移動通信網鑒權認證綜述

胡鑫鑫，劉彩霞，劉樹新，游偉，喬康

?

移動通信網鑒權認證綜述

胡鑫鑫，劉彩霞，劉樹新，游偉，喬康

（國家數字交換系統(tǒng)工程技術研究中心，河南 鄭州 450001）

隨著移動通信網技術的演進，網絡安全問題日益突出，如何在提供高質量通信服務的同時保護合法用戶的隱私不被非法竊取、運營商網絡不被入侵成為移動通信安全領域的一個重要問題。用戶與網絡的相互鑒權是用戶和網絡彼此判定對方合法性的重要手段，鑒權手段也隨著網絡演進而不斷演進，從歷代移動通信網絡（GSM、CDMA、UMTS、LTE）鑒權認證技術入手，分析鑒權技術優(yōu)缺點，并重點剖析了即將商用的第五代（5G）移動通信的鑒權技術、統(tǒng)一認證技術，最后對未來鑒權技術的發(fā)展進行了展望。

移動通信網；鑒權；安全；第五代移動通信；統(tǒng)一認證

1 引言

作為國家關鍵基礎設施的一部分，蜂窩移動通信網絡不僅影響個人生活方方面面（如導航、上網、通信），同時也影響整個社會（如商業(yè)、公共安全信息傳播）。因此，移動通信網絡經常成為攻擊者的攻擊目標。一方面，攻擊者的攻擊目標可能針對用戶個人隱私，如竊取用戶位置、通話內容等；另一方面，攻擊者的攻擊目標可能針對整個國家的移動通信網絡，這對一個國家的信息網絡安全構成巨大威脅。資源豐富的對手（如國外情報機構、恐怖分子）可以通過利用移動通信網的漏洞造成嚴重破壞（如用戶位置跟蹤[1-2]）。為了保證移動通信網的安全和運營商、用戶合法權益，鑒權認證機制成為保護移動通信網的第一道防線。

移動通信網通常由3部分組成，即核心網（CN，core network）、無線接入網（RAN，radio access network）和用戶設備（UE，user equipment）。其中移動用戶設備屬于用戶個人，由用戶直接控制，接入網與核心網屬于運營商，由運營商直接控制。如果用戶希望使用運營商服務和網絡資源，需要用戶和運營商共同協(xié)商，這就涉及鑒權認證，判明和確認通信雙方真實身份[3]。簡單來說，網絡側需要根據用戶設備中存儲的身份識別參數判定用戶是否合法，校驗這些參數的過程就是網絡對終端的鑒權認證技術；同樣地，如果用戶設備需要對網絡鑒權，同樣需要驗證網絡所提供的參數。鑒權是一個詢問與響應的過程，以保證合法用戶才能接入網絡，合法網絡才能服務用戶。

2 移動通信網面臨威脅與安全需求

自無線通信系統(tǒng)誕生以來，移動通信網就不斷遭受各種安全問題的襲擾。最早的模擬通信系統(tǒng)基本沒有采用任何安全技術，直接后果就是安全問題頻出，竊聽用戶通話和運營商網絡被盜用現象屢見不鮮。第二代（2G）移動通信技術雖然增加了一些安全措施，但是其安全形勢并沒有得到根本性改變[4]，在隨后的第三代（3G）移動通信、第四代（4G）移動通信技術也都不斷被爆出安全問題[5-8]，甚至在剛剛完成第一階段標準的第五代（5G）移動通信系統(tǒng)，也被分析出實際標準未達到其設想的安全需要的情況[9]。移動通信網必須利用空中無線信道進行信息傳輸，而該信道是開放的，只要攻擊者運行安裝合適協(xié)議棧的天線就可以接收信息。不僅如此，由于整個空口協(xié)議體系異常復雜，出于性能和可用性等考慮，該協(xié)議體系可能存在安全漏洞，這就降低了移動通信網的安全性。在智能手機興起之后，各類應用軟件層出不窮，而終端存儲著海量用戶信息和瀏覽數據，這些軟件很容易受到安全問題的困擾，因此，移動通信網絡關乎用戶的隱私甚至生命財產安全。具體來說，移動通信網所面臨的威脅主要包括以下幾個方面。

1) 竊聽。無線接入網是移動通信網的根基，它形成了用戶和運營商核心網的通路，但這條空中無線信道卻由于其開放性而極易被攻擊者竊聽。一方面，攻擊者可以利用空口協(xié)議上的漏洞直接獲得空口信道上傳輸的信息，另一方面，竊聽者即使不能直接解碼消息內容，也可以在獲得消息源和目的地址后，通過信道中消息流推測通信內容[10-11]，這種攻擊方式通常被稱為流量分析。

2) 信息篡改。信息篡改是指攻擊者先修改或者刪除信息的部分甚至全部內容，然后將修改后的內容發(fā)送給信息原本的接收方。移動通信網絡中傳遞的消息需要在核心網和接入網基站之間進行轉發(fā)，在這個過程中，攻擊者也可能篡改信息[12-13]。此外，在無線信道上，攻擊者通過設立偽基站使受害者設備附著，然后將偽基站連接合法基站，用戶所有消息均經過攻擊者設備，攻擊者便可以篡改其中傳輸的用戶信息。

3) 假冒攻擊。假冒攻擊是指攻擊者通過一定的技術手段竊取真實用戶身份信息，并使用該信息在運營商網絡成功注冊，進而接入合法網絡，隨后攻擊者在合法網絡中以受害者身份活動。在竊取合法用戶身份信息時，攻擊者首先假冒網絡控制中心騙取用戶接入，隨后運行鑒權協(xié)議獲取用戶的身份信息[14]。

4) 服務后抵賴。服務后抵賴是指交易完成后，交易其中一方否認參與過該交易[15]。

5) 重放攻擊。攻擊者將截獲的正常消息再次發(fā)送給信息原本的接收者，盡管情形已經發(fā)生變化，攻擊者通過一定技術手段使最終結果與信息失效前相同[16-18]。

6) 惡意代碼。移動終端需要運行相應的操作系統(tǒng)，倘若攻擊者利用操作系統(tǒng)漏洞注入惡意代碼，則攻擊者可以隨意地控制設備而不被用戶察覺，甚至有時用戶安裝的應用軟件也會非法獲取用戶終端權限，用以搜集用戶隱私數據或者竊取賬號密碼[19-20]。

面對以上種種威脅，移動通信網安全研究人員試圖通過種種技術手段以提高其安全性，尤其是針對移動用戶終端設備和網絡之間的鑒權過程，空口數據根據實際網絡情況，可以抽象出以下幾個方面的安全需求[15]。

1) 用戶身份的隱蔽性。在2G、3G、4G網絡中，每個使用運營商服務的移動終端都有唯一且固定的身份標識——國際移動用戶識別號（IMSI，international mobile subscriber identification number），但在有些場景下用戶終端以明文消息給網絡發(fā)送自身IMSI，若這一性質被攻擊者利用就會導致用戶IMSI被非法獲取。

2) 雙向鑒權。在GSM通信系統(tǒng)中，只有網絡對用戶的鑒權，而沒有用戶對網絡的鑒權，這導致攻擊者可以偽冒運營商網絡欺騙合法用戶，因此還需要增加用戶對網絡鑒權，這樣才能避免偽基站等非法網絡欺騙合法用戶。

