GSM、WCDMA及LTE鉴权机制的比较与分析

严丽云 陈久雨:GSM、WCDMA及LTE鉴权机制的比较与分析

严丽云

南京邮电大学研究生，通信与信息工程专业，研究方向：网络与应用技术。

陈久雨

中国电信股份有限公司广东研究院移动通信技术部。

引言

本文研究内容主要是几大网络的安全机制。这项研究是颇具现实意义的，因为一个网络的安全性直接关系到用户和网络运营商本身的利

益。保证合法的用户获取服务和网络正常的运营，保证用户的信息完整、可靠的传输，实现保密通信，要求有一套缜密的安全机制，这

是对网络和服务的更高层次的要求，也是现如今颇受关注的话题。本文主要研究内容是WCDMA、LTE 的安全机制，为了更好地了解

WCDMA的安全机制必须溯源到GSM的鉴权机制，从对比和演进的角度来看待这三种网络的安全机制的特点。最后，本文展望了未来

移动通信中的安全机制，并提出建议。

1 GSM概述

GSM系统一个显著的优点就是它在安全性方面比模拟系统有了显著的改进，它主要是在以下部分加强了保护：在接入网络方面通过AUC

鉴权中心采取了对客户鉴权；在无线路径上采取了对通信信息的保密；对移动设备通过EIR设备识别中心采用了设备识别；对客户身份

识别码IMSI用临时识别码TMSI保护；SIM卡用PIN码保护。

2 GSM鉴权

运营者开始使用安全功能之前，移动用户已经在鉴权中心被创建。同样的数据也存在移动用户的SIM卡中。以下是创建用户所需要的信

息：用户的IMSI、用户的Ki、使用的算法版本。GSM的鉴权是网络要确定用户的合法性，即确认用户方Ki和网络方Ki 是相等。鉴权

流程图（如图1）及说明如下：在呼叫建立的初始间断、位置更新、补充业务相关的请求时需要进行鉴权，移动台发起这类请求给MSC/VLR；

MSC/VLR向HLR/AUC请求鉴权参数，及鉴权三元组；HLR/AUC根据随机数发生器产生的RAND与KI通过A3单向算法计算得出

SRES(i)；根据RAND与KI通过A8算法计算出Kc；将计算出的鉴权三元组（SRES(i)、RAND以及Kc(i)）包含在鉴权相应中传递给

MSC/AUC;所谓单向算法即不可能将运算结果或此随机数再化为原来的KI，即使SRES在空口被截获了也是无法恢复出KI，从而保证了

KI的安全性；MSC/VLR保存鉴权三元组，将接收的RAND(i)包含在用户鉴权请求中通过基站传递给移动台；移动台根据接收到的RAND(i)

以及自身保存的KI通过A3算法计算得出RES(i)，通过A8算法计算出Kc(i)；将RES(i)包含在用户鉴权响应中传递给MSC/VLR；MSC/VLR

比较SRES(i)与RES(i)是否相等，若相等则此次鉴权成功，若不相等则鉴权失败，网络会拒绝MS的接入，如图1。

3 WCDMA与GSM安全机制比较

从上文对GSM的安全机制介绍后，可以发现GSM安全机制存在一些安全漏洞，主要分为以下几点：

首先，认证是单向的，只有网络对用户的认证，而没有用户对网络的认证，因此存在安全漏洞。非法的设备（如基站）可以伪装成合法

的网络成员，从而欺骗用户，

窃取用户信息。其次，移动台和网络间的大多数信令信息是非常敏感的，需要得到完整性保护。而在GSM网络中，没有考虑数据完整性

保护的问题，如果数据在传输的过程中被篡改也难以发现。 再次，加密不是端到端的，只在无线信道部分加密（即在MS和BTS之间），

在固定网中没有加密（采用明文传输），给攻击者提供了机会。除此之外，随着计算机硬件速度不断提升，解密方法不断发展，GSM的

加密算法和密钥的缺陷也给他带来通信安全隐患，如密钥太短，只有64bit，加密算法不公开且较为固定不变，无法协商加密算法等。随

着3G时代的到来，2G网络的安全机制已经不能适应网络的安全需求了。针对GSM的安全漏洞，UTMS的安全机制就相对完善，WCDMA

为例。WCDMA以五元组鉴权：RAND、期望响应（XRES）、加密密钥（CK）、完整性密钥（IK）、鉴权令牌（AUTN）。增加了用于

完整性保护的密钥（IK）和用于用户验证网络的鉴权令牌（AUTN）。并且WCDMA的加密部分延长到了RNC侧。密钥长度也由原来

2G时的64位加长至128位。

4 WCDMA鉴权流程

网络侧在发起鉴权前，如果VLR内还没有鉴权参数五元组，此时将首先发起到HLR取鉴权集的过程，并等待鉴权参数五元组的返回。

鉴权流程图如下：（1）鉴权中心AuC为每个用户生成基于序列号的鉴权向量组（RAND、XRES、CK、IK、AUTN），并且按照序列号

排序。算法如图2。

（2）当鉴权中心HE/AUC收到VLR/SGSN的鉴权请求（authentication data request）后，发送鉴权响应（authentication data response）

