PKI在3G網絡中的應用

1、PKI在3G網絡中的應用摘要：本文主要研究了如何在3G的接入網端應用無線PKI來實現(xiàn)用戶身份的機密性。因為用戶的身份數(shù)據(jù)是敏感的，需要很好的給予保護。身份機密性包括：用戶身份機密，用戶位置機密，用戶的不可跟蹤性。首先概要介紹了無線PKI的根本知識，證書的版本以及獲取方式。然后介紹了PKI環(huán)境下的認證方式。緊接著表達了現(xiàn)有的3G接入網的平安架構和一些相關的平安技術，如完好性保護，加密保護和認證和密鑰協(xié)商。最后基于無線PKI環(huán)境下實體認證方案和現(xiàn)有的3G中的身份機密實現(xiàn)措施，經過改良給出了一種新的基于公鑰體制下的用于實現(xiàn)身份機密性的詳細方案。關鍵詞：無線公鑰根底設施身份機密3G認證機構緒論1.1第

2、三代挪動通信簡介及平安問題挪動通信經歷了三個開展階段:第一代挪動通信系統(tǒng)出現(xiàn)于20世紀70年代后期，是一種模擬挪動通信系統(tǒng)，以模擬電路單元為根本模塊實現(xiàn)話音通信。主要制式有美國的APS,北歐的NT、英國的TAS和日本的HTS等。第二代挪動通信系統(tǒng)(2G)出現(xiàn)于20世紀80年代后期，以GS,DAPS和PD為代表的第二代數(shù)字挪動通信系統(tǒng)。第三代的概念早在1985年就由ITU(國際電信聯(lián)盟)提出了，當時稱為FPLTS(將來公眾陸地挪動通信系統(tǒng))。1996年更名為IT-2000(國際挪動通信一2000)。前兩代系統(tǒng)主要面向話音傳輸，與之相比，三代的主要特征是提供數(shù)據(jù)、多媒體業(yè)務，語音只是數(shù)據(jù)業(yè)務的一個

3、應用。第三代挪動通信系統(tǒng)(3G)的目的是:世界范圍內設計上的高度一致性;與固定網絡各種業(yè)務的互相兼容;高效勞質量;全球范圍內使用的小終端;具有全球遨游才能:支持多媒體功能及廣泛業(yè)務的終端。為了實現(xiàn)上述目的，對第三代無線傳輸技術(RTT)提出了支持高速多媒體業(yè)務高速挪動環(huán)境:144Kbps，室外步行環(huán)境:384Kbps,室內環(huán)境:2bps)、比現(xiàn)有系統(tǒng)有更高的頻譜效率等根本要求。近幾年通信的飛速開展，使得現(xiàn)存的第二代通信系統(tǒng)已經無法滿足現(xiàn)有的人們的需要，主要表現(xiàn)為：(1)宏大的挪動通信市場和目前頻譜資源的有限性之間的矛盾日益突出，不能滿足工業(yè)興旺國家和一局部第三世界國家(如中國、印度)大中城市用

4、戶高密度要求。(2)數(shù)據(jù)網絡和多媒體通信逐步和無線通信的可挪動性相結合，因此挪動多媒體或挪動IP迅速開展起來，但第二代速率過低(9.6kb/s或57kb/s)與目前IP技術與多媒體業(yè)務要求間隔 甚遠，不能滿足政府、先進企業(yè)及新興“白領階層對高速數(shù)據(jù)量的要求。(3)不能實現(xiàn)全球覆蓋無縫連接。(4)通信業(yè)務的平安保障缺乏。隨著技術的開展，平安問題也越來越受到大家的關注，出于質量和效益的問題，挪動通信的電勃具有較強的穿透力向各個方向傳播，易于被截取，或竊聽，其可靠性與平安性都有待加強。二十世紀八十年代的模擬通信便深受其害，由于根本上沒有采用什么平安技術，通信時的話音很容易被竊聽，盡管二代在平安性方面

5、提出了較大的改良，采用數(shù)字系統(tǒng)，提出了身份認證，數(shù)據(jù)加密這一概念，系統(tǒng)考慮了一些平安因素，但絕大局部的平安標準是從運營商的角度設計的：防止欺騙和網絡誤用。但是仍然存在許多平安缺陷。如單向認證，即只考慮了網絡對于用戶的認證而無視了用戶對于網絡的識別，這種處理方法不能提供可信的環(huán)境，不能給挪動用戶足夠的信心開展電子商務和交換敏感信息。而且隨著解密技術的開展，計算才能的進步，加密算法A5，已經證明能在短時間內破解。技術的成熟和挪動數(shù)據(jù)業(yè)務的出現(xiàn)，用戶比以前更加關注挪動通信的平安問題。因此，無線PKI的應用是解決平安問題的關鍵所在。1.2PKI簡介首先要介紹一下首先要介紹一下PKIPubliKeyIn

6、frastruture譯為公鑰根底設施。簡單地說，PKI技術就是利用公鑰理論和技術建立的提供信息平安效勞的根底設施。公鑰體制是目前應用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不一樣，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專有的私鑰進展解密。這種方式既保證了信息的機密性，又能保證信息具有不可抵賴性。目前，公鑰體制廣泛地用于A認證、數(shù)字簽名和密鑰交換等領域。在3G系統(tǒng)中，PKI的應用主要是PKI，即無線PKI的應用。主要是用來進展網絡中的實體認證，來獲得網絡效勞商與用戶之間的彼此信任。除此之外，無線PKI還將用于數(shù)據(jù)加密，完好性保護，用戶身份的機密性等多個方面。

7、1.3本文主要構造及內容提要本文在介紹現(xiàn)有3G接入網平安技術的前提下，提出了新的基于公鑰體制下的實現(xiàn)用戶身份機密性的方案。第一章緒論簡要介紹了挪動通信的開展及面臨的平安問題，以及PKI的引入。第二章介紹了無線PKI的一些根本知識和相關的操作。第三章給出了現(xiàn)有的3G系統(tǒng)的接入架構以及已有的平安措施。第四章為公鑰體制下的認證方案。第五章在介紹了已有的一些身份機密方案以及其缺乏之后，給出了新的基于PKI環(huán)境下的使用公鑰體制來實現(xiàn)的保護用戶身份機密的新方案。本文最后對新的方案進展了總結。提出了相應的一些技術要求。轉貼于論文聯(lián)盟.ll.2無線PKI2.1概述在無線環(huán)境中的應用是PKI將來的開展趨勢，它的

