移動通信網(wǎng)鑒權(quán)認(rèn)證綜述

胡鑫鑫，劉彩霞，劉樹新，游偉，喬康

?

移動通信網(wǎng)鑒權(quán)認(rèn)證綜述

胡鑫鑫，劉彩霞，劉樹新，游偉，喬康

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450001）

隨著移動通信網(wǎng)技術(shù)的演進(jìn)，網(wǎng)絡(luò)安全問題日益突出，如何在提供高質(zhì)量通信服務(wù)的同時保護(hù)合法用戶的隱私不被非法竊取、運營商網(wǎng)絡(luò)不被入侵成為移動通信安全領(lǐng)域的一個重要問題。用戶與網(wǎng)絡(luò)的相互鑒權(quán)是用戶和網(wǎng)絡(luò)彼此判定對方合法性的重要手段，鑒權(quán)手段也隨著網(wǎng)絡(luò)演進(jìn)而不斷演進(jìn)，從歷代移動通信網(wǎng)絡(luò)（GSM、CDMA、UMTS、LTE）鑒權(quán)認(rèn)證技術(shù)入手，分析鑒權(quán)技術(shù)優(yōu)缺點，并重點剖析了即將商用的第五代（5G）移動通信的鑒權(quán)技術(shù)、統(tǒng)一認(rèn)證技術(shù)，最后對未來鑒權(quán)技術(shù)的發(fā)展進(jìn)行了展望。

移動通信網(wǎng)；鑒權(quán)；安全；第五代移動通信；統(tǒng)一認(rèn)證

1 引言

作為國家關(guān)鍵基礎(chǔ)設(shè)施的一部分，蜂窩移動通信網(wǎng)絡(luò)不僅影響個人生活方方面面（如導(dǎo)航、上網(wǎng)、通信），同時也影響整個社會（如商業(yè)、公共安全信息傳播）。因此，移動通信網(wǎng)絡(luò)經(jīng)常成為攻擊者的攻擊目標(biāo)。一方面，攻擊者的攻擊目標(biāo)可能針對用戶個人隱私，如竊取用戶位置、通話內(nèi)容等；另一方面，攻擊者的攻擊目標(biāo)可能針對整個國家的移動通信網(wǎng)絡(luò)，這對一個國家的信息網(wǎng)絡(luò)安全構(gòu)成巨大威脅。資源豐富的對手（如國外情報機(jī)構(gòu)、恐怖分子）可以通過利用移動通信網(wǎng)的漏洞造成嚴(yán)重破壞（如用戶位置跟蹤[1-2]）。為了保證移動通信網(wǎng)的安全和運營商、用戶合法權(quán)益，鑒權(quán)認(rèn)證機(jī)制成為保護(hù)移動通信網(wǎng)的第一道防線。

移動通信網(wǎng)通常由3部分組成，即核心網(wǎng)（CN，core network）、無線接入網(wǎng)（RAN，radio access network）和用戶設(shè)備（UE，user equipment）。其中移動用戶設(shè)備屬于用戶個人，由用戶直接控制，接入網(wǎng)與核心網(wǎng)屬于運營商，由運營商直接控制。如果用戶希望使用運營商服務(wù)和網(wǎng)絡(luò)資源，需要用戶和運營商共同協(xié)商，這就涉及鑒權(quán)認(rèn)證，判明和確認(rèn)通信雙方真實身份[3]。簡單來說，網(wǎng)絡(luò)側(cè)需要根據(jù)用戶設(shè)備中存儲的身份識別參數(shù)判定用戶是否合法，校驗這些參數(shù)的過程就是網(wǎng)絡(luò)對終端的鑒權(quán)認(rèn)證技術(shù)；同樣地，如果用戶設(shè)備需要對網(wǎng)絡(luò)鑒權(quán)，同樣需要驗證網(wǎng)絡(luò)所提供的參數(shù)。鑒權(quán)是一個詢問與響應(yīng)的過程，以保證合法用戶才能接入網(wǎng)絡(luò)，合法網(wǎng)絡(luò)才能服務(wù)用戶。

2 移動通信網(wǎng)面臨威脅與安全需求

自無線通信系統(tǒng)誕生以來，移動通信網(wǎng)就不斷遭受各種安全問題的襲擾。最早的模擬通信系統(tǒng)基本沒有采用任何安全技術(shù)，直接后果就是安全問題頻出，竊聽用戶通話和運營商網(wǎng)絡(luò)被盜用現(xiàn)象屢見不鮮。第二代（2G）移動通信技術(shù)雖然增加了一些安全措施，但是其安全形勢并沒有得到根本性改變[4]，在隨后的第三代（3G）移動通信、第四代（4G）移動通信技術(shù)也都不斷被爆出安全問題[5-8]，甚至在剛剛完成第一階段標(biāo)準(zhǔn)的第五代（5G）移動通信系統(tǒng)，也被分析出實際標(biāo)準(zhǔn)未達(dá)到其設(shè)想的安全需要的情況[9]。移動通信網(wǎng)必須利用空中無線信道進(jìn)行信息傳輸，而該信道是開放的，只要攻擊者運行安裝合適協(xié)議棧的天線就可以接收信息。不僅如此，由于整個空口協(xié)議體系異常復(fù)雜，出于性能和可用性等考慮，該協(xié)議體系可能存在安全漏洞，這就降低了移動通信網(wǎng)的安全性。在智能手機(jī)興起之后，各類應(yīng)用軟件層出不窮，而終端存儲著海量用戶信息和瀏覽數(shù)據(jù)，這些軟件很容易受到安全問題的困擾，因此，移動通信網(wǎng)絡(luò)關(guān)乎用戶的隱私甚至生命財產(chǎn)安全。具體來說，移動通信網(wǎng)所面臨的威脅主要包括以下幾個方面。

1) 竊聽。無線接入網(wǎng)是移動通信網(wǎng)的根基，它形成了用戶和運營商核心網(wǎng)的通路，但這條空中無線信道卻由于其開放性而極易被攻擊者竊聽。一方面，攻擊者可以利用空口協(xié)議上的漏洞直接獲得空口信道上傳輸?shù)男畔ⅲ硪环矫妫`聽者即使不能直接解碼消息內(nèi)容，也可以在獲得消息源和目的地址后，通過信道中消息流推測通信內(nèi)容[10-11]，這種攻擊方式通常被稱為流量分析。

2) 信息篡改。信息篡改是指攻擊者先修改或者刪除信息的部分甚至全部內(nèi)容，然后將修改后的內(nèi)容發(fā)送給信息原本的接收方。移動通信網(wǎng)絡(luò)中傳遞的消息需要在核心網(wǎng)和接入網(wǎng)基站之間進(jìn)行轉(zhuǎn)發(fā)，在這個過程中，攻擊者也可能篡改信息[12-13]。此外，在無線信道上，攻擊者通過設(shè)立偽基站使受害者設(shè)備附著，然后將偽基站連接合法基站，用戶所有消息均經(jīng)過攻擊者設(shè)備，攻擊者便可以篡改其中傳輸?shù)挠脩粜畔ⅰ?/p>

3) 假冒攻擊。假冒攻擊是指攻擊者通過一定的技術(shù)手段竊取真實用戶身份信息，并使用該信息在運營商網(wǎng)絡(luò)成功注冊，進(jìn)而接入合法網(wǎng)絡(luò)，隨后攻擊者在合法網(wǎng)絡(luò)中以受害者身份活動。在竊取合法用戶身份信息時，攻擊者首先假冒網(wǎng)絡(luò)控制中心騙取用戶接入，隨后運行鑒權(quán)協(xié)議獲取用戶的身份信息[14]。

4) 服務(wù)后抵賴。服務(wù)后抵賴是指交易完成后，交易其中一方否認(rèn)參與過該交易[15]。

5) 重放攻擊。攻擊者將截獲的正常消息再次發(fā)送給信息原本的接收者，盡管情形已經(jīng)發(fā)生變化，攻擊者通過一定技術(shù)手段使最終結(jié)果與信息失效前相同[16-18]。

6) 惡意代碼。移動終端需要運行相應(yīng)的操作系統(tǒng)，倘若攻擊者利用操作系統(tǒng)漏洞注入惡意代碼，則攻擊者可以隨意地控制設(shè)備而不被用戶察覺，甚至有時用戶安裝的應(yīng)用軟件也會非法獲取用戶終端權(quán)限，用以搜集用戶隱私數(shù)據(jù)或者竊取賬號密碼[19-20]。

面對以上種種威脅，移動通信網(wǎng)安全研究人員試圖通過種種技術(shù)手段以提高其安全性，尤其是針對移動用戶終端設(shè)備和網(wǎng)絡(luò)之間的鑒權(quán)過程，空口數(shù)據(jù)根據(jù)實際網(wǎng)絡(luò)情況，可以抽象出以下幾個方面的安全需求[15]。

