3G通信及密钥协商协议的技术分析

自GSM诞生以来，移动通信很快就成为这个时代不可缺少的一部分。安全问题一直是移动通信系统中至关重要的一个问题，无线通信由于具有开放式的空中接口，信息安全就显得尤其重要。同时，受到移动设备有限资源的限制，接入认证与密钥协商作为安全体系的基础，研究其安全性、有效性、实用性就具有非常现实的意义。

第三代移动通信系统（3g）是一个在全球范围内覆盖与使用的网络系统，它集有线、蜂窝和卫星通信于一体，向用户提供高质量的多媒体通信[1]。第三代移动通信系统（3G系统）的认证和密钥协商协议是3G系统网络接入安全的核心机制，如果身份认证和密钥协商协议出现安全漏洞，会使整个会话都没有安全性可言。可见对于3G系统的认证和密钥协商协议的研究具有十分重要的意义。本文对密码学相关理论知识做了研究，介绍了第三代移动通信系统的安全体系结构，研究了第三代移动通讯系统的认证与密钥协商机制，指出了其中存在的漏洞，并给出了解决办法，最后介绍3G认证和密钥协商协议(AKA)的安全算法。

13G移动通讯系统的认证与密钥协商机制

认证与保密是信息安全的两个重要的方面。保密是防止明文信息的泄漏，认证则主要是为了防止第三方的主动攻击，比如，冒充通信的发送方或者篡改信道中正在传输的消息。在GSM系统中，身份认证是单向的，基站能够验证用户的身份是否合法，而用户无法确认他所连接的服务网络是否可靠。3GAKA协议借鉴了GSM身份认证的询问－应答机制，结合ISO/IEC9798-4基于“知识证明”和使用顺序号的一次性密钥建立协议，实现了双向认证。该安全机制如图1所示。

在该系统中，用户UE的USIM（UserServiceIdentityModule）和它的归属域HLR中的认证中心AuC共享密钥K，该密钥不在网络中传输。当HLR/AuC接收到VLR发来的认证请求信息后，它将产生一组认证向量并发往VLR（Authenticationdataresponse）。这些认证向量基于序列号SQN顺序排列。每一个认证向量都是一个五元组（RAND，XRES，CK，IK，AUTN）。当VLR要发起一次AKA协商时，从认证向量数组中选择当前的下一个未被使用的向量AV(i)，并将参数RAND和AUTN付发给用户USIM。一旦收到，用户首先验证AUTN是否可接受，如果AUTN是可接受，USIM它将产生一应答RES发往VLR，同时计算CK和IK。VLR将接收的RES及与存储的XRES比较，如果两者匹配，VLR认为本次AKA成功。双方就可以用CK、IK加密验证后续的通信内容。

23G认证和密钥协商协议（AKA）的安全分析

2.1VLR对MS的认证以及MS对HLR的认证

VLR在协议第三步接收到来自HLR的认证向量中包含了期望MS产生的应答XRES=f2K(RAND)。若MS是合法用户，在协议第四步接收到HLR产生的随机数RAND后，应能正确的计算RES=f2K(RAND)，并且RES=XRES。MS对HLR的认证是通过消息认证码MAC实现的。MS接收到VLR转发的来自HLR的MAC=f1K(SQNRANDAMF)，计算XMAC=f1K(SQNRANDAMF)，在保证SQN的正确性前提下，MACXMAC，则认证成功。

2.2MS与VLR之间的密钥分配

VLR在协议第三步接收到来自HLR的认证向量中包含了加密密钥CKHLR与完整性密钥IKHLR，合法用户在收到正确的随机数RAND后，能正确产生CKMS=f3K(RAND)，IKMS=f4K(RAND)，并且CKHLRCKMS，IKHLRIKMS。CK与IK将用于其后的保密通信，而CK与IK未在无线接口中传输，确保了密钥的安全性。

2.3确保MS与VLR之间密钥的新鲜性

MS与VLR之间每次通信均采用不同的密钥CK与IK。由于每次通信前的认证选择了不同的认证向量，保证每次通信采用的密钥CK与IK是采用不同的随机数计算得到。而每次使用的消息认证码MAC是由不断递增的序列号SQN作为其输入变量之一，保证了认证消息的新鲜性，从而确保密钥的新鲜性，有效地防止了重放攻击。

2.43G认证和密钥协商协议（AKA）的安全漏洞和可能受到的攻击

通过对上述协议过程分析发现，该认证方案实现了VLR对MS以及MS对HLR的认证，而不要求MS对VLR进行认证。攻击者A可利用截获的合法用户身份标识进行的攻击如下：