其中包含n个鉴权向量组给VLR/SGSN。每个用户的n个认证向量组，按照“先入先出”（FIFO）的规则发送给移动台，用于鉴权认证。

（3）VLR/SGSN初始化的一个鉴权过程为选择一个鉴权向量组，发送其中的RAND及AUTN给用户。用户收到RAND||AUTN后，在

USIM侧进行鉴权处理，验证AUTN。这个步骤就是在进行用户对网络的鉴权，见图3、4，步骤如下：

首先计算AK，并从AUTN中将序列号恢复出来；USIM计算出XMAC，将它与AUTN中的MAC值进行比较。如果不同，用户发送一个

“用户认证拒绝”信息给VLR/SGSN，放弃该鉴权过程。在这种情况下，VLR/SGSN向HLR发起一个“鉴权失败报告”过程，原因值为MAC

Failure。32同时，用户还要验证接收到的序列号SQN是否在有效的范围内，若不在，MS向VLR发送“Synch failure”。 如果XMAC和

SQN的验证都通过，至此，用户完成了对网络的鉴权，此所谓双向就爱你全，那么USIM计算出RES(用户响应)，发送给VLR/SGSN，

比较RES是否等于XRES，如果相等，网络就认证了用户的身份。 最后，用户计算出CK和IK。其中CK用于加密，IK用于完整性保

护。

鉴权失败（失败原因为“MAC Failure”）处理： 此时，网络侧将根据手机终端上报的用户标识来决定是否发起识别过程。如果当前的

标识为TMSI（或P-TMSI），则发起识别流程，要求手机终端上报IMSI信息。然后再次发起鉴权流程。

鉴权失败（失败原因为“Synch failure”）处理：如果 USIM认为SQN不在范围内，返回Synchronisa-tion failure消息，包含AUTS参数。

HLR/AUC接到请求后，完成以下操作：HLR/AUC验证AUTS，若证明合法，则HLR/AUC将SQNHE计数器值重置为与SQNMS相同。

（其中 ）HLR/AUC发送鉴权数据响应并附带一些新的鉴权五元组给VLR/SGSN。VLR/SGSN收到HLR/AUC送来的“同步失败标识”的

鉴权数据响应后，本地的旧鉴权消息删除，MS将根据这些新的鉴权参数进行鉴权。见图5。

5 LTE、3G安全机制比较

相比 ，网络架构上进行了简化，采用 单 LTE 3G eNB层结构，省去 ，从而简化网络和减少时延，实现了低 RNC时延，低复杂度和

低成本的要求。相比 的安全机制也有 3G很大的不同。首先我们先了解 网络存在的安全隐患： 3G） 认证实现了 对 的认证，但没有

实现 1 3G MS HLR MS对 的认证。因此攻击者可以截获合法的 进行攻VLR IMSI击。可以冒充MS入网。（2) 没有考虑网络端的认

证和保密通信，攻击者可以通过截取VLR与HLR之间的信息获得AV从而获得CK和IK。（3) 由于用户在不同的PLMN之间漫游，不

同PLMN可以是不同国家的不同网络，当本地HE/HLR把AV发送到漫游网络的VLR/SGSN过程中，穿过不同网络，很容易被截获。

（4) 3G加密算法和密钥是通过协商的，需有一种安全方法让用户和网络之间对此进行协商。总之，3G的安全性是建立在网络足够可信

的基础上的。唯一的用户表示IMSI也暴露给网络，缺乏对网络端的验证。 鉴于3G网络安全机制的漏洞，针对3G只有一层安全保障，

LTE分层安全机制这一新思想孕育而生。即LTE将安全在AS(接入层)和NAS信令之间分离，无线链路和核心网需要有各自的密钥，用

户安全终止于eNB，因为eNB处在不被信任的域中。第一层为E-UTRAN中的RRC层安全层和用户层安全，第二层是EPC中的NAS

信令安全，如图6。

6 LTE鉴权

LTE鉴权是一个基于四元组的鉴权：Kasme 、AUTN、RAND以及XRES，见图7。

（1）UE向NAS层MMS发起鉴权请求；

（2）MME则向HSS索要鉴权向量；