中安云科移动通信应用解决方案

 (一)应用背景

  移动通信业务是移动用户为服务对象的无线电通信业务,移动通信实现移动体之间、移动体与固定点之间的通信。移动通信系统从20世纪80年代诞生以来,先后出现了第一代模拟移动通信系统(1G)、第二代数字移动通信系统(2G)、第三代多媒体移动通信系统(3G)、第四代多功能集成宽带移动通信系统(4G),以及目前正处于研究阶段的第五代移动通信系统(5G),移动通信网络已成为我国电信网络的重要组成部分。

当前应用最为普及的是4G移动通信系统,其面临的安全威胁主要集中在无线链路空中接口、核心网络设备节点、移动终端设备及终端用户等方面,存在非法网络接入、通信数据泄露、伪基站等安全风险。

2011年,国际组织3GPP将我国ZUC算法纳入新一代宽带无线移动通信系统(4G LTE)国际标准,实现移动通信设备空中接口加密和完整性保护,这是我国密码算法首次成为国际标准。

VoLTE(Voice over LTE)是一种IP数据传输技术,承载于4G网络,提供高质量的音视频通话。基于商用密码技术的VoLTE加密语音系统通过身份认证、数据加密等功能提供端到端加密移动通信服务。

(一)密码应用架构

1. LTE移动通信系统密码应用架构

LTE移动通信系统密码应用体系从网络接入域安全()、网络域安全()、用户域安全()、应用域安全()四个方面保障网络接入安全、核心网通信安全及用户身份安全,如图12-12所示。

图片43.png

  (1)网络接入域安全()。利用密码技术提供身份认证与密钥协商(AKA)、空中接口加密以及完整性保护,解决用户网络接入的空中接口安全问题,实现接入网络与用户之间的双向身份认证、控制信令和用户数据的加密、控制信令完整性保护、用户身份信息机密性和移动设备认证等安全功能,确保移动用户安全接入移动通信网络,防止无线链路攻击。网络接入的空中接口加密和完整性保护通过ZUC算法实现。

  (2)网路域安全()。通过采用事务能力应用(TCAP)安全机制、GTP信令保护机制、基站/移动管理实体/服务网关之间的信令保护机制,解决核心IP网设备节点间信令交换的安全问题。实现信令实体的身份认证、数据加密和数据完整性保护等安全功能,确保核心IP网设备节点能够安全交换信令数据,防范外部IP网络攻击。

  (3)用户域安全()。利用USIM卡的个人识别码(PIN)机制USIM卡认证机制及安全传输保护机制,实现USIM卡对用户的认证和终端对USIM卡的认证等安全功能,防止非法用户使用移动终端。

  (4)应用域安全()。解决USIM卡应用安全问题,实现用户数据加密等安全功能,保护用户应用数据与业务服务数据的交换安全。

  2. VoLTE密码应用架构

  VoLTE加密语音系统通过密钥在线/离线初始化、通信终端认证、

密钥协商和语音加密等环节实现终端身份认证和语音通信数据保护。

VoLTE加密语音系统密码应用总体架构如图12-13所示。

图片5.png

(1)密钥在线/离线灌装。密钥管理系统使用商用密码算法和协议完成密钥离线灌装和在线密钥管理功能。在进行密钥灌装时,采用SM2/SM3/SM4等密码算法建立安全通道,并对密钥管理系统、管理客户端、密码卡进行身份认证,对灌装数据进行加密和签名,防止密钥灌装数据被窃取和篡改。

(2)VoLTE语音通信加密。VoLTE加密终端之间通过内置含有SM2/SM3/SM4密码算法的密码模块进行身份鉴别并协商密钥,实现一话一密功能;使用ZUC算法对VoLTE语音数据进行加密保护。

(三)应用成效

4G通信技术大规模商用以来,ZUC算法在移动通信领域得到广泛应用。中国移动、中国电信、中国联通三大运营商建设的300多万个基站系统全部支持ZUC算法,高通、华为、展讯、MTK等主流基带芯片厂商生产的产品都支持ZUC算法,基于这些基带芯片生产的数亿部移动智能手机默认支持ZUC算法。

商用密码在VoLTE加密语音系统的应用,进一步提升了我国移动通信安全能力。