4G無(wú)線網(wǎng)絡(luò)安全若干關(guān)鍵技術(shù)研究.pdf

1、隨著無(wú)線網(wǎng)絡(luò)與Internet的不斷結(jié)合，移動(dòng)通信系統(tǒng)經(jīng)歷了第一代(1G)、第二代(2G)和第三代(3G)系統(tǒng)的發(fā)展歷程，并朝著無(wú)處不在、全I(xiàn)P化的下一代通用無(wú)線通信系統(tǒng)(4G)逐步演進(jìn)。由于4G系統(tǒng)致力于無(wú)縫融合不同無(wú)線通信技術(shù)并支撐高速率通信環(huán)境，其安全問題比以往的無(wú)線通信系統(tǒng)更加復(fù)雜和難于解決。因此，世界各國(guó)在推動(dòng)3G移動(dòng)通信系統(tǒng)商用化的同時(shí)，已經(jīng)把研究重點(diǎn)轉(zhuǎn)移至4G系統(tǒng)的先期研究。 隨著無(wú)線網(wǎng)絡(luò)環(huán)境的不斷復(fù)雜，網(wǎng)絡(luò)實(shí)體間

2、的信任關(guān)系、有線鏈路的安全、安全業(yè)務(wù)的不可否認(rèn)性和安全體系的可擴(kuò)展性不得不重新考慮。同時(shí)，隨著移動(dòng)終端(ME)的計(jì)算和存儲(chǔ)資源的不斷豐富，移動(dòng)操作系統(tǒng)和各種無(wú)線應(yīng)用的問世，ME也正面臨越來(lái)越多的安全威脅。而現(xiàn)有無(wú)線網(wǎng)絡(luò)安全體系對(duì)以上兩方面問題考慮不夠深入和全面，對(duì)效率、兼容性、可擴(kuò)展性和用戶可移動(dòng)性的綜合考慮也不夠充分。此外，現(xiàn)有無(wú)線網(wǎng)絡(luò)安全體系基本上是通信系統(tǒng)構(gòu)架確立之后的附屬品，直接導(dǎo)致了很多由通信系統(tǒng)自身特性而造成的無(wú)法解決的安全

3、隱患。因此，安全體系不是4G系統(tǒng)出現(xiàn)漏洞后的“補(bǔ)丁”，而應(yīng)作為4G體系的一部分與其它核心技術(shù)齊頭并進(jìn)的展開研究，并最終成為技術(shù)標(biāo)準(zhǔn)中的關(guān)鍵部分。 本文在分析了現(xiàn)有無(wú)線網(wǎng)絡(luò)安全特性和其發(fā)展歷程的基礎(chǔ)上，根據(jù)4G無(wú)線網(wǎng)絡(luò)的特性，確定了4G系統(tǒng)面臨的安全威脅和安全需求，討論了可適用于4G系統(tǒng)的安全策略和機(jī)制。在重點(diǎn)研究了移動(dòng)終端(ME)安全的前提下，將USIM(UniversalSubscriberIdentityModule)、ME

4、和用戶視為3個(gè)獨(dú)立的實(shí)體來(lái)考慮用戶域的安全，提出了基于可信移動(dòng)平臺(tái)(TMP)和PKI相結(jié)合的4G安全體系。結(jié)合當(dāng)前智能手機(jī)的主流硬件構(gòu)架，給出了以智能手機(jī)主流處理器為基礎(chǔ)的TMP實(shí)施案例，并討論了在此平臺(tái)之上的三種TPM(TrustedPlatformModule)構(gòu)建方法。同時(shí)，利用RSA密鑰封裝機(jī)制(RSA-KEM)和哈希函數(shù)設(shè)計(jì)了口令、指紋和USIM相結(jié)合的用戶域三因素認(rèn)證方案，實(shí)現(xiàn)了用戶、ME和USIM間的相互認(rèn)證，強(qiáng)化了用戶域

5、的安全，并可滿足TMP中安全等級(jí)3對(duì)用戶認(rèn)證的要求。 隨后，針對(duì)單鑰和公鑰體制在構(gòu)建無(wú)線網(wǎng)絡(luò)安全方案時(shí)存在的缺陷，提出了一種高效的基于自驗(yàn)證公鑰的無(wú)線網(wǎng)絡(luò)用戶接入認(rèn)證方案，以提高用戶接入過(guò)程的安全性。該方案包含PKBP(公鑰廣播協(xié)議)和SPAKA(基于自驗(yàn)證公鑰的認(rèn)證及密鑰交換協(xié)議)。其中，PKBP可使ME抵抗偽基站攻擊，并避免鑒別網(wǎng)絡(luò)端接入節(jié)點(diǎn)證書的合法性。而SPAKA可在無(wú)須傳送公鑰證書的前提下完成ME和接入節(jié)點(diǎn)間的相互認(rèn)證

6、及會(huì)話密鑰協(xié)商。與現(xiàn)有公鑰認(rèn)證協(xié)議相比，PKBP和SPAKA減少了ME的數(shù)據(jù)傳輸量和協(xié)議執(zhí)行時(shí)間，獲得了公鑰體制認(rèn)證協(xié)議的安全性和可擴(kuò)展性以及接近3GAKA等單鑰認(rèn)證協(xié)議的效率，并可在特定場(chǎng)合實(shí)現(xiàn)對(duì)ME通話的可控、合法監(jiān)聽，滿足國(guó)家安全部門的需求。 在提出的4G無(wú)線網(wǎng)絡(luò)安全體系下，將可信計(jì)算的思想引入OMADRMv2體系，設(shè)計(jì)了TMP與OMADRM相結(jié)合的下一代移動(dòng)網(wǎng)絡(luò)DRM(數(shù)字版權(quán)保護(hù))方案，并討論了可信計(jì)算與OMADRM體

7、系的互操作性和兼容性。以基本下載的Pull模型為具體案例，重點(diǎn)研究了CI(ContentIssuer)對(duì)用戶身份的認(rèn)證、RO(RightObiect)的產(chǎn)生和DCF(DRMContentFormat)的下載、RO的獲取以及RO和DCF在移動(dòng)終端中的解析四個(gè)主要過(guò)程。利用無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)商事先與用戶建立的信任關(guān)系、無(wú)線網(wǎng)絡(luò)與ME的時(shí)鐘同步技術(shù)以及TMP的安全特性，本文提出的方案可防止OMADRM體系中可能存在的剽竊行為、DoS攻擊和重放攻擊。

8、 最后，分析并測(cè)試了FCSR(帶進(jìn)位反饋移位寄存器)序列的偽隨機(jī)性，研究了基于FCSR和LFSR(線性反饋移位寄存器)相結(jié)合的流密碼方案，給出了輸出序列的周期和線性復(fù)雜度的理論上界，并討論了如何選取FCSR和LFSR的參數(shù)，以使輸出序列的周期和線性復(fù)雜度盡可能的接近理論上界，從而具有好的偽隨機(jī)性。根據(jù)在FPGA上的實(shí)現(xiàn)結(jié)果表明，該生成器具有較高的性能和效率，可在資源相對(duì)緊張的移動(dòng)終端實(shí)施，并可在NESSIE規(guī)定的流密碼中級(jí)安全要