安全協(xié)議分析與設計

第二章（下）衛(wèi)劍釩PPP認證與RADIUSPPP（PointtoPointProtocol）是IETF推出的點到點線路的數(shù)據(jù)鏈路層協(xié)協(xié)議。它替代了非標準的SLIP（SerialLineInternetProtocol），成為正式的Internet標準，標準可見RFC1661、RFC1662和RFC1663。PPP支持在各種物理類型的點到點串行線路上傳輸網絡層協(xié)議數(shù)據(jù)，有豐富的可選特性，如支持多種壓縮方式、支持動態(tài)地址協(xié)商、支持多鏈路捆綁、提供多種身份認證服務等。PAP和CHAP是PPP最初規(guī)定的兩種認證方法，但這兩種認證方法都不安全，故IETF把EAP作為一個可選項加入到了PPP的認證方法之中。RADIUS是一種AAA（Authentication，Authorization，Accounting）協(xié)議，它采用客戶端/服務器模型，提供了一種較為通用的框架，使得PAP、CHAP、EAP以及其他認證方法都可作為RADIUS所承載的上層認證機制。2RADIUSRADIUS（RemoteAuthenticationDialInUserService）即遠程用戶撥號認證系統(tǒng)，它是一種在網絡接入服務器（NetworkAccessServer）和共享認證服務器間傳輸認證、授權和配置信息的協(xié)議。此外，RADIUS也負責傳送網絡接入服務器和共享計費服務器間的計費信息。RADIUS由RFC2865、RFC2866定義，是一種應用最廣泛的AAA協(xié)議。協(xié)議最初的目的是為撥號用戶進行認證和計費，后來經過多次改進，形成了一項通用的AAA協(xié)議，可用于電話撥號、ADSL撥號、小區(qū)寬帶、IP電話等。IEEE提出的802.1x標準，是一種基于端口的訪問控制標準，也將RADIUS協(xié)議作為首選的后臺認證協(xié)議。3RADIUS的客戶端和服務器RADIUS是一種客戶端/服務器結構的協(xié)議，在撥號系統(tǒng)中，RADIUS客戶端是NAS（NetAccessServer），RADIUS服務器是AS（AuthenticationServer）。NAS同時又是一個服務器，NAS對應的客戶端是撥號用戶的終端。事實上，任何運行RADIUS軟件的終端都可以是RADIUS客戶端或服務器。4RADIUS數(shù)據(jù)包NAS和AS通過UDP進行通信，AS的1812端口負責認證。采用UDP的基本考慮是因為NAS和AS大多在同一個局域網中，使用UDP更加快捷方便。5RADIUS數(shù)據(jù)包解釋代碼（CODE）域用來標識RADIUS包的類型，常用的關于認證的包類型有：接入請求（Access-Request），值為1；接入接受（Access-Accept），值為2；接入拒絕（Access-Reject），值為3；接入質詢（Access-Chanllenge），值為4。標識符（ID）域用來輔助匹配請求和回復；長度（Length）指明了整個包的長度（包括屬性部分）。認證碼（Authenticator）域用來做完整性驗證，對于Access-Request包，認證碼里的內容是一個隨機數(shù)RequestAuth，對于其他3種RADIUS服務器發(fā)送的Access包，其內容為一個MD5值，是對要發(fā)送包的內容（其中認證碼域初始為RequestAuth）和一個秘密值Secret（在RADIUS客戶端和服務器間共享）進行MD5雜湊而得：ResponseAuth=MD5(Code,ID,Length,RequestAuth,Attributes,Secret)6RADIUS數(shù)據(jù)包中的屬性域屬性（Attributes）部分用于傳送詳細的認證信息以及配置信息，一個包中可以有多個屬性，每個屬性都由3部分組成，分別是類型（type）、長度（length）及值（value）。屬性充分體現(xiàn)了RADIUS的可擴展性，不同的認證方法就是通過不同的屬性值體現(xiàn)的，如PAP認證使用類型2，CHAP認證使用類型3，而后來加入的EAP認證使用類型79。7RADIUS認證過程當客戶登錄網絡時，NAS如果采用PAP認證，會要求客戶輸入用戶名和口令，然后，NAS向AS服務器發(fā)送Access-Request，提交用戶信息，包括用戶名和口令信息（經過MD5處理過的口令）。AS對用戶名和密碼的合法性進行檢驗。