发明内容
本发明实施例提供了一种GSM安全方法及***、相关设备,用于增强GSM***的安全,从而可以扩展包括PWS在内的一些业务在GSM***中的应用。
一种GSM安全方法,包括:
网络侧实体利用与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;
所述网络侧实体采用所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息至少携带有完整性算法标识;
所述网络侧实体将已保护的安全启动消息发送给所述移动台,以使所述移动台利用移动台侧的完整性密钥和所述完整性算法对信息进行保护并发送给所述网络侧实体;所述移动台侧的完整性密钥是所述移动台利用与所述网络侧实体在单向认证过程中产生的移动台侧根密钥推衍出的,所述移动台侧根密钥与网络侧根密钥相同,并且所述移动台侧的完整性密钥与所述网络侧的完整性密钥相同。
一种GSM安全方法,包括:
移动台利用与网络侧实体在单向认证过程中产生的移动台侧根密钥推衍出移动台侧的完整性密钥;
所述移动台接收所述网络侧实体发送的安全启动消息,所述安全启动消息中至少携带有完整性算法标识;所述安全启动消息由所述网络侧实体采用网络侧的完整性密钥进行保护,所述网络侧的完整性密钥是所述网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥推衍出的;所述移动台侧根密钥与所述网络侧根密钥相同,并且所述移动台的完整性密钥与所述网络侧的完整性密钥相同;
所述移动台利用所述移动台侧的完整性密钥和所述完整性算法对信息进行保护并发送给所述网络侧实体。
一种GSM安全方法,包括:
网络侧实体利用与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;
所述网络侧实体采用所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息携带有公共报警***PWS公钥;
所述网络侧实体将已保护的安全启动消息发送给所述移动台,以使所述移动台接收并从所述已保护的安全启动消息中解析出所述PWS公钥,并采用所述PWS公钥验证所述PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
一种GSM安全方法,包括:
移动台接收网络侧实体发送的安全启动消息,所述安全启动消息中携带有公共报警***PWS公钥;所述安全启动消息由所述网络侧实体采用网络侧的完整性密钥进行保护,所述网络侧的完整性密钥是所述网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥推衍出的;
所述移动台从所述安全启动消息中解析出所述PWS公钥,并采用所述PWS公钥验证所述PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
一种网络侧实体,应用于GSM,包括:
推演单元,用于利用所述网络侧实体与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;
保护单元,用于采用所述推衍单元推衍出的所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息至少携带有完整性算法标识;
发送单元,用于将所述保护单元已保护的安全启动消息发送给所述移动台,以使所述移动台利用移动台侧的完整性密钥和所述完整性算法对信息进行保护并发送给所述网络侧实体;所述移动台侧的完整性密钥是所述移动台利用与所述网络侧实体在单向认证过程中产生的移动台侧根密钥推衍出的,所述移动台侧根密钥与网络侧根密钥相同,并且所述移动台侧的完整性密钥与所述网络侧的完整性密钥相同。
一种移动台,应用于GSM,包括:
推衍单元,用于利用所述移动台与网络侧实体在单向认证过程中产生的移动台侧根密钥推衍出移动台侧的完整性密钥;
接收单元,用于接收所述网络侧实体发送的安全启动消息,所述安全启动消息中至少携带有完整性算法标识;所述安全启动消息由所述网络侧实体采用网络侧的完整性密钥进行保护,所述网络侧的完整性密钥是所述网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥推衍出的;所述移动台侧根密钥与所述网络侧根密钥相同,并且所述移动台的完整性密钥与所述网络侧的完整性密钥相同;
保护单元,用于利用所述推演单元推衍出的所述移动台侧的完整性密钥和所述完整性算法对信息进行保护;
发送单元,用于将所述保护单元已保护的信息发送给所述网络侧实体。
一种网络侧实体,应用于GSM,包括:
推演单元,用于利用所述网络侧实体与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;
保护单元,用于采用所述推演单元推衍出的所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息携带有公共报警***PWS公钥;
发送单元,用于将所述保护单元已保护的安全启动消息发送给所述移动台,以使所述移动台接收并从所述已保护的安全启动消息中解析出所述PWS公钥,并采用所述PWS公钥验证所述PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
一种移动台,应用于GSM,包括:
接收单元,用于接收网络侧实体发送的安全启动消息,所述安全启动消息中携带有公共报警***PWS公钥;所述安全启动消息由所述网络侧实体采用网络侧的完整性密钥进行保护,所述网络侧的完整性密钥是所述网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥推衍出的;
