專利名稱:一種imsi安全性提升方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù),特別涉及移動(dòng)臺(tái)的卡片中的身份標(biāo)識(shí)IMSI的安 全性問(wèn)題。
背景技術(shù):
在2G系統(tǒng)中采用了臨時(shí)身份TMSI機(jī)制在無(wú)線鏈路上識(shí)別移動(dòng)用戶,一般情況下 不使用IMSI來(lái)識(shí)別用戶,由此加強(qiáng)了對(duì)用戶身份的保密,但是在需要用明文傳輸?shù)腎MSI的 時(shí)候,還是很容易很暴露。在GPRS系統(tǒng)的無(wú)線接人鏈路上,為了保護(hù)用戶身份的機(jī)密性,用 臨時(shí)邏輯鏈路標(biāo)識(shí)(TLLI)與路由區(qū)域標(biāo)識(shí)(RAI)來(lái)鑒別用戶,而不是直接用IMSI來(lái)鑒別 用戶身份。TLLI與IMSI的關(guān)系保存在SGSN(服務(wù)GPRS支持節(jié)點(diǎn))的數(shù)據(jù)庫(kù)中且只有移動(dòng) 臺(tái)(MS)和SGSN知道。在3G中使用了一種增強(qiáng)的用戶身份保密技術(shù),也是同樣用TMSI來(lái) 代替IMSI來(lái)傳輸。目前主要有2種與本技術(shù)相關(guān)的技術(shù)方法,方法一(如圖1) :3G中使用永久身份 IMSI。在收到SN/VLR的身份請(qǐng)求后,MS/USIM把IMSI加密后嵌入HE-message中,并且用 HE-id來(lái)向SN/VLR指明可以解密該HE-message的HE/UIC的地址。SN/VLR收到HE-message 后,根據(jù)HE-id再把該消息傳送到相應(yīng)的HE/UIC,HE/UIC解密后把用戶的IMSI傳遞給SN/ VLR0在收到用戶的IMSI后,就可以啟動(dòng)TMSI分配過(guò)程,此后將使用TMSI來(lái)識(shí)別移動(dòng)用戶 身份。這種增強(qiáng)型身份加密機(jī)制把原來(lái)由無(wú)線接入部分傳送明文IMSI變成在網(wǎng)絡(luò)內(nèi)傳送 明文IMSI,在一定程度上加強(qiáng)了用戶身份的機(jī)密性。方法二(如圖2)增強(qiáng)性用戶身份保密在3G中引入了一種增強(qiáng)性用戶身份保密機(jī)制,這種機(jī)制規(guī)定了每個(gè)用戶都屬于 某一個(gè)組,而每個(gè)組擁有一個(gè)組標(biāo)識(shí)GI。用戶組有一個(gè)組密碼GK,該組的所有用戶和用戶 的歸屬網(wǎng)絡(luò)共享該密鑰。該密鑰安全地保存在USIM和HE/VLR中。用戶使用SQNUIC。作為 時(shí)變參數(shù),用來(lái)防止跟蹤性的被動(dòng)攻擊,以及用以保持USIM與HE中推導(dǎo)出的TEMSI同步。 用戶發(fā)送的響應(yīng)信號(hào)包括MCCI,IMNC和用戶MSIN的頭三個(gè)數(shù)字,這三個(gè)數(shù)字指明了用戶歸 屬網(wǎng)絡(luò)的中所用的HLR。
發(fā)明內(nèi)容
本發(fā)明公開(kāi)了一種IMSI安全性提升方法,該方法簡(jiǎn)單,安全性好,能夠很靈活的 應(yīng)用在現(xiàn)有的GSM網(wǎng)絡(luò)中。該方法具體包括以下步驟1)MS首先向VLR發(fā)送指定的HLR的地址,并且將HLR的公鑰來(lái)加密隨機(jī)數(shù)RAND和 IMSI,并且發(fā)送給VLR。2) VLR 將 Esk (RAND | | IMSI)發(fā)送給指定的 HLR。3) HLR用自己的私鑰來(lái)解密加密的Esk (RAND I | IMSI),產(chǎn)生一個(gè)隨機(jī)數(shù)RAND,來(lái)產(chǎn) 生三元組,并且將這些三元組發(fā)送給VLR。
4) VLR將三元組中的隨機(jī)數(shù)RAND,發(fā)送給MS。5)MS對(duì)隨機(jī)數(shù)RAND,用A3算法,將產(chǎn)生的結(jié)果SERS傳遞給VLR。6) VLR將SERS和RES進(jìn)行比較,如果兩者相等,那么通知IMSI發(fā)送IMSI,如果不 相等則認(rèn)證失敗。7) HLR將IMSI傳遞給VLR。VLR根據(jù)IMSI生成TMSI,然后將TMSI發(fā)送給MS。
圖1為通過(guò)永久用戶身份識(shí)別機(jī)制的示意圖;圖2為增強(qiáng)型用戶身份發(fā)送機(jī)制的示意圖;圖3為公鑰加密體制解決IMSI安全性機(jī)制的示意圖。