3) 機密性。以往的移動通信網絡往往采用計算復雜度較小的對稱加密算法，然而對稱加密算法有一個天然缺陷，那就是通信雙方在協(xié)商完密鑰之前必須明文傳遞信息，這些明文信息經常被攻擊者利用。如今，移動終端的計算能力大大提升，足以滿足非對稱加密算法的計算要求。5G鑒權認證機制使用了ECC非對稱加密算法，以防止歷代網絡中的IMSI 捕獲攻擊，此外在3G、4G、5G網絡中使用的其他加密算法還有SNOW、AES、ZUC等[21]。

4) 完整性保護。信息完整性是指系統(tǒng)中信息的完整和真實可信，防止攻擊者對系統(tǒng)中數據的非法刪除、更改、復制和破壞。攻擊者通過中斷、竊取、篡改和偽造系統(tǒng)信息應有的特性或狀態(tài)來破壞系統(tǒng)信息完整性，目前主要通過訪問控制技術保證信息完整性[22]。

5) 新鮮性。新鮮性主要是用來防止重放攻擊，一般采用同步機制，如時間戳、同步序列（SQN，sequence number）等方式保證新鮮性[23]。

6) 不可抵賴性。不可抵賴性主要是防止消息發(fā)送方和接收方對自己發(fā)送或接收行為的否認，采用的技術手段一般是數字簽名、簽收機制等。

以上安全需求是保證移動通信網安全的基本需求，在每一代移動通信網標準制定之時都需要保證上述需求得到滿足，否則會導致被攻擊者利用的漏洞。這些安全需求也為移動通信安全技術發(fā)展指明了方向。隨著社會的發(fā)展，人們會越來越關注移動通信網的安全問題，這些問題必須得到移動通信網研發(fā)人員的關注。針對這些安全需求，當前商用的移動通信系統(tǒng)還有很大的提升空間。

3 歷代通信網的鑒權技術

縱觀歷代移動通信網鑒權技術，從鑒權方向上可以分為兩大類：單向鑒權和雙向鑒權。其中，單向鑒權是指網絡對用戶的鑒權，用戶不對網絡進行鑒權；雙向鑒權是指用戶和網絡相互鑒權。本節(jié)對這兩類鑒權技術分別介紹。

3.1 單向鑒權

單向鑒權主要在第二代移動通信系統(tǒng)中使用，2G主要包括基于GSM09.02 MAP的泛歐數字移動通信系統(tǒng)（GSM, global system for mobile communications）和基于IS-41 MAP的北美數字移動通信系統(tǒng)，如碼分多址（CDMA，code division multiple access），它們各成一派，形成了兩大有代表性的用戶鑒權技術體系[24]。

3.1.1 GSM系統(tǒng)鑒權

在第一代模擬通信系統(tǒng)中，由于幾乎沒有安全機制保護，用戶通話被竊聽、號碼被盜用、通信資源被竊取等安全問題層出不窮，嚴重損害了合法用戶和運營商權益，加上模擬通信的服務能力限制，第二代移動通信技術應運而生。相比第一代模擬通信，采用數字通信的第二代通信系統(tǒng)增加了許多安全能力，這使2G成為當時最安全的移動通信系統(tǒng)，2G系統(tǒng)所采取的保密措施主要有4種：防止空口信息被攻擊者竊聽的加解密技術；防止未授權用戶非法接入的鑒權認證技術；防止攻擊者竊取用戶身份標識碼和位置信息的臨時移動用戶身份更新技術；防止過期合法用戶移動終端在網絡中繼續(xù)使用的設備認證技術[25]。鑒權認證技術就是防止未授權的用戶接入GSM系統(tǒng)，其基本原理是在用戶和網絡之間運行鑒權和密鑰協(xié)商協(xié)議，當移動終端訪問拜訪位置寄存器（VLR，visitor location register）時，網絡對用戶的身份進行鑒別。

第二代移動通信網中最常見的鑒權發(fā)生在用戶和基站之間，GSM系統(tǒng)中鑒權規(guī)程在GSM09.02 MAP中定義。簡要過程如下：當移動終端在拜訪地期望連接網絡時，終端便向拜訪地網絡發(fā)起鑒權請求，VLR將該請求轉發(fā)給歸屬地位置寄存器（HLR，home location register），歸屬地核心網收到請求后，基站首先產生一個隨機數（RAND，random number），然后使用加密算法A3和A8將這個隨機數和根密鑰一起計算得出期望的鑒權響應號（SRES，signed response），同時基站把這個隨機數發(fā)送給終端，上述過程在鑒權中心（AUC，authentication center）完成。在終端側，用戶設備根據收到的RAND，并結合IMSI計算出鑒權響應號SRES。隨后終端將SRES通過空中信道發(fā)送給基站，基站將用戶發(fā)送的鑒權響應號SRES和核心網計算得到的鑒權響應號進行比對。若二者一致，則鑒權成功，否則鑒權失敗[26]。整個鑒權過程如圖1所示。

3.1.2 CDMA系統(tǒng)鑒權

CDMA系統(tǒng)的鑒權流程在IS-41 MAP中被詳細定義。當移動終端進入一個新的基站子系統(tǒng)（BSS，base station subsystem）時，它將收到新的OMT（Overhead Message Train）基站系統(tǒng)廣播消息，用戶設備據此判斷自己是否需要重新鑒權。此時，移動終端也會收到由無線基站控制器（BSC，base station controller）生成鑒權隨機數RAND，移動終端將收到的RAND值保存，在隨后的鑒權驗證值AUTHx生成時可以使用。CDMA系統(tǒng)中用于移動臺鑒權的密碼分為兩級；第一級為移動臺的密鑰A_Key，第二級為共享加密數據（SSD，shared secret data）。密鑰A_Key是高級密碼，長度為64 bit，由運營商分配，它和IMSI一同被寫入移動終端永久性存儲器中。同時，運營商核心網存儲該用戶的IMSI和對應的A_Key。該密鑰是永久性的，不在網絡和空中信道上傳播。SSD是低級密碼，長為128 bit（分為SSD_A為64 bit和SSD_B為64 bit），它由A_Key運算產生，存在于移動臺、鑒權中心和拜訪者位置寄存器[27]。在鑒權過程中，核心網使用RAND和SSD_A計算出期望的響應AUTHx，倘若移動終端計算的AUTHx（用RAND和SSD_A計算所得）和核心網計算的 AUTHx相同，則鑒權成功，攻擊者因沒有正確有效的SSD值，無法計算得到核心網所期望的AUTHx值導致鑒權失敗[28-30]。

