电信3GSIM鉴权

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

CAVE和MD5鉴权3G上网时,电信端会有两种身份验证方式,CAVE和MD5两种验证方式,通过了就上你上3G,通不过,你只能上1X。一般3G是采用MD5方式进行验证,但是为了让以前的1X网络用户能上3G,所以电信实际采用的是CAVE和MD5共存的验证方式。很多人都在问,CAVE和MD5上3G速度是不是一样的,上面也说了,这两种方式只是身份验证方式不同,验证通过都是在同一个3G网络中使用,速度怎么可能有区别。打个比方,上3G就象上我们坐飞机去一个地方,有人拿的是纸质机票(假设是CAVE),有人拿的是电子机票(假设是MD5),不管拿电子机票还是拿纸质机票的,都可以换到登机牌坐上飞机,大家都进了同一个飞机,速度会有什么不一样的呢?那什么是CAVE呢CAVE验证方式:是我们国家默认的验证方式,根据手机卡的ESN、IMSI、Akey来确定你的身份,手机卡在谁手上,谁就能上3GMD5验证方式:是根据AN/AAA帐号密码来确定你的身份。只要知道了AN/AAA帐号密码就能上3G,和你手机卡无关。目前机卡一体的手机一般只能用这种方式上3G。(机卡一体机用CAVE方式也能上,但是需一种特殊的Radio)----------------------------------------------------------下面整点专业的,一般人不用学习。有兴趣的人可以研究一下一、引言安全问题一直是困扰着无线通信系统的一个大问题。网络安全主要分为接入鉴权和加密两部分:接入鉴权是为了保证用户身份的合法性,加密是为了解决通信内容的安全性问题。接入鉴权分为用户鉴权和会话鉴权。用户鉴权是在最初建立会话时,检验终端用户的合法性;会话鉴权是在会话期间,终端从静态到激活态或发生切换引起的重新鉴权。机卡分离的cdma20001x网络在空中沿用了2G的安全机制,采用了基于CAVE(CellularAuthenticationandVoiceEncryption)算法的接入鉴权。cdma20001x向3G演进时存在着两条不同的技术路线,一条是1xEV-DO,另一条是1xEV-DV。1xEV-DO在空中采用了完全不同于cdma20001x的鉴权方式,其接入鉴权主要采用的是基于MD5(MessageDigest5)算法的CHAP(ChallengeHandshakeAuthenticationProtocol)鉴权。原有的cdma20001x用户如果希望能享受到1xEV-DO的高速业务,除了更换终端,还必须更换UIM卡。在1xEV-DO网络建设初期,这种运营模式必会影响到用户的正常使用。二、CDMA20001x网络中的接入鉴权cdma20001x的鉴权方案沿用了2G的鉴权思想,即网络只对接入的终端进行鉴权,而终端并不对网络进行鉴权。cdma20001x鉴权涉及到的内容有共享密钥A-Key、共享秘密数据SSD、SSD的更新以及网络对终端的鉴权过程。在终端用户入网时,一些重要数据是需要预先存在终端(UIM卡)和网络鉴权中心(AC)的,这些数据包括密钥A-Key、终端的IMSI、ESN(UIMID)、鉴权算法等。1.鉴权密钥A-Key密钥A-Key是仅为终端(UIM卡)和网络侧AC共享的密钥,其他实体无权知道A-Key的值。AKey的长度为64bits,A-Key的值是由运营商来决定的,A-Key的值被写入后通常就不再做改变。因为A-Key是产生其他秘密数据的基础,所以A-Key的安全是非常重要的。2.共享秘密数据SSD共享秘密数据SSD是128bits的值,它由终端(UIM卡)和AC共享。SSD是网络对终端进行鉴权以及信息加密过程中的重要数据。SSD不能在空中接口传送,SSD生成或更新过程是由AC发起的,在终端和AC使用相同的算法计算完成,更新过程可以在控制信道进行也可以在业务信道进行。SSD分为SSD-A和SSD-B两部分,各为64bits。SSD-A用于鉴权,SSD-B用于加密。图1描述的是生成新的SSD以及对新的SSD进行验证的过程。SSD更新由HLR/AC发起,AC首先要将SSD更新请求的消息发送到终端;终端收到SSD更新消息后,将其中的RANDSSD作为终端侧的输入参数,与其他参数一起计算出新的SSD值后,终端侧选择一个随机数RANDBS传给AC;终端和AC使用同样的算法和输入参数进行计算,计算出AUTHBS;AC发送消息将自己计算出的AUTHBS值传给终端;终端比较自己计算的AUTHBS值和AC计算的AUTHBS值,如果两个值相同,则新的SSD通过验证,终端将SSD值状态变为可用状态;终端发送消息向网络侧确认SSD更新成功,AC收到此消息后,也将新SSD值变为可用状态,则SSD更新过程完成。