摘要　WCDMA和TD-SCDMA移動(dòng)通信技術(shù)是3GPP定義的第三代移動(dòng)通信國(guó)際標(biāo)準(zhǔn)，與GSM網(wǎng)絡(luò)相比，其安全性有了極大的提高，本文對(duì)3GPP網(wǎng)絡(luò)定義的安全機(jī)制進(jìn)行了全面的分析，并提出了增強(qiáng)其安全性的幾點(diǎn)建議。

一、引言

　　WCDMA移動(dòng)通信網(wǎng)絡(luò)和TD-SCDMA移動(dòng)通信網(wǎng)絡(luò)是國(guó)際電信聯(lián)盟（ITU）認(rèn)可，并由3GPP組織完成的第三代移動(dòng)通信國(guó)際標(biāo)準(zhǔn)，其中WCDMA標(biāo)準(zhǔn)由歐洲、日本提出，而TD-SCDMA標(biāo)準(zhǔn)由我國(guó)提出。

　　與第二代移動(dòng)通信技術(shù)相比，第三代移動(dòng)通信技術(shù)可以提供更加豐富的通信業(yè)務(wù)，包括語(yǔ)音、傳真、短消息、視頻通話、多媒體短消息、高速互聯(lián)網(wǎng)業(yè)務(wù)等。在此基礎(chǔ)上，第三代移動(dòng)通信網(wǎng)絡(luò)用戶可以享受豐富的通信業(yè)務(wù)帶來的各種便利，如可以在任何地點(diǎn)方便地通過網(wǎng)上銀行查賬及轉(zhuǎn)賬，可以通過手機(jī)炒股等。這些應(yīng)用對(duì)第三代移動(dòng)通信網(wǎng)絡(luò)的安全性提出了更高的要求。第三代移動(dòng)通信網(wǎng)絡(luò)的安全機(jī)制與第二代移動(dòng)通信網(wǎng)絡(luò)相比，安全性有了很大提高，如增加了移動(dòng)終端對(duì)網(wǎng)絡(luò)的認(rèn)證，加密密鑰由64bit增加到了128bit等。本文首先對(duì)3GPP定義的第三代移動(dòng)通信網(wǎng)絡(luò)的安全機(jī)制進(jìn)行了分析，并提出了增強(qiáng)其安全性的幾點(diǎn)建議。

二、3GPP的安全機(jī)制

　　3GPP的安全機(jī)制分為5類：

　　（1）增強(qiáng)用戶身份保密（EUIC）：通過HE/AuC（本地環(huán)境/認(rèn)證中心）對(duì)USIM（用戶業(yè)務(wù)識(shí)別模塊）身份信息進(jìn)行認(rèn)證；

　　（2）用戶與服務(wù)網(wǎng)間身份認(rèn)證（UIC）；

　　（3）認(rèn)證與密鑰分配（AKA）：用于USIM、VLR/SGSN（訪問位置寄存器/服務(wù)GPRS支持節(jié)點(diǎn)）、HLR（歸屬位置寄存器）間的雙向認(rèn)證及密鑰分配；

　　（4）數(shù)據(jù)加密（DC）：UE（用戶終端）與RNC（無線網(wǎng)絡(luò)控制器）間信息的加密；

　　（5）數(shù)據(jù)完整性（DI）：用于對(duì)交互消息的完整性、時(shí)效性及源與目的地進(jìn)行認(rèn)證。3GPP定義了11個(gè)安全算法：f0、f1*、f1～f9，以實(shí)現(xiàn)其安全功能。f8、f9分別實(shí)現(xiàn)數(shù)據(jù)保密性和數(shù)據(jù)完整性標(biāo)準(zhǔn)算法。f6、f7用于實(shí)現(xiàn)EUIC。AKA由f0～f5實(shí)現(xiàn)。

　　1.3GPP的鑒權(quán)認(rèn)證過程

　　3GPP的鑒權(quán)認(rèn)證過程如圖1所示。同GSM相比，3GPP除了網(wǎng)絡(luò)對(duì)UE的認(rèn)證外，還增加了UE對(duì)網(wǎng)絡(luò)的認(rèn)證。

　　過程說明：

　　（1）用戶歸屬域（HE）到服務(wù)網(wǎng)（SN）認(rèn)證向量的發(fā)送過程：

　　認(rèn)證中心（AuC）為每個(gè)用戶生成基于序列號(hào)的認(rèn)證向量組（RAND，XRES，CK，IK，AUTN），并且按照序列號(hào)排序。

　　（2）當(dāng)AUC收到VLR/SGSN的認(rèn)證請(qǐng)求時(shí)，發(fā)送N個(gè)認(rèn)證向量組給VLR/SGSN。在VLR/SGSN中，每個(gè)用戶的N個(gè)認(rèn)證向量組，按照“先入先出”（FIFO）的規(guī)則發(fā)送給移動(dòng)臺(tái)，用于鑒權(quán)認(rèn)證。