張 靜,艾 渤,鐘章隊(duì)

(1.北京交通大學(xué)軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室,北京100044;2.北京交通大學(xué) 電子信息工程學(xué)院,北京 100044)

1 引 言

隨著通信技術(shù)的迅猛發(fā)展,LTE的安全問(wèn)題相對(duì)于2G、3G增加了,要求也提高了[1]。在LTE中,利用認(rèn)證和密鑰協(xié)商(Authentication and Key Agreement,AKA)來(lái)實(shí)現(xiàn)用戶和網(wǎng)絡(luò)之間的互相認(rèn)證[2],但是在首次接入網(wǎng)絡(luò)或者網(wǎng)絡(luò)端需要用戶傳輸國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)時(shí),IMSI是以明文形式發(fā)送的[3],這樣勢(shì)必會(huì)引起安全的問(wèn)題。在用戶認(rèn)證之后再次接入到網(wǎng)絡(luò)時(shí),只需要發(fā)送臨時(shí)移動(dòng)用戶識(shí)別碼(Temporary Mobile Subscriber Identity,TMSI)即可[4]。服務(wù)網(wǎng)絡(luò)(Serving Network,SN)會(huì)把IMSI和TMSI之間的聯(lián)系存放在本地?cái)?shù)據(jù)庫(kù)中,這時(shí)的TMSI代替IMSI識(shí)別用戶。當(dāng)用戶漫游到一個(gè)新的網(wǎng)絡(luò)時(shí),舊的網(wǎng)絡(luò)會(huì)把當(dāng)前的TMSI及其IMSI之間的聯(lián)系發(fā)送到新的網(wǎng)絡(luò)。

對(duì)于IMSI的傳輸問(wèn)題,傳統(tǒng)網(wǎng)絡(luò)采用的都是明文形式發(fā)送,這樣勢(shì)必會(huì)產(chǎn)生安全問(wèn)題,當(dāng)然有些組織也曾提出用有線來(lái)傳送IMSI,但是相對(duì)有線的預(yù)算投入以及后期維護(hù),IMSI更適合在開(kāi)放環(huán)境下的無(wú)線中傳輸,并且可以實(shí)現(xiàn)安全傳輸。

本文中提出通用移動(dòng)通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)中增強(qiáng)認(rèn)證的思想以及方法[5],結(jié)合LTE認(rèn)證的特點(diǎn),把UMTS中的部分認(rèn)證方法應(yīng)用到LTE系統(tǒng)中,即用動(dòng)態(tài)移動(dòng)用戶識(shí)別碼(DMSI)代替IMSI來(lái)實(shí)現(xiàn)用戶的認(rèn)證,實(shí)現(xiàn)無(wú)線環(huán)境下的安全傳輸,較IMSI而言,DMSI改善了IMSI明文發(fā)送的不安全性,并且DMSI的隨機(jī)性進(jìn)一步防止了重放攻擊,加密傳送提高了用戶的安全性。

2 LTE中的AKA過(guò)程

LTE的AKA認(rèn)證過(guò)程和UMTS中的AKA認(rèn)證過(guò)程基本相同,繼承了UMTS中五元組鑒權(quán)機(jī)制的優(yōu)點(diǎn),實(shí)現(xiàn)了UE和網(wǎng)絡(luò)側(cè)的雙向認(rèn)證。該AKA過(guò)程如圖1所示[6]。

圖1 AKA流程Fig.1 AKA procedure

協(xié)議的具體流程信息:

(1)MME※UE標(biāo)識(shí)請(qǐng)求和標(biāo)識(shí)響應(yīng),IMSI;

(2)MME※HSS認(rèn)證數(shù)據(jù)請(qǐng)求,IMSI、EKHU(R1)、SN Identity、Network Type;

(3)HSS※MME認(rèn)證數(shù)據(jù)響應(yīng),RAND、AUTN、XRES、KASME;

(4)MME※UE用戶數(shù)據(jù)請(qǐng)求,(RANDIIAUTN,R1)IIhash(RANDIIAUTN,R1);

(5)UE※MME用戶認(rèn)證數(shù)據(jù)響應(yīng),RES[7]。

其中,R1為UE(User Equipment)產(chǎn)生的隨機(jī)數(shù),EKHM為HSS和MME共享的秘密密鑰,hash()為移動(dòng)管理實(shí)體(Mobility Management Entity,MME)與UE共享的哈希函數(shù),哈希函數(shù)的作用是為了保護(hù)消息的完整性,EKHU是認(rèn)證成功之后MME與UE產(chǎn)生的加密密鑰。

