CN101483870A - 跨平台的移动通信安全体系的实现方法 - Google Patents

Abstract

本发明公开了一种跨平台的移动通信安全体系的实现方法。该方法的步骤是：网络构建，SAMC中的接入认证，错误事件处理，端到端的认证，加密和完整性控制。主要是依靠加强密钥，更新加密算法，引入CA认证等一系列的办法来实现。本方法实现了增强密钥强度，双向鉴权，规避明文传输，平台无关以及完整性保护，为用户提供一个健全的安全体系。本发明可应用在现行和未来无线通信网络的安全平台，它本身对运载网络没有特殊要求，有利于移动通信的安全性。

Description

跨平台的移动通信安全体系的实现方法

技术领域

本发明涉及移动通信安全技术领域，特别是涉及一种跨平台的移动通信安全体系的实现方法。

背景技术

移动通信系统安全威胁的挑战，主要表现在以下几个方面：

①未授权接入数据：

如入侵者可能在无线接口上窃听用户数据；也可能在无线接口上窃听信令数据或控制数据，或其他在导致对系统的主动攻击方面有用的信息；也可能在无线接口上以截获用户数据、信令数据或控制数据；入侵者可能观察在无线接口上消息的时间、速率、长度、信源和信宿来获取接入信息，以进行被动的业务分析或主动发起的主动的业务分析。

②对完整性的威胁：

如入侵者可能在无线接口上修改、插入、重放或删除用户数据、信令数据或控制数据，包括有意或无意的破坏。

③拒绝业务攻击：

如入侵者可能通过物理方法或通过引入特殊的协议从而阻塞用户业务、信令数据或控制数据在无线接口上传输，或伪装成通信参与者的拒绝业务。

④未授权接入业务：

装扮成用户，使用未授权于用户的业务，或装扮成一个本地环境、服务网或服务网基本结构的一部分，目的是应用未授权用户的接入尝试以获得接入业务。

⑤窃取数据机密：

如入侵者可在终端或UICC/USIM上窃取某些用户或业务提供者存储的机密数据，如认证密钥等。

2G主要有基于时分多址(TDMA)的GSM系统、DAMPS系统及基于码分多址(CDMA)的CDMAone系统，这两类系统安全机制的实现有很大区别，但都是基于私钥密码体制，采用共享秘密数据(私钥)的安全协议，实现对接入用户的认证和数据信息的保密。2.5G的无线通信网络除带宽较之2G更为优越外，安全机制也得到了一定的提高。目前，2.5G网络主要有两种：GPRS和CDMA20001X，安全机制较GSM改动不是很大。3G系统的安全体制是建立在2G的基础上的，在2G系统加GSM系统中已被证明是必须和稳健的安全元素将被继续采用，而在2G系统中的安全弱点则在3G系统中予以改进，最终提供全新的安全性能和业务。

因为2.5G是2G到3G的过渡性网络，本质上它的安全性级别，甚至安全机制与2G基本一样，它存在的安全隐患与2G网络也如出一辙，所以在这里，一起分析了2G与2.5G的安全机制，存在以下问题：

①密钥传输的问题：对称密钥kc，国际移动用户识别码imsi，随机数RAND，期望响应SRES是明文传输的。

②完整性问题：没有提供一个完整性算法，GSM没有机制保证MS和SN之间的传输数据不会被篡改。

③单方鉴定：只提供了对MS的鉴定，而没有提供对SN的鉴定，这就使得入侵者可能会伪装成SN而骗取MS的信任。

④功能较弱的密码机制：采用64bit长度的密钥，并且按惯例，最高的10bit要求设置为0，这样有效长度就成了54bit，而这个长度安全性显然不够。

⑤2G与2.5G采用了一些加密算法，而这些算法的安全性取决于这些算法本身是否能被保密，而实事上，comp128系列已经被破解。

3G与以往的移动通信系统相比，在安全性方面有了很大的提高，但是3G仍能存在一些安全缺陷，表现在以下几个方面：

①IMSI明文传输：在3G的认证方案中，使用临时身份标识来鉴别用户，提供了一定程度的匿名性。但当用户第一次注册到一个服务网络或无法从TMSI中得到IMSI时，服务器向用户发送IMSI请求，用户的应答是包含IMSI信息的纯文本，易造成用户IMSI信息的泄漏。

②漫游中易被攻击：由于用户在不同的PLMN(公共陆地移动网)之间漫游，这些不同PLMN分属不同的地域，为了对用户进行鉴权认证，本地网络(HE/HLR)会把用户的鉴权五元组发送到漫游的网络的VLR/SGSN，在这个过程中，用户鉴权向量组穿过不同的网络，容易受到攻击。