1) 用戶身份的隱蔽性。在2G、3G、4G網(wǎng)絡(luò)中，每個使用運營商服務(wù)的移動終端都有唯一且固定的身份標(biāo)識——國際移動用戶識別號（IMSI，international mobile subscriber identification number），但在有些場景下用戶終端以明文消息給網(wǎng)絡(luò)發(fā)送自身IMSI，若這一性質(zhì)被攻擊者利用就會導(dǎo)致用戶IMSI被非法獲取。

2) 雙向鑒權(quán)。在GSM通信系統(tǒng)中，只有網(wǎng)絡(luò)對用戶的鑒權(quán)，而沒有用戶對網(wǎng)絡(luò)的鑒權(quán)，這導(dǎo)致攻擊者可以偽冒運營商網(wǎng)絡(luò)欺騙合法用戶，因此還需要增加用戶對網(wǎng)絡(luò)鑒權(quán)，這樣才能避免偽基站等非法網(wǎng)絡(luò)欺騙合法用戶。

3) 機(jī)密性。以往的移動通信網(wǎng)絡(luò)往往采用計算復(fù)雜度較小的對稱加密算法，然而對稱加密算法有一個天然缺陷，那就是通信雙方在協(xié)商完密鑰之前必須明文傳遞信息，這些明文信息經(jīng)常被攻擊者利用。如今，移動終端的計算能力大大提升，足以滿足非對稱加密算法的計算要求。5G鑒權(quán)認(rèn)證機(jī)制使用了ECC非對稱加密算法，以防止歷代網(wǎng)絡(luò)中的IMSI 捕獲攻擊，此外在3G、4G、5G網(wǎng)絡(luò)中使用的其他加密算法還有SNOW、AES、ZUC等[21]。

4) 完整性保護(hù)。信息完整性是指系統(tǒng)中信息的完整和真實可信，防止攻擊者對系統(tǒng)中數(shù)據(jù)的非法刪除、更改、復(fù)制和破壞。攻擊者通過中斷、竊取、篡改和偽造系統(tǒng)信息應(yīng)有的特性或狀態(tài)來破壞系統(tǒng)信息完整性，目前主要通過訪問控制技術(shù)保證信息完整性[22]。

5) 新鮮性。新鮮性主要是用來防止重放攻擊，一般采用同步機(jī)制，如時間戳、同步序列（SQN，sequence number）等方式保證新鮮性[23]。

6) 不可抵賴性。不可抵賴性主要是防止消息發(fā)送方和接收方對自己發(fā)送或接收行為的否認(rèn)，采用的技術(shù)手段一般是數(shù)字簽名、簽收機(jī)制等。

以上安全需求是保證移動通信網(wǎng)安全的基本需求，在每一代移動通信網(wǎng)標(biāo)準(zhǔn)制定之時都需要保證上述需求得到滿足，否則會導(dǎo)致被攻擊者利用的漏洞。這些安全需求也為移動通信安全技術(shù)發(fā)展指明了方向。隨著社會的發(fā)展，人們會越來越關(guān)注移動通信網(wǎng)的安全問題，這些問題必須得到移動通信網(wǎng)研發(fā)人員的關(guān)注。針對這些安全需求，當(dāng)前商用的移動通信系統(tǒng)還有很大的提升空間。

3 歷代通信網(wǎng)的鑒權(quán)技術(shù)

縱觀歷代移動通信網(wǎng)鑒權(quán)技術(shù)，從鑒權(quán)方向上可以分為兩大類：單向鑒權(quán)和雙向鑒權(quán)。其中，單向鑒權(quán)是指網(wǎng)絡(luò)對用戶的鑒權(quán)，用戶不對網(wǎng)絡(luò)進(jìn)行鑒權(quán)；雙向鑒權(quán)是指用戶和網(wǎng)絡(luò)相互鑒權(quán)。本節(jié)對這兩類鑒權(quán)技術(shù)分別介紹。

3.1 單向鑒權(quán)

單向鑒權(quán)主要在第二代移動通信系統(tǒng)中使用，2G主要包括基于GSM09.02 MAP的泛歐數(shù)字移動通信系統(tǒng)（GSM, global system for mobile communications）和基于IS-41 MAP的北美數(shù)字移動通信系統(tǒng)，如碼分多址（CDMA，code division multiple access），它們各成一派，形成了兩大有代表性的用戶鑒權(quán)技術(shù)體系[24]。

3.1.1 GSM系統(tǒng)鑒權(quán)

在第一代模擬通信系統(tǒng)中，由于幾乎沒有安全機(jī)制保護(hù)，用戶通話被竊聽、號碼被盜用、通信資源被竊取等安全問題層出不窮，嚴(yán)重?fù)p害了合法用戶和運營商權(quán)益，加上模擬通信的服務(wù)能力限制，第二代移動通信技術(shù)應(yīng)運而生。相比第一代模擬通信，采用數(shù)字通信的第二代通信系統(tǒng)增加了許多安全能力，這使2G成為當(dāng)時最安全的移動通信系統(tǒng)，2G系統(tǒng)所采取的保密措施主要有4種：防止空口信息被攻擊者竊聽的加解密技術(shù)；防止未授權(quán)用戶非法接入的鑒權(quán)認(rèn)證技術(shù)；防止攻擊者竊取用戶身份標(biāo)識碼和位置信息的臨時移動用戶身份更新技術(shù)；防止過期合法用戶移動終端在網(wǎng)絡(luò)中繼續(xù)使用的設(shè)備認(rèn)證技術(shù)[25]。鑒權(quán)認(rèn)證技術(shù)就是防止未授權(quán)的用戶接入GSM系統(tǒng)，其基本原理是在用戶和網(wǎng)絡(luò)之間運行鑒權(quán)和密鑰協(xié)商協(xié)議，當(dāng)移動終端訪問拜訪位置寄存器（VLR，visitor location register）時，網(wǎng)絡(luò)對用戶的身份進(jìn)行鑒別。

第二代移動通信網(wǎng)中最常見的鑒權(quán)發(fā)生在用戶和基站之間，GSM系統(tǒng)中鑒權(quán)規(guī)程在GSM09.02 MAP中定義。簡要過程如下：當(dāng)移動終端在拜訪地期望連接網(wǎng)絡(luò)時，終端便向拜訪地網(wǎng)絡(luò)發(fā)起鑒權(quán)請求，VLR將該請求轉(zhuǎn)發(fā)給歸屬地位置寄存器（HLR，home location register），歸屬地核心網(wǎng)收到請求后，基站首先產(chǎn)生一個隨機(jī)數(shù)（RAND，random number），然后使用加密算法A3和A8將這個隨機(jī)數(shù)和根密鑰一起計算得出期望的鑒權(quán)響應(yīng)號（SRES，signed response），同時基站把這個隨機(jī)數(shù)發(fā)送給終端，上述過程在鑒權(quán)中心（AUC，authentication center）完成。在終端側(cè)，用戶設(shè)備根據(jù)收到的RAND，并結(jié)合IMSI計算出鑒權(quán)響應(yīng)號SRES。隨后終端將SRES通過空中信道發(fā)送給基站，基站將用戶發(fā)送的鑒權(quán)響應(yīng)號SRES和核心網(wǎng)計算得到的鑒權(quán)響應(yīng)號進(jìn)行比對。若二者一致，則鑒權(quán)成功，否則鑒權(quán)失敗[26]。整個鑒權(quán)過程如圖1所示。

3.1.2 CDMA系統(tǒng)鑒權(quán)

CDMA系統(tǒng)的鑒權(quán)流程在IS-41 MAP中被詳細(xì)定義。當(dāng)移動終端進(jìn)入一個新的基站子系統(tǒng)（BSS，base station subsystem）時，它將收到新的OMT（Overhead Message Train）基站系統(tǒng)廣播消息，用戶設(shè)備據(jù)此判斷自己是否需要重新鑒權(quán)。此時，移動終端也會收到由無線基站控制器（BSC，base station controller）生成鑒權(quán)隨機(jī)數(shù)RAND，移動終端將收到的RAND值保存，在隨后的鑒權(quán)驗證值A(chǔ)UTHx生成時可以使用。CDMA系統(tǒng)中用于移動臺鑒權(quán)的密碼分為兩級；第一級為移動臺的密鑰A_Key，第二級為共享加密數(shù)據(jù)（SSD，shared secret data）。密鑰A_Key是高級密碼，長度為64 bit，由運營商分配，它和IMSI一同被寫入移動終端永久性存儲器中。同時，運營商核心網(wǎng)存儲該用戶的IMSI和對應(yīng)的A_Key。該密鑰是永久性的，不在網(wǎng)絡(luò)和空中信道上傳播。SSD是低級密碼，長為128 bit（分為SSD_A為64 bit和SSD_B為64 bit），它由A_Key運算產(chǎn)生，存在于移動臺、鑒權(quán)中心和拜訪者位置寄存器[27]。在鑒權(quán)過程中，核心網(wǎng)使用RAND和SSD_A計算出期望的響應(yīng)AUTHx，倘若移動終端計算的AUTHx（用RAND和SSD_A計算所得）和核心網(wǎng)計算的 AUTHx相同，則鑒權(quán)成功，攻擊者因沒有正確有效的SSD值，無法計算得到核心網(wǎng)所期望的AUTHx值導(dǎo)致鑒權(quán)失敗[28-30]。

