??? 摘? 要: 分析了IMSI的組成及其在CDMA2000網絡中的作用,。IMSI作為用戶信息的重要組成部分,,為確保其安全提出了相關策略,,提高了用戶身份信息,、業(yè)務信息,、位置信息等重要信息的安全水平,。?
??? 關鍵詞: CDMA2000; IMSI; 用戶信息安全?
?
??? CDMA2000移動通信系統(tǒng)作為3G的三大標準之一,,在安全性方面具有獨特的優(yōu)勢,。國際移動用戶識別碼IMSI(International Mobile Subscriber Identity)是系統(tǒng)內部對每個用戶的標識,由運營商按照一定的規(guī)則分配,,存儲在UIM卡中,。用戶購買了一張UIM卡,并選擇了一個號碼,,就建立了IMSI和MDN的對應關系,,這個對應關系存儲在HLR中。現(xiàn)有的安全機制中,,IMSI存在泄漏的危險,。而IMSI的泄漏,將有可能導致用戶的身份信息,、業(yè)務信息,、位置信息等重要信息被非法獲取,造成信息泄漏,,特別是對于某些重要用戶將產生嚴重的后果,。?
??? 本文結合CDMA標準等相關文檔,在詳細分析IMSI組成,、作用及現(xiàn)有安全機制的基礎上,,提出了增強IMSI信息安全的相關策略。?
1 CDMA2000安全特征?
??? 從移動臺的角度看,,CDMA2000網絡的安全目標是提供3個層次的安全服務,。?
??? (1) 無線接入安全:對用戶的無線接入認證和空中接口加密。當用戶請求電路交換業(yè)務和位置更新時,,MSC發(fā)起對用戶的認證,;當用戶請求分組交換業(yè)務時,首先對用戶進行無線接入認證,,然后通過Radius協(xié)議或者Diameter協(xié)議到AAA服務器中進行分組數(shù)據業(yè)務的認證,。?
??? (2) IP網絡安全: 提供分組網絡的認證和保密。認證功能通過AAA機制實現(xiàn),。?
??? (3) 用戶端到端安全:用戶端到端安全,,規(guī)范中沒有規(guī)定,,可以采用VPN實現(xiàn),。?
??? 從網絡的角度看,CDMA2000無線鏈路采用偽隨機碼PN(Pseudo_random Noise code)對信號進行擴頻,使得信號很難被攔截和竊聽,。此外,,還規(guī)定了一系列接入安全機制,,如圖1所示。由于終端處理能力和空中帶寬受限,,CDMA2000安全基于私鑰技術,,安全協(xié)議依賴于一個64bit認證密鑰(A_Key)和終端的電子序列號(ESN)。?
?
?
??? CDMA2000安全機制中采用了四種安全算法:蜂窩認證和話音加密算法CAVE(Cellular Authentication and Voice Encryption),,用于查詢/應答(Challenge/Response)認證協(xié)議和密鑰生成,;專用長碼掩碼PLCM(Private Long Code Mask),控制擴頻序列,,然后擴頻序列與語音數(shù)據異或實現(xiàn)語音保密,;ORYX是基于LSFR的流密碼,用于無線用戶數(shù)據加密服務,;增強的分組加密算法E_CMEA(Enhanced Cellular Message Encryption Algorithm)是一個分組密碼,,用于加密控制信道。?
??? 3GPP2 S.R0032還規(guī)定CDMA2000空中接口支持增強用戶認證(ESA)和增強用戶保密(ESP),。?
2 IMSI的組成和作用?
2.1 IMSI介紹?
??? CDMA規(guī)范由美國標準組織ANSI制定,,在IS95階段,采用MIN(Mobile Identification Number)標示用戶,。隨著CDMA在全球的應用,,國際漫游問題顯得日益突出,于是對MIN進行了擴展,,變成了IMSI,。IMSI是國際上為唯一識別一個移動用戶所分配的號碼,也作為用戶在移動通信網絡中的唯一標識,。?
??? 從技術上講,,IMSI可以徹底解決國際漫游問題。但是由于CDMA技術起源于美國,,北美目前仍有大量的AMPS系統(tǒng)使用10位MIN號碼,,在這10位MIN碼中是不含移動國家碼的,且北美的MDN和MIN采用相同的編號,,系統(tǒng)已經無法更改,,所以目前國際漫游暫時還是以MIN為主。為了盡快實現(xiàn)CDMA的國際漫游,,IFAST(International Forum on AMPS Standards Technology)將MIN碼的第一位0和1)預留給國際,,供美洲之外的其他CDMA運營者國際漫游時使用。其中以0和1打頭的MIN資源稱為IRM(International Roaming MIN),,由IFAST統(tǒng)一管理,。?
??? 目前,中國聯(lián)通申請的IRM資源以09打頭。?