③UE未对vlr/SGSN进行鉴权验证：在双向验证中，实际进行的是UE与HE之间的鉴权认证，而对VLR/SGSN的合法性，并未加以确认。

对于跨平台的移动通信安全体系来说，需要达到的目标是增强现行2G网络加密强度；双向鉴权；规避明文传输；平台无关；提供完整性保护。这正是本发明所要达到的目标。

发明内容

本发明的目的在于提供一种跨平台的移动通信安全体系的实现方法。

本发明解决其技术问题采用的技术方案如下：

一种跨平台的移动通信安全体系的实现方法，该方法的步骤如下：

1)网络构建：

移动通信安全体简称为SAMC，在不改变原有网络结构的情况下，在核心网中，增加HSE设备，用以增强网络安全和特权服务，而HSE设备的加入，对于VLR和HE几乎是透明的，它并不影响现有网络以及下一代网络3G的正常使用；对于普通的SIM或者USIM卡而言，并不会感觉到该设备，也不会与之作鉴权运算。而对于专用的IME，HSE提供了CA认证，完整性保护，VLR鉴权，端对端认证；

2)SAMC中的接入认证：

整个认证过程，涉及四个网络实体，三组双向认证；

四个网络实体是IME，VLR/SGSN，HSE(SC，CA)，HE(HLLR，AuC)；

三组认证：VLR/SGSN和HSE的双向认证，IME和HSE双向认证，IME与VLR/SGSN的双向认证；

HSE和HE之间未作认证处理，实事上HSE与HE应该同属本地，甚至捆绑在一个组里，它们之间的信任关系应该单独处理，在IME认证期间，HSE和HE之间属于可信捆绑；

认证过程分析如下：

(1)IME发起认证，向VLR/SGSN发送REQ1，HRAND，REQt。 $\mathrm{REQ}1=\mathrm{Hih}(\mathrm{PBca},\mathrm{RAND})\⊕\mathrm{REQi}),$ 其中，REQi＝IME摘要|数字签名，PBca是HSE的公钥，t为时间戳，全长128bit，HRAND为随机数，全长128bit， $\mathrm{HRAND}=\mathrm{HSAND}\left(\right),\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HAND})\⊕t;$

(2)VLR/SGSN对IME发送的REQ1，取出HRAND， $\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕t),$ 用内置函数Hiv()作解密处理，计算 $\mathrm{Vt}=\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕(t+1),$ 附加REQ2转发至HSE， $\mathrm{REQ}2=\mathrm{Hvh}\left(\mathrm{PBca}\right)\⊕\mathrm{REQv},\mathrm{REQv}=\mathrm{VLR}/\mathrm{SGSN}$ 摘要|数字签名；

(3)HSE中SC收到HRAND，REQ1，REQ2，用Hih和Hvh函数得到REQi，REQv，SC查询CA得到对应的IME的公钥Hi2和VLR/SGSN的公钥Hv2，确认IME和VLR/SGSN的身份，如果IME与VLR/SGSN身份确认，SC读取存贮的IMSI/TMSI，转发IMSI/TMSI到HE，同时计算 $\mathrm{HASWi}=\mathrm{hih}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},$ $\mathrm{HASWv}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},$ REQh＝HSE摘要|数字签名，计算出完整性验证密钥HIK＝hik(IMSI，HRAND)，计算 $\mathrm{VHIK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HIK},$ 计算出加密密钥HCK＝hck(IMSI，HRAND)，计算 $\mathrm{VHCK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HCK},$ 最后向HE转发IME的IMSI；

(4)HE读取IMSI/TMSI判断IME的合法性，如果合法，发送鉴权矢量AV到HSE；

(5)HSE发送AV、HASWi、HASWv，VHIK，VHCK到VLR/SGSN；

(6)VLR/SGSN根据网络类型读出RAND和AUTN(3G)，XRES，用Hvh函数得到HSE摘要|数字签名，验证HSE的合法性，如果验证无误，利用Hvh函数算出完整性控制密钥HIK，加密密钥HCK，向IME发送RAND、AUTN(3G)、vt、HASWi；

(7)IME收到RAND、AUTN(3G)、vt、HASWi，用Hih函数得到HSE摘要|数字签名判断HSE是否合法，计算

是否等于t+1，确定HSE和VLR/SGSN合法后，计算HIK＝hik(IMSI，HRAND)用于数据的完整性计算，计算出加密密钥HCK＝hck(IMSI，HRAND)用于数据加密，计算RES，返回给VLR；

