一、 引言
安全問題一直是困擾着無線通信系統的一個大問題。網絡安全主要分爲接入鑑權和加密兩部分:接入鑑權是爲了保證用戶身份的合法性,加密是爲了解決通信內容的安全性問題。接入鑑權分爲用戶鑑權和會話鑑權。用戶鑑權是在最初建立會話時,檢驗終端用戶的合法性;會話鑑權是在會話期間,終端從靜態到激活態或發生切換引起的重新鑑權。機卡分離的cdma2000 1x網絡在空中沿用了2G的安全機制,採用了基於CAVE(Cellular Authentication and Voice Encryption )算法的接入鑑權。cdma2000 1x向3G演進時存在着兩條不同的技術路線,一條是1x EV-DO,另一條是1x EV-DV。1x EV-DO在空中採用了完全不同於cdma2000 1x的鑑權方式,其接入鑑權主要採用的是基於MD5(Message Digest 5)算法的CHAP(Challenge Handshake Authentication Protocol)鑑權。原有的cdma2000 1x用戶如果希望能享受到1x EV-DO的高速業務,除了更換終端,還必須更換UIM卡。在1xEV-DO網絡建設初期,這種運營模式必會影響到用戶的正常使用。
二、 CDMA2000 1x網絡中的接入鑑權
cdma2000 1x的鑑權方案沿用了2G的鑑權思想,即網絡只對接入的終端進行鑑權,而終端並不對網絡進行鑑權。cdma2000 1x鑑權涉及到的內容有共享密鑰A-Key、共享祕密數據SSD、SSD的更新以及網絡對終端的鑑權過程。在終端用戶入網時,一些重要數據是需要預先存在終端(UIM卡)和網絡鑑權中心(AC)的,這些數據包括密鑰A-Key、終端的IMSI、ESN(UIM ID)、鑑權算法等。
1. 鑑權密鑰A-Key
密鑰A-Key是僅爲終端(UIM卡)和網絡側AC共享的密鑰,其他實體無權知道A-Key的值。A-Key的長度爲64bits,A-Key的值是由運營商來決定的,A-Key的值被寫入後通常就不再做改變。因爲A-Key是產生其他祕密數據的基礎,所以A-Key的安全是非常重要的。
2. 共享祕密數據SSD
共享祕密數據SSD是128bits的值,它由終端(UIM卡)和AC共享。SSD是網絡對終端進行鑑權以及信息加密過程中的重要數據。
SSD不能在空中接口傳送,SSD生成或更新過程是由AC發起的,在終端和AC使用相同的算法計算完成,更新過程可以在控制信道進行也可以在業務信道進行。SSD分爲SSD-A 和SSD-B 兩部分,各爲64bits。SSD-A用於鑑權,SSD-B用於加密。圖1描述的是生成新的SSD以及對新的SSD進行驗證的過程。
SSD更新由HLR/AC發起,AC首先要將SSD更新請求的消息發送到終端;終端收到SSD更新消息後,將其中的RANDSSD作爲終端側的輸入參數,與其他參數一起計算出新的SSD值後,終端側選擇一個隨機數RANDBS傳給AC;終端和AC使用同樣的算法和輸入參數進行計算,計算出AUTHBS;AC發送消息將自己計算出的AUTHBS值傳給終端;終端比較自己計算的AUTHBS值和AC計算的AUTHBS值,如果兩個值相同,則新的SSD通過驗證,終端將SSD值狀態變爲可用狀態;終端發送消息向網絡側確認SSD更新成功,AC收到此消息後,也將新SSD值變爲可用狀態,則SSD更新過程完成。
圖1 SSD產生和驗證過程
3. 鑑權基本算法CAVE
CAVE算法爲2G安全中基本的算法,在共享祕密數據的更新、驗證過程中,鑑權過程中都會使用到CAVE算法。根據輸入參數的不同CAVE算法參數初始化和輸出結果不同,從而能夠被應用到cdma2000安全的各個環節中去。其主要的應用環節包括SSD更新過程和對終端的鑑權過程。前面已經說明了CAVE算法用於SSD更新的過程,下面介紹對終端鑑權過程的鑑權算法。
圖2 對終端的認證過程
圖2描述的是使用CAVE算法對用戶鑑權的過程。終端和AC分別用SSD與其他參數進行CAVE算法,終端將CAVE算法產生的值傳送給AC,AC將此值與自身執行CAVE算法計算出的值比較,若相等則鑑權成功。
