2．5．2　GSM系统的安全性管理

GSM系统在网络安全管理方面较模拟系统有了显著的改善，主要有以下安全性措施：

·对接入网络的呼叫请求进行鉴权；

·对无线信道上的消息进行加密；

·对移动设备的合法性进行确认；

·对移动台IMSI号进行保护，即IMSI临时身份——TMSI号的使用。

1．GSM系统中用户三参数组的产生

用户的鉴权与加密是通过系统提供的用户三参数组来完成的。用户三参数组是在GSM系统的AUC（鉴权中心）中产生的，如图2．39所示。

图2．39　AUC中用户三参数组的产生

每个用户在签约（注册登记）时，就被分配一个用户号码（用户电话号码）和用户识别码（IMSI）。IMSI通过SIM写卡机写入客户SIM卡中，同时在写卡机中又产生一个对应此IMSI的唯一的客户鉴权键Ki，它被分别存储在客户SIM卡和AUC中。

AUC中还有个伪随机码发生器，用于产生一个不可预测的伪随机数（RAND）。RAND和Ki经AUC中的A8算法（也叫加密算法）产生一个Kc（密钥），经A3算法（鉴权算法）产生一个响应数（SRES）。由产生Kc和SRES的RAND与Kc、SRES一起组成该客户的一个三参数组，传送给HLR，存储在该客户的客户资料库中。当MSC／VLR需要使用时，向HLR请求传送三参数组。因此，在鉴权和加密等安全性管理过程中所用的参数相应存放在表明用户身份的SIM卡和鉴权中心AUC中。

（1）SIM卡中有如下内容：

·固化数据，IMSI，Ki，安全算法；

·临时的网络数据TMSI，LAI，Kc，被禁止的PLMN；

·业务相关数据。

（2）鉴权中心（AUC）有如下内容：

·用于生成随机数（RAND）的随机数发生器；

·鉴权键Ki；

·各种安全算法。

2．安全管理措施

（1）鉴权

鉴权的作用是鉴别用户SIM卡的真实性，防止非法用户接入网络。MSC／VLR确认移动台通过无线接口传送的IMSI是否是与运营商签约的IMSI的过程称为鉴权。在用户每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。具体过程如下：

①当移动客户开机请求接入网络时，MSC／VLR通过控制信道将三参数组的一个参数伪随机数RAND传送给MS。

②MS的SIM卡收到RAND后，用此RAND与SIM卡存储的客户鉴权键Ki，经同样的A3算法得出一个响应数SRES，传送给MSC／VLR。

③MSL／VLR把收到的SRES与存储其中的SRES比较，由于是同一RAND，同样的Ki和A3算法，因此结果SRES应相同。MSC／VLR比较的结果相同就允许接入，否则为非法用户，网络拒绝为此用户服务。

（2）加密

GSM系统中的加密是指无线路径上的加密，即是指BTS和MS之间交换客户信息和客户参数时不被截获或监听。加密是受鉴权过程中产生的密钥控制的，密钥Kc不在无线接口上传送，而是分别在AUC和SIM卡中计算得到的。在鉴权程序中，当客户侧计算SRES时，同时用另一算法（A8算法）也计算出密钥Kc。根据MSC／VLR发送出的加密命令，BTS侧和MS侧均开始使用Kc。在MS侧，由Kc、TDAM帧号和加密命令M一起经A5算法，对客户信息数据流进行加密（也叫扰码），在无线路径上传送。在BTS侧，把从无线信道上收到加密信息数据流、TDMA帧号和Kc，再经过A5算法解密后，传送BSC和MSC。所有的语音和数据均需加密，并且所有有关客户参数也均需加密。如图2．40所示，加密过程如下：

图2．40　加密过程

①MSC／VLR把“加密模式命令M”和Kc一起送给BTS；

②“加密模式命令”传至MS；

③“加密模式完成”消息M′和Kc用A5算法加密，同时TDMA帧号也用A5算法加密，合成M′_c；

④M′_c送至BTS；

⑤M′_c和Kc用A5算法解密，TDMA帧号也由A5算法解密；

⑥若M′_c能被解密成M′（加密模式成功）并送至MSC，则所有信息从此时开始加密。

（3）移动设备识别

每一个移动台设备均有一个唯一的移动台识别码（IMEI）。在EIR中存储了所有移动台的识别码，每一个移动台只存储本身的IMEI。设备识别在呼叫建立尝试阶段进行，目的是确保系统中使用的设备不是盗用的或非法的设备。为此，EIR中使用三种设备清单。

①白名单：合法的移动设备识别号码；

②黑名单：禁止使用的移动设备识别号码；

③灰名单：由运营者决定，例如有故障的或未经型号认证的移动设备识别号码。

具体的移动设备识别过程如下：

①MSC／VLR收到MS的接入请求后向MS请求发送其IMEI；

②MS发送IMEI；

③MSC／VLR将收到的IMEI转发给EIR；

④EIR将收到的IMEI与白、黑、灰三种表进行比较，把结果发送给MSC／VLR，以便MSC／VLR决定是否允许该移动台设备进入网络。

（4）鉴权后分配临时识别码（TMSI）

为了空中接口上传输的安全性，GSM系统提供了一种代替IMSI的保密措施，即在空口上传输TMSI而非IMSI。每当MS用IMSI向系统请求位置更新、呼叫尝试或业务激活时，MSC／VLR对它进行鉴权，允许接入网络后，MSC／VLR产生一个新的TMSI传送给移动台，写入客户SIM卡。此后，MSC／VLR和MS之间的信令交换就使用TMSI，实现对用户IMSI的保密和避免用户被非法跟踪定位。客户临时识别码（TMSI）是由MSC／VLR分配，并不断地进行更换，更换周期由网络运营者设置，更换的频次越快，起到的保密性越好，但对客户的SIM卡寿命有影响。