8、證書和身份認證是確保在開放的無線網絡中平安通信的必備條件。然而無線通信網絡獨特的特點使無線平安問題更趨復雜。如消息以無線電波的方式傳播,在一定的區(qū)域內都能很容易被截取和接收到；網絡接入點多，使任何人都能很容易地接入并對網絡發(fā)起攻擊；無線通信網絡是一個包括無線和有線兩局部的端到端的系統(tǒng)傳統(tǒng)的有線領域平安問題將仍然影響到無線領域，傳統(tǒng)平安領域中抑制威脅的常用工具，在無線領域不一定有效。同時無線通信環(huán)境還存在著許多其他的限制條件，包括無線帶寬方面，目前大局部的無線通信網絡只提供有限的數(shù)據(jù)傳輸率；軟件應用于開發(fā)、PDA等挪動通信設備的開發(fā)環(huán)境、工具還很有限，相應的應用程序也很少；硬件方面，終端市場中各

9、廠家的產品差異極大，生命周期短更新速度快；同時挪動終端設備計算才能有限，內存和存儲容量不大，顯示屏幕較小，輸入方法復雜等。所有這些特點及局限使PKI在無線環(huán)境中應用非常困難。為了最大限度的解決這些困難，目前已公布了PKI草案，其內容涉及PKI的運作方式、PKI如何與現(xiàn)行的PKI效勞相結合等。簡單的說，把PKI改造為合適無線環(huán)境，就是PKI。無線PKI是對傳統(tǒng)IETF基于X.509公鑰根底設施PKI的擴展和優(yōu)化，其在協(xié)議，證書格式，密碼算法等方面進展了一些改良，可以適應無線網絡帶寬窄和無線設備計算才能低的特點，用來確保通信雙方的身份認證、保密性、完好性和不可否認性。PKI目前主要應用于AP,所以

10、又可稱作APPKI。PKI以AP網關為橋梁,分別提供終端到網關、網關到效勞器的平安連接,以確保整個通信過程的平安?？梢哉fAP將無線網絡與Internet聯(lián)絡得更為嚴密,使得PKI進一步開展和應用成為可能。2.2PKI體系PKI標準提供了TLSlass2，TLSlass3，SignText，3種功能形式1。TLSlass2形式：TLSlass2提供了挪動終端對無線網關的認證才能，詳細的操作過程如下：1無線網關申請證書無線網關生成密鑰對，向PKIPrtal提出證書的申請；PKIPrtal確認網關的身份后，將消息轉發(fā)給A；A簽發(fā)證書給網關。2挪動終端與應用效勞器之間的平安形式1兩階段平安；挪動終端與

11、無線網關之間建立TLS會話；無線網關與應用效勞器之間建立SSL/TLS。3挪動終端與應用效勞器之間的平安形式2：端到端的平安形式效勞器申請證書挪動終端與應用效勞器之間建立TLS會話，無線網關只起路由器的作用，挪動終端與應用效勞器之間的通信對無線網關是不透明的。PKI的數(shù)字簽名SignText形式：SignText形式是挪動終端對一條消息進展數(shù)字簽名后用LSript發(fā)送給效勞器的過程，詳細操作過程如下：1挪動終端通過網關向RA申請證書；2RA對挪動終端進展身份確認后將懇求消息轉發(fā)給A；3A生成用戶證書并把證書的URL傳送給用戶；4A將用戶的公鑰證書存放在證書數(shù)據(jù)庫中；5用戶在客戶端對一條消息進展

12、簽名，然后將這條消息連同對它的簽名，以及用戶證書的URL發(fā)給效勞器；6效勞器通過用戶證書的URL從數(shù)據(jù)庫中找出用戶的證書來驗證用戶。TLSlass3形式：TLSlass3是一種認證形式，從PKI角度來說,TLSlass3認證和上述的SignText形式幾乎一樣的,差異是在第5步中,SignText模型是使用應用層簽名的方式來完成驗證,即用戶必須對效勞器端發(fā)來的可讀消息進展確認,并附上自己的數(shù)字簽名,然后送回到效勞器驗證,其中使用的公私鑰對必須是專門用來進展數(shù)字簽名的密鑰,而效勞器端發(fā)來的消息也必須是可讀的;而TLSlass3使用客戶端認證密鑰對簽名來自TLS效勞器的“挑戰(zhàn)口令,所謂“挑戰(zhàn)口令是

13、指由效勞器發(fā)送給客戶端的一些隨機數(shù),需要由客戶端對其進展簽名來到達認證客戶端的目的,這些隨機數(shù)并不一定是可讀信息。簡單的說其主要的差異是客戶利用自己的私鑰對來自效勞器或無線網關的懇求進展簽名。2.3TLSTLS無線傳輸層平安協(xié)議是無線應用協(xié)議中保證通信平安的一個重要組成局部，它實際上源自TP/IP體系的TLS/SSL協(xié)議，是一個可選層，主要在無線終端內的微型閱讀器和無線應用協(xié)議網關之間使用數(shù)字證書創(chuàng)立一個平安的機密的通信“管道。TLS在那些通過低帶寬網絡通信的有限資源的手持設備中提供認證和機密性保護。TLS使用163比特的橢圓曲線加密，強度相當于2048比特RSA加密，但比RSA的計算開銷少，

14、這對于挪動終端來說是一個非常重要的因素。在AP構造中，TLS或SSL是在eb效勞器和網關效勞器之間使用的。網關將TLS和SSL信息轉換成TLS，TLS在建立連接時需要較少的計算開銷，這樣就可以使無線網絡在傳輸數(shù)據(jù)時更有效。TLS在實現(xiàn)上要考慮以下幾個方面：1公鑰加密的速度較慢，對低帶寬的無線網絡尤其突出。2密鑰交換的方法是基于公開密鑰體制技術的。3建立無線認證中心A，用以支持身份識別及數(shù)字證書等。4使用消息鑒別碼A來保證數(shù)據(jù)的完好性2.4PKI的操作AP環(huán)境中標準化的PKI操作涉及到如何處理可信A信息、效勞器TLS證書和客戶端證書的注冊。2.4.1可信A信息的處理對于需要平安通信的雙方來說,P

