妳可以看看。
或者百度壹下,妳就知道了。
c)如果用戶通過UTRAN接入,在控制接入的3G VLR/SGSN和2G用戶之間的GSM認證過程之後,密鑰Kc被存儲在SIM卡上。VLR/SGSN和用戶終端設備同時通過Kc計算UMTS的CK和IK,然後3G VLR/SGSN將使用CK和IK為用戶提供安全保護。但此時用戶安全特性的核心仍然是GSM key Kc,所以用戶不具備3G安全特性。
d)當用戶通過2G接入網接入時,受控的VLR/SGSN(2G或3G)直接執行GSM認證過程,建立GSM安全上下文。
註意:為了支持2G認證和3G認證的兼容,3G HLR必須支持3G認證5元組到2G認證3元組的轉換功能;3G MSC必須支持3G認證五元組和2G認證三元組之間的雙向轉換。
4.移動通信安全性的進壹步提高。
隨著通信技術的不斷發展,移動通信系統廣泛應用於各個行業,對通信安全提出了更高的要求。未來移動通信系統的安全性需要進壹步加強和提高。
4.1 3G的安全架構趨於透明。
目前的安全體系還是建立在內網絕對安全的假設上。但隨著通信網絡的不斷發展,終端在不同運營商甚至異構網絡間漫遊成為可能。因此,應該增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,要盡量減少或避免網絡內部人員的幹擾。未來的安全中心應該獨立於系統設備,具有開放的接口,能夠獨立完成雙向認證、端到端數據加密等安全功能,甚至對網絡內部的人透明。
4.2考慮采用公鑰密碼系統。
在未來的3G網絡中,要求網絡的可擴展性更強,安全特性更加可見和可操作。采用公鑰密碼體制,交換公鑰,增加了私鑰的安全性,同時滿足了數字加密和數字簽名的需要,滿足了電子商務所需的身份認證和數據的機密性、完整性和不可否認性。因此,有必要盡快建設無線公鑰基礎設施(WPKI),構建以認證中心(CA)為核心的安全認證系統。
4.3考慮新密碼技術的應用
隨著密碼學的發展和移動終端處理能力的提高,量子密碼、橢圓曲線密碼和生物特征識別等新型密碼技術在移動通信系統中得到廣泛應用,加密算法和認證算法的抗攻擊能力更加健壯,從而保證了傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4采用多層次、多技術的安全防護機制。
為了保證移動通信系統的安全,不僅要依靠網絡接入和核心網內部安全,還要采用多層次、多技術的保護機制,即在應用層、網絡層、傳輸層和物理層進行全方位的數據保護,結合各種安全協議,以保證信息的安全。
在未來很長壹段時間內,移動通信系統將會出現兩種網絡(2G和3G),移動通信系統的安全性也面臨著向後兼容的問題。因此,如何進壹步提高移動通信系統的安全性,提高安全機制的效率,有效地管理安全機制,都是未來亟待解決的問題。
USIM的認證處理原則
首先計算AK,從AUTN恢復序列號,SQN =(SQN①AK)①AK;USIM計算XMAC,並將其與AUTN的MAC值進行比較。如果不是,用戶向VLR/SGSN發送“用戶認證拒絕”消息以放棄認證過程。在這種情況下,VLR/SGSN向HLR發起“認證失敗報告”過程,然後VLR/SGSN決定是否再次向用戶發起認證過程。
同時,用戶還需要驗證接收到的序列號SQN是否在有效範圍內。如果沒有,MS向VLR發送同步失敗消息,並放棄該過程。
如果XMAC和SQN都通過了驗證,那麽USIM計算RES並將其發送到VLR/SGSN,以比較RES是否等於XRES。如果是,網絡驗證用戶的身份。
最後,用戶計算CK和IK。
2.2 UMTS的加密機制
