1、引言

　　到目前为止，移动通信的发展历程大致经历了三代。第一代模拟蜂窝移动通信系统（1G）几乎没有采取安全措施，移动台把其电子序列号（ESN）和网络分配的移动台识别号（MIN）以明文方式传送至网络，若二者相符，即可实现用户的接入，结果造成大量的“克隆”手机，使用户和运营商深受其害；第二代数字蜂窝移动通信系统（2G）主要有基于时分多址（TDMA）的GSM系统、DAMPS系统及基于码分多址（CDMA）的CDMA one系统，这两类系统安全机制的实现有很大区别，但都是基于私钥密码体制，采用共享秘密数据（私钥）的安全协议，实现对接入用户的认证和数据信息的保密，在身份认证及加密算法等方面存在着许多安全隐患；第三代移动通信系统（3G）在2G的基础上进行了改进，继承了2G系统安全的优点，同时针对3G系统的新特性，定义了更加完善的安全特征与安全服务。

2、移动通信系统的主要安全威胁

　　3G移动通信系统的主要安全威胁来自网络协议和系统的弱点，攻击者可以利用网络协议和系统的弱点非授权访问、非授权处理敏感数据、干扰或滥用网络服务，对用户和网络资源造成损失。

　　按照攻击的物理位置，对移动通信系统的安全威胁可分为对无线链路的威胁、对服务网络的威胁和对移动终端的威胁，其威胁方式主要有以下几种。

　　*窃听：在无线链路或服务网内窃听用户数据、信令数据及控制数据；

　　*伪装：伪装成网络单元截取用户数据、信令数据及控制数据，伪终端欺骗网络获取服务；

　　*流量分析：主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地；

　　*破坏数据完整性：修改、插入、重放、删除用户数据或信令数据以破坏数据完整性；

　　*拒绝服务：在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击；

　　*否认：用户否认业务费用、业务数据来源及发送或接收到的其他用户数据，网络单元否认提供网络服务；

　　*非授权访问服务：用户滥用权限获取对非授权服务的访问，服务网滥用权限获取对非授权服务的访问；

　　*资源耗尽：通过使网络服务过载耗尽网络资源，使合法用户无法访问。

　　当然，随着移动通信网络规模的不断发展和网络新业务的应用，还会有新的攻击类型出现。

3、3G移动通信系统的安全体系

　　为实现3G安全特征的一般目标，应针对它所面临的各种安全威胁和攻击，从整体上研究和实施3G系统的安全措施，只有这样才能有效保障3G系统的信息安全。图1给出了一个完整的3G系统安全体系图。


图1　3G系统的安全体系

　　在3G系统的安全体系中，定义了5个安全特征组，它们涉及传输层、归属／服务层和应用层，同时也涉及移动用户（包括移动设备MS）、服务网和归属环境。每一安全特征组用以对抗某些威胁和攻击，实现3G系统的某些安全目标，具体如下。

　　（1）网络接入安全：该安全特征组提供用户安全接入3G业务，特别是对抗在无线接入链路上的攻击；（2）网络域安全：该安全特征组使网络运营者之间的结点能否安全地交换信令数据，对抗在有限网络上的攻击；（3）用户域安全：该安全特征确保安全接入移动设备；（4）应用域安全：该安全特征组使得用户和网络运营者之间的各项应用能否安全地交换信息；（5）安全的可知性和可配置性：该安全特征集使得用户能知道一个安全特征组是否在运行，并且业务的应用和设置是否依赖于该安全特征。

4、3G系统的防范策略

　　3G移动通信系统中的安全防范技术是在2G的安全基础上建立起来的，它克服了2G系统中的安全问题，也增加了新的安全功能，下面从用户身份保密、认证以及数据传输的保密性与完整性等几个方面对3G系统中主要的安全防范策略加以介绍。

　　4.1　实体认证

　　3G系统的实体间认证过程比原有2G系统认证功能增强很多，且增加了新功能，具体有以下3方面。

　　（1）3G系统完成了网络和用户之间的双向认证；（2）3G系统增加了数据完整性这一安全特性，以防止篡改信息这样的主动攻击；（3）在认证令牌AUTN中包括了序列号SQN，保证认证过程的最新性，防止重新攻击，并且SQN的有效范围受到限制。

　　3G中的认证使用了5参数的认证向量AV（RAND□XRES□CK□IK□AUTN），执行AKA（Authen-tiCAtion and Key Agreement）认证和密钥协商协议，如图2所示，HE/HLR表示用户归属区的用户归属寄存器；AV表示认证向量；AUTN表示认证令牌；RES和XRES分别表示用户域的应答信息和服务网的应答信息；RAND表示生成的随机数；CK和IK分别表示数据保密密钥和数据完整性密钥。

　　AKA协议可分为2部分，第一部分是用户归属域HE到服务网SN认证向量的发送过程，SN（由VLR／SGSN实体执行）向HE（由HLR实体执行）申请认证向量，HE生成一组认证向量AV（1，…，n）发送给SN，SN存储收到的认证向量；第二部分是认证和密钥建立的过程，SN从收到的一组认证向量中选择一个AV（i），将AV（i）中的RAND（i）和AUTN（i）发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC，并与AUTN中包含的MAC相比较，如果二者不同，USIM将向VLR／SGSN发送拒绝认证消息。如果二者相同，USIM计算应答信息XRES（i），发送给SN。SN在收到应答信息后，比较XRES（i）和RES（i）的值。如果相等则通过认证，否则不建立连接。最后在认证通过的基础上，MS／USIM根据RAND（i）和它在入网时的共享密钥K（i）来计算数据保密密钥CK（i）和数据完整性密钥IK（i）。SN根据发送的AV选择对应的CK和IK。


