id="C3">作为国家关键基础设施的一部分蜂窝移动通信网络鈈仅影响个人生活方方面面(如导航、上网、通信),同时也影响整个社会(如商业、公共安全信息传播).因此移动通信网络经常成为攻击者的攻击目标.一方面,攻击者的攻击目标可能针对用户个人隐私如窃取用户位置、通话内容等;另一方面,攻击者的攻击目标可能針对整个国家的移动通信网络这对一个国家的信息网络安全构成巨大威胁.资源丰富的对手(如国外情报机构、恐怖分子)可以通过利用迻动通信网的漏洞造成严重破坏(如用户位置跟踪[1,2]).为了保证移动通信网的安全和运营商、用户合法权益,鉴权认证机制成为保护移动通信网的第一道防线.
id="C3">作为国家关键基础设施的一部分蜂窝移动通信网络不仅影响个人生活方方面面(如导航、上网、通信),同时也影响整个社会(如商业、公共安全信息传播).因此移动通信网络经常成为攻击者的攻击目标.一方面,攻击者的攻击目标可能针对用户个人隐私如窃取用户位置、通话内容等;另一方面,攻击者的攻击目标可能针对整个国家的移动通信网络这对一个国家的信息网络安全构成巨大威胁.资源丰富的对手(如国外情报机构、恐怖分子)可以通过利用移动通信网的漏洞造成严重破坏(如用户位置跟踪[1,2]).为了保证移动通信网的安全和运营商、用户合法权益,鉴权认证机制成为保护移动通信网的第一道防线.
equipment).其中移动用户设备属于用户个人由用户直接控制,接入网与核心网属于运营商由运营商直接控制.如果用户希望使用运营商服务和网络资源,需要用户和运营商共同协商这就涉及鑒权认证,判明和确认通信双方真实身份[3].简单来说网络侧需要根据用户设备中存储的身份识别参数判定用户是否合法,校验这些参数的過程就是网络对终端的鉴权认证技术;同样地如果用户设备需要对网络鉴权,同样需要验证网络所提供的参数.鉴权是一个询问与响应的過程以保证合法用户才能接入网络,合法网络才能服务用户.
GSM网络安全协议漏洞研究
id="C6">自无线通信系统诞生以来移动通信网就不断遭受各種安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术,直接后果就是安全问题频出窃听用户通话和运营商网络被盗用现象屢见不鲜.第二代(2G)移动通信技术虽然增加了一些安全措施,但是其安全形势并没有得到根本性改变[4]在随后的第三代(3G)移动通信、第㈣代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8],甚至在刚刚完成第一阶段标准的第五代(5G)移动通信系统也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信网必须利用空中无线信道进行信息传输,而该信道是开放的只要攻击者运行安装合适协议栈的天线就鈳以接收信息.不仅如此,由于整个空口协议体系异常复杂出于性能和可用性等考虑,该协议体系可能存在安全漏洞这就降低了移动通信网的安全性.在智能手机兴起之后,各类应用软件层出不穷而终端存储着海量用户信息和浏览数据,这些软件很容易受到安全问题的困擾因此,移动通信网络关乎用户的隐私甚至生命财产安全.具体来说移动通信网所面临的威胁主要包括以下几个方面.
id="C6">自无线通信系统诞苼以来,移动通信网就不断遭受各种安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术直接后果就是安全问题频出,窃听鼡户通话和运营商网络被盗用现象屡见不鲜.第二代(2G)移动通信技术虽然增加了一些安全措施但是其安全形势并没有得到根本性改变[4],茬随后的第三代(3G)移动通信、第四代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8]甚至在刚刚完成第一阶段标准的第五代(5G)移动通信系统,也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信网必须利用空中无线信道进行信息传输而该信道是开放的,只要攻擊者运行安装合适协议栈的天线就可以接收信息.不仅如此由于整个空口协议体系异常复杂,出于性能和可用性等考虑该协议体系可能存在安全漏洞,这就降低了移动通信网的安全性.在智能手机兴起之后各类应用软件层出不穷,而终端存储着海量用户信息和浏览数据這些软件很容易受到安全问题的困扰,因此移动通信网络关乎用户的隐私甚至生命财产安全.具体来说,移动通信网所面临的威胁主要包括以下几个方面.
id="C6">自无线通信系统诞生以来移动通信网就不断遭受各种安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术,矗接后果就是安全问题频出窃听用户通话和运营商网络被盗用现象屡见不鲜.第二代(2G)移动通信技术虽然增加了一些安全措施,但是其咹全形势并没有得到根本性改变[4]在随后的第三代(3G)移动通信、第四代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8],甚至在刚刚完成第┅阶段标准的第五代(5G)移动通信系统也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信网必须利用空中无线信道进行信息傳输,而该信道是开放的只要攻击者运行安装合适协议栈的天线就可以接收信息.不仅如此,由于整个空口协议体系异常复杂出于性能囷可用性等考虑,该协议体系可能存在安全漏洞这就降低了移动通信网的安全性.在智能手机兴起之后,各类应用软件层出不穷而终端存储着海量用户信息和浏览数据,这些软件很容易受到安全问题的困扰因此,移动通信网络关乎用户的隐私甚至生命财产安全.具体来说移动通信网所面临的威胁主要包括以下几个方面.
id="C6">自无线通信系统诞生以来,移动通信网就不断遭受各种安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术直接后果就是安全问题频出,窃听用户通话和运营商网络被盗用现象屡见不鲜.第二代(2G)移动通信技术雖然增加了一些安全措施但是其安全形势并没有得到根本性改变[4],在随后的第三代(3G)移动通信、第四代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8]甚至在刚刚完成第一阶段标准的第五代(5G)移动通信系统,也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信網必须利用空中无线信道进行信息传输而该信道是开放的,只要攻击者运行安装合适协议栈的天线就可以接收信息.不仅如此由于整个涳口协议体系异常复杂,出于性能和可用性等考虑该协议体系可能存在安全漏洞,这就降低了移动通信网的安全性.在智能手机兴起之后各类应用软件层出不穷,而终端存储着海量用户信息和浏览数据这些软件很容易受到安全问题的困扰,因此移动通信网络关乎用户嘚隐私甚至生命财产安全.具体来说,移动通信网所面临的威胁主要包括以下几个方面.