至此，认证结束，IME可以安全接入网络；

整个的认证过程，用到了如下函数和变量，现在作以说明：：

PBca：HSE的公钥，在无线网络中公开；

t：时间戳，全长128bit，用于鉴定VLR/SGSN合法性；

HRAND：IME端产生的随机数，辅助各加密算法使用；

REQ1：发向VLR和HSE的认证变量；

REQi：IME摘要|数字签名，用来表明IME的合法性；

EQRS：一个IME产生的随机数，用于判断VLR/SGSN的合法性；

REQ2：VLR/SGSN发向HSE的认证变量；

REQv：VLR/SGSN摘要|数字签名，用来表明VLR/SGSN的合法性；

REQh：HSE摘要|数字签名，用来表明HSE的合法性；

IME摘要：定长明文，配合IME数字签名使用；

IME数字签名：128bit散列，采用MD5算法生成，要求MD5(IME摘要)后与IME数字签名一致；

VLR/SGSN摘要：定长明文，配合VLR/SGSN数字签名使用；

VLR/SGSN数字签名：128bit散列，采用MD5算法生成，要求MD5(VLR/SGSN摘要)后与VLR/SGSN数字签名一致；

HSE摘要：定长明文，配合HSE数字签名使用；

HSE数字签名：128bit散列，采用MD5算法生成，要求MD5(HSE摘要)后与HSE数字签名一致；

EQRS：随机数，全长128bit；

HIK：完整性算法密钥，用于验证数据的完整性；

HCK：加密算法密钥，用于传输网络中的密文；

HSAND()：随机数生成函数，用以保证密码验证的新鲜，保存在IME端；

Hih()：密钥导出函数，用于处理IME与HSE之间的身份验证，在IME与HSE之间共享；

Hiv()：密钥导出函数，用于处理IME与VLR/SGSN之间的身份验证，在IME与VLR/SGSN之间共享；

Hvh()：密钥导出函数，用于处理VLR/SGSN与HSE之间的身份验证，在VLR/SGSN与HSE之间共享；

3)错误事件处理：

在上面对认证过程的描述中，阐述的是整个的流程，而并未就在此过程中发生的异常做进一步的分析；

(1)完整性检测失败

作为一个通用的安全原则，带有不正确的完整性检测值的信息不需更进一步的通告就应该丢弃。如果一个用户不小心使用了错误的密钥，而在完整性检测出错之前，其他认证错误就已经提前发生了；

(2)认证失败

如果HSE验证IME数字签名错误，则返回IME非法的错误信息；

如果HSE验证VLR/SGSN数字签名错误，向IME返回VLR/SGSN身份无法鉴定信息，由VLR/SGSN自行处理；

如果VLR/SGSN无法解析IME发送的时间戳t，向IME返回VLR/SGSN无法与IME同步信息；

如果VLR/SGSN无法鉴别HSE的身份，向IME返回HSE身份VLR/SGSN无法鉴别；

如果IME解析VLR/SGSN返回的时间戳不等于t+1，则VLR/SGSN为不正确接入点；

如果IME无法鉴别HSE的身份，则显示HSE不可信；

如果用户认证失败(RES与XRES不符)，一个通告将会返回到IME，注册被取消；

如果网络认证失败是因为在AUTN中的MAC不正确，那么事件在网络中有所显示，并且取消注册是；

如果网络认证失败是因为在AUTN中的SQN不被IME所接受，那么再次产生同步；

如果在一定时间内未接到响应，则可以判断为认证失效；

4)端到端的认证：

认证过程说明：

(1)IME1向IME2发起会话申请，申请中附带IME1的CA证书；

(2)IME2收到申请后，在本端检查证书合法性，如果没有IME1的证书，则向CA端提出申请，CA确认IME1的证书后，返回给IME2；

(3)IME2证明IME1的证书有效后，向IME1发出确认，并附带IME2的CA证书；

(4)同样IME1收到确认后，在本端检查证书合法性，如果没有IME2的证书，则向CA端提出申请，CA确认IME2的证书后，返回给IME1；

(5)IME1证明IME2的证书有效后，双方的认证结束，可以放心对话了

5)加密和完整性控制：

SAMC系统中定义了自己的完整性验证函数HI0()和加密函数HC0()，主要是弥补GSM中缺少的完整性验证和加密算法单薄的缺点，而对于UMTS，上述两个算法不予启动。这两个算法对于GSM用户也是可选的，IME分别与RNC(无线网络控制器)共享上述算法。

本发明与背景技术相比，具有的有益的效果是：

本发明是一种跨平台的移动通信安全体系的实现方法，其主要功能是提出建立一套全新的与平台无关的移动通信安全体系的方法，主要是依靠加强密钥，更新加密算法，引入CA认证等一系列的办法来实现。本方法实现了增强密钥强度，双向鉴权，规避明文传输，平台无关以及完整性保护，为用户提供一个健全的安全体系。

(1)安全性。本方法针对现有的安全体系的弱点提出了解决的方法，实现了增强密钥强度，双向鉴权，规避明文传输，平台无关以及完整性保护，有利于移动通信的安全性。

(2)实用性。本方法应用在现行和未来无线通信网络的安全平台，它本身对运载网络没有特殊要求。

附图说明

图1是本发明的实施过程示意图；

图2是本发明的SAMC网络结构图；

图3是本发明的SAMC安全认证过程示意图；

图4是本发明的SAMC系统加密函数关系图；

图5是本发明的UMTS五元组定义图；

图6是本发明的SAMC中端到端认证过程示意图；

图7是本发明的SAMC中的加解密函数HI0示意图；

图8是本发明的SAMC中的完整性验证函数HC0示意图。

具体实施方式

本发明是一种跨平台的移动通信安全体系的实现方法，下面结合图1说明本发明的具体实现流程：

1)网络构建：

移动通信安全体系(Security Architecture for Mobile Communication)，下面简称为SAMC。GSM(GPRS)的网络和UMTS的网络实体综合为：UE(UserEquipment)用户设备，USIM(Universal Subscriber Identify Module)通用用户标识模块，SIM(Subscriber Identify Module)用户识别模块，VLR(Visitor Register)拜访位置寄存器，MSC(Mobile Switching Centre)移动交换中心，SGSN(Servering GPRSSupport Node)GPRS服务支持节点，BS(Base Transceiver Station)基站收发器(GSM为BTS，UMTS为NODE B)，HE(Home Environment)归属环境，RNC(RadioNetwork Control)无线网络控制器。