验证单元,用于从所述接收单元接收的所述安全启动消息中解析出所述PWS公钥,并采用所述PWS公钥验证所述PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
一种GSM安全***,包括网络侧实体和移动台;
其中,网络侧实体用于利用与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;以及采用所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息至少携带有完整性算法标识;并且于将所述保护单元已保护的安全启动消息发送给移动台;
其中,移动台用于利用与网络侧实体在单向认证过程中产生的移动台侧根密钥推衍出移动台侧的完整性密钥;以及接收所述网络侧实体发送的安全启动消息,并且利用所述移动台侧的完整性密钥和所述完整性算法对信息进行保护;以及将已保护的信息发送给所述网络侧实体。
一种GSM安全***,包括网络侧实体和移动台:
其中,网络侧实体用于与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;以及采用所述网络侧的完整性密钥对安全启动消息进行保护,所述安全启动消息携带有公共报警***PWS公钥;并且将已保护的安全启动消息发送给所述移动台;
其中,移动台用于接收网络侧实体发送的安全启动消息,从所述安全启动消息中解析出所述PWS公钥,并采用所述PWS公钥验证所述PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
综上所述,本发明实施例中,网络侧实体可以利用与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥,并采用该网络侧的完整性密钥对安全启动消息进行保护后发送给移动台,使移动台可以利用移动台侧的完整性密钥以及该安全启动消息指示的完整性算法对信息进行保护并发送给网络侧实体;和/或,使移动台从该安全启动消息中解析出PWS公钥,并采用该PWS公钥来验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的完整性算法标识和/或PWS公钥进行Bidding Down攻击,使该安全启动消息携带的完整性算法标识和/或PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种GSM安全方法及***、相关设备,用于增强GSM***的安全,从而可以扩展包括PWS在内的一些业务在GSM***中的应用。其中,本发明实施例涉及的GSM***还包括作为GMS***的延迟的通用分组无线服务(General Packet Radio Service,GPRS)***。为了实现增强GSM***的安全,本发明实施例需预先升级MS的功能和网络侧实体的功能,使MS和网络侧实体可利用在单向认证过程中产生的相同的根密钥来推衍出相同的完整性密钥。其中,MS可以包括移动手机、掌声电脑、移动互联网设备(Mobile Internet Devices,MID)等等;而网络侧实体可以是核心网中的移动交换中心(Mobile Switching Center,MSC)或拜访位置寄存器(Visitor Location Register,VLR),也可以是接入网中的基站控制器(BaseStation Controller,BSC),本发明实施例不作限定。很明显,如果网络侧实体是接入网中的BSC,则可以避免对核心网实体的修改。此外,在GMS***中,为了更好的识别已升级的MS和网络侧实体,可以使用“+”标记来标识已升级的MS和网络侧实体,而对于没有升级的MS和网络侧实体,则不使用“+”标记来标识。下面通过具体的实施例来详细描述本发明实施例提供的GSM安全方法及***、相关设备。
实施例一:
请参阅图1,图1为本发明实施例提供的GSM安全方法的实施例一流程图。如图1所示,该方法可以包括以下步骤:
101、网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc推衍出网络侧的完整性密钥。
102、网络侧实体采用网络侧的完整性密钥对安全启动消息进行保护,该安全启动消息至少携带有完整性算法标识。
103、网络侧实体将已保护的安全启动消息发送给MS,以使MS利用MS侧的完整性密钥和上述完整性算法对信息进行保护并发送给网络侧实体;其中,MS侧的完整性密钥是MS利用与网络侧实体在单向认证过程中产生的MS侧根密钥Kc推衍出的,该移动台侧根密钥Kc与网络侧根密钥Kc相同,并且MS侧的完整性密钥与网络侧的完整性密钥相同。
在GSM***中,MS入网时会与网络侧实体进行单向认证,而在单向认证过程中网络侧实体和MS各自会产生相同的根密钥Kc,这是本领域普通技术人员所公知的常识,本发明实施例此处不作详细介绍。为了便于描述,本发明实施例将网络侧实体在与MS进行单向认证过程中产生的根密钥Kc称为网络侧根密钥Kc,而将MS在与网络侧实体进行单向认证过程中产生的根密钥Kc称为MS侧根密钥Kc。
在产生网络侧根密钥Kc后,网络侧实体可以利用网络侧根密钥Kc来推衍出网络侧的完整性密钥Ki。进一步地,网络侧实体也可以利用网络侧根密钥Kc来同时推衍出加密密钥Kcp和完整性密钥Kip,本发明实施例不作限定。其中,完整性密钥主要用于进行完整性保护;加密密钥可以用于加密保护。其中,网络侧的加密密钥与MS侧的加密密钥相同。具体地,网络侧实体利用网络侧根密钥Kc来推衍出网络侧的完整性密钥的具体方式可以包括直接方式和协商方式。其中,直接方式可以有以下两种形式:
形式一:从Kc推衍出完整性保护密钥Ki,即Kc——>Ki;
其中,Ki=KDF[Kc,S],Fc=0x14,P=MS id,L=the length of MS id;
其中,S表示Fc、P和L串联后构成的参数;Fc表示参数;P表示MS标识;L表示MS标识长度。
形式二:从Kc推衍出加密密钥Kcp+完整性保护密钥Kip,即Kc——>Kcp,kip;
其中,Kip=KDF[Kc,S],Fc=0x14,P=MS id,L=the length of MS id;
Kcp=KDF[Kip,S]],Fc=0x15,P=MS id,L=the length of MS id;
其中,S表示Fc、P和L串联后构成的参数;Fc表示参数;P表示MS标识;L表示MS标识长度。
也即是说,上述的直接方式是网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc作为密钥推衍函数参数,并采用密钥推衍函数KDF推衍出网络侧的完整性密钥。
下面介绍推衍出完整性密钥Ki的协商方式,该协商方式如下:
1)、网络侧实体接收MS发送的请求消息,触发产生一随机参数Rn;该请求消息至少携带有MS的身份信息(例如MS id);
2)、网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc以及上述的随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥Ki,即ki=F{Kc,Rn}。
进一步地,在上述的协商方式中,如果MS发送的请求消息除了携带MS的身份信息外,还携带有MS产生的一随机参数Ru,则网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥Kc、所述随机参数Ru以及所述随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥Ki,即ki=F{Kc,Ru,Rn}。
进一步地,在上述的协商方式中,如果MS发送的请求消息除了携带MS的身份信息、MS产生的一随机参数Ru外,还携带有一字符串(如“PWS”),该字符串用于指示推衍出的Ki应用的业务类型(即指示Ki的用途),则网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥Kc、所述随机参数Ru、随机参数Rn以及字符串作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥Ki,如Ki=F{Kc,Ru,Rn,″PWS″}。
本发明实施例中,如果MS发送的请求消息中携带有MS产生的一随机参数Ru,那么网络侧实体在接收到该请求消息,并触发产生用于推衍Ki的随机参数Rn后,还可以回复Rn和Ru给MS,使得MS在验证出网络侧实体返回的Ru与自己发送的Ru相同后,可以利用MS侧的Kc推衍出完整性密钥Ki。更进一步的,如果MS发送的请求消息中没有携带MS产生的一随机参数Ru,那么网络侧实体在接收到该请求消息,并触发产生用于推衍完整性密钥Ki的随机参数Rn后,也可以返回Rn给MS,使MS可以利用MS侧的Kc以及网络侧实体返回的Rn推衍出Ki。本发明实施例后续将对MS推衍出完整性密钥Ki的具体方式进行介绍。
其中,MS发起的请求消息可以是层三消息,如LA消息。网络侧实体发送随机参数给MS时,可以通过CIPHERING MODE COMMAND来发送(针对GSM***);也可以通过认证加密请求消息(Authentication and cipheringrequest)来发送(针对GPRS***)。
可选的,MS和网络侧实体也可以创建两条新消息,一条新消息用于MS向网络侧实体发送密钥推衍函数参数(如Ru、字符串),另一条新消息用于网络侧实体向MS发送随机参数(如Rn、Ru),本发明实施例不作限定。
本发明实施例中,如果MS发送的请求消息不携带用于指示推衍出的完整性密钥Ki应用的业务类型(即指示完整性密钥Ki的用途)的字符串,那么就说明推衍出的Ki是通用的,可以用于保护各种消息、信令的完整性。
以上主要描述了网络侧实体利用网络侧的Kc推衍出完整性密钥的实现过程。网络侧实体在推衍出完整性密钥后,可以执行上述步骤102,即采用网络侧的完整性密钥对安全启动消息进行保护,该安全启动消息至少携带有完整性算法标识。
本发明实施例中,可以在MS和网络侧实体上预先配置一种或多种完整性算法。当配置好了完整性算法后,网络侧实体可以通过在发送给MS的安全启动消息中指示MS具体使用的完整性算法,即网络侧实体可以在发送给MS的安全启动消息中指示MS具体使用的完整性算法对应的完整性算法标识,使MS根据该完整性算法标识即可获悉网络侧实体指示使用的完整性算法。其中,用于GSM***的完整性算法包含但不限于Null,Kasumi,SNOW 3G和AES算法。
本发明实施例中,MS也可以在发送给网络侧实体的请求消息(如层三消息)中携带MS所支持的完整性算法的完整性算法标识列表,使网络侧实体接收到后可以从中选出某一完整性算法,并将该完整性算法的完整性算法标识通过安全启动消息指示给MS。
本发明实施例中,上述步骤102中的安全启动消息可以是GSM***中的CIPHERING MODE COMMAND,可以是GPRS***中的Authentication andciphering request,本发明实施例不作限定。