15、KI是保障雙方互相認證、通信的保密性、完好性和不可否認性的根底,而A又是PKI的根底,假設A不可信,那么相應的證書、認證、密鑰都失去效用,因此驗證A可信性是整個平安通信的第一步。可信A信息指用來驗證A頒發(fā)的自簽名公鑰證書所需的信息。所需信息包括公鑰和名字,但也可能包括其他信息。為了保障完好性,可信A信息以自簽名方式提供下載,而可信A信息的認證那么通過帶外哈?；蚝灻姆绞絹硗瓿伞夤７绞绞侵窤的信息通過網絡下載到終端設備,然后通過帶外的方式接收該信息的哈希值,接著設備自己計算收到信息的哈希值,再和帶外方式獲得的哈希值進展比擬,假如符合,那么承受A信息。簽名方式是指A用自己的私鑰對待驗證的可信

16、A信息進展簽名,或者由公認的可信權威對其進展簽名,如世界公認的權威機構加拿大Verisign公司進展的簽名,接收端通過簽名來驗證相應的A信息,最后決定是否通過認證。2.4.2效勞器TLS證書的處理無線終端要和內容效勞器進展平安通信就必須獲得該效勞器的證書,該證書是由終端信任的A所頒發(fā)的,因為無線網絡的帶寬限制以及終端處理才能和內存有限,就有必要使用一種新的簡化了的證書,以利于無線傳播和終端操作,這就是TLS證書,可用于TLS平安通信。它是在原有X.509證書根底上進展優(yōu)化,保存關鍵字段,滿足無線環(huán)境的需求。由于性能、帶寬等因素,無線環(huán)境下的檢查證書撤銷和有線環(huán)境下有著極大的不同,傳統(tǒng)的RL方法

17、不可行,而SP的方法增加了信息往返、驗證步驟和附加的客戶信任點。為了克制這些問題,引入了短期有效TLS證書的概念,TLS效勞器可能實現(xiàn)短期有效證書模型作為撤銷的方法。使用這種方法,效勞器在一個長期信任階段被認證一次。然而,認證機構并非頒發(fā)一年有效證書,而是在這年的每一天,給公鑰頒發(fā)一個新的短期有效證書,比方四十八個小時。效勞器或網關每天接收短期有效證書并由這個證書建立當日客戶會話。假如認證中心希望撤銷效勞器或網關,很簡單地它停頓頒發(fā)以后的短期有效證書。TLS效勞器不再被授予當前有效證書,因此會終止效勞器端的認證,這樣便實現(xiàn)了撤銷的方法。2.5PKI要素PKI中包含認證中心ertifiateAu

18、thrities，A、注冊中心RegistrantAuthrities，RA、終端實體EndEntities，EE三個根本要素。PKI也包含這三個根本要素，除此之外還有一個要素是證書入口，或叫做PKI入口。證書入口是一條通向RA或A的鏈接，記錄在挪動終端也就是EE中，用來在AP網關和EE之間建立平安連接。PKI證書是PKI實現(xiàn)的一個重要組成局部，為了在3G中應用PKI，就必須對傳統(tǒng)的PKI證書的格式進展調整，以適應3G的無線環(huán)境的要求。AP定義了一種PKI證書的格式2，下面對其簡單的加以說明。1版本號Versin：定義了證書的版本號，證書中假如不包含任何擴展，那么版本應該設為1缺省值。2證書擴

19、展Extensin：對證書標準局部里沒有涉及到的局部進展說明。3頒發(fā)者名稱Issuer：證書應用程序必需要可以識別X.509v3中列出的所有特定名字屬性。4序列號SerialNuber：挪動用戶證書的SN長度小于八個字節(jié)，效勞器證書的SN小于二十個字節(jié)。5簽名算法Signature：定義的簽名算法有兩種：SHA1ithRSAEnryptin和EdsaithSHA1,首選后者。6主體姓名Subjet：和頒發(fā)者字段一樣，證書應用程序必須可以識別X.509v3中列出的所有特定名字屬性。7主體公鑰信息SubjetPubliKeyInf：這里定義的公鑰類型為兩種：RSA和E。由于每張證書都有一個有效期限

20、，根A的證書快要到期的時候，保存在挪動終端里的根A證書要更新，也就是說要通過無線網絡下載新的根A證書，如何保證該過程是平安的，PKI規(guī)定了兩個方案。第一個方案允許用戶終端通過不平安信道直接下載新的根A證書，但是需要通過輸入一個30位的十進制數(shù)來“激活該A。顯而易見，這種方法增加了用戶的負擔。根A的證書唯一代表了根A的身份，根A換證書的過程相當于換了一個身份，那么第二個方案就可以理解為快到期的A介紹一個新A接替它使命的過程。A用快到期的根密鑰對新的A證書簽名，發(fā)送給用戶。這種方式不需要用戶做額外的操作，方便了用戶，但是必然存在一段兩張證書同時有效的時間，增加了后臺處理的工作量。在PKI標準X.5

21、09和PKIX中都定義了證書撤銷列表ertifiateRevatinList，RL，用來公布被撤銷了的證書。如前面所說，PKI中規(guī)定了“短時網關證書Shrt-LivedGateayertifiates，使得用戶根本不需要查詢網關的證書狀態(tài)。AP網關生成一個密鑰對和一個證書懇求，將證書懇求發(fā)送給A，A確認之后給網關頒發(fā)一個網關證書，其實該證書的有效期限可以比擬長如一年，也可以比擬短如兩天，但是網關證書的有效期限都是很短的，所以叫做“短時網關證書。證書有效期限越短，證書出問題的可能性越小，也就是說證書被撤銷的可能性越小，假如短到只有一,兩天，甚至幾個小時，就可以把網關證書的RL省掉。那么用戶證書的