上面所呈现的是GSM(GPRS)和UMTS中安全接入中所涉及的网络实体，SAMC以此为基础，它额外需要三个实体支持：①智能手机(Intelligent MobileEquipment)，以下简称IME；②安全中心(Security Center)，以下简称SC；③认证中心(Certification Authority)，以下简称CA。其中SC与CA构成一个归属安全环境(Home Security Environment)，以下简称为HSE。

下面就这三个网络实体，作以说明：

(1)IME：这里所讲的IME包括两个部分，一个是设备，即手持终端，另一个是IC卡，即传统的SIM和下一代的USIM，在SAMC系统中，我们认为二者作为一个整体出现，即总体定义为IME。IME中除了存贮传统网络中所需要的元素外(如GSM、GPRS、UMTS所规定的常量、加密函数)，为提高安全性，IME中还应该提供SAMC所额外增加的安全机制，SAMC需要进行额外的编码和完整性控制，所以移动终端必须拥有一个强大的处理器和比较多的内存。本安全机制要求一个智能手机和USIM/SIM卡支持。

(2)SC：每一个UMTS/GSM的HE/HLR配置一个SC，SC有这么几方面的作用：1、区别对待SAMC体系与非SAMC体系；2、验证IME的合法性；3、验证VLR/SGSN的合法性；4、提取IMSI，与HE进行对话。SC被用来处理来自于移动终端的请求。保证SAMC的安全性。

(3)CA：CA为SC提供认证和保密服务。这里的CA有两个作用，一是对GSM和UMTS中未加验证的网络实体加以验证，二是以数字证字代替原本在网络中传输的明文，如IMSI。

SC和CA认证被称为IME的本地安全环境(home securityenvironment—HSE)。如上所述，每一个HSE都对应的一个原网络中的HE/HLR，原本VLR/MSC/SGSN直接访问HE替换为先访问HSE，由HSE对VLR/MSC/SGSN作鉴权处理，并且根据情况提取UE的IMSI，对UE作出特权判断，如合法则将VLR/MSC/SGSN传递的参数，转递至HE。

SAMC网络结构图如图2所示。其中：IME(Intelligent Mobile Equipment)智能手机，VLR(Visitor Register)拜访位置寄存器，MSC(Mobile Switching Centre)移动交换中心，SGSN(Servering GPRS Support Node)GPRS服务支持节点，BS(Base Transceiver Station)，HE(Home Environment)归属环境，HLR(HOMELocation Register)归属位置寄存器，AuC(Authentication Centre)认证中心，RNC(Radio Network Control)无线网络控制器，HSE(home security environment)归属安全环境，SC(Security Center)安全中心，CA(Certification Authority)认证中心。

SAMC在不改变原有网络结构的情况下，在CN(CENTRE NETWORK)核心网中，增加HSE设备，用以增强网络安全和特权服务，而HSE设备的加入，对于VLR和HE几乎是透明的，它并不影响现有网络以及下一代网络3G的正常使用。对于普通的SIM或者USIM卡而言，并不会感觉到该设备，也不会与之作鉴权运算。而对于专用的IME，HSE提供了CA认证，完整性保护，VLR鉴权，端对端认证。

2)SAMC中的接入认证：

作为一个终端要进行通信的话，必须满足接入服务网络，而接入的安全性保障无疑是整个体系的基石下面，下面就SAMC的认证过程加以讲解。这里要说明的是，SAMC会根据UE的不同，采取透明和处理两种方式。透明状态是指当UE端为传统的用户识别模块SIM和UMTS中的通用用户识别模块USIM，SAMC体系中HSE里的安全中心SC中是转发VLR/MSC/SGSN的信念，本身不做任何处理；处理方式是当UE端采用SAMC体系中所定义的IME时，针对当前所依托的通信网络采取一定的安全机制。对于透明方式，因为过程简单明了，这里不做详细讲解，主要介绍下在UE端为SAMC体系中定义的IME时，SAMC的安全认证过程如图3所示。

认证过程说明：

整个认证过程，涉及四个网络实体，三组双向认证

四个网络实体是IME，VLR/SGSN，HSE(SC，CA)，HE(HLR，AuC)

三组认证：VLR/SGSN和HSE的双向认证，IME和HSE双向认证，IME与VLR/SGSN的双向认证

HSE和HE之间未作认证处理，实事上HSE与HE应该同属本地，甚至捆绑在一个组里，它们之间的信任关系应该单独处理，在IME认证期间，HSE和HE之间属于可信捆绑。

认证过程分析如下：

(1)IME发起认证，向VLR/SGSN发送REQ1，HRAND，REQt。 $\mathrm{REQ}1=\mathrm{Hih}(\mathrm{PBca},\mathrm{RAND})\⊕\mathrm{REQi}),$ 其中，REQi＝IME摘要|数字签名，PBca是HSE的公钥，t为时间戳，全长128bit，HRAND为随机数，全长128bit， $\mathrm{HRAND}=\mathrm{HSAND}\left(\right),\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HAND})\⊕t.$

