Lecture4移动通信网络.ppt

* * * * * * * * * * * * * * * 啊 * * * 啊 * SIM加密算法—A5 利用Kc进行加密的算法，称为A5； 因为A5的加密运算量很巨大，但 SIM 卡的速度很慢，因此所有通信过程中的加密都是在手机上面完成的，这样一来，除非天下所有 GSM 手机都至少支持一种相同的 A5 算法，否则就没法漫游了，这时候运营商和设备商的懒惰又体现出来了，全世界目前只有一种通用的 A5 算法，没有其他的； Kc的 8 字节序列进行简单的循环 XOR，再和报文序号做个减法。 GSM安全分析 认证方案缺陷 只有用户认证，没有网络认证，不能避免基站伪装； 安全性依赖于私钥Ki的安全性； 加密方案缺陷 加密不是端到端的，只是无线信道部分，在其他信道容易被截获； 没有考虑数据完整性； 密钥太短，密钥生成算法固定，该算法已可被快速破解； TMSI安全问题 移动台第一次注册和漫游时，仍需要明文发送IMSI； 访问位置寄存器中与用户有关数据丢失时，网络端要求用户发送IMSI以获得用户真实身份； * GSM系统SIM卡安全问题 什么是SIM卡克隆？ 将正式渠道发行的SIM卡信息复制到其他卡片上 对鉴权重要数据KI的破解 SIM卡克隆的主要目的： 多个号码的使用者（方便） 市话包月号码（一号多人公用） 业务需求（一个值班电话多人分时段使用） 盗打用户电话 散布广告 恶意透支获取高额利润 * SIM卡克隆带来的危害 给用户带来极大的损失 给运营商带来极大的损失 经济上的损失 消费者信心指数的减低 运营商公信力的减低 不良的社会影响与 经济案件的诱发 * 被克隆以后的状态 * COMP128-1 鉴权算法 先天不足，存在碰撞攻击漏洞，可以被破解； 二〇〇四年，采用了索引随机数方案作为第一代防克隆方案。 * 假设：Ki = “EB B5 85 B7 03 AC 8A 35 C1 CC 04 5A CF E1 D9 B2” Challenge1 = “12 DB 3F 00 F3 6F 84 D9 CD E4 A0 3A 45 B6 4A 8B” Challenge2 = “12 DB 3F 00 F3 6F D9 D9 CD E4 A0 3A 45 B6 8B 8B” Comp128-1 算法“碰撞”攻击（1） RunGSMAlgo(Challenge1, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ” RunGSMAlgo(Challenge2, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ” STARSIM? Giesecke Devrient Ki RunGSMAlgo Comp128-1 Challenge Challenge 4-Byte SRES 和 8-Byte Kc RunGSMAlgo(Challenge1, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ” RunGSMAlgo(Challenge2, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ” * “Indexed Challenges” 解决方案： 基本思想：堵住“碰撞”漏洞，不允许卡发生“碰撞”，同时保证密钥空间足够大、实施简便易行 将会引发“碰撞”的随机数字节对预先存储在SIM卡中 鉴权时判断所收到的随机数是否包含了预存于SIM卡中的随机数字节对，若包含了则返回一个错误的鉴权结果给手机，若没有包含则正常鉴权 方案优点： 密钥空间足够大：从 295.9 至 2128 (由运营商决定) 实施简便易行，仅需简单更改个人化流程 (运营商无需任何改动) 安全性极大增强，能防范当时所有的“碰撞” 攻击工具 防克隆一代方案：索引随机数方案 * SIM卡克隆现状 从07 年4 月开始，网络上就开始出现对移动带索引随机数功能的SIM卡进行攻击的软件工具，有的甚至捆绑读卡器SIM卡进行销售。 克隆工具 读卡器 COM接口 PC/SC接口 软件 解码：SIMScanner、 SIMonScan、QuickScan、Woron Scan、FD SIM卡资料读写：SIMReader、SIMEditor、手机卡信息超级备份器（PC/SC）等等 * 测试结论 选取卡片 市场上购买的卡片20张。 数据生成系统生成20组数据。 测试结果 市面上购买的卡片全部被破解 数据生成系统生成的20组数据也均被破解 测试时间 时间轴落在2小时到8小时之间 * 破解软件示例 -SIM Scanner * 破解软件示例