何红永 唐晓梅 国家数字交换系统工程技术研究中心 (郑 州 450002)
[摘 要 ]:本 文 分 析 和 比 较 了 目 前 第 二 代 数 字 移 动 通 信 中 的 两 大 有 代 表 性 的 用 户 鉴 权 体 系 , 并 对 未 来 移 动 通 信 中 的 用 户 鉴 权 提 出 了 意 见 和 建 议 。
[关 键 词 ]:数 字 移 动 通 信 ; 移 动 用 户 鉴 权
1. 前 言
为 检 测 和 防 止 移 动 通 信 中 的 盗 打 、 盗 用 等 各 种 非 法 使 用 移 动 通 信 资 源 和 业 务 的 现 象 , 保 证 网 络 安 全 和 保 障 电 信 运 营 者 及 用 户 的 正 当 权 益 , 移 动 用 户 鉴 权 是 一 种 行 之 有 效 的 方 法 , 它 的 引 入 和 使 用 是 数 字 移 动 通 信 优 越 于 模 拟 移 动 通 信 的 一 个 重 要 方 面 。 目 前 第 二 代 移 动 通 信 系 统 网 络 均 采 取 了 相 应 的 用 户 鉴 权 (或 用 户 身 份 认 证 )技 术 , 其 中 包 括 基 于 GSM09.02 MAP协 议 的 泛 欧 数 字 移 动 通 信 系 统 (即 GSM系 统 )和 基 于 IS- 41 MAP协 议 的 北 美 数 字 移 动 通 信 系 统 (如 DAMPS和 北 美 CDMA系 统 等 , 以 下 简 称 北 美 系 统 ), 它 们 各 成 一 派 , 形 成 了 两 大 有 代 表 性 的 用 户 鉴 权 技 术 体 系 。 本 文 主 要 从 鉴 权 场 合 、 鉴 权 算 法 和 鉴 权 规 程 等 方 面 对 GSM系 统 和 北 美 系 统 的 鉴 权 技 术 进 行 分 析 和 比 较 , 并 提 出 对 未 来 移 动 通 信 鉴 权 技 术 的 看 法 和 建 议 。
2. 鉴 权 场 合
在 哪 些 场 合 需 要 进 行 鉴 权 , 不 仅 关 系 到 技 术 实 现 的 复 杂 性 和 技 术 应 用 的 覆 盖 范 围 , 并 进 而 影 响 到 鉴 权 的 作 用 效 果 , 同 时 也 关 系 到 整 个 移 动 通 信 网 络 的 信 令 负 荷 和 业 务 处 理 能 力 等 诸 多 方 面 。 鉴 权 是 一 个 需 要 全 网 配 合 、 共 同 支 持 的 处 理 过 程 , 几 乎 涉 及 移 动 通 信 网 络 中 所 有 实 体 , 包 括 移 动 交 换 中 心 (MSC)、 访 问 者 位 置 寄 存 器 (VLR)、 归 属 位 置 寄 存 器 (HLR)、 鉴 权 中 心 (AUC)以 至 基 站 子 系 统 (BSS)和 手 机 (或 称 移 动 终 端 )。 需 要 鉴 权 的 场 合 越 多 , 网 络 能 够 防 范 和 保 护 的 面 也 就 越 宽 , 但 这 也 加 重 了 网 络 实 体 的 处 理 负 担 , 并 且 由 于 在 整 个 网 络 信 令 消 息 中 , 与 鉴 权 有 关 的 消 息 占 据 相 当 的 比 例 , 因 而 它 对 公 网 信 令 流 量 的 影 响 也 是 不 容 忽 视 的 。 所 以 , 在 实 际 应 用 中 , 通 常 由 运 营 部 门 根 据 实 际 情 况 拆 衷 考 虑 , 通 过 OAM功 能 来 选 择 与 鉴 权 有 关 的 各 种 配 置 , 鉴 权 场 合 的 选 择 就 是 其 中 一 项 重 要 的 内 容 。
第 二 代 系 统 一 般 均 支 持 以 下 场 合 的 鉴 权 :
● 移 动 用 户 发 起 呼 叫 (不 含 紧 急 呼 叫 )
● 移 动 用 户 接 受 呼 叫
● 移 动 台 位 置 登 记