在初始認(rèn)證結(jié)束后,UE和MME共享同一個(gè)KASME。在后續(xù)的過(guò)程中UE和MME根據(jù)KASME產(chǎn)生密鑰KeNB,MME產(chǎn)生的密鑰KeNB交給響應(yīng)的基站,而后產(chǎn)生其它相關(guān)的加密密鑰和完整性密鑰。

3 DMSI、工作流程

當(dāng)通信需要傳輸IMSI時(shí),用DMSI代替IMSI傳輸。IMSI由國(guó)家代碼(MCC)、網(wǎng)絡(luò)代碼(MNC)和用戶身份代碼(MSIN)組成[8]:

3.1 身份識(shí)別動(dòng)態(tài)碼

隨機(jī)動(dòng)態(tài)碼——身份識(shí)別動(dòng)態(tài)碼(Dynamic number for Identity Confidentiality,DIC)用來(lái)認(rèn)證用戶身份。每次本地用戶服務(wù)器(Home Subscriber Server,HSS)產(chǎn)生一個(gè)新的認(rèn)證矢量時(shí),就產(chǎn)生一個(gè)新的DIC,而DIC-IMSI之間的聯(lián)系也存儲(chǔ)在HSS中的數(shù)據(jù)庫(kù)中。認(rèn)證矢量包括 RAND、AUTN、XRES、KASME[9]4個(gè)參數(shù)。把產(chǎn)生的DIC嵌入到每個(gè)認(rèn)證矢量的隨機(jī)數(shù)中(RANDs),并且為了防止傳輸過(guò)程中可能存在的無(wú)法一次傳送,當(dāng)前的DIC會(huì)依舊存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中。

DIC的產(chǎn)生主要由存儲(chǔ)在HSS中的DIC-Index實(shí)現(xiàn),HSS收到UE的DIC后,根據(jù)DIC-IMSI的關(guān)系,獲得用戶的信息,并且根據(jù)DIC-Index獲得新的DIC,嵌入進(jìn)RAND中發(fā)送。根據(jù)TMSI的長(zhǎng)度為32 bit來(lái)考慮,可知DIC的長(zhǎng)度不會(huì)超過(guò)32 bit。那么存儲(chǔ)在HSS中的DIC的數(shù)目不會(huì)超過(guò)232個(gè),并且可以根據(jù)用戶要求的安全級(jí)別,對(duì)DIC-Index進(jìn)行設(shè)置,以調(diào)整DICnew和DICold之間的對(duì)應(yīng)復(fù)雜關(guān)系,如果安全要求級(jí)別高,可以把DIC-Index的指針設(shè)置復(fù)雜,這樣對(duì)于非授權(quán)用戶,就更不可能獲得DIC的信息了。

根據(jù)存儲(chǔ)在HSS中的DIC-Index,可以得到DICnew,而之前用過(guò)的DIC也會(huì)變成Null,這個(gè)用過(guò)的數(shù)值就不再使用。

把DICnew嵌入到認(rèn)證矢量的隨機(jī)數(shù) RAND中,即可得到RANDnew。

(1)用一個(gè)隨機(jī)數(shù)字發(fā)生器生成128 bit隨機(jī)數(shù)字RAND。

(2)根據(jù)存儲(chǔ)在HSS中的 DIC-Index得到DICnew。

(3)DICnew嵌入RAND是一個(gè)加密過(guò)程,使用UE和HSS之間的共享密鑰K[10]進(jìn)行加密,生成RANDnew。

DIC產(chǎn)生流程如圖2所示。其中,fs的作用是從DIC指針中找出一個(gè)沒(méi)有使用過(guò)的DIC;fe的作用是把產(chǎn)生的 DICnew嵌入到 RAND中,生成一個(gè)RANDnew。這樣每一次認(rèn)證傳輸?shù)亩际遣煌臄?shù)值,既保護(hù)了用戶又實(shí)現(xiàn)了認(rèn)證。

圖2 DIC產(chǎn)生過(guò)程Fig.2 Construction of the parameter DIC

當(dāng)用戶首次接入網(wǎng)絡(luò)時(shí),HSS不會(huì)發(fā)送RAND,這時(shí)候需要一個(gè)初始的DIC。首次接入需要的DIC會(huì)和密鑰K一樣,存儲(chǔ)在用戶的全球用戶識(shí)別卡(Universal Subscriber Identity Module,USIM)中。

DIC帶來(lái)的好處是只要在本地網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)中存儲(chǔ)DIC指針,就可以產(chǎn)生變化的DMSI,并且這個(gè)指針可以根據(jù)用戶的話務(wù)量以及需要認(rèn)證的統(tǒng)計(jì)次數(shù)進(jìn)行設(shè)置,真正做到了動(dòng)態(tài)性。