(2)VLR/SGSN对IME发送的REQ1，取出HRAND， $\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕t),$ 用内置函数Hiv()作解密处理，计算 $\mathrm{Vt}=\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕(t+1),$ 附加REQ2转发至HSE。 $\mathrm{REQ}2=\mathrm{Hvh}\left(\mathrm{PBca}\right)\⊕\mathrm{REQv},\mathrm{REQv}=\mathrm{VLR}/\mathrm{SGSN}$ 摘要|数字签名。

(3)HSE中SC收到HRAND，REQ1，REQ2，用Hih和Hvh函数得到REQi，REQv，SC查询CA得到对应的IME的公钥Hi2和VLR/SGSN的公钥Hv2，确认IME和VLR/SGSN的身份，如果IME与VLR/SGSN身份确认，SC读取存贮的IMSI/TMSI，转发IMSI/TMSI到HE，同时计算 $\mathrm{HASWi}=\mathrm{hih}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},$ ， $\mathrm{HASWv}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},\mathrm{REQh}=\mathrm{HSE}$ 摘要|数字签名，计算出完整性验证密钥HIK＝hik(IMSI，HRAND)，计算 $\mathrm{VHIK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HIK},$ 计算出加密密钥HCK＝hck(IMSI，HRAND)，计算 $\mathrm{VHCK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HCK},$ 最后向HE转发IME的IMSI。

(4)HE读取IMSI/TMSI判断IME的合法性，如果合法，发送鉴权矢量AV到HSE

(5)HSE发送AV、HASWi、HASWv，VHIK，VHCK到VLR/SGSN

(6)VLR/SGSN根据网络类型读出RAND和AUTN(3G)，XRES，用Hvh函数得到HSE摘要|数字签名，验证HSE的合法性，如果验证无误，利用Hvh函数算出完整性控制密钥HIK，加密密钥HCK，向IME发送RAND、AUTN(3G)、vt、HASWi

(7)IME收到RAND、AUTN(3G)、vt、HASWi，用Hih函数得到HSE摘要|数字签名判断HSE是否合法，计算

是否等于t+1，确定HSE和VLR/SGSN合法后，计算HIK＝hik(IMSI，HRAND)用于数据的完整性计算，计算出加密密钥HCK＝hck(IMSI，HRAND)用于数据加密，计算RES，返回给VLR

至此，认证结束，IME可以安全接入网络。

整个的认证过程，用到了如下函数和变量，现在作以说明：

PBca：HSE的公钥，在无线网络中公开

t：时间戳，全长128bit，用于鉴定VLR/SGSN合法性

HRAND：IME端产生的随机数，辅助各加密算法使用

REQ1：发向VLR和HSE的认证变量

REQi：IME摘要|数字签名，用来表明IME的合法性

EQRS：一个IME产生的随机数，用于判断VLR/SGSN的合法性

REQ2：VLR/SGSN发向HSE的认证变量

REQv：VLR/SGSN摘要|数字签名，用来表明VLR/SGSN的合法性

REQh：HSE摘要|数字签名，用来表明HSE的合法性

IME摘要：定长明文，配合IME数字签名使用

IME数字签名：128bit散列，采用MD5算法生成，要求MD5(IME摘要)后与IME数字签名一致

VLR/SGSN摘要：定长明文，配合VLR/SGSN数字签名使用

VLR/SGSN数字签名：128bit散列，采用MD5算法生成，要求MD5(VLR/SGSN摘要)后与VLR/SGSN数字签名一致

HSE摘要：定长明文，配合HSE数字签名使用

HSE数字签名：128bit散列，采用MD5算法生成，要求MD5(HSE摘要)后与HSE数字签名一致

EQRS：随机数，全长128bit

HIK：完整性算法密钥，用于验证数据的完整性

HCK：加密算法密钥，用于传输网络中的密文

HSAND()：随机数生成函数，用以保证密码验证的新鲜，保存在IME端

Hih()：密钥导出函数，用于处理IME与HSE之间的身份验证，在IME与HSE之间共享；

Hiv()：密钥导出函数，用于处理IME与VLR/SGSN之间的身份验证，在IME与VLR/SGSN之间共享；

Hvh()：密钥导出函数，用于处理VLR/SGSN与HSE之间的身份验证，在VLR/SGSN与HSE之间共享；

以上SAMC系统定义的加密函数关系表现如图4所示。

IME端产生时间戳变量T和随机数HRAND，HRAND和CA中心的公钥PBca作为Hiv，Hih，Hvh加密函数的参数。

另外，AV矢量为GSM和UMTS所定定义的矢量，其中GSM为RAND，SRES，KC，而UMTS为RAND，XRES，CK，IK，AUTN。可以证明3G网中，GSM的三元组可以由UMTS五元组构成，UMTS的五元组定义，如图5所示。

3)错误事件处理：

在上面对认证过程的描述中，阐述的是整个的流程，而并未就在此过程中发生的异常做进一步的分析。

(1)完整性检测失败

作为一个通用的安全原则，带有不正确的完整性检测值的信息不需更进一步的通告就应该丢弃。如果一个用户不小心使用了错误的密钥，而在完整性检测出错之前，其他认证错误就已经提前发生了。