圖1 GSM系統(tǒng)的鑒權過程

3.2 雙向鑒權

3.2.1 UMTS系統(tǒng)鑒權

傳統(tǒng)的GSM網絡沒有專門針對信令、語音和用戶數據提供獨立的完整性保護[31-33]，這是由于在通信系統(tǒng)設計之初，人們重點考慮的是語音的傳輸，涉及的主要安全問題是空口信息傳輸時如何防止語音信息被竊聽、用戶信息被泄露，并未充分考慮對信息篡改或者偽造等問題的防護。因此對于信息可能被篡改的攻擊，GSM系統(tǒng)并未設計獨立的完整性保護算法，而是通過在使用加密的方式同時實現對信息的完整性保護，即通過加密的方式，使攻擊者無法獲知明文，進而無法對密文進行修改。此外，GSM系統(tǒng)用戶極易被攻擊者跟蹤，而且攻擊者只需要采取簡單的措施就可以偷聽用戶的電話。2G中的VoIP為運營商降低運營成本的同時，極大地增加了安全隱患，基于開放式標準的VoIP系統(tǒng)流量沒有采取加密措施，攻擊者可以輕易地偷聽、攔截和偽造呼叫語音信息。如上所述，GSM系統(tǒng)所采用的單向鑒權只有網絡對終端的鑒權，沒有終端對網絡的鑒權，并且加密功能是否開啟完全由網絡側決定。由于GSM協(xié)議的缺省版本并不采用加密技術，無法對基站進行甄別，最終造成了潛在的威脅。比較典型的有中間人攻擊，一般過程如下：攻擊者在用戶終端和真基站之間安裝假冒基站，從而形成自己的小區(qū)，一般攻擊者基站的功率較大，移動終端自動地向功率較大的基站發(fā)送附著請求，這便暴露了自己的IMSI。隨后，攻擊者偵聽設備冒充目標終端向運營商真實網絡側發(fā)起注冊請求，在這個過程中，把網絡下發(fā)的RAND轉給受害者移動終端，并把終端返回的SRES轉給網絡，這就完成了鑒權認證流程，完成鑒權后假基站截取終端和真基站之間的通信，而真基站和受害者終端都無法察覺[34]。此外，2G通信系統(tǒng)中只有空口信息被加密，空口消息加密密鑰長度只有64 bit，目前這種長度的密鑰已不安全[35]，核心網內部以及拜訪地網絡和歸屬地網絡之間傳輸的消息仍是明文的，這也增加了網絡安全風險。

3G對2G安全性進行了改進，為了防止攻擊者偽造網絡，3G通信系統(tǒng)增加了用戶對網絡的鑒權，這一特性是在鑒權和密鑰協(xié)商協(xié)議中實現的，在此過程中也實現了加密算法協(xié)商和完整性密鑰協(xié)商。通過實現算法協(xié)商，增加了系統(tǒng)的靈活性，使不同的運營商之間只要支持一種相同的UEA/UIA就可以跨網通信。3G網絡認證向量中的認證令牌（AUTN，authentication token）包含了一個序列號，該序列號可以使用戶免受重傳攻擊，但可能會暴露用戶的身份和位置信息，因此采用匿名密鑰（AK，anonymity key）在AUTN中隱藏序列號。

在3G系統(tǒng)中，鑒權認證思想可以簡單地概括為：SGSN/VLR 接收到來自移動臺（MS，moving station）的響應RES后，將比較移動臺RES與認證向量（AV，authentication vector）中的XRES，若一致則鑒權成功，否則鑒權失敗[36]。

具體來說，UMTS 系統(tǒng)中的鑒權過程如下。

1) 鑒權五元組生成：首先移動臺拜訪地網絡發(fā)出接入請求，拜訪地網絡將該請求傳送到歸屬地網絡，歸屬地網絡中的HLR/AuC生成鑒權向量，該向量由五元組（RAND，XRES，CK，IK，AUTN）構成。其中，RAND是隨機數，XRES是期望的響應，CK是機密性密鑰，IK是完整性密鑰，AUTN是鑒權令牌。

2) 歸屬地網絡將鑒權向量發(fā)送到用戶設備所在的拜訪地網絡。

3) 拜訪地網絡從收到的鑒權向量中選擇一個，發(fā)送 RAND ()、AUTN()到用戶。

4) 用戶側再檢查AUTN ()可否接受，隨后計算消息認證碼XMAC，并與AUTN中的消息認證碼（MAC，message authentication code)比較，若不同則放棄認證過程。同時 MS 要核驗 SQN 是否在有效的范圍內，若不在則MS放棄認證過程，這實際上是用戶終端對網絡的鑒權過程。

5) 當以上驗證步驟成功，終端產生響應RES()送回拜訪地網絡VLR/SGSN，拜訪地網絡比較RES()和XRES()，若一致則鑒權通過，否則鑒權失敗。在鑒權成功后終端USIM卡同時CK和IK，用于在空中接口加密和完整性保護。

完整的鑒權過程如圖2所示。

3.2.2 LTE系統(tǒng)鑒權

相比3G，長期演進（LTE，long term evolution）簡化了網絡架構，采用eNB單層結構，實現了低復雜度和低時延的要求。雖然3G網絡是在2G基礎上的演進，解決了許多2G網絡中存在的安全問題（如單向鑒權），但隨著時間的推移，3G網絡暴露出了許多安全問題，具體有以下幾類。

1) 3G鑒權認證過程中雖然增加了終端對網絡的認證，但僅對歸屬地網絡HLR進行認證，并沒有認證拜訪地網絡VLR，利用這一漏洞攻擊者就可以在空口截獲合法的IMSI進行攻擊。

2) 3G網絡沒有對網絡內部的通信鏈路進行保護，攻擊者在VLR和HLR之間的通信鏈路上嗅探鑒權向量AV，從而獲得CK和IK。

3) 3G AKA也暴露出一些隱私問題，如攻擊者通過重放預先截獲某用戶的認證令牌（AUTN），借助3G AKA對消息鑒權碼（MAC，message authentication code）校驗失敗和同步失敗的提示不同，判斷該特定用戶是否在當前小區(qū)內[37]。

總之，3G系統(tǒng)的安全性有一個前提：整個網絡內部是可信的。鑒于3G網絡安全機制的漏洞，LTE網絡建立了分層安全機制。即LTE將安全在接入層（AS，access stratum）和非接入層（NAS，non-access stratum）信令之間分離，空口和核心網都有各自的密鑰。第一層為E-UTRAN中的無線資源控制（RRC，radio resource control）層安全和用戶層安全，第二層是演進分組核心網（EPC，evolved packet core）中的NAS信令安全，如圖3所示[38]。

圖3 LTE安全層次

鑒權數據分發(fā)過程闡述如下：MME向歸屬地環(huán)境（HE，home environment）發(fā)送攜帶有IMSI的鑒權數據請求消息[39]，HE利用IMSI找到與之對應的根密鑰，并計算出鑒權向量。同3G網絡不同，LTE網絡鑒權向量是四元組，即（RAND，AUTN，XRES，KASME）[40]。鑒權向量生成過程如圖4所示，K、AMF、SQN和 RAND通過f1[41]算法計算得出MAC，K和 RAND通過f2[41]算法計算得出XRES，KASME由CK和IK計算得到，IK、CK的計算過程類似。

圖4 LTE鑒權向量生成

MME接收到鑒權向量后，將鑒權向量中的RAND、AUTN和KSlasme發(fā)送給UE[42-43]，USIM中用戶鑒權參數生成過程如圖5所示。UE接收到鑒權請求消息后，通過f5[41]和f1算法計算出 XMAC，并將計算結果與AUTN中的MAC進行比較，若二者一致則網絡合法，否則網絡非法。同時，UE通過檢驗SQN是否在有效的范圍內判斷其是否合法，用以防范重放攻擊。若上述兩項驗證均成功，則UE使用K和 RAND通過f2算法計算出RES，并將RES通過鑒權響應消息發(fā)送給MME，MME將接收到的RES與鑒權向量中的XRES 進行比較，若一致則鑒權成功，否則鑒權失敗。因此，4G系統(tǒng)的鑒權也是雙向鑒權的。