如果采用其他認證方式（如CHAP），當NAS向AS發(fā)送完Access-Request后（只包含用戶信息），AS返回一個Access-Challenge，并通過NAS中轉，來進一步對客戶進行認證（這個認證過程也可不由AS發(fā)起，而由NAS發(fā)起，以提高效率）。如果認證通過，AS給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步的訪問，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。如果認證通過，NAS開始提出計費請求（Accounting-Request），開始計費過程。8PAP和CHAPPPP最初提供了兩種可選的身份認證方法：口令驗證協(xié)議（PasswordAuthenticationProtocol，PAP）和質詢握手協(xié)議（ChallengeHandshakeAuthenticationProtocol，CHAP）。PAP使用明文的用戶名和密碼完成認證，密碼在NAS傳送給AS時，實際上是做了MD5的加密處理，具體方法見RFC2865，這里記作f(MD5,Secret,RequestAuth,password)。圖7.26所示為PAP-RADIUS協(xié)議示意。PAP中最不安全的地方在于Msg1，name和password都是明文傳輸?shù)?，如果被竊聽或者重放，都會給用戶帶來損失。但在PPP的威脅模型中，電信線路是被假設為足夠安全的，這種情況下，明文傳輸密碼并不影響安全性。9PAP-RADIUS協(xié)議Msg1和Msg4屬屬于PAP，Msg2和Msg3屬屬于RADIUS協(xié)議議。C表示撥號號用戶，，用戶撥撥入后，，NAS告訴用用戶它支支持PAP認證證，然后后用戶系系統(tǒng)向NAS發(fā)發(fā)送用戶戶名name和和口令password。NAS向向AS發(fā)發(fā)送Access-Request消息，，其中name和經過過處理后后的password是放在在屬性域域里傳送送的（屬屬性類型型分別是是1和2）。RequestAuth和ResponseAuth見見上節(jié)的的解釋，，為簡潔潔起見，，并未在在Msg2和Msg3中列出出RADIUS包中所所有的域域（如ID,Length等等）。10CHAPCHAP使用挑挑戰(zhàn)-響響應機制制，認證證者發(fā)起起挑戰(zhàn)（（實現(xiàn)上上就是發(fā)發(fā)送一個個隨機數(shù)數(shù)）對客客戶進行行認證（（在RADIUS結構構中，認認證者是是AS））。CHAP的主要要兩條消消息是Challenge和和Response，，Challenge的值為為認證者者生成的的一個隨隨機數(shù)；；Response的的值是一一個單向向函數(shù)（（如MD5）的的輸出，，單向函函數(shù)的輸輸入為ID、secret和和Challenge，其中中secret是認證證者和客客戶之間間共享的的秘密。。11CHAP-RADIUS協(xié)議示意意12擴展認證證協(xié)議1998年，EAP協(xié)協(xié)議（PPPExtensibleAuthenticationProtocol）加加入了PPP的的可選認認證方法法中，即即RFC2284，，從本質質上講，，EAP是提供供了一種種封裝框框架，在在這個框框架下，，可以承承載多種種認證方方法，添添加新的的認證方方式時并并不影響響現(xiàn)有協(xié)協(xié)議的使使用，故故被稱為為“可擴擴展的認認證協(xié)議議”。EAP是是一種簡簡單封裝裝協(xié)議，，可以運運行在任任何鏈路路層上，，可承載載多種高高層認證證方法，，如TLS、IKE、、GSS-API等。。13EAP數(shù)據(jù)包格格式EAP規(guī)規(guī)定了4種可供供傳送的的消息：：Request、Response、Success和Failure消消息。消消息的識識別體現(xiàn)現(xiàn)在代碼碼段，分分別為1、2、、3和4；標識識符用來來匹配消消息的發(fā)發(fā)送和應應答；長長度域用用來表示示整個EAP消消息中的的所有字字節(jié)個數(shù)數(shù)；數(shù)據(jù)據(jù)域中含含有實際際發(fā)送的的Request和Response數(shù)據(jù)據(jù)（Success和和Failure消息息沒有數(shù)數(shù)據(jù)）。。數(shù)據(jù)域又又分為兩兩個部分分：類型型（type））和類型型數(shù)據(jù)（（typedata），type域表明明了認證證方法，，typedata域則包包含了具具體的認認證數(shù)據(jù)據(jù)。