本发明实施例下面进一步对CIPHERING MODE COMMAND以及Authentication and ciphering request消息内容进行描述。表1为本发明实施例中的CIPHERING MODE COMMAND的消息内容,其中,完整性算法标识(algorithm identifier)可以携带在表1中的信息单元(Ciphering Mode Setting)中。表2是表1中的Ciphering Mode Setting的消息内容,如表2所示,可以采用Ciphering Mode Setting消息内容中的第2bit-4bit来表示algorithm identifier。
表1 CIPHERING MODE COMMAND消息内容
表2 Cipher Mode Setting消息内容
其中,定义的完整性算法设置IE可以采用但不限于表3的形式。
表3 完整性算法设置IE形式
本发明实施例中,网络侧实体在发送CIPHERING MODE COMMAND给MS之前,网络侧的完整性密钥已经被推衍出来,因此,网络侧实体发送CIPHERING MODE COMMAND给MS时,可以采用网络侧的完整性密钥对CIPHERING MODE COMMAND进行保护。与现有技术中网络侧实体发送CIPHERING MODE COMMAND时没有任何安全保护相比,本发明实施例可以防止CIPHERING MODE COMMAND发生bidding down攻击,保证CIPHERING MODE COMMAND中的Ciphering Mode setting携带的algorithmidentifier的安全。试想,如果网络侧实体不采用网络侧的完整性密钥对CIPHERING MODE COMMAND进行保护,则攻击者很容易可以篡改CIPHERING MODE COMMAND中的Ciphering Mode setting携带的algorithmidentifier,造成bidding down攻击。
其中,表4为Authentication and ciphering request中的完整性算法信息单元Integrity algorithm的消息内容。如图4所示,可以采用Authentication andciphering request中的Integrity algorithm的消息内容中的第2bit-4bit来表示algorithm identifier。
表4 Integrity algorithm的消息内容
或者,Authentication and ciphering request中的完整性算法信息单元Integrity algorithm的消息内容也可以如表3所示,本发明实施例不作限定。
其中,上述的algorithm identifier为Null时,说明没有启动完整性保护。
本发明实施例中,网络侧实体在发送Authentication and ciphering request给MS之前,网络侧的完整性密钥已经被推衍出来,因此,网络侧实体发送Authentication and ciphering request给MS时,可以采用网络侧的完整性密钥对Authentication and ciphering request进行保护。与现有技术中网络侧实体发送Authentication and ciphering request时没有任何安全保护相比,本发明实施例可以防止Authentication and ciphering request发生bidding down攻击,保证Authentication and ciphering request中的Integrity algorithm携带的algorithmidentifier的安全。
本发明实施例中,上述步骤102中的网络侧实体采用网络侧的完整性密钥对安全启动消息进行保护具体可以是:采用网络侧的完整性密钥对整个安全启动消息进行保护,也可以是采用网络侧的完整性密钥对安全启动消息携带的完整性算法标识部分进行保护。
可选地,上述步骤102中的安全启动消息除了携带完整性算法标识外,还可以进一步携带PWS公钥,使MS接收到已保护的安全启动消息后,可以从已保护的安全启动消息中解析出该PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息(如地震海啸、飓风、***等警报消息)的完整性以确认紧急消息是否真实,避免假的紧急消息引起不必要的社会恐慌。
相应地,若上述步骤102中的安全启动消息不仅携带完整性算法标识,而且还携带PWS公钥,则上述步骤102中的网络侧实体采用网络侧的安全保护密钥对安全启动消息进行保护具体可以是:采用网络侧的完整性密钥对整个安全启动消息进行保护,也可以是采用网络侧的完整性密钥对安全启动消息携带的完整性算法标识部分和PWS公钥部分进行保护。
举例来说,网络侧实体可以使用网络侧的安完整性密钥对安全启动消息携带的完整性算法标识部分和PWS公钥部分进行签名计算,从而实现对安全启动消息携带的完整性算法标识部分和PWS公钥部分保护。或者,网络侧实体可以使用网络侧的完整性密钥对安全启动消息携带的完整性算法标识部分进行签名计算,以及将网络侧的完整性密钥和PWS公钥部分进行异或处理,从而实现对安全启动消息携带的完整性算法标识部分和PWS公钥部分保护。
本发明实施例中,如果网络侧实体已保护的安全启动消息携带有PWS公钥,则MS接收到已保护的安全启动消息后可以从该安全启动消息中解析出PWS公钥,并采用该PWS公钥来验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