22、有效期限是不是也很短呢？不是的。用戶證書的狀態(tài)是由網關來查詢的，網關的計算才能和存儲才能是很強大的，完全可以本地存儲用戶證書的RL或者進展在線證書狀態(tài)查詢。由于存儲才能有限，而且一個挪動終端有可能有幾張證書適用于不同的場合，證書過期之后還要進展更新，因此挪動終端本地存儲自己的證書并不是一個很好的主意。假如把證書存儲在其他地方，需要的時候下載到終端又會對帶寬提出過高的要求。因此PKI規(guī)定本地存儲的僅僅是證書的URL。證書保存在RA，網關需要與終端建立平安連接的時候，需要自己到RA取出用戶的證書驗證。2.6PKI與PKIPKI的主要功能是在私有或者是共有環(huán)境中提供可信任且有效的密鑰管理和認證。PK

23、I根本上是無線環(huán)境下PKI應用的擴展。兩者的目的都是在所應用的環(huán)境中提供平安的效勞，其一樣點如下：1公開的、可信任的第三方：認證機構A；2審批中心RA；3每個實體占有一對密鑰；4證書是公鑰的載體，是密鑰管理手段；5功能：身份認證、保密性、數(shù)據(jù)完好性。由于應用環(huán)境的不同，即無線環(huán)境下挪動終端的才能和通信形式使得兩者產生表2.1所示的不同3：轉貼于論文聯(lián)盟.ll.33G網絡架構及平安技術3.1無線接入網架構3G是個人通信開展的新階段，引入IP技術，支持語音和非語音效勞。其是在第二代網絡的根底上開展起來的。3G系統(tǒng)由N核心網，UTRAN無線接入網和UE用戶裝置三局部組成。N與UTRAN的接口定義為I

24、u接口，UTRAN與UE的接口定義為Uu接口4如圖3.1所示。Uu接口和Iu接口協(xié)議分為兩局部：用戶平面協(xié)議和控制平面協(xié)議。UTRAN包括許多通過Iu接口連接到N的RNS無線網絡子系統(tǒng)。每個RNS包括一個RN無線網絡控制器和多個NdeB。NdeB通過Iub接口連接到RN上，它支持FDD形式、TDD形式或雙模。NdeB包括一個或多個小區(qū)。RN負責決定UE的切換，具有合并/別離功能，用以支持在不同的NdeB之間的宏分集。UTRAN內部，RNSs中的RNs能通過Iur接口交換信息，Iu接口和Iur接口是邏輯接口。Iur接口可以是RN之間物理的直接相連或通過適當?shù)膫鬏斁W絡實現(xiàn)。UTRAN構造如圖3.2

25、所示在此簡述一下UTRAN的功能：1系統(tǒng)接入控制功能:接入控制；擁塞控制；系統(tǒng)信息播送；無線信道加密和解密。2挪動性功能:切換；SRNS重定位。3無線資源管理和控制:無線環(huán)境調查；無線承載控制；無線協(xié)議功能等。3.23G網絡平安構造3G系統(tǒng)是在2G的根底上開展起來的，認識到GS/GPRS的平安缺陷，3GPP采取了公開透明的設計方法推進公眾對挪動數(shù)據(jù)業(yè)務的信心。其平安設計基于以下假設：被動和主動的攻擊是非常嚴重的威脅；終端設備不能被信任；網間和網內信令協(xié)議七號信令和IP并不平安；可以應付欺騙用戶的偽基站攻擊。3G系統(tǒng)的平安設計遵循以下原那么：所有在GS或其他2G系統(tǒng)中認為是必須或應增強的平安特征

26、在3G系統(tǒng)中都必須被保存，它們包括：無線接口加密；無線接口用戶識別平安；無線接口用戶身份保密；用戶接入效勞認證；在歸屬環(huán)境下對效勞網絡的信任進展最小化；網絡運營商管理可挪動的硬件平安模塊SI，其平安功能獨立于終端。3G將改良2G系統(tǒng)存在和潛在的弱平安功能。對3G系統(tǒng)將提供的新的業(yè)務提供平安保護。3G系統(tǒng)除了支持傳統(tǒng)的語音和數(shù)據(jù)業(yè)務外，還提供交互式和分布式業(yè)務。全新的業(yè)務環(huán)境表達了全新的業(yè)務特征，同時也要求系統(tǒng)提供對應的平安特征。這些新的業(yè)務特征和平安特征如下：不同的效勞商提供多種新業(yè)務及不同業(yè)務的并發(fā)支持，因此3G平安特征必須綜合考慮多業(yè)務情況下的風險性；在3G系統(tǒng)中占主要地位的是非話音業(yè)務，

27、對平安性的要求更高；用戶對自己的效勞數(shù)據(jù)控制才能增加，終端應用才能也大為增加；3G系統(tǒng)中的新平安特征必須抗擊對用戶的主動攻擊。針對3G業(yè)務特點提供新的平安特征和平安效勞?；谏鲜鲈敲?，3G系統(tǒng)平安應到達如下目的：確保歸屬網絡與拜訪網絡提供的資源與效勞得到足夠保護，以防濫用或盜用；確保所有用戶產生的或與用戶相關的信息得到足夠的保護，以防濫用或盜用；確保標準平安特性全球兼容才能；確保提供應用戶與運營商的平安保護程度高于已有固定或挪動網絡；確保平安特征的標準化，保證不同效勞網絡間的遨游與互操作才能；確保3G平安才能的擴展性，從而可以根據(jù)新的威脅不斷改良。3G網絡是一個規(guī)模龐大的，技術復雜的系統(tǒng)，為

28、此必須提出一個通用的平安體系，用來指導3G網絡的建立、管理與應用。3G系統(tǒng)平安構造分為三層，定義了五組平安特性6如圖3.3。1網絡接入平安：主要抗擊針對無線鏈路的攻擊，包括用戶身份保密、用戶位置保密、用戶行蹤保密、實體身份認證、加密密鑰分發(fā)、用戶數(shù)據(jù)與信令數(shù)據(jù)的保密及消息認證；2網絡域平安：主要保證核心網絡實體間平安交換數(shù)據(jù)，包括網絡實體間身份認證、數(shù)據(jù)加密、消息認證以及對欺騙信息的搜集；3用戶域平安：主要保證對挪動臺的平安接入，包括用戶與智能卡間的認證、智能卡與終端間的認證及鏈路的保護；4應用域平安：用來在用戶和效勞提供商應用程序間提供平安交換信息的一組平安特征，主要包括應用實體間的身份認證