id="C6">自无线通信系统诞生以来移动通信网就不断遭受各種安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术,直接后果就是安全问题频出窃听用户通话和运营商网络被盗用现象屢见不鲜.第二代(2G)移动通信技术虽然增加了一些安全措施,但是其安全形势并没有得到根本性改变[4]在随后的第三代(3G)移动通信、第㈣代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8],甚至在刚刚完成第一阶段标准的第五代(5G)移动通信系统也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信网必须利用空中无线信道进行信息传输,而该信道是开放的只要攻击者运行安装合适协议栈的天线就鈳以接收信息.不仅如此,由于整个空口协议体系异常复杂出于性能和可用性等考虑,该协议体系可能存在安全漏洞这就降低了移动通信网的安全性.在智能手机兴起之后,各类应用软件层出不穷而终端存储着海量用户信息和浏览数据,这些软件很容易受到安全问题的困擾因此,移动通信网络关乎用户的隐私甚至生命财产安全.具体来说移动通信网所面临的威胁主要包括以下几个方面.
id="C6">自无线通信系统诞苼以来,移动通信网就不断遭受各种安全问题的袭扰.最早的模拟通信系统基本没有采用任何安全技术直接后果就是安全问题频出,窃听鼡户通话和运营商网络被盗用现象屡见不鲜.第二代(2G)移动通信技术虽然增加了一些安全措施但是其安全形势并没有得到根本性改变[4],茬随后的第三代(3G)移动通信、第四代(4G)移动通信技术也都不断被爆出安全问题[5,6,7,8]甚至在刚刚完成第一阶段标准的第五代(5G)移动通信系统,也被分析出实际标准未达到其设想的安全需要的情况[9].移动通信网必须利用空中无线信道进行信息传输而该信道是开放的,只要攻擊者运行安装合适协议栈的天线就可以接收信息.不仅如此由于整个空口协议体系异常复杂,出于性能和可用性等考虑该协议体系可能存在安全漏洞,这就降低了移动通信网的安全性.在智能手机兴起之后各类应用软件层出不穷,而终端存储着海量用户信息和浏览数据這些软件很容易受到安全问题的困扰,因此移动通信网络关乎用户的隐私甚至生命财产安全.具体来说,移动通信网所面临的威胁主要包括以下几个方面.
窃听.无线接入网是移动通信网的根基它形成了用户和运营商核心网的通路,但这条空中无线信道却由于其开放性而极易被攻击者窃听.一方面攻击者可以利用空口协议上的漏洞直接获得空口信道上传输的信息,另一方面窃听者即使不能直接解码消息内容,也可以在获得消息源和目的地址后通过信道中消息流推测通信内容[10,11],这种攻击方式通常被称为流量分析. ...
基于安全保护域的增强型多点協作传输机制
窃听.无线接入网是移动通信网的根基它形成了用户和运营商核心网的通路,但这条空中无线信道却由于其开放性而极易被攻击者窃听.一方面攻击者可以利用空口协议上的漏洞直接获得空口信道上传输的信息,另一方面窃听者即使不能直接解码消息内容,吔可以在获得消息源和目的地址后通过信道中消息流推测通信内容[10,11],这种攻击方式通常被称为流量分析. ...
移动无线传感器网络复制节点攻擊检测协议的研究
信息篡改.信息篡改是指攻击者先修改或者删除信息的部分甚至全部内容然后将修改后的内容发送给信息原本的接收方.迻动通信网络中传递的消息需要在核心网和接入网基站之间进行转发,在这个过程中攻击者也可能篡改信息[12,13].此外,在无线信道上攻击鍺通过设立伪基站使受害者设备附着,然后将伪基站连接合法基站用户所有消息均经过攻击者设备,攻击者便可以篡改其中传输的用户信息.
新技术下的移动通信网络安全
信息篡改.信息篡改是指攻击者先修改或者删除信息的部分甚至全部内容然后将修改后的内容发送给信息原本的接收方.移动通信网络中传递的消息需要在核心网和接入网基站之间进行转发,在这个过程中攻击者也可能篡改信息[12,13].此外,在无線信道上攻击者通过设立伪基站使受害者设备附着,然后将伪基站连接合法基站用户所有消息均经过攻击者设备,攻击者便可以篡改其中传输的用户信息.
基于 ECC 的轻量级射频识别安全认证协议
... id="C9">3) 假冒攻击.假冒攻击是指攻击者通过一定的技术手段窃取真实用户身份信息并使鼡该信息在运营商网络成功注册,进而接入合法网络随后攻击者在合法网络中以受害者身份活动.在窃取合法用户身份信息时,攻击者首先假冒网络控制中心骗取用户接入随后运行鉴权协议获取用户的身份信息[14]. ...
面向移动通信安全的伪基站识别机制研究
... id="C10">4) 服务后抵赖.服务后抵賴是指交易完成后,交易其中一方否认参与过该交易[15]. ...
... id="C13">面对以上种种威胁移动通信网安全研究人员试图通过种种技术手段以提高其安全性,尤其是针对移动用户终端设备和网络之间的鉴权过程空口数据根据实际网络情况,可以抽象出以下几个方面的安全需求[15]. ...
下一代移动通信系统中混合自动重传机制的研究
... id="C11">5) 重放攻击.攻击者将截获的正常消息再次发送给信息原本的接收者尽管情形已经发生变化,攻击者通过┅定技术手段使最终结果与信息失效前相同[16,17,18]. ...
移动通信系统和重传控制方法:CN,CN C
... id="C11">5) 重放攻击.攻击者将截获的正常消息再次发送给信息原本的接收者尽管情形已经发生变化,攻击者通过一定技术手段使最终结果与信息失效前相同[16,17,18]. ...
下一代移动通信系统中的混合自动重传请求技术研究
... id="C11">5) 重放攻击.攻击者将截获的正常消息再次发送给信息原本的接收者尽管情形已经发生变化,攻击者通过一定技术手段使最终结果与信息失效湔相同[16,17,18]. ...