本发明实施例一中,网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥,并采用该网络侧的完整性密钥对安全启动消息进行保护后发送给MS,使MS可以利用MS侧的完整性密钥以及该安全启动消息携带的完整性算法标识对应的完整性算法对信息进行保护并发送给网络侧实体。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的完整性算法标识进行Bidding Down攻击,使该安全启动消息携带的完整性算法标识安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例二:
请参阅图2,图2为本发明实施例提供的GSM安全方法的实施例二流程图。如图2所示,该方法可以包括以下步骤:
201、MS利用与网络侧实体在单向认证过程中产生的MS侧根密钥Kc推衍出MS侧的完整性密钥。
202、MS接收网络侧实体发送的安全启动消息,该安全启动消息中至少携带有完整性算法标识;该安全启动消息由网络侧实体采用网络侧的完整性密钥进行保护,网络侧的完整性密钥是网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc推衍出的;MS侧根密钥Kc与网络侧根密钥Kc相同,并且MS的完整性密钥与网络侧的完整性密钥相同。
其中,上述的安全启动消息可以是CIPHERING MODE COMMAND(针对GSM***),也可以Authentication and ciphering request(针对GPRS),本发明实施例不作限定。
203、MS利MS侧的完整性密钥和上述的完整性算法对信息进行保护并发送给网络侧实体。
在产生MS侧根密钥Kc后,MS可以利用MS侧根密钥Kc来推衍出用于安全保护的MS侧的完整性密钥Ki。进一步的,MS也可以利用MS侧根密钥Kc来同时推衍出完整性密钥Kip以及加密密钥Kcp,本发明实施例不作限定。具体地,MS利用MS侧根密钥Kc来推衍出MS侧的完整性密钥的具体方式可以包括直接方式和协商方式。其中,MS用于推衍出MS侧的完整性密钥的直接方式和前面介绍的网络侧实体用于推衍出网络侧的完整性密钥的直接方式相同,即MS可以利用与网络侧实体在单向认证过程中产生的MS侧根密钥Kc作为参数,并采用密钥推衍函数KDF推衍出MS侧的完整性密钥。
其中,MS用于推衍出MS侧的完整性密钥的协商方式如下:
1)、MS发送请求消息给网络侧实体,触发网络侧实体产生一随机参数Rn;该请求消息至少携带有MS的身份信息(如MS id)。
其中,MS发送的请求消息可以是层三消息,如LA消息。
2)、MS接收网络侧实体发送的随机参数Rn。
3)、MS利用与网络侧实体在单向认证过程中产生MS侧根密钥Kc以及随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出移动台侧的完整性密钥,如ki==F{Kc,Rn}。
进一步地,上述协商方式中,如果MS发送的请求消息除了携带MS的身份信息外,还携带有MS产生的一随机参数Ru,则MS还可以接收网络侧实体返回的随机参数Ru,并验证网络侧实体返回的随机参数Ru与MS产生的随机参数Ru是否相同,如果是,则利用与网络侧实体在单向认证过程中产生的MS侧根密钥、随机参数Ru以及随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出MS侧的完整性密钥,如ki==F{Kc,Ru,Rn}。
进一步地,上述协商方式中,如果MS发送的请求消息除了携带MS的身份信息、MS产生的一随机参数Ru外,还携带有一字符串(如“PWS”),该字符串用于指示推衍出的完整性密钥应用的业务类型(即指示安完整性密钥的用途),则MS在验证网络侧实体返回的随机参数Ru与MS产生的随机参数Ru相同后,可以利用与网络侧实体在单向认证过程中产生的MS根密钥、随机参数Ru、随机参数Rn以及该字符串作为密钥推衍函数参数,并采用密钥推衍函数F推衍出MS侧的完整性密钥,如Ki=F{Kc,Ru,Rn,″PWS″}。
可选地,上述步骤202中的安全启动消息除了携带完整性算法标识外,还可以进一步携带PWS公钥,使MS接收到已保护的安全启动消息后,可以从已保护的安全启动消息中解析出该PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认紧急消息是否真实,避免假的紧急消息引起不必要的社会恐慌。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
本发明实施例二中,由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的完整性算法标识进行Bidding Down攻击,使该安全启动消息携带的完整性算法标识安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例三:
请参阅图3,图3为本发明实施例提供的GSM安全方法的实施例三流程图。如图3所示,该方法可以包括以下步骤:
301、网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc推衍出网络侧的完整性密钥。
其中,网络侧实体也还可以利用与MS在单向认证过程中产生的网络侧根密钥Kc推衍出加密密钥,本发明实施例不作限定。
302、网络侧实体采用网络侧的完整性密钥对安全启动消息进行保护,该安全启动消息携带有PWS公钥。
