数字移动通信系统北京高等教育精品教材建设项目立项课件作者张玉艳于翠波第5章节漫游 安全和呼叫管理.ppt

第5章　 漫游、安全和呼叫管理 GSM系统不同于固定网络，它的移动特性决定了系统必须通过漫游管理的机制了解用户的位置，以便与移动台随时保持联系。 由于使用稳定性不高的无线信道，给GSM系统带来了安全性和保密性方面的问题，现有的系统是通过鉴权加密的机制使这一问题得以解决。 本章主要介绍以下几个方面的内容： ?　GSM系统的用户鉴权和加密过程； ?　位置更新和漫游； ?　切换的管理； ?　呼叫管理； ?　移动台的状态管理。 5.1　概　　述 GSM系统中的信令协议架构为如图5-1所示的三层结构，其中第三层是GSM信令协议，它包括三个子层： 无线资源管理（Radio Resources Management，RR），主要负责控制无线和固定信道的配置、维护以及终止过程，包括切换（Handover）。 移动性管理（Mobility Management，MM），主要负责管理位置更新和注册，以及安全和认证过程；接续管理（Connection Management，CM），它又包括三个子层，即呼叫控制（CC）管理、补充业务（SS）管理和短消息业务（SMS）管理。 呼叫控制主要负责处理总呼叫控制、选择话路路由等，CC层中常常含有多个呼叫控制单元，提供并行呼叫处理；补充业务管理负责检查和修改补充业务的实际配置和状态；短信息业务管理负责点到点的短消息业务。 5.2　用户鉴权和加密 GSM系统是目前全球最成熟的数字移动通信系统，具有很好的保密性和抗干扰性。 它通过采用用户鉴权机制，包括对移动终端采用设备识别，来防止未经授权的用户和假冒者接入网络，非法使用通信资源和业务，保护网络运营者和授权用户的利益。 通过在无线信道上对传输数据进行加密，防止通信信息被窃听；另外以TMSI代替IMSI，使第三方无法在无线信道上跟踪GSM用户；引入SIM卡PIN码加密技术，也使其在安全性方面得到了极大的提高。 5.2.1　鉴权 在数字移动通信系统中，防止未授权的终端接入网络是通过鉴权实现的，也就是检查插入的SIM卡与移动台提供的用户标识码是否一致来决定是否允许MS接入和使用网络。 用户在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前都需要对用户进行鉴权，鉴权包括了对用户终端的鉴权和用户身份的鉴权。 1．用户终端的鉴权 每个MS均有自己唯一的设备识别码（IMEI），设备识别是在设备识别寄存器（EIR）中完成的。EIR存储移动台设备参数，完成对移动设备的识别、监视、闭锁等功能，以防止非法移动台的使用。 （1）白名单 （2）黑名单 （3）灰名单 2．用户身份的鉴权 用户身份的鉴权主要是由鉴权中心（AuC）经过A3、A8算法产生鉴权三参数组（RAND、SRES、Kc）来完成的。 （1）安全数据及其在网络实体中存储的位置 在GSM网络中与鉴权、加密相关的安全性数据有： ① 移动用户识别码 ② 用户鉴权键 ③ 算法 ④ 鉴权三参数组 （2）鉴权中心（AuC）产生鉴权三参数组 鉴权中心（AuC）属于HLR的一个功能单元部分，专门用于GSM系统的安全性管理。鉴权中心的主要功能是产生鉴权三参数组（RAND、SRES、Kc），用来鉴别用户身份的合法性，防止无权用户接入和保证移动用户通信的安全。 （3）鉴权流程 用户在每次登记、呼叫建立尝试、位置更新以及在补充业务激活、去活、登记或删除之前均需要鉴权，鉴权的一般流程如图5-3所示。 （4）PIN码 PIN码也是一种简单的鉴权方法。 5.2.2　加密 GSM系统中的加密是指对无线路径上传送的信息进行加密，以防止BTS和MS之间交换的用户信息和用户参数被非法个人和团体盗取和窃听，从而保护用户的隐私，提高通信的安全性。 在GSM中，加密和解密处理在传输链路中的位置，允许所有专用模式下的发送数据都用一种方法保护。 发送的数据可以是用户信息（话音、数据）、与用户相关的信令（例如携带被呼号码的消息）、甚至是与系统相关的信令（例如携带准备切换的无线测量结果的消息）。 加密和解密是通过对114个无线突发脉冲编码比特与一个由特殊算法产生的114bit加密序列进行异或运算（A5算法）完成的。 5.2.3　用户身份保护 在可能的情况下，通过使用临时移动用户识别码（TMSI）替代IMSI，可以使用户身份得到保护。 一般来说，只有在MS开机、TMSI丢失或者VLR不认识用户的TMSI的情况下才使用IMSI，平时仅在无线信道上发送移动用户相应的TMSI。 TMSI