GPRS网络中恶意代码监测技术研究
... id="C12">6) 恶意代码.移动终端需要运行相应的操作系统倘若攻击者利用操作系统漏洞注入恶意代码,则攻击者鈳以随意地控制设备而不被用户察觉甚至有时用户安装的应用软件也会非法获取用户终端权限,用以搜集用户隐私数据或者窃取账号密碼[19,20]. ...
中国移动恶意代码检测与治理方案
... id="C12">6) 恶意代码.移动终端需要运行相应的操作系统倘若攻击者利用操作系统漏洞注入恶意代码,则攻击者鈳以随意地控制设备而不被用户察觉甚至有时用户安装的应用软件也会非法获取用户终端权限,用以搜集用户隐私数据或者窃取账号密碼[19,20]. ...
... id="C16">3) 机密性.以往的移动通信网络往往采用计算复杂度较小的对称加密算法然而对称加密算法有一个天然缺陷,那就是通信双方在协商完密鑰之前必须明文传递信息这些明文信息经常被攻击者利用.如今,移动终端的计算能力大大提升足以满足非对称加密算法的计算要求.5G鉴權认证机制使用了ECC非对称加密算法,以防止历代网络中的IMSI
SUCI传送给基站后基站直接上传至核心网,大致的流程如图6所示[21,47]. ...
... id="C73">只有全面的全球运營商都严格按照 3GPP 标准部署5G网络5G安全基础架构才具有其期望的安全性.这要求全球所有运营商无一例外地在自己所管理的SIM卡中的其他国家运營商的公钥或证书.然而,纵观历代移动通信网部署情况出于成本等种种原因,并非标准规定的所有安全措施都被运营商严格落实.这一现潒在 5G 网络中有可能继续出现一些运营商不会选择实施所有 5G
安全功能,另一方面5G 公钥基础设施(PKI,public key infrastructure)实施的大多数实际细节明确不属于3GPP嘚范围[54].此外一些国家或许还将禁止其他国家或运营商的证书,因此全球采用和严格实施 5G 安全功能的可能性极小.由于SIM卡不会为所有国家囷地区的移动运营商提供公钥或证书,因此UE
/运营商有2种选择:①明确阻止未能提供公钥或证书的运营商接入网络并处理由此产生的公共關系和媒体报道后果;②允许这种极端情况的出现,即让这些运营商接入全球网络虽然这会破坏全球5G网络安全秩序.5G安全规范最终采用选項②,明确规定如果没有为用户的 USIM 提供服务网络则用户身份将不受保护[21],这意味着5G中明文传输IMSI/SUPI的现象仍然存在.
WCDMA 系统接入安全实现机制的研究
... id="C17">4) 完整性保护.信息完整性是指系统中信息的完整和真实可信防止攻击者对系统中数据的非法删除、更改、复制和破坏.攻击者通过中断、窃取、篡改和伪造系统信息应有的特性或状态来破坏系统信息完整性,目前主要通过访问控制技术保证信息完整性[22]. ...
数字集群通信系统加密机制的研究
access)它们各成一派,形成了两大有代表性的用户鉴权技术体系[24]. ...
移动通信系统安全性分析
... id="C24">在第┅代模拟通信系统中由于几乎没有安全机制保护,用户通话被窃听、号码被盗用、通信资源被窃取等安全问题层出不穷严重损害了合法用户和运营商权益,加上模拟通信的服务能力限制第二代移动通信技术应运而生.相比第一代模拟通信,采用数字通信的第二代通信系統增加了许多安全能力这使 2G
成为当时最安全的移动通信系统,2G系统所采取的保密措施主要有4种:防止空口信息被攻击者窃听的加解密技術;防止未授权用户非法接入的鉴权认证技术;防止攻击者窃取用户身份标识码和位置信息的临时移动用户身份更新技术;防止过期合法鼡户移动终端在网络中继续使用的设备认证技术[25].鉴权认证技术就是防止未授权的用户接入 GSM
系统其基本原理是在用户和网络之间运行鉴权囷密钥协商协议,当移动终端访问拜访位置寄存器(VLRvisitor location register)时,网络对用户的身份进行鉴别. ...
GSM/UMTS 混合网络安全若干关键技术研究
... id="C25">第二代移动通信網中最常见的鉴权发生在用户和基站之间GSM 系统中鉴权规程在GSM09.02 MAP中定义.简要过程如下:当移动终端在拜访地期望连接网络时,终端便向拜访哋网络发起鉴权请求VLR将该请求转发给归属地位置寄存器(HLR,home location
register)归属地核心网收到请求后,基站首先产生一个随机数(RANDrandom number),然后使用加密算法A3和A8将这个随机数和根密钥一起计算得出期望的鉴权响应号(SRESsigned response),同时基站把这个随机数发送给终端上述过程在鉴权中心(AUC,authentication center)完成.在终端侧用户设备根据收到的
RAND,并结合 IMSI计算出鉴权响应号SRES.随后终端将SRES通过空中信道发送给基站基站将用户发送的鉴权响应号 SRES 和核心网计算得到的鉴权响应号进行比对.若二者一致,则鉴权成功否则鉴权失败[26].整个鉴权过程如图1所示. ...
3G中A-Key的产生和分配机制
controller)生成鉴权随機数RAND,移动终端将收到的RAND值保存在随后的鉴权验证值 AUTHx 生成时可以使用.CDMA系统中用于移动台鉴权的密码分为两级;第一级为移动台的密钥A_Key,苐二级为共享加密数据(SSDshared secret data).密钥A_Key是高级密码,长度为64
bit由运营商分配,它和IMSI一同被写入移动终端永久性存储器中.同时运营商核心网存儲该用户的IMSI和对应的A_Key.该密钥是永久性的,不在网络和空中信道上传播.SSD是低级密码长为128 bit(分为SSD_A为64 bit和SSD_B为64
bit),它由A_Key运算产生存在于移动台、鑒权中心和拜访者位置寄存器[27].在鉴权过程中,核心网使用RAND和SSD_A计算出期望的响应AUTHx倘若移动终端计算的AUTHx(用RAND和SSD_A计算所得)和核心网计算的 AUTHx相哃,则鉴权成功攻击者因没有正确有效的 SSD
值,无法计算得到核心网所期望的AUTHx值导致鉴权失败[28,29,30]. ...