其中,上述的安全启动消息可以是CIPHERING MODE COMMAND(针对GSM***),也可以Authentication and ciphering request(针对GPRS),本发明实施例不作限定。
303、网络侧实体将已保护的安全启动消息发送给MS,以使MS接收并从已保护的安全启动消息中解析出PWS公钥,并采用PWS公钥验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。
本发明实施例中,网络侧实体可以在安全启动消息中定义一个PWS公钥信息单元,用于携带PWS公钥。其中,网络侧实体定义的PWS公钥信息单元可以只携带PWS公钥(PWS public key),如表5所示。或者网络侧实体定义的PWS公钥信息单元可以携带两部分信息,即一部分是PWS公钥(PWS publickey),另一部分是PWS公钥的验证信息或者保护信息(Protection Part),如表6所示。
表5 PWS公钥信息单元格式
表6 PWS公钥信息单元格式
本发明实施例中,网络侧实体在发送安全启动消息给MS之前,可以采用网络侧的完整性密钥对安全启动消息进行保护。与现有技术中网络侧实体发送CIPHERING MODE COMMAND或Authentication and ciphering request时没有任何安全保护相比,本发明实施例可以防止安全启动消息发生biddingdown攻击,保证安全启动消息携带的PWS公钥的安全。
本发明实施例中,上述步骤302中的网络侧实体采用网络侧的完整性密钥对安全启动消息进行保护具体可以是:采用网络侧的完整性密钥对整个安全启动消息进行保护,也可以是采用网络侧的完整性密钥仅对安全启动消息携带的PWS公钥部分进行保护。
其中,网络侧实体采用网络侧的完整性密钥仅对安全启动消息携带的PWS公钥部分进行保护主要可以有以下方法:
方法一:网络侧实体将推衍出的网络侧的完整性密钥与PWS公钥进行异或处理,实现对PWS公钥部分的保护。
方法二:网络侧实体使用推衍出的网络侧的完整性密钥对PWS公钥进行签名计算,实现对PWS公钥部分的保护。
本发明实施例中,网络侧实体还可以采用其他方法来实现对PWS公钥部分的保护,例如:
1、网络侧实体可以携带有完整性算法的安全启动消息进行哈希(HASH)或密钥相关的哈希运算消息认证码(keyed-Hash Message AuthenticationCode,HMAC)计算,并使用计算结果与PWS公钥进行异或处理,实现对PWS公钥部分的保护。
2、网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥Kc对PWS公钥进行签名计算,实现对PWS公钥部分的保护。
3、网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥Kc对PWS公钥进行异或处理,实现对PWS公钥部分的保护。
本发明实施例三中,如果网络侧实体已保护的安全启动消息携带有PWS公钥,则MS接收到已保护的安全启动消息后可以从该安全启动消息中解析出PWS公钥,并采用该PWS公钥来验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
本发明实施例三中,网络侧实体可以利用与MS在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥,并采用该网络侧的完整性密钥对安全启动消息进行保护后发送给MS,使MS可以从该安全启动消息中解析出PWS公钥,并采用该PWS公钥来验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例四:
请参阅图4,图4为本发明实施例提供的GSM安全方法的实施例四流程图。如图4所示,该方法可以包括以下步骤:
401、MS接收网络侧实体发送的安全启动消息,该安全启动消息中携带有PWS公钥;该安全启动消息由网络侧实体采用网络侧的完整性密钥进行保护,该网络侧的完整性密钥是网络侧实体利用与MS在单向认证过程中产生的网络侧根密钥Kc推衍出的。
其中,上述的安全启动消息可以是CIPHERING MODE COMMAND(针对GSM***),也可以Authentication and ciphering request(针对GPRS),本发明实施例不作限定。
402、MS从上述的安全启动消息中解析出PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。
本发明实施例四中,由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例五:
请参阅图5,图5为本发明实施例提供的一种网络侧实体的结构图,应用于GSM***(也包括GPRS***)。其中,本发明实施例五提供的网络侧实体可以是MSC或VLR或BSC。如图5所示,该网络侧实体可以包括:
推演单元501,用于利用所述网络侧实体与MS在单向认证过程中产生的网络侧根密钥Kc推衍出网络侧的完整性密钥;
保护单元502,用于采用推衍单元501推衍出的网络侧的完整性密钥对安全启动消息进行保护,该安全启动消息至少携带有完整性算法标识;
发送单元503,用于将保护单元502已保护的安全启动消息发送给MS,以使MS利用MS侧的完整性密钥和上述完整性算法对信息进行保护并发送给所述网络侧实体;其中,MS侧的完整性密钥是MS利用与所述网络侧实体在单向认证过程中产生的MS侧根密钥Kc推衍出的,MS侧根密钥Kc与网络侧根密钥Kc相同,并且MS侧的完整性密钥与网络侧的完整性密钥相同。
