??? 摘? 要： 分析了IMSI的組成及其在CDMA2000網(wǎng)絡(luò)中的作用。IMSI作為用戶信息的重要組成部分，為確保其安全提出了相關(guān)策略，提高了用戶身份信息、業(yè)務(wù)信息、位置信息等重要信息的安全水平。?

??? 關(guān)鍵詞： CDMA2000; IMSI; 用戶信息安全?

?

??? CDMA2000移動通信系統(tǒng)作為3G的三大標(biāo)準之一，在安全性方面具有獨特的優(yōu)勢。國際移動用戶識別碼IMSI(International Mobile Subscriber Identity)是系統(tǒng)內(nèi)部對每個用戶的標(biāo)識，由運營商按照一定的規(guī)則分配，存儲在UIM卡中。用戶購買了一張UIM卡，并選擇了一個號碼，就建立了IMSI和MDN的對應(yīng)關(guān)系，這個對應(yīng)關(guān)系存儲在HLR中?，F(xiàn)有的安全機制中，IMSI存在泄漏的危險。而IMSI的泄漏，將有可能導(dǎo)致用戶的身份信息、業(yè)務(wù)信息、位置信息等重要信息被非法獲取，造成信息泄漏，特別是對于某些重要用戶將產(chǎn)生嚴重的后果。?

??? 本文結(jié)合CDMA標(biāo)準等相關(guān)文檔，在詳細分析IMSI組成、作用及現(xiàn)有安全機制的基礎(chǔ)上，提出了增強IMSI信息安全的相關(guān)策略。?

1 CDMA2000安全特征?

??? 從移動臺的角度看，CDMA2000網(wǎng)絡(luò)的安全目標(biāo)是提供3個層次的安全服務(wù)。?

??? (1) 無線接入安全：對用戶的無線接入認證和空中接口加密。當(dāng)用戶請求電路交換業(yè)務(wù)和位置更新時，MSC發(fā)起對用戶的認證；當(dāng)用戶請求分組交換業(yè)務(wù)時，首先對用戶進行無線接入認證，然后通過Radius協(xié)議或者Diameter協(xié)議到AAA服務(wù)器中進行分組數(shù)據(jù)業(yè)務(wù)的認證。?

??? （2） IP網(wǎng)絡(luò)安全： 提供分組網(wǎng)絡(luò)的認證和保密。認證功能通過AAA機制實現(xiàn)。?

??? （3） 用戶端到端安全：用戶端到端安全，規(guī)范中沒有規(guī)定，可以采用VPN實現(xiàn)。?

??? 從網(wǎng)絡(luò)的角度看,CDMA2000無線鏈路采用偽隨機碼PN（Pseudo_random Noise code）對信號進行擴頻，使得信號很難被攔截和竊聽。此外，還規(guī)定了一系列接入安全機制，如圖1所示。由于終端處理能力和空中帶寬受限，CDMA2000安全基于私鑰技術(shù)，安全協(xié)議依賴于一個64bit認證密鑰(A_Key)和終端的電子序列號(ESN)。?

?

?

??? CDMA2000安全機制中采用了四種安全算法：蜂窩認證和話音加密算法CAVE（Cellular Authentication and Voice Encryption），用于查詢/應(yīng)答(Challenge／Response)認證協(xié)議和密鑰生成；專用長碼掩碼PLCM（Private Long Code Mask），控制擴頻序列，然后擴頻序列與語音數(shù)據(jù)異或?qū)崿F(xiàn)語音保密；ORYX是基于LSFR的流密碼，用于無線用戶數(shù)據(jù)加密服務(wù)；增強的分組加密算法E_CMEA(Enhanced Cellular Message Encryption Algorithm)是一個分組密碼，用于加密控制信道。?

??? 3GPP2 S.R0032還規(guī)定CDMA2000空中接口支持增強用戶認證（ESA）和增強用戶保密（ESP）。?