3.2 動(dòng)態(tài)移動(dòng)用戶識(shí)別碼

在需要傳輸IMSI時(shí),可以用DMSI代替。根據(jù)從MS中接收到的DIC的不同,DMSI的數(shù)值一直在改變。這時(shí),DMSI由國(guó)家代碼(MCC)、網(wǎng)絡(luò)代碼(MNC)和從用戶收到的最新的DIC組成:

那么如何從接收到的 RANDnew中提取出DIC呢?這里需要一個(gè)和之前函數(shù)fe產(chǎn)生RANDnew相反的解密過(guò)程,如圖3所示。其中,fex函數(shù)就是和fe函數(shù)相反的解密過(guò)程。這樣就可以從收到的RAND中獲得DIC,也就得到了DMSI。

圖3 DIC提取過(guò)程Fig.3 Extraction of DIC from RAND

DMSI工作流程如下:

(1)第一次接入時(shí),用戶和HSS之間共享一個(gè)密鑰K,K存儲(chǔ)在用戶的USIM卡中,因此,也可以把初始的RIC也存儲(chǔ)在USIM卡中,形成DMSI進(jìn)行傳輸;

(2)HSS收到DMSI之后,根據(jù)和用戶之間DIC-IMSI關(guān)系得到用戶的IMSI,進(jìn)行認(rèn)證;然后根據(jù)存儲(chǔ)在本地網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的DIC-Index,指示一個(gè)沒(méi)有用過(guò)的新鮮DIC,重新組成DMSI,并且采用加密算法把DIC中嵌入到RAND中進(jìn)行傳輸;

(3)用戶收到HSS傳回的DMSI后,進(jìn)行對(duì)稱(chēng)加密算法解密還原DIC,并且存儲(chǔ)起來(lái),作為下一次認(rèn)證傳輸DMSI時(shí)的DIC。

至此,認(rèn)證過(guò)程完成。

4 方案論證與分析

IMSI和DMSI的組成部分的差異主要在于第三部分的不同。IMSI的第三部分是用戶身份代碼(MSIN),而DMSI的第三部分則是身份識(shí)別動(dòng)態(tài)碼(DIC)。兩者最大的不同就是MSIN是靜態(tài)的,DIC是動(dòng)態(tài)改變的;MSIN是明文的,DIC是加密的。

根據(jù)LTE安全性的要求——機(jī)密性和完整性保護(hù),分析DMSI的安全性優(yōu)于IMSI。

4.1 機(jī)密性

機(jī)密性就是意味著只有授權(quán)方才可以看到數(shù)據(jù)或者傳送的內(nèi)容,未授權(quán)方無(wú)權(quán)看到。目前為止,機(jī)密性主要通過(guò)加密手段來(lái)實(shí)現(xiàn),以確保信息在傳輸過(guò)程中不會(huì)被非法用戶獲取。因此,一些對(duì)稱(chēng)加密算法,即在解密和解密過(guò)程使用相同的密鑰,例如3DES、AES等,常被用來(lái)加強(qiáng)機(jī)密性。在本次仿真中,使用的是 DES算法,密鑰選用的是7位,當(dāng)然可以根據(jù)不同的安全等級(jí)要求來(lái)設(shè)定密鑰的位數(shù)。圖4為對(duì)稱(chēng)加密算法加密解密演示界面。

圖4 數(shù)據(jù)加密程序演示界面Fig.4 Data encryption

在傳輸IMSI時(shí),由于是明文傳輸,并沒(méi)有對(duì)IMSI進(jìn)行加密,因此就談不上機(jī)密性的保護(hù)。但在DMSI中,初始的DIC是由UE和HSS之間共享的,并且之后的DIC由存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中的DIC—Index決定,DICnew更是進(jìn)行加密過(guò)程鑲嵌在RAND中進(jìn)行傳輸?shù)?采用的是對(duì)稱(chēng)加密算法。因此,DMSI較IMSI來(lái)說(shuō),顯然增強(qiáng)了機(jī)密性。

4.2 完整性保護(hù)