圖1 GSM系統(tǒng)的鑒權(quán)過程

3.2 雙向鑒權(quán)

3.2.1 UMTS系統(tǒng)鑒權(quán)

傳統(tǒng)的GSM網(wǎng)絡(luò)沒有專門針對信令、語音和用戶數(shù)據(jù)提供獨立的完整性保護(hù)[31-33]，這是由于在通信系統(tǒng)設(shè)計之初，人們重點考慮的是語音的傳輸，涉及的主要安全問題是空口信息傳輸時如何防止語音信息被竊聽、用戶信息被泄露，并未充分考慮對信息篡改或者偽造等問題的防護(hù)。因此對于信息可能被篡改的攻擊，GSM系統(tǒng)并未設(shè)計獨立的完整性保護(hù)算法，而是通過在使用加密的方式同時實現(xiàn)對信息的完整性保護(hù)，即通過加密的方式，使攻擊者無法獲知明文，進(jìn)而無法對密文進(jìn)行修改。此外，GSM系統(tǒng)用戶極易被攻擊者跟蹤，而且攻擊者只需要采取簡單的措施就可以偷聽用戶的電話。2G中的VoIP為運營商降低運營成本的同時，極大地增加了安全隱患，基于開放式標(biāo)準(zhǔn)的VoIP系統(tǒng)流量沒有采取加密措施，攻擊者可以輕易地偷聽、攔截和偽造呼叫語音信息。如上所述，GSM系統(tǒng)所采用的單向鑒權(quán)只有網(wǎng)絡(luò)對終端的鑒權(quán)，沒有終端對網(wǎng)絡(luò)的鑒權(quán)，并且加密功能是否開啟完全由網(wǎng)絡(luò)側(cè)決定。由于GSM協(xié)議的缺省版本并不采用加密技術(shù)，無法對基站進(jìn)行甄別，最終造成了潛在的威脅。比較典型的有中間人攻擊，一般過程如下：攻擊者在用戶終端和真基站之間安裝假冒基站，從而形成自己的小區(qū)，一般攻擊者基站的功率較大，移動終端自動地向功率較大的基站發(fā)送附著請求，這便暴露了自己的IMSI。隨后，攻擊者偵聽設(shè)備冒充目標(biāo)終端向運營商真實網(wǎng)絡(luò)側(cè)發(fā)起注冊請求，在這個過程中，把網(wǎng)絡(luò)下發(fā)的RAND轉(zhuǎn)給受害者移動終端，并把終端返回的SRES轉(zhuǎn)給網(wǎng)絡(luò)，這就完成了鑒權(quán)認(rèn)證流程，完成鑒權(quán)后假基站截取終端和真基站之間的通信，而真基站和受害者終端都無法察覺[34]。此外，2G通信系統(tǒng)中只有空口信息被加密，空口消息加密密鑰長度只有64 bit，目前這種長度的密鑰已不安全[35]，核心網(wǎng)內(nèi)部以及拜訪地網(wǎng)絡(luò)和歸屬地網(wǎng)絡(luò)之間傳輸?shù)南⑷允敲魑牡模@也增加了網(wǎng)絡(luò)安全風(fēng)險。

3G對2G安全性進(jìn)行了改進(jìn)，為了防止攻擊者偽造網(wǎng)絡(luò)，3G通信系統(tǒng)增加了用戶對網(wǎng)絡(luò)的鑒權(quán)，這一特性是在鑒權(quán)和密鑰協(xié)商協(xié)議中實現(xiàn)的，在此過程中也實現(xiàn)了加密算法協(xié)商和完整性密鑰協(xié)商。通過實現(xiàn)算法協(xié)商，增加了系統(tǒng)的靈活性，使不同的運營商之間只要支持一種相同的UEA/UIA就可以跨網(wǎng)通信。3G網(wǎng)絡(luò)認(rèn)證向量中的認(rèn)證令牌（AUTN，authentication token）包含了一個序列號，該序列號可以使用戶免受重傳攻擊，但可能會暴露用戶的身份和位置信息，因此采用匿名密鑰（AK，anonymity key）在AUTN中隱藏序列號。

在3G系統(tǒng)中，鑒權(quán)認(rèn)證思想可以簡單地概括為：SGSN/VLR 接收到來自移動臺（MS，moving station）的響應(yīng)RES后，將比較移動臺RES與認(rèn)證向量（AV，authentication vector）中的XRES，若一致則鑒權(quán)成功，否則鑒權(quán)失敗[36]。

具體來說，UMTS 系統(tǒng)中的鑒權(quán)過程如下。

1) 鑒權(quán)五元組生成：首先移動臺拜訪地網(wǎng)絡(luò)發(fā)出接入請求，拜訪地網(wǎng)絡(luò)將該請求傳送到歸屬地網(wǎng)絡(luò)，歸屬地網(wǎng)絡(luò)中的HLR/AuC生成鑒權(quán)向量，該向量由五元組（RAND，XRES，CK，IK，AUTN）構(gòu)成。其中，RAND是隨機(jī)數(shù)，XRES是期望的響應(yīng)，CK是機(jī)密性密鑰，IK是完整性密鑰，AUTN是鑒權(quán)令牌。

2) 歸屬地網(wǎng)絡(luò)將鑒權(quán)向量發(fā)送到用戶設(shè)備所在的拜訪地網(wǎng)絡(luò)。

3) 拜訪地網(wǎng)絡(luò)從收到的鑒權(quán)向量中選擇一個，發(fā)送 RAND ()、AUTN()到用戶。

4) 用戶側(cè)再檢查AUTN ()可否接受，隨后計算消息認(rèn)證碼XMAC，并與AUTN中的消息認(rèn)證碼（MAC，message authentication code)比較，若不同則放棄認(rèn)證過程。同時 MS 要核驗 SQN 是否在有效的范圍內(nèi)，若不在則MS放棄認(rèn)證過程，這實際上是用戶終端對網(wǎng)絡(luò)的鑒權(quán)過程。

5) 當(dāng)以上驗證步驟成功，終端產(chǎn)生響應(yīng)RES()送回拜訪地網(wǎng)絡(luò)VLR/SGSN，拜訪地網(wǎng)絡(luò)比較RES()和XRES()，若一致則鑒權(quán)通過，否則鑒權(quán)失敗。在鑒權(quán)成功后終端USIM卡同時CK和IK，用于在空中接口加密和完整性保護(hù)。

完整的鑒權(quán)過程如圖2所示。

3.2.2 LTE系統(tǒng)鑒權(quán)

相比3G，長期演進(jìn)（LTE，long term evolution）簡化了網(wǎng)絡(luò)架構(gòu)，采用eNB單層結(jié)構(gòu)，實現(xiàn)了低復(fù)雜度和低時延的要求。雖然3G網(wǎng)絡(luò)是在2G基礎(chǔ)上的演進(jìn)，解決了許多2G網(wǎng)絡(luò)中存在的安全問題（如單向鑒權(quán)），但隨著時間的推移，3G網(wǎng)絡(luò)暴露出了許多安全問題，具體有以下幾類。

1) 3G鑒權(quán)認(rèn)證過程中雖然增加了終端對網(wǎng)絡(luò)的認(rèn)證，但僅對歸屬地網(wǎng)絡(luò)HLR進(jìn)行認(rèn)證，并沒有認(rèn)證拜訪地網(wǎng)絡(luò)VLR，利用這一漏洞攻擊者就可以在空口截獲合法的IMSI進(jìn)行攻擊。

2) 3G網(wǎng)絡(luò)沒有對網(wǎng)絡(luò)內(nèi)部的通信鏈路進(jìn)行保護(hù)，攻擊者在VLR和HLR之間的通信鏈路上嗅探鑒權(quán)向量AV，從而獲得CK和IK。

3) 3G AKA也暴露出一些隱私問題，如攻擊者通過重放預(yù)先截獲某用戶的認(rèn)證令牌（AUTN），借助3G AKA對消息鑒權(quán)碼（MAC，message authentication code）校驗失敗和同步失敗的提示不同，判斷該特定用戶是否在當(dāng)前小區(qū)內(nèi)[37]。

總之，3G系統(tǒng)的安全性有一個前提：整個網(wǎng)絡(luò)內(nèi)部是可信的。鑒于3G網(wǎng)絡(luò)安全機(jī)制的漏洞，LTE網(wǎng)絡(luò)建立了分層安全機(jī)制。即LTE將安全在接入層（AS，access stratum）和非接入層（NAS，non-access stratum）信令之間分離，空口和核心網(wǎng)都有各自的密鑰。第一層為E-UTRAN中的無線資源控制（RRC，radio resource control）層安全和用戶層安全，第二層是演進(jìn)分組核心網(wǎng)（EPC，evolved packet core）中的NAS信令安全，如圖3所示[38]。

