利用密钥更新改进的3G认证协议

　　摘 要 详细分析了3G认证和密钥分配协议过程及其安全性，针对该协议中可能被攻击的弱点，提出密钥更新的协议改进方法。经过分析，这一改进协议不但满足3G的安全需求，而且通过密钥更新，明显增强了认证的安全性。

　　关键词 认证，加密，解密，密钥更新，3G，信息安全

　　移动通信飞速发展及提供的业务越来越广泛使得人们对通信中的安全机制越来越重视。当前的移动通信系统（包括2C和3G）使用的都是对称密钥加密机制。在对称加密系统中，加密和解密之间有一个共享密钥。对称加密系统的优点是可在加密和解密之间提供快捷的服务，尤其适用于移动终端。然而，由于加解密双方共享同一个密钥，而这个密钥很有可能泄漏或被识破，例如网络运营商的内部工作人员若有心盗用他人密钥的话，成功的几率很大，因此在安全性上存在漏洞。鉴于这一弱点，在不改变对称密钥加密机制及当前网络结构的前提下，本文利用密钥更新机制来变换这一共享的密钥，使得无论什么时间完成认证进程，每次使用的密钥都是不同的，从而提高了对称密钥加密系统的安全性。在介绍我们的改进协议之前，首先有必要回顾一下3G的认证协议。

　　一、3G认证和密钥分配协议

　　1.协议过程

　　3G系统的安全技术是在GSM的基础上建立起来的，并充分考虑了和GSM系统的兼容性。3G系统沿用GSM的请求-响应认证模式，但是做了较大的改进。它通过在移动台（MS）和归属环境/归属位置寄存器（HE/HLR）中共享的密钥，实现MS和HE/HLR之间的双向认证。

　　有三个实体参与3G认证与密钥分配协议过程：MS、访问位置寄存器/支持GPRS服务节点（VLR/SGSN）和HE/HLR，具体步骤如下：

　　①当MS第一次入网或由于某种原因VLR/SGSN需要MS的永久身份认证时，MS向VLR/SGSN发送用户永久身份标识（IMSI），请求注册。在平时的认证中这一步骤并不存在。

　　②VLR/SGSN把IMSI转发到HE/HLR，申请认证向量（AV）以对MS进行认证。

　　③HE/HLR生成n组AV发送给VLR/SGSN。

　　其中，AV=n（RAND||XRES||CK||IK||AUTN），这5个参数分别为随机数（RAND）、期望响应值（XRES）、加密密钥（CK）、完整性密钥（Ⅸ）和认证令牌（AUTN）。它们由如下的方法产生：

RAND由f0产生

XRES=f2k（RAND）

CK=f3k（RAND）

IK=f4k（RAND）

AUTN=SQN+（AAK||AMF||MAC

其中，SQN是序列号；AK是匿名密钥，用于隐藏SQN；AMF是认证管理域；MAC是消息认证码。

AK=f5k（RAND）

MAC=flk（SQN||RAND||AMF）

　　f0～f5是3G安全结构定义的密码算法。f0算法只用在认证中产生随机数，f1算法用于产生消息认证码，f2算法用于在消息认证中计算期望响应值，f3算法用于产生加密密钥，f4算法用于产生完整性密钥，f5算法用于产生匿名密钥。K是MS和HE/HLR之间共享的密钥。

　　④VLR/SGSN接收到认证向量后，将其中的RAND和AUTN发送给MS进行认证。

　　⑤MS收到RAND和AUTN后，计算期望消息认证码（XMAC）的值（XMAC=f1K（SQN||RAND||AMF）），并把计算结果和AUTN中的MAC比较，如不等，则发送拒绝认证消息，放弃该过程。如果二者相等，MS验证SQN是否在正确的范围内，若不在正确的范围内，则MS向VLR/SGSN发送同步失败消息，并放弃该过程。若上面的两项验证都通过，则MS分别计算响应值（RES，RES=f2k（RAND））以及CK、IK的值，并将RES发送给VLR/SGSN。

　　最后，VLR/SGSN收到应答信息后，比较RES和XRES，相等则认证成功，否则认证失败。

　　2.安全性分析

　　该协议通过MS和HE/HLR共享的密钥K，实现了以下目标。

　　（1）MS和HE/HLR之间的相互认证

　　VLR/SGSN接收到来自HE/HLR的认证向量中包括了期望MS产生应答的XRES（XRES=f2k（RAND）），如果MS是合法用户，则RES=XRES。而MS对HE/HLR的认证是通过MAC实现的。MS接收到VLR/SGSN发过来的MAC，计算XMAC=f1k（SQN，RAND，AMF），如果MAC=XMAC，则认证成功。

　　（2）MS和VLR/SGSN之间的密钥分配

　　VLR/SGSN接收到来自HE/HLR的认证向量中包含的CK1和IK1，合法用户接收到正确的RAND之后，在MS中计算得到CK2=f3k（RAND）和IK2=f4k（RAND），并且CK1=CK2，IK1=IK2。由于通信中的密钥并没有在空中传输，确保了密钥的安全。

　　3.可能的攻击

　　通过上面的分析可以发现，3G安全机制完全建立在MS和HE/HLR之间共享密钥K的基础之上，若该密钥K泄漏，那么通信中的安全将无从谈起，攻击者可以轻而易举地在空中截获RAND，并用相关算法取得相互认证且计算出CK和IK，从而通信中的所有数据都可以被攻击者截获。由于这个密钥K是长期不变的，所以一旦泄漏，将对用户和网络运营商造成不可估量的损失。