(2)认证失败

如果HSE验证IME数字签名错误，则返回IME非法的错误信息；

如果HSE验证VLR/SGSN数字签名错误，向IME返回VLR/SGSN身份无法鉴定信息，由VLR/SGSN自行处理

如果VLR/SGSN无法解析IME发送的时间戳t，向IME返回VLR/SGSN无法与IME同步信息。

如果VLR/SGSN无法鉴别HSE的身份，向IME返回HSE身份VLR/SGSN无法鉴别。

如果IME解析VLR/SGSN返回的时间戳不等于t+1，则VLR/SGSN为不正确接入点。

如果IME无法鉴别HSE的身份，则显示HSE不可信。

如果用户认证失败(RES与XRES不符)，一个通告将会返回到IME，注册被取消；

如果网络认证失败是因为在AUTN中的MAC不正确，那么事件在网络中有所显示，并且取消注册是；

如果网络认证失败是因为在AUTN中的SQN不被IME所接受，那么再次产生同步

如果在一定时间内未接到响应，则可以判断为认证失效。

从上面认证过程，可以看到：SAMC并未破坏移动通信系统结构，只是在VLR/SGSN中增加了两个密钥导出函数，Hiv()和Hvh()，用于增强安全性。移动通信系统作为SAMC的最底层。它的作用就是被SAMC调用。SAMC是一套平台无关的系统，可以应用在不同的通信网络，如GSM、GPRS和UMTS下。

4)端到端的认证：

在SAMC体系中，引入第三方认证机制，由HSE负责端对端的认证，整个处理过程如图6所示。

认证过程说明：

①IME1向IME2发起会话申请，申请中附带IME1的CA证书

②IME2收到申请后，在本端检查证书合法性，如果没有IME1的证书，则向CA端提出申请，CA确认IME1的证书后，返回给IME2

③IME2证明IME1的证书有效后，向IME1发出确认，并附带IME2的CA证书

④同样IME1收到确认后，在本端检查证书合法性，如果没有IME2的证书，则向CA端提出申请，CA确认IME2的证书后，返回给IME1

⑤IME1证明IME2的证书有效后，双方的认证结束，可以放心对话了

当然，对话的前提是会话密钥一致性协商已经完成，这个可以参见前面的接入认证过程。

整个认证过程，清晰明了，采用了CA认证后，能够有效的降低用户端负担和网络负载，并且管理规范，安全性得到极大提高的同时，也为日后的升级提供了便利，因为整个安全的核心不在UE端，而在HSE的CA中心，这就使得可以动态的对安全机制升级，以时时提高整体的安全性能。

5)加密和完整性控制：

安全机制的每一个部分没有严格的边界，它们依靠对方而存在。认证是整个安全机制的基础，因为它是建立会话的前提。与此同时，认证依赖于密码机制和完整性控制。

SAMC系统中定义了自己的完整性验证函数HI0()和加密函数HC0()，主要是弥补GSM中缺少的完整性验证和加密算法单薄的缺点，而对于UMTS，上述两个算法不予启动。这两个算法对于GSM用户也是可选的，IME分别与RNC(无线网络控制器)共享上述算法。

参考2G标准中的A3，A8以及3GPP标准中的的f8，f9，现将HI0()和HC0()定义如下：

HI0和HC0均定义为同步流加密函数，加密解密操作基于相同密钥和一系列相同初始化参数，HC0产生的密钥流块通过与明文按位异或来加密明文得到密文，再使用相同的输入参数得到相同密钥流块，与密文进行按位异或操作得到明文。如图7所示。

安全机制的每一个部分没有严格的边界，它们依靠对方而存在。认证是整个安全机制的基础，因为它是建立会话的前提。与此同时，认证依赖于密码机制和完整性控制。

SAMC系统中定义了自己的完整性验证函数HI0()和加密函数HC0()，主要是弥补GSM中缺少的完整性验证和加密算法单薄的缺点，而对于UMTS，上述两个算法不予启动。这两个算法对于GSM用户也是可选的，IME分别与RNC(无线网络控制器)共享上述算法。

参考2G标准中的A3，A8以及3GPP标准中的的f8，f9，现将HI0()和HC0()定义如下：

HI0和HC0均定义为同步流加密函数，加密解密操作基于相同密钥和一系列相同初始化参数，HC0产生的密钥流块通过与明文按位异或来加密明文得到密文，再使用相同的输入参数得到相同密钥流块，与密文进行按位异或操作得到明文。

如图7所示是SAMC中的加解密函数HI0的定义，说明如下：

HI0的参数：HIK(完整性密钥)，COUNT-I(基于时间和帧的输入)，FRESH(一个由网络端产生的随机数值)，DIRECTION(方向性)，MESSAGE(信令信息)

加密函数HI0用来保护数据完整性和认证RRC层信令数据的数据来源。加密信息认证算法在密钥参数和初始数值集控制下，从任意升序信息中产生一个固定长度HMAC，比较发送端和接收端，如果一致表明数据未被破坏。

