study on security of 3g mobile system

指導教授：黃培壝老師學生：薛丁瑋

112/04/21 1

OutlineIntroductionRelated workImproved Confidentiality mechanism(ICM)Security and performance analysisConclusion

112/04/21 2

IntroductionUniversal Mobile Telecommunication System

(UMTS) 是近來相當受到注目的第三代行動通訊系統是由 3GPP 所訂定的標準，相較於前一代行動通訊系統 GSM ， UMTS 可提供更高頻寬的資料傳輸和較好的安全性。

在 UMTS 也有不少的探討著重於安全機制上。一般來說，把 UMTS 分成三個通訊的部份： SN (Serving Network) 、 HE (Home Environment) 、 MS (Mobile Station) ， MS 用來代表使用者。

112/04/21 3

Introduction (Cont.)在 UMTS 的安全性架構上最主要的重點是網路存取

的安全性，也就是必須提供使用者一個安全環境去存取 UMTS 的服務，本篇當中著重部份在於無線網路端連結 (e.g. MS 與 SN 之間 )的安全性探討與改進方法。

3GPP 訂定的標準其中一個最主要的 UMTS 網路存取安全特點就是在於 UMTS Authentication and Key Agreement (UMTS-AKA) 程序。

112/04/21 4

Introduction (Cont.)另一個 UMTS 網路存取安全性上最重要的就是必須

提供在無線網路連結上保護使用者的身份避免被察覺以下三點為必要保護要件： 使用者的 IMSI(International Mobile Subscriber

Identity) 必須不能被竊取或者竊聽 (identity confidentiality) 。

User 的所在地或者即將到達的區域 (location confidentiality) 。

傳送不同的服務給同一個使用者不能被察覺到(untraceability) 。

112/04/21 5

Introduction (Cont.)如圖一所示，使用 TMSI 當成身份認證在 MS 與 SN 之

間的無線連結傳送。

在目前的 UMTS ，在以下的情況下 IMSI 會暴露在無線網路連結中： MS 第一次註冊到 SN 並且一直未收到合法的 TMSI 。 SN 的資料庫損毀或者當機，無法從 TMSI 中獲得 IMSI 。

漫遊到新的 SN 後，無法與舊的 SN 取得聯繫或者無法獲

得 IMSI 。 112/04/21 6

Introduction (Cont.)上述情況， TMSI 無法去認證 MS 。 SN 會要求

MS 重新傳送 IMSI 。而 IMSI 的傳送是以明文的方式傳遞此時在使用者資訊的保密上就會有漏洞，這是必須避免發生的。

在本篇中，提出了改善的方法將原有 UMTS 架構底下 IMSI 以明文傳送的缺點克服並且保護使用者身份的機密性。

112/04/21 7

Related work透過加密 IMSI 或者給予其他的替代可以提供

mobile user 隱匿性。也有不少的 paper 在探討與改善 UMTS 行動網路架構下的缺點，本篇最主要是與 [5] 、 [15] 所提出的方法作比較。

在 [5] 中，提出了三種可以用來解決 UMTS 架構底下的缺點， 1.One-time coupon ， 2.PKI-based technique ， 3.anonymous number-based technique 。而這三種方法雖然能克服原有的缺點但是相對的還有些問題的存在。

112/04/21 8

Related work (Cont.)Anonymous number-based technique 中提出新

的身份認證來代替 IMSI 和 TMSI 稱作International Mobile Anonymous Number (IMAN) 但是必須修改 UMTS 某些架構部份相容性有待探討。

而在 [15] 中，則是利用 Anonymous Ticket manager module(ATMM) 來管理 ticket(TK) 間關係，同時利用 TK 來代替 IMSI 。

在 MS 與 SN 之間還是使用 TMSI 來傳遞而改變的地方在於 SN 與 HE 之間是利用 TK 來替代 IMSI 。

112/04/21 9

Improved Confidentiality mechanism(ICM)在本篇提出修改使用者機密性的機制稱作 Improved

Confidentiality mechanism(ICM) 用來克服在UMTS 架構下對於使用者匿名保護的弱點。

接下來會介紹到 ICM 是如何對 IMSI 作加密的動作並且利用 Modified Ticket(MT) 代替原有用來傳送的 TMSI 並且也可以同時達到 MS 與 SN 兩端雙向驗證是否合法的功能。

112/04/21 10

Improved Confidentiality mechanism(ICM) (Cont.)本篇所提出的方法是利用 [5] 中所提到的 PKI 加密演

算法對 IMSI 作加密動作，這個方法必須依賴使用public-key cryptography 。

MS 擁有 pubic-key 用來做加密的動作而 SN 則是擁有 private-key 用來做解密的動作， MS 與 SN 同時擁有一個相同的 random number 演算法而亂數種子 Seed 則是由 MS 所產生。

112/04/21 11

Improved Confidentiality mechanism(ICM) (Cont.)詳細過程步驟如下： v

Step1 ：當 SN 要求 MS 傳送 IMSI ， MS 會產生亂數種子 Seed 和檢查序號 SQN 。

Step2 ： MS 利用 public-key 把IMSI 、 Seed 、 SQN 加密後的信息 Encryption Message(EM) 傳送給 SN 。如圖 2 、圖 3 所示：

112/04/21 12

Improved Confidentiality mechanism(ICM) (Cont.)