14EAP的的數(shù)據(jù)域域EAP的的擴展性性就體現(xiàn)現(xiàn)在數(shù)據(jù)據(jù)域，如如RFC2284中中定義了了如下6種類型型。（1）Identity。（2）Notification。。（3）Nak（（僅用于于Response消消息）。。（4）MD5-Challenge。（5）One-TimePassword（OTP））（RFC1938）。（6）GenericTokenCard。。類型（1）是一一種非常常簡單的的認證方方法，通通過兩條條消息就就可以完完成認證證，客戶戶發(fā)送一一個Identity消息，，認證者者如果認認可，就就回一個個Success消息息，如Identity數(shù)據(jù)據(jù)可以由由智能卡卡實時生生成，并并和認證證服務器器保持同同步。類類型（2）用來來傳遞一一些需要要在用戶戶設備上上顯示的的信息，，如“請請輸入密密碼”等等。類型型3用來來拒絕所所不支持持的認證證算法。。RFC中中只列出出了6種種類型，，但新的的認證方方法可以以加入，，這需要要IANA（InternetAssignedNumbers

Authority，Internet號碼碼分配機機構）分分配一個個新的類類型號，，如TLS認證證的類型型號為13（PPP-EAP-TLS認證證協(xié)議由由RFC2716定定義），，LEAP認證證的類型型號為17。15無線局域域網的認認證與密密鑰管理理無線局域域網（WirelessLocalAreaNetwork，，WLAN）主主要由計計算機終終端（STA））、無線線網卡、、無線接接入點（（AP））組成，，其安全全性主要要體現(xiàn)在在訪問控控制和保保密性上上，由于于802.11的1999年年標準中中，WEP設計計上存在在很多安安全問題題，IEEE802.11工作組組成立了了任務組組TGi，TGi負責責制定IEEE802.11i標準準，以增增強改善善無線局局域網的的安全性性。IEEE802.11是IEEE制制定的無無線局域域網媒體體訪問控控制層（（MAC）和物物理層（（PHY）規(guī)范范，在其其1999年標標準中，，作為MAC協(xié)協(xié)議部分分的安全全技術，，有線等等效保密密（WiredEquivalentPrivacy，WEP））協(xié)議被被設計用用來防止止非法用用戶竊聽聽或侵入入無線網網絡。16WEP的的加密過過程17WEP的的加密過過程IV是初初始向量量，長度度為24位，對對每個數(shù)數(shù)據(jù)包加加密時，，IV都都變化一一次，并并且IV本身作作為輸出出的一部部分傳遞遞給接收收方。SK為密密鑰，最最初標準準中規(guī)定定長度為為40位位，但在在很多實實現(xiàn)中都都擴展到到了104位。。||表示示連接符符，IV和SK連接后后，輸入入RC4序列加加密算法法中，產產生偽隨隨機序列列PRKS；對明文M采用CRC算算法，計計算出消消息認證證碼ICV，長長度為32位，，將ICV附在在M之后后，然后后將其與與PRKS進行行模二加加運算，，獲得密密文數(shù)據(jù)據(jù)C。18WEP的的SK密鑰SK有兩種種。一種種是AP和所有有用戶共共享的對對稱密鑰鑰，被稱稱為默認認密鑰（（Defaultkeys），WEP允允許有4個默認認密鑰，，并用密密文中相相應的位位KeyID來來表示；；與默認密密鑰相對對應的是是映射密密鑰（Keymappingkey）），每個個STA和AP之間都都有不同同的映射射密鑰。。AP每每收到一一幀或者者要發(fā)送送一幀時時，會在在密鑰表表里查找找STA對應的的映射密密鑰（通通過STA的MAC地地址做索索引），，如果沒沒有找到到，就使使用默認認密鑰。。由于在在管理上上的困難難，映射射密鑰并并沒有得得到廣泛泛的應用用。19WEP加加密的主主要問題題（1）WEP本本身沒有有防重放放的能力力，攻擊擊者可能能會重放放以前捕捕獲的幀幀，來完完成一個個會話，，達到特特定的目目的。（2）使使用CRC作為為認證碼碼并不能能起到很很好的防防篡改能能力，因因為CRC是一一個線性性的計算算，如果果改變明明文中的的某個位位，就可可以計算算出其CRC會會在哪些些位發(fā)生生改變（（0變?yōu)闉?或者者1變?yōu)闉?），，并且，，由于加加密過程程是一個個異或運運算，攻攻擊者也也只需反反轉密文文相應的的位就可可以完成成篡改而而不被發(fā)發(fā)覺。（3）初初始向量量IV的的作用是是確保兩兩個相同同的明文文不會產產生相同同的密文文，理想想情況下下，要求求對每個個數(shù)據(jù)幀幀，IV都不相相同。