2.3.4 安全 紧接着上一节的内容,由于移动通信系统的口中接口由于是开放的,所以安全性是个非常重要的问题,这里除了之前提到的对用户的鉴权,还有需要对在空口传送的数据的加密,加密涉及到密钥,算法和随机数,上一节LTE鉴权的例子(请参考上节的图例)已经说到,密钥是在用户开户时写入SIM卡和HSS,随机数由每次终端附着请求时,HSS生成并下发(实际是一次性发下很多组鉴权参数,以备MME随时根据需要向用户发起鉴权),而算法是整个通信系统统一的,有几种,每次终端附着时,和网络协商决定使用何种算法,HSS用密钥和随机数通过算法生成响应序列RES,鉴权令牌AUTN(用于终端对网络的鉴权),和密钥的中间参数IK,CK,然后IK,CK再通过算法生成用于加密和完整性保护的密钥(相比GSM,WCDMA和LTE新增了用于完整性保护和终端对网络鉴权的机制),这里提一下,在空中接口传递的信令有加密和完整性保护机制,而用户数据只有加密机制,所以对于信令有相应的加密和完整性保护的密钥,而用户数据只有加密的密钥,而鉴权过程中网络下发给终端的是RAND和AUTN,终端用收到的RAND和SIM卡保存的密钥通过算法生成和HSS一样的AUTN,RES,IK,CK,IK和CK再生成用于加密和完整性保护的密钥,然后终端把自己算得的AUTN和网络侧下发的AUTN进行对比,若一致则网络为合法网络,终端还会把自己算得的RES上报给网络,网络侧对比HSS下发的RES和终端上报的RES是否一致,若一致则终端为合法终端。 |