CN101277533A - 通信安全增强方法、装置及*** - Google Patents
通信安全增强方法、装置及*** Download PDFInfo
- Publication number
- CN101277533A CN101277533A CNA2008100882868A CN200810088286A CN101277533A CN 101277533 A CN101277533 A CN 101277533A CN A2008100882868 A CNA2008100882868 A CN A2008100882868A CN 200810088286 A CN200810088286 A CN 200810088286A CN 101277533 A CN101277533 A CN 101277533A
- Authority
- CN
- China
- Prior art keywords
- encrypted command
- encryption
- communication security
- equipment identification
- mobile equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及一种通信安全增强方法、装置及***,其中上述通信安全增强方法包括:对接收的加密命令进行解析并记录解析后的加密命令;将解析后的加密命令中的预定字段设置为预定值;接收返回的加密完成消息。上述通信安全增强方法、装置及***,通过将加密模式命令中的预定字段设置为预定值,使得空口消息中不可预测的位数大大增加,从而大大增加了攻击的难度,较好地提升了GSM的安全性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种通信安全增强方法、装置及***。
背景技术
随着通信技术的发展,全球移动通信***(Global System for Mobilecommunication,GSM)成为全球应用最广泛的蜂窝移动***,且对其安全性也提出了越来越高的要求;之前,GSM安全与固话安全等级相同,只有GSM***的空口部分被保护,***其他的部分是透明的;空口部分的保护是通过保护用户个体隐私和阻止未经授权接入网络两种保护机制来实现的,其中,空口部分的用户个体隐私通过加密给予保护,但是,加密仅当手机向网络端鉴权之后才开始,GSM通过预先向手机分配临时身份(Temporary MobileSubscriber Identity,TMSI)来保护用户的身份,这个临时身份在加密开始之前用来鉴别手机。一旦呼叫被加密,用于下次呼叫的临时身份就可以安全的进行置换;另外,阻止未经授权接入网络可以利用用户标识模块(Subscriber Identity Module,SIM)的安全验证来保护,网络端鉴权SIM在手机和网络端之间无线通信开始时进行,在手机自身开展鉴权之后(通过发送临时身份),网络端初始化一个鉴权过程,这个过程基本上是一个基于手机和网络端之间预共享密钥的请求-响应方案,在该方案中,手机和网络端之间的相互验征使用的加密算法是A5/1。但是,A5/1的出口是严格控制的,随着欧洲以外的GSM网络的增长,需要一种无出口限制的加密算法,于是,一个新的加密算法A5/2发布出来,两种算法的设计均未公开;与此同时,另外一个新的版本A5/3加入到A5算法家族当中,与A5/1和A5/2不同的是,它的内部设计是公开的,A5/3基于KASUMI块密码算法设计,该算法在第三代移动通信网络中使用。
现有的在GSM的语音呼叫中,基站和手机通过一系列的信令交互完成语音呼叫的建立,其中在加密命令前发送的信令是以未加密的形式发送的,而在加密命令后的信令及业务数据是以加密的形式发送的,在鉴权过程结束后,移动设备(MS)将向基站控制器(BSC)发送一条加密命令,BSC接着在主信令链路上向MS发送“加密模式命令(Ciphering Mode Command,CMC)”来指示是否采用加密,“CMC”消息是呼叫过程中从MS到BSC的第一条经过加密的消息,其中,国际移动设备标识码(International Mobile EquipmentIdentity,IMEI)为可选信元,只有在CMC中加密响应信元的加密响应字段设置为1(IMEISV shall be included)时,MS才会在CIPHERING MODE COMPLETE中包含IMEI信息,否则,加密模式完成消息体中只包含三个必选信元,共计2个字节,消息块中其它18个未使用的字节固定填充为0x2B。
发明人在实施上述方案的过程中发现:由于必选信元在协议中都有明确的说明,因此,在加密完成消息中不携带可选信元Mobile Equipment Identity时,消息内容对攻击者而言都是可猜测的。不携带可选信元的加密模式中有2个字节是必选信元,其它18个字节固定以“2B”填充,加密完成消息是加密后发送,如果攻击者猜测到了这些消息,那么他就可以根据猜测到的明文和已经收集到的密文组成明密文对,然后利用明密文对之间的关系完成已知明文攻击;另外,即便是空口发送的消息不是所有的bit攻击者都能猜出时,如果里面未确定的bit数比较少,那么攻击者也可以采用穷举的方法进行已知明文攻击,例如消息中只有N个bit攻击者不清楚,那么攻击者只需要进行2^N次攻击就可以完成对这条消息的已知明文攻击,当N比较小的时候,其运算量是现在的现场可编程门阵列(FPGA)可以承受的;并且,随着新器件的不断更新,FPGA的运算处理能力越来越强,采用已知明文攻击破解GSM A5/1算法变得日益可能,这严重的影响到了GSM的空口的安全性;而采用GSM中更新的A5/3加密算法能够提升GSM的安全性,但是现网上大量的手机及设备由于硬件、软件的限制都还不支持A5/3算法,因此,需要在不改变A5/1算法的前提下,提升GSM的安全性。
