概述
AUC是
GSM系統中的安全管理單元,存儲鑒權算法和密鑰,保證各種保密參數的安全性,向HLR(歸屬用戶位置暫存器)提供鑒權參數。存儲用以保護移動用戶通信不受侵犯的必要信息。AUC一般與HLR合置在一起,在HLR/AUC內部,AUC數據作為部分數據表存在。
鑒權參數包括三組:
RAND(Random Number,隨機數),SRES(Sign Response,符號回響),
Kc(Ciphering Key,加密密鑰)。其中,SRES由RAND和Ki(鑒權密鑰)通過A3算法計算得到,KC由RAND和KI通過A8算法計算得到。
認證中心(AuC)是一個用來驗證每個SIM卡的函式,當它嘗試連線到GSM核心網(通常是手機驅動)。會進行身份驗證,一旦身份驗證成功,HLR允許管理上述SIM和服務。還生成一個加密密鑰,隨後被用來加密所有無線通訊(語音、簡訊等)之間的行動電話和GSM核心網。
如果身份驗證失敗,然後從無法提供該服務的SIM卡和行動電話運營商。提出一個額外的形式,識別檢查手機的序列號進行EIR節描述,但這與AUC的處理無關。
在AUC實施適當的安全措施是運營商的戰略的一個關鍵部分,它可以避免SIM克隆。
AUC並不直接參與認證過程,而是在生成稱為數據三胞胎的MSC的操作過程中使用。過程的安全取決於AUC之間的共享密鑰和SIM稱為“Ki.”。KI可以安全地運行,直到SIM在製造和也安全地複製到AUC。這個Ki.是從不AUC和SIM卡之間的傳播,但結合IMSI生產反應,並識別任務和一個可以用於通信的名為KC的加密密鑰。
其他元素
當AuC連線到以下元素:MSC請求一個新批次的三聯體的IMSI後以前的數據已經被使用。這將確保相同的鍵和反應兩次為一個特定的移動。
產生原因
移動核心網中,HLR(Home Locationg Register)位置歸屬暫存器的誕生為運營商管理合法用戶屬性、業務等數據提供了方便。HLR中的鑒權中心AUC模組,分析了在用戶鑒權過程中所需要的鑒權矢量:鑒權三元組(GSM網路用戶)和鑒權五元組(UMTS網路用戶)的產生過程,用戶數據Ki的加密過程,傳統的採用單組K2/K4對其進行加密,用戶數據在傳輸過程中和在整個NRG上的存儲,都使用相同的K2/K4進行加密。近年來利用無線電子信道來傳輸信息的日益廣泛,機密性和安全性被逐漸地削弱:未授權的非法用戶通過竊取合法用戶的賬戶,干擾合法用戶的正常通信,合法用戶的利益受到侵害。這種情況隨著3G時代的到來,在HLR中會更嚴重。另外,目前的加密模組中用戶數據加密算法只採用3GPP協定中的標準算法(2G網路中採用A3A8算法,3G網路中採用Milengage算法),標準協定中的算法有時會顯得過於繁冗複雜,從商業的角度分析,標準算法對於運營商來說是不夠合理經濟,而且由於協定中算法的公開化使其安全性大大降低。針對上面兩方面的研究具有重要意思。兩種套用於密鑰和加密算法的軟體設計,軟體總體框架的設計、測試計畫的編寫、單一K2/K4模式向多組的K2/K4模式的轉變、加密算法的更改、用戶對應表以及算法對應表的更改等。這種合理的軟體設計解決方案對HLR中的用戶數據的安全性具有非常積極的意義。
公安鑒權服務
公安警務綜合認證鑒權服務中心繫統,提供一個完善的通用警務服務,實現統一的警員身份信息、警務業務系統許可權信息的管理,並對外提供認證和鑒權服務,使得其它警務業務系統通過簡單的配置,就可以利用服務中心提供的認證鑒權服務,滿足了多警務套用系統並存下,用戶身份、許可權的集中管理和單點登錄的需要,解決了信息化建設過程中用戶定義不一致、組織機構管理混亂、許可權管理複雜和套用系統出口多樣性等問題,也為企業的信息化建設提供了一個方便的平台。
公安警務綜合認證鑒權服務中心的核心思想是利用目錄伺服器集中存儲警員身份信息和警務業務系統的許可權控制信息,實現對警員信息的集中管理,實現對警務系統的訪問控制。公安警務綜合認證鑒權服務中心從上往下分為:認證鑒權客戶端外掛程式層、認證鑒權服務層、數據存儲服務層, 並提供獨立的服務中心管理工具。
程式實現
AuC存儲為每個IMSI以下數據:Ki算法id。(標準的算法稱為A3或A8,但經營者可能選擇一個專有的)。當MSC問AuC為一個特定的一套新的三胞胎IMSI,AUC首先生成一個隨機數稱為蘭德。然後結合此蘭德Ki產生兩個數字如下:KI和蘭德被送入A3算法和計算回響(sr)簽署。Ki和蘭德被送入A8算法和一個叫做KC計算會話密鑰。數字(蘭德,sr,Kc)形成三聯體傳送回MSC。當一個特定的IMSI請求訪問GSM核心網,MSC傳送蘭德SIM三個一組的一部分。SIM然後提要數量和Ki(SIM)為A3合適的算法計算。