但但IV在在WEP的設計計中，長長度為24位，，并且IV通常常是通過過計數(shù)器器實現(xiàn)的的，那么么在傳輸輸224個幀以以后，IV就會會重復（（在網絡絡較為繁繁忙的情情況下，，每過幾幾個小時時就會重重復一次次）。20802.11的的兩種認認證802.11提提供兩種種認證，，一種是是開放認認證，另另一種是是WEP認證。。開放認證證事實上上相當于于沒有認認證，，如果AP處于于開放模模式，它它就總會會接受認認證請求求，返回回認證成成功的消消息。WEP認認證則基基于挑戰(zhàn)戰(zhàn)-響應應機制：：21協(xié)議特點點如果AP處于WEP認認證模式式，收到到認證請請求后，，會返回回一個挑挑戰(zhàn)N，STA對其進進行序列列加密后后返回響響應，使使用的是是雙方共共享的密密鑰SK，AP驗驗證其響響應無誤誤后，則則通過認認證。這是一個個單向認認證，故故而不能能夠防止止假冒的的AP。。如果攻擊擊者將截截獲的Msg2和Msg3中中的數(shù)值值進行異異或，可可得N⊕N⊕RC4(SK)=RC4(SK)，這相當于直直接得到了序序列密碼，然然后用此序列列密碼完成對對自身的認證證。22802.11i為了使WLAN技術從WEP這種被被動局面中解解脫出來，IEEE802.11的TGi任任務組致力于于制定被稱為為IEEE802.11i的安全全標準，該標標準為了增強強WLAN的的數(shù)據(jù)加密和和認證性能，，定義了健壯壯安全網絡（（RobustSecurityNetwork，RSN）的概概念，并針對對WEP加密密機制的各種種缺陷做了多多方面的改進進。在數(shù)據(jù)加密方方面，RSN定義了TKIP（TemporalKeyIntegrityProtocol））、CCMP（Counter-Mode/CBC-MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）密碼協(xié)議議。前者是基基于WEP的的，后兩者是是基于AES算法不同模模式的，分別別為AES-CCM（AES-CounterwithCBC-MAC）模模式和AES-OCB（（AES-OffsetCodeBook））模式。23802.1xIEEE802.11i選擇了802.1x作為接入控控制協(xié)議，802.1x是基于端口口的訪問控制制協(xié)議（PortBasedNetworkAccessControlProtocol），是IEEE于2001年6月月提出的，主主要目的是解解決無線局域域網用戶的接接入認證問題題，它可以限限制未經授權權的設備或用用戶通過接入入端口訪問LAN/WLAN。802.1x對連接到交交換機端口或或AP上的設設備或用戶進進行認證。在在認證通過之之前，802.1x只允允許基于局域域網傳輸?shù)腅AP協(xié)議（（EAPoverLAN，EAPoL）或或基于無線局局域網傳輸?shù)牡腅AP協(xié)議議（EAPoverWireless，EAPoW））數(shù)據(jù)通過端端口；認證通過以后后，正常的數(shù)數(shù)據(jù)可以順利利地通過端口口。也即802.1x通通過EAP協(xié)協(xié)議完成認證證，而EAP本身可以使使用多種認證證方法，如EAP-MD5、EAP-OTP、、EAP-TLS等。24Wifi和WPAWi-Fi是是一個聯(lián)盟，，它的產生動動機是為了提提高各廠商產產品之間的互互操作性。為為獲得Wi-Fi認證，，制造商必須須提交產品接接受Wi-Fi的測試。。在一個RSN網絡內，僅僅允許具備RSN性能的的移動終端接接入，而大多多數(shù)現(xiàn)存Wi-Fi設備備的硬件不支支持RSN所所要求的加密密操作，消費費者也不愿意意為轉入RSN網絡而放放棄已有的Wi-Fi設設備。出于這種狀況況，Wi-Fi聯(lián)盟采取取了一個新的的方案WPA（Wi-FiProtectedAccess）作作為臨時性的的解決方案，，該方案擁有有RSN性能能的一個子集集，主要區(qū)別別是WPA不不支持AES算法，只支支持TKIP加密算法。。這種方案使使得僅通過軟軟件升級，就就可以將現(xiàn)有有的Wi-Fi設備升級級為具有WPA性能的設設備。25TKIPTKIP保留留了WEP的的硬件模塊，，但在軟件上上做了很多改改動，以試圖圖改掉WEP的缺陷。WEP中IV長度太短，，只有24位位，在TKIP中，IV被擴展到了了48位，并并被稱為TSC（TKIPSequenceCounter），，TSC還被被用來防止重重放；WEP使用CRC校驗碼碼作為認證碼碼，該計算過過程在TKIP中仍然被被保留，但不不再作為校驗驗碼。TKIP使用Michael算法作為完完整性校驗算算法，該算法法在較小的運運算量下，提提供較好的數(shù)數(shù)據(jù)完整性保保護，故而被被TGi工作作組采納為TKIP的MIC（MessageIntegrityCode）算法。