2 IMSI的組成和作用?

2.1 IMSI介紹?

??? CDMA規(guī)范由美國標(biāo)準組織ANSI制定，在IS95階段，采用MIN（Mobile Identification Number）標(biāo)示用戶。隨著CDMA在全球的應(yīng)用，國際漫游問題顯得日益突出，于是對MIN進行了擴展，變成了IMSI。IMSI是國際上為唯一識別一個移動用戶所分配的號碼，也作為用戶在移動通信網(wǎng)絡(luò)中的唯一標(biāo)識。?

??? 從技術(shù)上講，IMSI可以徹底解決國際漫游問題。但是由于CDMA技術(shù)起源于美國，北美目前仍有大量的AMPS系統(tǒng)使用10位MIN號碼，在這10位MIN碼中是不含移動國家碼的，且北美的MDN和MIN采用相同的編號，系統(tǒng)已經(jīng)無法更改，所以目前國際漫游暫時還是以MIN為主。為了盡快實現(xiàn)CDMA的國際漫游，IFAST（International Forum on AMPS Standards Technology)將MIN碼的第一位0和1)預(yù)留給國際，供美洲之外的其他CDMA運營者國際漫游時使用。其中以0和1打頭的MIN資源稱為IRM(International Roaming MIN)，由IFAST統(tǒng)一管理。?

??? 目前,中國聯(lián)通申請的IRM資源以09打頭。?

2.2 IMSI的組成?

??? IMSI由移動國家碼、移動網(wǎng)絡(luò)碼和移動用戶識別碼三部分組成，共15位。中國的移動國家碼為460，長城網(wǎng)各中國聯(lián)通的移動網(wǎng)絡(luò)碼為03。ITU-T建議E.212根據(jù)IMSI定義了移動臺識別號（MSIN或MIN），IMSI的結(jié)構(gòu)如圖2所示。?

?

?

??? IMSI由IMSI_M 和IMSI_T組成。IMSI_M的低10位數(shù)字包含一個MIN。IMSI_T與MIN無關(guān)。ME可以讀取簽約標(biāo)識。一個典型的IMSI號碼為460030912121001。?

??? MIN共有10位，其結(jié)構(gòu)如圖3所示。?

?

?

??? 其中的M0M1M2M3和MDN號碼中的H0H1H2H3可存在對應(yīng)關(guān)系，ABCD四位為自由分配?？梢钥闯鯥MSI在MIN號碼前加了MCC，可以區(qū)別出每個用戶的國家，因此可以實現(xiàn)國際漫游。在同一個國家內(nèi)，如果有多個CDMA運營商，可以通過MNC進行區(qū)別。?

??? MIN碼是為了保證CDMA／AMPS雙模工作而沿用AMPS標(biāo)準定義的。長城網(wǎng)和中國聯(lián)通對MIN的定義有所不同，長城網(wǎng)的定義為3H1H2H3××××××，中國聯(lián)通的定義為132H1H2H3××××，其中H1H2H3為HLR識別碼。如圖4所示，移動臺識別碼（MSIN）是一個34位的二進制數(shù)，它來源于10位數(shù)電話號碼簿里的電話號碼。?

?

?

2.3 IMSI的作用?

??? （1）作為基本的參數(shù)同網(wǎng)絡(luò)進行交互，這一階段包含了用戶身份的驗證，基本過程如圖5所示。?

?

?

??? ①手機在開機或者撥打電話時，把IMSI和ESN上報給MSC。?

??? ②MSC以IMSI為索引檢測數(shù)據(jù)庫，發(fā)現(xiàn)沒有相關(guān)記錄，MSC發(fā)送登記請求到HLR，試圖獲取相關(guān)信息。?

??? ③HLR以IMSI為索引，進行數(shù)據(jù)查詢。如果數(shù)據(jù)有效，就把查到的MDN及用戶簽約信息等下發(fā)給MSC;否則，直接拒絕。?

??? ④MSC獲得了MDN和其他一些簽約信息，就可以進行相關(guān)的業(yè)務(wù)處理，這個MDN可以作為主叫號碼顯示給被叫用戶，或者填寫在話單中。?

