移动接入系统的安全技术

文章编号：1009－6868(2001)05－0010－04 文献标识码：A 中图分类号：TN918.91

　　1 移动接入系统及其发展

　　移动接入必须基于移动通信系统。目前的移动通信系统主要以话音业务为主，但随着数据业务的迅速增长，尤其是随着移动通信技术与互联网技术的快速发展及IP网络行将一统天下的发展趋势，移动的多媒体通信无疑是移动通信的未来发展方向。第3代移动通信系统(3G)在第2代系统的基础上，向宽带、高效、多业务方向发展。

　　第3代无线接入技术具有如下特征：

(1)灵活处理各种多媒体业务；
(2)Internet接入；
(3)高效利用频谱及网络资源；
(4)更高的数据速率(144kbit／s～2Mbit／s)；
(5)更高的话音质量及全球漫游。

　　由此可见，第3代移动通信系统可使终端用户在移动的环境下享受到话音、数据及各种多媒体业务，有望形成一个真正的移动多媒体系统。

　　移动IP支持是第3代移动通信系统接入Internet的关键技术。基于第3代移动通信系统中的移动接入方式与业务特征，本文将重点讨论第3代移动通信系统中的安全技术以及移动IP中的安全技术。

　　2 3G系统中的安全技术

　　2.1 3G系统安全需求

　　3G系统是一个在全球范围内覆盖与使用的通信网络系统。3G系统所提供的业务除了传统的语音业务外，还包括多媒体业务、数据业务，以及电子商务、电子贸易和互联网提供的多种信息业务。因此在第3代移动通信系统中，安全性要求尤为重要。3G系统安全需求包括：确保与所有用户相关的信息得到足够的保护，以防止滥用或盗用；确保归属网络与服务网络提供的资源或服务得到足够的保护，以防止滥用或盗用；确保标准安全特性全球兼容能力；确保安全特性的标准化，保证不同网络之间的漫游与互操作能力；确保安全能力的可扩展性，从而可以根据新的威胁不断加以改进。

