物聯(lián)網(wǎng)信息安全 課件 第5章 遠距離無線接入安全

5.3遠距離無線接入安全

——移動通信網(wǎng)安全計算機學院主要內容5.3.1無線移動通信安全簡介 1.移動通信系統(tǒng)的體系結構 2.移動通信網(wǎng)絡的一般安全威脅5.3.22G(GSM)安全機制

1.GSM的安全需求

2.GSM用戶認證與密鑰協(xié)商協(xié)議5.3.33G安全機制

1.3G安全體系結構

2.3G(UMTS)認證與密鑰協(xié)商協(xié)議5.3.44G安全機制簡介

1.4G國際標準TD-LTE-A

2.LTE的流密碼算法ZUC傳感器節(jié)點可能通過無線移動通信網(wǎng)絡(如GPRS或者TD-SCDMA)直接將收集到的數(shù)據(jù)傳遞到中央控制點(例如M2M應用),或者發(fā)送至網(wǎng)關后再通過遠距離無線移動通信發(fā)送到中央控制點(在最終到達中央控制點前可能還需要經(jīng)過IP核心網(wǎng))。智能手機結合RFID功能可以實現(xiàn)移動支付(手機錢包)等功能,M2M(如M2M的關鍵應用遠程抄表等)也是由移動通信運營商主推的物聯(lián)網(wǎng)業(yè)務,智能電網(wǎng)也可能利用M2M技術將電力消費(以及電力生成)數(shù)據(jù)發(fā)送到中央控制點。這些都離不開移動通信網(wǎng)絡的安全,本節(jié)重點介紹2G、3G和4G通信網(wǎng)絡中的典型安全問題,即接入認證(鑒權)和數(shù)據(jù)(保密、完整性)保護機制。5.3.1無線移動通信安全簡介

1.移動通信系統(tǒng)的體系結構2G/2.5G移動通信系統(tǒng)

這里略去了1G移動通信系統(tǒng)的介紹。2G系統(tǒng)主要采用數(shù)字的時分多址(TDMA)和碼分多址(CDMA)技術,提供數(shù)字化的話音業(yè)務及低速數(shù)據(jù)業(yè)務。它克服了模擬移動通信系統(tǒng)的弱點,話音質量和保密性得到很大的提高,并可進行省內、省際自動漫游。具有代表性的2G通信系統(tǒng)有美國的CDMA95系統(tǒng)(基于CDMA技術)和歐洲的GSM系統(tǒng)(基于TDMA技術)。針對2G系統(tǒng)在數(shù)據(jù)業(yè)務上的弱點,

2.5G系統(tǒng)在2G網(wǎng)絡中添加分組交換控制功能,可為用戶提供一定速率的數(shù)據(jù)業(yè)務(如GPRS系統(tǒng)最大傳輸速率為115

Kb/s,,CDMA20001X系統(tǒng)最大為150

Kb/s),從而成為介于2G和3G系統(tǒng)的過渡類型。代表性的2.5G系統(tǒng)有基于GSM的GPRS系統(tǒng)和基于CDMA95的CDMA20001X系統(tǒng)。以GSM為例,

GSM系統(tǒng)的組成如圖5-20所示,主要包括移動臺(Mobile

Station,

MS)、基站子系統(tǒng)(Base

Station

Subsystem,

BSS)、網(wǎng)絡子系統(tǒng)(Network

Substation,

NSS)等幾個部分。其中BSS包括基站控制器(Base

Station

Controller,

BSC)和基站收發(fā)臺(Base

Transceiver

Station,

BTS),網(wǎng)絡子系統(tǒng)主要包括移動業(yè)務交換中心(Mobile

Switch

Center,

MSC)、歸屬位置寄存器(Home

Location

Register,

HLR)、訪問位置寄存器(Visitor

Location

Register,

VLR)、鑒權中心(Authentication

Center,

AUC)、設備識別寄存器(Equipment

Identity

Register,

EIR)等。Um為MS和BTS之間的無線接口。下面分別給予簡介。移動臺(MS)。

移動臺由移動終端和客戶識別卡(SIM卡)兩部分組成。移動終端完成話音編碼(信源編碼)、信道編碼、信息加密、信息的調制和解調、信息發(fā)射和接收等功能。SIM卡存有認證客戶身份所需的所有信息,并能執(zhí)行一些與安全有關的運算,以防止非法客戶進入網(wǎng)絡,只有插入SIM卡后移動臺才能接入網(wǎng)內。(2)基站子系統(tǒng)(BSS)。