29、、應用數(shù)據(jù)重放攻擊的檢測、應用數(shù)據(jù)完好性保護、接收確認等。由于在第三代挪動通信系統(tǒng)中，終端設備和效勞網間的接口是最容易被攻擊的點，所以如何實現(xiàn)更加可靠的網絡接入平安才能，是3G系統(tǒng)平安方案中至關重要的一個問題。網絡平安接入機制應該包括如下：用戶身份保密、接入鏈路數(shù)據(jù)的保密性和完好性保護機制以及認證和密鑰分配機制。3G平安功能構造如圖3.47，橫向代表平安措施，縱向代表相應的網絡實體。平安措施分為五類：1EUI增強用戶身份保密通過HE/Au本地環(huán)境/認證中心對USI用戶業(yè)務識別模塊身份信息進展認證；2UI用戶與效勞網絡的互相身份認證；3AKA用于USI、VLR訪問位置存放器、HLR歸屬位置存放器

30、間的雙向認證及密鑰分配；4數(shù)據(jù)加密D，即UE用戶終端與RN無線網絡控制器間信息的加密；5數(shù)據(jù)完好性DI，即對信令消息的完好性、時效性等進展認證。3.3平安接入機制3.3.1身份保密用戶身份是重要而又敏感的信息，在通信中必須保證這些信息的機密性。身份保密的目的是保護用戶的隱私，防止ISI(永久用戶標識)信息的泄漏。詳細相關技術將在第五章詳細介紹。3.3.2數(shù)據(jù)保密性及完好性保護網絡接入局部的數(shù)據(jù)保密性主要提供四個平安特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在AKA中完成；加密算法協(xié)商由用戶與效勞網絡間的平安形式協(xié)商機制完成，使得E和SN之間可以平安的協(xié)商它們

31、隨后將使用的算法。用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密用以保證數(shù)據(jù)在無線接入接口上不可能被竊聽。在2G中的加密是基于基站,消息在網絡內是用明文傳送,這顯然是很不平安的。3G加強了消息在網絡內的傳送平安,采用了以交換設備為核心的平安機制,加密鏈路延伸到交換設備,并提供基于端到端的全網范圍內加密。在無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密，采用了f8算法如圖3.5。f8算法對用戶數(shù)據(jù)和信令消息數(shù)據(jù)進展加密保護，在UE和RN無線網絡控制器中的RL無線鏈路控制/A媒體介入控制層施行，以保證用戶信息及信令消息不被竊聽，進而可以保證用戶信息及信令消息難以被有效更改。加密算法的輸入?yún)?shù)除了加密密鑰K128bit

32、外，還包括加密序列號UNT-(由短計數(shù)器和計數(shù)器超幀號HFN組成32bit)、無線承載標識BEARER5bit、上下行鏈路指示DIRETIN方向位，其長度為1bit。“0表示UE至RN，“1表示RN至UE和密鑰流長度指示LENGTH16bit。掩碼生成算法f8基于一種新的塊加密，這個塊算法把64bit的輸入轉變成64bit的輸出，轉換由128bit的密鑰f8來控制。假如f8未知，就不能從輸入有效地計算輸出或根據(jù)輸出計算輸入。原那么上，假如滿足下面的條件之一就可以進展轉換：1試所有可能的密鑰，直到找到正確地密鑰；2以某種方式搜集一個宏大的表，包含所有264的輸入輸出對。但實際上，這兩種方法都是不

33、可行的。終端使用加密指示符來表示用戶是否使用加密，這樣提供了加密機制的可見性。網絡接入局部的數(shù)據(jù)完好性主要提供三個平安特性：完好性算法協(xié)商，完好性密鑰協(xié)商，數(shù)據(jù)和信令的完好性。其中完好性密鑰協(xié)商在AKA中完成；完好性算法協(xié)商由用戶與效勞網間的平安形式協(xié)商機制完成。3G系統(tǒng)預留了16種UIA的可選范圍。目前只用到一種Kasui算法。該平安特性是3G系統(tǒng)新增的。它使系統(tǒng)對入侵者的主動攻擊有更強的防御才能。與UEA協(xié)商功能的作用類似，UIA的協(xié)商增加了系統(tǒng)的靈敏性，為3G系統(tǒng)的全球遨游打下基矗UTS的完好性保護機制是：發(fā)送方UE或RN將要傳送的數(shù)據(jù)用完好性密鑰IK經過f9算法產生的消息認證碼Aess

34、ageAuthentiatinde，附加在發(fā)出的消息后面。承受方RN或UE收到消息后，用同樣的方法計算得到XA。接收方把收到的A和XA相比擬，假如兩者相等，就說明收到的消息是完好的，在傳輸?shù)倪^程中沒有被篡改。f9算法的使用如圖3.6該算法的輸入?yún)?shù)除了完好性密鑰IK128bit外，還包括完好性序列號UNT-I(32bit，由RR序列號SN和RR超幀號HFN組成)、發(fā)送的消息ESSAGE、DIRETIN方向位，其長度為1bit。“0表示UE至RN，“1表示RN至UE、A-I用于消息完好性保護的消息認證碼和隨機數(shù)FRESH為網絡方產生的隨機數(shù)并傳輸給UE，長度為32bit，用以防止重傳攻擊。我們需

35、要對網絡進展保護，以防止惡意為UNT-I選擇初始值。實際上，HFN的最重要的局部存儲在連接間的USI中。攻擊者可能假裝成USI并給網絡發(fā)送一個假值以強迫初始值變得非常校這時，假如沒有執(zhí)行認證過程就使用舊的IK，就會為攻擊者在只缺少FRESH的情況下利用以前記錄的A-I值對以前連接的RR信令消息進展再次發(fā)送提供了可能。通過使用FRESH，RN可以防止這類重放攻擊。當FRESH在一個單獨的連接中保持不變時，不斷遞增的UNT-I又可以防止基于同一連接中已經記錄的消息的重放攻擊。認證與密鑰協(xié)商涉及到實體認證將在下一章節(jié)詳細進展介紹。3.43G系統(tǒng)有待研究的問題3G系統(tǒng)的新特點在于提供高帶寬和更好的平安