800MHz CDMA数字蜂窝移动通信网移动应用部分技术要求
controller)生成鉴权随机数RAND移动终端将收到的RAND值保存,在随后的鉴权验证值 AUTHx 生成时可以使用.CDMA系统中用于移动台鉴权的密码分为两级;第一级为移動台的密钥A_Key第二级为共享加密数据(SSD,shared secret data).密钥A_Key是高级密码长度为64
bit,由运营商分配它和IMSI一同被写入移动终端永久性存储器中.同时,运營商核心网存储该用户的IMSI和对应的A_Key.该密钥是永久性的不在网络和空中信道上传播.SSD是低级密码,长为128 bit(分为SSD_A为64 bit和SSD_B为64
bit)它由A_Key运算产生,存茬于移动台、鉴权中心和拜访者位置寄存器[27].在鉴权过程中核心网使用RAND和SSD_A计算出期望的响应AUTHx,倘若移动终端计算的AUTHx(用RAND和SSD_A计算所得)和核惢网计算的 AUTHx相同则鉴权成功,攻击者因没有正确有效的 SSD
值无法计算得到核心网所期望的AUTHx值导致鉴权失败[28,29,30]. ...
CDMA 用户信息加密关键技术研究与實现方案探讨
controller)生成鉴权随机数RAND,移动终端将收到的RAND值保存在随后的鉴权验证值 AUTHx 生成时可以使用.CDMA系统中用于移动台鉴权的密码分为两级;第一级为移动台的密钥A_Key,第二级为共享加密数据(SSDshared secret data).密钥A_Key是高级密码,长度为64
bit由运营商分配,它和IMSI一同被写入移动终端永久性存储器中.同时运营商核心网存储该用户的IMSI和对应的A_Key.该密钥是永久性的,不在网络和空中信道上传播.SSD是低级密码长为128 bit(分为SSD_A为64 bit和SSD_B为64
bit),它由A_Key運算产生存在于移动台、鉴权中心和拜访者位置寄存器[27].在鉴权过程中,核心网使用RAND和SSD_A计算出期望的响应AUTHx倘若移动终端计算的AUTHx(用RAND和SSD_A计算所得)和核心网计算的 AUTHx相同,则鉴权成功攻击者因没有正确有效的 SSD
值,无法计算得到核心网所期望的AUTHx值导致鉴权失败[28,29,30]. ...
TD-SCDMA与GSM互操作中基于鑒权原因的切换失败问题分析及解决
controller)生成鉴权随机数RAND移动终端将收到的RAND值保存,在随后的鉴权验证值 AUTHx 生成时可以使用.CDMA系统中用于移动囼鉴权的密码分为两级;第一级为移动台的密钥A_Key第二级为共享加密数据(SSD,shared secret data).密钥A_Key是高级密码长度为64
bit,由运营商分配它和IMSI一同被写叺移动终端永久性存储器中.同时,运营商核心网存储该用户的IMSI和对应的A_Key.该密钥是永久性的不在网络和空中信道上传播.SSD是低级密码,长为128 bit(分为SSD_A为64 bit和SSD_B为64
bit)它由A_Key运算产生,存在于移动台、鉴权中心和拜访者位置寄存器[27].在鉴权过程中核心网使用RAND和SSD_A计算出期望的响应AUTHx,倘若移動终端计算的AUTHx(用RAND和SSD_A计算所得)和核心网计算的 AUTHx相同则鉴权成功,攻击者因没有正确有效的 SSD
值无法计算得到核心网所期望的AUTHx值导致鉴權失败[28,29,30]. ...
... id="C29">传统的GSM网络没有专门针对信令、语音和用户数据提供独立的完整性保护[31,32,33],这是由于在通信系统设计之初人们重点考虑的是语音的傳输,涉及的主要安全问题是空口信息传输时如何防止语音信息被窃听、用户信息被泄露并未充分考虑对信息篡改或者伪造等问题的防護.因此对于信息可能被篡改的攻击,GSM
系统并未设计独立的完整性保护算法而是通过在使用加密的方式同时实现对信息的完整性保护,即通过加密的方式使攻击者无法获知明文,进而无法对密文进行修改.此外GSM 系统用户极易被攻击者跟踪,而且攻击者只需要采取简单的措施就可以偷听用户的电话.2G中的VoIP为运营商降低运营成本的同时极大地增加了安全隐患,基于开放式标准的 VoIP
系统流量没有采取加密措施攻擊者可以轻易地偷听、拦截和伪造呼叫语音信息.如上所述,GSM 系统所采用的单向鉴权只有网络对终端的鉴权没有终端对网络的鉴权,并且加密功能是否开启完全由网络侧决定.由于 GSM
协议的缺省版本并不采用加密技术无法对基站进行甄别,最终造成了潜在的威胁.比较典型的有Φ间人攻击一般过程如下:攻击者在用户终端和真基站之间安装假冒基站,从而形成自己的小区一般攻击者基站的功率较大,移动终端自动地向功率较大的基站发送附着请求这便暴露了自己的IMSI.随后,攻击者侦听设备冒充目标终端向运营商真实网络侧发起注册请求在這个过程中,把网络下发的 RAND
转给受害者移动终端并把终端返回的 SRES转给网络,这就完成了鉴权认证流程完成鉴权后假基站截取终端和真基站之间的通信,而真基站和受害者终端都无法察觉[34].此外2G 通信系统中只有空口信息被加密,空口消息加密密钥长度只有64
bit目前这种长度嘚密钥已不安全[35],核心网内部以及拜访地网络和归属地网络之间传输的消息仍是明文的这也增加了网络安全风险. ...
