电话网络中建立两个用户.doc

? 我们知道在所有电话网络中建立两个用户-始呼和被呼之间的连接是通信的最基本的任务。为了完成这一任务网络必须完成一系列的操作，诸如识别被呼用户、定位用户所在的位置、建立网络到用户的路由连接并维持所建立的连接直至两用户通话结束。最后当用户通话结束时，网络要拆除所建立的连接。 ??? 由于固定网的用户所在的位置是固定的，所以在固定网中建立和管理两用户间的呼叫连接是相对容易的。而移动网由于它的用户是移动的，所以建立一个呼叫连接是较为复杂的。通常在移动网中，为了建立一个呼叫连接需要解决三个问题： ??? （1）用户所在的位置 ??? （2）用户识别 ??? （3）用户所需提供的业务 ??? 我们将要论述的接续和移动性管理过程就是以解决上述三个问题为出发点的。 ??? 当一个移动用户在随机接入信道上发起呼叫另一个移动用户或固定用户时，或者每个固定用户呼叫移动用户时，移动网络就开始了一系列的操作。这些操作涉及到网络的各个功能单元，包括基站、移动台、移动交换中心、各种数据库，以及网络的各个接口。这些操作将建立或释放控制信道和业务信道，进行设备和用户的识别、完成无线链路、地面链路的交换和连接，最终在主叫和被叫之间建立点到点的通信链路，提供通信服务。这个过程就是呼叫接续过程。 ??? 当移动用户从一个位置区漫游到另一个位置区时，同样会引起网络各个功能单元的一系列操作。这些操作将引起各种位置寄存器中移动台位置信息的登记、修改或删除，若移动台正在通话则将引起越区转接过程。这些就是支持蜂窝系统的移动性管理过程。 　　关键词 AKA 完整性保护 加密 入侵检测 1 前言 　　　　第三代移动通信系统是工作在2GHz频段的宽带移动通信系统，它与第二代移动通信系统的区别主要有：全球无隙漫游、支持高达2Mbit/s的多媒体业务等，特别在Internet上有更好更广的服务。而在这其中也会涉及到许多安全方面的隐患，因此有必要作一个3G安全的讨论。而移动台的主呼过程是其中的一个重要过程，讨论它的安全问题对整个系统的安全性研究有着重要的意义。 　　某个移动台在随机接入信道上对另一个移动台或固定网用户发起呼叫时，PLMN系统网络将开始一系列的操作。首先，MS发起呼叫时，移动台中的无线资源管理单元通过随机接入进程启动信令链路的建立。该进程在随机接入信道上发送信道请求消息及安全能力消息（即安全能力的有无）给基站。若基站成功接收到，则这个请求被送到基站中的无线资源管理单元，由其分配一个专用信道，并在接入允许信道上发送立即指配消息。MS在启动主呼进程的同时还设置定时器，以一定的时间间隔重复呼叫。如果按预定次数重复呼叫仍收不到响应，则放弃这次呼叫。　　当MS收到立即指配消息后转换到指定的专用信道上，从而和BS之间建立起主信令链路。这之后一直到无线业务信道分配以前的一切信令都是在这个专用信道上进行的，业务信道接通后的通话过程中的信令则是在随路控制信道中进行。MS中的连接管理单元继续用发给数据链路层的业务请求消息来启动建立数据链路的进程。该业务请求被嵌入一个完整的第三层消息，并交BS发给MSC。 2 相互认证和密钥协商过程（AKA） 　　MS给相关的访问位置寄存器（VLR）发送进程接入请求消息以使其获得该移动台的参数。网络方面发出鉴权请求，其中包括一个随机数，MS按一定的算法对此随机数进行处理后，发送鉴权响应给网络方面，由网络方面判断此用户的合法性。 　　其中过程简述： 　　（1）MS向拜访局VLR发送IMSI和其归属局HLR信息。 　　（2）VLR向该HLR发送认证请求。 　　（3）HLR收到VLR的认证请求后，生成序列号和随机数，计算出认证向量AV，并把它发送给VLR。 　　（4）VLR接收到AV后，将其中的随机数及认证令牌AUTN发送给MS，请求用户产生认证数据。 　　（5）MS接收到认证请求后，首先计算XMAC，并与AUTN中的MAC进行比较，若不同，则向VLR发送拒绝认证消息，并放弃该过程。同时还要验证接受到的序列号SQN是否在有效的范围内，若不在，MS向VLR发送同步失败消息，并放弃该过程。上述两项均通过后，MS用f2计算出RES，用f3计算出CK，用f4算法计算出IK，并将RES发送给VLR。 　　（6）VLR接收到来自MS的RES 后，将RES与AV中的XRES进行比较，相同则认证成功，否则认证失败。 　　由于MS和HLR计算CK用的都是同一种算法f3，故而所得出的CK必定相同，这样MS和VLR经过相互身份认证和密码协商后，分别将该过程中的CK、IK作为以后MS和RNC的保密通信。 3 信令完整性保护和加密过程 　　若鉴权通过，网络方面发送置密码模式消息给MS，将有关用户数据加密的消息经BS传送给移动台。MS对此消息返回密码模式完成消息经BS和V