三、 1x EV-DO網絡中的接入鑑權
1x EV-DO網絡中採用了基於MD5算法的CHAP鑑權。1x EV-DO網絡中增加了新的鑑權設備AN-AAA,支持新的鑑權算法。接入鑑權包括兩個部分:AN-AAA與AN之間(A12接口)的鑑權以及IP層到PDSN之間的鑑權,鑑權採用的協議都是CHAP協議。1x EV-DO網絡採用了與1x網絡完全不同的接入鑑權方案,新增的設備、協議與算法會給網絡帶來巨大的變化。由於CDMA2000系統未來的演進還存在許多不確定因素,保證用戶的穩定性始終是第一位的因素。所以,考慮到用戶的使用習慣,1x EV-DO網絡在初期需要支持CDMA2000 1x用戶的正常使用,尤其要支持用戶在更換終端而不換卡的情況下能使用新的網絡。
1. 新的鑑權策略
根據網絡設備的現狀,如果在原有的cdma 2000 1x網絡中實現1x EV-DO的鑑權,將徹底更新網絡的結構,會給現網帶來很大的影響。而且,這種方案同時需要終端和UIM卡的升級,達不到原有的目的。所以,一種可行的方案是在新的網絡中對網絡設備作較小的改動,使之具備1x鑑權的功能,實現新舊用戶的共同接入。
對於EV-DO UIM卡(新卡)和1X UIM卡(舊卡)同時在網絡中使用的情況,網絡需要採取不同的鑑權策略。新舊UIM卡與不同終端組合在1 x EV-DO網絡中的鑑權情況如表1所示。
從表1可以看出,在未來的1x EV-DO混合網絡中,終端和卡的任意組合都能順利接入到相應的網絡中。1x only終端支持兩種卡,但只能接入到1x網絡中,採用CAVE鑑權;EV-DO only終端面向未來的移動數據業務,同時支持兩種卡在EV-DO網絡中使用,但採取了不同的鑑權方案;1x EV-DO雙模終端兼有電路域話音功能,使用情況比較複雜,分爲以下幾種情況:如果插入1x UIM卡,終端可以在兩種網絡間自由切換,只採用CAVE鑑權;如果插入EV-DO UIM卡,終端也能在兩網間切換,但接入1x網絡採用CAVE鑑權,接入EV-DO網絡採用MD5鑑權。
2. 對網絡的影響
上述的鑑權方案確定後,還需要考慮這種方案對原有的EV-DO網絡的影響。從上述的鑑權方案可以看出,如果對1x網絡進行改造使其同時支持兩種鑑權方案,需要增加新的設備和信令,對網絡的改動太大;但是從原有的EV-DO網絡出發,在EV-DO網絡中同時支持兩種方案帶來的變化將最小化。1x EV-DO混合網絡中,EV-DO系統中進行MD5算法鑑權的網絡設備AN-AA與1x系統中進行CAVE算法的網絡設備HLR/AC之間必須有一定的聯繫,AN-AAA應同時具備支持兩種鑑權算法的功能。AN-AAA在實現CAVE算法時,需要的重要參數A-Key、SSD等都需要從網絡中保存這些參數的設備HLR/AC中獲取,這樣,AN-AAA在CAVE鑑權時具有部分VLR的功能,1x UIM卡用戶能夠順利地通過CAVE鑑權方式接入到EV-DO網絡中,而新的EV-DO UIM卡用戶仍採用EV-DO的MD5鑑權方式接入。
3. 設備要求
從前文的分析可以看出,這種在EV-DO網絡中支持兩種鑑權方式的方案,對主要設備的要求是在實現鑑權的網絡設備AN-AAA、HLR/AC和終端設備上,引入這種方案對原有的網絡影響很小,只需要做軟件上的升級和改動。AN-AAA首先需要能夠區分用戶類型,判別是1x用戶還是EV-DO用戶,根據用戶類型採用不同的鑑權策略。AN-AAA在採用CAVE算法實現鑑權時還需要與HLR/AC交互信息,能向HLR/AC發起SSD更新消息,獲取重要的鑑權密鑰SSD。同時,1x EV-DO終端要能支持1x UIM卡和EV-DO UIM卡,確保無論哪種卡插入1x EV-DO終端,終端和卡都能分別執行相應的操作。
四、 結束語
CDMA2000 1x網絡在向1x EV-DO演進過程中,原有的1x用戶在無需更換UIM卡的情況下就能順利接入到新的網絡中,的確給用戶帶來了極大的方便。但是由於2G安全機制存在的隱患,在EV-DO網絡中長期採用2G的安全算法無疑會影響網絡的安全性,運營商在部署3G網絡的同時,最終也必須實現安全機制的完全升級。