● 移 动 用 户 进 行 补 充 业 务 操 作
● 切 换 (包 括 在 MSC- A内 从 一 个 BS切 换 到 另 一 个 BS、 从 MSC- A切 换 到 MSC- B以 及 在 MSC- B中 又 发 生 了 内 部 BS之 间 的 切 换 等 情 形 )
除 此 之 外 , 由 于 受 其 鉴 权 技 术 本 身 特 点 的 影 响 , 北 美 系 统 在 更 新 共 享 秘 密 数 据 (SSD)时 还 需 要 特 殊 的 鉴 权 , 它 主 要 是 保 证 SSD的 安 全 性 。 GSM系 统 则 是 在 加 密 密 钥 序 号 (CKSN)校 验 未 通 过 时 而 追 加 鉴 权 , 以 保 证 加 密 的 安 全 实 施 。 CKSN校 验 本 身 也 可 看 作 为 鉴 权 的 一 种 替 代 , 即 把 正 规 的 “ 鉴 权 — 加 密 ” 过 程 简 化 为 “ SKSN校 验 — 加 密 ” 的 过 程 , 从 而 避 免 每 次 加 密 都 要 重 新 鉴 权 。
3. 鉴 权 算 法 和 参 数
鉴 权 算 法 是 用 于 产 生 用 户 鉴 权 所 需 签 名 响 应 值 的 数 学 方 法 , 它 区 别 于 用 户 信 令 信 息 加 密 算 法 及 为 获 得 加 密 密 钥 所 用 的 算 法 。 算 法 内 核 不 是 本 文 讨 论 的 内 容 。 这 里 仅 简 单 地 描 述 算 法 涉 及 的 外 部 输 入 输 出 的 数 据 界 面 。
GSM系 统 中 的 鉴 权 算 法 称 为 A3算 法 , 它 连 同 用 于 用 户 通 信 保 密 的 A5和 A8算 法 一 起 , 都 由 泛 欧 移 动 通 信 谅 解 备 忘 录 组 织 (即 GSM的 MOU组 织 )进 行 统 一 管 理 , GSM运 营 部 门 需 与 MOU签 署 相 应 的 保 密 协 定 后 方 可 获 得 具 体 算 法 , 用 户 识 别 卡 (SIM)的 制 作 厂 商 也 需 签 定 协 议 后 才 能 将 算 法 做 到 SIM卡 中 。
每 个 用 户 在 电 信 局 进 行 初 始 注 册 时 , 都 会 分 配 一 个 128比 特 长 的 用 户 密 钥 (Ki), 它 与 用 户 的 IMSI号 码 关 联 , 形 成 唯 一 的 IMSI- Ki对 , 烧 制 到 SIM卡 中 , 同 时 还 将 IMSI- Ki(经 A2算 法 加 密 处 理 )对 保 存 在 鉴 权 中 心 。
A3算 法 的 输 入 参 数 有 两 个 , 一 个 是 用 户 IMSI对 应 的 固 定 密 钥 Ki, 另 一 个 则 是 AUC本 地 产 生 的 128比 特 长 的 随 机 数 (RAND), 运 算 结 果 是 一 个 32比 特 长 的 用 户 鉴 权 响 应 值 (SRES)。 移 动 台 和 鉴 权 中 心 采 用 同 样 的 参 数 和 算 法 应 得 到 相 同 的 鉴 权 响 应 值 , 网 络 就 是 据 此 来 验 证 用 户 的 身 份 。 网 络 侧 A3算 法 的 运 行 实 体 既 可 以 是 移 动 台 访 问 地 的 MSC/VLR, 也 可 以 是 移 动 台 归 属 地 的 HLR/AUC。
