一种用于GSM系统的IMSI安全增强方案(投稿版).doc

一种用于GSM系统的IMSI安全增强方案基金项目：本文受国家自然科学基金项目(60673185)，教育部留学回国人员科研启动基金项目（教外司留[2007]1108号），江苏省“青蓝工程”中青年学术带头人培养对象资助项目（苏教师[2007]2号）资助。 王磊1，胡爱群2，白光伟1作者简介：王磊(1986-)，男，江苏如皋人，硕士研究生，主要研究方向为无线网络及其安全技术等. E-mail: leiswang0977@ *|1|王磊|WANG Lei|南京工业大学计算机科学与技术系|Dept. of Computer Science and Technology,Nanjing University of Technology|王磊(1986-)，男，江苏如皋人，硕士研究生，主要研究方向为无线网络及其安全技术等|江苏省南京市新模范马路5号 南京工业大学信息学院 白光伟 转 王磊|210009|leiswang0977@|13655169336|13655169336<CR>|2|胡爱群|HU Aiqun|东南大学信息安全研究中心|Information security Research Centre of Southeast University||||||<CR>|3|白光伟|BAI Guangwei|南京工业大学计算机科学与技术系|Dept. of Computer Science and Technology,Nanjing University of Technology||||||一种用于GSM系统的IMSI安全增强方案|An Enhanced IMSI Security Proposal for GSM Mobile Network|本文受国家自然科学基金项目(60673185)，教育部留学回国人员科研启动基金项目（教外司留[2007]1108号），江苏省 （1. 南京工业大学计算机科学与技术系； 2. 东南大学信息安全研究中心） 摘要：GSM移动通信网络采用TMSI机制对IMSI进行保护，但是IMSI仍旧存在暴露的可能，对移动用户的信息安全造成威胁。本文首先分析了GSM系统中的IMSI信息交互流程，给出了一个伪基站截取IMSI的例子；然后分析了IMSI被截取的根本原因，提出了一种有效的IMSI安全增强方案。在该方案中，将GSM系统的对称密钥和A3算法结合起来对IMSI信息进行保护。分析表明，本文方案改善了IMSI信息传输的安全性，而开销只是略有增加。 关键词： GSM移动通信；国际移动用户身份IMSI；加密；安全；完整性 中图分类号：TN929.5, TN918.91 An Enhanced IMSI Security Proposal for GSM Mobile Network WANG Lei1, HU Aiqun2, BAI Guangwei1 (1. Dept. of Computer Science and Technology,Nanjing University of Technology; 2. Information security Research Centre of Southeast University) Abstract: Though the TMSI system is used to protect IMSI in GSM mobile network, its exposure risk still exists and would lead to serious hidden trouble to information security of mobile phone user. This paper first analyzes the IMSI signaling process in GSM system, and provides an example of a Pseudo- base station for interception of IMSI. Then the basic causes of interception of IMSI are still analyzed. On this basis, an enhanced IMSI security mechanism is