　　2.2 3G网络安全结构

　　3G系统安全结构中共定义了5组安全特性(如图1所示)，每一组安全特性都针对特定的威胁，并完成特定的安全目标。

图1 3G系统安全体系结构

• 
  网络接入安全(I)：定义了为用户提供的安全接入3G服务的安全特性，特别强调防止无线接入链路的攻击；
  
• 网络域安全(II)：定义了在运营商节点之间安全传输数据的安全特性，并针对有线网络的攻击进行保护；
  
• 用户域安全(III)：定义了安全接入移动站的安全特性；
  
• 应用程序域安全(IV)：定义了用户应用程序与运营商应用程序安全交换数据的安全特性；
  
• 安全的可见度与可配置性(V)：定义了用户能够得知操作中是否安全，以及对安全程度自行配置的安全特性。

　　2.3 认证与密钥分配

　　通信实体认证是通信参与方身份真实性的首要保证，而密钥的安全、有效分配是保证通信安全的重要前提。3G系统中认证与密钥协商机制如图2所示。

 点击放大
图2 认证与密钥协商机制

　　其中：

• 每个认证向量包括：一个随机数(RAND)、一个期望的应答(XRES)、加密密钥(CK)、完整性密钥(IK)、认证令牌(AUTN)；
  
• 每个认证向量适用于一次VLR/SGSN与USIM之间的认证与密钥协商；
  
• 认证方为用户HE的认证中心和用户移动站中的USIM。

　　2.4 数据机密性与完整性保护

　　(1)数据完整性保护

图3 消息认证码MAC-1(或XMAC-1)的产生

　　3G系统中数据的完整性保护方法如图3所示，其中：

• f9：完整性保护算法；
  
• IK：完整性密钥，其长度为128bit；
  
• COUNT－I：完整性序列号，长为32bit；
  
• FRESH：为网络方产生的随机数，其长度为32bit，用于防止重传攻击；
  
• MESSAGE：发送的消息；
  
• DIRECTION：方向位，其长度为1bit，“0”表示UE(用户环境)→RNC(无线网络控制器)，“1”表示RNC→UE；
  
• MAC－I：用于消息完整性保护的消息认证码；
  
• 接收方计算XMAC－I，并与接收到的MAC－I比较，验证消息的完整性。

　　(2)数据加密

图4 加密与解密方法

　　3G系统中数据的机密性保护方法如图4所示,其中：

• f8：加密算法；
  
• CK：加密密钥，长为128bit；
  
• COUNT－C：加密序列号，长为32bit；
  
• BEARER：负载标识，其长度为5bit；
  
• DIRECTION：方向位，其长度为1bit，“0”表示UE→RNC，“1”表示RNC→UE；
  
• LENGTH：所需的密钥流长度，长为16bit。
  

　　3 移动IP中的安全技术

　　3.1 移动IP协议

　　移动IP协议定义了3个新的实体：移动节点(MN)、归属代理(HA)、外地代理(FA)。MN可以是一个主机或路由器，可从一个网络移动到另一个网络。每个移动节点有两个IP地址：本地地址和转交地址(Care-of-Address)。本地地址是移动节点的IP地址，当移动节点在网络中移动(漫游)时，本地地址保持不变；转交地址是连接本地代理和移动节点的隧道出口。当移动节点切换到外地链路时，转交地址也随之改变。HA是MN归属网络中的路由器，当MN漫游时为MN通过隧道转交数据包，并维护MN当前位置信息。FA是MN访问网络中的路由器，为已注册的MN提供路由服务。移动节点的转交地址是由漫游地的外地代理提供的，移动节点在漫游地获得转交地址后，必须向归属网络的归属代理进行注册，保证漫游时仍能接收消息。移动IP注册协议基本过程如下：

(1)通信代理(HA或FA)通过代理通告消息通知它们的存在；
(2)MN接收到代理通告后，确定自己是在归属网络上还是在外地网络上；
(3)当MN检测到自己是在归属网络上时，不需要移动服务；
(4)当MN检测到自己移动到某个外地网络时，通过代理通告获得一个外地网络的转交地址；
(5)漫游的MN通过交换注册请求与注册应答消息，向HA注册其新的转交地址；
(6)注册成功后，发往MN的数据包被HA接收，HA则通过隧道技术将这一数据包发往MN的转交地址；
(7)在相反方向，由MN发出的数据包通常采用标准的路由机制转交到目的地，无须通过HA。

　　3.2 移动IP安全威胁与安全需求

　　移动IP中的主要安全威胁包括以下方面：

• 拒绝服务攻击：攻击者向本地代理发送伪造的注册请求，把自己的IP地址当作移动节点的转交地址。注册成功后，发往移动节点的消息均由攻击者接收，而真正的移动节点却被拒绝服务。
  
• 假冒攻击：这是一种典型的重放攻击。攻击者通过窃听会话，截取数据包，把一个有效的注册请求信息储存起来，然后利用储存的注册请求向代理服务器注册伪造的转交地址。
  
• 未授权的访问：这是指未经授权的实体获得了访问网络的资格，并对有关信息进行篡改。未授权访问一般是指在不安全的传输信道上截取正在传输的信息或利用网络协议的弱点来实现的。而无线信道正是一种最不安全的传输信道。

　　为防止上述攻击，保护信息的安全传输，必须对通信参与方(移动节点及通信代理)及网络实体之间传输注册消息进行有效的认证。认证方案的实现可基于网络实体之间的共享秘密，认证算法可采用Keyed MD5算法或其它算法。

　　3.3 移动注册与网络实体认证

　　网络实体之间的相互认证，可通过定义消息扩展实现。消息扩展中包含了选定的协议以及认证的对象。协议标识指明了当前使用的认证协议，认证对象包括封装的FA通告消息、FA及HA的证书、消息的新鲜性标识Nonce和消息认证码(MAC)。所有通信参与方从消息扩展中可得知当前使用的认证协议和所要认证的对象。