36、特性。從3G網絡接入局部的平安構造中可以看出，3G系統(tǒng)的變化很大。無論從提供的效勞種類上，還是從效勞質量上都有很大改觀。但是3G系統(tǒng)仍存在一些開放問題有待繼續(xù)研究。這里主要討論一下幾個方面的內容：數(shù)據(jù)保密和數(shù)據(jù)完好性。數(shù)據(jù)保密性方面的工作已經做了很多，但是仍有以下問題沒有解決：一是密文生成的同步問題；二是在一個UTRANUTS陸地無線接入網的不同核心網絡之間加密和加密密鑰的選擇問題；三是如何決定從哪個消息開場加密。數(shù)據(jù)完好性方面的主要問題是：如何確定哪些消息需要保護；如何在UTRAN構造中集成數(shù)據(jù)完好性功能。轉貼于論文聯(lián)盟.ll.4實體認證4.1PKI中的實體認證PKI平安平臺可以提供智能化的

37、信任與有效受權效勞。其中，信任效勞主要是解決在茫茫網海中如何確認“你是你、我是我、他是他的問題，PKI是在網絡上建立信任體系最行之有效的技術。受權效勞主要是解決在網絡中“每個實體能干什么的問題。在現(xiàn)實生活中，認證采用的方式通常是兩個人事前進展協(xié)商，確定一個機密，然后，根據(jù)這個機密進展互相認證。隨著網絡的擴大和用戶的增加，事前協(xié)商機密會變得非常復雜，特別是在電子政務中，經常會有新聘用和退休的情況。另外，在大規(guī)模的網絡中，兩兩進展協(xié)商幾乎是不可能的。透過一個密鑰管理中心來協(xié)調也會有很大的困難，而且當網絡規(guī)模宏大時，密鑰管理中心甚至有可能成為網絡通信的瓶頸。PKI通過證書進展認證，認證時對方知道你就

38、是你，但卻無法知道你為什么是你。在這里，證書是一個可信的第三方證明，通過它，通信雙方可以平安地進展互相認證，而不用擔憂對方是假冒的。A是PKI的核心執(zhí)行機構，是PKI的主要組成局部，業(yè)界人士通常稱它為認證中心。從廣義上講，認證中心還應該包括證書申請注冊機構RARegistratinAuthrity，它是數(shù)字證書的申請注冊、證書簽發(fā)和管理機構。A的主要職責包括：驗證并標識證書申請者的身份。對證書申請者的信譽度、申請證書的目的、身份的真實可靠性等問題進展審查，確保證書與身份綁定的正確性。確保A用于簽名證書的非對稱密鑰的質量和平安性。為了防止被破譯，A用于簽名的私鑰長度必須足夠長并且私鑰必須由硬件卡

39、產生。管理證書信息資料。管理證書序號和A標識，確保證書主體標識的惟一性，防止證書主體名字的重復。在證書使用中確定并檢查證書的有效期，保證不使用過期或已作廢的證書，確保網上交易的平安。發(fā)布和維護作廢證書列表RL，因某種原因證書要作廢，就必須將其作為“黑名單發(fā)布在證書作廢列表中，以供交易時在線查詢，防止交易風險。對已簽發(fā)證書的使用全過程進展監(jiān)視跟蹤，作全程日志記錄，以備發(fā)生交易爭端時，提供公正根據(jù)，參與仲裁。由此可見，A是保證電子商務、電子政務、網上銀行、網上證券等交易的權威性、可信任性和公正性的第三方機構。在現(xiàn)有文獻中出現(xiàn)過認證這個名詞，但是未見有對其進展明確功能劃分確實切定義。實際的平安系統(tǒng)中

40、，幾乎所有的平安需要都要通過對用戶或實體受權、對內容的真實完好性鑒別才能有效實現(xiàn)，而要實現(xiàn)對用戶或實體的受權就必須實現(xiàn)用戶或實體的認證。涉及到系統(tǒng)的用戶或實體通常對數(shù)據(jù)、信息或實體具有閱讀或操作或按權限訪問、傳播和使用控制的權利。顧名思義，認證是一個實體對另一個實體具有的所有權或操作權等權利的鑒別。實體認證是由參與某次通信連接或會話的遠端的一方提交的，驗證實體本身的身份。一些主要的認證技術8分別是：口令，認證令牌，智能卡和生物特征。不同的認證技術對應不同的平安級別、不同的使用難度、效益和本錢。如通過口令進展身份認證，一種可靠的方法是，不要在認證系統(tǒng)中存儲真正的口令，而是對口令進展一定的運算再把

41、值存儲在系統(tǒng)中。當用戶訪問系統(tǒng)時，系統(tǒng)對口令進展一樣的運算來確認是否與存儲的值是否一樣，通過這種方法，可以防止明文口令在系統(tǒng)中的存儲。以免以前存放明文口令的認證數(shù)據(jù)庫成為攻擊者的主要目的，畢竟數(shù)據(jù)庫的拷貝意味著將有許多用戶的口令被竊齲通過這種改良的口令系統(tǒng)，可以防止明文口令在輸入設備和認證系統(tǒng)之間傳輸。對于上述算法的要求，攻擊者要找到一個口令來使得它產生的值恰是他們所看到的，這在計算上是不可能的。如D4，D5或者SHA1這樣的加密散列算法可以滿足上述的要求。但是這種認證方式要防止的是重放攻擊，即攻擊者之間獲得運算后的值，從而直接將其重放給認證系統(tǒng)，已獲得訪問權。為理解決這個問題，系統(tǒng)可以使用隨

42、機數(shù)的參加來防止重放攻擊。通過這種技術可以使得攻擊者只能看到隨機數(shù)，用戶的口令并沒有在輸入系統(tǒng)和認證系統(tǒng)中傳輸，甚至由口令產生的值都不會出如今系統(tǒng)之間，采用所謂的質詢/響應的認證過程，便是當今口令認證機制的基矗簡單口令的最常見的替代品是認證令牌。認證令牌有兩類：質詢/響應令牌和時間令牌。認證令牌與PKI的關系主要表達在兩個方面。首先結合效勞器端的PKI，令牌可以充當客戶端的認證機制；另一方面，令牌可以擔當受權訪問私鑰的初始認證。通過PKI，可以對eb效勞器進展強有力的認證以及提供強加密通信；通過認證令牌，可以對用戶進展強身份認證。PKI用于認證效勞器和加密會話，令牌那么用于認證客戶端。這種混合

