资源描述:
《gsm系统认证算法的设计与安全性分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、GSM系统认证算法的设计与安全性分析20O0年3月第2l卷第3期通信iOl>qt.~ALOFCHINAD眄ⅡIUIE0FVd21Nn3Marc}-20∞GSM系统认证算法的设计与安全性分析1V生墼,星盘彗.,周金芳(浙江大学信息与电子工程学系,浙江杭州310027)旃f摘要:本文按照GsM系统认证算法的标准而构造的杂凑函数符合平衡性,高非线性度及严格雪崩特性的设计准则从而能有效地抵抗线性攻击和差分攻击.针对HansDobb豇n对,Vd)4的有效攻耋冀糊,关键词:g墅墨芝苎苎;型薹蔓莹!I1否中图分类号:'fi~92953文ilit标识码:A一文章编号:101]0—436X(~0
2、00)03—0O80—04DesignandsecurityanalysisofGSMauthenticationschemeZI-IUHua—fei,QuHal—bin,ZHOUJin4ang(Depbn叽10fInformanonSeimce&日echDnkEg猢丑i皿gUnlver~ty,H帅g310027,0Ila)Ab吕螂:Anewh皓h蛳withbalanceproperty,上Ii出n0rIli啷propertya宕well脯strictavalancheedtefi一啪arebefievedto神1~taekaⅡddiI洲attack,devel0pedint
3、l1iB8.;ngtotheseemly印e幽of删啦毋daldo粤啪眦if岫.ft§踮hemethe哪帅"哼of硼如"p0d.car.sI】cc∞幽mn}'sattack.KeyDrds:CSM8帅;aII州oIl朗ihasl1al1引言在GSM系统中,每一个移动用户都拥有一张用户智能卡(SIM卡一SuhscribetIdentificatioaCard),卡中存储着移动用户的秘密密钥及与网络和移动用户有关的管理数据.移动设备只有插人SIN卡才能进网.GSM系统通过SIN卡可以向移动用户提供:(1)认证功能——用于确认用户进网是否合法.在通信过程开始时,移动业务交换中心(G砒SC)
4、通过基站向移动台发一128bit的随机数,移动台收到128bit的随机数后,启动存储在SIM卡中的认证算法A3,移动用户的秘密密钥置,产生32bit的认证码,并把32bit认证码发送给GMSC.GMSC在发出128bit的随机数的同时,利用同样的认证算法A3,移动用户的秘密密钥置计算出认证码并与移动台返回的认证码比较,若相同则确认为合法的用户,否则确认为不合法的用户,这样确保了用户的台法使用权.(2)保密功能——利用基于流密码体制的A5加密算法,确保无线传输中用户信息和网络信息不被窃取.因此,移动通信的安全性研究涉及到密码算法的设计问题.GSM系统的密码算法主要有:认证算法A1,密钥
5、流生成算法A¨流密码加密算法A5.设计安全的密码算法并且利用我们现有的模块检测机,胶带层压机,冲压机,光测器,SIM封装机,包装机,贴装机等设备把这些密码算法写人到SIM卡的芯片中.研制成合乎GSM安全标准的,功能相当收稿日期:1997—11—21;修订日期:1999—12—25第3期朱华飞等:c5M系统认证算法的设计与安全性分析于一个小型电脑,可存取,控制多个独立的数据区并且内部有RAM,ROM,EEPROM,存储容量可从几十个字节到几兆字节的SIM卡是我们的目标.由于csM系统安全性问题的研究涉及到众多安全模块,本文仅对认证算法』4密钥流生成算法』4B作考虑.2A弼杂凑算法的设计
6、我们知道,在通信过程开始时,移动业务交换中心(GMSC)通过基站向移动台发一128bit的随机数,移动台收到128bit的随机数后,启动存储在SIM卡中的认证算法』4,移动用户的秘密密钥置,产生32bit的认证码.与此同时,也利用这128bit的随机数,移动用户的秘密密钥置,由会话密钥生成算法』4B产生64Nt的秘密密钥.经验告诉我们,把认证算法』4和会话密钥生成算法』48合起来考虑是合适的.我们把两个合起来的算法统称为』43B杂凑算法(HashA1.gofithm).因此,』438杂凑算法是128bit密钥控制下的由128bit输人到96bit输出的映射.下面,我们将讨论在128b
7、it密钥控制下的由128bit输入到96bit输出的』4杂凑算法的设计.2.1杂凑轮函数的设计我们已经知道在Damgaard—Merkle强化原则下,杂凑算法的安全性等价于杂凑轮函数的安全性且杂凑轮函数必须要满足平衡性,Bent特性及严格雪崩特性的设计原则.因此如何设计密码安全的杂凑轮算法问题成了我们首先要考虑的问题从Maiorana-McFarland的Bent函数类出发,我们容易构造以下的4个Bent函数rgo(I'2,3,X4(X1030X2X3X4