访问安全管理实体密钥”倒是会发送给“用户设备”的。
8)“用户设备”保存“访问安全管理实体密钥”,为以后使用作准备,然后转发其中的“响应值”到“移动管理实体”上。
9)“移动管理实体”会用收到的“响应值”,与之前从“家庭用户服务器”接收到的“预期响应值”进行比较。通过这两个值的比较,“移动管理实体”就知道“通用用户识别模块”有一个正确的“共享密钥K”。这时,“用户设备”和“移动管理实体”这两个实体之间,也就完成了相互的认证过程。
10)在认证之后的正常数据交换过程中,“用户设备”和“移动管理实体”通过使用“访问安全管理实体密钥”值就可以对数据进行加密和解密,二者之间通过无线介质进行传输的通信数据包。
图12-19中有一个最坏的情况,那就是“国际移动用户标识符”在发送的时候,是以明文方式通过“长期演进技术”的无线网络接口发送的。这种情况的发生,一般是在“用户设备”和“移动管理实体”之间进行初始连接的交换过程中最容易发生的。但随后的连接就不再使用“国际移动用户标识符”,而是使用“全球唯一临时身份标识”(Globally Unique Temporary Identity,GUTI)来代替。在认证交换的过程中,“全球唯一临时身份标识”并不会发生动态的改变,而只是在“移动管理实体”向“家庭用户服务器”发送“国际移动用户标识符”之前,多加了一次“国际移动用户标识符”对“全球唯一临时身份标识”的查找过程而已。查找的目的自然不言而喻,是为了在以后的通信中,由后者取代前者。
尽管使用“全球唯一临时身份标识”的目的是为了身份认证,但是在“长期演进技术”无线通信网络中,仍然存在针对“‘国际移动用户标识符’捕获器”攻击(IMSI catcher attack)的漏洞存在。那就是当“用户设备”在第一次连接到“移动管理实体”所在的网络时,必然会暴露“国际移动用户标识符”至少一次,而一旦“国际移动用户标识符”被黑客捕获到,那么黑客同样也可以由该值派出生“全球唯一临时身份标识”。我们再来想想,为什么网络的认证要发生在“国际移动用户标识符”出现之后呢?这是因为“国际移动用户标识符”需要确定“共享密钥K”,而“共享密钥K”又是派生出“认证值”、“预期响应值”、“访问安全管理实体密钥”等值的不二人选。所以我们很容易就会想到,如果黑客只要在“用户设备”第一次连接“移动管理实体”的时候拿到“国际移动用户标识符”,那么用同样的方法,黑客也能推算出后面各个重要的值,那么随后的加密的通信数据自然会土崩瓦解。怎样拿到“用户设备”在第一次连接“移动管理实体”时的“国际移动用户标识符”呢?办法就是攻击者越俎代庖,建立一个“流氓”的“长期演进技术”无线通信网站,然后吸引终端设备过来进行连接,一旦这个方法奏效,该网站上的“移动管理实体”就会初始化一个连接,向对方的“用户设备”发送一个“身份请求消息” (identity request message),强制对方的“用户设备”乖乖地将“国际移动用户标识符”发送过来。
尽管存在“‘国际移动用户标识符’捕获器”攻击的隐私威胁,“长期演进技术”的认证交换仍然还是提供了一个强有力的,基于“密钥值分别持有”的相互认证机制。在基础设施方面,“长期演进技术”网络可以通过“共享密钥K”尽可能少地向“家庭用户服务器”暴露的方式限制黑客对“共享密钥K”攻击的可能性,也从整体上减少黑客的攻击面。同样,“通用用户识别模块”从不向“用户设备”公开“共享密钥K”,也防止了恶意程序窃取的“共享密钥K”值,直接限制了攻击者将该值克隆到另一个“通用用户识别模块”卡上,然后以冒充者的身份继续使用的能力。
接下来,我们来看看在“长期演进技术”网络中,用来提供数据保密的加密机制以及随后进行的认证交换。
12.4.3 长期演进技术无线通信网络的加密机制
就像现代很多加密系统一样,“长期演进技术”网络也支持加密算法的灵活性。而早期的“第三代移动通信合作伙伴计划”规范网络系统仅限于极少数的加密算法,并且如果没有网络基础设备和“用户设备”设备的重大变化,这些加密算法是轻易不会更换的。而在“长期演进技术”网络中,这一现象得到了较大的改观。在“长期演进技术”网络中,只要协议认为有必要,那就可以随时加入一个新的加密算法。假如明天有人发现在“高级加密标准”算法中存在毁灭性缺陷,那么“长期演进技术”网络就能通过加入一个新的算法选项,或者是切换到一个已经支持的不同的算法上,系统中的设备就可以很快适应新的算法,从而减轻由该缺陷所带来的威胁。
12.4.4 长期演进技术无线通信网络的空算法
在无线网络服务提供商提供的运营网络上,为其提供的服务是非常复杂的。在某些情况下,实际需要提供的服务比“长期演进技术”网络对安全所渴望的服务还多。这包括了对“空算法”(Null Algorithm)的使用。
“