??? 摘? 要： 分析了IMSI的組成及其在CDMA2000網(wǎng)絡(luò)中的作用。IMSI作為用戶信息的重要組成部分，為確保其安全提出了相關(guān)策略，提高了用戶身份信息、業(yè)務(wù)信息、位置信息等重要信息的安全水平。?

??? 關(guān)鍵詞： CDMA2000; IMSI; 用戶信息安全?

?

??? CDMA2000移動(dòng)通信系統(tǒng)作為3G的三大標(biāo)準(zhǔn)之一，在安全性方面具有獨(dú)特的優(yōu)勢(shì)。國(guó)際移動(dòng)用戶識(shí)別碼IMSI(International Mobile Subscriber Identity)是系統(tǒng)內(nèi)部對(duì)每個(gè)用戶的標(biāo)識(shí)，由運(yùn)營(yíng)商按照一定的規(guī)則分配，存儲(chǔ)在UIM卡中。用戶購(gòu)買了一張UIM卡，并選擇了一個(gè)號(hào)碼，就建立了IMSI和MDN的對(duì)應(yīng)關(guān)系，這個(gè)對(duì)應(yīng)關(guān)系存儲(chǔ)在HLR中?，F(xiàn)有的安全機(jī)制中，IMSI存在泄漏的危險(xiǎn)。而IMSI的泄漏，將有可能導(dǎo)致用戶的身份信息、業(yè)務(wù)信息、位置信息等重要信息被非法獲取，造成信息泄漏，特別是對(duì)于某些重要用戶將產(chǎn)生嚴(yán)重的后果。?

??? 本文結(jié)合CDMA標(biāo)準(zhǔn)等相關(guān)文檔，在詳細(xì)分析IMSI組成、作用及現(xiàn)有安全機(jī)制的基礎(chǔ)上，提出了增強(qiáng)IMSI信息安全的相關(guān)策略。?

1 CDMA2000安全特征?

??? 從移動(dòng)臺(tái)的角度看，CDMA2000網(wǎng)絡(luò)的安全目標(biāo)是提供3個(gè)層次的安全服務(wù)。?

??? (1) 無線接入安全：對(duì)用戶的無線接入認(rèn)證和空中接口加密。當(dāng)用戶請(qǐng)求電路交換業(yè)務(wù)和位置更新時(shí)，MSC發(fā)起對(duì)用戶的認(rèn)證；當(dāng)用戶請(qǐng)求分組交換業(yè)務(wù)時(shí)，首先對(duì)用戶進(jìn)行無線接入認(rèn)證，然后通過Radius協(xié)議或者Diameter協(xié)議到AAA服務(wù)器中進(jìn)行分組數(shù)據(jù)業(yè)務(wù)的認(rèn)證。?

??? （2） IP網(wǎng)絡(luò)安全： 提供分組網(wǎng)絡(luò)的認(rèn)證和保密。認(rèn)證功能通過AAA機(jī)制實(shí)現(xiàn)。?

??? （3） 用戶端到端安全：用戶端到端安全，規(guī)范中沒有規(guī)定，可以采用VPN實(shí)現(xiàn)。?

??? 從網(wǎng)絡(luò)的角度看,CDMA2000無線鏈路采用偽隨機(jī)碼PN（Pseudo_random Noise code）對(duì)信號(hào)進(jìn)行擴(kuò)頻，使得信號(hào)很難被攔截和竊聽。此外，還規(guī)定了一系列接入安全機(jī)制，如圖1所示。由于終端處理能力和空中帶寬受限，CDMA2000安全基于私鑰技術(shù)，安全協(xié)議依賴于一個(gè)64bit認(rèn)證密鑰(A_Key)和終端的電子序列號(hào)(ESN)。?

?

?

??? CDMA2000安全機(jī)制中采用了四種安全算法：蜂窩認(rèn)證和話音加密算法CAVE（Cellular Authentication and Voice Encryption），用于查詢/應(yīng)答(Challenge／Response)認(rèn)證協(xié)議和密鑰生成；專用長(zhǎng)碼掩碼PLCM（Private Long Code Mask），控制擴(kuò)頻序列，然后擴(kuò)頻序列與語(yǔ)音數(shù)據(jù)異或?qū)崿F(xiàn)語(yǔ)音保密；ORYX是基于LSFR的流密碼，用于無線用戶數(shù)據(jù)加密服務(wù)；增強(qiáng)的分組加密算法E_CMEA(Enhanced Cellular Message Encryption Algorithm)是一個(gè)分組密碼，用于加密控制信道。?

??? 3GPP2 S.R0032還規(guī)定CDMA2000空中接口支持增強(qiáng)用戶認(rèn)證（ESA）和增強(qiáng)用戶保密（ESP）。?