43、方案很可能會促使令牌成為將來一段時間內的主要強認證方式。4.2現(xiàn)有3G中的認證過程3G接入網局部的實體認證包含了三個方面。一是認證機制協(xié)商，該機制允許用戶和效勞網絡平安協(xié)商將要使用的平安認證機制。二是用戶身份認證，效勞網絡認證用戶身份的合法性。三是用戶對他所連接的網絡進展認證。認證和密鑰分配機制完成用戶和網絡之間通過密鑰K128bit互相認證，以及完成上面提到的加密密鑰和完好性密鑰的分配。密鑰K僅存在于用戶歸屬網絡環(huán)境HE的Au認證中心和UI/USI用戶效勞識別模塊中，并且在兩者之間共享。UI是可以防止篡改的具有身份驗證功能的智能卡，而USI是運行在UI上的一個模塊。為了保證認證的平安性，一個

44、根本要求是在給定的UI/USI的使用期內密鑰K絕不能泄漏或者損壞。在SGSN/VLR和USI之間執(zhí)行的認證過程是基于一種交互式認證策略。另外，USI和HE分別保存SQNs和SQNhe計數(shù)用以支持認證。序號SQNhe是用戶獨立的計數(shù)器，由HLR/Au維護每個用戶具有的獨立序號；而SQNs是指USI收到的最高序號。認證與密鑰分配機制9過程如圖4.1所示，整個過程分為幾個子過程：從HE/Au發(fā)送認證消息到VLR/SGSN的過程；VLR/SGSN和S之間互相認證和新加密和完好性密鑰的建立過程；重同步過程。其中：1每個認證向量包括：一個隨機數(shù)、一個期望的應答、加密密鑰K、完好性密鑰IK、認證令牌A；2每

45、個認證向量適用于一次VLR/SGSN與USI之間的認證和密鑰協(xié)商；3認證方為用戶HE的認證中心和用戶挪動站中的USI。圖4.2為VLR/SGSN和S之間互相認證、新加密和完好性密鑰的建立過程。USI收到RAND和AUTN后，按以下步驟進展認證和新加密和完好性密鑰的建立。步驟1計算匿名密鑰AK，并且獲取序列號SQN；步驟2USI計算XA，將它和A比擬，A包含在AUTN中。假如兩者不同，用戶就傳送包含回絕原因指示用戶認證回絕信息給VLR/SGSN，然后終止該過程。在這種情況下，VLR/SGSN將初始化一個認證失敗報告過程給HLR。假如一樣進展步驟3。步驟3USI校驗收到的SQN是不是在正確的范圍內

46、。步驟4假如序號在正確范圍內，那么進展步驟5；假如序號不在正確的范圍內，它將發(fā)送一個包含適當參數(shù)的同步失敗信息給VLR/SGSN，然后終止該過程。VLR會根據(jù)同步失敗消息向HE懇求重同步過程。步驟5假如序號在正確的范圍內，USI計算K和IK。步驟6USI計算RES，該參數(shù)包含在用戶認證響應中傳給VLR/SGSN。收到用戶認證響應后，VLR/SGSN將響應RES與所選認證向量中獲得XRES比擬。假如兩者相等，那么用戶就通過認證。VLR/SGSN就從選擇的認證向量中獲得正確的K和IK。USI和VLR將保存原始K和IK，直到下一次AKA完成。假如XRES和RES不相等，那么初始化一個新的鑒別和認證過

47、程。在3G系統(tǒng)中，實現(xiàn)了用戶與網絡的互相認證，簡單的說，通過驗證XRES與RES是否一樣，實現(xiàn)了VLR/SGSN對S的認證；通過比擬XA與A是否一樣，實現(xiàn)了S對HLR/Au的認證。以上便是在3G系統(tǒng)中用戶和網絡效勞商之間雙向認證的一個詳細過程。通過雙向認證機制，3G有效的保護了用戶與運營商雙方的利益。4.3PKI應用下的實體認證首先A用Rabin算法和自己的私鑰Pu和Qu來為網絡端和挪動端簽發(fā)證書。網絡端B的公鑰為Nb，挪動端A的公鑰為ELGaal簽名算法的公鑰Pa。網絡端保存相應的Rabin算法私鑰Pb和Qb，挪動端保存相應的ELGaal算法私鑰Sa。挪動端和網絡端通過驗證對方的證書合法性和

48、相應的私鑰來進展雙向的認證。詳細過程如圖4.3轉貼于論文聯(lián)盟.ll.5身份機密性5.1相關的平安特征與用戶身份機密性相關的平安特征如下：用戶身份機密性useridentitynfidentiality：承受業(yè)務用戶的永久身份ISI在無線接入鏈路上不可能被竊聽。用戶位置機密性userlatinnfidentiality)：用戶在某一區(qū)域出現(xiàn)或到達，不可能在無線接入鏈路上通過竊聽來確定。用戶的不可跟蹤性useruntraeability：入侵者不可能通過在無線接入鏈路上竊聽而推斷出不同的業(yè)務是否傳遞給同一用戶，即無法獲知用戶正在使用不同的業(yè)務。為了滿足上述要求，3G系統(tǒng)采用了兩種機制來識別用戶身份

49、，1在用戶與效勞網之間采用臨時身份機制用戶的ISI由臨時身份識別號TSI代替，為了實現(xiàn)用戶的不可跟蹤性要求用戶不應長期使用同一TSI，即TSI要定期更換。2使用加密的永久身份ISI。但是3G標準沒有排擠用戶直接使用ISI進展身份識別，即GS式身份識別。此外在3G中，任何可能暴露用戶身份的信令和用戶數(shù)據(jù)都要求進展加密。5.2GS中的身份保密GS系統(tǒng)采用用戶的臨時身份實現(xiàn)用戶的身份保密。對進入其訪問區(qū)的每個用戶，VLR拜訪位置存放器都會分配一個TSI臨時身份識別號，TSI和ISI一起存于VLR的數(shù)據(jù)庫中，用戶只要使用TSI和位置區(qū)域標識LAI即可標識自己的身份。一般情況下不使用ISI來識別用戶。但