2.2 IMSI的組成?
??? IMSI由移動國家碼、移動網絡碼和移動用戶識別碼三部分組成,,共15位,。中國的移動國家碼為460,長城網各中國聯(lián)通的移動網絡碼為03,。ITU-T建議E.212根據IMSI定義了移動臺識別號(MSIN或MIN),,IMSI的結構如圖2所示。?
?
?
??? IMSI由IMSI_M 和IMSI_T組成,。IMSI_M的低10位數(shù)字包含一個MIN,。IMSI_T與MIN無關。ME可以讀取簽約標識,。一個典型的IMSI號碼為460030912121001,。?
??? MIN共有10位,其結構如圖3所示,。?
?
?
??? 其中的M0M1M2M3和MDN號碼中的H0H1H2H3可存在對應關系,,ABCD四位為自由分配??梢钥闯鯥MSI在MIN號碼前加了MCC,,可以區(qū)別出每個用戶的國家,因此可以實現(xiàn)國際漫游,。在同一個國家內,,如果有多個CDMA運營商,可以通過MNC進行區(qū)別,。?
??? MIN碼是為了保證CDMA/AMPS雙模工作而沿用AMPS標準定義的,。長城網和中國聯(lián)通對MIN的定義有所不同,長城網的定義為3H1H2H3××××××,,中國聯(lián)通的定義為132H1H2H3××××,,其中H1H2H3為HLR識別碼。如圖4所示,,移動臺識別碼(MSIN)是一個34位的二進制數(shù),,它來源于10位數(shù)電話號碼簿里的電話號碼。?
?
?
2.3 IMSI的作用?
??? (1)作為基本的參數(shù)同網絡進行交互,,這一階段包含了用戶身份的驗證,,基本過程如圖5所示。?
?
?
??? ①手機在開機或者撥打電話時,,把IMSI和ESN上報給MSC,。?
??? ②MSC以IMSI為索引檢測數(shù)據庫,發(fā)現(xiàn)沒有相關記錄,,MSC發(fā)送登記請求到HLR,,試圖獲取相關信息,。?
??? ③HLR以IMSI為索引,進行數(shù)據查詢,。如果數(shù)據有效,就把查到的MDN及用戶簽約信息等下發(fā)給MSC;否則,,直接拒絕,。?
??? ④MSC獲得了MDN和其他一些簽約信息,就可以進行相關的業(yè)務處理,,這個MDN可以作為主叫號碼顯示給被叫用戶,,或者填寫在話單中。?
??? ⑤在用戶被叫時,,GMSC將通過被叫的MDN到HLR中去查詢當前用戶在哪個MSC下,。當前為用戶服務的MSC最終會以IMSI作為標識下發(fā)尋呼消息,從而找到用戶,。?
??? (2)作為SSD更新及各相關加密與認證算法的輸入參數(shù),。?
??? CAVE算法為2G安全中基本的算法,在共享秘密數(shù)據的更新,、驗證過程及鑒權過程中都會使用到CAVE算法,。根據輸入參數(shù)的不同,CAVE算法參數(shù)初始化和輸出結果不同,,從而能夠被應用到CDMA2000安全的各個環(huán)節(jié)中去,。其主要的應用環(huán)節(jié)包括SSD更新過程和對終端的認證過程,如圖6和圖7所示,。?
?
?
?
3 IMSI的安全策略?
3.1 IMSI安全需求?
??? 在3G系統(tǒng)中,,當服務網絡不能通過TMSI識別用戶身份時,將使用IMSI鑒別用戶身份,,特別是當移動用戶第一次在服務網絡內注冊時,。傳輸明文IMSI面臨以下問題:攻擊者可以收集IMSI,并將IMSI和用戶身份關聯(lián)到一起,。由于IMSI是用戶在全球范圍內唯一性的標識,,IMSI提供了很多信息,例如歸屬網絡和所屬的國家,。在移動環(huán)境中,,截獲IMSI的代價很高。隨著網絡的不斷融合及直接與PC連接的智能卡的廣泛使用,,攻擊可能變得更容易,。?
??? 用戶真實身份、當前位置及其運動模式是重要而又敏感的信息,,在通信中必須保證這些信息的機密性,。為了用戶身份保密,,IMSI不被泄漏給未授權的個人、實體或過程,。防止入侵者偷聽無線信道信令從而識別出哪個用戶在使用網絡資源,,這一特征允許為用戶數(shù)據和信令提供更高的保密性,并保護用戶位置不被跟蹤,。這就要求IMSI或者能推導出IMSI 的信息避免以明文形式在空中傳輸,。?
3.2 IMSI安全策略?
??? 目前CDMA 終端在全球絕大多數(shù)地區(qū)仍采用機卡合一的方式,即所有的信息都是存儲在CDMA 終端的NAM(Number Assignment Module)存儲區(qū)中,,運營商可通過OTA(Over The Air)技術進行NAM 數(shù)據的更改,。?
