微波EDA网,见证研发工程师的成长!
首页 > 微波射频 > 射频工程师文库 > 移动通信中的无线接入安全机制

移动通信中的无线接入安全机制

时间:07-31 来源:互联网 点击:

为了避免要求2G用户必须换卡才能接入3G网络和使用3G业务,运营商通常选择允许用户用2GSIM卡接入3G网络,为此需要终端和网络支持如下附加功能。

1.3G终端能支持2GSIM卡接口。

2.3G服务网络的MSC/VLR与SGSN能和2GHLR/AuC互通,能接受三元组认证向量。

3.3G终端和3G接入网支持Kc到CK和IK的密钥转换。

此时的认证过程和2G系统基本相同,有区别的地方是:3G服务网络的MSC/VLR或者SGSN需要通过标准的转换函数将Kc转换为CK和IK,然后将CK和IK传给3G服务基站;终端从SIM卡得到Kc后,也需要通过同样的转换函数将Kc转换为CK和IK;后续终端和3G服务基站间可以用3G的f8、f9算法,以及CK、IK进行加密和完整性保护。

当3GUSIM卡接入2G网络时,为了利用2G对3G的覆盖补充和支持更广泛的漫游,运营商也会选择允许用户用3GUSIM卡接入2G网络,为此需要USIM卡和网络支持如下附加功能。

1.3GUSIM卡支持转换函数,能将XRES’转为SRES’,将CK和IK转为Kc。

2.3GUSIM卡支持2GSIM接口,从而能被只支持SIM卡的2G终端使用,这样的卡通常被称为USIM/SIM混合卡。混合卡上的SIM接口安全算法是基于USIM安全算法+转换函数实现的。

3.3GHLR/AuC能支持五元组到三元组的转换,从而可以向服务地的2GMSC/VLR或者SGSN返回三元组认证向量。

4.服务网络如果采用2G接入网+3G核心网(即BS是2G的,但MSC/VLR与SGSN为3G的)的组网方式,MSC/VLR与SGSN应支持CK+IK到Kc的转换。

当用户用的是3G/2G混合终端或者是支持USIM的高版本2G终端时,此时使用的是混合卡上的USIM功能,认证实现分以下两种情况。

1.当服务地的核心网是3G时,认证过程和3GUMTS系统的描述基本相同,有区别的地方是:服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将CK和IK转换为Kc,然后将Kc传给2G服务基站;除了CK和IK,混合卡还会将用转换函数依据CK和IK生成的Kc也返回给终端。终端会忽略CK和IK,而只用Kc;后续如果需要,终端和服务地2G基站间能用所协商的A5算法和Kc进行加密传输,但不能进行完整性保护。

2.当服务地的核心网是2G时,认证过程和2G系统的描述基本相似,有区别的地方是:收到服务地网络的认证向量请求后,用户归属的3GHLR/AuC首先生成五元组,然后将它们通过标准转换函数转为三元组,再将三元组返回给服务网络;终端向卡发送的是带GSM安全上下文的Authenticate指令;混合UISM卡首先生成XRES、CK和IK,然后将XRES转换为SRES’,将CK+IK转换为Kc,最后只将SRES’和Kc返回给终端。

当用户用的是不支持USIM的低版本2G终端时,此时使用的是混合卡上的SIM功能,认证实现也分为两种情况。

1.当服务地的核心网是3G时,认证过程和2G系统相似,有区别的地方是:收到服务地网络的认证向量请求后,用户归属的3GHLR/AuC生成的是五元组,返回的也是五元组;服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将XRES转换为SRES、将CK和IK转换为Kc,然后将Kc传给2G服务基站;服务网络用户认证请求消息中的AUTN参数会被2G终端忽略,2G终端仅将RAND参数通过RunGSM Algorithm指令发给混合卡;混合卡用RAND和K首先生成XRES’、CK和IK,然后将XRES’转换为SRES’,将CK+IK转换为Kc,最后只将SRES’和Kc返回给终端。

2.当服务地的核心网是2G时,认证过程和2G系统基本相同,有区别的地方是:收到服务地网络的认证向量请求后,用户归属的3GHLR/AuC首先生成五元组,然后将它们通过标准转换函数转为三元组,再将三元组返回给服务网络;混合卡首先生成XRES’、CK和IK,然后将XRES’转换为SRES’,将CK+IK转换为Kc,最后只将SRES’和Kc返回给终端。

3 GPP2系统的接入安全

cdma20001x系统的接入安全

在cdma20001x系统中,用户的RUIM卡和归宿网络的HLR/AC会共享一个安全密钥A-key(64bit),基于该密钥,网络可以对用户进行认证,基站和手机间也可以对信令消息、语音和数据应用不同的加密方式。

cdma20001x系统支持两种认证触发方式。

1.通过层2功能实现的全局挑战(GlobalChallenge):服务网络可以将在寻呼信道上广播的接入参数消息中的AUTH字段置为‘01’,从而要求所有终端在使用反向接入信道发送消息时(Order消息、AuthenticationChallengeResponse消息、Status Response消息和Extended Status Response消息除外),必须在消息的层2参数域携带基于SSD(共享安全数据)的前64bit、随机数和消息中特定信息域计算的认证签名AUTHR。

2.通过层3功能实现的独特挑战(UniqueChallenge):当需要时,服务网络可以向特定终端发送Auth

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top