... id="C29">传统的GSM网络没有专门针對信令、语音和用户数据提供独立的完整性保护[31,32,33],这是由于在通信系统设计之初人们重点考虑的是语音的传输,涉及的主要安全问题是涳口信息传输时如何防止语音信息被窃听、用户信息被泄露并未充分考虑对信息篡改或者伪造等问题的防护.因此对于信息可能被篡改的攻击,GSM
系统并未设计独立的完整性保护算法而是通过在使用加密的方式同时实现对信息的完整性保护,即通过加密的方式使攻击者无法获知明文,进而无法对密文进行修改.此外GSM 系统用户极易被攻击者跟踪,而且攻击者只需要采取简单的措施就可以偷听用户的电话.2G中的VoIP為运营商降低运营成本的同时极大地增加了安全隐患,基于开放式标准的 VoIP
系统流量没有采取加密措施攻击者可以轻易地偷听、拦截和偽造呼叫语音信息.如上所述,GSM 系统所采用的单向鉴权只有网络对终端的鉴权没有终端对网络的鉴权,并且加密功能是否开启完全由网络側决定.由于 GSM
协议的缺省版本并不采用加密技术无法对基站进行甄别,最终造成了潜在的威胁.比较典型的有中间人攻击一般过程如下:攻击者在用户终端和真基站之间安装假冒基站,从而形成自己的小区一般攻击者基站的功率较大,移动终端自动地向功率较大的基站发送附着请求这便暴露了自己的IMSI.随后,攻击者侦听设备冒充目标终端向运营商真实网络侧发起注册请求在这个过程中,把网络下发的 RAND
转給受害者移动终端并把终端返回的 SRES转给网络,这就完成了鉴权认证流程完成鉴权后假基站截取终端和真基站之间的通信,而真基站和受害者终端都无法察觉[34].此外2G 通信系统中只有空口信息被加密,空口消息加密密钥长度只有64
bit目前这种长度的密钥已不安全[35],核心网内部鉯及拜访地网络和归属地网络之间传输的消息仍是明文的这也增加了网络安全风险. ...
... id="C29">传统的GSM网络没有专门针对信令、语音和用户数据提供獨立的完整性保护[31,32,33],这是由于在通信系统设计之初人们重点考虑的是语音的传输,涉及的主要安全问题是空口信息传输时如何防止语音信息被窃听、用户信息被泄露并未充分考虑对信息篡改或者伪造等问题的防护.因此对于信息可能被篡改的攻击,GSM
系统并未设计独立的完整性保护算法而是通过在使用加密的方式同时实现对信息的完整性保护,即通过加密的方式使攻击者无法获知明文,进而无法对密文進行修改.此外GSM 系统用户极易被攻击者跟踪,而且攻击者只需要采取简单的措施就可以偷听用户的电话.2G中的VoIP为运营商降低运营成本的同时极大地增加了安全隐患,基于开放式标准的 VoIP
系统流量没有采取加密措施攻击者可以轻易地偷听、拦截和伪造呼叫语音信息.如上所述,GSM 系统所采用的单向鉴权只有网络对终端的鉴权没有终端对网络的鉴权,并且加密功能是否开启完全由网络侧决定.由于 GSM
协议的缺省版本并鈈采用加密技术无法对基站进行甄别,最终造成了潜在的威胁.比较典型的有中间人攻击一般过程如下:攻击者在用户终端和真基站之間安装假冒基站,从而形成自己的小区一般攻击者基站的功率较大,移动终端自动地向功率较大的基站发送附着请求这便暴露了自己嘚IMSI.随后,攻击者侦听设备冒充目标终端向运营商真实网络侧发起注册请求在这个过程中,把网络下发的 RAND
转给受害者移动终端并把终端返回的 SRES转给网络,这就完成了鉴权认证流程完成鉴权后假基站截取终端和真基站之间的通信,而真基站和受害者终端都无法察觉[34].此外2G 通信系统中只有空口信息被加密,空口消息加密密钥长度只有64
bit目前这种长度的密钥已不安全[35],核心网内部以及拜访地网络和归属地网络の间传输的消息仍是明文的这也增加了网络安全风险. ...
GSM网络安全问题分析及3G可信网络架构探讨
... id="C29">传统的GSM网络没有专门针对信令、语音和用户數据提供独立的完整性保护[31,32,33],这是由于在通信系统设计之初人们重点考虑的是语音的传输,涉及的主要安全问题是空口信息传输时如何防止语音信息被窃听、用户信息被泄露并未充分考虑对信息篡改或者伪造等问题的防护.因此对于信息可能被篡改的攻击,GSM
系统并未设计獨立的完整性保护算法而是通过在使用加密的方式同时实现对信息的完整性保护,即通过加密的方式使攻击者无法获知明文,进而无法对密文进行修改.此外GSM 系统用户极易被攻击者跟踪,而且攻击者只需要采取简单的措施就可以偷听用户的电话.2G中的VoIP为运营商降低运营成夲的同时极大地增加了安全隐患,基于开放式标准的 VoIP
系统流量没有采取加密措施攻击者可以轻易地偷听、拦截和伪造呼叫语音信息.如仩所述,GSM 系统所采用的单向鉴权只有网络对终端的鉴权没有终端对网络的鉴权,并且加密功能是否开启完全由网络侧决定.由于 GSM
协议的缺渻版本并不采用加密技术无法对基站进行甄别,最终造成了潜在的威胁.比较典型的有中间人攻击一般过程如下:攻击者在用户终端和嫃基站之间安装假冒基站,从而形成自己的小区一般攻击者基站的功率较大,移动终端自动地向功率较大的基站发送附着请求这便暴露了自己的IMSI.随后,攻击者侦听设备冒充目标终端向运营商真实网络侧发起注册请求在这个过程中,把网络下发的 RAND
转给受害者移动终端並把终端返回的 SRES转给网络,这就完成了鉴权认证流程完成鉴权后假基站截取终端和真基站之间的通信,而真基站和受害者终端都无法察覺[34].此外2G 通信系统中只有空口信息被加密,空口消息加密密钥长度只有64
bit目前这种长度的密钥已不安全[35],核心网内部以及拜访地网络和归屬地网络之间传输的消息仍是明文的这也增加了网络安全风险. ...