图2　3G的认证与密钥协商（AKA）协议

　　4.2　身份保密

　　3G系统中的用户身份保密有三个方面的含义：（1）在无线链路上窃听用户身份IMSI是不可能的；（2）确保不能够通过窃听无线链路来获取当前用户的位置；（3）窃听者不能够在无线链路上获知用户正在使用的不同的业务。为了达到上述要求，3G系统使用了2种机制来识别用户身份：（1）使用临时身份TMSI；（2）使用加密的永久身份IMSI。而且要求在通信中不能长期使用同一个身份。另外为了达到这些要求，那些可能会泄露用户身份的信令信息以及用户数据也应该在接入链路上进行加密传送。在3G中为了保持与第二代系统兼容，也允许使用非加密的IMSI，尽管这种方法是不安全的。

　　在使用临时身份机制中，网络给每个移动用户分配了一个临时身份TMSI。该临时身份与IMUI由网络临时相关联，用于当移动用户发出位置更新请求、服务请求、脱离网络请求，或连接再建立请求时，在无线链路上识别用户身份。当系统不能通过TMUI识别用户身份时，3G系统可以使用IMSI来识别用户，如图3所示。


图3　永久用户身份识别机制

　　该机制由拜访的SN／VLR发起向用户请求IMSI。由于使用IMSI的明文传送，可能导致IMSI被窃听。在3G中使用加密的用户身份。在收到SN／VLR的身份请求后，MS／USIM把IMSI加密后嵌入HE-message中，并且用HE-id来向SN／VLR指明可以解密该HE-message的HE／UIC的地址。SN／VLR收到HE-message后，根据HE-id再把该消息传送到相应的HE／UIC，HE／UIC解密后把用户的IMSI传递给SN／VLR。在收到用户的IMSI后，就可以启动TMSI分配过程，此后将使用TMSI来识别移动用户身份。这种增强型身份加密机制把原来由无线接入部分传送明文IMSI变成在网络内传送明文IMSI，在一定程度上加强了用户身份的机密性。

　　4.3　数据保密

　　在3G系统中，网络接入部分的数据保密主要提供4个安全特性：加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在AKA中完成。加密算法协商由用户与服务网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密，采用了f8算法，如图4所示。它有5个输入：（1）COUNT是密钥序列号；（2）BEARER是链路身份指示；（3）DIRECTION是上下行链路指示；（4）LENGTH是密码流长度指示；（5）CK是长度位128bit的加密密钥。


图4　3G数据加密

　　与2G相比，3G不仅加长了密钥长度，而且引入了加密算法协商机制。当移动终端ME需要与服务网SN建立连接时，USIM告诉服务网它支持哪些加密算法。服务网根据下列规则作出以下判断。另外在2G中的加密是基于基站，消息在网络内是用明文传送，这显然是很不安全的。3G加强了消息在网络内的传送安全，采用了以交换设备为核心的安全机制，加密链路延伸到交换设备，并提供基于端到端的全网范围内加密。

　　4.4　数据完整

　　在移动通信中，MS和网络间的大多数信令信息是非常敏感的，需要得到完整性保护。在3G中采用了消息认证来保护用户和网络间的信令消息没有被篡改。数据完整性保护方法如图5所示。


图5　数据完整性验证

　　发送方把要传送的数据用完整性密钥IK经过f9算法产生消息认证码MAC，将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到XMAC。接收方把收到的MAC与XMAC相比较，如二者相同就说明收到的消息是完整的。

　　3G数据完整性主要提供3个安全特性：完整性算法（UIA）协商、完整性密钥协商、数据和信令的完整性。其中完整性密钥协商在AKA中完成；完整性算法协商由用户与服务网间的安全模式协商机制完成，完整性算法协商与加密算法协商过程相似，在这里就不详细叙述了。3G系统预留了16种UIA的可选范围，目前只用到一种算法Kasumi。

5、展望

　　在密钥长度、算法选定、鉴别机制和数据完整性检验等方面，3G的安全性能远远优于前两代移动通信技术。但3G仍然存在下列安全缺陷，如没有建立公钥密码体制，难以实现用户数字签名；密码学的最新成果（比如ECC椭圆曲线密码算法）并未在3G中得到应用；算法过多；密钥产生机制和认证协议有一定的安全隐患等等。因此未来3G系统的安全将可以从以下几个方面加以发展和完善。

　　（1）建立适合未来移动通信系统的安全体系结构模型：比如，在网络安全体系结构模型中，应能体现网络的安全需求分析、实现的安全目标等。

　　（2）由私钥密码体制向混合密码体制的转变：未来移动通信系统中，将针对不同的安全特征与服务，采用私钥密码体制和公钥密码体制混合的体制，同时尽快建设无线公钥基础设施（WPKI），建设中国移动的以CA（认证中心）为核心的安全认证体系。

　　（3）G安全体系向透明化发展：未来的安全中心应能独立于系统设备，具有开放的接口，能独立地完成双向鉴权、端到端数据加密等安全功能，甚至对网络内部人员也是透明的。

　　（4）新密码技术的广泛应用：随着密码学的发展以及移动终端处理能力的提高，新的密码技术如量子密码技术、椭圆曲线密码技术、生物识别技术等将在移动通信系统中获得广泛应用，加密算法和认证算法自身的抗攻击能力更强健，从而保证传输信息的机密性、完整性、可用性、可控性和不可否认性。

　　（5）移动通信网络的安全措施更加体现面向用户的理念：用户能自己选择所要的保密级别，安全参数既可由网络默认，也可由用户个性化设定。