基站子系統(tǒng)在GSM網(wǎng)絡的固定部分和移動臺之問提供中繼。一方面BSS通過無線接口直接與移動臺實現(xiàn)通信連接,另一方面BSS又連接到移動交換子系統(tǒng)(MSS)的移動交換中心(MSC)。BSS可分為兩部分:通過無線接口與移動臺相連的基站收發(fā)臺(BTS)以及與移動交換中心相連的基站控制器(BSC)。BTS負責無線傳輸,BSC負責控制與管理。(3)移動交換中心(MSC)。

MSC是PLMN(PublicLandMobileNetwork,公用陸地移動通信網(wǎng))的核心。MSC對位于它所覆蓋區(qū)域中的移動臺進行控制并完成話路接續(xù)的功能,也是PLMN和其他網(wǎng)絡之問的接口,它完成通話接續(xù)、計費、BSS和MSC之問的切換和輔助性的無線資源管理、移動性管理等功能。另外,為了建立到移動臺的呼叫路由,每個MSC還完成GMSC(GatewayMobileSwitchingCentre,網(wǎng)關移動交換中心)的功能,即可以査詢移動臺的位置信息。MSC從三種數(shù)據(jù)庫,即訪問位置寄存器(VLR)、歸屬位置寄存器(HLR)和鑒權中心(AUC)中取得處理用戶呼叫請求所需的全部數(shù)據(jù)。反之,MSC可根據(jù)其最新數(shù)據(jù)更新數(shù)據(jù)庫。(4)訪問位置寄存器(VLR)。 VLR通常與MSC在一起,其中存儲了MSC所管轄區(qū)域中的移動臺(稱訪問客戶)的相關用戶數(shù)據(jù),包括用戶號碼、移動臺的位置區(qū)信息、用戶狀態(tài)和用戶可獲得的服務等參數(shù)。VLR是一個動態(tài)用戶數(shù)據(jù)庫,它從移動用戶的歸屬位置寄存器(HLR)處獲取并存儲必要的數(shù)據(jù)。一旦移動用戶離開VLR的控制區(qū)域,則重新在另一個VLR登記,原VLR將刪除該移動用戶的數(shù)據(jù)記錄。(5)歸屬位置寄存器(HLR)。 HLR存儲管理部門用于移動用戶管理的數(shù)據(jù)。每個移動用戶都應在其歸屬位置寄存器(HLR)注冊登記,它主要存儲兩類信息:有關移動用戶的參數(shù),包括移動用戶識別號碼、訪問能力、用戶類別和補充業(yè)務等數(shù)據(jù);有關移動用戶目前所處位置的信息,以便建立到移動臺的呼叫路由,例如MSC、VRL地址等。(6)鑒權中心(AUC)。 AUC屬于HLR的一個功能單元,專門用于GSM系統(tǒng)的安全性管理。鑒權中心產生鑒權三元組(下一節(jié)將介紹)用來鑒權用戶身份的合法性以及對無線接口上的話音、數(shù)據(jù)、信令信號進行加密,防止非授權用戶接入和保證移動用戶通信的安全。(7)設備識別寄存器(EIR)。