??? ⑤在用戶被叫時，GMSC將通過被叫的MDN到HLR中去查詢當(dāng)前用戶在哪個MSC下。當(dāng)前為用戶服務(wù)的MSC最終會以IMSI作為標(biāo)識下發(fā)尋呼消息，從而找到用戶。?

??? (2)作為SSD更新及各相關(guān)加密與認證算法的輸入?yún)?shù)。?

??? CAVE算法為2G安全中基本的算法，在共享秘密數(shù)據(jù)的更新、驗證過程及鑒權(quán)過程中都會使用到CAVE算法。根據(jù)輸入?yún)?shù)的不同，CAVE算法參數(shù)初始化和輸出結(jié)果不同，從而能夠被應(yīng)用到CDMA2000安全的各個環(huán)節(jié)中去。其主要的應(yīng)用環(huán)節(jié)包括SSD更新過程和對終端的認證過程，如圖6和圖7所示。?

?

?

?

3 IMSI的安全策略?

3.1 IMSI安全需求?

??? 在3G系統(tǒng)中，當(dāng)服務(wù)網(wǎng)絡(luò)不能通過TMSI識別用戶身份時，將使用IMSI鑒別用戶身份，特別是當(dāng)移動用戶第一次在服務(wù)網(wǎng)絡(luò)內(nèi)注冊時。傳輸明文IMSI面臨以下問題：攻擊者可以收集IMSI，并將IMSI和用戶身份關(guān)聯(lián)到一起。由于IMSI是用戶在全球范圍內(nèi)唯一性的標(biāo)識，IMSI提供了很多信息，例如歸屬網(wǎng)絡(luò)和所屬的國家。在移動環(huán)境中，截獲IMSI的代價很高。隨著網(wǎng)絡(luò)的不斷融合及直接與PC連接的智能卡的廣泛使用，攻擊可能變得更容易。?

??? 用戶真實身份、當(dāng)前位置及其運動模式是重要而又敏感的信息，在通信中必須保證這些信息的機密性。為了用戶身份保密，IMSI不被泄漏給未授權(quán)的個人、實體或過程。防止入侵者偷聽無線信道信令從而識別出哪個用戶在使用網(wǎng)絡(luò)資源，這一特征允許為用戶數(shù)據(jù)和信令提供更高的保密性，并保護用戶位置不被跟蹤。這就要求IMSI或者能推導(dǎo)出IMSI 的信息避免以明文形式在空中傳輸。?

3.2 IMSI安全策略?

??? 目前CDMA 終端在全球絕大多數(shù)地區(qū)仍采用機卡合一的方式，即所有的信息都是存儲在CDMA 終端的NAM(Number Assignment Module)存儲區(qū)中，運營商可通過OTA(Over The Air)技術(shù)進行NAM 數(shù)據(jù)的更改。?

??? 中國聯(lián)通在推廣CDMA 時，首次采用了機卡分離技術(shù)，把NAM 中的信息和手機終端的信息都剝離到一個UIM(User Identification Module)卡中。當(dāng)進行業(yè)務(wù)處理時，手機從UIM 卡中獲得相關(guān)的信息，IMSI(MIN)便轉(zhuǎn)存到UIM卡中。由于機卡分離已經(jīng)成為趨勢，這里的討論只考慮機卡分離的情況。?

??? 對于IMSI的安全，本文主要從機密性、新鮮性、有效性來考慮。?

??? (1) 機密性?

??? 機密性包括IMSI生成過程、更新過程和注冊過程機密。后兩點既要保證空中傳輸?shù)陌踩?，又要保證在各網(wǎng)絡(luò)單元之間的安全傳輸。實現(xiàn)機密性的方法如下：?