北 美 系 统 的 鉴 权 算 法 、 话 音 保 密 和 信 令 加 密 算 法 统 称 为 蜂 窝 鉴 权 与 话 音 保 密 算 法 (简 称 CAVE), CAVE由 美 国 政 府 有 关 法 规 (即 美 国 国 际 事 务 和 军 事 条 例 ITAR以 及 出 口 管 理 条 例 )控 制 , 只 向 使 用 者 提 供 标 准 的 算 法 接 口 (输 入 输 出 参 数 )。 CAVE中 与 鉴 权 有 关 的 算 法 程 序 共 有 两 种 , 即 鉴 权 签 名 算 法 程 序 和 共 享 秘 密 数 据 生 成 算 法 程 序 。 与 GSM A3算 法 接 口 的 一 个 重 要 区 别 是 : 在 不 同 鉴 权 场 合 和 不 同 的 鉴 权 方 式 下 , CAVE算 法 输 入 参 数 的 组 成 是 不 同 的 , 而 且 不 同 场 合 输 出 的 结 果 值 在 鉴 权 信 令 规 程 中 的 作 用 也 是 不 同 的 , 移 动 台 及 网 络 实 体 必 须 按 照 要 求 提 供 或 使 用 这 些 参 数 及 结 果 。
4. 鉴 权 方 式 和 规 程
鉴 权 规 程 定 义 了 移 动 台 和 各 网 络 实 体 相 互 之 间 为 了 实 施 和 完 成 鉴 权 而 进 行 的 一 系 列 交 互 过 程 及 信 令 消 息 处 理 。 虽 然 GSM系 统 和 北 美 系 统 所 支 持 的 鉴 权 场 合 基 本 相 同 , 但 是 就 每 种 鉴 权 场 合 下 鉴 权 的 具 体 实 施 而 言 , 两 者 又 有 重 大 差 别 。 这 里 主 要 介 绍 两 大 系 统 在 鉴 权 规 程 上 的 主 要 特 点 和 处 理 机 制 。
(1)GMS系 统
GSM系 统 中 的 鉴 权 规 程 在 GSM09.02 MAP协 议 中 定 义 , 相 对 于 北 美 系 统 而 言 要 简 单 得 多 。 所 有 场 合 下 的 鉴 权 都 一 视 同 仁 , 处 理 机 制 完 全 相 同 。 在 需 要 鉴 权 时 , 网 络 侧 的 MSC/VLR向 移 动 台 发 出 鉴 权 命 令 消 息 , 其 中 包 含 鉴 权 算 法 所 需 的 随 机 数 , 移 动 台 用 此 随 机 数 和 自 身 的 Ki算 得 SRES, 通 过 鉴 权 响 应 消 息 将 SRES值 传 回 网 络 侧 , 只 要 其 值 与 网 络 侧 的 一 致 (一 般 由 MSC/VLR进 行 核 对 ), 就 认 为 是 合 法 用 户 , 鉴 权 成 功 。 如 果 鉴 权 不 成 功 , 网 络 可 以 拒 绝 用 户 的 业 务 要 求 。
值 得 说 明 的 是 , AUC可 预 先 为 本 网 内 的 每 个 用 户 提 供 若 干 个 鉴 权 参 数 组 (其 中 包 括 RAND、 SRES和 用 于 加 密 的 Kc), 并 在 移 动 台 位 置 登 记 时 由 HLR在 响 应 消 息 中 顺 便 传 给 VLR, 比 如 一 次 可 先 送 5组 , 保 存 在 VLR中 待 用 , 以 后 可 视 使 用 情 况 随 时 再 向 AUC申 请 。 这 样 做 的 一 大 好 处 是 鉴 权 算 法 程 序 的 执 行 时 间 不 占 用 移 动 用 户 实 时 业 务 的 处 理 时 间 , 有 利 于 提 高 呼 叫 接 续 速 度 。
(2)北 美 系 统
北 美 数 字 蜂 窝 移 动 通 信 系 统 的 MAP规 程 原 先 是 采 用 IS- 41- B(1991年 底 颁 布 ), 该 标 准 中 当 时 尚 未 包 含 鉴 权 和 加 密 规 程 , 所 以 涉 及 鉴 权 和 加 密 规 程 的 这 部 分 内 容 一 般 参 照 TSB51临 时 标 准 。 直 到 95年 底 , 最 新 版 本 的 IS- 41- C才 正 式 将 鉴 权 和 加 密 规 程 列 入 其 标 准 文 本 之 中 , 从 而 取 代 了 TSB51。
北 美 系 统 的 鉴 权 根 据 场 合 不 同 采 取 的 方 式 不 尽 相 同 , 参 与 鉴 权 运 算 的 参 数 (参 数 来 源 或 组 成 )和 鉴 权 涉 及 的 信 令 过 程 也 会 有 所 区 别 。