圖3 LTE安全層次

鑒權(quán)數(shù)據(jù)分發(fā)過程闡述如下：MME向歸屬地環(huán)境（HE，home environment）發(fā)送攜帶有IMSI的鑒權(quán)數(shù)據(jù)請求消息[39]，HE利用IMSI找到與之對應(yīng)的根密鑰，并計算出鑒權(quán)向量。同3G網(wǎng)絡(luò)不同，LTE網(wǎng)絡(luò)鑒權(quán)向量是四元組，即（RAND，AUTN，XRES，KASME）[40]。鑒權(quán)向量生成過程如圖4所示，K、AMF、SQN和 RAND通過f1[41]算法計算得出MAC，K和 RAND通過f2[41]算法計算得出XRES，KASME由CK和IK計算得到，IK、CK的計算過程類似。

圖4 LTE鑒權(quán)向量生成

MME接收到鑒權(quán)向量后，將鑒權(quán)向量中的RAND、AUTN和KSlasme發(fā)送給UE[42-43]，USIM中用戶鑒權(quán)參數(shù)生成過程如圖5所示。UE接收到鑒權(quán)請求消息后，通過f5[41]和f1算法計算出 XMAC，并將計算結(jié)果與AUTN中的MAC進(jìn)行比較，若二者一致則網(wǎng)絡(luò)合法，否則網(wǎng)絡(luò)非法。同時，UE通過檢驗SQN是否在有效的范圍內(nèi)判斷其是否合法，用以防范重放攻擊。若上述兩項驗證均成功，則UE使用K和 RAND通過f2算法計算出RES，并將RES通過鑒權(quán)響應(yīng)消息發(fā)送給MME，MME將接收到的RES與鑒權(quán)向量中的XRES 進(jìn)行比較，若一致則鑒權(quán)成功，否則鑒權(quán)失敗。因此，4G系統(tǒng)的鑒權(quán)也是雙向鑒權(quán)的。

圖5 USIM中用戶鑒權(quán)處理

在上述鑒權(quán)過程完成后還要進(jìn)行密鑰協(xié)商，USIM使用永久密鑰K和隨機(jī)數(shù)RAND分別通過f3和f4[41]算法計算出CK、IK，UE利用CK、IK綁定服務(wù)網(wǎng)絡(luò)標(biāo)識并計算出KASME，并將其與KSlasme對應(yīng)起來存儲。經(jīng)過上述過程后，網(wǎng)絡(luò)和UE之間完成了雙向鑒權(quán)，并共享密鑰KASME，該密鑰可以在隨后用來計算NAS層密鑰和AS層密鑰。

4 5G系統(tǒng)鑒權(quán)分析

4.1 上一代鑒權(quán)認(rèn)證技術(shù)不足

雖然LTE系統(tǒng)的安全層次和密鑰管理機(jī)制相比3G系統(tǒng)有了很大改進(jìn)，但是仍存在3個方面的安全問題。

一是密鑰安全體系仍然不夠完善。LTE系統(tǒng)用戶鑒權(quán)和密鑰協(xié)商機(jī)制采用分層的密鑰體系，即根密鑰K是永久性根密鑰，機(jī)密性密鑰CK和完整性保護(hù)密鑰IK是鑒權(quán)中心AuC和USIM卡在AKA認(rèn)證過程中根據(jù)K和RAND協(xié)商的一對密鑰，而終端側(cè)和核心網(wǎng)側(cè)的所有中間密鑰（KeNB，KUP，KASME，KNAS）均是通過CK和IK推演得到的，由此可見，根密鑰K是LTE/SAE移動通信網(wǎng)絡(luò)整個安全體系的根基，倘若攻擊者獲得了K這個根密鑰，則整個LTE網(wǎng)絡(luò)對攻擊者而言就是透明的。攻擊者可以采用主動攻擊手段攻擊eNB，也可以采用被動攻擊手段在空中信道竊聽核心網(wǎng)發(fā)送的鑒權(quán)向量和用戶終端發(fā)送的響應(yīng)RES。而根密鑰K是保持不變的，攻擊者通過學(xué)習(xí)大量的鑒權(quán)參數(shù)樣本就可以進(jìn)行猜測攻擊[44]。

二是存在密碼體制的局限性，LTE網(wǎng)絡(luò)采用對稱密碼體制。雖然對稱密碼體制具有安全性能高、算法處理速度快的優(yōu)點，但在密鑰協(xié)商完成之前，網(wǎng)絡(luò)和UE必須以明文傳遞消息，這直接導(dǎo)致了鑒權(quán)認(rèn)證之前的信令不能被有效保護(hù)，故在2G、3G、4G通信系統(tǒng)中一直存在IMSI catcher問題。這是對稱密碼體制的天然缺陷所導(dǎo)致的、而非對稱密碼體制能夠有效解決的一問題。

IMSI catcher問題、就是攻擊者利用各種無線電工具進(jìn)行鑒權(quán)信令截獲和重傳，在此過程中獲取合法用戶真實身份IMSI。為了防止用戶位置被跟蹤，LTE系統(tǒng)平時傳遞數(shù)據(jù)都是使用臨時移動用戶身份標(biāo)識（TMSI，temporary mobile subscriber identity），移動終端只有在2種特殊的場景下發(fā)送自己的IMSI。第一種場景是被動偵聽。當(dāng)手機(jī)正常開機(jī)接入網(wǎng)絡(luò)時，先從USIM中讀取之前運營商分配的臨時身份信息，將攜帶該信息的信令發(fā)送給基站，請求接入運營商網(wǎng)絡(luò)。基站收到該消息后轉(zhuǎn)發(fā)給核心網(wǎng)的移動性管理實體（MME，mobility management entity），若MME中可以查詢到GUTI/TMSI對應(yīng)的真實身份，則允許手機(jī)接入。若MME查詢不到，則核心網(wǎng)需要重新對手機(jī)發(fā)起真實身份核驗的請求“Identity Request”消息，即要求手機(jī)提供真實身份IMSI。這種情形常常發(fā)生在手機(jī)首次入網(wǎng)或手機(jī)移動到其他MME覆蓋范圍后，MME無法從核心網(wǎng)數(shù)據(jù)庫中查詢到手機(jī)的TMSI，故需要手機(jī)上報自己的真實身份，此時攻擊者只需在空口采取被動監(jiān)聽就可以捕獲手機(jī)的IMSI。第二種場景是主動獲取。由于手機(jī)主動選擇信號強度最強的基站進(jìn)行附著操作，偽基站通過發(fā)射比真實基站信號強度高的無線信號，使受害者手機(jī)主動附著在偽基站上，之后強行給連接過來的手機(jī)發(fā)送身份驗證請求消息“Identity Request”，手機(jī)便將真實身份IMSI上報給偽基站。此時主動攻擊者只需要打開偽基站，不停地發(fā)送“Identity Request”消息就可以不斷獲取周圍小區(qū)內(nèi)手機(jī)的真實身份IMSI。比較有名的一款I(lǐng)MSI Catcher工具叫黃貂魚（Stingray），Stingray是一款同時具有被動監(jiān)聽（如監(jiān)聽、數(shù)據(jù)分析）和主動攻擊（如構(gòu)造偽基站）的IMSI Catcher。該設(shè)備輕巧便攜，還可以測繪基站的分布情況，自行進(jìn)行數(shù)據(jù)分析，監(jiān)聽通信內(nèi)容，追蹤目標(biāo)手機(jī)位置，進(jìn)行DDoS攻擊等[45-46]。

三是eNB安全問題。3GPP認(rèn)為若eNB被部署在不安全環(huán)境中，eNB面臨的一個很大的安全問題是攻擊者直接非法占領(lǐng)控制該eNB，由于目標(biāo)eNB的密鑰KeNB可以經(jīng)源eNB上的密鑰KeNB推演得到，倘若攻擊者控制了源eNB，就可以推演得到目標(biāo)eNB的密鑰KeNB，導(dǎo)致威脅逐步擴(kuò)散。那么當(dāng)用戶終端跨小區(qū)切換時終端密鑰不具備用戶設(shè)備切換時，接入層密鑰（KeNB）更新不具備后向安全性[44]。

4.2 5G系統(tǒng)鑒權(quán)

2018年6月，在3GPP第80次全會上5G獨立組網(wǎng)（SA，stand alone）標(biāo)準(zhǔn)凍結(jié)，這是5G標(biāo)準(zhǔn)的第一個完整版本，在此前的2017年12月3GPP第78次全會上凍結(jié)了5G非獨立組網(wǎng)（NSA，non-stand alone）的新空口（NR，new radio）標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中對5G鑒權(quán)方案進(jìn)行了明確。其中，針對4G網(wǎng)絡(luò)鑒權(quán)中存在的安全問題，5G鑒權(quán)方案專門做了修正，最典型的就是使用公私鑰加密體制防止IMSI被捕獲。手機(jī)的真實身份在5G中稱為SUPI（subscription permanent identifier）（類似于IMSI），通過公鑰加密后的密文稱為SUCI（subscription concealed identifier），SUCI傳送給基站后，基站直接上傳至核心網(wǎng)，大致的流程如圖6所示[21,47]。