??? ①傳統(tǒng)IMSI分配原則是每個用戶對應(yīng)一個IMSI，對重要用戶特殊對待。在重要用戶入網(wǎng)時由運營商提供一組IMSI，或者根據(jù)用戶或網(wǎng)絡(luò)要求由運營商定期分配一組IMSI，這一組IMSI分別存放在UIM卡和HLR中，由MS和HLR通過協(xié)商輪換使用。在這個過程中應(yīng)該確保MS和HLR在某一時刻使用的IMSI相一致。?

??? ②使用增強的用戶身份保密機制，實現(xiàn)IMSI隱藏。當(dāng)VLR向用戶請求IMSI時，用戶在注冊過程中對IMSI加密。?

??? 增強型用戶身份保密機制將用戶的IMSI以密文形式嵌入HE-message中，VLR不能直接解密HE-message，而是根據(jù)HE/UIC-id將HE-message傳送到相應(yīng)的HE/UIC。HE/UIC根據(jù)GI檢索相應(yīng)的GK，用解密HE-message得到用戶的IMSI，再傳送給VLR。這樣可以保證用戶的IMSI不被竊聽。此后VLR建立用戶IMSI和TMSI之間的對應(yīng)關(guān)系，用戶就可以用VLR分配的TMSI進行通信。以上過程如圖8所示。?

?

?

??? （2）新鮮性?

??? 如果IMSI的機密性得不到保證，則可以用新鮮性來加強用戶身份的安全。借鑒CDMA的A_Key更新協(xié)商機制，利用OTASP（Over-The-Air Service Provisioning），根據(jù)用戶請求或由HLR定期更新IMSI。新生成的IMSI通過OTASP的消息發(fā)送到MS，對NAM的IMSI參數(shù)進行更新，從而切斷克隆終端的服務(wù)或為合法用戶提供新服務(wù)。?

??? 實現(xiàn)IMSI的動態(tài)更新，還可以引入可信的第三方（如認證中心CA），用IMSI的URL代替IMSI進行傳輸，移動臺通過URL找到預(yù)先存在CA中的IMSI，HLR/MS分別通過URL完成IMSI同步更新。?

??? （3）有效性?

??? 如果用戶的移動終端丟失，或者IMSI的保密性和新鮮性均得不到保證，這時需要考慮銷毀不安全的IMSI。若是移動終端丟失，便只能遠程銷毀IMSI，或者在HLR中銷毀丟失的IMSI。對IMSI遠程銷毀，可以通過OTASP的指令，用全‘0’或其他值來替換終端NAM中的IMSI值，從而使丟失的IMSI失效。而在HLR中銷毀對應(yīng)的IMSI，可以使丟失的IMSI無法接入網(wǎng)絡(luò)獲得服務(wù)。 ?

??? 在CDMA2000系統(tǒng)中，國際移動用戶識別碼IMSI在用戶身份識別、用戶位置信息識別、用戶業(yè)務(wù)信息標(biāo)示等方面起著重要作用，而用戶身份、業(yè)務(wù)、當(dāng)前位置及其運動模式等信息是重要而又敏感的，在通信中必須保證這些信息的機密性。IMSI的安全關(guān)系到用戶信息的安全水平。本文分析了IMSI的安全機制，并提出了增強CDMA2000系統(tǒng)IMSI安全的幾種方法，從而提高了IMSI的安全性。?

參考文獻?

[1] 3GPP2 C.S0023-C v1.0. Removable user identity module?for spread spectrum systems[s]. 2006.?

[2] 3GPP2 C.S0005-D v2.0. Upper Layer (Layer 3) Signaling?standard for cdma2000 spread spectrum systems releaseD[s].2005.?? ?

[3] 3GPP2 N.S0011-0 v1.0. OTASP and OTAPA[s]. 2005.?

[4] ITU-T Recommendation E.212 (1998-11). The international identification plan for mobile terminals and mobile?users[s]. 1998.?

[5] 楊義先，鈕心忻.無線通信安全技術(shù).北京:北京郵電大學(xué)出版社, 2005.?

[6] Man Y R著. CDMA cellular mobile communications and?network security.袁偉超,譯. 北京：電子工業(yè)出版社，2002.