2 IMSI的組成和作用?

2.1 IMSI介紹?

??? CDMA規(guī)范由美國(guó)標(biāo)準(zhǔn)組織ANSI制定，在IS95階段，采用MIN（Mobile Identification Number）標(biāo)示用戶。隨著CDMA在全球的應(yīng)用，國(guó)際漫游問題顯得日益突出，于是對(duì)MIN進(jìn)行了擴(kuò)展，變成了IMSI。IMSI是國(guó)際上為唯一識(shí)別一個(gè)移動(dòng)用戶所分配的號(hào)碼，也作為用戶在移動(dòng)通信網(wǎng)絡(luò)中的唯一標(biāo)識(shí)。?

??? 從技術(shù)上講，IMSI可以徹底解決國(guó)際漫游問題。但是由于CDMA技術(shù)起源于美國(guó)，北美目前仍有大量的AMPS系統(tǒng)使用10位MIN號(hào)碼，在這10位MIN碼中是不含移動(dòng)國(guó)家碼的，且北美的MDN和MIN采用相同的編號(hào)，系統(tǒng)已經(jīng)無法更改，所以目前國(guó)際漫游暫時(shí)還是以MIN為主。為了盡快實(shí)現(xiàn)CDMA的國(guó)際漫游，IFAST（International Forum on AMPS Standards Technology)將MIN碼的第一位0和1)預(yù)留給國(guó)際，供美洲之外的其他CDMA運(yùn)營(yíng)者國(guó)際漫游時(shí)使用。其中以0和1打頭的MIN資源稱為IRM(International Roaming MIN)，由IFAST統(tǒng)一管理。?

??? 目前,中國(guó)聯(lián)通申請(qǐng)的IRM資源以09打頭。?

2.2 IMSI的組成?

??? IMSI由移動(dòng)國(guó)家碼、移動(dòng)網(wǎng)絡(luò)碼和移動(dòng)用戶識(shí)別碼三部分組成，共15位。中國(guó)的移動(dòng)國(guó)家碼為460，長(zhǎng)城網(wǎng)各中國(guó)聯(lián)通的移動(dòng)網(wǎng)絡(luò)碼為03。ITU-T建議E.212根據(jù)IMSI定義了移動(dòng)臺(tái)識(shí)別號(hào)（MSIN或MIN），IMSI的結(jié)構(gòu)如圖2所示。?

?

?

??? IMSI由IMSI_M 和IMSI_T組成。IMSI_M的低10位數(shù)字包含一個(gè)MIN。IMSI_T與MIN無關(guān)。ME可以讀取簽約標(biāo)識(shí)。一個(gè)典型的IMSI號(hào)碼為460030912121001。?

??? MIN共有10位，其結(jié)構(gòu)如圖3所示。?

?

?

??? 其中的M0M1M2M3和MDN號(hào)碼中的H0H1H2H3可存在對(duì)應(yīng)關(guān)系，ABCD四位為自由分配?？梢钥闯鯥MSI在MIN號(hào)碼前加了MCC，可以區(qū)別出每個(gè)用戶的國(guó)家，因此可以實(shí)現(xiàn)國(guó)際漫游。在同一個(gè)國(guó)家內(nèi)，如果有多個(gè)CDMA運(yùn)營(yíng)商，可以通過MNC進(jìn)行區(qū)別。?

??? MIN碼是為了保證CDMA／AMPS雙模工作而沿用AMPS標(biāo)準(zhǔn)定義的。長(zhǎng)城網(wǎng)和中國(guó)聯(lián)通對(duì)MIN的定義有所不同，長(zhǎng)城網(wǎng)的定義為3H1H2H3××××××，中國(guó)聯(lián)通的定義為132H1H2H3××××，其中H1H2H3為HLR識(shí)別碼。如圖4所示，移動(dòng)臺(tái)識(shí)別碼（MSIN）是一個(gè)34位的二進(jìn)制數(shù)，它來源于10位數(shù)電話號(hào)碼簿里的電話號(hào)碼。?

?

?

2.3 IMSI的作用?

??? （1）作為基本的參數(shù)同網(wǎng)絡(luò)進(jìn)行交互，這一階段包含了用戶身份的驗(yàn)證，基本過程如圖5所示。?

?

?

??? ①手機(jī)在開機(jī)或者撥打電話時(shí)，把IMSI和ESN上報(bào)給MSC。?

??? ②MSC以IMSI為索引檢測(cè)數(shù)據(jù)庫(kù)，發(fā)現(xiàn)沒有相關(guān)記錄，MSC發(fā)送登記請(qǐng)求到HLR，試圖獲取相關(guān)信息。?