圖5 USIM中用戶鑒權處理

在上述鑒權過程完成后還要進行密鑰協(xié)商，USIM使用永久密鑰K和隨機數RAND分別通過f3和f4[41]算法計算出CK、IK，UE利用CK、IK綁定服務網絡標識并計算出KASME，并將其與KSlasme對應起來存儲。經過上述過程后，網絡和UE之間完成了雙向鑒權，并共享密鑰KASME，該密鑰可以在隨后用來計算NAS層密鑰和AS層密鑰。

4 5G系統(tǒng)鑒權分析

4.1 上一代鑒權認證技術不足

雖然LTE系統(tǒng)的安全層次和密鑰管理機制相比3G系統(tǒng)有了很大改進，但是仍存在3個方面的安全問題。

一是密鑰安全體系仍然不夠完善。LTE系統(tǒng)用戶鑒權和密鑰協(xié)商機制采用分層的密鑰體系，即根密鑰K是永久性根密鑰，機密性密鑰CK和完整性保護密鑰IK是鑒權中心AuC和USIM卡在AKA認證過程中根據K和RAND協(xié)商的一對密鑰，而終端側和核心網側的所有中間密鑰（KeNB，KUP，KASME，KNAS）均是通過CK和IK推演得到的，由此可見，根密鑰K是LTE/SAE移動通信網絡整個安全體系的根基，倘若攻擊者獲得了K這個根密鑰，則整個LTE網絡對攻擊者而言就是透明的。攻擊者可以采用主動攻擊手段攻擊eNB，也可以采用被動攻擊手段在空中信道竊聽核心網發(fā)送的鑒權向量和用戶終端發(fā)送的響應RES。而根密鑰K是保持不變的，攻擊者通過學習大量的鑒權參數樣本就可以進行猜測攻擊[44]。

二是存在密碼體制的局限性，LTE網絡采用對稱密碼體制。雖然對稱密碼體制具有安全性能高、算法處理速度快的優(yōu)點，但在密鑰協(xié)商完成之前，網絡和UE必須以明文傳遞消息，這直接導致了鑒權認證之前的信令不能被有效保護，故在2G、3G、4G通信系統(tǒng)中一直存在IMSI catcher問題。這是對稱密碼體制的天然缺陷所導致的、而非對稱密碼體制能夠有效解決的一問題。

IMSI catcher問題、就是攻擊者利用各種無線電工具進行鑒權信令截獲和重傳，在此過程中獲取合法用戶真實身份IMSI。為了防止用戶位置被跟蹤，LTE系統(tǒng)平時傳遞數據都是使用臨時移動用戶身份標識（TMSI，temporary mobile subscriber identity），移動終端只有在2種特殊的場景下發(fā)送自己的IMSI。第一種場景是被動偵聽。當手機正常開機接入網絡時，先從USIM中讀取之前運營商分配的臨時身份信息，將攜帶該信息的信令發(fā)送給基站，請求接入運營商網絡?；臼盏皆撓⒑筠D發(fā)給核心網的移動性管理實體（MME，mobility management entity），若MME中可以查詢到GUTI/TMSI對應的真實身份，則允許手機接入。若MME查詢不到，則核心網需要重新對手機發(fā)起真實身份核驗的請求“Identity Request”消息，即要求手機提供真實身份IMSI。這種情形常常發(fā)生在手機首次入網或手機移動到其他MME覆蓋范圍后，MME無法從核心網數據庫中查詢到手機的TMSI，故需要手機上報自己的真實身份，此時攻擊者只需在空口采取被動監(jiān)聽就可以捕獲手機的IMSI。第二種場景是主動獲取。由于手機主動選擇信號強度最強的基站進行附著操作，偽基站通過發(fā)射比真實基站信號強度高的無線信號，使受害者手機主動附著在偽基站上，之后強行給連接過來的手機發(fā)送身份驗證請求消息“Identity Request”，手機便將真實身份IMSI上報給偽基站。此時主動攻擊者只需要打開偽基站，不停地發(fā)送“Identity Request”消息就可以不斷獲取周圍小區(qū)內手機的真實身份IMSI。比較有名的一款IMSI Catcher工具叫黃貂魚（Stingray），Stingray是一款同時具有被動監(jiān)聽（如監(jiān)聽、數據分析）和主動攻擊（如構造偽基站）的IMSI Catcher。該設備輕巧便攜，還可以測繪基站的分布情況，自行進行數據分析，監(jiān)聽通信內容，追蹤目標手機位置，進行DDoS攻擊等[45-46]。

三是eNB安全問題。3GPP認為若eNB被部署在不安全環(huán)境中，eNB面臨的一個很大的安全問題是攻擊者直接非法占領控制該eNB，由于目標eNB的密鑰KeNB可以經源eNB上的密鑰KeNB推演得到，倘若攻擊者控制了源eNB，就可以推演得到目標eNB的密鑰KeNB，導致威脅逐步擴散。那么當用戶終端跨小區(qū)切換時終端密鑰不具備用戶設備切換時，接入層密鑰（KeNB）更新不具備后向安全性[44]。

4.2 5G系統(tǒng)鑒權

2018年6月，在3GPP第80次全會上5G獨立組網（SA，stand alone）標準凍結，這是5G標準的第一個完整版本，在此前的2017年12月3GPP第78次全會上凍結了5G非獨立組網（NSA，non-stand alone）的新空口（NR，new radio）標準。這些標準中對5G鑒權方案進行了明確。其中，針對4G網絡鑒權中存在的安全問題，5G鑒權方案專門做了修正，最典型的就是使用公私鑰加密體制防止IMSI被捕獲。手機的真實身份在5G中稱為SUPI（subscription permanent identifier）（類似于IMSI），通過公鑰加密后的密文稱為SUCI（subscription concealed identifier），SUCI傳送給基站后，基站直接上傳至核心網，大致的流程如圖6所示[21,47]。

5G系統(tǒng)有2種鑒權認證協(xié)議，分別為5G AKA和EAP-AKA'。EAP-AKA'與5G AKA非常相似：它們依賴于相同的安全機制，如K作為共享秘密的挑戰(zhàn)響應，SQN用于重放攻擊保護，并使用類似的加密消息。主要區(qū)別是一些具體流程和一些關鍵的派生函數略有改變，這里主要介紹采用5G AKA協(xié)議進行鑒權認證。當服務網絡（SN，serving network）觸發(fā)了與用戶的認證，用戶終端就會發(fā)送SUPI的隨機加密：SUCI =?aenc（?SUPI，Rs?，pkHN），idHN?，其中，aenc（·）表示非對稱加密，Rs是隨機數，而idHN唯一地標識為歸屬地網絡（HN，home network）。標識符idHN使SN能夠從合適的HN請求認證資料。在接收到SUCI以及SN的身份（稱為SNname）時，HN可以檢索SUPI、用戶的身份，并選擇認證方法。請注意，SUPI還包含idHN，因此標識用戶及其HN。如前所述，密鑰K用作長期共享密鑰，SQN為用戶提供重放保護。雖然SQN應該在用戶和HN之間同步，但可能發(fā)生不同步（如由于消息丟失），因此，使用SQNUE（分別為SQNHN）指代存儲在UE（分別為HN）中的SQN值。5G-AKA協(xié)議包括2個主要階段：質詢?響應和可選的重新同步流程（在SQN不同步的情況下更新HN側的SQN）。