发明内容
本发明实施例提供一种通信安全增强方法、装置及***,以实现提升GSM的安全性。
本发明实施例提供了一种通信安全增强方法,该方法包括:
对接收的加密命令进行解析并记录解析后的加密命令;
将解析后的加密命令中的预定字段设置为预定值;
接收返回的加密完成消息。
本发明实施例提供了一种通信安全增强装置,该装置包括:
解析单元,用于对接收的加密命令进行解析并记录解析后的加密命令;
设置单元,用于将解析后的加密命令中的预定字段设置为预定值;
接收单元,用于接收返回的加密完成消息。
本发明实施例提供了一种通信安全增强***,该***包括基站控制器和移动设备,其中所述基站控制器包括:
解析单元,用于对接收的加密命令进行解析并记录解析后的加密命令;
设置单元,用于将解析后的加密命令中的预定字段设置为预定值;
接收单元,用于接收返回的加密完成消息;
所述移动设备包括:
发送单元,用于根据解析后的加密命令发送加密完成消息。
上述通信安全增强方法、装置及***,通过将加密模式命令中的预定字段设置为预定值,使得空口消息中不可预测的位数大大增加,从而大大增加了攻击的难度,较好地提升了GSM的安全性。
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。
附图说明
图1为本发明通信安全增强方法实施例的流程图;
图2为本发明通信安全增强方法实施例的信令流程图;
图3为本发明通信安全增强装置实施例的结构示意图;
图4为本发明通信安全增强***实施例的结构示意图。
具体实施方式
如图1所示,为本发明通信安全增强方法实施例的流程图,该方法包括:
步骤101、对接收的加密命令进行解析并记录解析后的加密命令;
BSC对MSC下发的加密命令(Encryption Command)进行解析,并且记录下上述解析后的加密命令;
步骤102、将解析后的加密命令中的预定字段设置为预定值;
此处的预定字段为加密响应字段,将上述解析后的加密命令中的加密响应字段设置为“IMEI must be included”;
步骤103、接收返回的加密完成消息。
BSC在接收完上述加密完成消息之后还包括:根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码(IMSI),若没有要求,则删除该IMSI域,其中,上述国际移动设备识别码(IMEI)由设备型号核准码(TypeApproval Code,TAC)、最后装配码(Final Assembly Code,FAC)、序列号(Serial Number,SNR)、备用号码(Spare Number,SP)组成,各部分都是BCD码。TAC,6位BCD码,标识终端类型,对于特定厂商的终端,该值是固定的;FAC,2位BCD码,标识终端生产地;SNR,6位BCD码,标识终端生产序列号;SP,1位BCD码,固定为0。对于已知类型的终端,IMEI有24bits不可预知SNR,因为是BCD编码,所以SNR取值有999999种选择,介于2^19-2^20,因此当加密完成消息携带可选信元MEI时,至少有19bits对攻击者来说是不可预知的。
另外,在GSM的语音呼叫中,基站和手机之间通过一系列的信令交互完成语音呼叫的建立,其中在加密命令前发送的信令是以未加密的形式发送的,而在加密命令后的信令及业务数据是以加密的形式发送的,如图2所示,为本发明通信安全增强方法实施例的信令流程图,该方法包括:
步骤201、MS和BSC之间进行鉴权操作;
该步骤的操作同现有技术相同,在此不详述;
步骤202、鉴权完成后,BSC向MS发送加密命令;
BSC经BTS向MS发送加密命令,加密命令经BTS后变成加密模式命令,通过“加密模式命令”来指示是否采用加密;“Ciphering Mode Complete”消息是呼叫过程中从MS到BSC的第一条经过加密的消息,消息内容见表1,其中,Mobile Equipment Identity为可选信元,只有在CIPHERING MODECOMMAND中加密响应信元的加密响应字段设置为1(IMEISV shall beincluded)时,MS才会在CIPHERING MODE COMPLETE中包含IMEI信息;
表1
| IEI | Information element | Type/Reference | Presence | Format | length |
| RR management Protocol Discriminator | Protocol Discriminator | M | V | 1/2 | |
| Skip Indicator | Skip Indicator | M | V | 1/2 | |
| Cipher Mode Complete Message Type | Message Type | M | V | 1 | |
| 17 | Mobile Equipment Identity | Mobile Identity | O | TLV | 3-11 |
步骤203、MS向BSC返回加密完成消息。
MS经BTS向BSC发送加密完成消息。
上述通信安全增强方法,通过将加密模式命令中的预定字段设置为预定值,使得空口消息中不可预测的位数大大增加,从而大大增加了攻击的难度,较好地提升了GSM的安全性。