本发明实施例中,上述的安全启动消息可以是CIPHERING MODECOMMAND(针对GSM***),也可以是Authentication and ciphering request(针对GPRS***),本发明实施例不作限定。
作为一种可选的实施方式,推演单元501具体可以用于利用网络侧实体与MS在单向认证过程中产生的网络侧根密钥Kc作为密钥推衍函数参数,并采用密钥推衍函数KDF推衍出网络侧的完整性密钥。
作为一种可选的实施方式,如图6所示,推演单元501可以包括:
第一模块5011,用于接收MS发送的请求消息,触发产生一随机参数Rn;该请求消息至少携带有MS的身份信息(如MS id);
第二模块5012,用于利用网络侧实体与MS在单向认证过程中产生的网络侧根密钥Kc以及上述的随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥。
在图6所示的网络侧实体中,若MS发送的请求消息还携带有MS产生的一随机参数Ru,则第二模块5012还用于利用网络侧实体与MS在单向认证过程中产生的网络侧根密钥Kc、所述随机参数Ru以及随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥。
在图6所示的网络侧实体中,若MS发送的请求消息除了携带MS的身份信息、MS产生的一随机参数Ru外,还携带有一字符串(如“PWS”),该字符串用于指示推衍出的完整性密钥应用的业务类型(即指示完整性密钥的用途),则第二模块5012还用于利用网络侧实体与MS在单向认证过程中产生的网络侧根密钥Kc、所述随机参数Ru、所述随机参数Rn以及所述字符串作为密钥推衍函数参数,并采用密钥推衍函数F推衍出网络侧的完整性密钥。
作为一种可选的实施方式,在图5或图6所示的网络侧实体中,保护单元502具体可以用于采用推衍单元501推衍出的网络侧的完整性密钥对安全启动消息中的完整性算法标识部分进行保护。
作为一种可选的实施方式,在图5或图6所示的网络侧实体中,已保护的安全启动消息中还可以携带有PWS公钥,则MS接收到已保护的安全启动消息可以从该安全启动消息中解析出PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用
相应地,如果上述的安全启动消息除了携带完整性算法标识外,还可以进一步携带PWS公钥,则保护单元502具体可以用于采用推衍单元501推衍出的网络侧的完整性密钥对该安全启动消息中的完整性算法标识部分和PWS公钥部分进行保护。
本发明实施例五中,推演单元501可以利用与MS在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥,保护单元502采用该网络侧的完整性密钥对安全启动消息进行保护后由发送单元503发送给MS,使MS可以利用MS侧的完整性密钥以及该安全启动消息携带的完整性算法标识对应的完整性算法对信息进行保护并发送给网络侧实体。由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的完整性算法标识进行Bidding Down攻击,使该安全启动消息携带的完整性算法标识安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例六:
请参阅图7,图7为本发明实施例提供的一种移动台的结构图,应用于GSM***(也包括GPRS***)。其中,本发明实施例五提供的移动台可以是移动手机、掌上电脑或MID等。如图7所示,该移动台可以包括:
推衍单元701,用于利用所述移动台与网络侧实体在单向认证过程中产生的移动台侧根密钥Kc推衍出移动台侧的完整性密钥。
接收单元702,用于接收网络侧实体发送的安全启动消息,该安全启动消息中至少携带有完整性算法标识;该安全启动消息由网络侧实体采用网络侧的完整性密钥进行保护,该网络侧的完整性密钥是网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥Kc推衍出的;所述移动台侧根密钥Kc与网络侧根密钥Kc相同,并且所述移动台的完整性密钥与所述网络侧的完整性密钥相同。
本发明实施例中,上述的安全启动消息可以是CIPHERING MODECOMMAND(针对GSM***),也可以是Authentication and ciphering request(针对GPRS***),本发明实施例不作限定。
保护单元703,用于利用推演单元702推衍出的所述移动台侧的完整性密钥和所述完整性算法对信息进行保护;
发送单元704,用于将保护单元703已保护的信息发送给所述网络侧实体。
其中,推衍单元701还可以用于利用所述移动台与网络侧实体在单向认证过程中产生的移动台侧根密钥Kc推衍出移动台侧的加密密钥;其中,移动台侧的加密密钥与网络侧的加密密钥相同。
作为一种可选的实施方式,推演单元701具体可以用于利用所述移动台与网络侧实体在单向认证过程中产生的移动台侧根密钥Kc作为参数,并采用密钥推衍函数KDF推衍出移动台侧的完整性密钥。
作为一种可选的实施方式,如图8所示,推演单元701可以包括:
第一模块7011,用于发送请求消息给网络侧实体,触发网络侧实体产生一随机参数Rn,以及接收网络侧实体发送的随机参数Rn;该请求消息至少携带有所述移动台的身份信息。
第二模块7012,用于利用所述移动台与网络侧实体在单向认证过程中产生移动台侧根密钥Kc以及所述随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出移动台侧的完整性密钥。