● 标 准 鉴 权 方 式 : 这 是 可 由 移 动 台 根 据 基 站 广 播 的 要 求 系 统 接 入 鉴 权 指 示 以 及 鉴 权 所 用 的 随 机 数 (RAND)而 主 动 进 行 的 一 种 鉴 权 方 式 , 在 标 准 鉴 权 过 程 中 还 可 包 含 接 入 事 件 计 数 器 (COUNT)的 更 新 。 在 进 行 以 下 系 统 接 入 时 将 采 用 标 准 鉴 权 :
移 动 用 户 主 呼
移 动 用 户 被 呼
移 动 台 位 置 登 记
标 准 鉴 权 方 式 还 称 作 共 用 RAND方 式 , 意 即 某 个 蜂 窝 小 区 的 所 有 MS都 是 共 用 本 小 区 前 向 信 道 /寻 呼 信 道 上 广 播 的 随 机 数 RANDs, 以 此 作 为 鉴 权 算 法 输 入 参 数 之 一 , 然 后 在 进 行 系 统 接 入 时 通 过 其 初 始 接 入 消 息 提 供 算 出 的 响 应 值 AUTHR和 所 对 应 的 RANDC, 并 且 移 动 台 还 可 根 据 情 况 对 内 部 保 存 的 COUNT计 数 值 增 1, 结 果 值 同 样 放 在 初 始 接 入 消 息 中 送 给 网 络 方 。 初 始 接 入 消 息 可 以 是 位 置 登 记 , 呼 叫 始 发 , 或 寻 呼 响 应 , 因 而 这 种 形 式 的 鉴 权 在 A接 口 上 无 显 式 的 规 程 , 其 消 息 过 程 隐 含 在 相 应 的 位 置 登 记 或 呼 叫 建 立 规 程 所 用 的 初 始 接 入 消 息 中 。
在 标 准 鉴 权 中 网 络 方 需 要 执 行 三 项 校 验 : 一 是 校 验 RANDC, 二 是 校 验 AUTHR, 三 是 校 验 COUNT, 只 有 三 项 校 验 均 通 过 , 才 允 许 移 动 台 接 入 。 RANDC的 检 验 为 了 验 证 移 动 台 鉴 权 所 用 的 随 机 数 是 否 为 本 交 换 机 (即 移 动 台 准 备 接 入 的 系 统 )所 产 生 的 , AUTHR校 验 则 类 似 于 GSM中 SRES校 验 。 这 里 要 特 别 介 绍 COUNT校 验 , 它 是 识 别 网 络 中 是 否 有 仿 制 或 伪 冒 移 动 台 (即 采 用 非 法 手 段 制 作 的 “ 克 隆 ” 移 动 台 )的 一 种 有 效 手 段 , 所 以 COUNT校 验 也 称 “ 克 隆 ” 检 测 。 假 如 一 部 手 机 被 “ 克 隆 ” , 那 么 只 要 真 手 机 和 “ 克 隆 ” 机 都 在 网 上 使 用 , 两 机 所 提 供 的 COUNT值 总 归 会 有 不 同 , 而 且 由 于 网 络 记 录 的 COUNT呼 叫 事 件 发 生 次 数 实 际 上 是 两 机 呼 叫 事 件 发 生 次 数 和 , 所 以 两 机 中 任 意 一 部 在 某 次 进 行 系 统 接 入 尝 试 时 必 定 会 出 现 手 机 的 COUNT值 与 网 络 方 保 存 的 COUNT值 不 同 的 情 形 , 网 络 即 可 据 此 认 定 有 “ 克 隆 ” 存 在 , 此 时 网 络 方 除 了 拒 绝 接 入 外 还 可 另 外 再 采 取 有 关 措 施 , 比 如 对 移 动 台 进 行 跟 踪 等 等 。