3.鉴权基本算法CAVECAVE算法为2G安全中基本的算法,在共享秘密数据的更新、验证过程中,鉴权过程中都会使用到CAVE算法。根据输入参数的不同CAVE算法参数初始化和输出结果不同,从而能够被应用到cdma2000安全的各个环节中去。其主要的应用环节包括SSD更新过程和对终端的鉴权过程。前面已经说明了CAVE算法用于SSD更新的过程,下面介绍对终端鉴权过程的鉴权算法。图1SSD产生和验证过程图2对终端的认证过程图2描述的是使用CAVE算法对用户鉴权的过程。终端和AC分别用SSD与其他参数进行CAVE算法,终端将CAVE算法产生的值传送给AC,AC将此值与自身执行CAVE算法计算出的值比较,若相等则鉴权成功。三、1xEV-DO网络中的接入鉴权1xEV-DO网络中采用了基于MD5算法的CHAP鉴权。1xEV-DO网络中增加了新的鉴权设备AN-AAA,支持新的鉴权算法。接入鉴权包括两个部分:AN-AAA与AN之间(A12接口)的鉴权以及IP层到PDSN之间的鉴权,鉴权采用的协议都是CHAP协议。1xEV-DO网络采用了与1x网络完全不同的接入鉴权方案,新增的设备、协议与算法会给网络带来巨大的变化。由于CDMA2000系统未来的演进还存在许多不确定因素,保证用户的稳定性始终是第一位的因素。所以,考虑到用户的使用习惯,1xEV-DO网络在初期需要支持CDMA20001x用户的正常使用,尤其要支持用户在更换终端而不换卡的情况下能使用新的网络。1.新的鉴权策略根据网络设备的现状,如果在原有的cdma20001x网络中实现1xEV-DO的鉴权,将彻底更新网络的结构,会给现网带来很大的影响。而且,这种方案同时需要终端和UIM卡的升级,达不到原有的目的。所以,一种可行的方案是在新的网络中对网络设备作较小的改动,使之具备1x鉴权的功能,实现新旧用户的共同接入。对于EV-DOUIM卡(新卡)和1XUIM卡(旧卡)同时在网络中使用的情况,网络需要采取不同的鉴权策略。新旧UIM卡与不同终端组合在1xEV-DO网络中的鉴权情况如表1所示。从表1可以看出,在未来的1xEV-DO混合网络中,终端和卡的任意组合都能顺利接入到相应的网络中。1xonly终端支持两种卡,但只能接入到1x网络中,采用CAVE鉴权;EV-DOonly终端面向未来的移动数据业务,同时支持两种卡在EV-DO网络中使用,但采取了不同的鉴权方案;1xEV-DO双模终端兼有电路域话音功能,使用情况比较复杂,分为以下几种情况:如果插入1xUIM卡,终端可以在两种网络间自由切换,只采用CAVE鉴权;如果插入EV-DOUIM卡,终端也能在两网间切换,但接入1x网络采用CAVE鉴权,接入EV-DO网络采用MD5鉴权。2.对网络的影响上述的鉴权方案确定后,还需要考虑这种方案对原有的EV-DO网络的影响。从上述的鉴权方案可以看出,如果对1x网络进行改造使其同时支持两种鉴权方案,需要增加新的设备和信令,对网络的改动太大;但是从原有的EV-DO网络出发,在EV-DO网络中同时支持两种方案带来的变化将最小化。1xEV-DO混合网络中,EV-DO系统中进行MD5算法鉴权的网络设备AN-AA与1x系统中进行CAVE算法的网络设备HLR/AC之间必须有一定的联系,AN-AAA应同时具备支持两种鉴权算法的功能。AN-AAA在实现CAVE算法时,需要的重要参数A-Key、SSD等都需要从网络中保存这些参数的设备HLR/AC中获取,这样,AN-AAA在CAVE鉴权时具有部分VLR的功能,1xUIM卡用户能够顺利地通过CAVE鉴权方式接入到EV-DO网络中,而新的EV-DOUIM卡用户仍采用EV-DO的MD5鉴权方式接入。3.设备要求从前文的分析可以看出,这种在EV-DO网络中支持两种鉴权方式的方案,对主要设备的要求是在实现鉴权的网络设备AN-AAA、HLR/AC和终端设备上,引入这种方案对原有的网络影响很小,只需要做软件上的升级和改动。AN-AAA首先需要能够区分用户类型,判别是1x用户还是EV-DO用户,根据用户类型采用不同的鉴权策略。AN-AAA在采用CAVE算法实现鉴权时还需要与HLR/AC交互信息,能向HLR/AC发起SSD更新消息,获取重要的鉴权密钥SSD。同时,1xEV-DO终端要能支持1xUIM卡和EV-DOUIM卡,确保无论哪种卡插入1xEV-DO终端,终端和卡都能分别执行相应的操作。

1 / 8
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功