　　二、改进方察

　　通过上面对3G认证和密钥分配协议的安全性分析，我们提出了一种改进机制，对这个长期不变的密钥K进行更新。不断变化的密钥可以使通信更加安全。

　　1.改进的协议过程

　　改进协议主要考虑不改变当前通信中的安全体系结构，而又能对这一弱点进行有效的改进。

　　改进协议认证过程中各元素的含义如下：

Rm：由MS产生的随机数；

Rv：由VLR/SGSN产生的随机数；

Rh：由HE/HLR产生的随机数；

E()：加密算法；

E＇（)：新密钥的加密算法；

Ki+1=E＇（Ki，h（RMRH））：由用户和网络各自产生的更新密钥；

AUTHhv=E（Ki，h（Rv））：从HE/HLR到VLR/SGSN产生的认证信息；

AUTHhm=E（Ki+1，h（Rv））：从HE/HLR到MS产生的认证信息；

AUTHmv=E（Ki，h（Rv））：从MS到VLR/SGSN产生的认证信息；

AUTHmh=E（Ki+1，h（RH））：从MS到HE/HLR产生的认证信息。

　　改进协议的认证步骤如下：

　　①MS产生随机数Rm，并发送给VLR/SGSN。若，MS是第一次入网或由于某种原因VLR/SGSN需要MS的永久身份认证，则MS还要把IMSI与Rm一起发送给VLR/SGSN。

　　②VLR/SGSN收到IMSI和Rm后，产生随机数Rv，并把IMSI、Rm和Rv一起发送给HE/HLR。

　　③HE/HLR收到VLR/SGSN发来的信息后，首先根据IMSI检索出MS上次的密钥Ki，并产生随机数Rh，然后计算Ki+1=E＇（Ki，h（RmRh））、AUTHhv=E（Ki,h（Rv））和AUTHhm=E（Ki+1,h（Rv）），并把AUTHhv、Rh和AUTHhm发送给VLR/SGSN。

　　④VLR/SGSN收到这些信息后，把AUTHhv存储起来，并把AUTHhm、Rh和Rv发送给MS。

　　⑤MS收到VLR/SGSN发来的消息后，首先计算Ki+1=E＇(Ki,h(RmRh))和AUTHhm＇=E(Ki+1,h(Rv))，验证AUTHhm=AUTHhm＇是否成立，若成立，则MS认证网络成功，然后计算AUTHmv=E（Ki,h(Rv))和AUTHmh=E(Ki+1,h(RH))，并把这两个计算值发送给VLR/SGSN。若不成立，则认证失败。

　　⑥VLR/SGSN收到AUTHmv和AUTHmh后，首先验证AUTHmv=AUTHhv是否成立，若成立，则认证成功，然后VLR/SGSN把AUTHmh发送给HE/HLR。若不成立，则认证失败。

　　⑦HE/HLR收到AUTHmh后，计算AUTHmh＇=E（Ki+1，h（RH）），并验证AUTHmh＇=AUTHmh＇是否成立，若成立，则证明MS是自己的合法用户，认证成功。若不成立，则认证失败。

　　2.协议达到的目标

　　（1）通过验证AUTHhm=AUTHhm＇是否成立，MS可以确认这些信息是否来自HE/HLR，因此也可以确认VLR/SGSN是不是HE/HLR所信任的实体；对于HE/HLR，通过验证AUTHmh’=AUTHmh是否成立，可以确知MS是不是合法用户；而对于VLR/SGSN，通过验证AUTHmv=AUTHhv是否成立，可以知道MS是否为HE/HLR的合法用户。

　　（2）密钥是MS和HE/HLR协商确定的，可以向MS和HE/HLR确保共享密钥Ki+1是“新鲜”的，对双方来说也是公平的。

　　三、安全分析

　　与3G认证协议相同，在改进的认证协议中，VLR/SGSN和HE/HLR之间的信任关系应由网络域的安全机制来保证，此处假设这两者之间是绝对安全的。下面对该协议可能存在的攻击做一简要分析。

　　（1）抵制重放攻击

　　为了有效抵制重放攻击，协议里必须包含“新鲜”特性。改进协议中，通过MS和HE/HLR各自产生的随机数，并且利用原来的共享密钥产生新的密钥，因此，新密钥包含了MS和HE/HLR双方的“新鲜”信息。同时，HE/HLR是用新密钥来验证来自MS的消息AUTHmh，每次用户都使用不同的密钥要求登记和密钥交换，因此能有效防止重放攻击。

　　（2）抵制猜测袭击

　　口令认证广泛地应用在许多安全系统中，然而攻击者可能猜测出这个密码。本协议中，密钥更新特性提供了一个方法来阻止这种猜测袭击。每次更新密钥，用户需要使用不同的密钥登陆，所以，猜测袭击是不可行的。

　　四、结 语

　　安全依然是移动通信领域不可忽视的一个方面，身份认证和密钥协商是一个重要的问题。本文提出了一个改进的3G认证密钥更新协议，该协议不但完全满足3G的安全需求，而且通过密钥更新增强了用户通信中的安全性。当然，改进的协议与原3G认证协议相比，在充分考虑共享密钥安全及通信安全的同时，可能会忽略原协议中一些良好的特性，如何充分兼顾这两个协议的优点，进一步优化3G认证协议，还有待进一步研究。

李 朔 重庆邮电学院通信信息学院硕士研究生

李方伟 重庆邮电学院通信信息学院教授

张 蓉 重庆邮电学院通信信息学院硕士研究生
作者：李 朔 李方伟 张 蓉   来源：中国电信网