密码算法与协议9_3G安全性.pptVIP

* * * WPA通过使用一种名为TKIP（暂时密钥完整性协议）的新协议来解决上述问题。使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并，来确信每一节点均使用一个不同的密钥流对其数据进行加密 * small office home office * * 用户身份保护：IMSI?TMSI * * GSM的安全体系结构 GSM中安全要素的分布：GSM系统中，安全要素分布在不同的网络实体平台上。 ?阴影单元随网络政策变化是时间的函数，白色单元不随时间变化 * * 针对GSM攻击 SIM卡攻击： ? 1998年04月，SIM卡上COMP128算法被攻破 ? 2002年05月，IBM研究人员发现新的快速获取密钥Ki的方法 空中接口攻击： ? 1999年12月，一定条件下A5/1算法能被攻破 ? IMSI明文传输时候的截取 ? 2003年8月，A5/2算法被非常实用的方法攻破 运营商网络攻击： ? 假冒基站攻击 ? 在移动网络中明文传输 * * GSM的安全问题 一、GSM系统中的认证是单向的，只有网络对用户的认证，而没有用户对网络的认证。因此存在安全漏洞，非法的设备（如基站）可以伪装成的合法的网络成员，从而欺骗用户，窃取用户的信息。 二、GSM系统中的加密不是端到端的，只是在无线信道部分即MS和BTS之间进行加密。在固定网中没有加密，采用明文传输，这给攻击者提供了机会。 三、在移动台第一次注册和漫游时，IMSI可能以明文方式发送到VLR/MSC，如果攻击者窃听到IMSI，则会出现手机“克隆”。 四、在移动通信中，移动台和网络间的大多数信令信息是非常敏感的，需要得到完整性保护。而在GSM网络中，没有考虑数据完整性保护的问题，如果数据在传输的过程中被篡改也难以发现。 五、随着计算机硬件技术进步带来的计算速度的不断提高，解密技术也不断发展。GSM中使用的加密密钥长度是64bit，在现在的解密技术下，已经可以在较短时间内被破解。 六、在GSM系统中，加密算法是不公开的，这些密码算法的安全性不能得到客观的评价，在实际中，也受到了很多攻击。 七、在GSM系统中，加密算法是固定不变的，没有更多的密钥算法可供选择，缺乏算法协商和加密密钥协商的过程。 * * 3G的安全体系结构 GSM和3G的安全比较 * * 3G的安全模型 * * 3G的安全功能结构 * * 安全措施分为5类： 一、增强用户身份保密（EUIC）：通过HE/AuC（本地环境/认证中心）对USIM（用户业务识别模:块）身份信息进行认证； 二、用户与服务网间身份认证（UIC）； 三、认证与密钥分配（AKA）：用于USIM、VLR/SGSN（访问位置寄存器/服务GPRS支持节点）、HLR（归属位置寄存器）间的双向认证及密钥分配； 四、数据加密（DC）：UE（用户终端）与RNC（无线网络控制器）间信息的加密； 五、数据完整性（DI）：用于对交互消息的完整性、时效性及源与目的地进行认证。 　　系统定义了11个安全算法：f0、f1*、f1～f9，以实现其安全功能。f8、f9分别实现DC和DI标准算法。f6、f7用于实现EUIC。AKA由f0~f5实现。 3G的安全措施 * * 3G认证及密钥协商（AKA）（一）：目的及设置 目的 - 完成网络与用户间的双向认证 - 生成加密密钥（CK）和完整性密钥（IK） - 确保ck/IK的新鲜性 AKA设置 - 认证中心（AuC）和USIM卡共享 用户唯一秘密认证密钥K 消息认证函数f1,f1*,f2 密钥产生函数f3,f4,f5,f5* - AuC有随机数产生器 - AuC能够产生新的序列号 - USIM能够验证收到的序列号的新鲜性 * * 3G认证及密钥协商（AKA）（二）：变量及函数 * * 3G认证及密钥协商（AKA）（三）：认证、密钥协商过程 * * AuC端认证向量产生 USIM卡中用户认证功能 序列号使得用户可以避免受到重传攻击 AK是用来在AUTN中隐藏序列号，因为序列号可能会暴露用户的身份和位置信息 为了保证通信的同步，同时防止重传攻击，SQN应该是目前使用的最大的一个序列号，由 于可能发生延迟等情况，定义了一个较小的“窗口”，只要SQN收到的在该范围内，就认为 是同步的 * * 3G认证及密钥协商（AKA）（四）：安全性分析 双向认证，提供加密和完整性密钥