圖6 5G AKA鑒權過程

第一階段是質詢?響應。在收到鑒權認證請求后，HN從以下參數構建認證質詢：隨機數R（即challenge）、AUTN（證明挑戰(zhàn)的新鮮度和真實性）、HXRES *（SN期望的對challenge的響應）、KSEAF（用以用戶和SN安全信道的建立）。函數f1～f5用于計算身份驗證參數，是單向密鑰加密函數，這些函數彼此完全無關，⊕表示異或。Challenge（·）和KeySeed（·）是復雜的密鑰衍生函數（KDF，key derivation function），AUTN包含R的串聯消息認證碼（MAC），其具有為該用戶存儲的相應序列號SQNHN，SQNHN的值通過遞增計數器生成。序列號SQNHN的作用是允許用戶驗證認證請求的新鮮度以防止重放攻擊，并且MAC證明了challenge的真實性。HN不會將質詢的完整響應RES *發(fā)送給SN，而只發(fā)送其中的散列值，這是出于保護用戶信息的目的。因為HN對SN并不是完全信任的，如果SN被攻擊者控制，則HN發(fā)送完整的RES *會泄露用戶信息。

SN存儲KSEAF和challenge的預期響應，然后將challenge轉發(fā)給用戶。收到挑戰(zhàn)后，用戶首先檢查其真實性和新鮮度。為此，用戶從AUTN中提取xSQNHN和MAC并檢查。

1) MAC是否是相對于K的正確MAC值，如果不是，則回復MAC校驗失敗消息'Mac_failure'。

2) 認證請求是否新鮮，即SQNUE（AUTS在下面的重新同步過程中解釋）。

如果所有檢查都通過，則用戶計算密鑰KSEAF，用于保護后續(xù)消息，它還計算認證響應RES*并將其發(fā)送到SN。SN檢查該響應是否符合預期，并轉發(fā)給驗證它的HN。如果此驗證成功，則HN向SN確認認證成功并將SUPI發(fā)送到SN，并且使用密鑰KSEAF保護SN和用戶之間的后續(xù)通信。

在同步失敗的情況下（情況2）），用戶回復<'Sync_failure'，AUTS>，還要發(fā)起重新同步流程。AUTS消息使HN能夠通過用戶SQNUE的序列號替換它自己的SQNHN來與用戶重新同步，但SQNUE不會以明文形式傳輸，以避免被竊聽。因此，該規(guī)范要求隱藏SQN，即它與一個值保持私有的異或：AK * = f5 *（K，R）。形式上，隱藏值是CONC * =SQNUE⊕AK*，它允許HN通過計算AK *來提取SQNUE。請注意，f5 *和f1 *是獨立的單向密鑰加密函數，與函數f1~f5完全無關。最后，AUTS =?CONC*，MAC *?，其中，MAC * = f1 *（K，?SQNUE，R?），允許HN將該消息認證為來自預期用戶。

目前，3GPP標準中已經明確了以下內容：手機端用來加密SUPI的公鑰存放在UICC的USIM中；SUCI的解密算法（SIDF）只被執(zhí)行一次，放置在核心網的UDM中；當手機臨時身份GUTI無法識別時，由接入和移動性管理網元（AMF，access and mobility management function）向手機發(fā)起Identity Request請求；若手機在注冊緊急服務時收到Identity Request發(fā)送Null-Scheme的SUCI，即不加密的SUPI；由AMF負責配置發(fā)送手機的5G-GUTI；SUCI的生成算法可以采用橢圓曲線集成加密方案（ECIES，elliptic curve integrate encrypt scheme）[48]，運營商也可以根據自己需求自擬方案，甚至可以采用Null-Scheme。

圖7 網絡側對終端的驗證方案

5G鑒權方案中，通過公私鑰方案將SUPI加密為SUCI是一個亮點，它有效地避免了用戶真實身份SUPI在空口傳播。在圖7和圖8中可以看到兩對密鑰對，一對是終端側產生的公鑰Eph. public key和私鑰Eph. private key，另外一對是運營商網絡產生的，終端側有網絡側產生的公鑰固定存放在USIM中，網絡側存有用戶終端產生的公鑰（由終端發(fā)送給網絡），這兩對密鑰均采用橢圓曲線加密（ECC）算法生成。圖8給出UE側將SUPI加密為SUCI的方案，首先終端生成的私鑰與網絡提供的公鑰結合，派生出一對用來加密的原始密鑰Eph.shared key，隨后據此派生出加密的主密鑰，取高有效位對SUPI進行對稱加密得到SUCI；而低有效位對所有的有用信息進行完整性保護，如包含終端參數等。所以最后終端發(fā)出的消息包括終端生成的公鑰、SUCI和終端參數等系列信息。

圖8為網絡側對終端身份進行驗證的方案。網絡側采用私鑰（private key of HN）與終端所發(fā)送的公鑰（Eph.public key of UE）組合成密鑰Eph.shared key，隨后據此派生出主密鑰master key。但這里與終端加密SUPI稍有不同，網絡側先利用密鑰的低有效位進行消息完整性校驗，若消息經過攻擊者篡改，則該步驟的驗證無法通過。只有當驗證通過后，才會進一步將信令消息轉發(fā)至統(tǒng)一數據管理（UDM，unified data management）網元，UDM再調用SIDF（Subscription identifier de-concealing function）網元將SUCI解密得到SUPI。接下來，核心網根據手機的鑒權方式逐一提取對應的鑒權密鑰與鑒權結果，直至最后將結果反饋給手機，手機端USIM校驗網絡側所發(fā)送鑒權結果的真?zhèn)巍?/p>

該方案可以順利通過驗證并解密得到SUPI的關鍵也是利用橢圓加密算法的特性：若終端與網絡側均采用同一條曲線，即橢圓曲線的參數一致（Curve25519[49]或secp256r1[50]）。而密鑰之間的乘法是橢圓曲線上的標量乘法，終端私鑰·網絡公鑰=網絡私鑰·終端公鑰，這樣便利用兩對非對稱密鑰組合成一對對稱密鑰。

4.3 5G系統(tǒng)鑒權安全性分析

雖然符合3GPP標準的5G商用網絡尚未部署，但是已經有研究人員針對現有5G標準進行安全性研究[51-53]。Basin等[51]使用形式驗證工具分析5G AKA算法，并證明該協(xié)議未能滿足明確要求的若干安全目標。該研究還表明，5G協(xié)議缺乏其他關鍵的安全屬性。這些發(fā)現給5G帶來了壓力，與LTE的情況不同，一旦協(xié)議被定義、實施和全球部署，大多數安全研究和由此產生的協(xié)議缺陷都被確定，安全研究人員正在快速推進5G研究，盡量使標準組織在編寫規(guī)范時識別相應漏洞。