proposed. The main idea is to combine the symmetric key and A3 algorithm of GSM system to protect IMSI. Our analyses show that this mechanism improves the security of IMSI information transmission, whereas only a slight increase in terms of overhead. Key words: GSM mobile communication；IMSI；encryption；security；integrity 0 引言 国际移动用户身份（IMSI：International Mobile Subscriber Identity）是移动用户在GSM（Global System for Mobile Communications）系统中的全球唯一身份。IMSI 由移动国家代码MCC、移动网络代码MNC和移动用户身份代码MSIN组成。IMSI的总长度不超过15位。其中MCC的长度为3位，MNC的长度因地区不同可以为2位或3位。从用户的私密性角度来看，IMSI标识了用户身份，如果被截获、跟踪将给用户的信息安全带来严重威胁，因此应当加以机密保护[1]。 但在现有GSM网络中，采用临时用户身份TMSI机制对用户身份进行保护，而不是对IMSI 信息进行加密。当通过GSM单向认证后，访问用户位置寄存器VLR 向移动用户MS发出信道加密控制命令（CIPHERING MODE COMMAND）完成信道加密，并分配临时移动身份TMSI，存储TMSI 和IMSI 之间的对应关系。之后用户使用TMSI与网络建立联系，如请求接入网络、路由更新、附着请求、寻呼消息等。此机制减少了IMSI 在无线信道上的传输，增加了攻击者截获的难度，对IMSI起到了一定的保护作用。但当用户或网络无法获得TMSI 或IMSI-TMSI 对应关系时，用户必须使用IMSI 标识自己身份，此时IMSI 将以明文形式暴露在空中接口中，因此TMSI 机制对于保护IMSI是不完善的[1]，给一些非授权认证用户以可乘之机。 针对移动通信系统IMSI的安全问题，近年来，研究人员已经做了很多工作，如文献[1]提出了一种基于非对称密钥密码体制的IMSI保护方案，文献[2]提出一种基于IMSI分解加密的方案，把IMSI号分解为路由数据部分和用户身份部分，对路由部分以明文传送，用户身份部分加密的方法。这些工作得到预期效果，但是他们采用公钥体制或算法过于复杂，给系统带来很大的开销。为此，本文利用GSM系统的密钥和加密算法，适当增加些参数，对IMSI加密后再传输，保护了用户身份信息安全，同时只略微增加系统开销。 本文第2节通过协议分析IMSI安全漏洞；第3节提出一种IMSI保护解决方案；第4节分析该IMSI保护方案的安全性和开销；第5节总结全文。 1 IMSI暴露问题分析 根据GSM协议，IMSI号码将在以下情况下被使用：（1）用户第一次接入网络；（2）用户开机；（3）用户发生位置区更新，即手机移动前后分别与属于不同的位置区的基站通信。拦截者可以通过建立伪基站的方式，在手机的空闲状态时，迫使手机从真基站转向伪基站进行通信，触发位置更新程序，继而要求手机将IMSI发给伪基站获取用户身份。 图1 用户位置区更新信令流程图 Fig. 1 Location update procedure 位置区更新流程可以描述为如图1所示，其中A 位置区为旧的位置区，也可理解为真实基站，B位置区为新的位置区，即伪基站,HLR/AC是归属位置寄存器/鉴别中心，MSC/VLR是移动交换中心/访问者位置寄存器，BSC是基站控制器。 