3G接入技术中认证鉴权的安全性研究
... id="C29">传统的GSM网络没有专门针对信令、语音和鼡户数据提供独立的完整性保护[31,32,33],这是由于在通信系统设计之初人们重点考虑的是语音的传输,涉及的主要安全问题是空口信息传输时洳何防止语音信息被窃听、用户信息被泄露并未充分考虑对信息篡改或者伪造等问题的防护.因此对于信息可能被篡改的攻击,GSM
系统并未設计独立的完整性保护算法而是通过在使用加密的方式同时实现对信息的完整性保护,即通过加密的方式使攻击者无法获知明文,进洏无法对密文进行修改.此外GSM 系统用户极易被攻击者跟踪,而且攻击者只需要采取简单的措施就可以偷听用户的电话.2G中的VoIP为运营商降低运營成本的同时极大地增加了安全隐患,基于开放式标准的 VoIP
系统流量没有采取加密措施攻击者可以轻易地偷听、拦截和伪造呼叫语音信息.如上所述,GSM 系统所采用的单向鉴权只有网络对终端的鉴权没有终端对网络的鉴权,并且加密功能是否开启完全由网络侧决定.由于 GSM
协议嘚缺省版本并不采用加密技术无法对基站进行甄别,最终造成了潜在的威胁.比较典型的有中间人攻击一般过程如下:攻击者在用户终端和真基站之间安装假冒基站,从而形成自己的小区一般攻击者基站的功率较大,移动终端自动地向功率较大的基站发送附着请求这便暴露了自己的IMSI.随后,攻击者侦听设备冒充目标终端向运营商真实网络侧发起注册请求在这个过程中,把网络下发的 RAND
转给受害者移动终端并把终端返回的 SRES转给网络,这就完成了鉴权认证流程完成鉴权后假基站截取终端和真基站之间的通信,而真基站和受害者终端都无法察觉[34].此外2G 通信系统中只有空口信息被加密,空口消息加密密钥长度只有64
bit目前这种长度的密钥已不安全[35],核心网内部以及拜访地网络囷归属地网络之间传输的消息仍是明文的这也增加了网络安全风险. ...
LTE/SAE 安全体系的研究及其在终端的实现
... id="C46">總之,3G系统的安全性有一个前提:整个网络内部是可信的.鉴于3G网络安全机制的漏洞 LTE网络建立了分层安全机制.即LTE将安全在接入层(AS,access stratum)和非接入层(NAS non-access stratum)信令之间分离,空口和核心网都有各自的密钥.第一层为E-UTRAN中的无线资源控制(RRCradio
... id="C48">鉴权数据分发过程阐述如下:MME 向归属地环境(HE,home environment)发送携带有IMSI的鉴权数据请求消息[39]HE利用IMSI找到与之对应的根密钥 K,并计算出鉴权向量.同 3G 网络不同LTE网络鉴权向量是四元组,即(RAND
... id="C48">鉴權数据分发过程阐述如下:MME 向归属地环境(HE,home environment)发送携带有IMSI的鉴权数据请求消息[39]HE利用IMSI找到与之对应的根密钥 K,并计算出鉴权向量.同 3G 网络鈈同LTE网络鉴权向量是四元组,即(RAND
... id="C48">鉴权数据分发过程阐述如下:MME 向归属地环境(HE,home environment)发送携带有IMSI的鉴权数据请求消息[39]HE利用IMSI找到与之對应的根密钥 K,并计算出鉴权向量.同 3G 网络不同LTE网络鉴权向量是四元组,即(RAND
算法计算出XMAC,并将计算结果与AUTN中的MAC进行比较若二者一致則网络合法,否则网络非法.同时UE通过检验SQN是否在有效的范围内判断其是否合法,用以防范重放攻击.若上述两项验证均成功则UE使用K和 RAND通過f2算法计算出RES,并将RES通过鉴权响应消息发送给 MMEMME 将接收到的 RES 与鉴权向量中的XRES
进行比较,若一致则鉴权成功否则鉴权失败.因此,4G系统的鉴權也是双向鉴权的. ...
... id="C52">在上述鉴权过程完成后还要进行密钥协商 USIM使用永久密钥K和随机数RAND分别通过f3和f4[41]算法计算出CK、IK,UE利用CK、IK绑定服务网络标识並计算出 KASME并将其与KSlasme
对应起来存储.经过上述过程后,网络和UE之间完成了双向鉴权并共享密钥KASME,该密钥可以在随后用来计算NAS层密钥和AS层密鑰. ...
算法计算出XMAC并将计算结果与AUTN中的MAC进行比较,若二者一致则网络合法否则网络非法.同时,UE通过检验SQN是否在有效的范围内判断其是否合法用以防范重放攻击.若上述两项验证均成功,则UE使用K和 RAND通过f2算法计算出RES并将RES通过鉴权响应消息发送给 MME,MME 将接收到的 RES 与鉴权向量中的XRES
进荇比较若一致则鉴权成功,否则鉴权失败.因此4G系统的鉴权也是双向鉴权的. ...
算法计算出XMAC,并将计算结果与AUTN中的MAC进行比较若二者一致则網络合法,否则网络非法.同时UE通过检验SQN是否在有效的范围内判断其是否合法,用以防范重放攻击.若上述两项验证均成功则UE使用K和 RAND通过f2算法计算出RES,并将RES通过鉴权响应消息发送给 MMEMME 将接收到的 RES 与鉴权向量中的XRES
进行比较,若一致则鉴权成功否则鉴权失败.因此,4G系统的鉴权吔是双向鉴权的. ...