5G系統(tǒng)有2種鑒權(quán)認(rèn)證協(xié)議，分別為5G AKA和EAP-AKA'。EAP-AKA'與5G AKA非常相似：它們依賴于相同的安全機(jī)制，如K作為共享秘密的挑戰(zhàn)響應(yīng)，SQN用于重放攻擊保護(hù)，并使用類似的加密消息。主要區(qū)別是一些具體流程和一些關(guān)鍵的派生函數(shù)略有改變，這里主要介紹采用5G AKA協(xié)議進(jìn)行鑒權(quán)認(rèn)證。當(dāng)服務(wù)網(wǎng)絡(luò)（SN，serving network）觸發(fā)了與用戶的認(rèn)證，用戶終端就會發(fā)送SUPI的隨機(jī)加密：SUCI =?aenc（?SUPI，Rs?，pkHN），idHN?，其中，aenc（·）表示非對稱加密，Rs是隨機(jī)數(shù)，而idHN唯一地標(biāo)識為歸屬地網(wǎng)絡(luò)（HN，home network）。標(biāo)識符idHN使SN能夠從合適的HN請求認(rèn)證資料。在接收到SUCI以及SN的身份（稱為SNname）時，HN可以檢索SUPI、用戶的身份，并選擇認(rèn)證方法。請注意，SUPI還包含idHN，因此標(biāo)識用戶及其HN。如前所述，密鑰K用作長期共享密鑰，SQN為用戶提供重放保護(hù)。雖然SQN應(yīng)該在用戶和HN之間同步，但可能發(fā)生不同步（如由于消息丟失），因此，使用SQNUE（分別為SQNHN）指代存儲在UE（分別為HN）中的SQN值。5G-AKA協(xié)議包括2個主要階段：質(zhì)詢?響應(yīng)和可選的重新同步流程（在SQN不同步的情況下更新HN側(cè)的SQN）。

圖6 5G AKA鑒權(quán)過程

第一階段是質(zhì)詢?響應(yīng)。在收到鑒權(quán)認(rèn)證請求后，HN從以下參數(shù)構(gòu)建認(rèn)證質(zhì)詢：隨機(jī)數(shù)R（即challenge）、AUTN（證明挑戰(zhàn)的新鮮度和真實性）、HXRES *（SN期望的對challenge的響應(yīng)）、KSEAF（用以用戶和SN安全信道的建立）。函數(shù)f1～f5用于計算身份驗證參數(shù)，是單向密鑰加密函數(shù)，這些函數(shù)彼此完全無關(guān)，⊕表示異或。Challenge（·）和KeySeed（·）是復(fù)雜的密鑰衍生函數(shù)（KDF，key derivation function），AUTN包含R的串聯(lián)消息認(rèn)證碼（MAC），其具有為該用戶存儲的相應(yīng)序列號SQNHN，SQNHN的值通過遞增計數(shù)器生成。序列號SQNHN的作用是允許用戶驗證認(rèn)證請求的新鮮度以防止重放攻擊，并且MAC證明了challenge的真實性。HN不會將質(zhì)詢的完整響應(yīng)RES *發(fā)送給SN，而只發(fā)送其中的散列值，這是出于保護(hù)用戶信息的目的。因為HN對SN并不是完全信任的，如果SN被攻擊者控制，則HN發(fā)送完整的RES *會泄露用戶信息。

SN存儲KSEAF和challenge的預(yù)期響應(yīng)，然后將challenge轉(zhuǎn)發(fā)給用戶。收到挑戰(zhàn)后，用戶首先檢查其真實性和新鮮度。為此，用戶從AUTN中提取xSQNHN和MAC并檢查。

1) MAC是否是相對于K的正確MAC值，如果不是，則回復(fù)MAC校驗失敗消息'Mac_failure'。

2) 認(rèn)證請求是否新鮮，即SQNUE（AUTS在下面的重新同步過程中解釋）。

如果所有檢查都通過，則用戶計算密鑰KSEAF，用于保護(hù)后續(xù)消息，它還計算認(rèn)證響應(yīng)RES*并將其發(fā)送到SN。SN檢查該響應(yīng)是否符合預(yù)期，并轉(zhuǎn)發(fā)給驗證它的HN。如果此驗證成功，則HN向SN確認(rèn)認(rèn)證成功并將SUPI發(fā)送到SN，并且使用密鑰KSEAF保護(hù)SN和用戶之間的后續(xù)通信。

在同步失敗的情況下（情況2）），用戶回復(fù)<'Sync_failure'，AUTS>，還要發(fā)起重新同步流程。AUTS消息使HN能夠通過用戶SQNUE的序列號替換它自己的SQNHN來與用戶重新同步，但SQNUE不會以明文形式傳輸，以避免被竊聽。因此，該規(guī)范要求隱藏SQN，即它與一個值保持私有的異或：AK * = f5 *（K，R）。形式上，隱藏值是CONC * =SQNUE⊕AK*，它允許HN通過計算AK *來提取SQNUE。請注意，f5 *和f1 *是獨立的單向密鑰加密函數(shù)，與函數(shù)f1~f5完全無關(guān)。最后，AUTS =?CONC*，MAC *?，其中，MAC * = f1 *（K，?SQNUE，R?），允許HN將該消息認(rèn)證為來自預(yù)期用戶。

目前，3GPP標(biāo)準(zhǔn)中已經(jīng)明確了以下內(nèi)容：手機(jī)端用來加密SUPI的公鑰存放在UICC的USIM中；SUCI的解密算法（SIDF）只被執(zhí)行一次，放置在核心網(wǎng)的UDM中；當(dāng)手機(jī)臨時身份GUTI無法識別時，由接入和移動性管理網(wǎng)元（AMF，access and mobility management function）向手機(jī)發(fā)起Identity Request請求；若手機(jī)在注冊緊急服務(wù)時收到Identity Request發(fā)送Null-Scheme的SUCI，即不加密的SUPI；由AMF負(fù)責(zé)配置發(fā)送手機(jī)的5G-GUTI；SUCI的生成算法可以采用橢圓曲線集成加密方案（ECIES，elliptic curve integrate encrypt scheme）[48]，運營商也可以根據(jù)自己需求自擬方案，甚至可以采用Null-Scheme。

圖7 網(wǎng)絡(luò)側(cè)對終端的驗證方案

5G鑒權(quán)方案中，通過公私鑰方案將SUPI加密為SUCI是一個亮點，它有效地避免了用戶真實身份SUPI在空口傳播。在圖7和圖8中可以看到兩對密鑰對，一對是終端側(cè)產(chǎn)生的公鑰Eph. public key和私鑰Eph. private key，另外一對是運營商網(wǎng)絡(luò)產(chǎn)生的，終端側(cè)有網(wǎng)絡(luò)側(cè)產(chǎn)生的公鑰固定存放在USIM中，網(wǎng)絡(luò)側(cè)存有用戶終端產(chǎn)生的公鑰（由終端發(fā)送給網(wǎng)絡(luò)），這兩對密鑰均采用橢圓曲線加密（ECC）算法生成。圖8給出UE側(cè)將SUPI加密為SUCI的方案，首先終端生成的私鑰與網(wǎng)絡(luò)提供的公鑰結(jié)合，派生出一對用來加密的原始密鑰Eph.shared key，隨后據(jù)此派生出加密的主密鑰，取高有效位對SUPI進(jìn)行對稱加密得到SUCI；而低有效位對所有的有用信息進(jìn)行完整性保護(hù)，如包含終端參數(shù)等。所以最后終端發(fā)出的消息包括終端生成的公鑰、SUCI和終端參數(shù)等系列信息。

圖8為網(wǎng)絡(luò)側(cè)對終端身份進(jìn)行驗證的方案。網(wǎng)絡(luò)側(cè)采用私鑰（private key of HN）與終端所發(fā)送的公鑰（Eph.public key of UE）組合成密鑰Eph.shared key，隨后據(jù)此派生出主密鑰master key。但這里與終端加密SUPI稍有不同，網(wǎng)絡(luò)側(cè)先利用密鑰的低有效位進(jìn)行消息完整性校驗，若消息經(jīng)過攻擊者篡改，則該步驟的驗證無法通過。只有當(dāng)驗證通過后，才會進(jìn)一步將信令消息轉(zhuǎn)發(fā)至統(tǒng)一數(shù)據(jù)管理（UDM，unified data management）網(wǎng)元，UDM再調(diào)用SIDF（Subscription identifier de-concealing function）網(wǎng)元將SUCI解密得到SUPI。接下來，核心網(wǎng)根據(jù)手機(jī)的鑒權(quán)方式逐一提取對應(yīng)的鑒權(quán)密鑰與鑒權(quán)結(jié)果，直至最后將結(jié)果反饋給手機(jī)，手機(jī)端USIM校驗網(wǎng)絡(luò)側(cè)所發(fā)送鑒權(quán)結(jié)果的真?zhèn)巍?/p>

該方案可以順利通過驗證并解密得到SUPI的關(guān)鍵也是利用橢圓加密算法的特性：若終端與網(wǎng)絡(luò)側(cè)均采用同一條曲線，即橢圓曲線的參數(shù)一致（Curve25519[49]或secp256r1[50]）。而密鑰之間的乘法是橢圓曲線上的標(biāo)量乘法，終端私鑰·網(wǎng)絡(luò)公鑰=網(wǎng)絡(luò)私鑰·終端公鑰，這樣便利用兩對非對稱密鑰組合成一對對稱密鑰。