EIR存儲有關移動臺設備參數(shù)。完成對移動設備的識別、監(jiān)視、閉鎖等功能,以防止非法移動臺的使用。EIR也是一個數(shù)據(jù)庫,保存著關于移動設備的國際移動設備識別碼(IMEI)的三份名單:白名單、黑名單和灰名單。在這三種名單的三種表格中分別列出了準許使用的、出現(xiàn)故障需監(jiān)視的、丟失不準使用的移動設備的IMEI識別碼,通過對這三種表格的核査,使得運營部門對于不管是丟失還是由于技術故障或誤操作而危及網(wǎng)絡正常運營的設備,都能采取及時的防范措施,以確保網(wǎng)絡內所使用的設備的唯一性和安全性。2)3G移動通信系統(tǒng) 3G有更寬的帶寬(其傳輸速度為384kb/s~2Mb/s,帶寬可達5MHz以上)和系統(tǒng)容量,可實現(xiàn)高速數(shù)據(jù)傳輸和多媒體服務。3G系統(tǒng)的空中接口包含有WCDMA、CDMA2000和TD-SCDMA三個標準。其中WCDMA是歐洲倡導的寬帶CDMA技術,該標準提出了GSM-GPRS-EDGE-WCDMA的演進方案。而CDMA2000標準是美國主推的寬帶CDMA技術,提出了CDMA95-CDMA20001X-CDMA2000的演進策略。我國提出的TD-SCDMA標準非常適用于GSM,可以不經(jīng)過2.5G時代,直接向3G過渡。和WAPI一樣,TD-SCDMA是我國提出的具有白主知識產權的國際標準(3G總體架構)。TD-SCDMA(TimeDivision-SynchronousCodeDivisionMultipleAccess)即時分同步碼分多址,將SDMA、同步CDMA和軟件無線電等當今國際領先技術融合在一起,可以對頻率和不同業(yè)務靈活搭配,高效率利用頻譜等有效資源,加上有TDMA和FDMA的支持,使得抗干擾能力強,系統(tǒng)容量大。目前TC又可分為TD-SCDMA和TD-HSDPA。TD-SCDMA主要負責提供語音和視頻電話等最高下行速率為384Kb/s的數(shù)據(jù)業(yè)務,而TD-HSDPA是一種數(shù)據(jù)業(yè)務增強技術,可以提供2.8Mb/s的下行速率。

2.移動通信網(wǎng)絡的一般安全威脅

按照攻擊者攻擊的物理位置,對移動通信系統(tǒng)的安全威脅可以分為對無線鏈路的威脅、對服務網(wǎng)絡(有線網(wǎng)絡)的威脅和對移動終端(手機)的威脅。由于無線網(wǎng)絡的開放性,對無線鏈路的威脅是需要首先考慮的問題,主要如下:(1)竊聽。由于鏈路的開放性,在無線鏈路或服務網(wǎng)內,攻擊者可以竊聽用戶數(shù)據(jù)、信令數(shù)據(jù)及控制數(shù)據(jù),試圖解密,或者進行流量分析,即主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地。(2)偽裝。偽基站截取用戶數(shù)據(jù)、信令數(shù)據(jù),偽終端欺騙網(wǎng)絡獲取服務。(3)用戶獲取對非授權服務的訪問。(4)破壞數(shù)據(jù)的完整性。即修改、插入、重放、刪除用戶數(shù)據(jù)或信令數(shù)據(jù),破壞數(shù)據(jù)的完整性。

此外,還存在否認攻擊,即用戶否認業(yè)務費用、業(yè)務數(shù)據(jù)來源及發(fā)送或接收到的其用戶的數(shù)據(jù),網(wǎng)絡單元否認提供的網(wǎng)絡服務;拒絕服務攻擊,在物理上或協(xié)議上干擾用戶數(shù)據(jù)和信令數(shù)據(jù)在無線鏈路上的正確傳輸;或耗盡網(wǎng)絡資源,使其他合法用戶無法訪問。

從安全協(xié)議的角度分析,應對上面四種最主要的威脅,方法如下:應對竊聽威脅主要依靠加密的方法;應對偽裝主要依靠用戶認證的方法;應對破壞數(shù)據(jù)的完整性的威脅主要依靠采用消息鑒別碼的方法。這些防御方法的一個關鍵點就是需要建立相應的密鑰,例如認證密鑰、加密密鑰、消息完整性密鑰。另外,加密密鑰通常都是需要經(jīng)常更換的,以應對攻擊者對密鑰的破解。這種經(jīng)常更換的用于某個會話的密鑰稱為會話密鑰。5.3.22G(GSM)安全機制GSM的安全需求

