《福建电脑移动通信.pdf》由会员分享,可在线阅读,更多相关《福建电脑移动通信.pdf(2页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2 0 0 5 年第 6期 福建 电脑 移动通信中身份认证的研究 原浩(福建新大陆电脑股份有限公司 产品技术研 究院 福建 福 州 3 5 0 0 1 5)【摘要】近些年来,随着移动通信技术的快速发展,移动平台上传输的内容不再局限于传统的语音业务,大量敏感 的数据业务也出现在移动平 台上,所以对移动用 户的认证需求也越来越迫切。本文重点讨论 了移动通信 中身份认证的技 术。【关键词】移动通信、身份认证、C A、W A P 1 引言 近些年来。移动通信 的发展 日新月异。移动平台上传输的内 容不再局限于传统的语音业务,大量敏感 的数据业务。如移动 电 子商务、移动电子银行、移动购物等也出现在移动
2、平台上。在移动通信中。用户和固定的通信机站之问并不存在一条 通信线路。电波在开放的空间中传送。使得任何人都可以轻易的 接收到通信的信号。此外 由于用户可以在任意的区域内移动,而 不受限于某一固定点的通信。也使攻击者有 了窃听和非法使用 的机会。因此移动通信的安全性成为一种必不可少的需求。移动通信的安全性要解决的问题就是保证数据在传输过程 中的机密性、完整性、有效性。而对于移动数据业务来说。首先就 需要解决有效性。即实现对用户身份的识别一一身份认证。由身 份认证系统来解决移动通信实体的身份确认。使得通信双方能 够确信对方就是声明和 自己通信的实体。2 GSM 认 证体 制 G S M是全球最成熟
3、的数字移动电话网络标准之一。在全世 界的 1 6 2个国家已经建设了 4 0 0个 G S M通信网络。全球 8 O 以 上的移动用户为 G S M用户,用户数已经超过了 1 O亿人。在 G S M中并不是通过手机号码来进行身份认证的。而是通 过存储 在手机 S I M(S u b s c r i b e r I d e n ti t y M o d u l e,用户识别模块1 中 的 用 户 认 证 密 钥 和 I MS I(I n t e r n a t i o n a l Mo b il e S u b s c ri b e r I d e n ti t y,跨 国 移 动 用 户 识
4、别)或 T MS I(T e mp 0 mJ Mo b i l e S u b s c r i b e r I d e n ti t y。临时移动用户i P,EI)号码来确定使用者的身 份。也就是说 G S M 中采用 了两个认证协议:I MS I 认 证协议和 I MS I 认证协议。2 1 I MS I 认证协议 当用户初次接入 G S M 时,由 M S(M o b il e S m ti o n,移动 台)传 送 S I M 中的 I M S I 给 V L R(V i s i t o r L o c a ti o n R e g i s t e r。异地 系统注 册 中心,处理用户所
5、在地访问的实时证实和接人控制,临时注 册1,再由 VL R传送 I MS I 给 HL R(Ho me L o c a ti o n R e g i s t e r,本地系 统 注册 中心,处理本地的实时证实和接人控制,永久 注册)进行 身份的认证。而后由 V L R为用户分配一个 T MS I 给用户。并在成 功认证后以加密形式将其传给 MS。MS解密后。存储 T MS I到 S I M 中。此后,M S 用 T MS I 进行认证,直到新的 T MS I 被分配给 用 户。用户 VL R !坚 !-计 算 s R E s 和 K c !D_!坚 !-H LR 用K生成三元组 呈 -V L
6、R 比较 s R E 用 K c 解出 M 。:!:!坚!图一:I MS I 认 证协 议 I MS I 认 证过 程如 图一 首 先用 户将 S I M 中的 I MS I告诉 V 氓。V Ut 再将 I M s I 传送给用户所在的 H L R。H L R下的认证中 心 A U C(A u t h e n t i c a t i o n C e n t e r)根据与用户共享的l(i 产生一组含 有三个元素的数fl l(P N D,S R E S,K c),并将它们传给 V L R。S R E S =A 3(K,R A N D)是由单向函数 A,生成的3 2 b i t 的响应数,=A (