4.3 5G系統(tǒng)鑒權(quán)安全性分析

雖然符合3GPP標(biāo)準(zhǔn)的5G商用網(wǎng)絡(luò)尚未部署，但是已經(jīng)有研究人員針對現(xiàn)有5G標(biāo)準(zhǔn)進(jìn)行安全性研究[51-53]。Basin等[51]使用形式驗證工具分析5G AKA算法，并證明該協(xié)議未能滿足明確要求的若干安全目標(biāo)。該研究還表明，5G協(xié)議缺乏其他關(guān)鍵的安全屬性。這些發(fā)現(xiàn)給5G帶來了壓力，與LTE的情況不同，一旦協(xié)議被定義、實施和全球部署，大多數(shù)安全研究和由此產(chǎn)生的協(xié)議缺陷都被確定，安全研究人員正在快速推進(jìn)5G研究，盡量使標(biāo)準(zhǔn)組織在編寫規(guī)范時識別相應(yīng)漏洞。

只有全面的全球運營商都嚴(yán)格按照3GPP標(biāo)準(zhǔn)部署5G網(wǎng)絡(luò)，5G安全基礎(chǔ)架構(gòu)才具有其期望的安全性。這要求全球所有運營商無一例外地在自己所管理的SIM卡中的其他國家運營商的公鑰或證書。然而，縱觀歷代移動通信網(wǎng)部署情況，出于成本等種種原因，并非標(biāo)準(zhǔn)規(guī)定的所有安全措施都被運營商嚴(yán)格落實。這一現(xiàn)象在5G網(wǎng)絡(luò)中有可能繼續(xù)出現(xiàn)，一些運營商不會選擇實施所有5G安全功能，另一方面，5G公鑰基礎(chǔ)設(shè)施（PKI，public key infrastructure）實施的大多數(shù)實際細(xì)節(jié)明確不屬于3GPP的范圍[54]。此外，一些國家或許還將禁止其他國家或運營商的證書，因此，全球采用和嚴(yán)格實施5G安全功能的可能性極小。由于SIM卡不會為所有國家和地區(qū)的移動運營商提供公鑰或證書，因此UE /運營商有2種選擇：①明確阻止未能提供公鑰或證書的運營商接入網(wǎng)絡(luò)，并處理由此產(chǎn)生的公共關(guān)系和媒體報道后果；②允許這種極端情況的出現(xiàn)，即讓這些運營商接入全球網(wǎng)絡(luò)，雖然這會破壞全球5G網(wǎng)絡(luò)安全秩序。5G安全規(guī)范最終采用選項②，明確規(guī)定如果沒有為用戶的USIM提供服務(wù)網(wǎng)絡(luò)，則用戶身份將不受保護(hù)[21]，這意味著5G中明文傳輸IMSI/SUPI的現(xiàn)象仍然存在。

目前，3GPP還未明確的問題有：GUTI更新的頻率未做硬性規(guī)定，這由運營商自行決定。需要注意的是，GUTI雖然是臨時身份證，但如果長時間保持不變，則可能被攻擊者利用從而實現(xiàn)在一段時間內(nèi)的位置跟蹤。另一個是終端對網(wǎng)絡(luò)上報SUCI的頻率未做硬性規(guī)定。當(dāng)手機(jī)在收到網(wǎng)絡(luò)側(cè)發(fā)送的身份認(rèn)證請求時，需要回復(fù)SUCI。手機(jī)要保證每次發(fā)送的SUCI都是新鮮的、隨機(jī)的。但偽基站仍可以不斷要求手機(jī)發(fā)送SUCI，這會導(dǎo)致手機(jī)電力消耗或者發(fā)起DoS攻擊等。

5 統(tǒng)一認(rèn)證技術(shù)

在以往的通信系統(tǒng)中，主要滿足的是人與人之間的通信，而5G網(wǎng)絡(luò)需要滿足人與物以及物與物之間的通信，因此5G需要支持多種網(wǎng)絡(luò)的接入，如無線局域網(wǎng)絡(luò)（WLAN，wireless local area networks）、LTE、固定網(wǎng)絡(luò)、5G NR、物聯(lián)網(wǎng)（IoT，Internet of things）、衛(wèi)星接入、車聯(lián)網(wǎng)等，而不同的網(wǎng)絡(luò)所使用的接入技術(shù)不同，因此有不同的安全需求和接入認(rèn)證機(jī)制。再者，由于各種智能穿戴設(shè)備的興起，一個用戶可能攜帶多個終端，而一個終端也可能同時支持多種接入方式，有些場景可能需要同一個終端在不同接入方式之間進(jìn)行切換，或者用戶在使用不同終端進(jìn)行同一個業(yè)務(wù)時，要求能進(jìn)行快速認(rèn)證以保持業(yè)務(wù)的延續(xù)性從而獲得流暢的用戶體驗。因此，5G 網(wǎng)絡(luò)需要構(gòu)建一個統(tǒng)一的認(rèn)證框架來融合不同的接入認(rèn)證方式，此外還要針對不同的接入認(rèn)證方式優(yōu)化鑒權(quán)認(rèn)證協(xié)議，如上下文的安全傳輸、密鑰更新管理等，以提高終端在異構(gòu)網(wǎng)絡(luò)間進(jìn)行切換時的安全認(rèn)證效率，同時還能確保同一業(yè)務(wù)在更換終端或更換接入方式時能夠獲得連續(xù)的業(yè)務(wù)安全保護(hù)[55]。

多種設(shè)備接入必然導(dǎo)致不同類型設(shè)備計算能力的差異，即便同一類型設(shè)備計算能力也可能差異較大。如有些物聯(lián)網(wǎng)設(shè)備要求輕量節(jié)能，需要一年或好幾年更換一次，而有些物聯(lián)網(wǎng)設(shè)備則不用太在意能耗問題，相比于物聯(lián)網(wǎng)設(shè)備，手機(jī)的計算能力在不斷增強，已經(jīng)趕上或超越某些筆記本電腦的計算能力。在5G應(yīng)用場景中，計算能力強的設(shè)備可能配有SIM/USIM卡，并具有一定存儲能力，有些終端設(shè)備沒有 SIM/USIM 卡，其身份標(biāo)識可能是IP地址、MAC（介質(zhì)訪問控制）地址、數(shù)字證書等；而有些能力低的終端設(shè)備，甚至沒有特定的硬件來安全存儲身份標(biāo)識及認(rèn)證憑證，因此，5G網(wǎng)絡(luò)需要構(gòu)建一個統(tǒng)一的身份管理系統(tǒng)，使得其能夠支持不同的認(rèn)證方式、認(rèn)證憑證和身份標(biāo)識。

可擴(kuò)展認(rèn)證協(xié)議（EAP，extensible authentication protocol）認(rèn)證框架在RFC 3748中定義[56]，是能滿足5G 統(tǒng)一認(rèn)證需求的備選方案之一，EAP認(rèn)證框架是一種支持多種認(rèn)證方法的三方認(rèn)證框架，能封裝多種認(rèn)證協(xié)議，如鑒權(quán)和密鑰協(xié)商（EAP-AKA）、預(yù)共享密鑰（EAP-PSK）、傳輸層安全（EAP-TLS）等。在3GPP目前所定義的5G 網(wǎng)絡(luò)架構(gòu)中，認(rèn)證服務(wù)器功能（AUSF，authentication server function）和認(rèn)證憑證庫和處理功能（ARPF，repository and processing function）網(wǎng)元可完成傳統(tǒng)EAP框架下的認(rèn)證服務(wù)器功能，接入管理功能AMF網(wǎng)元可完成接入控制和移動性管理功能，5G 統(tǒng)一認(rèn)證框架如圖9所示。

圖9 統(tǒng)一認(rèn)證框架

3GPP在R15階段的文檔TR 33.899[54]中闡述了EAP框架用作 5G 統(tǒng)一認(rèn)證框架備選方案，框架適用于任何類型的用戶以任何一種3GPP接入技術(shù)（如2G/3G/4G）和非 3GPP接入技術(shù)（如WiMAX，Wi-Fi）進(jìn)行接入鑒權(quán)認(rèn)證。目前，EAP 支持的認(rèn)證方法有EAP-TLS、EAP-SIM、EAP-MD5等[57]。在5G統(tǒng)一認(rèn)證框架中，各種接入方式均可在EAP框架下接入5G核心網(wǎng)：用戶通過WLAN 接入時可使用EAP-AKA協(xié)議，有線接入時可采用IEEE 802.1x認(rèn)證，5G NR接入時可使用5G-AKA認(rèn)證。雖然接入方式不同，但不同的接入網(wǎng)在邏輯功能上使用統(tǒng)一的AMF和AUSF/ARPF提供認(rèn)證服務(wù)，這樣用戶在不同接入網(wǎng)間進(jìn)行無縫切換成為可能。