蜂窩網(wǎng)(CellularNetwork)為移動用戶提供無線語音接入,是基于基礎設施的網(wǎng)絡?；A設施由無線基站和有線骨干網(wǎng)絡組成,有線骨干網(wǎng)絡將基站連接起來,每一個基站僅在一個有限的物理區(qū)域(cell)內服務,所有基站連接起來便可以覆蓋一塊很大的區(qū)域。手機是典型的蜂窩網(wǎng)終端設備,通過無線信道連接到某個基站。通過基站及其骨干網(wǎng)基礎設施,手機可以發(fā)起和接收來白其他手機的電話。系統(tǒng)中唯一無線的部分是連接手機和基站的部分,其余的(如骨干網(wǎng)部分)都是有線網(wǎng)絡。GSM(GlobalSystemforMobileCommunications,全球移動通信系統(tǒng))是第二代數(shù)字蜂窩移動通信系統(tǒng)的典型例子,其最主要的安全需求是用戶的認證接入(因為涉及通信服務計費的問題)。除了用戶認證之外,GSM還需要對無線信道內在的威脅(如竊聽)采取措施。這樣就需要對在空中接口上傳送的語音通信和傳送信息提供保密。此外,還需要保護用戶的隱私,即隱藏用戶的真實身份(標識)。

在實際中,GSM安全架構中的一個基本假設就是:用戶與宿主網(wǎng)絡(HomeNetwork)之間具有長期共享的秘密密鑰(存放在SIM卡中),這個秘密密鑰是用戶認證的基本依據(jù)。2.GSM用戶認證與密鑰協(xié)商協(xié)議1)用戶認證

在GSM中,秘密密鑰和其他與用戶身份相關的信息存儲在一個安全單元中,稱為SIM(subscriberIdentityModule,用戶身份識別模塊)。SIM以智能卡的形式實現(xiàn),可以插入手機或者從手機中移除。量然密鑰也可以存儲在手機的非易失性存儲設備中,用一個口令進行加密,但是將密鑰存儲在可移除性模塊中是一個更好的選擇,因為這樣允許用戶身份在不同的設備之間具有移植性,用戶只需要取出SIM卡,便可以更換手機而保持同樣的身份。

GSM中的用戶認證基于挑戰(zhàn)一應答方式,即認證方(網(wǎng)絡運營商)提出問題,被認證方(移動終端)進行回答。移動終端收到一個不可預知的隨機數(shù)作為一個挑戰(zhàn),為了完成認證,必須計算出一個正確的應答。正確的應答必須通過秘密密鑰計算得來,不知道秘密密鑰使不能計算出正確的應答。因此,如果網(wǎng)絡運営商接收到一個正確的應答,就可認為這是一個合法用戶。詢同必須保證隨機性,否則應答就可以預測或者重放。因為挑戰(zhàn)値是不可預測的,所以網(wǎng)絡運營商在發(fā)送挑戰(zhàn)后,一定知道應答是剛剛計算的,而不是重放以前的應答。用于認證的計算由用戶的手機和SIM卡完成,無需手機用戶的人工參與。