如图3所示,为本发明通信安全增强装置实施例的结构示意图,该装置包括:解析单元11,用于对接收的加密命令进行解析并记录解析后的加密命令;设置单元12,用于将解析后的加密命令中的预定字段设置为预定值;接收单元13,用于接收返回的加密完成消息。
其中,为了实现更好的兼容,上述通信安全增强装置还可以包括:判断单元,用于根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码,若没有要求,则删除该国际移动设备识别码域。上述国际移动设备识别码包括设备型号核准码、最后装配码、序列号和备用码等。
上述通信安全增强装置,通过设置模块将加密模式命令中的预定字段设置为预定值,使得空口消息中不可预测的位数大大增加,从而大大增加了攻击的难度,较好地提升了GSM的安全性。
如图4所示,为本发明通信安全增强***实施例的结构示意图,该***包括基站控制器1和移动设备2,其中上述基站控制器1包括:解析单元11,用于对接收的加密命令进行解析并记录解析后的加密命令;设置单元12,用于将解析后的加密命令中的预定字段设置为预定值;接收单元13,用于接收返回的加密完成消息;上述移动设备2包括:发送单元21,用于根据解析后的加密命令发送加密完成消息。
其中,为了实现更好的兼容,上述基站控制器还可以包括:判断单元,用于根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码,若没有要求,则删除该国际移动设备识别码域。上述国际移动设备识别码包括设备型号核准码、最后装配码、序列号和备用码等。
上述通信安全增强装置,通过设置模块将加密模式命令中的预定字段设置为预定值,使得空口消息中不可预测的位数大大增加,从而大大增加了攻击的难度,较好地提升了GSM的安全性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1、一种通信安全增强方法,其特征在于包括:
对接收的加密命令进行解析并记录解析后的加密命令;
将解析后的加密命令中的预定字段设置为预定值;
接收返回的加密完成消息。
2、根据权利要求1所述的通信安全增强方法,其特征在于所述接收返回的加密完成消息之后还包括:
根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码,若没有要求,则删除该国际移动设备识别码域。
3、根据权利要求1或2所述的通信安全增强方法,其特征在于所述国际移动设备识别码包括设备型号核准码、最后装配码、序列号和备用码。
4、一种通信安全增强装置,其特征在于包括:
解析单元,用于对接收的加密命令进行解析并记录解析后的加密命令;
设置单元,用于将解析后的加密命令中的预定字段设置为预定值;
接收单元,用于接收返回的加密完成消息。
5、根据权利要求4所述的通信安全增强装置,其特征在于还包括:
判断单元,用于根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码,若没有要求,则删除该国际移动设备识别码域。
6、根据权利要求4或5所述的通信安全增强装置,其特征在于所述国际移动设备识别码包括设备型号核准码、最后装配码、序列号和备用码。
7、一种通信安全增强***,包括基站控制器和移动设备,其特征在于所述基站控制器包括:
解析单元,用于对接收的加密命令进行解析并记录解析后的加密命令;
设置单元,用于将解析后的加密命令中的预定字段设置为预定值;
接收单元,用于接收返回的加密完成消息;
所述移动设备包括:
发送单元,用于根据解析后的加密命令发送加密完成消息。
8、根据权利要求7所述的通信安全增强***,其特征在于所述基站控制器还包括:
判断单元,用于根据解析后的加密命令判断是否在加密完成中上报国际移动设备识别码,若没有要求,则删除该国际移动设备识别码域。
9、根据权利要求7或8所述的通信安全增强***,其特征在于所述国际移动设备识别码包括设备型号核准码、最后装配码、序列号和备用码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100882868A CN101277533B (zh) | 2008-04-30 | 2008-04-30 | 通信安全增强方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100882868A CN101277533B (zh) | 2008-04-30 | 2008-04-30 | 通信安全增强方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101277533A true CN101277533A (zh) | 2008-10-01 |
| CN101277533B CN101277533B (zh) | 2011-07-20 |
Family
ID=39996460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100882868A Expired - Fee Related CN101277533B (zh) | 2008-04-30 | 2008-04-30 | 通信安全增强方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101277533B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067168A (zh) * | 2011-10-21 | 2013-04-24 | 华为技术有限公司 | 一种gsm安全方法及***、相关设备 |