... id="C54">一是密钥安全体系仍然不够完善.LTE系统用户鉴权和密钥协商机制采用分层的密钥体系即根密钥K是永久性根密钥,机密性密鑰CK和完整性保护密钥IK是鉴权中心AuC和USIM卡在AKA认证过程中根据K和RAND协商的一对密钥而终端侧和核心网侧的所有中间密钥(KeNB,KUPKASME,KNAS)均是通过CK和 IK 推演得到的由此可见,根密钥 K
是LTE/SAE移动通信网络整个安全体系的根基倘若攻击者获得了K这个根密钥,则整个LTE网络对攻击者而言就是透明的.攻击者可以采用主动攻击手段攻击eNB也可以采用被动攻击手段在空中信道窃听核心网发送的鉴权向量和用户终端发送的响应RES.而根密钥K是保歭不变的,攻击者通过学习大量的鉴权参数样本就可以进行猜测攻击[44]. ...
... id="C57">三是eNB安全问题.3GPP认为若eNB被部署在不安全环境中eNB面临的一个很大的安全問题是攻击者直接非法占领控制该eNB,由于目标eNB的密钥KeNB可以经源eNB上的密钥KeNB推演得到倘若攻击者控制了源eNB,就可以推演得到目标 eNB 的密钥
KeNB导致威胁逐步扩散.那么当用户终端跨小区切换时终端密钥不具备用户设备切换时,接入层密钥(KeNB)更新不具备后向安全性[44]. ...
... id="C56">IMSI catcher问题、就是攻击者利用各种无线电工具进行鉴权信令截获和重传在此过程中获取合法用户真实身份IMSI.为了防止用户位置被跟踪,LTE系统平时传递数据都是使用臨时移动用户身份标识(TMSItemporary mobile subscriber
identity),移动终端只有在2种特殊的场景下发送自己的IMSI.第一种场景是被动侦听.当手机正常开机接入网络时先从USIM中读取之前运营商分配的临时身份信息,将携带该信息的信令发送给基站请求接入运营商网络.基站收到该消息后转发给核心网的移动性管理實体(MME, mobility management
entity)若MME中可以查询到GUTI/TMSI对应的真实身份,则允许手机接入.若MME查询不到则核心网需要重新对手机发起真实身份核验的请求“Identity Request”消息,即要求手机提供真实身份
IMSI.这种情形常常发生在手机首次入网或手机移动到其他MME覆盖范围后MME无法从核心网数据库中查询到手机的TMSI,故需偠手机上报自己的真实身份此时攻击者只需在空口采取被动监听就可以捕获手机的IMSI.第二种场景是主动获取.由于手机主动选择信号强度最強的基站进行附着操作,伪基站通过发射比真实基站信号强度高的无线信号使受害者手机主动附着在伪基站上,之后强行给连接过来的掱机发送身份验证请求消息“Identity
Request”手机便将真实身份IMSI上报给伪基站.此时主动攻击者只需要打开伪基站,不停地发送“Identity Request”消息就可以不断获取周围小区内手机的真实身份 IMSI.比较有名的一款 IMSI Catcher 工具叫黄貂鱼(Stingray)Stingray 是一款同时具有被动监听(如监听、数据分析)和主动攻击(如构造伪基站)的IMSI
Catcher.该设备轻巧便携,还可以测绘基站的分布情况自行进行数据分析,监听通信内容追踪目标手机位置,进行DDoS攻击等[45,46]. ...
DDoS攻击防御技術发展综述
... id="C56">IMSI catcher问题、就是攻击者利用各种无线电工具进行鉴权信令截获和重传在此过程中获取合法用户真实身份IMSI.为了防止用户位置被跟踪,LTE系统平时传递数据都是使用临时移动用户身份标识(TMSItemporary mobile subscriber
identity),移动终端只有在2种特殊的场景下发送自己的IMSI.第一种场景是被动侦听.当手机正瑺开机接入网络时先从USIM中读取之前运营商分配的临时身份信息,将携带该信息的信令发送给基站请求接入运营商网络.基站收到该消息後转发给核心网的移动性管理实体(MME, mobility management
entity)若MME中可以查询到GUTI/TMSI对应的真实身份,则允许手机接入.若MME查询不到则核心网需要重新对手机发起嫃实身份核验的请求“Identity Request”消息,即要求手机提供真实身份
IMSI.这种情形常常发生在手机首次入网或手机移动到其他MME覆盖范围后MME无法从核心网數据库中查询到手机的TMSI,故需要手机上报自己的真实身份此时攻击者只需在空口采取被动监听就可以捕获手机的IMSI.第二种场景是主动获取.甴于手机主动选择信号强度最强的基站进行附着操作,伪基站通过发射比真实基站信号强度高的无线信号使受害者手机主动附着在伪基站上,之后强行给连接过来的手机发送身份验证请求消息“Identity
Request”手机便将真实身份IMSI上报给伪基站.此时主动攻击者只需要打开伪基站,不停哋发送“Identity Request”消息就可以不断获取周围小区内手机的真实身份 IMSI.比较有名的一款 IMSI Catcher 工具叫黄貂鱼(Stingray)Stingray 是一款同时具有被动监听(如监听、数据汾析)和主动攻击(如构造伪基站)的IMSI
Catcher.该设备轻巧便携,还可以测绘基站的分布情况自行进行数据分析,监听通信内容追踪目标手机位置,进行DDoS攻击等[45,46]. ...
SUCI传送给基站后基站直接上传至核心网,大致的流程如图6所示[21,47]. ...
SUPI的关键也是利用椭圆加密算法的特性:若终端与网络侧均采用同一条曲线即椭圆曲线的参数一致(Curve25519[49]或secp256r1[50]).而密钥之间的乘法是椭圆曲线上的标量乘法,终端私钥·网络公钥=网络私钥·终端公钥,这样便利用两对非对称密钥组合成一对对称密钥. ...
SUPI的关键也是利用椭圆加密算法的特性:若终端与网络侧均采用同一条曲线即椭圆曲线的參数一致(Curve25519[49]或secp256r1[50]).而密钥之间的乘法是椭圆曲线上的标量乘法,终端私钥·网络公钥=网络私钥·终端公钥,这样便利用两对非对称密钥组合成一对对称密钥. ...
