EVDO空中接口安全机制研讨.pdfVIP

EV．DO空中接口安全机制研究1 杜诗武唐晓梅葛宝忠 国家数字交换工程技术研究中心NDSC郑州450002 摘要：EV．DO技术为3G提供了更高的空中接口分组数据速率，同时在安全方面也提出了 ＼ 新的需求。文章从身份认证、密钥交换，分组认证和加密等方面讨论了EV-DO系统的安全问 题。首先提出了经过简化的AKA身份认证方案；然后研究了DH密钥交换协议，分析了这种 机制的安全特性和实现要点；最后重点介绍了EV．DO系统空中接口分组的认证和加密操作。 关键字：移动通信认证和密钥协商安全层密钥交换高级加密标准 1 引言 第三代移动通信系统的一个显著特点就是能够向移动用户提供高速率的数据业务。现有 了很大的改进，主要改进思想是功能的集成化和协议的模块化。为了保证空中无线链路的通 信安全，EV-DO专门提供了一个安全层负责实现空中接口的密钥交换、分组认证和加密等功 能。本文重点研究EV-DO系统空中接口的安全问题。第二节主要研究空中接口的身份认证问 题，提出了对AKA的简化方案；第三节研究空中接口的密钥交换，该过程是基于DH公钥算 法的j第四节研究了空中接口无线链路分组的认证和加密问题。结束语是对全文的总结。 2空中接口的身份认证 对于第三代移动通信系统空中接口的身份认证，UMTS的AKA不失为一种很好的选择。 实际上，cdma2000增强系统中已经全面采用了这种机制瞄J。UMTSAKA的详细过程参见文献 【3】。AKA协议主要包括两部分：一部分是网络对用户进行认证的查询．响应协议，另一部分 是新增加的用户通过AUTN对网络进行认证的部分。认证和密钥协商过程又可以分为认证向 量分发过程和认证和密钥建立过程，其中前者主要在杨厶网络内完成；而后者需要通过空中 接口的操作来实现。因为在安全层的密钥交换协议中生成认证和加密密钥，所以此处只需进 行身份认证，而不必计算完整性密钥Ⅸ和加密密钥CK。基于上述考虑，我们可以对现有的 AKA机制进行简化，保留基于查询，响应的双向身份认证部分，而舍弃两种密钥(IK和CK) 1基金项目：国家863课题(MII．C3G-863．317．03．01．02．20) ·785· 的计算部分。这样既可完成EV．DO用户空中接口的身份认证，又不会与随后进行的密钥交换 过程发生冲突。 广——] J认狂向量 J 1分捷过程 I I．．．．．．．．．．．．．．．一 蓦 用户鉴杈请求 ． 坠婪塑!!垒型盟 F l过 程 用户鉴投响应 f．．．．．．．．．．．．一 REs(O 、lII卜，Ij 图l简化后的AKA过程图 简化后的AKA过程如图l所示。因为只需要完成身份认证，所以在认证向量中可以不包 含Ⅸ和CK；不过，为了保持与标准AKA的兼容性，此时可以将128位的Ⅸ和CK值取为 全零。身份认证成功完成后，通信双方将通过空中接口交换密钥。 3空中接口的密钥交换 EV．DO空中接口密钥交换过程在会话配置阶段完成双方会话密钥St,ey的一致生成，然后 终端和核心网络分别根据会话密钥％一计算前反向各类信道的认证和加密密钥。其中会话密 钥Shy的生成使用的是DH公钥算法，因此EV—DO空中接口的密钥交换协议又称为DH密钥 交换协议。该协议的消息流程如图2所示14J： 各信道的认证和加密密钥计算过程如下(“11表示比特的串连，施为＆卿的等长部分[51)： H