2G_3G_LTE手机用户卡安全技术探讨

2G_3G_LTE手机用户卡安全技术探讨 信息安全技术及应用 ?? 2G、3G、LTE 手机用户卡安全技术探讨 傅准 (中国移动通信集团浙江有限公司，浙江 杭州 31001)4 摘 要:本文就当前存在的手机用户卡安全现状，详细分析了GSM 、3G、LTE 手机用户卡在网络中加密、鉴权的关键环 节、重要参数和信令，对比各种技术下加密、鉴权的优缺点，深入探讨了手机用户卡存在的网络安全问题。同时对安全问题 较为严重的 GSM 手机用户卡克隆的方式进行了进一步研究，了克隆卡利用的技术和管理漏洞，找出了最普遍克隆技术 的防克隆对策。 关 键 词:手机用户卡，鉴权，安全，克隆技术，防克隆 中图分类号:TP303文献标识码:A 2G、3G、LTE Card Security Technology of Mobile Phone Users FUZhun (China MobileCommunications Group Co.,Ltd.，Zhejiang Hangzhou) 310014 Key words:mobile phone users; authenticacardtion;security;cloning;technology;anti-cloning 数字移动电话用户信息、加密密钥等。GSM 鉴权过 AKA程 如图1 所示: 1 手机终端用户卡安全概述 随着移动终端功能的增强和移动业务应用内容的丰富，在 极大地丰富我们的日常工作和生活的同时，对手机终端安全提 出了新的挑战。 当前手机终端安全难题主要有三方面。首先就是垃圾短 信、骚扰电话，这不仅是手机用户卡安全问题，也涉及到通信网 络的信息拦截和信息监管的问题。其次是手机存储的私密信息 的泄露和手机卡信息的复制，随着手机的使用范围越来越广，人 们往往在手机中存储了大量的个人私密信息，在利益的驱动下， 就有人运用木马、手机后门、破解卡信息等一些非法的手段获取 图1 GSM AKA 鉴权过程 私密信息;第三个是手机病毒。前二类安全问题很大程度上都 IMSI:国际移动用户识别码(international mobile bscri sub? 与手机用户卡安全有关，伴随网络融合(三网合一)趋势的加深、 er identit )，y标识用户身份。 电信应用更加广泛、电信业务的日益复杂，手机用户卡将面临着 KI:用户鉴权密钥，是一 128个bit 的随机数，无法直接读取，比以往任何时候都要严峻的安全威胁。 用于推导64bits 的加密密钥Kc。 GSM 中的加密机制如下: 鉴权完成以后MSC， 将鉴权三元组中Kc的 传递给基站BTS， 2 2G 手机用户卡安全分析及防克隆技术的探讨 这样使得从 ME 到 BTS 之间的无线信道可以 Kc用 进行加密，从 2.1 G2 手机用户卡安全分析 而防止了窃听;64bit的加密密 钥 Kc，再和当前帧 F号n(22bit)作 现就 GSM 网络里手机用户卡安全问题进行分析GSM 网，络 为A5 算法的输入，计算密钥流;对消息进行逐位异或加密，将密 通过 SIM 卡和网络侧配合完成鉴权来防止未经授权的接入，生 文从移动台传递到基站，基站接收到加密的信息，用相同的密钥成相关密钥，对用户通话语音信息进行加密保护;SIM 卡作为移 流逐位异或来解密。 动通信业务的承载体，是运营商与用户之间的主要桥梁，它存储 随着网络攻击技术的更新，GSM 系统存在的用户卡的安全 隐患问题如下: 单向认证机制，只有网络对用户的认证，而没有用户对网络 作者简介:傅准(1978- ) ，男，浙江省杭州市人，研究生，工程师， 主要研究方向:移动通信技术管理。的认证，非法的设备(如基站)可以伪装成合法的网络成员 ，从而 2009 年第 12 期 欺骗用户，窃取用户信息。