Michael算法使使用MICKey，將明明文作為輸入入，產生64位的MIC值，然然后將其附在在明文后送往往WEP硬件件模塊加密。。26WPA的密鑰鑰管理WPA系統(tǒng)在在工作時，AP會向外公公布自身對WPA的支持持，STA根根據(jù)收到的信信息選擇相應應的安全配置置。與AP建立關關聯(lián)之后，如如果網絡中有有RADIUS服務器作作為認證服務務器AS，STA就使用用802.1x方式進行行認證；如果果網絡中沒有有RADIUS，STA與AP則會會采用預共享享密鑰（Pre-SharedKey，PSK）方式進進行密鑰管理理。如果需要通過過802.1x方式進行行認證，申請請者STA和和認證服務器器AS通常會會使用EAPoverRADIUS協(xié)議，，EAP可以以封裝多種上上層認證方法法，在認證完完成后，上層層認證產生的的密鑰材料可可以生成STA和AS之之間共享的主主密鑰（PMK）。如果果使用PSK，則直接使使用PSK作作為PMK。。27WPA的密鑰鑰管理802.1x認證完成后后，端口就會會被打開以允允許業(yè)務數(shù)據(jù)據(jù)流動。在端端口打開前，，還需要做的的工作是產生生加密和完整整性保護所需需要的密鑰，，這需要通過過握手協(xié)議（（見文獻[IEEE802.11i04]）來來完成。握手手協(xié)議一方面面驗證STA和AP是否否擁有一致的的PMK，另另一方面用來來生成臨時密密鑰PTK和和組臨時密鑰鑰GTK。握手協(xié)議分為為兩個：一個個是4次握手手協(xié)議，由4條消息組成成的，目的是是生成PTK；另一個是是由兩條消息息組成的，目目的是生成GTK。握手手消息均使用用EAPoL-key消消息來傳送，，該消息是一一種類型的EAPoL消消息，主要用用于傳送密鑰鑰信息。28GSM安全措措施GSM（GlobalSystemforMobileCommunications）即全全球移動通信信系統(tǒng)，也即即第二代移動動通信系統(tǒng)。。GSM采取了了一些安全措措施，如鑒權權、加密和臨臨時身份標識識TMSI的的使用。鑒權用來防止止未授權的用用戶接入，保保證用戶的身身份不被假冒冒；加密指的的是空中接口口傳輸加密，，防止信息被被竊聽；TMSI主要要用于在空中中接口上替代代用戶永久身身份，防止用用戶在無線信信道上被跟蹤蹤。29GSM簡介GSM系統(tǒng)的的主要組成部部分可分為移移動臺（MS）、基站系系統(tǒng)（BSS）和網絡交交換系統(tǒng)（NSS）。MS是指手機機或車載臺等等移動通信終終端；BSS為MS提供無線連連接，由基站站收發(fā)臺（BTS）和基基站控制器（（BSC）組組成；NSS主要由由移動業(yè)務交交換中心（MSC）、操操作維護中心心（OMC））以及一些寄寄存器（Register，可理解解為登記中心心）組成，以以完成電話交交換及提供GSM系統(tǒng)與與公共交換電電話網絡（PublicSwitchedTelephoneNetwork，PSTN）的連連接等功能。。30GSM系統(tǒng)結結構簡圖31MSMS（MobileStation）包括兩兩部分：移動動設備ME和和SIM卡。。每個移動設備備都有一個唯唯一的對應于于它的永久性性識別號，即即國際移動設設備識別號（（InternationalMobileEquipmentIdentity，，IMEI））。SIM卡是一一張插到移動動設備中的智智能卡，用來來識別移動用用戶的身份，，SIM卡中中包含的信息息有：國際移移動用戶身份份識別號（InternationalMobileSubscriberIdentity，，IMSI））、臨時移動動用戶身份識識別號（TemporaryMobileSubscriberIdentity，，TMSI））、用戶身份份認證密鑰（（SubscriberAuthenticationKey，，Ki）以及及用于認證和和加密的算法法等信息。IMSI用來來識別移動用用戶，僅在初初始化時才在在空中發(fā)送；；TMSI用用來臨時性地地識別移動用用戶，該號碼碼會在一定條條件下改變，，防止有人從從空中鏈路跟跟蹤用戶。32BSS/NSSBSS（BaseStationSubsystem））是指指系統(tǒng)統(tǒng)中的的基站站設備備，包包括射射頻設設備和和控制制設備備，用用來提提供MS與與MSC之之間的的連接接。NSS（NetworkSwitchingSubsystem）完完成GSM網絡絡主要要的交交換功功能和和用戶戶數(shù)據(jù)據(jù)管理理、移移動性性管理理、安安全性性管理理所需需的數(shù)數(shù)據(jù)庫庫功能能。