??? ③HLR以IMSI為索引，進(jìn)行數(shù)據(jù)查詢。如果數(shù)據(jù)有效，就把查到的MDN及用戶簽約信息等下發(fā)給MSC;否則，直接拒絕。?

??? ④MSC獲得了MDN和其他一些簽約信息，就可以進(jìn)行相關(guān)的業(yè)務(wù)處理，這個(gè)MDN可以作為主叫號(hào)碼顯示給被叫用戶，或者填寫在話單中。?

??? ⑤在用戶被叫時(shí)，GMSC將通過被叫的MDN到HLR中去查詢當(dāng)前用戶在哪個(gè)MSC下。當(dāng)前為用戶服務(wù)的MSC最終會(huì)以IMSI作為標(biāo)識(shí)下發(fā)尋呼消息，從而找到用戶。?

??? (2)作為SSD更新及各相關(guān)加密與認(rèn)證算法的輸入?yún)?shù)。?

??? CAVE算法為2G安全中基本的算法，在共享秘密數(shù)據(jù)的更新、驗(yàn)證過程及鑒權(quán)過程中都會(huì)使用到CAVE算法。根據(jù)輸入?yún)?shù)的不同，CAVE算法參數(shù)初始化和輸出結(jié)果不同，從而能夠被應(yīng)用到CDMA2000安全的各個(gè)環(huán)節(jié)中去。其主要的應(yīng)用環(huán)節(jié)包括SSD更新過程和對(duì)終端的認(rèn)證過程，如圖6和圖7所示。?

?

?

?

3 IMSI的安全策略?

3.1 IMSI安全需求?

??? 在3G系統(tǒng)中，當(dāng)服務(wù)網(wǎng)絡(luò)不能通過TMSI識(shí)別用戶身份時(shí)，將使用IMSI鑒別用戶身份，特別是當(dāng)移動(dòng)用戶第一次在服務(wù)網(wǎng)絡(luò)內(nèi)注冊(cè)時(shí)。傳輸明文IMSI面臨以下問題：攻擊者可以收集IMSI，并將IMSI和用戶身份關(guān)聯(lián)到一起。由于IMSI是用戶在全球范圍內(nèi)唯一性的標(biāo)識(shí)，IMSI提供了很多信息，例如歸屬網(wǎng)絡(luò)和所屬的國(guó)家。在移動(dòng)環(huán)境中，截獲IMSI的代價(jià)很高。隨著網(wǎng)絡(luò)的不斷融合及直接與PC連接的智能卡的廣泛使用，攻擊可能變得更容易。?

??? 用戶真實(shí)身份、當(dāng)前位置及其運(yùn)動(dòng)模式是重要而又敏感的信息，在通信中必須保證這些信息的機(jī)密性。為了用戶身份保密，IMSI不被泄漏給未授權(quán)的個(gè)人、實(shí)體或過程。防止入侵者偷聽無線信道信令從而識(shí)別出哪個(gè)用戶在使用網(wǎng)絡(luò)資源，這一特征允許為用戶數(shù)據(jù)和信令提供更高的保密性，并保護(hù)用戶位置不被跟蹤。這就要求IMSI或者能推導(dǎo)出IMSI 的信息避免以明文形式在空中傳輸。?

3.2 IMSI安全策略?

??? 目前CDMA 終端在全球絕大多數(shù)地區(qū)仍采用機(jī)卡合一的方式，即所有的信息都是存儲(chǔ)在CDMA 終端的NAM(Number Assignment Module)存儲(chǔ)區(qū)中，運(yùn)營(yíng)商可通過OTA(Over The Air)技術(shù)進(jìn)行NAM 數(shù)據(jù)的更改。?

??? 中國(guó)聯(lián)通在推廣CDMA 時(shí)，首次采用了機(jī)卡分離技術(shù)，把NAM 中的信息和手機(jī)終端的信息都剝離到一個(gè)UIM(User Identification Module)卡中。當(dāng)進(jìn)行業(yè)務(wù)處理時(shí)，手機(jī)從UIM 卡中獲得相關(guān)的信息，IMSI(MIN)便轉(zhuǎn)存到UIM卡中。由于機(jī)卡分離已經(jīng)成為趨勢(shì)，這里的討論只考慮機(jī)卡分離的情況。?

??? 對(duì)于IMSI的安全，本文主要從機(jī)密性、新鮮性、有效性來考慮。?

??? (1) 機(jī)密性?

??? 機(jī)密性包括IMSI生成過程、更新過程和注冊(cè)過程機(jī)密。后兩點(diǎn)既要保證空中傳輸?shù)陌踩忠ＷC在各網(wǎng)絡(luò)單元之間的安全傳輸。實(shí)現(xiàn)機(jī)密性的方法如下：?