卡制作。采取管理措施严格，管理漏洞的可能性就会很小。 手机用户卡方克隆技术探讨2.3 不是端到端的加密，只在无线信道部分加 MS密( 和即 在 下面对第一种最为普遍的克隆方法探讨防克隆的对策。 通BTS 之间)，在固定网中没有加密(采用明文传输)，给攻击者提 过分析，可以发现攻击 SIM 卡需要有 2 个必然的特性， 一供了机会。 是由于随机性，需连续攻击一定次数(20000一般 次以在上);二数据完整性保护能力薄弱，移动台和网络间的大多数信令 是进行攻击的随机数有攻击特性， SIM发送 卡的相邻随机到数信息是非常敏感的，需要得到完整性保护。而GSM 网络中在，没 在16 字节中至少有14 个字节相同，而网络侧发送的真鉴权随机有考虑数据完整性保护的问题，如果数据在传输的过程中被篡 数由随机发生器产生，没有规律。所以我们可以通过 SIM 卡在改也难以发现。 内置防攻击算法，在攻击行为达到一定门限值后锁定该卡，从而解密技术不断发展，GSM 中使用的加密密钥长度64 bit，是 防止卡被克隆。 采用现在的解密技术，可以在较短时间内被破解，已远远不能满 方法如下:监 控SIM 卡接收到的每一个鉴权随机数。检测 足安全需求。 SIM 卡收到的鉴权随机数是否为攻击型随机数，分析鉴权随机数 加密算法固定不变的，没有更多的密钥算法可供选择，缺乏 的相关性，计算鉴权随机数的接收频率。对符合事先卡内设定 算法协商和加密密钥协商的过程。 防攻击策略的鉴权执行错误输12 位随机数进行干扰。防克隆出 2.2 手机用户卡克隆方式分析 我国GSM 运营商中国移动与中国联通采用3/A的 的8A SIM 卡内建安全 EF 文件，存储鉴权随机数，基于卡内瞬时电流、 SIM 卡鉴权加密算法(海外运营商有使用私有的加密算3/ 法噪声产生随机因子)，A，保 EF证 文件中存储的鉴权随机数是随机 A8 使用 RAND(用户鉴权请求)、SRES(用户鉴权响应)、Kc的 ，三防止被攻击者绕开。攻击次数较多则锁元 定SIM 卡，不能继续 使用。组进行鉴权，密钥Ki 与RAND 运算得出SRES(A3 算法)，密钥Ki 与RAND 运算得出Kc(A8 算法)。因此，制作SIM 卡需要IMSI、Ki 该防克隆手段如在全网应用后，此后新制作 SIM 卡均的具 和加密算法。由于目前该鉴权加密算法已被破解，因此制备防攻击能力。但是因为该算法程序只能通过烧录的方式写作SIM 入 卡只需要IMSI 和Ki 值。 SIM 卡，无法通过OTA 载入SIM 卡，因此对于不换卡的老用户则 用户克隆卡的方式主要有以下三种:无法提高其防克隆能力。 32 (1)在计算机上通过软件模拟鉴权过程 SIM 卡发送精向心 3 3G 手机用户卡安全分析 挑选的鉴权随机数 RAND，SIM 卡使用用户密 KI钥 处理 RAND， 针对GSM 的安全问题3GPP， 提出了新的安全机制和安全算 并返回鉴权结果 RES，通过不断发送有特定关系 RAND的 并获 法。 得返回值 RES，计算出 KI，读出 SIM 卡 IMSI 号，然后进 行SIM 卡 3GPP AKA 鉴权过程如图2 所示: 复制。 由于这种方法成本很低，技术门槛很低，因此这是目前使用 最广泛的克隆卡技术。特点如下:一是破解设备简单，SIM 卡复 制机随处都可以买到，而且价格低廉，仅需几百快钱，软件可下 载、硬件代价低;二是破解迅速，平均花费6 小时就能破解;三破 解成功率高，经测试，使用目前市面上能购买到的解卡工具能破 解几乎所有我国运营商 08 年前的 SIM 卡。四是克隆卡制作简 单，仅需要购买一张空卡和相应的写卡软件。 图2 3GPP AKA 鉴权过程 (2)利用单向认证漏洞架设非法基站，通过截获的信息运算 IMSI:唯一标识一 USIM张 卡，由运营商指定下发，用于鉴 出 Ki 和 IMSI，然后进 SIM行 卡复制。