假設用戶漫游到一個本地服務區(qū)域外的網(wǎng)絡,通常稱為被訪問網(wǎng)絡(VisitedNetWork)。GSM用戶認證協(xié)議的步驟解釋如下: (l)手機從SIM中讀取IMSI(Intemationa1MobileSubscriberIdentity,國際移動用戶識別碼),并且將其發(fā)送給被訪問網(wǎng)絡。 (2)通過IMSI,被訪問網(wǎng)絡確定此用戶的宿主網(wǎng)絡,然后憑借骨干網(wǎng),被訪問網(wǎng)絡將IMSI轉發(fā)給用戶所在宿主網(wǎng)絡。 (3)宿主網(wǎng)絡査詢對應于IMSI的用戶秘密密鑰,然后生成一個三元組(RAND,SRES,CK),其中RAND是一一個偽隨機數(shù)(PseudorandomNumber),SRES是此詢問的正確應答(SignedRESponse),CK是用于加密的密鑰(即加密會話內容的會話密鑰,CipherKey),用于加密空中接口(手機和被訪問網(wǎng)絡基站之問的無線通信接口)中傳遞的內容。RAND由偽隨機數(shù)產生器(PseudoRandomNumberGenerator,PRNG)產生。在GSM規(guī)范中,SRES和CK為RAND和K分別利用A3算法和A8算法(兩種專屬算法)計算而來。將三元組(RAND,SRES,CK)發(fā)送到被訪問網(wǎng)絡。 (4)被訪問網(wǎng)絡向手機發(fā)送詢問RAND。 (5)手機將RAND轉到SIM,SIM計算并且輸出應答SRES'和加密密鑰CK'。手機將SRES'發(fā)送到被訪問網(wǎng)絡,然后將其與SRES比較。如果SREs'=SRES,則用戶得到認證。用戶認證成功后,手機和被訪問網(wǎng)絡的基站之間的通信用會話密鑰CK'加密,容易看出,會話密鑰CK'=CK。使用的加密算法為序列密碼算法,在GSM規(guī)范中叫A5算法(安全分析見參考文獻,A5/2是不安全的,A5/1和A5/3,又叫KASUMI)。圖5_21所示是GSM的認證過程。2）對用戶標識的隱私保護 GSM還提供了對通過認證的用戶身份標識IMSI的保護，目的是為了保護用戶的位置隱私，方法是隱藏空中接口上的IMSI：用戶認證成功后，從被訪問網(wǎng)絡接收到一個稱為TMSI的臨時識別碼。TMSI用新生成的密鑰CK加密，因而不能被竊聽者知道。接下來用TMSI，而不是IMSI。被訪問網(wǎng)絡保留TMSI和IMSI間的映射。

當用戶進入另外一個被訪問網(wǎng)絡(不妨稱為B)時,B聯(lián)系先前的被訪問網(wǎng)絡(不妨稱為A)將收到的TMSI發(fā)送給A。A査詢與TMSI關聯(lián)的數(shù)據(jù)并目將用戶的IMSI和保留的三元組發(fā)送給B,從而B可以為用戶服務。如果TMSI不再適用(例如手機在漫游到B前曾經(jīng)長時問關機),B可請求手機發(fā)送IMSI,以重新引導TMSI機制。

總之,GSM安全協(xié)議提供了以下的安全服務:

(1)用戶認證基于挑戰(zhàn)一應答協(xié)議以及用戶和宿主網(wǎng)絡共享的長期秘密密鑰。認證數(shù)據(jù)從宿主網(wǎng)絡發(fā)送到被訪問網(wǎng)絡,長期秘密密鑰沒有泄露給被訪問網(wǎng)絡。(2)空中接口(無線鏈路)上通信的保密性由會話密鑰加密來保證,此會話密切建立在用戶認證基礎上,在手機和被訪問網(wǎng)絡問共享,并且由宿主網(wǎng)絡協(xié)助完成。