NSS主要要由移移動業(yè)業(yè)務交交換中中心（（MSC））、歸歸屬位位置寄寄存器器（HLR）、、訪問問位置置寄存存器（（VLR））、設設備識識別寄寄存器器（EIR）和和鑒權權中心心（AuC）構構成。。33MSC/HLRMSC（MobileServiceSwitchingCenter）的的主要要作用用是呼呼叫處處理、、數(shù)據(jù)據(jù)庫管管理、、網絡絡互通通（如如GSM網網與PSTN的的互通通）、、計費費管理理等。。GSM網網中通通常有有多個個MSC，，每個個MSC給給一定定地理理范圍圍內的的移動動用戶戶提供供服務務，一一般一一個中中等規(guī)規(guī)模城城市需需要一一個MSC。HLR（HomeLocationRegister））用來來存儲儲移動動用戶戶數(shù)據(jù)據(jù)，包包括各各種識識別號號、當當前用用戶所所在位位置、、訪問問能力力、用用戶類類別、、補充充業(yè)務務等信信息，，一個個移動動用戶戶只在在一個個HLR中中存有有數(shù)據(jù)據(jù)。HLR中的的用戶戶數(shù)據(jù)據(jù)通過過IMSI來查查詢。。34VLR/EIR/AuCVLR（VisitorLocationRegister）有有多個個，每每個MSC都都有一一個VLR。VLR中存存儲著著進入入其控控制區(qū)區(qū)域內內已登登記的的移動動用戶戶的相相關信信息，，它從從移動動用戶戶的歸歸屬用用戶位位置寄寄存（（HLR））處獲獲取并并存儲儲必要要的數(shù)數(shù)據(jù)，，為移移動用用戶建建立呼呼叫接接續(xù)。。移動動用戶戶離開開該VLR的控控制區(qū)區(qū)域進進入另另一個個區(qū)域域時，，則會會在另另一個個VLR登登記記。VLR還負負責分分配TMSI，，并將將新分分配的的TMSI告知知HLR。。EIR（EquipmentIdentityRegister）是是一個個用來來存儲儲IMEI的數(shù)數(shù)據(jù)庫庫。EIR主要要完成成對移移動設設備的的識別別、監(jiān)監(jiān)視、、閉鎖鎖等功功能，，以防防止MS的的非法法使用用。AuC（AuthenticationCenter）主主要完完成認認證（（或稱稱鑒權權）功功能，，因為為AuC需需要經經常性性地訪訪問HLR中的的移動動用戶戶數(shù)據(jù)據(jù)，AuC一般般與HLR做在在一起起。HLR/AuC可能能與MSC在一一起，，也可可能不不在一一起。。35GSM用戶戶認證證及密密鑰建建立像AuC和和HLR一一樣，，MSC通通常總總是和和VLR做做在一一起，，為清清晰起起見，，在認認證過過程中中，我我們只只考慮慮GSM的的3個個主要要實體體，即即MS、VLR和AuC，并并且只只使用用IMSI作為為用戶戶標識識。當MS接入入網絡絡時或或者進進入一一個新新的VLR區(qū)域域時，，VLR首首先確確定該該MS的歸歸屬AuC，然然后向向其請請求認認證3元組組：RAND、SRES和Kc。RAND是一個個AuC產產生的的隨機機數(shù)；；SRES是對RAND的的加密密，即即{RAND}Ki，密鑰鑰為AuC和MS共共享的的Ki，加密密算法法使用用的是是A3算法法，對對于MS，，Ki及A3算法法都存存儲在在SIM卡卡中，，對于于AuC，，Ki存放在在HLR中中，以以IMSI為索索引；；Kc是將RAND和和Ki輸入A8算算法后后所得得的結結果，，用來來在認認證完完成后后，加加密空空中接接口上上的數(shù)數(shù)據(jù)。。36GSM認認證證過過程程示示意意VLR得得到到認認證證3元元組組后后，，將將RAND發(fā)發(fā)給給MS，，MS計計算算并并返返回回{RAND}Ki，，VLR將將這這個個值值與與SRES相相比比較較，，如如果果一一致致，，則則認認為為認認證證通通過過，，否否則則認認證證失失敗敗，，終終止止通通信信。。如果果認認證證通通過過，，VLR將將Kc傳傳遞遞給給BTS，，MS則則用用A8算算法法生生成成會會話話密密鑰鑰Kc，，即即Kc=A8(Ki,RAND)。。37協(xié)議議特特點點GSM系系統(tǒng)統(tǒng)的的主主要要問問題題有有以以下下幾幾點點。。（1））協(xié)協(xié)議議是是一一個個單單向向身身份份認認證證協(xié)協(xié)議議，，用用戶戶無無法法認認證證服服務務方方，，會會出出現(xiàn)現(xiàn)假假基基站站冒冒充充現(xiàn)現(xiàn)象象而而無無法法被被用用戶戶察察覺覺。。（2））協(xié)協(xié)議議中中使使用用的的算算法法都都是是不不公公開開的的，，這這使使得得算算法法的的安安全全性性難難以以得得到到評評價價。。