● 独 特 征 询 的 鉴 权 方 式 : 这 是 由 MSC向 移 动 台 发 起 的 一 种 显 式 鉴 权 规 程 , 其 消 息 过 程 与 始 呼 、 寻 呼 响 应 或 登 记 等 消 息 过 程 是 互 相 独 立 的 , MSC可 指 示 基 站 在 控 制 信 道 或 话 音 信 道 上 向 某 MS发 出 一 个 特 定 的 (独 特 的 )RAND值 (即 RANDU), 这 个 随 机 数 是 非 广 播 性 的 。 在 以 下 场 合 将 使 用 独 特 征 询 的 鉴 权 方 式 :
发 生 切 换 时 的 鉴 权
在 话 音 信 道 上 鉴 权
移 动 台 始 呼 、 被 呼 及 位 置 登 记 时 标 准 鉴 权 失 败 后 可 能 进 行 的 再 次 鉴 权
移 动 台 闪 动 请 求 (即 与 补 充 业 务 有 关 的 操 作 要 求 )
SSD(共 享 保 密 数 据 )更 新 时
MSC可 在 任 何 时 候 发 起 独 特 征 询 规 程 , 最 典 型 的 情 况 是 在 呼 叫 建 立 或 登 记 的 开 始 阶 段 实 施 这 个 规 程 , 当 然 在 发 生 切 换 或 标 准 鉴 权 失 败 后 也 可 追 加 这 种 专 门 的 独 特 征 询 鉴 权 过 程 。 MS用 RANDU计 算 得 到 AUTHU值 , 并 通 过 专 门 的 鉴 权 响 应 消 息 发 给 基 站 /MSC。
● SSD更 新 的 鉴 权 方 式 。 这 是 一 种 最 高 级 别 的 安 全 性 措 施 , 主 要 有 以 下 应 用 情 形 :
定 时 的 SSD更 新
标 准 鉴 权 失 败 后 可 能 要 进 行 的 SSD更 新
其 它 管 理 方 面 的 需 要
由 于 SSD是 前 两 者 鉴 权 方 式 下 参 与 算 法 执 行 的 重 要 参 数 , 因 此 SSD数 据 需 要 经 常 更 新 , 比 如 按 时 间 更 新 或 是 网 络 检 测 到 某 种 不 安 全 或 可 疑 情 况 时 进 行 的 更 新 。 出 于 安 全 考 虑 SSD更 新 的 发 起 和 更 新 结 果 的 确 认 只 能 由 AC完 成 , 不 能 在 MSC/VLR中 进 行 , 在 更 新 过 程 中 SSD参 数 连 同 表 明 移 动 台 身 份 的 MIN号 码 、 ESN号 码 都 不 能 在 空 中 传 递 , 所 以 在 SSD更 新 过 程 中 一 定 同 时 伴 随 基 站 征 询 和 独 特 鉴 权 , 通 过 基 站 征 询 过 程 中 的 中 间 响 应 值 AUTHBS来 确 认 移 动 台 和 网 络 侧 的 SSD已 取 得 一 致 更 新 。
由 此 可 知 , 北 美 系 统 的 鉴 权 机 制 和 规 程 相 对 于 GSM要 复 杂 得 多 , 这 主 要 是 由 北 美 的 安 全 保 密 体 制 及 其 算 法 本 身 决 定 的 。
5.有 关 建 议
下 面 从 几 个 不 同 的 角 度 对 移 动 通 信 系 统 的 鉴 权 技 术 提 出 建 议 。
首 先 是 在 未 来 的 移 动 通 信 和 个 人 通 信 中 , 应 充 分 重 视 鉴 权 算 法 的 自 主 性 。 鉴 权 算 法 自 主 性 是 各 国 各 地 区 网 络 主 管 者 和 所 有 者 的 经 济 、 政 治 自 主 性 的 一 个 重 要 方 面 。 如 第 二 代 移 动 通 信 系 统 原 先 都 只 是 区 域 性 的 , 尽 管 现 在 已 普 遍 被 原 区 域 之 外 的 许 多 国 家 引 进 和 使 用 (如 我 国 的 900/1800MHz TDMA以 及 800 MHz CDMA系 统 ), 形 成 了 国 际 性 通 信 网 络 , 但 鉴 权 算 法 的 管 理 和 许 可 权 却 仍 然 归 属 那 些 区 域 性 组 织 机 构 , 这 不 利 于 一 个 国 家 的 通 信 自 主 和 安 全 , 也 使 相 当 一 部 分 潜 在 收 益 流 失 。 