[摘 要 ]:本 文 分 析 和 比 较 了 目 前 第 二 代 数 字 移 动 通 信 中 的 两 大 有 代 表 性 的 用 户 鉴 权 体 系 ， 并 对 未 来 移 动 通 信 中 的 用 户 鉴 权 提 出 了 意 见 和 建 议 。

　　[关 键 词 ]:数 字 移 动 通 信 ； 移 动 用 户 鉴 权

1. 前 言

　　为 检 测 和 防 止 移 动 通 信 中 的 盗 打 、 盗 用 等 各 种 非 法 使 用 移 动 通 信 资 源 和 业 务 的 现 象 ， 保 证 网 络 安 全 和 保 障 电 信 运 营 者 及 用 户 的 正 当 权 益 ， 移 动 用 户 鉴 权 是 一 种 行 之 有 效 的 方 法 ， 它 的 引 入 和 使 用 是 数 字 移 动 通 信 优 越 于 模 拟 移 动 通 信 的 一 个 重 要 方 面 。 目 前 第 二 代 移 动 通 信 系 统 网 络 均 采 取 了 相 应 的 用 户 鉴 权 (或 用 户 身 份 认 证 )技 术 ， 其 中 包 括 基 于 GSM09.02 MAP协 议 的 泛 欧 数 字 移 动 通 信 系 统 (即 GSM系 统 )和 基 于 IS－ 41 MAP协 议 的 北 美 数 字 移 动 通 信 系 统 (如 DAMPS和 北 美 CDMA系 统 等 ， 以 下 简 称 北 美 系 统 )， 它 们 各 成 一 派 ， 形 成 了 两 大 有 代 表 性 的 用 户 鉴 权 技 术 体 系 。 本 文 主 要 从 鉴 权 场 合 、 鉴 权 算 法 和 鉴 权 规 程 等 方 面 对 GSM系 统 和 北 美 系 统 的 鉴 权 技 术 进 行 分 析 和 比 较 ， 并 提 出 对 未 来 移 动 通 信 鉴 权 技 术 的 看 法 和 建 议 。

2. 鉴 权 场 合

在 哪 些 场 合 需 要 进 行 鉴 权 ， 不 仅 关 系 到 技 术 实 现 的 复 杂 性 和 技 术 应 用 的 覆 盖 范 围 ， 并 进 而 影 响 到 鉴 权 的 作 用 效 果 ， 同 时 也 关 系 到 整 个 移 动 通 信 网 络 的 信 令 负 荷 和 业 务 处 理 能 力 等 诸 多 方 面 。 鉴 权 是 一 个 需 要 全 网 配 合 、 共 同 支 持 的 处 理 过 程 ， 几 乎 涉 及 移 动 通 信 网 络 中 所 有 实 体 ， 包 括 移 动 交 换 中 心 (MSC)、 访 问 者 位 置 寄 存 器 (VLR)、 归 属 位 置 寄 存 器 (HLR)、 鉴 权 中 心 (AUC)以 至 基 站 子 系 统 (BSS)和 手 机 (或 称 移 动 终 端 )。 需 要 鉴 权 的 场 合 越 多 ， 网 络 能 够 防 范 和 保 护 的 面 也 就 越 宽 ， 但 这 也 加 重 了 网 络 实 体 的 处 理 负 担 ， 并 且 由 于 在 整 个 网 络 信 令 消 息 中 ， 与 鉴 权 有 关 的 消 息 占 据 相 当 的 比 例 ， 因 而 它 对 公 网 信 令 流 量 的 影 响 也 是 不 容 忽 视 的 。 所 以 ， 在 实 际 应 用 中 ， 通 常 由 运 营 部 门 根 据 实 际 情 况 拆 衷 考 虑 ， 通 过 OAM功 能 来 选 择 与 鉴 权 有 关 的 各 种 配 置 ， 鉴 权 场 合 的 选 择 就 是 其 中 一 项 重 要 的 内 容 。

　　第 二 代 系 统 一 般 均 支 持 以 下 场 合 的 鉴 权 ：

　　● 移 动 用 户 发 起 呼 叫 (不 含 紧 急 呼 叫 )

　　● 移 动 用 户 接 受 呼 叫

　　● 移 动 台 位 置 登 记

　　● 移 动 用 户 进 行 补 充 业 务 操 作

　　● 切 换 (包 括 在 MSC－ A内 从 一 个 BS切 换 到 另 一 个 BS、 从 MSC－ A切 换 到 MSC－ B以 及 在 MSC－ B中 又 发 生 了 内 部 BS之 间 的 切 换 等 情 形 )