在上述雙向認證過程中生成的CK在核心網和用戶終端之間共享。CK在RANAP消息“安全模式命令”中傳輸,RNC獲得CK後可以通過向終端發送RRC安全模式命令開始加密。
UMTS的加密機制是利用加密算法f8生成密鑰流(偽隨機掩碼數據),然後將明文數據和掩碼數據逐位相加生成密文,再將用戶數據和信令信元以密文的形式在無線鏈路上傳輸。接收方接收到密文後,將密文和掩碼數據逐位相加(與加密時輸入的參數相同,所以生成的掩碼數據也相同),還原為明文數據,即解密。
2.3 UMTS的完整性保護機制
為了防止入侵者偽造消息或篡改用戶和網絡之間的信令消息,可以使用UMTS的完整性保護機制來保護信令的完整性。完整性保護在無線資源控制(RRC)子層中實現,並像加密壹樣在RNC和終端之間使用。IK是在認證和密鑰協商的過程中生成的,並且IK也作為安全模式命令與CK壹起被傳輸到RNC。
UMTS的完整性保護機制是發送方(UE或RNC)將IK通過f9算法生成的消息認證碼MAC附加到發送的消息中。接收到消息後,接收方(RNC或UE)使用相同的方法計算XMAC。接收方比較接收到的MAC和XMAC,如果它們相等,則意味著接收到的消息是完整的,並且在傳輸過程中沒有被修改。
3、2G/3G網絡* * *漫遊用戶認證
2G和3G網絡的存在是移動通信向3G過渡的必然階段。由於用戶可以通過SIM卡或USIM使用雙模手機同時接入2G和3G網絡,因此當用戶在2G和3G並存的網絡中漫遊時,網絡必須為用戶提供必要的安全服務。由於2G和3G系統中用戶的安全機制之間的繼承性,通過2G和3G網絡實體之間的交互以及2G和3G安全上下文之間的轉換操作,可以實現不同接入情況下用戶的認證。
3.1 UMTS漫遊用戶的認證
在2G和3G***存儲網絡中,UMTS漫遊用戶的認證如下進行:
a)通過UTRAN接入時使用3G認證。
b)當3G移動臺和3G MSC/VLR或SGSN通過GSM BSS接入時,使用3G認證機制。其中GSM密鑰從UMTS CK和IK計算中獲得。
c)當使用2G移動臺或2G MSC/VLR或SGSN通過GSM BSS接入時,使用GSM認證機制。其中用戶響應SRES和GSM密鑰是從UMTS SRES、CK和IK獲得的。
UMTS漫遊用戶的認證過程包括以下步驟(參見圖4):
圖4 2G/3G網絡中漫遊UMTS用戶的認證
a)當HLR/AuC接收到來自VLR/SGSN的認證數據請求消息時,將根據用戶密鑰K生成壹組3G認證向量,包括RAND、XRES、AUTN、CK和IK。
b)認證向量的分布將根據請求認證數據的VLR/SGSN的類型而不同。如果3G VLR/SGSN請求認證數據,將直接接收HLR/AuC的3G認證向量並存儲;當2G VLR/SGSN請求認證時,HLR/AuC將3G認證向量轉換為GSM認證三元組,2G VLR/SGSN將存儲該認證三元組。
c)當UMTS通過UTRN接入時,VLR/SGSN直接進行3G認證,為用戶建立3G安全上下文。
d)當UMTS用戶通過2G接入網接入時,根據不同的VLR/SGSN類型和用戶設備類型,使用的認證向量可以是3G認證向量或GSM認證三元組。當接入由3G VLR/SGSN控制時,如果用戶使用3G用戶設備,VLR/SGSN和用戶之間將進行3G認證過程,雙方的協議CK和IK將作為3G安全上下文並存儲在USIM,然後用戶設備和VLR/SGSN將同時計算Kc,用於在未來的信令過程中保護空中數據。如果此時用戶設備是2G,VLR/SGSN拿出UMTS認證向量對用戶進行認證時,首先通過前述算法計算GSM認證三元組,然後發送RAND給USIM,通過3G認證算法獲得相同的XRES、CK和IK作為認證向量,計算2G SRES和Kc,然後將SRES發回VLR/SGSN進行比對,再用Kc作為空中數據的加密。如果接入由2G VLR/SGSN控制,VLR/SGSN取出存儲的GSM認證三元組,並將RAND發送給用戶。USIM通過3G認證算法獲得XRES、CK和IK,然後計算2G SRES和Kc。比較SRES後,密鑰Kc協商成功。
