5G移动通信安全架构

1. 移动通信系统面临的安全威胁
   移动电话(或称手机)已非常普及，功能越来越多，使用越来越方便，移动电话在给我们带来通信和生活便利的同时，为我们提供的服务安全吗?
   实际上，移动通信系统(这里主要以LTE演进为例)可能面临的安全威胁可以分为以下几类。
   (1 )对敏感数据的非授权访问(违反机密性)。 包括窃听(人侵者不被发现地截取消息内容)伪装(入侵者欺骗系统授权用户，使用户相信入侵者能合法地从授权用户处获得机密信息，或使用户相信入侵者是能获得系统服务或机密信息的授权用户)、流量分析(入侵者观察消息的时间、频度、长度、发送方和接收方，以确定用户的位置，或了解是否有重要的业务数据交换发生)、浏览(入侵者搜索存储的数据以寻找敏感信息)、泄漏(入侵者通过合法访问数据的机会获得敏感信息)和推论(入侵者通过向系统查询来获得响应信息)。(2 )对敏感数据的非授权操作( 违反完整性)。包括消息被人侵者故意篡改、插人、删除或重放。
   (3)滥用网络服务(导致拒绝服务或可用性降低)。包括干涉(人侵者通过阻塞合法用户的流量、信号或控制数据来阻止其使用服务）、资源耗尽（入侵者通过过载服务来阻止合法用户使用系统的服务）、优先权的误用（用户或服务网络可能利用他们的优先权来获得非授权的服务或信息）和服务的滥用（入侵者可能滥用一些特定的服务或设施来获得某种优势或破坏网络）。
   （4）否认。用户或网络拒绝承认已执行过的行为或动作。
   （5）非授权接入服务。包括入侵者伪装成合法用户或网络实体来访问服务，用户或网
   络实体能滥用它们的访问权限来获得非授权的访问。
   13.3.2移动通信系统的安全特性要求
   为了确保移动通信系统的安全性，第三代移动通信系统伙伴计划（3GPP）提出的移动通信系统安全特性主要包括以下内容，它们也被系统地纳入4G及5G系统中，并且做了重要升级，使之更为系统和严谨。
   提供用户机密性
   （1）用户身份机密性：使具有永久用户身份的用户在无线访问链路上的信息不能被窃听。
   （2）用户位置机密性：这种安全特性使得不能通过在无线接入链路上的窃听来确定一
   个用户在某个确定的区域内、或者到达某个确定的区域内。
   （3）用户不可跟踪性：入侵者不能通过无线接入链路上的窃听来推断出是否在给同一个用户提供不同的服务。
   2.实体认证
   （1）用户认证：服务网络使用该服务确保用户的身份。
   （2）网络认证：用户通过用户本地环境HE获得该服务，以确保自己连接到一个已授权的服务网络，且保证这个授权是最新的。
   3.数据传输机密性
   （1）加密算法协议：该协议确保移动站MS(Mobile Station）和服务网络SN(Service Network）能够安全地协商随后要使用的加密算法。
   （2）加密密钥协议：移动站MS 和服务网络SN同意双方随后可以使用的一个加密密钥。
   （3）用户数据的机密性：非授权用户或者入侵者不能从无线接入接口上窃听到用户数据。
   （4）信令数据的机密性：非授权用户或者入侵者不能从无线接入接口上窃听到信令数据。
   4.数据完整性
   （1）完整性算法协议：移动站MS 和服务网络SN能够安全地协商双方随后将要使用的完整性算法。
   （2）完整性密钥协议：移动站MS和服务网络SN同意双方随后可以使用的一个完整性密钥。
   （3）信令数据的完整性和起源认证：接收实体（移动站MS 或者服务网络SN）能够核实信令数据未被授权地修改过，信令数据的数据源同时被认证。
   5.安全的能见度和可配置性
   （1）指定访问网络加密：通知用户其用户数据在无线接入链路上传递时是否受到机密性保护，尤其是在建立非加密呼叫时。
   （2）指定安全等级：通知用户其访问的网络为其提供的安全服务的安全等级，尤其是在用户越区切换，或者漫游到一个安全级别较低的网络时（如从3G到2G）。
   （3）建立/取消用户和用户业务识别模块USIM之间的认证：用户应能够控制用户业务识别模块USIM之间的认证操作，如为了某些事件、某些服务或用途而进行这种控制操作。
   （4）接受/拒绝非加密呼叫输入：用户能够控制自己是否接受或拒绝非加密呼叫输入。（5）建立或不建立非加密呼叫：用户能够控制自己是否建立网络中没有实行加密的呼叫连接。
   （6）接受/拒绝使用某些加密算法：用户能够控制使用哪些加密算法。
   13.3.3移动通信系统的安全架构
   3G的安全架构一共定义了五种安全机制。
   I.网络接入安全：为用户提供安全的网络接入，防止对无线链路接入的攻击。包括用户身份和动作的保密、用户数据的保密、用户与网络间的相互认证等；
   Ⅱ.网络域安全：在运营商节点间提供安全的信令数据交换。包括网络实体间的相互认证、数据的加密、数据来源的认证等；
   Ⅲ.用户域安全：提供对移动终端的安全接入。包括用户和 SIM卡的认证、SIM卡和终端间的认证等;
   IV.应用域安全：保证用户与服务提供商之间在应用层面安全地交换数据，包括应用数据的完整性检查等；
   V.安全服务的可视性和可配置性：使用户知道网络的安全性服务是否在运行，以及它所使用的服务是否安全。