50、是當用戶第一次注冊或者效勞網絡不能根據(jù)用戶的TSI時必須使用用戶的永久身份ISI。這時ISI將在無線鏈路上以明文進展傳輸，這就可能會造成用戶身份的泄漏。顯然，GS系統(tǒng)在用戶身份保密方面存在明顯的缺陷。圖5.1表示了GS系統(tǒng)中身份識別的過程10。5.33G中已有的身份機密性設計現(xiàn)有的身份機密的方案如圖:該機制由訪問的VLR/SGSN發(fā)起，向用戶懇求ISI。用戶有兩種選擇進展響應，選擇和GS系統(tǒng)一樣的直接回復明文ISI或者使用特有的增強的身份保密機制來進展響應。采用明文的ISI是為了與第二代通信網絡保持兼容。一般在3G系統(tǒng)中，挪動用戶配置成增強型用戶身份保密機制11。圖5.2中，HE-essage

51、表示包含加密ISI的消息，其組成如下：HE-essage=GIEUI，EUI=fgkSQNuiISI。其中GI表示群身份標識，EUI表示加密ISI。EUI是SQNui和ISI經過fgk函數(shù)加密運算得到，SQNui表示用戶認證中心UI生成的序列號，用于保持認證的最新性，GK是用戶入網時與HE/UI及群中的其它用戶共享的群密鑰。HE為用戶歸屬域。增強型用戶身份保密機制將用戶的ISI以密文形式嵌入HE-essage中，VLR/SGSN不能直接解密HE-essage，而是根據(jù)HE/UI-id將HE-essage傳送到相應的HE/UI。由HE/UI根據(jù)GI檢索相應的GK，用解密HE-essage得到用戶

52、的ISI，再傳送給VLR/SGSN。這樣做的目的是保證用戶的ISI不被竊聽。此后VLR/SGSN建立用戶ISI和TSI之間的對應關系。以后用戶就用VLR/SGSN分配的TSI進展通信。增強型用戶身份保密機制是3G引進的，規(guī)定了每個用戶都屬于某一個群，而每個群擁有一個GI。用戶群有一個GK，該密鑰平安的保存在USI和HE/VLR中。相比2G而言用戶身份的保密性有了較大的改良，但我們可以看到，從HE/UI傳給VLR/SGSN的解密用戶身份ISI仍然使用了明文方式，因此該方式也還存在一定的弱點，需要進一步的改良。而且依靠HE/UI來進展消息的解密會使得效率低下。因此下面給出了一個基于公鑰體制下的用戶

53、身份機密性的實現(xiàn)方案。5.4在PKI根底上設計的身份機密方案首先由于無線PKI的應用，各個PKI實體都要求具有一個公鑰證書。有了公鑰證書，實體間才可以通過證書鑒定的方式來建立起信任關系，也更方便進展認證。為了保證用戶與其公鑰的一一對應。證書權威需要首先驗證終端實體的身份。證書頒發(fā)過程可以采用離線的方式，如在USI的消費過程中就參加初始的用戶的證書，或者也可以采用在線的方式或通過可信任的第三者進展證書的方法。根本認證方案如以下圖5.3在3G系統(tǒng)中，當效勞網絡不能通過TSI來識別用戶身份時，將使用永久用戶身份標識來鑒別用戶身份，特別是在挪動用戶第一次在效勞網絡內注冊，以及網絡不能由用戶在無線鏈路上

54、的TSI獲得相應的ISI時。用戶的永久身份是一個敏感而且非常重要的數(shù)據(jù)，需要得到很好的保護，但如上文提到的在GS中，用戶的永久身份是用明文的形式發(fā)送的，3G系統(tǒng)對此要進展平安改良。有了證書之后，用戶首次入網注冊時，就可以使用證書和ISI一起進展注冊了，詳細的操作過程如下符號說明：ertS用戶證書ertHLRHLR的證書SKS用戶的私鑰SKHLRHLR的私鑰PKHLRHLR的公鑰R1，R2，Ks隨機數(shù)同樣在用戶的USI中，存有A的公鑰，自己的私鑰，假如已經獲得自己的證書，那么也應該保存在USI中。注冊過程如以下圖5.4：1用戶向網絡發(fā)起入網登記懇求2網絡發(fā)送自己的證書和隨機數(shù)R1給S3用戶收到網

55、絡的證書ertHLR，利用A的公鑰來驗證HLR的真實性，假如通過驗證，。首先生成兩個隨機數(shù)Ks，和R2，利用用戶的私有密鑰對(R2R1)作簽名成為(R2R1)SKS，再用HLR的公開密鑰PKHLR對Ks作加密，最后利用對稱性加密算法如IDEA或DES對ISI,ertS及(R2R1)SKs，以Ks進展加密。然后將加密信息發(fā)送到HLR，同時S存儲R1,R2,Ks，以及ertHLR。4網絡側收到響應后，用自己的私鑰SKHLR解密消息KsPKHLR得到Ks，再用Ks解密ertSISI(R2R1)SKsKs，得到用戶的ISI和ertS，首先驗證ISI的合法性，然后使用HLR和A之間的平安通道向A發(fā)送用戶

56、的ertS來獲取用戶相應的公鑰PKS，然后使用用戶的公鑰PKS來解密(R2R1)SKS，獲得R2R1，假如R1確實正確，就產生一個TSI并把TSI和ISI進展關聯(lián)并且存儲存儲在效勞器中，同時存儲R2。至此HLR確認S的合法性。5當HLR確認S合法之后，那么送回第三個信息以及生成會話密鑰，否那么回絕所要求的效勞。首先利用私有密鑰SKHLR對R2作簽名，再以Ks利用對稱性的密碼算法，對TSI和ISI及以R2R1)SKHLR作加密，生成TSIISIR2R1SKHLRKs再將信息送至S，最后利用R1和R2作異或運算生成會話密鑰，并且將Ks刪除。HLR的認證已經完成。6.S收到HLR的信息后，利用Ks解開信息，得到TSIISIR2R1SKHLR,首先檢查ISI是否是自己的ISI，再來利用HLR的證書驗證R2R1SKHLR是否等于(R2R1