??? 中國聯(lián)通在推廣CDMA 時,首次采用了機卡分離技術,,把NAM 中的信息和手機終端的信息都剝離到一個UIM(User Identification Module)卡中,。當進行業(yè)務處理時,手機從UIM 卡中獲得相關的信息,,IMSI(MIN)便轉存到UIM卡中,。由于機卡分離已經成為趨勢,這里的討論只考慮機卡分離的情況,。?
??? 對于IMSI的安全,,本文主要從機密性、新鮮性,、有效性來考慮,。?
??? (1) 機密性?
??? 機密性包括IMSI生成過程、更新過程和注冊過程機密,。后兩點既要保證空中傳輸?shù)陌踩?,又要保證在各網絡單元之間的安全傳輸。實現(xiàn)機密性的方法如下:?
??? ①傳統(tǒng)IMSI分配原則是每個用戶對應一個IMSI,,對重要用戶特殊對待,。在重要用戶入網時由運營商提供一組IMSI,或者根據用戶或網絡要求由運營商定期分配一組IMSI,,這一組IMSI分別存放在UIM卡和HLR中,,由MS和HLR通過協(xié)商輪換使用。在這個過程中應該確保MS和HLR在某一時刻使用的IMSI相一致,。?
??? ②使用增強的用戶身份保密機制,,實現(xiàn)IMSI隱藏。當VLR向用戶請求IMSI時,,用戶在注冊過程中對IMSI加密,。?
??? 增強型用戶身份保密機制將用戶的IMSI以密文形式嵌入HE-message中,VLR不能直接解密HE-message,,而是根據HE/UIC-id將HE-message傳送到相應的HE/UIC,。HE/UIC根據GI檢索相應的GK,,用解密HE-message得到用戶的IMSI,再傳送給VLR,。這樣可以保證用戶的IMSI不被竊聽,。此后VLR建立用戶IMSI和TMSI之間的對應關系,用戶就可以用VLR分配的TMSI進行通信,。以上過程如圖8所示,。?
?
?
??? (2)新鮮性?
??? 如果IMSI的機密性得不到保證,則可以用新鮮性來加強用戶身份的安全,。借鑒CDMA的A_Key更新協(xié)商機制,利用OTASP(Over-The-Air Service Provisioning),,根據用戶請求或由HLR定期更新IMSI,。新生成的IMSI通過OTASP的消息發(fā)送到MS,對NAM的IMSI參數(shù)進行更新,,從而切斷克隆終端的服務或為合法用戶提供新服務,。?
??? 實現(xiàn)IMSI的動態(tài)更新,還可以引入可信的第三方(如認證中心CA),,用IMSI的URL代替IMSI進行傳輸,,移動臺通過URL找到預先存在CA中的IMSI,HLR/MS分別通過URL完成IMSI同步更新,。?
??? (3)有效性?
??? 如果用戶的移動終端丟失,,或者IMSI的保密性和新鮮性均得不到保證,這時需要考慮銷毀不安全的IMSI,。若是移動終端丟失,,便只能遠程銷毀IMSI,或者在HLR中銷毀丟失的IMSI,。對IMSI遠程銷毀,,可以通過OTASP的指令,用全‘0’或其他值來替換終端NAM中的IMSI值,,從而使丟失的IMSI失效,。而在HLR中銷毀對應的IMSI,可以使丟失的IMSI無法接入網絡獲得服務,。 ?
??? 在CDMA2000系統(tǒng)中,,國際移動用戶識別碼IMSI在用戶身份識別、用戶位置信息識別,、用戶業(yè)務信息標示等方面起著重要作用,,而用戶身份、業(yè)務,、當前位置及其運動模式等信息是重要而又敏感的,,在通信中必須保證這些信息的機密性,。IMSI的安全關系到用戶信息的安全水平。本文分析了IMSI的安全機制,,并提出了增強CDMA2000系統(tǒng)IMSI安全的幾種方法,,從而提高了IMSI的安全性。?
參考文獻?
[1] 3GPP2 C.S0023-C v1.0. Removable user identity module?for spread spectrum systems[s]. 2006.?
[2] 3GPP2 C.S0005-D v2.0. Upper Layer (Layer 3) Signaling?standard for cdma2000 spread spectrum systems releaseD[s].2005.?? ?
[3] 3GPP2 N.S0011-0 v1.0. OTASP and OTAPA[s]. 2005.?
[4] ITU-T Recommendation E.212 (1998-11). The international identification plan for mobile terminals and mobile?users[s]. 1998.?
[5] 楊義先,,鈕心忻.無線通信安全技術.北京:北京郵電大學出版社, 2005.?
[6] Man Y R著. CDMA cellular mobile communications and?network security.袁偉超,譯. 北京:電子工業(yè)出版社,,2002.