3.2 GSM sim漫遊用戶的認證
GSM SIM漫遊用戶的認證過程如圖5所示。
圖5 GSM sim漫遊用戶的認證過程
因為GSM SIM用戶只支持GSM系統的安全特性,所以認證過程必須是GSM系統的。具體步驟如下:
a)當VLR/SGSN向用戶所屬2g的HLR/AUC請求鑒權數據時,HLR/AuC生成壹組GSM鑒權三元組。
B)HLR/AuC向請求認證數據的VLR/SGSN分發認證三元組。無論VLR/SGSN是2G還是3G,VLR/SGSN都會存儲認證三元組,然後取出壹個認證三元組對用戶進行認證。
c)如果用戶通過UTRAN接入,在控制接入的3G VLR/SGSN和2G用戶之間執行GSM認證過程之後,密鑰Kc被存儲在SIM卡上。VLR/SGSN和用戶終端設備同時通過Kc計算UMTS的CK和IK,然後3G VLR/SGSN將使用CK和IK為用戶提供安全保護。但此時用戶安全特性的核心仍然是GSM key Kc,所以用戶不具備3G安全特性。
d)當用戶通過2G接入網接入時,受控的VLR/SGSN(2G或3G)直接執行GSM認證過程,建立GSM安全上下文。
註意:為了支持2G認證和3G認證的兼容,3G HLR必須支持3G認證5元組到2G認證3元組的轉換功能;3G MSC必須支持3G認證五元組和2G認證三元組之間的雙向轉換。
4.移動通信安全性的進壹步提高。
隨著通信技術的不斷發展,移動通信系統廣泛應用於各個行業,對通信安全提出了更高的要求。未來移動通信系統的安全性需要進壹步加強和提高。
4.1 3G的安全架構趨於透明。
目前的安全體系還是建立在內網絕對安全的假設上。但隨著通信網絡的不斷發展,終端在不同運營商甚至異構網絡間漫遊成為可能。因此,應該增加核心網之間的安全認證機制。特別是隨著移動電子商務的廣泛應用,要盡量減少或避免網絡內部人員的幹擾。未來的安全中心應該獨立於系統設備,具有開放的接口,能夠獨立完成雙向認證、端到端數據加密等安全功能,甚至對網絡內部的人透明。
4.2考慮采用公鑰密碼系統。
在未來的3G網絡中,要求網絡的可擴展性更強,安全特性更加可見和可操作。采用公鑰密碼體制,交換公鑰,增加了私鑰的安全性,同時滿足了數字加密和數字簽名的需要,滿足了電子商務所需的身份認證和數據的機密性、完整性和不可否認性。因此,有必要盡快建設無線公鑰基礎設施(WPKI),構建以認證中心(CA)為核心的安全認證系統。
4.3考慮新密碼技術的應用
隨著密碼學的發展和移動終端處理能力的提高,量子密碼、橢圓曲線密碼和生物特征識別等新型密碼技術在移動通信系統中得到廣泛應用,加密算法和認證算法的抗攻擊能力更加健壯,從而保證了傳輸信息的機密性、完整性、可用性、可控性和不可否認性。
4.4采用多層次、多技術的安全防護機制。
為了保證移動通信系統的安全,不僅要依靠網絡接入和核心網內部安全,還要采用多層次、多技術的保護機制,即在應用層、網絡層、傳輸層和物理層進行全方位的數據保護,結合各種安全協議,以保證信息的安全。
在未來很長壹段時間內,移動通信系統將會出現兩種網絡(2G和3G),移動通信系統的安全性也面臨著向後兼容的問題。因此,如何進壹步提高移動通信系統的安全性,提高安全機制的效率,有效地管理安全機制,都是未來亟待解決的問題。