只有全面的全球運營商都嚴格按照3GPP標準部署5G網絡，5G安全基礎架構才具有其期望的安全性。這要求全球所有運營商無一例外地在自己所管理的SIM卡中的其他國家運營商的公鑰或證書。然而，縱觀歷代移動通信網部署情況，出于成本等種種原因，并非標準規(guī)定的所有安全措施都被運營商嚴格落實。這一現象在5G網絡中有可能繼續(xù)出現，一些運營商不會選擇實施所有5G安全功能，另一方面，5G公鑰基礎設施（PKI，public key infrastructure）實施的大多數實際細節(jié)明確不屬于3GPP的范圍[54]。此外，一些國家或許還將禁止其他國家或運營商的證書，因此，全球采用和嚴格實施5G安全功能的可能性極小。由于SIM卡不會為所有國家和地區(qū)的移動運營商提供公鑰或證書，因此UE /運營商有2種選擇：①明確阻止未能提供公鑰或證書的運營商接入網絡，并處理由此產生的公共關系和媒體報道后果；②允許這種極端情況的出現，即讓這些運營商接入全球網絡，雖然這會破壞全球5G網絡安全秩序。5G安全規(guī)范最終采用選項②，明確規(guī)定如果沒有為用戶的USIM提供服務網絡，則用戶身份將不受保護[21]，這意味著5G中明文傳輸IMSI/SUPI的現象仍然存在。

目前，3GPP還未明確的問題有：GUTI更新的頻率未做硬性規(guī)定，這由運營商自行決定。需要注意的是，GUTI雖然是臨時身份證，但如果長時間保持不變，則可能被攻擊者利用從而實現在一段時間內的位置跟蹤。另一個是終端對網絡上報SUCI的頻率未做硬性規(guī)定。當手機在收到網絡側發(fā)送的身份認證請求時，需要回復SUCI。手機要保證每次發(fā)送的SUCI都是新鮮的、隨機的。但偽基站仍可以不斷要求手機發(fā)送SUCI，這會導致手機電力消耗或者發(fā)起DoS攻擊等。

5 統(tǒng)一認證技術

在以往的通信系統(tǒng)中，主要滿足的是人與人之間的通信，而5G網絡需要滿足人與物以及物與物之間的通信，因此5G需要支持多種網絡的接入，如無線局域網絡（WLAN，wireless local area networks）、LTE、固定網絡、5G NR、物聯網（IoT，Internet of things）、衛(wèi)星接入、車聯網等，而不同的網絡所使用的接入技術不同，因此有不同的安全需求和接入認證機制。再者，由于各種智能穿戴設備的興起，一個用戶可能攜帶多個終端，而一個終端也可能同時支持多種接入方式，有些場景可能需要同一個終端在不同接入方式之間進行切換，或者用戶在使用不同終端進行同一個業(yè)務時，要求能進行快速認證以保持業(yè)務的延續(xù)性從而獲得流暢的用戶體驗。因此，5G 網絡需要構建一個統(tǒng)一的認證框架來融合不同的接入認證方式，此外還要針對不同的接入認證方式優(yōu)化鑒權認證協(xié)議，如上下文的安全傳輸、密鑰更新管理等，以提高終端在異構網絡間進行切換時的安全認證效率，同時還能確保同一業(yè)務在更換終端或更換接入方式時能夠獲得連續(xù)的業(yè)務安全保護[55]。

多種設備接入必然導致不同類型設備計算能力的差異，即便同一類型設備計算能力也可能差異較大。如有些物聯網設備要求輕量節(jié)能，需要一年或好幾年更換一次，而有些物聯網設備則不用太在意能耗問題，相比于物聯網設備，手機的計算能力在不斷增強，已經趕上或超越某些筆記本電腦的計算能力。在5G應用場景中，計算能力強的設備可能配有SIM/USIM卡，并具有一定存儲能力，有些終端設備沒有 SIM/USIM 卡，其身份標識可能是IP地址、MAC（介質訪問控制）地址、數字證書等；而有些能力低的終端設備，甚至沒有特定的硬件來安全存儲身份標識及認證憑證，因此，5G網絡需要構建一個統(tǒng)一的身份管理系統(tǒng)，使得其能夠支持不同的認證方式、認證憑證和身份標識。

可擴展認證協(xié)議（EAP，extensible authentication protocol）認證框架在RFC 3748中定義[56]，是能滿足5G 統(tǒng)一認證需求的備選方案之一，EAP認證框架是一種支持多種認證方法的三方認證框架，能封裝多種認證協(xié)議，如鑒權和密鑰協(xié)商（EAP-AKA）、預共享密鑰（EAP-PSK）、傳輸層安全（EAP-TLS）等。在3GPP目前所定義的5G 網絡架構中，認證服務器功能（AUSF，authentication server function）和認證憑證庫和處理功能（ARPF，repository and processing function）網元可完成傳統(tǒng)EAP框架下的認證服務器功能，接入管理功能AMF網元可完成接入控制和移動性管理功能，5G 統(tǒng)一認證框架如圖9所示。

圖9 統(tǒng)一認證框架

3GPP在R15階段的文檔TR 33.899[54]中闡述了EAP框架用作 5G 統(tǒng)一認證框架備選方案，框架適用于任何類型的用戶以任何一種3GPP接入技術（如2G/3G/4G）和非 3GPP接入技術（如WiMAX，Wi-Fi）進行接入鑒權認證。目前，EAP 支持的認證方法有EAP-TLS、EAP-SIM、EAP-MD5等[57]。在5G統(tǒng)一認證框架中，各種接入方式均可在EAP框架下接入5G核心網：用戶通過WLAN 接入時可使用EAP-AKA協(xié)議，有線接入時可采用IEEE 802.1x認證，5G NR接入時可使用5G-AKA認證。雖然接入方式不同，但不同的接入網在邏輯功能上使用統(tǒng)一的AMF和AUSF/ARPF提供認證服務，這樣用戶在不同接入網間進行無縫切換成為可能。

5G網絡的安全架構與以往的移動網絡的安全架構區(qū)別很大，引入統(tǒng)一認證框架不僅能降低運營商的投資和運營成本，也為將來5G網絡提供新業(yè)務時對用戶的認證打下堅實的基礎，極大地增加了5G的可擴展性。

6 歷代鑒權技術比較

本節(jié)針對上文提到的鑒權機制進行總結，并對其優(yōu)缺點進行對比分析，如表1所示。表1中沒有加入統(tǒng)一認證機制，因為統(tǒng)一認證機制是一個融合的鑒權技術，至今還沒有一種明確合適的方案。

7 結束語

針對第5代移動通信，3GPP定義了3個標準版本（R14-R16）完成標準化工作，并于2017年底發(fā)布了第一個5G非獨立組網的標準版本（5G NR NSA），能夠支持部分運營商的組網需求，繼而，3GPP又于2018年6月發(fā)布了5G獨立組網的標準版本（5G NR SA），進一步支持更多運營商的組網需求。面向R16，3GPP進行了更多技術的增強，使5G更好地滿足ITU所定義的三大場景的要求。

5G鑒權認證機制已經在R15版本中明確，但統(tǒng)一認證機制還有待在R16版本中繼續(xù)明確。通過公私鑰加密的方式，5G杜絕了空口中IMSI泄露的問題，關閉了攻擊者侵入核心網的第一道關口，大大提高了整個5G網絡的安全性。盡管標準很完善，運營商在實際部署5G網絡時可能為了在成本與收益之間取得平衡，或者說為了滿足5G低時延特性，而不部署或者不完全部署3GPP標準中所規(guī)定的機制。另外，統(tǒng)一認證機制還有待完善，由于要接入各種類型的設備，其安全性直接影響整個5G網絡的安全性。未來的網絡鑒權機制應該朝著加密和認證算法輕量化、高效化、安全化的方向發(fā)展，以滿足超低時延、用戶隱私保護、網絡安全的需求。此外，由于鑒權機制中涉及眾多密碼算法，而密碼算法對保證安全通信至關重要，雖然5G所采用的密碼算法（如SNOW、ZUC、AES等）目前均不存在安全性問題，但在后5G或者5G技術的演進過程中，研究人員應注意量子計算技術的發(fā)展，考慮密碼算法的量子安全性，從而保證移動通信網鑒權認證機制的安全。

表1 移動通信網絡鑒權技術對比

[1] SHAIK A , BORGAONKAR R , ASOKAN N , et al. Practical attacks against privacy and availability in 4G/LTE mobile communication systems[C]//Symposium on Network and Distributed Systems Security (NDSS) .2016.