比 如 我 国 已 具 备 自 主 开 发 和 研 制 移 动 通 信 设 备 的 能 力 , 但 载 有 鉴 权 和 加 密 算 法 的 手 机 SIM卡 却 不 得 不 从 国 外 供 货 或 取 得 许 可 证 才 能 生 产 。 我 们 认 为 , 无 论 从 技 术 角 度 还 是 从 政 治 、 经 济 角 度 而 言 , 鉴 权 算 法 完 全 可 以 也 应 该 由 用 户 归 属 的 网 络 管 理 者 决 定 和 使 用 , 鉴 权 算 法 的 执 行 也 一 律 交 由 归 属 的 鉴 权 中 心 完 成 , 将 鉴 权 算 法 与 网 络 从 属 的 通 信 体 系 相 独 立 , 以 充 分 体 现 鉴 权 算 法 的 自 主 性 。
其 次 是 关 于 鉴 权 算 法 执 行 体 的 问 题 。 在 第 二 代 移 动 通 信 系 统 中 , 网 络 侧 鉴 权 算 法 的 运 算 实 体 既 可 以 是 MSC/VLR, 也 可 是 移 动 台 的 归 属 地 鉴 权 中 心 。 而 从 长 远 来 看 , 我 们 认 为 鉴 权 算 法 应 在 鉴 权 中 心 执 行 , 主 要 理 由 有 : (1)用 户 密 钥 不 会 暴 露 给 MSC/VLR等 其 它 网 络 实 体 , 仅 由 鉴 权 中 心 单 方 统 一 管 理 , 算 法 受 人 为 攻 击 的 机 会 大 为 减 少 , 因 而 安 全 性 更 高 ; (2)设 备 制 造 商 和 网 络 运 营 者 在 开 发 或 选 用 配 置 MSC/VLR时 不 必 关 心 具 体 的 鉴 权 算 法 , 运 营 者 之 间 也 可 避 免 算 法 一 致 性 的 磋 商 , 因 此 网 间 漫 游 更 容 易 支 持 ; (3)鉴 权 算 法 自 主 性 的 需 要 。 当 然 在 鉴 权 中 心 进 行 鉴 权 运 算 会 增 加 从 MSC/VLR到 HLR之 间 传 递 鉴 权 信 息 的 信 令 开 销 和 处 理 时 延 , 但 却 节 省 了 VLR/MSC为 了 执 行 鉴 权 算 法 所 需 要 额 外 占 用 的 处 理 能 力 , 而 这 部 分 能 力 并 不 象 AUC的 处 理 能 力 那 样 容 易 预 测 。 由 于 AUC处 理 能 力 主 要 取 决 于 归 属 它 的 用 户 总 数 和 用 户 平 均 鉴 权 次 数 , 随 时 间 分 布 的 运 算 的 负 荷 能 够 做 到 比 较 平 坦 , 也 易 于 使 设 计 能 力 与 实 际 能 力 较 为 匹 配 。
第 三 , 从 鉴 权 技 术 对 MAP应 用 业 务 单 元 (ASE)的 处 理 复 杂 度 、 处 理 器 工 作 负 荷 和 处 理 时 延 的 影 响 来 考 虑 , 鉴 权 算 法 的 执 行 时 刻 应 与 鉴 权 决 策 过 程 相 分 离 , 也 即 不 占 用 鉴 权 规 程 的 当 前 处 理 时 间 。 这 一 点 GSM系 统 已 经 做 到 , 但 北 美 系 统 无 法 做 到 , 比 如 在 标 准 鉴 权 方 式 中 由 于 鉴 权 签 名 算 法 程 序 所 需 的 RAND是 广 播 共 享 的 , 因 此 鉴 权 签 名 算 法 执 行 时 间 不 得 不 包 含 在 鉴 权 的 当 前 处 理 过 程 中 , 是 造 成 规 程 处 理 时 延 的 重 要 因 素 , 对 于 用 户 敏 感 的 呼 叫 业 务 尤 其 不 利 。
