电路图下载_说明书下载_标准下载 - 电子标准网
您的位置电子标准网 > 电子百科
站内搜索:

GSM鉴权管理

2011-12-15 17:43:07   发表:
GSM鉴权管理的涵义
  (1)鉴权与加密的重要特征
  客户的鉴权与加密是通过系统提供的客户三参数组来完成的。客户三参数组的产生是在GSM系统的AUC(鉴权中心)中完成,如图3-39所示。每个客户在签约 (注册登记)时,就被分配一个客户号码(客户电话号码)和客户识别码(IMSI)。IMSI通过SIM写卡机写入客户SIM卡中,同时在写卡机中又产生一个对应此IMSI的唯一的客户鉴权键Ki,它被分别存储在客户SIM卡和AUC中。AUC中还有个伪随机码发生器,用于产生一个不可预测的伪随机数 (RAND)。RAND和Ki经AUC中的A8算法(也叫加密算法)产生一个Kc(密钥),经A3算法(鉴权算法)产生一个响应数(SRES)。由产生 Kc和SRES的RAND与Kc、SRES一起组成该客户的一个三参数组,传送给HLR,存储在该客户的客户资料库中。一般情况下,AUC一次产生5组三参数,传送给HLR,HLR自动存储。HLR可存储10组三参数,当MSC/VLR向HLR请求传送三参数组时,HLR又一次性地向MSC/VLR传5组三参数组。MSC/VLR一组一组地用,用到剩2组时,再向HLR请求传送三参数组。
  (2) 鉴权的过程
  鉴权的作用是保护网路,防止非法盗用。同时通过拒绝假冒合法客户的“ 入侵” 而保护GSM 移动网路的客户。鉴权的程序见图3-40,当移动客户开机请求接入网路时,MSC/VLR通过控制信道将三参数组的一个参数伪随机数RAND传送给客户,SIM卡收到RAND后,用此RAND与SIM卡存储的客户鉴权键Ki,经同样的A3算法得出一个响应数SRES,传送给MSC/VLR。 MSC/VLR将 收到的SRES与三参数组中的SRES进行比较。由于是同一RAND,同样的Ki和A3算法,因此结果SRES应相同。MSC/VLR比较的结果相同就允许接入,否则为非法客户,网路拒绝为此客户服务。
  在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。
  (3) 加密 GSM系统中的加密也只是指无线路径上的加密,是指BTS和MS之间交换客户信息和客户参数时不被非法个人或团体所得或监听,加密程序见图3-41所示。在鉴权程序中,当客户侧计算SRES 图3-39三参数组的提供时,同时用另一算法(A8算法)也计算出密钥Kc。根据MSC/VLR发送出的加密命令,BTS侧和MS侧均开始使用Kc。在MS侧,由Kc、TDAM帧号和加密命令M一起经A5算法,对客户信息数据流进行加密(也叫扰码),在无线路径上传送。在BTS侧,把从无线信道上收到加密信息数据流、TDMA帧号和Kc,再经过A5算法解密后,传送BSC和MSC。
  所有的语音和数据均需加密,并且所有有关客户参数也均需加密。
  (4) 鉴权后分配临时识别码(TMSI)
  临时识别码的设置是为了防止非法个人或团体通过监听无线路径上的信令交换而窃得移动客户真实的客户识别码(IMSI)或跟踪移动客户的位置。
  客户临时识别码(TMSI)是由MSC/VLR分配,并不断地进行更换,更换周期由网路运营者设置。更换的频次越快,起到的保密性越好,但对客户的SIM卡寿命有影响。客户识别码保密程序见图3-43,每当MS用IMSI向系统请求位置更新、呼叫尝试或业务激活时,MSC/VLR对它进行鉴权。允许接入网路后,MSC/VLR产生一个新的TMSI,通过给IMSI分配 图3-43 位置更新TMIS的命令将其传送给移动台,写入客户SIM卡。此后,MSC/VLR和MS之间的命令交换就使用TMIS,客户实际的识别码IMSI便不再在无线路径上传送。
安全性算法
  GSM系统使用三种算法用于鉴权和加密的目的,这些处算法是A3,A5和A8。A3被用于鉴权,A8用于产生加密密钥以及A5用于加密。
  算法A3和A8位于SIM卡模块和鉴权中心中,A5位于移动台和BTS中。
  运营者开始使用安全功能之前,移动用户已经在鉴权中心被创建。以下是创建用户所需要的信息:
  (1)用户的IMSI
  (2)用户的Ki
  (3)使用的算法版本
  同样的信息也存储在移动用户的SIM卡中。GSM安全功能的基本原理是比较存储在网络中的数据和存储在用SIM卡中的数据。IMSI号码是移动用户的唯一识别码,Ki 是一个长度为32位十六进制数的鉴权密钥,A3和A8算法使用这些数字作为鉴权的基本参数。鉴权吕心产生能用于一个事务处理期间、所有的安全性目的的信息。这个信息称为鉴权数据组。
  鉴权数据组由三个数字组成:
  (1)RAND
  (2)SRES
  (3)KC.
  RAND是一个随机数,SRES(签字应答)是算法A3在一定源信息基础上产生的结果,KC 是A8在一定源信息的基础上产生的加密密钥。
  鉴权数据组中的三个值彼此相互联系,即某个RAND和KC 通过某种算法总是产生某个SRES和一个KC 。
  当VLR 拥有这类三个值的组合时,就可以启动移动用户的鉴权过程,VLR通过BSS以送随机数RAND至移动台中的SIM卡。由于SIM拥有和网络方产生数组使用的完全相同的算法,SIM收到的随机数通过算法应该产生与网络方产生的SRES值完全相同。如果鉴权数据中的SRES与移动如计算和发送的SRES一样的话,那么鉴权过程就成功了。

关于我们-联系我们-帮助中心-友情链接-免责声明