当手机从A位置区进入B位置区时，移动用户与B位置区交互资源请求连接设置(RR Connection Setup)，与其建立一个无线通信信道并交互位置更新流程： 1) 移动用户转向刚分配的无线信道并发送位置更新请求(LOCATION UPDATE REQUEST)到B MSC/VLR，其中包含A位置区的TMSI 和 位置区号LAI(以下简称A_TMSI和A_LAI )； 2) 该流程有两种可能情况：（a）B 位置区MSC/VLR收到该请求后，在数据库没有找到该A_TMSI,根据收到的A_LAI得到A 位置区MSC/VLR的地址，发送IMSI请求命令IMSI REQUEST（包含A_TMSI）到A 位置区MSC/VLR，A 位置区MSC/VLR收到该信令后，到其数据库中找到该TMSI对应的IMSI返回给B位置区MSC/VLR，这样B位置区MSC/VLR就得到了手机用户的IMSI；（b）B 位置区MSC/VLR可以选择直接发送IMSI请求给手机，手机将直接返回IMSI号码给该B位置区MSC/VLR，如图中虚线部分流程； 3) B位置区MSC/VLR发送位置更新请求 (UPDATE LOCATION)给HLR/AC， HLR/AC将做两件事：(a)更新其数据库中的用户位置区记录；（b）发送n组（Kc,RAND,SRES）给MSC/VLR,其中Kc是会话密钥，RAND是随机数，SRES是签署回应，这几组数据将在后续的认证过程中使用； 4) B 位置区MSC/VLR收到HLR/AC的这几组认证数据后，结合双方预定好的算法（A3,A5,A8）,进行用户认证； 5) B 位置区MSC/VLR发送信道加密命令(CIPHERING MODE COMMAND)给用户，完成信道加密，随后B位置区MSC/VLR分配给手机一个新的TMSI； 至此，位置更新流程完毕，移动用户与B位置区MSC/VLR交互释放资源连接(RR Connection Release)，释放其建立的无线通信信道。 从以上流程分析可以看出，GSM系统存在IMSI安全漏洞。流程2)中可以直接向手机用户发送信令IMSI请求就获取IMSI，且此时信道未被加密，未授权用户利用之并获取IMSI。 因此，只要构造这样一个伪基站就可以实现对IMSI号的截取： 1) 由于手机维护了一个广播频点信息列表，该列表列出了6个周围合法基站的频点，信号强度C1,C2值。手机同时监测这些基站，当某基站信号强度大于目前服务基站时就转向该基站。因此，伪基站的频点要设为某个合法基站的频点； 2) 伪基站的一些参数如移动国家代码MCC、移动网络代码MNC要设置成真基站一样，此外一些信道如频率校正信道FCCH,同步信道SCH都要根据GSM标准设置正确； 3) 位置区号（LAI）要设成与周围真基站不同，这样才能够触发位置更新流程以获取IMSI； 4) 发送位置更新拒绝(LOCATION UPDATE REJECT)消息给手机释放手机用户，使其可连接到真实基站。 当伪基站工作时，周围手机检测到该伪基站，且信号最强，移动用户将与伪基站建立连接，交互信令。由于伪基站位置区号LAI号与原基站不同，触发位置更行流程,伪基站根据GSM信令流程收发信号，并在流程2)时直接发送IMSI请求信令给手机，手机返回IMSI给伪基站，伪基站收到IMSI后，释放手机用户。 可以看出，IMSI被截取的根本原因是IMSI在传输的时候以明文形式出现，GSM网络只有在获取手机IMSI后才对手机进行认证，继而进行信道加密，才能进行安全通信。要保护IMSI信息的安全，只有在发送IMSI时候，将IMSI进行加密才可以保证安全，才能不被伪基站截取IMSI号。GSM系统在空中链路中以明文形式传递IMSI主要基于以下两个原因[2]：第一、为了鉴别用户，GSM系统就必须得到用户的身份标识；而且TMSI的分配以及鉴别与密钥协商过程都是建立在网络已经知道用户的IMSI的基础之上的,因此，移动用户向网络传递自己的IMSI的步骤是必不可少的。同时，由于用户与系统的鉴别信息只是存放在用户的智能卡和HLR/AC中，由图1可知用户和HLR/AC之间的鉴别必须在服务网络的VLR的协助下才能完成，而VLR和用户之间在初始注册时不存在任何共享秘密，因此不能进行保密通信, 所以才使用明文形式进行用户身份的传送；第二、当VLR要协助用户和HLR/AC两者完成鉴别过程的时候，VLR要得到足够的路由信息才能将相关的信令通过核心网传递到移动用户的归属环境。而这种必需的路由信息是包含在用户的身份标识IMSI中的。在VLR和用户之间没有建立安全关系之前，这些必需的信息一定要以明文形式传送。 通过以上分析可知，如果将IMSI加密，将影响以下两个流程的实现：第一、VLR不能根据密文IMSI得到HLR/AC的路由信息，便不能将IMSI传给HLR/AC； 第二、即使HLR/AC得到加密的IMSI，HLR/AC也不能通过解密函数得到IMSI，因为此时HLR/AC不能根据密文IMSI从数据库中知道到对应的密钥Ki。 