(1)MSA：IMSI

(2)AVLR：IMSI

(3)VLRHLR：IMSI

(4)HLRVLR：AV=RANDXRESCKIKAUTN

(5)VLRA:RANDAUTN

(6)AMS：RANDAUTN

(7)MSA：RES

(8)AVLR：RES

这样，攻击者A就可以假冒该用户身份入网。但由于加密密钥CK与完整性密钥IK未在无线接口中传输，攻击者无法获得这些密钥而进行正常的保密通信。另外，上述方案没有考虑到网络端的认证与保密通信。如果攻击者对VLR与HLR之间的信息进行窃听，就可以获得HLR传给VLR的认证向量AV，从而可获得加密密钥CK与完整性密钥IK。此时，攻击者再假冒该合法用户身份入网，即可实现正常的保密通信，而且合法用户传送的信息也就失去的保密性。

3基于混沌映射的Hash函数为内核算法的AKA安全算法设计

3.1算法的函数

这一内核算法可以用函数表示为Core（I1,I2,I3,P）,I1,I2,I3,每个输入参数长度为128bit，分别作为Hash算法的明文输入，p对于Hash算法而言，表示需要进行Hash运算的次数，函数的输出长度为160bit。据此，AKA协议中涉及到的函数f0、fl、fl*、f2、f3、f4、f5和f5*可分为以下3类表述:

(1)f0函数对函数f0，其输入只要是内部状态即可，我们设置如下参数：op，长度为128bti，为or函数的特有操作员变量；Seed，长度为128bti的秘密种子;函数识别符idf0，长度8bit。

(2)fl、fl*函数fl、fl*函数的共同输入参数有：密钥K，长125bit;随机数RAND，长128bit;设置操作员变量op，长125bit;SQN，长48bit，AMF，长16bit。对fl和fl*，采用同一次计算的结果，取Result的高64bit作为fl*函数的输出.

(3)f2、f3、f4、fs、fs*函数这些函数的共同输入参数有：密钥K，长128bit；随机数RAND，长128bit；设置操作员变量op，长128bit。此外，各函数的输入参数还有函数识别符dif：对函数f2，dif=dif2；对函数f3，dif=dif3；对函数f4，dif=dif4。令I1=op，I2=RAND（dif000dif000dif000），I3=K，Result=Core（I1,I2,I3,P）。

对函数f2和f5，取Result的低64位作为f2函数的输出，取Result的高48bit作为f5函数的输出。对函数绍f3或f4，Result即作为f3或4f的输出。对函数，取Result的高48bit作为f5*函数的输出。

3.2仿真结果

由于新的AKA算法设计的安全性依赖于内核算法Hash函数的安全性，所以仿真重点放在对Hash函数性能的测试上面。根据3.1所述算法编制了程序，并作了大量测试，以下是截取的部分实验。取初始文本1为“Find”，文本2将文本1中首字母F改为G，调整的原则是保证后面的文本相对于文本1只有1hit的变化。同时分别去p=1,2做测试。

Hash结果用十六进制表示，得到的Hash结果分别为:(l)P=l时:

文本一：

10l0000l00l000001000l0100O01l0ll0ll11lI00l1l01l001l01l0000lO0l0I01l1lO001l00l11000ll011ll0ll000000l0l00O111lll0100010llll000000000011010111100101000-100000001100

文本二：

10001l100l11ll100010l0l11OlO0011l011l01010l10010l100l1100ll1001101011000ll1000110Ol0ll10ll01100ll01100000110001001O0l100ll0100l0lO11001110101101000010-0100110110

（二）p=2时：

文本一：

01000l0100010l10010101001l01lllO0ll1l1l000101111001100001l00111l011011001000l10l0010000l1l00000111ll0101l11l11001l10l110ll001l00Ol10001010000010110110-1100010010

文本2:

0010100ll01100l100l110011l11001O00ll00100101O0l011001001ll1l0010000101110111101001000000l010000l10ll101001010000l10001l001l100O00000110010001110010001-1111110101

从仿真结果我们可以看出该算法的单项hash性能很好，初值的每bit变动，结果都会发生很大的变化，具有很高的初值敏感度。

4结论

第三代移动通信（3G）系统是一个在全球范围内覆盖与使用的通信网络系统，所提供的业务除了传统的语音业务外，还包括多媒体业务、数据业务，以及电子商务、电子贸易和互联网服务的多种信息业务。因此在第三代移动通信系统中，安全性要求尤为重要。本文针对第三代移动通信系统中的AKA（认证和密钥协商）协议进行了研究，通过大量参考文献的阅读，介绍了3G系统的安全特性、安全目标以及存在的安全威胁。重点介绍了3G系统的安全体系结构，详细分析了网络接入安全机制。为了展开以后对其AKA协议的研究工作奠定了基础。