信息完整性是指確保系統(tǒng)中用戶信息的完整和真實(shí)可信。通信過(guò)程中,需要確保發(fā)送和接收的信息總是一致的,也就是數(shù)據(jù)在通信過(guò)程中沒(méi)有被篡改過(guò)。完整性保護(hù)就是確定數(shù)據(jù)沒(méi)有被非法篡改,保證合法用戶得到正確、完整的信息。主要技術(shù)有數(shù)據(jù)加密、密碼分析、數(shù)字簽名、信息鑒別、秘密共享等。在使用DMSI之前,傳輸?shù)亩际敲魑男问降腎MSI,極有可能被攻擊者篡改用戶信息。但是在使用DMSI之后,采用了完整性保護(hù)技術(shù)中的數(shù)據(jù)加密技術(shù),因此攻擊者就無(wú)法篡改用戶信息了。圖5中顯示的是加密和解密兩個(gè)過(guò)程,不難看出,經(jīng)過(guò)加密之后的DIC在傳輸過(guò)程中呈現(xiàn)的是亂碼狀態(tài),因此就不用擔(dān)心被未授權(quán)者截獲,在接收端根據(jù)對(duì)稱(chēng)加密算法也可以解密出代表客戶身份的DIC,改善了IMSI明文傳輸所帶來(lái)的威脅;并且,根據(jù)指針的復(fù)雜度可以調(diào)整DIC的隨機(jī)性,這樣也可以防止重放攻擊。

圖5 加密解密過(guò)程演示Fig.5 Data decryption

5 結(jié) 論

本文提出了用DMSI來(lái)代替IMSI的方法,即用動(dòng)態(tài)的DMSI代替靜態(tài)的IMSI傳輸,并對(duì)所提方法的性能特點(diǎn)進(jìn)行了理論分析和仿真研究。較之傳統(tǒng)的IMSI明文傳輸方式,DMSI增加了兩大特點(diǎn):隨機(jī)性和加密傳輸。理論分析表明,DIC的隨機(jī)性可以減少重放攻擊帶來(lái)的危害,仿真研究顯示加密傳送無(wú)論從機(jī)密性還是完整性方面來(lái)說(shuō),較之IMSI都有了很大的提高,從根本上解決了IMSI的安全問(wèn)題。而且,并不需要在網(wǎng)絡(luò)中進(jìn)行大規(guī)模修改,只是在HSS中加入 fs函數(shù)——指針函數(shù)和 fe函數(shù)——加密函數(shù),在用戶方加入fex函數(shù)——解密函數(shù),在本地網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)中存儲(chǔ)一些數(shù)據(jù),并且根據(jù)現(xiàn)有的SIM卡計(jì)算能力,對(duì)稱(chēng)密鑰加密算法還是可實(shí)現(xiàn)的。

對(duì)于IMSI的保護(hù),一直都是無(wú)線通信安全一個(gè)重要方面。本文所提方法及其分析結(jié)論對(duì)于實(shí)際系統(tǒng)中IMSI的安全傳輸具有一定的指導(dǎo)意義。

[1]Seddigh N,Nandy B,Makkar R.Security Advances and Challenges in 4G Wireless Networks[C]//Proceedings of the 8th Annual International Conference on Privacy,Security and Trust.Ottawa:IEEE,2010:62-71.

[2]趙訓(xùn)威,林輝,張明,等.3GPP長(zhǎng)期演進(jìn)(LTE)系統(tǒng)架構(gòu)與技術(shù)規(guī)范[M].北京:人民郵電出版社,2010.ZHAO Xun-wei,LIN Hui,ZHANG Ming,et al.3GPP Long Term Evolution:Architecture and Specification[M].Beijing:People′sPostsand TelecommunicationsPress,2010.(in Chinese)

[3]3GPP TS 33.401 V9.4.0,LTE security:security architecture[S].

[4]Abdelkader M,Hamdi M,BoudrigaN.A Novel Advanced I-dentity Management Scheme for Seamless Handoff in 4G Wireless Networks[C]//Proceedings of GLOBECOM Workshops.Bangalore:IEEE,2010:2075-2080.

[5]Choudhury H,Roychoudhury B,Saikia D K.End-to-End User Identity Confidentiality for UMTS Networks[C]//Proceedings of Computer Science and Information Technology Conference.Shanghai:IEEE,2010:46-50.

[6]3GPP.TS 33.401,System Architecture Evolution[S].

[7]3GPP.TS 33.401 V8.5.0,3GPP system architecture evolution:Security architecture[S].

[8]Liu Z Y,Xie S L,Lai V.A Fast Suffix Matching Method in Network Processor[C]//Proceedings of 2008 International Conference on ComputationalIntelligenceand Security.Suzhou:IEEE,2008:405-410.

[9]Han C K,Hyoung-Kee Choi.Evaluation of Authentication Signaling Loads in 3GPP LTE/SAE Networks[C]//Proceedings of 2009 IEEE 34th Conference on Local Computer Networks.Zurich:IEEE,2009:37-44.

[10]Liu H,Bai S.Research and Implementation of LTE NAS security[C]//Proceedings of Educational and InformationTechnology Conference.Chongqing:IEEE,2010:453-456.