2 IMSI保护解决方案 由上节最后分析可以看出用户之所以对VLR提供明文，是因为它提供了服务网络与移动用户建立安全关系时核心网信令传输所要用到的信息[2]。本节据此分析，针对IMSI明文传输的特点及原因，提出改进措施。在图1所示的流程图中引入HLR路由信息（HLR_R）和Ki分组号（Ki_G），两者都是GSM网络初始化时定好的，且在用户端和网络端都有备份。这两者的引入可以有效解决因给IMSI加密带来的如上节最后所述的两点问题。具体做法是：VLR收到HLR_R后，根据网络预先备份得到HLR_AC的路由信息，将密文IMSI传给HLR_AC，HLR_AC再根据Ki_G找到对应的密钥Ki，实现IMSI解密。另外，使用SIM卡中A3算法对（Rand||IMSI||Ki_G）进行加密。符号‘||’表示两个二进制的串接，Rand是由用户端产生的固定长度的随机数，该值在解密后弃置不用。使用随机数Rand是为了防止攻击者在连续窃听到同样的密文后，能够对同一个用户进行跟踪定位，危及用户身份的保密性。对Ki_G加密是为了对Ki_G进行完整性保护。 改进后的IMSI保护方案具体实现流程如图2所示。 图2 IMSI保护方案实现流程 Fig.2 Implementation process of IMSI protection proposal 图2的IMSI保护方案流程描述如下： 1) VLR向移动用户发出用户身份请求IMSI REQUEST； 2) 移动用户将HLR路由信息(HLR_R)，Ki分组号(Ki_G)，加密后的IMSI ：A3(Ki，(Rand||IMSI||Ki_G))，发送给VLR； 3) VLR收到该消息后，根据HLR_R得到HLR地址并将Ki_G，A3(Ki，(Rand||IMSI||Ki_G))发送给HLR； 4) HLR收到VLR发送过来的数据后将进行如下操作：(a)HLR通过密钥分组号Ki_G在其数据库中找到对应的Ki并解密得到Rand，IMSI，Ki_G*；(b)比较解密得到的Ki_G*与用户发送过来的Ki_G，看是否相等，如果相等，则表示Ki_G没有被篡改，可进行后续操作，否则终止IMSI保护流程； 5) 接下来同现有GSM协议一样，HLR发送n组(Kc,RAND,SRES)给MSC/VLR，进行认证，信道加密，分配TMSI等流程。 3 IMSI保护方案性能分析 3.1 安全性分析 该方案利用现有GSM体系架构中的对称密钥Ki和加密算法A3对IMSI进行加密，在加密算法A3尚未因安全原因被更替掉，且网络端的有线传输信道是安全的前提下，我们的方法可视为是安全可行的。 为了最大限度保持与原有信令流程一致，增加了HLR路由信息(HLR_R)、对称密钥Ki分组号(Ki_G)、Rand等参数实现了对IMSI的保护，可抗主动和被动攻击[1]，即： 1) 攻击者不能对A3(Ki，(Rand||IMSI||Ki_G))进行解密，因为他不知道密钥Ki，即使攻击者截取到HLR_R和Ki_G，也无法根据这两者获知用户的身份数据； 2) A3(Ki，(Rand||IMSI||Ki_G))中加入了随机数Rand，使得攻击者不能得到每次上报数据的相关性，进而不能对用户进行跟踪定位； 3) HLR将解密Ki_G数据与明文Ki_G数据进行比较，保证了数据的完整性，并防止了攻击者对数据的篡改。 3.2 方案开销分析 通过图中流程可以看出，本论文的方案相比较现有GSM系统方案，增加一些流量与算法的开销： 1) 因为引入了HLR_R， Ki_G，Rand等参数，每次流程中用户与网络VLR间增加了信息HLR_R、Ki_G和Rand的传送，网络内部VLR和HLR_AC间增加了信息Ki_G和Rand的传送； 2) 每次流程中用户端增加了一次A3加密算法，网络端增加了一次A3解密算法； 3) 每次流程中HLR_AC增加了对Ki_G进行完整性校验。 一般来说，VLR要求用户提供IMSI的情况不会频繁出现，所以本文提出的方法的信息流量及运算开销对系统影响较小。 通过将本文与文献[1]和文献[2]的方案相比，列出了三者的开销及安全性对比如表1所示。 