摘 要:随着计算机和无线通讯的发展以及应用的普及,无线网络的安全也与人们的日常生活更加密切相关,因此怎样才能让合法用户的信息在无线网络中安全的传播成为了一个新的课题。从无线网络的特点来看主要涉及到合法用户的身份认证及信息在介质中的加密传播问题。
关键词:无线网络;身份认证
当今社会的无线通信技术已经相对比较成熟,与我们联系比较密切的有手机通讯和电脑的无线网络。其中典型的代表有中国移动的GMS网络,中国联通的CDMA网络和无线网络的3G网络等,他们对合法用户的身份证人和通信时的数据传输的加密实现虽然具体过程不同但都是基于对称密钥加密体系实现的,下面就以GMS网为例分析其工作原理。
一、GMS体系的组成
GMS体系由带有SIM卡的移动设备、基站收发信台(BTS)、基站控制器(BSC)、移动交换中心(MSC)、认证中心(AuC)、归属位置登记数据库(HLR)、访问位置登记数据库(VLR)、运营中心(OMC)8个部分组成。
其中带有SIM卡的移动设备中的SIM卡是具有32KB~64KB 存储空间的未处理智能卡,SIM卡上存储了各种机密信息,包括持卡人的身份信息及加密和认证算法等。基站收发信台负责移动设备与无线网络之间的连接,每个蜂窝站点有一个基站收发信台。基站控制器管理着多个基站收发信台,它的主要功能是频率分配和管理,同时在移动用户从一个蜂窝站点移动到另外一个蜂窝站点时候处理交接工作,基站收发信台和基站控制器组成了基站子系统(BBS)。移动交换中心管理多个基站控制器,同时它还提供到有线电信网络的连接,MSC管理移动用户与有线网络的通信,同时它还负责不同BSC之间的交接工作。认证中心对SIM卡进行认证。归属位置登记数据库是在所属地网络上用来存储和跟踪接入者信息的数据库,保存了用户登记信息和移动设备信息,如国际移动用户身份证明(IMSI)和移动用户ISDN (MSISDN)等。根据用户的数量,一个单独的GSM运营商可能有多个不同的HLR。访问位置登记数据库是用于跟踪漫游到所属位置以外的用户信息的数据库,VLR有人会保存漫游用户的IMSI和MSISDN信息。当用户漫游时,VLR会跟踪该用户并把电话转接到该用户手机上。运营中心负责整个GSM网络的管理和性能维护,OMC与BSS和MSC通信,通常通过X.25网络连接。
二、GSM的安全性
GSM体系的安全基于对称密钥加密体系。GSM体系在用户身份认证和数据加密过程中主要使用A3、 A5/2、 A8三种算法。
其中A3用于移动设备到GSM网络认证的算法。A5/2用于认证成功后加密语音数据的分组加密算法。A8则用于产生对称密钥的密钥生成算法。
GSM体系安全构架中第一步是认证:确认一个用户和他的移动设备是经过授权而访问GSM网络的。因为SIM卡和移动网络具有相同的加密算法和对称密钥,二者之间可以据此建立信任关系,在安全的移动设备中,这些信息存储在SIM卡中。
SIM卡中的信息由运营商定制,包括加密算法、密钥、协议等,然后通过零售商分发到用户手中。用户购买的SIM卡中有移动用户的身份标识IMSI,相当于一个电子注册码;单个用户认证密钥Ki,A3和A8算法;用户PIN码;PIN解锁码PUK。MSC也保存着A3、A5和A8算法的副本,通常存储在硬件设备中。
三、GMS体系的用户身份认证过程
由于IMSI是独一无二的,攻击者可以使用它来克隆SIM卡,所以应尽量减少在网络中传播的次数。IMSI仅在用户初次接入或VLR中的用户身份数据丢失时候使用。在认证时候采用临时用户身份标识TMSI。当一个手机用户打电话的时候,GSM网络的VLR会认证用户的身份。VLR会立刻与HLR建立联系,HLR从AuC获取用户信息。然后这些信息会转发到VLR上。
GSM体系认证与加密过程如下:基站产生一个128bit的随机数或挑战值RAND,并把它发给手机;手机使用A3算法和密钥Ki将RAND加密,产生一个32bit的签名回应SRES;同时,VLR也计算出SRES的值,因为VLR中也存储着Ki、RAND和A3;手机将SRES传输到基站,基站将其值转发给VLR;VLR将收到的SRES值与算出的SRES值对照;如果SRES值相符,认证成功,用户可以使用GMS网络;如果SRES值不相符,连接中止,错误信息报告到手机上。
四、GMS对通信数据的加密过程
在GMS体系网络中,当用户身份认证成功后就可以进行数据传输了,而GMS体系对通讯数据加密的方法与身份认证是类似的。
GMS网络体系对数据的具体过程如下:用户的SIM卡将RAND值与Ki集合在一起,通过A8算法生成一个64bit的通信密钥Kc,同时,GMS体系也采用相同的算法计算出通信密钥Kc。通信的双方采用Kc和A5算法对传输的数据进行加密,其中通信密钥可以重复使用。从上面的过程可以看出,用户合法身份的认证通过Ki和IMSI两个值实现。因此,必须保证这两个值的安全使其不被泄露。
五、结论
通过以上实例中GMS体系对用户的身份认证和对数据传输时加密的过程可以看出,在无线蜂窝网络中最重要的安全措施就是使用了对称密钥加密体系,通过分别存储在用户和系统中的密钥实现对用户身份的认证和数据的加密。而对能够确认用户合法身份的信息只有在用户第一次身份认证时候才会在网络中传输,这样即使传输的数据被不法人员获得也很难破译同时用户的合法身份也很难被伪造。