Step3 ： SN 收到 MS 透過 public key 加密過後的訊息 EM ，利用自己所擁有的 private key 解密後可得到 IMSI 、 Seed 和 SQN 並且儲存 Seed 和 SQN 於資料庫。如圖 4 所示：

Step4 ： SN 利用收到的 Seed 透過 random number 演算法得到亂數 RNDS和 SQN 最後利用MD5雜湊演算法得到 S_RES 並且回應給MS ， S_RES=MD5(SQN||RNDS)。如圖 5 、圖 6 、圖 7 所示：

112/04/21 13

Improved Confidentiality mechanism(ICM) (Cont.)

Step5 ： MS 收到 S_RES 後同樣利用 Seed 和random number 演算法得到 RNDM透過原有的 SQN也同樣使用 MD5 後得到 M_RES= MD5(SQN|| RNDM)。如圖 8 、圖 9 所示：

112/04/21 14

Improved Confidentiality mechanism(ICM) (Cont.)

Step6 ：最後比較 M_RES 與 S_RES 是否相同，如果相同代表認證成功之後的 TMSI 也將會用 Modified Ticket(MT) 取代。 MT=MD5(SQN|| RNDS) 。如圖 10 所示：

以上所述過程如圖 11 所示：

112/04/21 15

Improved Confidentiality mechanism(ICM) (Cont.)M_RES 與 S_RES 不相同時，可能的情況為：

1.MS 與 SN 不同步， 2.MS 與 SN 當中可能有一方不合法。當不合法的時候MS 會重新傳送，如圖 12所示：

112/04/21 16

Improved Confidentiality mechanism(ICM) (Cont.)當 S_RES 與 M_RES 不相同時，如果是 MS 與 SN

不同步MS 會重新將 IMSI 、 SQN 、 Seed 加密後傳送給 SN ，經過解密後 SN 將新收到的 N_SQN 與原先儲存在資料庫裡O_SQN 作比較如果不相同代表SN 與 MS 為不同步如果相同代表 SN 與 MS已經同步。

如果N_SQN 與 O_SQN 相同將會重新產生 S_RES回傳給 MS 。 MS 收到新的 S_RES再與原有的M_RES 做比較如果不相同代表 MS 為不合法。

112/04/21 17

Improved Confidentiality mechanism(ICM) (Cont.)當確認 MS 與 SN 認證成功且同步之後， RES 之後

就是變成 Modified Ticket(MT) 用來替代成為TMSI 的角色，這樣一來可以得到的好處：可以達到 MS 與 SN 兩方面互相驗證的效果。不同的 MT 之間沒有任何相關聯性與 IMSI 也沒有任何

的關聯性。對於 UMTS 架構修改幅度不大可達到較好的相容性。

112/04/21 18

Security and performance analysis本篇所提出的 ICM 最主要是以 RSA公開金鑰加密演

算法將 IMSI 加密後傳送。TMSI 方面，是利用所產生的 SQN 和 RND經過

MD5單向雜湊演算法所得到的 Modified Ticket(MT) 用來提供 MS 與 SN 之間訊息的溝通。

112/04/21 19

Security and performance analysis (Cont.)

112/04/21 20

Security and performance analysis (Cont.)本篇所提出的方法， IMSI採用 RSA公開金鑰加密

演算法是使用 1024bit-keys長度的金鑰，只要是key 的長度足夠，經過 RSA 加密過後的信息實際上是不太容易被破解。

替代 TMSI 的 ticket 是採用 MD5 加密， MD5 為一個單向雜湊演算法，亦即不容易以逆向運算得到原始資料，雖然不同的資料經由 MD5雜湊演算法計算所得到的結果有可能會相同，但是重複的機率極低。

112/04/21 21

Security and performance analysis (Cont.)Ticket 當中的 RND 是由 MS 利用時間取得亂數種

子 Seed 後經由 random number 算出來配上檢查序號 SQN經過 MD5 演算法後得到的 ticket ，不同ticket 之間並無關聯性同時也可以達到雙向對於 MS或者 SN 作驗證的動作。

相較於 [5] 、 [15] 這兩篇所提出的方法，大致上效果會稍微好一點，對於原有的 UMTS 行動網路架構的相容性也會較優於 [5] 、 [15] ，但較差的部份應該就是運算成本上。

112/04/21 22

Security and performance analysis (Cont.)採用 RSA公開金鑰加密演算法是使用 1024bit-keys

相對的加解密的時間與成本會稍稍提高，但這種情況是只有發生在必須要重送 IMSI 時才會有比較高的運算成本發生，當 MS 與 SN 雙向驗證成功後，後續的ticket運算成本會是低於 [5] 、 [15] 所提出的方法。

112/04/21 23

Conclusion在 UMTS 行動網路中，某些情況下會在無線網路連

結端是以明文的方式傳送 IMSI ，而這樣就沒有辦法達到對於使用者身份的機密性要求。

在本文中所提出改善使用者身份機密性方法Improved Confidentiality mechanism(ICM) ，嘗詴去解決在 UMTS 身份認證機制上匿名的缺點。

使用非對稱性加密演算法將 IMSI 加密後傳送出去然後利用 Modified Ticket(MT) 取代原有的 TMSI 並且用來作為 SN 驗證 MS 身份的作用。

112/04/21 24

Conclusion (Cont.)安全性方面，使用 RSA公開金鑰加密演算法與 MD5單向雜湊演算法都是屬於不易破解的加密演算法。

效能方面除了一開使用 RSA 加密演算法會造成比較高一點的運算成本但是後來的運算成本則會低於 [5] 、[15] 兩篇所提到

結論來說， ICM 是一個有實際上可行的方法用來改善 UMTS 行動網路架構下使用者身份機密性上的弱點，並且嘗詴去解決使用者身份隱匿性不足的部份。的方法。

112/04/21 25