5G網(wǎng)絡(luò)的安全架構(gòu)與以往的移動網(wǎng)絡(luò)的安全架構(gòu)區(qū)別很大，引入統(tǒng)一認(rèn)證框架不僅能降低運營商的投資和運營成本，也為將來5G網(wǎng)絡(luò)提供新業(yè)務(wù)時對用戶的認(rèn)證打下堅實的基礎(chǔ)，極大地增加了5G的可擴(kuò)展性。

6 歷代鑒權(quán)技術(shù)比較

本節(jié)針對上文提到的鑒權(quán)機(jī)制進(jìn)行總結(jié)，并對其優(yōu)缺點進(jìn)行對比分析，如表1所示。表1中沒有加入統(tǒng)一認(rèn)證機(jī)制，因為統(tǒng)一認(rèn)證機(jī)制是一個融合的鑒權(quán)技術(shù)，至今還沒有一種明確合適的方案。

7 結(jié)束語

針對第5代移動通信，3GPP定義了3個標(biāo)準(zhǔn)版本（R14-R16）完成標(biāo)準(zhǔn)化工作，并于2017年底發(fā)布了第一個5G非獨立組網(wǎng)的標(biāo)準(zhǔn)版本（5G NR NSA），能夠支持部分運營商的組網(wǎng)需求，繼而，3GPP又于2018年6月發(fā)布了5G獨立組網(wǎng)的標(biāo)準(zhǔn)版本（5G NR SA），進(jìn)一步支持更多運營商的組網(wǎng)需求。面向R16，3GPP進(jìn)行了更多技術(shù)的增強，使5G更好地滿足ITU所定義的三大場景的要求。

5G鑒權(quán)認(rèn)證機(jī)制已經(jīng)在R15版本中明確，但統(tǒng)一認(rèn)證機(jī)制還有待在R16版本中繼續(xù)明確。通過公私鑰加密的方式，5G杜絕了空口中IMSI泄露的問題，關(guān)閉了攻擊者侵入核心網(wǎng)的第一道關(guān)口，大大提高了整個5G網(wǎng)絡(luò)的安全性。盡管標(biāo)準(zhǔn)很完善，運營商在實際部署5G網(wǎng)絡(luò)時可能為了在成本與收益之間取得平衡，或者說為了滿足5G低時延特性，而不部署或者不完全部署3GPP標(biāo)準(zhǔn)中所規(guī)定的機(jī)制。另外，統(tǒng)一認(rèn)證機(jī)制還有待完善，由于要接入各種類型的設(shè)備，其安全性直接影響整個5G網(wǎng)絡(luò)的安全性。未來的網(wǎng)絡(luò)鑒權(quán)機(jī)制應(yīng)該朝著加密和認(rèn)證算法輕量化、高效化、安全化的方向發(fā)展，以滿足超低時延、用戶隱私保護(hù)、網(wǎng)絡(luò)安全的需求。此外，由于鑒權(quán)機(jī)制中涉及眾多密碼算法，而密碼算法對保證安全通信至關(guān)重要，雖然5G所采用的密碼算法（如SNOW、ZUC、AES等）目前均不存在安全性問題，但在后5G或者5G技術(shù)的演進(jìn)過程中，研究人員應(yīng)注意量子計算技術(shù)的發(fā)展，考慮密碼算法的量子安全性，從而保證移動通信網(wǎng)鑒權(quán)認(rèn)證機(jī)制的安全。

表1 移動通信網(wǎng)絡(luò)鑒權(quán)技術(shù)對比

[1] SHAIK A , BORGAONKAR R , ASOKAN N , et al. Practical attacks against privacy and availability in 4G/LTE mobile communication systems[C]//Symposium on Network and Distributed Systems Security (NDSS) .2016.

[2] RUPPRECHTD, KOHLS K, HOLZ T, et al. Breaking LTE on layer two[C]//Symposium on Network and Distributed Systems Security (NDSS) .2018.

[3] 李濤. 網(wǎng)絡(luò)安全概論[M]. 北京: 電子工業(yè)出版社, 2004. LI T. Introduction to network security[M]. Beijing: Publishing House of Electronics Industry, 2004.

[4] 金東勛. GSM網(wǎng)絡(luò)安全協(xié)議漏洞研究[D]. 北京: 北京郵電大學(xué), 2015.JIN D X. Research on GSM network security protocol vulnerabilities[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[5] FOX D. IMSI-catcher[J]. Datenschutz und Datensicherheit (DuD), 1997, 21:539-539.

[6] STROBEL D. IMSI catcher[J]. Seminar Work, Ruhr-Universitat Bochum, 2007.

[7] ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony: fix and verification[C]//ACM Conference on Computer and Communications Security. 2012: 205-216.

[8] HUSSAIN S R, CHOWDHURY O, MEHNAZ S, et al. LTE Inspector: a systematic approach for adversarial testing of 4G LTE[C]// Symposium on Network and Distributed Systems Security (NDSS). 2018: 18-21.

[9] DAVID B, JANNIK D, LUCCA H, et al. A formal analysis of 5G authentication[C]//ACM Conference on Computer and Communications Security (CCS). 2018.

[10] 羅明星, 楊義先, 王勵成, 等. 抗竊聽的安全網(wǎng)絡(luò)編碼[J]. 中國科學(xué): 信息科學(xué), 2010, 40(2):371-380.LUO M X, YANG Y X, WANG L C, et al. Secure network coding for anti-eavesdropping[J]. Science in China, 2010, 40(2): 371-380.

[11] 黃開枝, 王兵, 許曉明, 等. 基于安全保護(hù)域的增強型多點協(xié)作傳輸機(jī)制[J]. 電子與信息學(xué)報, 2018, 40(1):108-115.HUANG K Z, WANG B, XU X M, et al. Enhanced multi-point cooperative transmission mechanism based on security protection domain[J]. Journal of Electronics & Information Technology, 2018, 40(1): 108-115.

[12] 鄧曉明. 移動無線傳感器網(wǎng)絡(luò)復(fù)制節(jié)點攻擊檢測協(xié)議的研究[D].合肥: 中國科學(xué)技術(shù)大學(xué), 2011.DENG X M. Research on attack detection protocol of mobile wireless sensor network replication node[D]. Hefei: University of Science and Technology of China, 2011.

[13] 蘇洪斌. 新技術(shù)下的移動通信網(wǎng)絡(luò)安全[J]. 信息安全與通信保密, 2006(10):103-105.SU H B. Mobile Communication network security under new technology[J]. Information Security & Communication Security, 2006(10): 103-105.

[14] 魏國珩, 秦艷琳, 張煥國. 基于ECC的輕量級射頻識別安全認(rèn)證協(xié)議[J]. 華中科技大學(xué)學(xué)報(自然科學(xué)版), 2018(1):49-52.WEI G Z, QIN Y L ZHANG H G. Lightweight radio frequency identification security authentication protocol based on ECC[J]. Journal of Huazhong University of Science and Technology (Natural Science Edition), 2018(1): 49-52.

[15] 尚青為. 面向移動通信安全的偽基站識別機(jī)制研究[D]. 北京: 北京郵電大學(xué), 2015.SHANG Q W. Research on pseudo base station identification mechanism for mobile communication security[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[16] 謝剛. 下一代移動通信系統(tǒng)中混合自動重傳機(jī)制的研究[D]. 北京: 北京郵電大學(xué), 2007.XIE G. Research on hybrid automatic retransmission mechanism in next generation mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[17] 洼田光宏. 移動通信系統(tǒng)和重傳控制方法: CN, CN 100547959 C[P]. 2009.WA T G H. Mobile communication system and retransmission control method: CN, CN 100547959 C[P]. 2009.

[18] 嚴(yán)振亞. 下一代移動通信系統(tǒng)中的混合自動重傳請求技術(shù)研究[D]. 北京: 北京郵電大學(xué), 2007.YAN Z Y. Research on hybrid automatic repeat request technology in next generation mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[19] 李銳光, 黃文廷, 王永建. GPRS網(wǎng)絡(luò)中惡意代碼監(jiān)測技術(shù)研究[J]. 計算機(jī)研究與發(fā)展, 2012(s2):64-68.LI R G, HUANG W T, WANG Y J. Research on malicious code monitoring technology in GPRS network[J]. Journal of Computer Research and Development, 2012(s2): 64-68.

[20] 程璟睿, 魏來, 周智. 中國移動惡意代碼檢測與治理方案[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化, 2013(2):61-65.CHENG Y R, WEI L, ZHOU Z. China mobile malicious code detection and governance scheme[J]. Telecommunications Engineering Technology and Standardization, 2013(2): 61-65.

[21] 3GPP. Security architecture and procedures for 5G system (Release 15)[S]. 3GPP TS 33.501, 2018.

[22] 肖寧. WCDMA系統(tǒng)接入安全實現(xiàn)機(jī)制的研究[J]. 重慶郵電大學(xué)學(xué)報(自然科學(xué)版), 2004, 16(3):43-46.XIAO N. Research on access security implementation mechanism of WCDMA system[J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2004, 16(3): 43-46.

