移动通信中的鉴权.docxVIP

G SM系统的鉴权 为了保障GSM系统的安全保密性能，在系统设计中采用了很多安全、保密措施，其中 最主要的有以下四类：防止未授权的非法用户接入的鉴权（认证）技术，防止空中接口非法用 户窃听的加、解密技术，防止非法用户窃取用户身份码和位置信息的临时移动用户身份码T MSI更新技术，防止未经登记的非法用户接入和防止合法用户过期终端（手机）在网中继续 使用的设备认证技术。 鉴权（认证）目的是防止未授权的非法用户接入GSM系统。其基本原理是利用认证技 术在移动网端访问寄存器VLR时，对入网用户的身份进行鉴别。 GSM系统中鉴权的原理图如下所示。 本方案的核心思想是在移动台与网络两侧各产生一个供鉴权（认证）用鉴别响应符号S RES1和SRE S2,然后送至网络侧VLR中进行鉴权认证）比较,通过鉴权的用户是合理用户 可以入网，通不过鉴权的用户则是非法未授权）用户，不能入网。 在移动台的用户识别卡SIM中，分别给出一对IMS I和个人用户密码Ki。在SIM卡中 利用个人密码Ki与从网络侧鉴权中心AUC和安全工作站SWS并经VLR传送至移动台SIM 卡中的一组随机数RA ND通过A3算法产生输出的鉴权响应符号SRES2。 在网络侧，也分为鉴权响应符号SRES1的产生与鉴权比较两部分。 为了保证移动用户身份的隐私权，防止非法窃取用户身份码和相应的位置信息，可以采 用不断更新临时移动用户身份码TMSI取代每个用户唯一的国际移动用户身份码I MSI。TM SI的具体更新过程原理如下图所示，由移动台侧与网络侧双方配合进行。 这项技术的目的是防止非法用户接入移动网，同时也防止已老化的过期手机接入移动 网。在网络端采用一个专门用于用户设备识别的寄存器EIR，它实质上是一个专用数据库。 负责存储每个手机唯一的国际移动设备号码IMEI。根据运营者的要求,MSC/VLR能够触发 检查IMEI的操作。 IS-95系统的鉴权 IS-9 5中的信息安全主要包含鉴权（认证）与加密两个方面的问题，而且主要是针对数 据用户，以确保用户的数据完整性和保密性。鉴权（认证）技术的目的：确认移动台的合理身 份、保证数据用户的完整性、防止错误数据的插入和防止正确数据被纂改。加密技术的目的 是防止非法用户从信道中窃取合法用户正在传送的机密信息，它包括：信令加密、话音加密、 数据加密。 在IS-9 5标准中，定义了下列两个鉴权过程：全局查询鉴权和唯一查询鉴权。 鉴权基本原理是要在通信双方都产生一组鉴权认证参数，这组数据必须满足下列特性： 通信双方、移动台与网络端均能独立产生这组鉴权认证数据；必须具有被认证的移动台用户 的特征信息；具有很强的保密性能不易被窃取,不易被复制;具有更新的功能；产生方法应具 有通用性和可操作性，以保证认证双方和不同认证场合，产生规律的一致性。满足上述五点 特性的具体产生过程如下图所示： 空中接口 空中接口 I S-95系统的鉴权认证过程涉及到以下几项关键技术:共享保密数据S S D的产生，鉴权 认证算法，共享保密数据SSD的更新。 SSD的产生 SSD是存贮在移动台用户识别UIM卡中半永久性128bit的共享加密数据，其产生框图 如下所示。 SSD SSD的输入参数组有三部分：共享保密的随机数据RANDS SD、移动台电子序号E SN、鉴权密钥（A钥）、填充。SSD输出两组数据：SSD-A-New是供鉴权用的共享加密数 据;SSD-B-New是供加密用的共享加密数据。 鉴权认证算法 这一部分是鉴权认证的核心，鉴权认证输入参数组含有5组参数:随机查询数据 RANDBS；移动台电子序号ESN;移动台识别号第一部分;更新后的共享保密数据SSD-A- Ne w;填充。鉴权核心算法包含以下两步:利用单向Hash函数，产生鉴权所需的候选数据组; 从鉴权认证的后选数据组中摘要抽取正式鉴权认证数据AUTHR,供鉴权认证比较用。 SSD的更新 为了使鉴权认证数据AUTHB S具有不断随用户变化的特性，要求共享保密数据应具有 不断更新的功能，SSD更新框图如下图所示。 移动台侧 ——接收到SSD更新指令 移动台侧 —— 接收到SSD更新指令? 后移动台设置输入参数 空中接口 . 基站、网络 侧 发送SSD更新指令给移动台 WCDMA系统的鉴权 3 G安全体系目标为:确保用户信息不被窃听或盗用;确保网络提供的资源信息不被滥用 或盗用;确保安全特征应充份标准化，且至少有一种加密算法是全球标准化安全特征的标准 化，以确保全球范围内不同服务网之间的相互操作和漫游；安全等级高于目前的移动网或固 定网的安全等级（包括GSM）；安全特征具有可扩展性。 为了克服GSM系统的安全缺陷，WCDMA系统采用了双向认证技术，建立了完整的认 证与密钥协商机制（AKA）。 1 . UMTS安全体系结构