由于架设非法基站的成本 权。较高，而且仅能对覆盖范围内的用户进行SIM 卡克隆，因此对于 K:USIM 卡的鉴权密钥，类似 2G于 中的 Ki，由各卡商写入 以经济利益为目的的SIM 卡克隆行为来说，该方法成本过高，一 USIM。 般不会采用。 OP:运营商密钥，OP从 和K 共同计算出五元组，各运营商生 (3)利用制卡过程中的管理漏洞直接获 Ki 和取 IMSI，然后 成，由各卡商写USIM入。 进行SIM 卡复制。目前各运营SIM商 制作的管理方式不尽相同， 目前 3GPP 的五元组鉴权方式为全世界运营商共同认可的 有运营商直接委托卡商生成Ki 进行卡制作，有运行商由内部员 ，它主要具备以下安全性优势:工生成Ki，与IMSI 进行加密后通过移动存储介质交给卡商进 行 实现了双向认证。SQN 同步机制，保证了鉴权之后所生成AV 和 UMTSAV ，防止获 得UMTSAV 的攻击者假 冒SAESAE 的密钥 CK 及 IK 的新鲜性;不但提供基站 MS对 的认证，也提供网络，利用 AMF 中的一位来标识 AV此 是 UMTSAV 还是 SAE 了MS 对基站的认证，可有效防止伪基站攻击。密IK钥 长CK 和AV，终端利用此标识位来判断认证挑战是否符合其接入网络的 类型。度增加为128 bit， 改进了算法f8，,f 算法为加密算法9，基于?KA SUMI 算法实现，该算法目前尚未被破解。鉴权采用更加安全的USIM 和 SAE 密钥层次比较:UMTS 利CK/IK用 对用户数据 Milenage 算法簇f，1~f5 算法为鉴权算法，基 AES于 算法实现和信令进行安全保护，更，核心网的密钥和 RNC 使用同一个密钥。 加安全。3GPP 接入链路数据加密延伸至无线接入控制SAE器 采取更多的密钥层次，网络侧执行安全操作的实体 MME 有 (RNC)。3G 的安全机制还具有可拓展性，为将来引入新业务提和 eNB，UE-MME 的 NAS 层信令安全 由Knas 做加密和完整性保 护，供安全保护措施。3G 能向用户提供安全可视性操作，用户可随UE-eNB 的AS 层信令和用户面安全由Kenb 做加密和完整性 保护。综上所述，随着时查看自己所用的安全模式及安全级别。3G 的 SQN 同步机2G 向3G 和LTE 演进，手机用户卡具有更 制。保证了鉴权之后所生成的密 CK 及钥 IK 的新鲜性，USIM卡 强的安全性。 可以判断SQN 是否新鲜，防止重放。因为采用了这些安全手段， 参考文献:3G 卡现在还未发现克隆情况。 [1]Asokek Taluker 著，安晓波译.北京:移动通信——技术、应用与业 4 LTE 手机用户卡安全分析 务生成[M].清华大学出版社2008.， 黄东巍、张智.3江G 中端及业务技术[M]北京.:机械工业出版社，[2]和UMTS 网络相比，LTE 的核心网EPC 有较大改动: MME 将取代 SGSN 完成认证等安全功能。MME 需要完成 2009. 彭木根.TD-SCDMA 移动通信系统[M].北京:机械工业出版社2005.，[3] NAS 信令的安全保护。 和UMTS 网络相比，LTE 的接入网是扁平的RAN 结构: 取消了 RNC，接入网中只有一个节 eNB点。减少了节点数 量，简化了网络，减小了延迟。eNB 之间通过X2 接口连接。eNB 和核心网设备MME/S通-GW过S1 接口连接。 LTE/SAE AKA 鉴权机制如图3 所示: 图3 LTE/SAE AKA 鉴权过程 UMTS 和SAE AKA 鉴权机制比较:SAE 和AVUMTSAV 不 同，UMTSAV 中包含 CK/IK，而 SAE AV 中仅包含 KASME，隔离