| WO2014201707A1 (zh) * | 2013-06-17 | 2014-12-24 | 华为技术有限公司 | 加密通信方法、***和相关设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI111433B (fi) * | 1998-01-29 | 2003-07-15 | Nokia Corp | Menetelmä tiedonsiirron salaamiseksi ja solukkoradiojärjestelmä |
| EP1556958A4 (en) * | 2002-10-18 | 2009-03-04 | Kineto Wireless Inc | DEVICE AND METHOD FOR MAGNIFYING THE COVERING AREA OF A LICENSED WIRELESS COMMUNICATION SYSTEM USING A NON-LICENSED WIRELESS COMMUNICATION SYSTEM |
-
2008
- 2008-04-30 CN CN2008100882868A patent/CN101277533B/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067168A (zh) * | 2011-10-21 | 2013-04-24 | 华为技术有限公司 | 一种gsm安全方法及***、相关设备 |
| WO2013056681A1 (zh) * | 2011-10-21 | 2013-04-25 | 华为技术有限公司 | 一种gsm安全方法及***、相关设备 |
| CN103067168B (zh) * | 2011-10-21 | 2016-01-27 | 华为技术有限公司 | 一种gsm安全方法及***、相关设备 |
| WO2014201707A1 (zh) * | 2013-06-17 | 2014-12-24 | 华为技术有限公司 | 加密通信方法、***和相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101277533B (zh) | 2011-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1782650B1 (en) | Method and system for improving robustness of secure messaging in a mobile communications network | |
| EP2215747B1 (en) | Method and devices for enhanced manageability in wireless data communication systems | |
| CN101494854B (zh) | 一种防止非法sim lock解锁的方法、***和设备 | |
| CN101662765A (zh) | 手机短信保密***及方法 | |
| CN102223231B (zh) | M2m终端认证***及认证方法 | |
| CN105142136B (zh) | 一种防伪基站攻击的方法 | |
| US20150087269A1 (en) | Method for providing mobile communication provider information and device for performing same | |
| CN102149083A (zh) | 个人化写卡方法、***和装置 | |
| CN101521873A (zh) | 启用本地安全上下文的方法 | |
| CN104318286A (zh) | Nfc标签数据的管理方法、管理***和终端 | |
| CN1937487A (zh) | Lte中鉴权和加密的方法 | |
| CN103139769B (zh) | 一种无线通信方法及网络子*** | |
| CN101355507B (zh) | 更新跟踪区时的密钥生成方法及*** | |
| CN104955029A (zh) | 通讯录保护方法、装置及通信*** | |
| CN101860850A (zh) | 一种利用驱动实现移动终端锁网或锁卡的方法 | |
| CN101277533B (zh) | 通信安全增强方法、装置及*** | |
| CN101383702B (zh) | 在更新跟踪区过程中保护密钥生成参数的方法及*** | |
| CN102111268A (zh) | 一种gsm网络双向认证的方法 | |
| CN101431754B (zh) | 一种防止克隆终端接入的方法 | |
| CN101282518B (zh) | 一种手机设备开机时保护用户隐私的方法及智能卡 | |
| CN1968096B (zh) | 一种同步流程优化方法和*** | |
| CN101277184B (zh) | 一种与3gpp协议兼容的消息结构及其进行通讯的方法 | |
| CN101309466B (zh) | 一种手机设备开机时保护用户隐私的方法及装置 | |
| KR20060112597A (ko) | 이동통신 단말기의 메모리를 리셋하는 서비스 방법, 그서비스 제공을 위한 시스템 및 이동통신 단말기 | |
| CN101252707A (zh) | 一种消息的生成、解析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110720 Termination date: 20180430 |