[2] RUPPRECHTD, KOHLS K, HOLZ T, et al. Breaking LTE on layer two[C]//Symposium on Network and Distributed Systems Security (NDSS) .2018.

[3] 李濤. 網絡安全概論[M]. 北京: 電子工業(yè)出版社, 2004. LI T. Introduction to network security[M]. Beijing: Publishing House of Electronics Industry, 2004.

[4] 金東勛. GSM網絡安全協(xié)議漏洞研究[D]. 北京: 北京郵電大學, 2015.JIN D X. Research on GSM network security protocol vulnerabilities[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[5] FOX D. IMSI-catcher[J]. Datenschutz und Datensicherheit (DuD), 1997, 21:539-539.

[6] STROBEL D. IMSI catcher[J]. Seminar Work, Ruhr-Universitat Bochum, 2007.

[7] ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony: fix and verification[C]//ACM Conference on Computer and Communications Security. 2012: 205-216.

[8] HUSSAIN S R, CHOWDHURY O, MEHNAZ S, et al. LTE Inspector: a systematic approach for adversarial testing of 4G LTE[C]// Symposium on Network and Distributed Systems Security (NDSS). 2018: 18-21.

[9] DAVID B, JANNIK D, LUCCA H, et al. A formal analysis of 5G authentication[C]//ACM Conference on Computer and Communications Security (CCS). 2018.

[10] 羅明星, 楊義先, 王勵成, 等. 抗竊聽的安全網絡編碼[J]. 中國科學: 信息科學, 2010, 40(2):371-380.LUO M X, YANG Y X, WANG L C, et al. Secure network coding for anti-eavesdropping[J]. Science in China, 2010, 40(2): 371-380.

[11] 黃開枝, 王兵, 許曉明, 等. 基于安全保護域的增強型多點協(xié)作傳輸機制[J]. 電子與信息學報, 2018, 40(1):108-115.HUANG K Z, WANG B, XU X M, et al. Enhanced multi-point cooperative transmission mechanism based on security protection domain[J]. Journal of Electronics & Information Technology, 2018, 40(1): 108-115.

[12] 鄧曉明. 移動無線傳感器網絡復制節(jié)點攻擊檢測協(xié)議的研究[D].合肥: 中國科學技術大學, 2011.DENG X M. Research on attack detection protocol of mobile wireless sensor network replication node[D]. Hefei: University of Science and Technology of China, 2011.

[13] 蘇洪斌. 新技術下的移動通信網絡安全[J]. 信息安全與通信保密, 2006(10):103-105.SU H B. Mobile Communication network security under new technology[J]. Information Security & Communication Security, 2006(10): 103-105.

[14] 魏國珩, 秦艷琳, 張煥國. 基于ECC的輕量級射頻識別安全認證協(xié)議[J]. 華中科技大學學報(自然科學版), 2018(1):49-52.WEI G Z, QIN Y L ZHANG H G. Lightweight radio frequency identification security authentication protocol based on ECC[J]. Journal of Huazhong University of Science and Technology (Natural Science Edition), 2018(1): 49-52.

[15] 尚青為. 面向移動通信安全的偽基站識別機制研究[D]. 北京: 北京郵電大學, 2015.SHANG Q W. Research on pseudo base station identification mechanism for mobile communication security[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[16] 謝剛. 下一代移動通信系統(tǒng)中混合自動重傳機制的研究[D]. 北京: 北京郵電大學, 2007.XIE G. Research on hybrid automatic retransmission mechanism in next generation mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[17] 洼田光宏. 移動通信系統(tǒng)和重傳控制方法: CN, CN 100547959 C[P]. 2009.WA T G H. Mobile communication system and retransmission control method: CN, CN 100547959 C[P]. 2009.

[18] 嚴振亞. 下一代移動通信系統(tǒng)中的混合自動重傳請求技術研究[D]. 北京: 北京郵電大學, 2007.YAN Z Y. Research on hybrid automatic repeat request technology in next generation mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[19] 李銳光, 黃文廷, 王永建. GPRS網絡中惡意代碼監(jiān)測技術研究[J]. 計算機研究與發(fā)展, 2012(s2):64-68.LI R G, HUANG W T, WANG Y J. Research on malicious code monitoring technology in GPRS network[J]. Journal of Computer Research and Development, 2012(s2): 64-68.

[20] 程璟睿, 魏來, 周智. 中國移動惡意代碼檢測與治理方案[J]. 電信工程技術與標準化, 2013(2):61-65.CHENG Y R, WEI L, ZHOU Z. China mobile malicious code detection and governance scheme[J]. Telecommunications Engineering Technology and Standardization, 2013(2): 61-65.

[21] 3GPP. Security architecture and procedures for 5G system (Release 15)[S]. 3GPP TS 33.501, 2018.

[22] 肖寧. WCDMA系統(tǒng)接入安全實現機制的研究[J]. 重慶郵電大學學報(自然科學版), 2004, 16(3):43-46.XIAO N. Research on access security implementation mechanism of WCDMA system[J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2004, 16(3): 43-46.

[23] 楊先磊. 無線應用中身份認證技術的研究[D]. 北京: 北京郵電大學, 2007.YANG X L. Research on identity authentication technology in wireless applications[D]. Beijing: Beijing University of Posts and Telecommunications, 2007.

[24] 王雅寧. 數字集群通信系統(tǒng)加密機制的研究[D]. 哈爾濱: 哈爾濱工業(yè)大學, 2006.WANG Y N. Research on encryption mechanism of digital trunking communication system[D]. Harbin: Harbin Institute of Technology, 2006.

[25] 牛靜媛. 移動通信系統(tǒng)安全性分析[D]. 北京: 北京郵電大學, 2008.NIU J Y. Security analysis of mobile communication system[D]. Beijing: Beijing University of Posts and Telecommunications, 2008.

[26] 張磊. GSM/UMTS混合網絡安全若干關鍵技術研究[D]. 北京: 北京郵電大學, 2011.ZHANG L. Research on several key technologies of GSM/UMTS hybrid network security[D]. Beijing: Beijing University of Posts and Telecommunications, 2011.

[27] 劉彩霞, 俞定玖, 鄔江興. 3G中A-Key的產生和分配機制[J]. 計算機工程與科學, 2002, 24(5):25-27.LIU C X, YU D X, WU J X. Generation and distribution mechanism of a-key in 3G[J]. Computer Engineering and Science, 2002, 24(5): 25-27.

[28] 800MHz CDMA數字蜂窩移動通信網移動應用部分技術要求[S]. YD/T1202-2002, 2004.800MHz CDMA digital cellular mobile communication network mobile application part technical requirements[S]. YD/T1202-2002, 2004.