（3））數(shù)數(shù)據(jù)據(jù)只只有有加加密密保保護護，，沒沒有有完完整整性性保保護護機機制制。。（4））加加密密過過程程只只存存在在于于空空中中接接口口部部分分，，用用戶戶信信息息在在地地面面網網絡絡中中是是明明文文傳傳輸輸?shù)牡?。。?））GSM認認證證是是簡簡單單的的單單向向認認證證，，這這使使得得攻攻擊擊者者可可以以向向SIM卡卡發(fā)發(fā)送送大大量量的的RAND值，，并并分分析析SIM卡卡返返回回{RAND}Ki，以以分分析析求求解解Ki。383G基基礎礎知知識識WCDMA和和cdma2000是是兩兩種種主主要要的的第第三三代代移移動動通通信信空空中中接接口口標標準準，，其其標標準準的的制制定定分分別別由由國國際際標標準準化化組組織織3GPP和和3GPP2負負責責。。WCDMA是是一一種種使使用用碼碼分分多多址址復復用用（（CDMA））技技術術的的寬寬帶帶移移動動通通信信空空中中接接口口，，其其中中的的W代代表表寬寬帶帶，，有有別別于于源源于于北北美美的的窄窄帶帶CDMA標標準準（（帶帶寬寬為為1.25MHz））。。WCDMA使使用用的的部部分分協(xié)協(xié)議議與與GSM標標準準一一致致，，是是UMTS的的首首選選空空中中接接口口標標準準，，并并為為歐歐洲洲、、亞亞洲洲和和美美洲洲的的3G運運營營商商所所廣廣泛泛選選用用。。UMTS（（UniversalMobileTelecommunicationsSystem））即即通通用用移移動動通通信信系系統(tǒng)統(tǒng)，，它它是是一一個個完完整整的的3G移移動動通通信信技技術術標標準準，，是是3GPP制制定定的的全全球球3G標標準準之之一一，，UMTS有有時時也也叫叫3GSM，，表表明明它它是是結結合合了了3G特特性性的的對對GSM標標準準的的繼繼承承和和發(fā)發(fā)展展。。393G基礎礎知識cdma2000是另另一種第第三代移移動通信信空中接接口標準準，是第第二代CDMA技術標標準（IS-95窄帶帶CDMA標準準）的演演進，IS-2000是采用用cdma2000技技術的正正式標準準的總稱稱。cdma2000與WCDMA互不兼兼容。cdma2000有多多個不同同的類型型。cdma20001x是指cdma2000的第第一階段段，cdma20001xEV是是在cdma20001x基礎上上進一步步提高速速率的增增強體制制，能在在和cdma20001x相同的的帶寬內內提供2Mbit/s以上的的數(shù)據(jù)業(yè)業(yè)務，它它分兩個個階段：：cdma20001xEV-DO（DataOnly））和cdma20001xEV-DV（（DateandVoice）），前者者采用與與語音相相分離的的信道傳傳輸數(shù)據(jù)據(jù)，后者者則是將將數(shù)據(jù)信信道與語語音信道道合一。。40WCDMA接入入安全WCDMA基本本上沿用用了GSM系統(tǒng)統(tǒng)的認證證結構，，但為了了實現(xiàn)更更高級別別的安全全特性，，WCDMA系系統(tǒng)做了了一些改改進，主主要是把把原先的的單向認認證改為為雙向認認證，增增加了手手機對網網絡的認認證；增增加了對對信令信信息的完完整性保保護；加加密防護護延伸到到地面網網絡，不不像GSM系統(tǒng)統(tǒng)在地面面網絡傳傳輸時是是明文的的。類似GSM系統(tǒng)統(tǒng)中的認認證3元元組，WCDMA系統(tǒng)統(tǒng)的AuC為用用戶產生生認證5元組（（AUTN，RAND，CK，IK，XRES）），CK用于語語音和數(shù)數(shù)據(jù)的加加密，類類似于GSM中中的Kc；IK用于信信令數(shù)據(jù)據(jù)的完整整性保護護；RAND是是AuC產生的的隨機數(shù)數(shù)；XRES和和AUTN則用用于雙向向認證。。41五元組生生成方法法這5個向向量由RAND、SQN、AMF及及K生成成，SQN是AuC產產生的序序列號，，起防重重放的作作用；AMF是是認證管管理域，，存放一一些與認認證相關關的信息息；K是是AuC和MS共享的的密鑰，，類似于于GSM中的Ki。向量的生生成算法法有f1、f2、f3、f4和f5，f1和f2為消息息認證算算法，f3、f4和f5為密密鑰生成成算法。。MAC=f1(K,SQN,RAND,AMF)XRES=f2（K，RAND）CK=f3（K，RAND）IK=f4（K，RAND）AK=f5（K，RAND）AUTN=（SQN⊕⊕AK，AMF，MAC）42WCDMA接入入認證在Msg3中，，AuC會發(fā)送送多個認認證5元元組給VLR，，VLR選擇其其中一個個向量組組，發(fā)送送該向量量組中的的RAND和和AUTN給給MS。。