图8所示是SAMC中的完整性验证函数HC0，说明如下：

HC0参数：HCK(加密密钥)，COUNT-C(基于时间的输入)，BEARER(承载标识)，DIRECTION(传输方向)，LENGTH(明文块长度)

每一次认证过和中都会重新产生一个HCK。COUNT-C、BEARER和DIRECTION是初始化参数，产生每个密钥流块时都要对它们进行更新。基于时间的输入COUNT-C作为同步流加密的一个同步参数也在明文中被发送。输入参数LENGTH只影响密钥流块的长度。

算法根据这些输入参数产生输出密钥流块，用来加密输入明言语块，以产生输出密文块。

参数说明：

COUNT-C：基于时间的输入，长度为32bit，密码流同步是基于物理层帧计数器和超帧计数器结合的使用，这样可以避免密码流的重复使用。COUNT-C在建立连接时初始化。

BEARER：无线承载标识，长度5bit。相同密钥可能被一个用户的多个无线承载同时使用，为了避免使用相同密钥流加密多个承载，算法根据无线承载标识来产生不同密钥流。

DIRECTION：传输方向，上行即从IME到RNC定义为0，下行，即RNC到IME定义为1，由于上行和下行的信道有可能使用相同密钥，DIRECTION位的目的就是避免这样情况。

LENGTH：密钥流长度，是1到20000之间的整数，长16bit。用于体现明文长度。LENGTH数值的范围是由信令数据单元的大小和数量决定的。

FRESH：一次性随机数，长度32bit，FRESH值作为算法的输入是为了保证网络端用户不重复使用HMAC

MESSAGE：信令数据。

Claims (1)

1.一种跨平台的移动通信安全体系的实现方法，其特征在于该方法的步骤如下：

1)网络构建：

移动通信安全体简称为SAMC，在不改变原有网络结构的情况下，在核心网中，增加HSE设备，用以增强网络安全和特权服务，而HSE设备的加入，对于VLR和HE几乎是透明的，它并不影响现有网络以及下一代网络3G的正常使用；对于普通的SIM或者USIM卡而言，并不会感觉到该设备，也不会与之作鉴权运算。而对于专用的IME，HSE提供了CA认证，完整性保护，VLR鉴权，端对端认证；

2)SAMC中的接入认证：

整个认证过程，涉及四个网络实体，三组双向认证；

四个网络实体是IME，VLR/SGSN，HSE(SC，CA)，HE(HLR，AuC)；

三组认证：VLR/SGSN和HSE的双向认证，IME和HSE双向认证，IME与VLR/SGSN的双向认证；

HSE和HE之间未作认证处理，实事上HSE与HE应该同属本地，甚至捆绑在一个组里，它们之间的信任关系应该单独处理，在IME认证期间，HSE和HE之间属于可信捆绑；

认证过程分析如下：

(1)IME发起认证，向VLR/SGSN发送REQ1，HRAND，REQt。 $\mathrm{REQ}1=\mathrm{Hih}(\mathrm{PBca},\mathrm{RAND})\⊕\mathrm{REQi}),$ 其中，REQi＝IME摘要|数字签名，PBca是HSE的公钥，t为时间戳，全长128bit，HRAND为随机数，全长128bit， $\mathrm{HRAND}=\mathrm{HSAND}\left(\right),\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HAND})\⊕t;$

(2)VLR/SGSN对IME发送的REQ1，取出HRAND， $\mathrm{REQt}=(\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕t),$ 用内置函数Hiv()作解密处理，计算 $\mathrm{Vt}=\mathrm{Hiv}(\mathrm{PBca},\mathrm{HRAND})\⊕(t+1),$ 附加REQ2转发至HSE， $\mathrm{REQ}2=\mathrm{Hvh}\left(\mathrm{PBca}\right)\⊕\mathrm{REQv},\mathrm{REQv}=\mathrm{VLR}/\mathrm{SGSN}$ 摘要|数字签名；

(3)HSE中SC收到HRAND，REQ1，REQ2，用Hih和Hvh函数得到REQi，REQv，SC查询CA得到对应的IME的公钥Hi2和VLR/SGSN的公钥Hv2，确认IME和VLR/SGSN的身份，如果IME与VLR/SGSN身份确认，SC读取存贮的IMSI/TMSI，转发IMSI/TMSI到HE，同时计算 $\mathrm{HASWi}=\mathrm{hih}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},$ $\mathrm{HASWv}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{REQh},$ REQh＝HSE摘要|数字签名，计算出完整性验证密钥HIK＝hik(IMSI，HRAND)，计算 $\mathrm{VHIK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HIK},$ 计算出加密密钥HCK＝hck(IMSI，HRAND)，计算 $\mathrm{VHCK}=\mathrm{hvh}(\mathrm{PBca},\mathrm{HRAND})\⊕\mathrm{HCK},$ 最后向HE转发IME的IMSI；

(4)HE读取IMSI/TMSI判断IME的合法性，如果合法，发送鉴权矢量AV到HSE；

(5)HSE发送AV、HASWi、HASWv，VHIK，VHCK到VLR/SGSN；

(6)VLR/SGSN根据网络类型读出RAND和AUTN(3G)，XRES，用Hvh函数得到HSE摘要|数字签名，验证HSE的合法性，如果验证无误，利用Hvh函数算出完整性控制密钥HIK，加密密钥HCK，向IME发送RAND、AUTN(3G)、vt、HASWi；