　　除 此 之 外 ， 由 于 受 其 鉴 权 技 术 本 身 特 点 的 影 响 ， 北 美 系 统 在 更 新 共 享 秘 密 数 据 (SSD)时 还 需 要 特 殊 的 鉴 权 ， 它 主 要 是 保 证 SSD的 安 全 性 。 GSM系 统 则 是 在 加 密 密 钥 序 号 (CKSN)校 验 未 通 过 时 而 追 加 鉴 权 ， 以 保 证 加 密 的 安 全 实 施 。 CKSN校 验 本 身 也 可 看 作 为 鉴 权 的 一 种 替 代 ， 即 把 正 规 的 “ 鉴 权 — 加 密 ” 过 程 简 化 为 “ SKSN校 验 — 加 密 ” 的 过 程 ， 从 而 避 免 每 次 加 密 都 要 重 新 鉴 权 。

3. 鉴 权 算 法 和 参 数

　　鉴 权 算 法 是 用 于 产 生 用 户 鉴 权 所 需 签 名 响 应 值 的 数 学 方 法 ， 它 区 别 于 用 户 信 令 信 息 加 密 算 法 及 为 获 得 加 密 密 钥 所 用 的 算 法 。 算 法 内 核 不 是 本 文 讨 论 的 内 容 。 这 里 仅 简 单 地 描 述 算 法 涉 及 的 外 部 输 入 输 出 的 数 据 界 面 。

　　GSM系 统 中 的 鉴 权 算 法 称 为 A3算 法 ， 它 连 同 用 于 用 户 通 信 保 密 的 A5和 A8算 法 一 起 ， 都 由 泛 欧 移 动 通 信 谅 解 备 忘 录 组 织 (即 GSM的 MOU组 织 )进 行 统 一 管 理 ， GSM运 营 部 门 需 与 MOU签 署 相 应 的 保 密 协 定 后 方 可 获 得 具 体 算 法 ， 用 户 识 别 卡 (SIM)的 制 作 厂 商 也 需 签 定 协 议 后 才 能 将 算 法 做 到 SIM卡 中 。

　　每 个 用 户 在 电 信 局 进 行 初 始 注 册 时 ， 都 会 分 配 一 个 128比 特 长 的 用 户 密 钥 (Ki)， 它 与 用 户 的 IMSI号 码 关 联 ， 形 成 唯 一 的 IMSI－ Ki对 ， 烧 制 到 SIM卡 中 ， 同 时 还 将 IMSI－ Ki(经 A2算 法 加 密 处 理 )对 保 存 在 鉴 权 中 心 。

　　A3算 法 的 输 入 参 数 有 两 个 ， 一 个 是 用 户 IMSI对 应 的 固 定 密 钥 Ki， 另 一 个 则 是 AUC本 地 产 生 的 128比 特 长 的 随 机 数 (RAND)， 运 算 结 果 是 一 个 32比 特 长 的 用 户 鉴 权 响 应 值 (SRES)。 移 动 台 和 鉴 权 中 心 采 用 同 样 的 参 数 和 算 法 应 得 到 相 同 的 鉴 权 响 应 值 ， 网 络 就 是 据 此 来 验 证 用 户 的 身 份 。 网 络 侧 A3算 法 的 运 行 实 体 既 可 以 是 移 动 台 访 问 地 的 MSC/VLR， 也 可 以 是 移 动 台 归 属 地 的 HLR/AUC。

　　北 美 系 统 的 鉴 权 算 法 、 话 音 保 密 和 信 令 加 密 算 法 统 称 为 蜂 窝 鉴 权 与 话 音 保 密 算 法 (简 称 CAVE)， CAVE由 美 国 政 府 有 关 法 规 (即 美 国 国 际 事 务 和 军 事 条 例 ITAR以 及 出 口 管 理 条 例 )控 制 ， 只 向 使 用 者 提 供 标 准 的 算 法 接 口 (输 入 输 出 参 数 )。 CAVE中 与 鉴 权 有 关 的 算 法 程 序 共 有 两 种 ， 即 鉴 权 签 名 算 法 程 序 和 共 享 秘 密 数 据 生 成 算 法 程 序 。 与 GSM A3算 法 接 口 的 一 个 重 要 区 别 是 ： 在 不 同 鉴 权 场 合 和 不 同 的 鉴 权 方 式 下 ， CAVE算 法 输 入 参 数 的