7、I q,R A N D】是生成的通信密钥。同时,V L R将 RA N D传给用户,用 户根据 S I M 内的 K 计算 出 S R E S和,将 S R E S传送给 VL R,由 V L R将用户的 S R E S与 HL R的 S RE S进行比较。如果比较一 致,就认为此用户合法。VL R就指定给这个用户一个临时身份 T MS I。由 函数加密后发送给用户。2-2 T MS I 认证 协 议 T M S I 的设置是为了防止非法个人或团体通过监听无线电 波而窃得移动用户的 I MS I 或跟踪移动用户的位 置。T MS I 是 由 交换 中心分配,并不断地进行更换,更换周期 由网路运
8、营者设 置。用 户 计 算S R E S 和Kc TM S I RAND 一 SRES VLR 计 算K c 誊 堑 笪 垦 銮 参 嗣 二,T M S I 认证 议 用户从一个 V L R移动到新 的 V L R时候。新 的 VL R向原 V L R 要求 I M S I、T M S I、L A I(L o c a t i o n A r e a I d e n t i fi c a ti o n 1 和三元组(R AN D,S R E S,。T MS I 认 证过程如 图二。首先用 户传送 S I M 中的 T MS I给 V L R,V L R发送 RA N D 给用 户。用 户计 算
9、S R E S和 后,将 S R E S 传给 V L R。由 V L R与原存贮的 S R E S进行比较。认证通过 后,通信双方就可以通过密钥 l(c 进行数据的加密。2 3 存在的缺陷 GS M 系统在认证过程中存在着下列安全缺陷:K的长度是4 8比特,用户截取 R A N D和 S R E S 后很容易 破译 K,使 S I M卡的复制成为可能;单向身份认证。M S 不能认证网络,无法防止伪造网络设 备(如基站)的攻击;加密密钥 l(c 及认证数据等安全相关信息在网络中使用 明文进行传输。易造成密钥信息泄鼹;基站和基站之问均是明文传送,无加密和认证措施;用户身份认证密钥K不可变,无法抗
10、击重放攻击;无消息完整性认证,无法保证数据在链路中传输过程中 的完整 性;用户漫游时,从一个网络进入另一个网络没有相关性;缺乏端到端的安全服务(认证、加密等);无法防止来自内部的攻击(位置信息、消息内容等);G S M的这些安全缺陷都应当考虑进行改进和解决。3 WAP移动 认证 系统 随 着电 子商务 架构 逐 步服 务 于无 线终 端,WA P(Wi rel e s s A p p l i c a ti o n P r o t o c o l,无线应用协议)已经在移动经济 中占有重要 的一席之地。目前。WA P的应用包括股票买卖、网上账单缴付、互联网游戏、新闻等等。对于 WAP系统的关键就是
11、要对使用者 的身份进行确认 以便作为移动业务消费记录和形成账单的依 据。维普资讯 http:/ 福建 电脑 2 0 0 5 年第 6期 移动 系统由于受到移动通信设 备和移动通信技术上的限 制,而不能照搬固定网络中的安全技术。比如手机终端的加密解 密能力有 限,不能进行大数据量的计算;手机容易丢失或遭窃,他人可能使用该手机冒名与 WA P服务器通信等等。因此。必须 有一套完整且有效的认证协议。以保证无线通信过程的安全。WA P的身份认证可 以通过调用 WM1 S e r i p t 在应 用层实现 认证。也可以通过 WAP网关结合 C A证书的方式进行认证。3 1 W ML S c r i p
12、 t 目前大部分移动终端都能够支持 WML和 WML S c r i p t。可以 通过 WM1 S e r i p t C r y p t o A P I L i b r a r y在应用 层实现 客户端 的加 密、解密、签名和验证。WML S c r i p t C r y p t o A P I L i b r a r y是 WAP 2 0 标 准中重要 内容。在库中存有许多密码算法,如:R S A,S H A D E S。MD等常用加密算法,它可以加强手机终端的安全能力。服务商只要通过在网页中调用脚本加密函数库就可以完成 提交信息 的加密、签名 以及证书的认证等操作。在应用层对数据 加