第 四 , 鉴 权 规 程 涉 及 的 参 数 不 应 过 多 , 参 数 之 间 的 关 联 性 应 尽 可 能 小 , 否 则 就 可 能 得 不 偿 失 。 以 北 美 系 统 被 叫 鉴 权 为 例 , 签 名 算 法 程 序 需 要 4个 输 入 参 数 , 其 中 的 ESN(设 备 电 子 序 列 号 )和 MIN(用 户 身 份 号 )还 是 一 种 双 重 引 入 , 因 为 另 一 个 参 与 运 算 的 SSD数 据 实 际 上 是 通 过 用 户 A钥 (体 现 MIN的 唯 一 关 联 )、 ESN及 随 机 运 算 得 到 的 , 但 是 ESN和 MIN完 全 可 以 被 别 有 用 心 者 非 法 成 对 获 取 , 这 两 个 参 数 的 效 用 实 际 上 只 相 当 于 一 个 参 数 , 从 这 个 意 义 上 说 和 GSM的 鉴 权 保 护 效 果 不 相 上 下 , 但 是 鉴 权 信 令 开 销 和 处 理 开 销 却 显 然 比 GSM的 大 得 多 。
第 五 , 为 减 少 鉴 权 信 令 消 息 的 传 输 和 处 理 开 销 , 从 而 也 减 小 对 全 网 信 令 负 荷 、 MSC/VLR系 统 处 理 能 力 的 影 响 , 鉴 权 技 术 的 复 杂 度 应 该 主 要 体 现 在 鉴 权 算 法 内 核 程 序 的 复 杂 度 上 , 而 尽 量 避 免 鉴 权 协 议 和 规 程 的 复 杂 性 , 如 北 美 系 统 的 COUNT校 验 和 GSM系 统 的 CKSN校 验 都 是 既 简 便 又 实 用 的 鉴 权 手 段 之 一 , 此 外 还 可 配 合 采 用 用 户 口 令 字 校 验 , 这 类 方 法 对 协 议 和 规 程 的 复 杂 度 要 求 远 比 密 钥 算 法 所 要 求 的 低 。
第 六 , 在 未 来 的 移 动 通 信 系 统 中 还 应 进 一 步 提 高 网 络 实 体 尤 其 是 MSC/VLR的 鉴 权 智 能 化 程 度 , 以 优 化 全 网 整 体 效 能 。 比 如 原 先 鉴 权 场 合 一 般 由 操 作 人 员 通 过 人 机 命 令 事 先 设 置 , 鉴 权 参 数 的 获 取 也 只 是 根 据 库 存 门 限 值 决 定 , 将 来 就 可 能 结 合 网 络 的 实 际 运 行 情 况 和 用 户 业 务 使 用 情 况 , 由 网 络 实 体 根 据 内 部 动 态 策 略 自 动 选 择 何 时 需 要 实 施 鉴 权 以 及 何 时 向 鉴 权 中 心 请 求 鉴 权 参 数 组 , 决 定 因 素 包 括 实 体 当 前 的 处 理 负 荷 、 网 络 的 信 令 负 荷 、 业 务 种 类 和 使 用 频 度 、 鉴 权 优 先 级 以 至 用 户 话 费 变 化 情 况 等 。
第 七 , 鉴 权 协 议 和 规 程 可 考 虑 形 成 国 际 性 的 统 一 标 准 , 着 力 于 规 范 与 鉴 权 相 关 的 数 据 界 面 和 通 信 界 面 , 这 样 也 有 利 于 达 成 第 三 代 移 动 通 信 所 追 求 的 真 正 开 放 、 兼 容 与 互 通 。
6.结 束 语
由 于 移 动 通 信 在 未 来 的 信 息 产 业 中 占 有 举 足 轻 重 的 地 位 , 人 们 对 移 动 通 信 中 的 可 靠 性 及 保 密 性 提 出 了 越 来 越 高 的 要 求 , 加 密 、 安 全 和 用 户 身 份 验 证 技 术 就 显 得 更 为 重 要 。 第 二 代 数 字 移 动 通 信 中 的 不 同 的 用 户 鉴 权 体 系 各 有 所 长 , 而 如 何 取 长 补 短 、 在 现 有 技 术 的 基 础 上 研 究 和 确 定 更 完 善 的 第 三 代 移 动 通 信 用 户 鉴 权 体 系 应 是 人 们 关 注 的 焦 点 。
摘自《移动通信》2001.7
|