在图8所示的移动台中,若第一模块7011发送的请求消息还携带有所述移动台产生的一随机参数Ru,则所述第一模块7011还用于接收网络侧实体返回的随机参数Ru;第二模块7012还用于在验证网络侧实体返回的随机参数Ru与所述移动台产生的随机参数Ru是否相同时,如果是,则利用与网络侧实体在单向认证过程中产生的移动台侧根密钥Kc、所述随机参数Ru以及所述随机参数Rn作为密钥推衍函数参数,并采用密钥推衍函数F推衍出移动台侧的完整性密钥。
在图8所示的网络侧实体中,若第一模块7011发送的请求消息除了携带MS的身份信息、所述移动台产生的一随机参数Ru外,还携带有一字符串(如“PWS”),该字符串用于指示推衍出的完整性密钥应用的业务类型(即指示完整性密钥的用途),则第二模块7012还用于在验证网络侧实体返回的随机参数Ru与所述移动台产生的随机参数Ru是否相同,如果是,则利用所述移动台与网络侧实体在单向认证过程中产生的移动台根密钥Kc、所述随机参数Ru、所述随机参数Rn以及所述字符串作为密钥推衍函数参数,并采用密钥推衍函数F推衍出移动台侧的完整性密钥。
在图8所示的网络侧实体中,所述移动台还包括验证单元705,当接收单元702接收到的网络侧实体发送的安全启动消息还携带有PWS公钥时,验证单元705用于从接收单元702接收的安全启动消息中解析出PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
本发明实施例六中,由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的完整性算法标识进行Bidding Down攻击,使该安全启动消息携带的完整性算法标识安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例七:
请参阅图9,图9为本发明实施例提供的另一种网络侧实体的结构图,应用于GSM***(也包括GPRS***)。如图9所示,该网络侧实体可以包括:
推演单元901,用于利用所述网络侧实体与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的完整性密钥;
保护单元902,用于采用所述推演单元901推衍出的所述网络侧的完整性密钥对安全启动消息进行保护,该安全启动消息携带有公共报警***PWS公钥;
发送单元903,用于将保护单元902已保护的安全启动消息发送给移动台,以使移动台接收并从已保护的安全启动消息中解析出PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认所述紧急消息是否真实。
其中,推演单元901还可以用于利用所述网络侧实体与移动台在单向认证过程中产生的网络侧根密钥推衍出网络侧的加密密钥。
本发明实施例七中,由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例八:
请参阅图10,图10为本发明实施例提供的另一种移动台的结构图,应用于GSM***(也包括GPRS***)。如图10所示,该移动台可以包括:
接收单元1001,用于接收网络侧实体发送的安全启动消息,该安全启动消息中携带有PWS公钥;该安全启动消息由网络侧实体采用网络侧的完整性密钥进行保护,网络侧的完整性密钥是网络侧实体利用与所述移动台在单向认证过程中产生的网络侧根密钥Kc推衍出的。
验证单元1002,用于从接收单元1001接收的安全启动消息中解析出PWS公钥,并采用该PWS公钥验证PWS广播的紧急消息的完整性以确认紧急消息是否真实。
本发明实施例八中,由于网络侧实体发送的安全启动消息是受到网络侧的完整性密钥保护的,因此攻击者很难对该安全启动消息携带的PWS公钥进行Bidding Down攻击,使该安全启动消息携带的PWS公钥的安全得到保证,从而可以增强GSM***的安全,进而可以扩展包括PWS在内的一些业务在GSM***中的应用。
实施例九:
请参阅图11,图11为本发明实施例提供的一种GSM安全***,应用于GSM***(也包括GPRS***)。如图11所示,该移动台可以包括网络侧实体1101和移动台1102。其中,网络侧实体1101的结构、功能与图5所示的网络侧实体的结构、功能相同,或者与图6所示的网络侧实体的结构、功能相同,本发明实施例不作复述。其中,移动台1102的结构、功能与图7所示的移动台的结构、功能相同,或者与图8所示的移动台的结构、功能相同,本发明实施例不作复述。
其中,网络侧实体1101和移动台1102之间的虚线表示网络侧实体1101和移动台1102之间是无线连接。
请参阅图12,图12为本发明实施例提供的另一种GSM安全方法***,应用于GSM***(也包括GPRS***)。如图12所示,该移动台可以包括网络侧实体1201和移动台1202。其中,网络侧实体1201的结构、功能与图9所示的网络侧实体的结构、功能相同,本发明实施例不作复述。其中,移动台1202的结构、功能与图10所示的移动台的结构、功能相同,本发明实施例不作复述。
其中,网络侧实体1201和移动台1202之间的虚线表示网络侧实体1201和移动台1202之间是无线连接。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-OnlyMemory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
以上对本发明实施例所提供的一种GSM安全方法及***、相关设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。