摘要　WCDMA和TD-SCDMA移動通信技術(shù)是3GPP定義的第三代移動通信國際標(biāo)準(zhǔn)，與GSM網(wǎng)絡(luò)相比，其安全性有了極大的提高，本文對3GPP網(wǎng)絡(luò)定義的安全機(jī)制進(jìn)行了全面的分析，并提出了增強(qiáng)其安全性的幾點(diǎn)建議。

一、引言

　　WCDMA移動通信網(wǎng)絡(luò)和TD-SCDMA移動通信網(wǎng)絡(luò)是國際電信聯(lián)盟（ITU）認(rèn)可，并由3GPP組織完成的第三代移動通信國際標(biāo)準(zhǔn)，其中WCDMA標(biāo)準(zhǔn)由歐洲、日本提出，而TD-SCDMA標(biāo)準(zhǔn)由我國提出。

　　與第二代移動通信技術(shù)相比，第三代移動通信技術(shù)可以提供更加豐富的通信業(yè)務(wù)，包括語音、傳真、短消息、視頻通話、多媒體短消息、高速互聯(lián)網(wǎng)業(yè)務(wù)等。在此基礎(chǔ)上，第三代移動通信網(wǎng)絡(luò)用戶可以享受豐富的通信業(yè)務(wù)帶來的各種便利，如可以在任何地點(diǎn)方便地通過網(wǎng)上銀行查賬及轉(zhuǎn)賬，可以通過手機(jī)炒股等。這些應(yīng)用對第三代移動通信網(wǎng)絡(luò)的安全性提出了更高的要求。第三代移動通信網(wǎng)絡(luò)的安全機(jī)制與第二代移動通信網(wǎng)絡(luò)相比，安全性有了很大提高，如增加了移動終端對網(wǎng)絡(luò)的認(rèn)證，加密密鑰由64bit增加到了128bit等。本文首先對3GPP定義的第三代移動通信網(wǎng)絡(luò)的安全機(jī)制進(jìn)行了分析，并提出了增強(qiáng)其安全性的幾點(diǎn)建議。

二、3GPP的安全機(jī)制

　　3GPP的安全機(jī)制分為5類：

　�。�1）增強(qiáng)用戶身份保密（EUIC）：通過HE/AuC（本地環(huán)境/認(rèn)證中心）對USIM（用戶業(yè)務(wù)識別模塊）身份信息進(jìn)行認(rèn)證；

　�。�2）用戶與服務(wù)網(wǎng)間身份認(rèn)證（UIC）；

　�。�3）認(rèn)證與密鑰分配（AKA）：用于USIM、VLR/SGSN（訪問位置寄存器/服務(wù)GPRS支持節(jié)點(diǎn)）、HLR（歸屬位置寄存器）間的雙向認(rèn)證及密鑰分配；

　�。�4）數(shù)據(jù)加密（DC）：UE（用戶終端）與RNC（無線網(wǎng)絡(luò)控制器）間信息的加密；

　　（5）數(shù)據(jù)完整性（DI）：用于對交互消息的完整性、時(shí)效性及源與目的地進(jìn)行認(rèn)證。3GPP定義了11個安全算法：f0、f1*、f1～f9，以實(shí)現(xiàn)其安全功能。f8、f9分別實(shí)現(xiàn)數(shù)據(jù)保密性和數(shù)據(jù)完整性標(biāo)準(zhǔn)算法。f6、f7用于實(shí)現(xiàn)EUIC。AKA由f0～f5實(shí)現(xiàn)。

　　1.3GPP的鑒權(quán)認(rèn)證過程

　　3GPP的鑒權(quán)認(rèn)證過程如圖1所示。同GSM相比，3GPP除了網(wǎng)絡(luò)對UE的認(rèn)證外，還增加了UE對網(wǎng)絡(luò)的認(rèn)證。

　　過程說明：

　　（1）用戶歸屬域（HE）到服務(wù)網(wǎng)（SN）認(rèn)證向量的發(fā)送過程：

　　認(rèn)證中心（AuC）為每個用戶生成基于序列號的認(rèn)證向量組（RAND，XRES，CK，IK，AUTN），并且按照序列號排序。

　�。�2）當(dāng)AUC收到VLR/SGSN的認(rèn)證請求時(shí)，發(fā)送N個認(rèn)證向量組給VLR/SGSN。在VLR/SGSN中，每個用戶的N個認(rèn)證向量組，按照“先入先出”（FIFO）的規(guī)則發(fā)送給移動臺，用于鑒權(quán)認(rèn)證。