[29] 陶啟茜, 馬金蘭. CDMA用戶信息加密關鍵技術研究與實現方案探討[J]. 電信科學, 2013(s2):38-42.TAO Q Q, MA J L. Research and implementation of key technologies for CDMA user information encryption[J]. Telecommunications Science, 2013(s2): 38-42.

[30] 樊自甫, 楊俊蓉, 萬曉榆. TD-SCDMA與GSM互操作中基于鑒權原因的切換失敗問題分析及解決[J]. 電信科學, 2010, 26(4):52-58.FAN Z F, YANG J R, WAN X Y. Analysis and solution of switching failure problem based on authentication reason in TD-SCDMA and GSM interoperation[J]. Telecommunications Science, 2010, 26(4): 52-58.

[31] 3GPP. Security related network functions[S]. 3GPP TS 43.020, 2000.

[32] 3GPP. Security architecture (release 6)[S]. 3GPP TS 33. 102, 2001.

[33] 3GPP. Security objectives and Principles[S]. 3GPP TS 33. 120, 2001.

[34] 付航. GSM網絡安全問題分析及3G可信網絡架構探討[J]. 電信技術, 2009, 1(7):76-77.FU H. Analysis of GSM network security issues and 3G trusted network architecture[J]. Telecommunications Technology, 2009, 1(7): 76-77.

[35] 張方舟, 葉潤國, 馮彥君, 等. 3G接入技術中認證鑒權的安全性研究[J]. 微電子學與計算機, 2004, 21(9):33-37.ZHANG F Z, YE R G, FENG Y J, et al. Security research of authentication and authentication in 3G access technology[J]. Microelectronics & Computer, 2004, 21(9): 33-37.

[36] 冒海霞, 陳天洲, 戴鴻君. 高強度的移動通信安全中間件架構[J]. 計算機應用研究, 2006, 23(8):91-94.MAO H X, CHEN T Z, DAI H J. High-strength mobile communication security middleware architecture[J]. Journal of Computer Applications, 2006, 23(8):91-94.

[37] ARAPINIS M, MANCINI L, RITTER E, et al. New privacy issues in mobile telephony:fix and verification[C]//ACM Conference on Computer and Communications Security. 2012:205-216.

[38] 曹俊華, 李小文. LTE/SAE安全體系的研究及其在終端的實現[J].電信科學, 2010, 26(7):50-54.CAO J H, LI X W. Research on LTE/SAE security system and its implementation in terminal[J]. Telecommunications Science, 2010, 26(7): 50-54.

[39] 3GPP. 3GPP System architecture evolution (SAE); security architecture[S]. 3GPP TS 33.401, 2011.

[40] 3GPP. 3G security; security architecture[S]. 3GPP TS33.102, 2014.

[41] 3GPP. 3G Security; document2: algorithm specification[S]. 3GPP TS 35.206, 2012.

[42] 3GPP. Non-access-stratum (NAS) protocol for evolved packet system (EPS); stage 3[S]. 3GPP TS 24.301, 2011.

[43] 3GPP. evolved universal terrestrial radio access (E-UTRA); Radio resource control (RRC) protocol specification[S]. 3GPP TS 36.331, 2011.

[44] CAO J, LI H, MA M, et al. A simple and robust handover authentication between HeNB and eNB in LTE networks[J]. Computer Networks, 2012, 56(8):2119-2131.

[45] DABROWSKI A. The messenger shoots back: network operator based IMSI catcher detection[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. 2016.

[46] 陳飛, 畢小紅, 王晶晶, 等. DDoS攻擊防御技術發(fā)展綜述[J]. 網絡與信息安全學報, 2017, 3(10):16-24.CHEN F, BI X H, WANG J J, et al. Overview of DDoS attack defense technology development[J]. Journal of Network and Information Security, 2017, 3(10): 16-24.

[47] 3GPP. System architecture for the 5G System[S]. Stage 2. 3GPP TS23.501,2018.

[48] SMART N P. The exact security of ECIES in the generic group model[M]//Cryptography and Coding. Berlin Heidelberg: Springer 2001: 73-84.

[49] IETF. Elliptic curves for security[S]. IETF RFC 7748, 2016.

[50] SECG SEC 2. Recommended elliptic curve domain parameters[S], Certicom Research, 2010.

[51] BASIN D, DREIER J, HIRSCHI L, et al. A formal analysis of 5G authentication[C]//ACM Conference on Computer and Communications Security, 2018.

[52] ZHANG X, KUNZ A, SCHR?DER S. Overview of 5G security in 3GPP[C]//Standards for Communications and Networking. IEEE, 2017.

[53] PRASAD, ANAND R, et al. 3GPP 5G Security[J]. Journal of ICT Standardization, 6.1 (2018): 137-158.

[54] Study on the security aspects of the next generation system[R]. 3GPP TR33.899, 2017.

[55] IMT-2020. 5G 網絡安全需求與架構白皮書[R]. 2017.IMT-2020. 5G Network security requirements and architecture white paper[R]. 2017.

[56] IETF RFC 3748. Extensible authentication protocol (EAP)[S]. 2004.

[57] 馮登國, 徐靜, 蘭曉. 5G移動通信網絡安全研究[J]. 軟件學報, 2018(6).FENG D G, XU J, LAN X. Research on 5G mobile communication network security[J]. Journal of Software, 2018(6).

Overview of mobile communication network authentication

HU Xinxin, LIU Caixia, LIU Shuxin, YOU Wei, QIAO Kang

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450001, China

With the increasingly serious security situation of mobile communication network, it becomes an important issue about how to protect the privacy of legitimate users while providing high-quality communication services, and how to protect the carrier network from being invaded becomes an important issue in the field of mobile communication security. Authentication is an important means for users and networks to authenticate each other's legitimacy. Authentication methods are also evolving along with network evolution. Starting with the authentication methods of past mobile communication networks (GSM, CDMA, UMTS, LTE), the advantages and disadvantages of each generation of authentication technology are analysed, along with which the authentication technology and unified authentication technology of the fifth-generation (5G) mobile communication to be commercialized are emphatically analysed. In the last, reasonable prospect for the development of authentication technology in the future are proposed.

mobile network, authentication, security, 5G mobile communication, unified authentication

TN929

A

10.11959/j.issn.2096-109x.2018096

2018-08-21；

2018-10-20

胡鑫鑫，justinhu@hust.edu.cn

國家自然科學基金創(chuàng)新研究群體資助項目（No.61521003）；國家重點研究發(fā)展基金資助項目（No.2016YFB0801605）

The National Natural Science Foundation Innovation Group Project of China (No.61521003), The National Key Research and Development Program of China (No.2016YFB0801605)

胡鑫鑫（1994-），男，湖北襄陽人，國家數字交換系統(tǒng)工程技術研究中心碩士生，主要研究方向為5G網絡安全。

劉彩霞（1974-），女，山東煙臺人，國家數字交換系統(tǒng)工程技術研究中心副教授，主要研究方向為移動通信網絡、新型網絡體系結構。

劉樹新（1987-）男，山東濰坊人，國家數字交換系統(tǒng)工程技術研究中心助理研究員，主要研究方向為復雜網絡、網絡信息挖掘。

游偉（1984-），男，江西豐城人，國家數字交換系統(tǒng)工程技術研究中心助理研究員，主要研究方向為密碼學、移動通信網絡。

喬康（1994-），男，四川成都人，國家數字交換系統(tǒng)工程技術研究中心碩士生，主要研究方向為區(qū)塊域技術。