[23] 楊先磊. 無線應(yīng)用中身份認(rèn)證技術(shù)的研究[D]. 北京: 北京郵電大學(xué), 2007.YANG X L. Research on identity authentication technology in wireless applications[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[24] 王雅寧. 數(shù)字集群通信系統(tǒng)加密機(jī)制的研究[D]. 哈爾濱: 哈爾濱工業(yè)大學(xué), 2006.WANG Y N. Research on encryption mechanism of digital trunking communication system[D]. Harbin: Harbin Institute of Technology, 2006.

[25] 牛靜媛. 移動通信系統(tǒng)安全性分析[D]. 北京: 北京郵電大學(xué), 2008.NIU J Y. Security analysis of mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2008.

[26] 張磊. GSM/UMTS混合網(wǎng)絡(luò)安全若干關(guān)鍵技術(shù)研究[D]. 北京: 北京郵電大學(xué), 2011.ZHANG L. Research on several key technologies of GSM/UMTS hybrid network security[D]. Beijing: Beijing University of Posts and Telecommunications, 2011.

[27] 劉彩霞, 俞定玖, 鄔江興. 3G中A-Key的產(chǎn)生和分配機(jī)制[J]. 計算機(jī)工程與科學(xué), 2002, 24(5):25-27.LIU C X, YU D X, WU J X. Generation and distribution mechanism of a-key in 3G[J]. Computer Engineering and Science, 2002, 24(5): 25-27.

[28] 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)移動應(yīng)用部分技術(shù)要求[S]. YD/T1202-2002, 2004.800MHz CDMA digital cellular mobile communication network mobile application part technical requirements[S]. YD/T1202-2002, 2004.

[29] 陶啟茜, 馬金蘭. CDMA用戶信息加密關(guān)鍵技術(shù)研究與實現(xiàn)方案探討[J]. 電信科學(xué), 2013(s2):38-42.TAO Q Q, MA J L. Research and implementation of key technologies for CDMA user information encryption[J]. Telecommunications Science, 2013(s2): 38-42.

[30] 樊自甫, 楊俊蓉, 萬曉榆. TD-SCDMA與GSM互操作中基于鑒權(quán)原因的切換失敗問題分析及解決[J]. 電信科學(xué), 2010, 26(4):52-58.FAN Z F, YANG J R, WAN X Y. Analysis and solution of switching failure problem based on authentication reason in TD-SCDMA and GSM interoperation[J]. Telecommunications Science, 2010, 26(4): 52-58.

[31] 3GPP. Security related network functions[S]. 3GPP TS 43.020, 2000.

[32] 3GPP. Security architecture (release 6)[S]. 3GPP TS 33. 102, 2001.

[33] 3GPP. Security objectives and Principles[S]. 3GPP TS 33. 120, 2001.

[34] 付航. GSM網(wǎng)絡(luò)安全問題分析及3G可信網(wǎng)絡(luò)架構(gòu)探討[J]. 電信技術(shù), 2009, 1(7):76-77.FU H. Analysis of GSM network security issues and 3G trusted network architecture[J]. Telecommunications Technology, 2009, 1(7): 76-77.

[35] 張方舟, 葉潤國, 馮彥君, 等. 3G接入技術(shù)中認(rèn)證鑒權(quán)的安全性研究[J]. 微電子學(xué)與計算機(jī), 2004, 21(9):33-37.ZHANG F Z, YE R G, FENG Y J, et al. Security research of authentication and authentication in 3G access technology[J]. Microelectronics & Computer, 2004, 21(9): 33-37.

[36] 冒海霞, 陳天洲, 戴鴻君. 高強度的移動通信安全中間件架構(gòu)[J]. 計算機(jī)應(yīng)用研究, 2006, 23(8):91-94.MAO H X, CHEN T Z, DAI H J. High-strength mobile communication security middleware architecture[J]. Journal of Computer Applications, 2006, 23(8):91-94.

[37] ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony:fix and verification[C]//ACM Conference on Computer and Communications Security. 2012:205-216.

[38] 曹俊華, 李小文. LTE/SAE安全體系的研究及其在終端的實現(xiàn)[J].電信科學(xué), 2010, 26(7):50-54.CAO J H, LI X W. Research on LTE/SAE security system and its implementation in terminal[J]. Telecommunications Science, 2010, 26(7): 50-54.

[39] 3GPP. 3GPP System architecture evolution (SAE); security architecture[S]. 3GPP TS 33.401, 2011.

[40] 3GPP. 3G security; security architecture[S]. 3GPP TS33.102, 2014.

[41] 3GPP. 3G Security; document2: algorithm specification[S]. 3GPP TS 35.206, 2012.

[42] 3GPP. Non-access-stratum (NAS) protocol for evolved packet system (EPS); stage 3[S]. 3GPP TS 24.301, 2011.

[43] 3GPP. evolved universal terrestrial radio access (E-UTRA); Radio resource control (RRC) protocol specification[S]. 3GPP TS 36.331, 2011.

[44] CAO J, LI H, MA M, et al. A simple and robust handover authentication between HeNB and eNB in LTE networks[J]. Computer Networks, 2012, 56(8):2119-2131.

[45] DABROWSKI A. The messenger shoots back: network operator based IMSI catcher detection[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. 2016.

[46] 陳飛, 畢小紅, 王晶晶, 等. DDoS攻擊防御技術(shù)發(fā)展綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2017, 3(10):16-24.CHEN F, BI X H, WANG J J, et al. Overview of DDoS attack defense technology development[J]. Journal of Network and Information Security, 2017, 3(10): 16-24.

[47] 3GPP. System architecture for the 5G System[S]. Stage 2. 3GPP TS23.501,2018.

[48] SMART N P. The exact security of ECIES in the generic group model[M]//Cryptography and Coding. Berlin Heidelberg: Springer 2001: 73-84.

[49] IETF. Elliptic curves for security[S]. IETF RFC 7748, 2016.

[50] SECG SEC 2. Recommended elliptic curve domain parameters[S], Certicom Research, 2010.

[51] BASIN D, DREIER J, HIRSCHI L, et al. A formal analysis of 5G authentication[C]//ACM Conference on Computer and Communications Security, 2018.

[52] ZHANG X, KUNZ A, SCHR?DER S. Overview of 5G security in 3GPP[C]//Standards for Communications and Networking. IEEE, 2017.

[53] PRASAD, ANAND R, et al. 3GPP 5G Security[J]. Journal of ICT Standardization, 6.1 (2018): 137-158.

[54] Study on the security aspects of the next generation system[R]. 3GPP TR33.899, 2017.

[55] IMT-2020. 5G 網(wǎng)絡(luò)安全需求與架構(gòu)白皮書[R]. 2017.IMT-2020. 5G Network security requirements and architecture white paper[R]. 2017.

[56] IETF RFC 3748. Extensible authentication protocol (EAP)[S]. 2004.

[57] 馮登國, 徐靜, 蘭曉. 5G移動通信網(wǎng)絡(luò)安全研究[J]. 軟件學(xué)報, 2018(6).FENG D G, XU J, LAN X. Research on 5G mobile communication network security[J]. Journal of Software, 2018(6).

Overview of mobile communication network authentication

HU Xinxin, LIU Caixia, LIU Shuxin, YOU Wei, QIAO Kang

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450001, China

With the increasingly serious security situation of mobile communication network, it becomes an important issue about how to protect the privacy of legitimate users while providing high-quality communication services, and how to protect the carrier network from being invaded becomes an important issue in the field of mobile communication security. Authentication is an important means for users and networks to authenticate each other's legitimacy. Authentication methods are also evolving along with network evolution. Starting with the authentication methods of past mobile communication networks (GSM, CDMA, UMTS, LTE), the advantages and disadvantages of each generation of authentication technology are analysed, along with which the authentication technology and unified authentication technology of the fifth-generation (5G) mobile communication to be commercialized are emphatically analysed. In the last, reasonable prospect for the development of authentication technology in the future are proposed.

mobile network, authentication, security, 5G mobile communication, unified authentication

TN929

A

10.11959/j.issn.2096-109x.2018096

2018-08-21；

2018-10-20

胡鑫鑫，justinhu@hust.edu.cn

國家自然科學(xué)基金創(chuàng)新研究群體資助項目（No.61521003）；國家重點研究發(fā)展基金資助項目（No.2016YFB0801605）

The National Natural Science Foundation Innovation Group Project of China (No.61521003), The National Key Research and Development Program of China (No.2016YFB0801605)

胡鑫鑫（1994-），男，湖北襄陽人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為5G網(wǎng)絡(luò)安全。

劉彩霞（1974-），女，山東煙臺人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副教授，主要研究方向為移動通信網(wǎng)絡(luò)、新型網(wǎng)絡(luò)體系結(jié)構(gòu)。

劉樹新（1987-）男，山東濰坊人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為復(fù)雜網(wǎng)絡(luò)、網(wǎng)絡(luò)信息挖掘。

游偉（1984-），男，江西豐城人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為密碼學(xué)、移動通信網(wǎng)絡(luò)。

喬康（1994-），男，四川成都人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為區(qū)塊域技術(shù)。