表1 本文方法与文献[1] [2]方法对比表 Tab. 1 Comparison of this method and the method in reference[1][2] 是否改变现行GSM/3GPP架构 增加的信息流量 增加算法开销 完整性检验 本论文方法 否 Rand, HLR_R,Ki_G A3加密，解密算法各一次 是 文献[1]方法 是 HLR_ID,VER_PK及公钥更新带来的流量开销 ECC加密，解密算法各一次,哈希函数算法 是 文献[2]方法 否 Rand 加密，解密算法各一次，IMSI分解及寻找密钥Ki带来的遍历算法开销 否 比较发现，文献[1]因需要在HLR和SIM卡中加入非对称密码算法(ECC)而改变了现行通信系统架构，且采用公钥加密算法，复杂度较高，虽用于3G系统但开销颇大；文献[2] 提出了一种基于IMSI分解加密的方案，虽然减少了系统的信息流量的传输，但由于分解IMSI及寻找密钥Ki带来的遍历算法的开销大，导致网络端算法过于繁琐和复杂。本文通过适当增加通信流量的方法，大大降低算法开销，平衡前两者的缺陷，保证IMSI安全。 [参考文献] (References) [1] 曾勇. 一种基于非对称密钥密码体制的IMSI保护方案[J]. 通信技术，2008，41（9）：152-154 [2] 赵源超，李道本. 移动通信用户身份保密的增强方法[J]. 电子与信息学报，2005，27（9）：1459-1462 [3] 黄志伟，付航. 解析移动通信安全机制，构建下一代可信网络[J]. 电信工程技术与标准化，2009.7：23-26 [4] 刘莹，陆松年，杨树堂. 基于混合密码的增强型3G终端入网认证方案[J]. 计算机工程，2008，34（20）：149-153 [5] ETSI “Digital cellular telecommunications system (Phase 2+); Mobile radio interface layer 3 specification[S], (GSM 04.08 version 7.8.0 Release 1998),” Document ETSI TS 100940 V7.8.0 (2000-10)。 [6] ETSI “Digital cellular telecommunications system (Phase 2+); Functions related to Mobile Station (MS) in idle mode and group receive mode[S], (GSM 03.22 version 5.3.1 Release 1996),” Document ETS 300 930 December 1998。 [7] ETSI “Recommendation GSM 03.20: Security Related Network Functions[S],” Technical Reports, European Telecom- munication Standards Institute, ETSI (1993)。 以下为系统生成表格，切勿修改表格内容. 项目基金 本文受国家自然科学基金项目(60673185)，教育部留学回国人员科研启动基金项目（教外司留[2007]1108号），江苏省“青蓝工程”中青年学术带头人培养对象资助项目（苏教师[2007]2号）资助。 中文作者 王磊;胡爱群;白光伟 英文作者 WANG Lei;HU Aiqun;BAI Guangwei 中文工作单位 南京工业大学计算机科学与技术系;东南大学信息安全研究中心;南京工业大学计算机科学与技术系 英文工作单位 Dept. of Computer Science and Technology,Nanjing University of Technology;Information security Research Centre of Southeast University;Dept. of Computer Science and Technology,Nanjing University of Technology 通信联系人 王磊 作者邮箱 leiswang0977@;; 作者电话 13655169336;; 作者手机 13655169336;; 作者简介 王磊(1986-)，男，江苏如皋人，硕士研究生，主要研究方向为无线网络及其安全技术等;; 作者邮编 210009;; 作者地址 江苏省南京市新模范马路5号 南京工业大学信息学院 白光伟 转 王磊;;