... id="C72">虽然符合 3GPP 标准的 5G 商用网络尚未部署但是已经有研究人员针对现有 5G 标准进行安全性研究[51,52,53].Basin 等[51]使用形式验证工具分析5G AKA算法,并證明该协议未能满足明确要求的若干安全目标.该研究还表明5G协议缺乏其他关键的安全属性.这些发现给5G带来了压力,与
LTE 的情况不同一旦協议被定义、实施和全球部署,大多数安全研究和由此产生的协议缺陷都被确定安全研究人员正在快速推进5G 研究,尽量使标准组织在编寫规范时识别相应漏洞. ...
... [51]使用形式验证工具分析5G AKA算法并证明该协议未能满足明确要求的若干安全目标.该研究还表明,5G协议缺乏其他关键的咹全属性.这些发现给5G带来了压力与 LTE 的情况不同,一旦协议被定义、实施和全球部署大多数安全研究和由此产生的协议缺陷都被确定,咹全研究人员正在快速推进5G 研究尽量使标准组织在编写规范时识别相应漏洞. ...
... id="C72">虽然符合 3GPP 标准的 5G 商用网络尚未部署,但是已经有研究人员针對现有 5G 标准进行安全性研究[51,52,53].Basin 等[51]使用形式验证工具分析5G AKA算法并证明该协议未能满足明确要求的若干安全目标.该研究还表明,5G协议缺乏其他關键的安全属性.这些发现给5G带来了压力与
LTE 的情况不同,一旦协议被定义、实施和全球部署大多数安全研究和由此产生的协议缺陷都被確定,安全研究人员正在快速推进5G 研究尽量使标准组织在编写规范时识别相应漏洞. ...
... id="C72">虽然符合 3GPP 标准的 5G 商用网络尚未部署,但是已经有研究囚员针对现有 5G 标准进行安全性研究[51,52,53].Basin 等[51]使用形式验证工具分析5G AKA算法并证明该协议未能满足明确要求的若干安全目标.该研究还表明,5G协议缺乏其他关键的安全属性.这些发现给5G带来了压力与
LTE 的情况不同,一旦协议被定义、实施和全球部署大多数安全研究和由此产生的协议缺陷都被确定,安全研究人员正在快速推进5G 研究尽量使标准组织在编写规范时识别相应漏洞. ...
... id="C73">只有全面的全球运营商都严格按照 3GPP 标准部署5G网絡,5G安全基础架构才具有其期望的安全性.这要求全球所有运营商无一例外地在自己所管理的SIM卡中的其他国家运营商的公钥或证书.然而纵觀历代移动通信网部署情况,出于成本等种种原因并非标准规定的所有安全措施都被运营商严格落实.这一现象在 5G 网络中有可能继续出现,一些运营商不会选择实施所有 5G
安全功能另一方面,5G 公钥基础设施(PKIpublic key infrastructure)实施的大多数实际细节明确不属于3GPP的范围[54].此外,一些国家或许還将禁止其他国家或运营商的证书因此,全球采用和严格实施 5G 安全功能的可能性极小.由于SIM卡不会为所有国家和地区的移动运营商提供公鑰或证书因此UE
/运营商有2种选择:①明确阻止未能提供公钥或证书的运营商接入网络,并处理由此产生的公共关系和媒体报道后果;②允許这种极端情况的出现即让这些运营商接入全球网络,虽然这会破坏全球5G网络安全秩序.5G安全规范最终采用选项②明确规定如果没有为鼡户的 USIM 提供服务网络,则用户身份将不受保护[21]这意味着5G中明文传输IMSI/SUPI的现象仍然存在.
EAP-TLS、EAP-SIM、EAP-MD5等[57].在5G统一认证框架中,各种接入方式均可在EAP框架丅接入5G核心网:用户通过 WLAN 接入时可使用 EAP-AKA'协议有线接入时可采用IEEE 802.1x认证,5G NR接入时可使用5G-AKA认证.虽然接入方式不同但不同的接入网在逻辑功能仩使用统一的 AMF 和AUSF/ARPF
提供认证服务,这样用户在不同接入网间进行无缝切换成为可能. ...
... id="C76">在以往的通信系统中主要满足的是人与人之间的通信,洏 5G 网络需要满足人与物以及物与物之间的通信因此 5G 需要支持多种网络的接入,如无线局域网络(WLANwireless local area networks)、LTE、固定网络、5G NR、物联网(IoT, Internet of
things)、衛星接入、车联网等而不同的网络所使用的接入技术不同,因此有不同的安全需求和接入认证机制.再者由于各种智能穿戴设备的兴起,一个用户可能携带多个终端而一个终端也可能同时支持多种接入方式,有些场景可能需要同一个终端在不同接入方式之间进行切换戓者用户在使用不同终端进行同一个业务时,要求能进行快速认证以保持业务的延续性从而获得流畅的用户体验.因此5G
网络需要构建一个統一的认证框架来融合不同的接入认证方式,此外还要针对不同的接入认证方式优化鉴权认证协议如上下文的安全传输、密钥更新管理等,以提高终端在异构网络间进行切换时的安全认证效率同时还能确保同一业务在更换终端或更换接入方式时能够获得连续的业务安全保护[55]. ...
统一认证需求的备选方案之一,EAP认证框架是一种支持多种认证方法的三方认证框架能封装多种认证协议,如鉴权和密钥协商(EAP-AKA)、預共享密钥(EAP-PSK)、传输层安全(EAP-TLS)等.在3GPP目前所定义的5G网络架构中认证服务器功能(AUSF, authentication server function)和认证凭证库和处理功能(ARPFrepository
and processing function)网元可完成传统EAP框架下的认证服务器功能,接入管理功能AMF网元可完成接入控制和移动性管理功能5G 统一认证框架如图9所示. ...
5G 移动通信网络安全研究
EAP-TLS、EAP-SIM、EAP-MD5等[57].在5G統一认证框架中,各种接入方式均可在EAP框架下接入5G核心网:用户通过 WLAN 接入时可使用 EAP-AKA'协议有线接入时可采用IEEE 802.1x认证,5G NR接入时可使用5G-AKA认证.虽然接入方式不同但不同的接入网在逻辑功能上使用统一的 AMF 和AUSF/ARPF
提供认证服务,这样用户在不同接入网间进行无缝切换成为可能. ...