   和3G的网络安全架构相比，LTE的安全架构发生了一些变化，如图13-22所示：在LTE中，安全包括AS（Access Stratum，接入层)和NAS(Non-Access Stratum，非接入层）两个层次。A.S 安全是UE（User Equipment，用户设备）与eNB（evolved Node-B，演进型节点B）之间的安全，主要执行 AS 信令的加密和完整性保护及UP（User Plane，用户平面）数据的机密性保护。NAS的安全是UE与MME(Mobile Management Entity，移动管理实体）之间的安全，主要执行NAS信令的机密性和完整性保护。由图13-22可见，在ME(Mobile Equipment，移动终端）和SN（Service Network，业务网络）之间加入了非接入层的安全，使得非接入层和接入层的安全相互独立，便于操作；然后在AN(Access Network，接入网）和SN之间的通信引入安全机制；另外，增加了服务网认证，能缩减空闲模式的信令开销。UE是ME和USIM卡（Universal Subscriber Identity Module，用户业务识别模块）组成。
   13.3.4认证与密钥协商（AKA）
   移动通信系统的安全流程，用户开机发起注册，与网络建立连接后发起AKA(Authentication and Key Agreement，认证与密钥协商）过程。网络端的MME通过终端发来的IMSI(International Mobile Subscriber Identity，全球移动用户惟一标识）以及相关的参数发起鉴权过程，之后与终端进行密钥协商，发起安全激活命令SMC（Security Mode Command，安全模式命令），其最终目的是要达到终端和网络端密钥的一致性，这样两者之间才能安全地通信。
   认证与密钥协商机制是移动通信系统安全框架的核心内容之一，它是在GSM系统的基础上发展起来的，沿用了请求/响应认证模式，以便于最大限度地与GSM安全机制兼容，但进行了较大的改进，它通过在MS和HE/HLR间共享密钥实现它们间的双向认证。
   移动通信系统的AKA认证与密钥协商协议有三个实体参与，即移动站MS、访问位置寄存器或支持 GPRS 服务的节点 VLR/SGSN( Visitor Location Register/Serving GPRS Support Node)、归属环境或归属位置寄存器 HE/HLR(Home Enviroment/Home Location Register）。
2. （1）当MS第一次入网时，或由于某种原因VLR/SGSN需要 MS的永久身份认证时,MS向 VLR/SGSN发送 IMSI（用户永久身份标识），请求注册。
   （2)VLR/SGSN把IMSI转发到HE/HLR，请求AV（认证向量）以对MS进行认证。
   （3）HE/HLR 接收到由认证中心生成N组认证向量AV之后，发送给VLR/SGSN。
   认证向量AV=RAND|XRESI CKIIKAUTN。其中随机数 RAND由认证中心产生,期望响应值XRES=f2x(RAND)，加密密钥CK=f3x(RAND)，完整性密钥【K=f4x(RAND)，认证令牌 AUTN=SQNOAK | AMF |MAC。
   认证令牌中，SQN（Sequence Number，序列号）是一个计数器，AK是匿名密钥，用于隐藏 SQN,AK=f5x(RAND)，AMF 是认证管理域，MAC 是消息认证码，MAC=flx(SON I RAND |AMF)。f1~f5 是移动通信系统安全架构定义的密码算法，K是MS 和HE/HLR之间共享的密钥。
   (4）VLR/SGSN接收到认证向量后，将其中的RAND和AUTN发送给MS进行认证。（5）MS收到RAND和AUTN后，计算XMAC(期望消息认证码)的值，XMAC-flk(SON IRAND|AMF)，并把计算结果和AUTN中的MAC进行比较，如果一者不相等，则发送拒绝认证消息，放弃该过程；如果二者相等，MS 验证SQN 是否在正确的范围内，如果不在正确的范围内，MS 向 VLR/SGSN发送同步失败消息，并放弃该过程。上述两项验证通过后，MS计算RES（RES=f2x(RAND))、CK、IK，并将 RES发送给VLR/SGSN。具体的认证功能如图13-25所示。
   最后，VLR/SGSN在收到响应消息后，比较RES 和XRES，若相等则认证成功，否则认证失败。AKA过程最终实现UE 和网络侧的双向认证，使两端的密钥达成一致，以便能够正常通信。
   LTE的认证与密钥协商过程的目的是通过 AUC(AUthenticationCentre，认证中心）和USIM卡中所共有的密钥K来计算密钥CK（Cipher Key，加密密钥)和I（Integrity Key,完整性密钥)，并由CK和作为基本密钥计算一个新的父密钥KASME，随后由此密钥产生各层所需要的子密钥，从而在UE 和网络之间建立EPS(Evolved Packet System，演进型分组系统）安全上下文。LTE和3G在AKA过程中有细微的不同，LTE中网络端生成的CK、不离开HSS（Home Subscriber Server，归属地用户服务器，存在于归属地环境压E中），而3G的CK、IK是可以存在于AV(Authentication Vector，认证向量）中的，LTE的主烘密钥不需要传输，有助于提高安全性。

参考文献：应用密码学（第四版）