43WCDMA接入入認證MS收到到RAND和AUTN后，計計算AK，把SQN從從AUTN中中恢復出出來，并并計算MAC，，將它與與AUTN中中的MAC值值進行比比較，如如果不同同，用戶戶發(fā)送一一個認證證拒絕消消息給VLR，，該次認認證失敗敗。除了了驗證MAC外外，用戶戶還驗證證接收到到的序列列號SQN是是否在有有效的范范圍內，，若不在在，MS向VLR發(fā)發(fā)送同同步失敗敗消息。。如果MAC和和SQN的驗驗證都通通過，MS計算算出XRES，，發(fā)送給給VLR，VLR比較較這個值值是否和和AuC發(fā)過來來的XRES相相等，如如果相等等，網絡絡就認證證了用戶戶的身份份。MS用RAND和和K計算算出CK和IK，此此時，MS和VLR擁擁有相同同的CK和IK以保護護隨后的的通信。。44cdma2000接入入安全cdma20001x完全全向后兼兼容IS-95，用戶戶請求電電路交換換業(yè)務或或者分組組交換業(yè)業(yè)務時，，首先對對用戶進進行無線線接入認認證，如如果是分分組業(yè)務務，還要要通過RADIUS協(xié)協(xié)議到AAA服服務器中中進行分分組數(shù)據(jù)據(jù)業(yè)務的的認證。。這里主主要介介紹cdma20001x的無無線接接入認認證機機制[3GPP202]。網網絡側側（包包括HLR/AuC和基基站BS，，以下下以BS表表示網網絡側側）可可以發(fā)發(fā)起針針對某某個特特定用用戶MS的的一次次認證證，稱稱為特定挑挑戰(zhàn)-響應應過程程（UniqueChallenge-ResponseProcedure））。45特定挑挑戰(zhàn)-響應應認證證過程程BS產產生一一個隨隨機數(shù)數(shù)RANDU，，MS收到到這個個隨機機數(shù)后后，通通過簽簽名算算法CAVE計計算出出AUTH_DATA，，該算算法的的輸入入為RANDU、IMSI、、ESN（（類似似于GSM中的的IMEI）、、SSD_A（（可定定期更更新的的認證證密鑰鑰）。。46雙向認認證及及密鑰鑰更新新MS對對BS的認認證體體現(xiàn)在在SSD的的更新新過程程中，，SSD由由兩部部分組組成，，即SSD_A和SSD_B，前前者用用于認認證，，后者者用于于加密密（類類似于于GSM中中的Kc），包包括對對語音音、數(shù)數(shù)據(jù)及及信令令的加加密。。SSD的更更新過過程有有賴于于長期期密鑰鑰A-Key，A-Key存儲于于MS和AuC之間間，SSD則可可以定定期更更新，，有效效期由由系統(tǒng)統(tǒng)指定定。47cdma2000SSD更更新過過程示示意BS發(fā)發(fā)送隨隨機數(shù)數(shù)RANDssd，，收到到Msg1后，，MS將RANDssd和ESN、A-Key輸入入CAVE算法法，得得到SSD_new，將將之劃劃分為為SSD_A_new和和SSD_B_new。。然后MS選選擇一一個隨隨機數(shù)數(shù)RANDbs并發(fā)發(fā)送給給BS。48雙向認認證及及密鑰鑰更新新BS以以RANDbs、IMSI、、ESN和和SSD_A_new為為參數(shù)數(shù)輸入入CAVE算法法，計計算出出結果果并返返回給給MS，MS用用這個個接收收到的的值與與自己己計算算出的的值相相比較較，若若兩者者相等等，MS認認可網網絡側側，將將SSD_new設設置為為SSD；；SSD更新新成功功后，，通常?；菊緯l(fā)發(fā)起如如特定定挑戰(zhàn)戰(zhàn)-響響應認認證過過程，，以完完成雙雙向認認證。。49WeiJianfanThankYou!509、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃葉樹樹，燈下白頭頭人。。12:31:3512:31:3512:3112/29/202212:31:35PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2212:31:3512:31Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。12:31:3512:31:3512:31Thursday,December29,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2212:31:3512:31:35December29,202214、他鄉(xiāng)