13、密后。WA P网关获得的数据是经过加 密后的数据,从而最大 程度的保障数据端到端的安全性。3 2 CA证书 随着技术的发展。S I M 已经越来越不能满足应用 的需要。未 来的手机身份认证卡是一种具有更安全加解密功能和更大存储 空间的智能卡 如WI M(WA P I d e n t i t y M o d u l e)。它能够存储数字 证书和用户密钥并能够进行加密解密运算。例如 G e mp l u s 公司 就开发 了几款具有 P K I 功能的应用于移动环境下的智能卡。有 很高的安全性。这种卡很适合用于移动银行和移动电子商务,股 票交易 购票等对安全性要求很高的业务。P K I(P u b
14、 l i e K e y I n f r o s t r v t u r e)公钥基础设施 是国际公认的 互联 网电子商务的安全认证机制。通过 P KI 技术可以保证 网络 的认证、不可抵赖性和加解密密钥管理。是未来应用发展 的方 向。通过 P K I 和 WI M技术构建的 WAP认证系统可以大大增强 移动通信系统的安全性。该系统框架如图三。蹦 蕞 冒 鼬,驳 船器 懈 目 弗存承 P l P 0 I I j 图三:WA P证书认证系统框架 E 拈数 嚣 蝽 W A P客 户端 获取 证 书流程:wA P客户端通过 wA P网关向P K I P o r t a l 申请证书;P P o r
15、t a l 收到请求后。将请求传送给 C A;C A生成密钥对,用公钥生成证书,由C A进行签发。而后 通过 WA P网关发送 WA P客户端,客户端将证书存人 WI M 中;(A将证书存人证书数据库;WA P客户端的认证是通过 WT L S(无线传输层安全标准1 来 实现。WT L S是 WA P的无线传输安全的协议 它可以为 系统提 供数据完整性、私密性、认证和拒绝服务保护的安全服务。WA P客 户端认 证 流程:wA P客户端向服务器发送 C l i e n t H e l l o请求;服务器会送 S e r v e r H e ll o 应答,同时将服务器证书,服务器 密钥交换算法及客
16、户端证书请求发送给 WAP客户端;客户端收到消息后,发送客户端证书给服务器,同时发送 证书验证消息和密钥交换算法给服务器;客户端与服务器协商通信的加密算法、密钥长度、压缩方 法:完成身份认证和密钥协商,开始交换数据。释 媾 擞捧嚣 r 0 一t l l 冉 c 0 r t f i;彝 Sr l r K L1,c b a i C 谢 t i f c 8 t n u s S r r“1 1 疆 r l n g l 融 f F j s l e d 图四:认证握手协议 4 结束语 本文主要从网络层和应用层两个方面分析 了移动通信身份 认 证 系统。目前椭网曲线密码体制由于其安全性高、计算量小、需要的存
17、储 空间小、对设备带宽要求低等优点,而受到人们的关注。椭圆曲 线密码体制的特点非常适合于移动终端这种计算能力弱、资源 有限的设备上使用。将椭 圆曲线应用于移动通信身份认证也是 今后的发展方向。参考文献 f 1】王育民、刘建伟,通信网的安全理论与技术,西安 电子科技大学出版社,西安,2 0 0 0 5 【2】符 东宁、卢义明,基于 C A的WA P安全框架,计算机工程与应用,2 0 0 2(9)3】陈瑾、王全龙,适用于移动通信系统的基于证书的安全协议,电信技术,1 9 9 8 f 7)4 1 赖溪松、韩亮、张真诚 计算机 密码 学及其应用,国防工业 出版社,北京,2 0 0 1 7 【5】许剑勇
18、、邵世煌、魏亮,无线公开密钥基础设施(WP K I)的构建,网络安全技术与应用,2 0 0 3(3)【6】h t tp:l l w w w,f o rumc o rn 【7】h t t p:l l w w w k a n n e 1 o r e,(上接 第 3 9页)参考文献 1许多项 计算机网络技术与应用【M】北京:中国财政经济 出版社,2 0 0 1 【2】王育民 通信 网的安全理论与技术【M】西安:西安 电子科技大学出版社。2 0 0 0 【3 1电脑报蝙辑部 电脑报 2 0 0 2增刊【M1 重庆:西南师范大学出版社,2 0 0 2 4 1 教育部考试 中心 全 田计算机等级考试三级教程一网络技术【M】北京:高等教育出版社。2 0 0 2 畴l=两 吖c 。晒 m 西、唯出 n沁 维普资讯 http:/