??? ①傳統(tǒng)IMSI分配原則是每個(gè)用戶對(duì)應(yīng)一個(gè)IMSI，對(duì)重要用戶特殊對(duì)待。在重要用戶入網(wǎng)時(shí)由運(yùn)營(yíng)商提供一組IMSI，或者根據(jù)用戶或網(wǎng)絡(luò)要求由運(yùn)營(yíng)商定期分配一組IMSI，這一組IMSI分別存放在UIM卡和HLR中，由MS和HLR通過協(xié)商輪換使用。在這個(gè)過程中應(yīng)該確保MS和HLR在某一時(shí)刻使用的IMSI相一致。?

??? ②使用增強(qiáng)的用戶身份保密機(jī)制，實(shí)現(xiàn)IMSI隱藏。當(dāng)VLR向用戶請(qǐng)求IMSI時(shí)，用戶在注冊(cè)過程中對(duì)IMSI加密。?

??? 增強(qiáng)型用戶身份保密機(jī)制將用戶的IMSI以密文形式嵌入HE-message中，VLR不能直接解密HE-message，而是根據(jù)HE/UIC-id將HE-message傳送到相應(yīng)的HE/UIC。HE/UIC根據(jù)GI檢索相應(yīng)的GK，用解密HE-message得到用戶的IMSI，再傳送給VLR。這樣可以保證用戶的IMSI不被竊聽。此后VLR建立用戶IMSI和TMSI之間的對(duì)應(yīng)關(guān)系，用戶就可以用VLR分配的TMSI進(jìn)行通信。以上過程如圖8所示。?

?

?

??? （2）新鮮性?

??? 如果IMSI的機(jī)密性得不到保證，則可以用新鮮性來加強(qiáng)用戶身份的安全。借鑒CDMA的A_Key更新協(xié)商機(jī)制，利用OTASP（Over-The-Air Service Provisioning），根據(jù)用戶請(qǐng)求或由HLR定期更新IMSI。新生成的IMSI通過OTASP的消息發(fā)送到MS，對(duì)NAM的IMSI參數(shù)進(jìn)行更新，從而切斷克隆終端的服務(wù)或?yàn)楹戏ㄓ脩籼峁┬路?wù)。?

??? 實(shí)現(xiàn)IMSI的動(dòng)態(tài)更新，還可以引入可信的第三方（如認(rèn)證中心CA），用IMSI的URL代替IMSI進(jìn)行傳輸，移動(dòng)臺(tái)通過URL找到預(yù)先存在CA中的IMSI，HLR/MS分別通過URL完成IMSI同步更新。?

??? （3）有效性?

??? 如果用戶的移動(dòng)終端丟失，或者IMSI的保密性和新鮮性均得不到保證，這時(shí)需要考慮銷毀不安全的IMSI。若是移動(dòng)終端丟失，便只能遠(yuǎn)程銷毀IMSI，或者在HLR中銷毀丟失的IMSI。對(duì)IMSI遠(yuǎn)程銷毀，可以通過OTASP的指令，用全‘0’或其他值來替換終端NAM中的IMSI值，從而使丟失的IMSI失效。而在HLR中銷毀對(duì)應(yīng)的IMSI，可以使丟失的IMSI無法接入網(wǎng)絡(luò)獲得服務(wù)。 ?

??? 在CDMA2000系統(tǒng)中，國(guó)際移動(dòng)用戶識(shí)別碼IMSI在用戶身份識(shí)別、用戶位置信息識(shí)別、用戶業(yè)務(wù)信息標(biāo)示等方面起著重要作用，而用戶身份、業(yè)務(wù)、當(dāng)前位置及其運(yùn)動(dòng)模式等信息是重要而又敏感的，在通信中必須保證這些信息的機(jī)密性。IMSI的安全關(guān)系到用戶信息的安全水平。本文分析了IMSI的安全機(jī)制，并提出了增強(qiáng)CDMA2000系統(tǒng)IMSI安全的幾種方法，從而提高了IMSI的安全性。?

參考文獻(xiàn)?

[1] 3GPP2 C.S0023-C v1.0. Removable user identity module?for spread spectrum systems[s]. 2006.?

[2] 3GPP2 C.S0005-D v2.0. Upper Layer (Layer 3) Signaling?standard for cdma2000 spread spectrum systems releaseD[s].2005.?? ?

[3] 3GPP2 N.S0011-0 v1.0. OTASP and OTAPA[s]. 2005.?

[4] ITU-T Recommendation E.212 (1998-11). The international identification plan for mobile terminals and mobile?users[s]. 1998.?

[5] 楊義先，鈕心忻.無線通信安全技術(shù).北京:北京郵電大學(xué)出版社, 2005.?

[6] Man Y R著. CDMA cellular mobile communications and?network security.袁偉超,譯. 北京：電子工業(yè)出版社，2002.