　　认证协议由以下几步组成：

(1)MN→FA：REG,SAM,MAC；
(2)FA→HA：REG,SAF,CertF,
SIGF,Nonce；
(3)HA→FA：REP,SAH,CertH,
SIGH ,Nonce；
(4)FA→MN：REP,MAC。

　　其中：

　　REG和REP分别为注册请求消息和注册应答消息；SAM、SAF 和SAH分别为MN、FA和HA选定的移动安全关联；CertF和CertH分别为FA和HA的公钥证书；SIGF 和SIGH 分别为FA和HA的数字签名；MAC为消息认证码，用于MN与HA之间的认证；Nonce为消息新鲜性标志。

　　协议第一步完成后，FA无须对MN进行认证，只是将注册请求消息进行转发，并在转发消息中加入自己的安全关联、公钥证书、数字签名以及产生的Nonce；HA接收到FA转发的注册请求消息后，首先使用与MN共享的秘密密钥验证MAC，证实MN身份的真实性，然后利用FA的公钥验证FA的数字签名，证实FA身份的真实性，最后通过Nonce验证消息的新鲜性；上述验证完成后，HA向FA发送注册应答消息，并在注册应答消息中加入自己的安全关联、公钥证书、数字签名以及产生的Nonce；FA接收到HA的注册应答消息后，利用HA的公钥验证HA的数字签名，证实HA身份的真实性，然后通过Nonce验证消息的新鲜性；上述验证完成后，FA向MN转发注册应答消息，并在注册应答消息中加入HA产生的消息认证码MAC；MN接收到FA转发的注册应答消息后，使用与HA共享的密钥验证MAC，证实HA身份的真实性，最后结束整个注册与认证过程。

　　3.4 移动安全关联

　　由于不同的移动节点可能有不同的计算能力，并且不同的国家或组织对加密算法强度有不同的约束，因此认证协议必须具有一定的“柔性”，能够适应不同的移动节点以及各种对加密算法的约束。移动安全关联(Mobile Security Associations)是一组用于保护消息的安全策略。两个网络实体进行安全通信前，必须先协商一个安全关联，选择通信双方均能支持的加密与认证算法。

　　移动安全关联由以下几部分组成：加密算法(如：DES、3DES、Blowfish、CAST、AES等)；HASH算法(如：MD5、SHA、Tiger等)；认证方法(如：预分配共享密钥、数字签名、共享密钥等)；移动安全关联的生存时间。

　　4 结束语

　　移动接入系统的安全性，主要是防止在无线接口中进行的攻击，解决在无线接口传输数据的保密性问题。随着移动接入业务的不断扩展，以及对安全需求的不断增加，需要更多的安全技术来保障移动接入系统的安全性问题。加强安全保密强度，提供更加完善的安全保障体系，将会是今后移动接入系统安全性研究的重要课题。

　　参考文献

1 3GPP TS 33.102.3G Security: Security Architecture.ftp://ftp. 3gpp.org/Specs,October 2000
2 3GPP TS 33.900.3G Security: Security Principles and Objectives. ftp://ftp.3gpp.org/Specs,May 1999
3 Perkins E. Mobile IP. IEEE Communications Magazine, March 1997
4 Greenberg M S,Byrington J C,Holding T.Mobile agents and security.IEEE Communication Magazine, 1998, 31(7):76－85
5 Molva R, Smafat D, Tsudik G.Authentication of Mobile Users.IEEE Network, Special Issue on Communications, 1994

[摘要] 第3代移动通信系统是未来移动接入系统的发展趋势，移动IP支持是第3代移动通信系统接入Internet的关键技术。文章在对第3代移动通信系统与移动IP协议安全需求分析的基础上，详细讨论了其安全技术及其安全实现方案。

[关键词] 第3代移动通信系统 移动IP 认证 加密

[Abstract] 3G will be the future of mobile access system, and mobile IP will be a key technology to access Internet in 3G. Based on the analysis of security requirements in 3G and mobile IP, security technology and its implementing schemes are discussed.

[Keywords] 3G Mobile IP Authentication Encryption