算法)   GK:用户入网时,与HE/AuC及群中的其他用户共享的群密钥。   SQN_UIC:USIM产生的序列号,每次均不同。 2004.03.26

3G的安全体系结构: IMSI的组成   MSIN(Mobile Station Identity Number):移动用户鉴权号码,是IMSI组成部分之一。  MCC:移动通信国家码 MNC:移动网络码 2004.03.26

3G的安全体系结构: 3G中的密钥协商机制 3G系统中,增加了密钥协商机制,在认证和密钥协商机制的执行过程中实现。加密算法协商和完整性算法协商都是通过用户和网络之间的安全协商机制实现的。 当移动台需要与服务网络之间以加密方式通信时,以下列规则做出判断: 1)      如果移动台和服务网络没有相同版本的UEA(加密算法),但是网络规定要使用加密连接,则拒绝连接。 2)      如果移动台和服务网络没有相同版本的UEA(加密算法),但是网络允许使用不加密的连接,则建立无加密的连接。 3)      如果移动台和服务网络有相同版本的UEA,由服务网络选择其中一个可接受的算法版本,建立加密连接。 3G系统中预留了15种UEA的可选范围。 为了实现用户信息和信令信息的完整性保护,服务网络与移动台之间以下列规则进行算法协商: 1)      如果移动台和服务网络没有相同版本的UIA(完整性算法),则拒绝连接。 2)      如果移动台和服务网络有相同版本的UIA,由服务网络选择一种可接受的算法版本,建立连接。 3G系统中预留了16种UIA的可选范围。 通过实现算法协商,增加了3G系统的灵活性,是不同的运营上之间只要支持一种相同的UEA/UIA,就可以跨网通信。 2004.03.26

3G的安全体系结构: 2G和3G共存网络的安全性准则   USIM用户 SIM用户 3G VLR 3G安全上下文 2G安全上下文 2G VLR 2G和3G共存的情况下向用户提供的安全性 2004.03.26

3G的安全体系结构: 2G和3G网络共存时的用户鉴权 用户使用USIM卡接入到2G和3G共存的网络中:   (1) 通过UTRAN(WCDMA系统是IMT-2000家族的一员,它由CN(核心网)、UTRAN(UMTS陆地无线接入网)和UE(用户装置)组成。UTRAN 和UE采用WCDMA无线接入技术。) 接入时,使用UMTS(Universal Mobile Telecommunications System 的缩写,中文译为通用移动电信系统 )鉴权;   (2) 当使用3G移动台和3G MSC/VLR 或SGSN通过GSM BSS 接入时使用UMTS 鉴权机制。其中GSM密钥从UMTS CK和IK计算获得;   (3) 如果使用2G移动台或2G MSC/VLR 或SGSN 通过GSM BSS 接入,使用GSM 鉴权机制。其中用户响应SRES 和GSM密钥从UMTS SRES、CK和IK得到。 2004.03.26

3G的安全体系结构: 2G和3G网络共存时的用户鉴权 在2G和3G共存网络中,用户也可以使用SIM卡接入到网络中。由于GSM SIM 用户只支持GSM系统安全特性,所以鉴权过程必然是GSM 系统的。   注意:在SIM卡用户接入到UTRAN,与VLR/SGSN进行鉴权认证的过程以后,3G VLR/SGSN 将利用CK和IK为用户提供安全保护,但由于此时用户安全特性的核心仍是GSM密钥Kc ,所以用户并不具备3G的安全特性。 2004.03.26

3G的安全体系结构: 2G和3G网络共存时的用户鉴权 c1 : RAND[GSM] = RAND c2 : SRES[GSM] = XRES*1 xor XRES*2 xor XRES*3 xor XRES*4 GSM中RES是32bit,所以将3G中的XRES分成每段为32bit的四部分。 XRES* = XRES*1 || XRES*2 || XRES*3 || XRES*4 如果XRES为128bit,XRES=XRES* 如果XRES不足128bit,就用0补足,即XRES*=XRES||0..0。 c3 : Kc[GSM] = CK1 xor CK2 xor IK1 xor IK2 Kc是64bit,CK和IK是128bit,所以将CK、IK分为两半:CK=CK1||CK2,IK=IK1||IK2   c4 :CK [USIM] = 0…0||Kc 即Kc占据CK的低64bit,高64bit为0。 c5 :IK [USIM] = Kc||Kc 2004.03.26

3G的安全体系结构: 3G认证鉴权中可能存在的问题 A. 3G认证方案实现了VLR对MS以及MS对HLR的认证,但不要求MS对VLR进行认证[2][10]。因此攻击者X可利用截获的合法IMSI进行如下的攻击:①MS→X:IMSI;②X→VLR:IMSI;③VLR→HLR:IMSI;④HLR→VLR:AV=RAND‖XRES‖CK‖IK‖AUTN;⑤VLR→X:RAND‖AUTN;⑥X→MS:RAND‖AUTN;⑦MS→X:RES;⑧X→VLR:RES。这样,X就可以假冒该MS入网。但由于CK与IK未在无线接口中传输,攻击者无法获得这些密钥而进行正常的通信。但是3G认证方案没有考虑到网络端的认证与保密通信。若攻击者X对VLR与HLR之间的信息进行窃听,就可能获得HLR传给VLR的认证向量AV从而获得CK与IK。此后攻击者X再假冒该MS入网,即可实现正常的保密通信,而合法用户传送的信息也就失去了保密性。 B. 由于用户在不同的PLMN(Public Land Mobile Network )之间漫游,这些不同PLMN甚至可以是在不同的国家,为了对用户进行鉴权认证,本地网络(HE/HLR)会把用户的鉴权五元组发送到漫游的网络的VLR/SGSN,在这个过程中,用户鉴权向量组,穿过不同的网络,很容易受到攻击。 C. 在用户开机注册到网络的时候,或者网络无法从TMSI恢复出IMSI的时候(比如VLR/SGSN的数据库错误),用户将向网络以明文形式发送IMSI,这是非常不安全的做法,很容易遭到中间人攻击的。 D. 加秘密钥和加密算法在3G中,不再是固定的(比如GSM中的A5加密算法是固定的)。但是必须要有一种安全的方法让用户和网络之间对加秘密钥和加密算法进行协商。 2004.03.26

谢谢