具體實(shí)施例方式如圖3所示,由VLR/SGSN發(fā)起用戶身份請(qǐng)求過(guò)程。拜訪VLR/SGSN請(qǐng)求USIM發(fā)送它的XEMSI。收到請(qǐng)求后,USIM將執(zhí)行下列操作—使時(shí)變參數(shù)序列號(hào)SQNUIC增加,即SQNUIC= SQNUIC+1 ;—使用加密函數(shù)f6和組密鑰GK來(lái)加密SQNUIC和MSIN,得到EMSIN,即有EMSIN =f6GK(SQNUIC MSIN);—用GI 禾口 EMSIN 級(jí)聯(lián)來(lái)構(gòu)成 EMSI 即有 EMSI = GI | | EMSIN ;—用UIDN_ADR 和 EMSI 級(jí)聯(lián)來(lái)構(gòu)成 XEMSI ;—發(fā)送XEMSI作為對(duì)SN/VLR/SGSN的響應(yīng)—使用加密算法Π0和組密碼GK推導(dǎo)出TEMSI;SN/VLR/SGSN接收到響應(yīng)后,從XEMSI中分解出UID_ADR,并把EMSI發(fā)送到與用戶 相應(yīng)的HE/UIDN。HE/UIDN收到EMSI后將執(zhí)行下列操作—從EMSI中分解出用戶組標(biāo)識(shí)GI和EMSIN-獲取與GI相關(guān)聯(lián)的組密鑰GK;—使用f6的逆函數(shù)f7 (f7 = f6-l)和組密鑰GK解密EMSIN獲取SQNUIC和MSIN ;—構(gòu)建用戶的IMSI IMSI = MCCUIDN_ADR | | MNCUIDN_ADR | | MSIN—計(jì)算TEMSI =TEMSI = flOGK(SQNUIC | IMSI);—發(fā)送IMSI 和 TEMSI 給拜訪 SN/VLR/SGSN.從上面的過(guò)程我們可以看到在3G中對(duì)用戶用久身份的保密有所加強(qiáng)。用戶永久 身份不再使用明文方式在無(wú)線接入鏈路上傳送,相比2G而言用戶身份的機(jī)密性有了較大 的改進(jìn)。但我們可以看到,從UIDN傳給VLR/SGSN的解密用戶身份仍然使用了明文方式,因 此該方式也還存在一定的弱點(diǎn),需要進(jìn)一步的改進(jìn)。例如當(dāng)UIDN解出IMSI后,可以使用非 對(duì)稱密鑰來(lái)加密IMSI,即可以使用VLR/SGSN的公鑰來(lái)加密IMSI,VLR/SGSN再使用自身的 私鑰來(lái)解密,最終獲得IMSI。這樣就可以保證IMSI不會(huì)以明文形式出現(xiàn)在傳輸過(guò)程中。
權(quán)利要求
1.一種IMSI安全性提升方法,其特征在于,該方法包括1)MS首先向VLR發(fā)送指定的HLR的地址,并且將HLR的公鑰來(lái)加密隨機(jī)數(shù)RAND和 IMSI,并且發(fā)送給VLR;2)VLR 將 Esk(RAND | | IMSI)發(fā)送給指定的 HLR ;3)HLR用自己的私鑰來(lái)解密加密的Esk(RAND | | IMSI),產(chǎn)生一個(gè)隨機(jī)數(shù)RAND’來(lái)產(chǎn)生三 元組,并且將這些三元組發(fā)送給VLR ;4)VLR將三元組中的隨機(jī)數(shù)RAND’發(fā)送給MS ;5)MS對(duì)隨機(jī)數(shù)RAND’用A3算法,將產(chǎn)生的結(jié)果SERS傳遞給VLR;6)VLR將SERS和RES進(jìn)行比較,如果兩者相等,那么通知IMSI發(fā)送IMSI,如果不相等 則認(rèn)證失??;7)HLR將IMSI傳遞給VLR,VLR根據(jù)IMSI生成TMSI,然后將TMSI發(fā)送給MS。
2.如權(quán)利要求1所述的方法,其特征在于,密鑰sk為HLR的一個(gè)公鑰,MS可以隨時(shí)的 查詢HLR的這個(gè)公鑰。
3.如權(quán)利要求1所述的方法,其特征在于,HLR用自己的私鑰來(lái)解密加密的 Esk (RAND I I IMSI),從而得到 IMSI ;HLR找出IMSI對(duì)應(yīng)的主密鑰Ki,產(chǎn)生一個(gè)隨機(jī)數(shù)RAND,來(lái)產(chǎn)生三元組(RAND,,RES, Kc),并且將這三元組發(fā)送給VLR。
全文摘要
本發(fā)明公開(kāi)了一種IMSI安全性提升方法,該方法主要運(yùn)用了密碼學(xué)加密的技術(shù),分別用2中不同的方法來(lái)解決在GSM網(wǎng)絡(luò)中IMSI明文傳輸?shù)牟话踩?。方?中,MS首先用HLR的公鑰加密IMSI,然后通過(guò)VLR傳遞給HLR,然后HLR通過(guò)解密得到IMSI,HLR然后產(chǎn)生三元組,發(fā)送給VLR。VLR與MS之間進(jìn)行單向的認(rèn)證,如果認(rèn)證成功,那么HLR將IMSI發(fā)送給VLR,VLR根據(jù)IMSI產(chǎn)生TMSI。
文檔編號(hào)H04W12/04GK102111760SQ200910244258
公開(kāi)日2011年6月29日 申請(qǐng)日期2009年12月28日 優(yōu)先權(quán)日2009年12月28日
發(fā)明者包一兵, 羅守山, 辛陽(yáng), 鄭強(qiáng) 申請(qǐng)人:北京安碼科技有限公司