(7)IME收到RAND、AUTN(3G)、vt、HASWi，用Hih函数得到HSE摘要|数字签名判断HSE是否合法，计算

是否等于t+1，确定HSE和VLR/SGSN合法后，计算HIK＝hik(IMSI，HRAND)用于数据的完整性计算，计算出加密密钥HCK＝hck(IMSI，HRAND)用于数据加密，计算RES，返回给VLR；

至此，认证结束，IME可以安全接入网络；

整个的认证过程，用到了如下函数和变量，现在作以说明：：

PBca：HSE的公钥，在无线网络中公开；

t：时间戳，全长128bit，用于鉴定VLR/SGSN合法性；

HRAND：IME端产生的随机数，辅助各加密算法使用；

REQ1：发向VLR和HSE的认证变量；

REQi：IME摘要|数字签名，用来表明IME的合法性；

EQRS：一个IME产生的随机数，用于判断VLR/SGSN的合法性；

REQ2：VLR/SGSN发向HSE的认证变量；

REQv：VLR/SGSN摘要|数字签名，用来表明VLR/SGSN的合法性；

REQh：HSE摘要|数字签名，用来表明HSE的合法性；

IME摘要：定长明文，配合IME数字签名使用；

IME数字签名：128bit散列，采用MD5算法生成，要求MD5(IME摘要)后与IME数字签名一致；

VLR/SGSN摘要：定长明文，配合VLR/SGSN数字签名使用；

VLR/SGSN数字签名：128bit散列，采用MD5算法生成，要求MD5(VLR/SGSN摘要)后与VLR/SGSN数字签名一致；

HSE摘要：定长明文，配合HSE数字签名使用；

HSE数字签名：128bit散列，采用MD5算法生成，要求MD5(HSE摘要)后与HSE数字签名一致；

EQRS：随机数，全长128bit；

HIK：完整性算法密钥，用于验证数据的完整性；

HCK：加密算法密钥，用于传输网络中的密文；

HSAND()：随机数生成函数，用以保证密码验证的新鲜，保存在IME端；

Hih()：密钥导出函数，用于处理IME与HSE之间的身份验证，在IME与HSE之间共享；

Hiv()：密钥导出函数，用于处理IME与VLR/SGSN之间的身份验证，在IME与VLR/SGSN之间共享；

Hvh()：密钥导出函数，用于处理VLR/SGSN与HSE之间的身份验证，在VLR/SGSN与HSE之间共享；

3)错误事件处理：

在上面对认证过程的描述中，阐述的是整个的流程，而并未就在此过程中发生的异常做进一步的分析；

(1)完整性检测失败

作为一个通用的安全原则，带有不正确的完整性检测值的信息不需更进一步的通告就应该丢弃。如果一个用户不小心使用了错误的密钥，而在完整性检测出错之前，其他认证错误就已经提前发生了；

(2)认证失败

如果HSE验证IME数字签名错误，则返回IME非法的错误信息；

如果HSE验证VLR/SGSN数字签名错误，向IME返回VLR/SGSN身份无法鉴定信息，由VLR/SGSN自行处理；

如果VLR/SGSN无法解析IME发送的时间戳t，向IME返回VLR/SGSN无法与IME同步信息；

如果VLR/SGSN无法鉴别HSE的身份，向IME返回HSE身份VLR/SGSN无法鉴别；

如果IME解析VLR/SGSN返回的时间戳不等于t+1，则VLR/SGSN为不正确接入点；

如果IME无法鉴别HSE的身份，则显示HSE不可信；

如果用户认证失败(RES与XRES不符)，一个通告将会返回到IME，注册被取消；

如果网络认证失败是因为在AUTN中的MAC不正确，那么事件在网络中有所显示，并且取消注册是；

如果网络认证失败是因为在AUTN中的SQN不被IME所接受，那么再次产生同步；

如果在一定时间内未接到响应，则可以判断为认证失效；

4)端到端的认证：

认证过程说明：

(1)IME1向IME2发起会话申请，申请中附带IME1的CA证书；

(2)IME2收到申请后，在本端检查证书合法性，如果没有IME1的证书，则向CA端提出申请，CA确认IME1的证书后，返回给IME2；

(3)IME2证明IME1的证书有效后，向IME1发出确认，并附带IME2的CA证书；

(4)同样IME1收到确认后，在本端检查证书合法性，如果没有IME2的证书，则向CA端提出申请，CA确认IME2的证书后，返回给IME1；

(5)IME1证明IME2的证书有效后，双方的认证结束，可以放心对话了

5)加密和完整性控制：

SAMC系统中定义了自己的完整性验证函数HI0()和加密函数HC0()，主要是弥补GSM中缺少的完整性验证和加密算法单薄的缺点，而对于UMTS，上述两个算法不予启动。这两个算法对于GSM用户也是可选的，IME分别与RNC(无线网络控制器)共享上述算法。

Images