(3)使用臨時識別碼保護無線接口中的用戶真實身份不被竊聽識別,即通信中大多數(shù)時間不使用真實的身份識別碼,竊聽者很難追蹤用戶,從而保護了用戶的隱私。

但是GSM沒有考慮完整性保護的問題,這一點在以語音通信為主的2G通信中不是十分重要,因為丟失或者改動的語音通常可以被通話雙方人為地識別。但是,由于3G中數(shù)據(jù)業(yè)務的増多,必須考慮數(shù)據(jù)的完整性,因為一個比特的改變可能使得數(shù)據(jù)的含義發(fā)生很大改變。完整性問題在接下來介紹的3G的安全機制中給予了考慮。5.3.33G安全機制3G安全體系結構3G體系結構第三代移動通信技術(3G)是指支持高速數(shù)據(jù)傳輸?shù)囊苿油ㄐ偶夹g。3G服務能夠同時傳送聲音及數(shù)據(jù)信息(電子郵件、即時通信等)。3G的代表特征是提供高速數(shù)據(jù)業(yè)務,速率一般在幾百kb/s以上。3G規(guī)范是由國際電信聯(lián)盟所制定的IMT-2000(Intemationa1MobileTelecorninunications-2000)規(guī)范發(fā)展而來。3G移動通信的主流技術包括WCDMA、CDMA2000、TD-SCDMA。WCDMA、TD-SCDMA的安全規(guī)范由以歐洲為主體的3GPP(3GPartnershipProject)制定,其中TD-SCDMA由中國提出。CDMA2000的安全規(guī)范由以北美為首的3GPP2制定。從某種意義上來講,WiMAX也能夠提供廣域網(wǎng)接入服務,在2007年ITU將WiMAX正式批準為繼WCDMA、CDMA2000和TD-SCDMA之后的第四個3G標準。鑒子目前WiMAX(IEEE802.16)很難在短期內大量應用,本節(jié)主要討論傳統(tǒng)的從無線移動通信網(wǎng)絡演進的3G安全。2）3G安全體系結構用戶應用網(wǎng)絡應用應用層服務層網(wǎng)絡層手機設備USIM手機接入網(wǎng)歸屬環(huán)境AuC服務網(wǎng)絡VLRSGSN網(wǎng)絡訪問安全核心交換安全用戶安全應用安全2.3G(UMTS)認證與密鑰協(xié)商協(xié)議MSSN/VLR/SGSNHE/HLR存儲認證向量認證數(shù)據(jù)請求認證數(shù)據(jù)應答AV(1..n)用戶認證請求RAND(i)||AUTN(i)用戶認證應答RES(i)比較RES(i)和XRES(i)驗證AUTN(i)計算RES(i)計算CK(i)和IK(i)選擇CK(i)和IK(i)認證與密鑰建立從HE到SN的認證向量發(fā)送過程生成認證向量AV(1..n)選擇某認證向量AV(i)認證向量AV(RAND|XRES|CK|IK|AUTN)AUTN認證令牌RES用戶應答信息XRES服務網(wǎng)絡應答信息CK數(shù)據(jù)加密密鑰IK數(shù)據(jù)完整新密鑰1）AKA的目的完成網(wǎng)絡與用戶的雙向認證生成加密密鑰(CK)和完整性密鑰(IK)確保CK/IK的新鮮性，即以前沒有使用過2）AKA的前提條件認證中心(AuC)和USIM卡共享：用戶唯一的秘密認證密鑰K消息認證函數(shù)f1,f1*,f2密鑰產生函數(shù)f3,f4,f5,f5*AuC有隨機數(shù)產生函數(shù)AuC能夠產生新的序列號USIM能夠驗證收到的序列號的新鮮性序列號，使得用戶可以避免受到重傳攻擊。3）USIM中的用戶認證功能AK用來在AUTN中隱藏序列號，因為序列號可能會暴露用戶的身份和位置信息為了保證通信同步，同時防止重傳攻擊，SQN應是目前使用最大的一個序列號，由于可能發(fā)生延遲等情況，定義了一個較小的“窗口”，只要收到SQN在該范圍內，就認為是同步的。4）重新認證如果用戶計算出SQN(序列號)不在USIM認為正確的范圍內，將發(fā)起一次“重新認證”UE/USIMHE/AUCVLR/SGSNRAND||AUTNAUTSRAND||AUTSAV(1...n)SQN不在正確范圍認證失敗發(fā)起重新認證5）AUTS構建過程f1*f5*XORSQNMSKRANDAMFMAC-SAKSQNMSAKAUTS=SQNMSAK||MAC-SSQNMS是移動臺中存儲的計數(shù)器序號，前面提到的SQN為HE/AUC中計數(shù)器的序號,反送回去的含義是希望HE/AUC比較當前計數(shù)器序號，判斷是否真可能出現(xiàn)重放攻擊，并重新開始驗證認證6）AKA安全性分析雙向認證，認證完成后提供加密密鑰和完整性密鑰，防止假基站攻擊；密鑰的分發(fā)沒有在無線信道上傳輸，AV認證向量在固定網(wǎng)內的傳輸也由網(wǎng)絡域安全提供保障；密鑰的新鮮性，由新的隨機數(shù)提供，防止重放攻擊；對有可能暴露用戶位置信息和身份信息的SQN用AK異或，達到隱藏SQN的目的；MAC的新鮮性，S