數字移動通信中的用戶鑒權

何紅永 唐曉梅 國家數字交換系統(tǒng)工程技術研究中心 (鄭 州 450002)
　　[摘 要 ]:本 文 分 析 和 比 較 了 目 前 第 二 代 數 字 移 動 通 信 中 的 兩 大 有 代 表 性 的 用 戶 鑒 權 體 系 ， 并 對 未 來 移 動 通 信 中 的 用 戶 鑒 權 提 出 了 意 見 和 建 議 。



　　[關 鍵 詞 ]:數 字 移 動 通 信 ； 移 動 用 戶 鑒 權






1. 前 言



　　為 檢 測 和 防 止 移 動 通 信 中 的 盜 打 、 盜 用 等 各 種 非 法 使 用 移 動 通 信 資 源 和 業(yè) 務 的 現 象 ， 保 證 網 絡 安 全 和 保 障 電 信 運 營 者 及 用 戶 的 正 當 權 益 ， 移 動 用 戶 鑒 權 是 一 種 行 之 有 效 的 方 法 ， 它 的 引 入 和 使 用 是 數 字 移 動 通 信 優(yōu) 越 于 模 擬 移 動 通 信 的 一 個 重 要 方 面 。 目 前 第 二 代 移 動 通 信 系 統(tǒng) 網 絡 均 采 取 了 相 應 的 用 戶 鑒 權 (或 用 戶 身 份 認 證 )技 術 ， 其 中 包 括 基 于 GSM09.02 MAP協 議 的 泛 歐 數 字 移 動 通 信 系 統(tǒng) (即 GSM系 統(tǒng) )和 基 于 IS－ 41 MAP協 議 的 北 美 數 字 移 動 通 信 系 統(tǒng) (如 DAMPS和 北 美 CDMA系 統(tǒng) 等 ， 以 下 簡 稱 北 美 系 統(tǒng) )， 它 們 各 成 一 派 ， 形 成 了 兩 大 有 代 表 性 的 用 戶 鑒 權 技 術 體 系 。 本 文 主 要 從 鑒 權 場 合 、 鑒 權 算 法 和 鑒 權 規(guī) 程 等 方 面 對 GSM系 統(tǒng) 和 北 美 系 統(tǒng) 的 鑒 權 技 術 進 行 分 析 和 比 較 ， 并 提 出 對 未 來 移 動 通 信 鑒 權 技 術 的 看 法 和 建 議 。



2. 鑒 權 場 合



在 哪 些 場 合 需 要 進 行 鑒 權 ， 不 僅 關 系 到 技 術 實 現 的 復 雜 性 和 技 術 應 用 的 覆 蓋 范 圍 ， 并 進 而 影 響 到 鑒 權 的 作 用 效 果 ， 同 時 也 關 系 到 整 個 移 動 通 信 網 絡 的 信 令 負 荷 和 業(yè) 務 處 理 能 力 等 諸 多 方 面 。 鑒 權 是 一 個 需 要 全 網 配 合 、 共 同 支 持 的 處 理 過 程 ， 幾 乎 涉 及 移 動 通 信 網 絡 中 所 有 實 體 ， 包 括 移 動 交 換 中 心 (MSC)、 訪 問 者 位 置 寄 存 器 (VLR)、 歸 屬 位 置 寄 存 器 (HLR)、 鑒 權 中 心 (AUC)以 至 基 站 子 系 統(tǒng) (BSS)和 手 機 (或 稱 移 動 終 端 )。 需 要 鑒 權 的 場 合 越 多 ， 網 絡 能 夠 防 范 和 保 護 的 面 也 就 越 寬 ， 但 這 也 加 重 了 網 絡 實 體 的 處 理 負 擔 ， 并 且 由 于 在 整 個 網 絡 信 令 消 息 中 ， 與 鑒 權 有 關 的 消 息 占 據 相 當 的 比 例 ， 因 而 它 對 公 網 信 令 流 量 的 影 響 也 是 不 容 忽 視 的 。 所 以 ， 在 實 際 應 用 中 ， 通 常 由 運 營 部 門 根 據 實 際 情 況 拆 衷 考 慮 ， 通 過 OAM功 能 來 選 擇 與 鑒 權 有 關 的 各 種 配 置 ， 鑒 權 場 合 的 選 擇 就 是 其 中 一 項 重 要 的 內 容 。



　　第 二 代 系 統(tǒng) 一 般 均 支 持 以 下 場 合 的 鑒 權 ：



　　● 移 動 用 戶 發(fā) 起 呼 叫 (不 含 緊 急 呼 叫 )



　　● 移 動 用 戶 接 受 呼 叫



　　● 移 動 臺 位 置 登 記



　　● 移 動 用 戶 進 行 補 充 業(yè) 務 操 作



　　● 切 換 (包 括 在 MSC－ A內 從 一 個 BS切 換 到 另 一 個 BS、 從 MSC－ A切 換 到 MSC－ B以 及 在 MSC－ B中 又 發(fā) 生 了 內 部 BS之 間 的 切 換 等 情 形 )



　　除 此 之 外 ， 由 于 受 其 鑒 權 技 術 本 身 特 點 的 影 響 ， 北 美 系 統(tǒng) 在 更 新 共 享 秘 密 數 據 (SSD)時 還 需 要 特 殊 的 鑒 權 ， 它 主 要 是 保 證 SSD的 安 全 性 。 GSM系 統(tǒng) 則 是 在 加 密 密 鑰 序 號 (CKSN)校 驗 未 通 過 時 而 追 加 鑒 權 ， 以 保 證 加 密 的 安 全 實 施 。 CKSN校 驗 本 身 也 可 看 作 為 鑒 權 的 一 種 替 代 ， 即 把 正 規(guī) 的 “ 鑒 權 — 加 密 ” 過 程 簡 化 為 “ SKSN校 驗 — 加 密 ” 的 過 程 ， 從 而 避 免 每 次 加 密 都 要 重 新 鑒 權 。



3. 鑒 權 算 法 和 參 數



　　鑒 權 算 法 是 用 于 產 生 用 戶 鑒 權 所 需 簽 名 響 應 值 的 數 學 方 法 ， 它 區(qū) 別 于 用 戶 信 令 信 息 加 密 算 法 及 為 獲 得 加 密 密 鑰 所 用 的 算 法 。 算 法 內 核 不 是 本 文 討 論 的 內 容 。 這 里 僅 簡 單 地 描 述 算 法 涉 及 的 外 部 輸 入 輸 出 的 數 據 界 面 。



　　GSM系 統(tǒng) 中 的 鑒 權 算 法 稱 為 A3算 法 ， 它 連 同 用 于 用 戶 通 信 保 密 的 A5和 A8算 法 一 起 ， 都 由 泛 歐 移 動 通 信 諒 解 備 忘 錄 組 織 (即 GSM的 MOU組 織 )進 行 統(tǒng) 一 管 理 ， GSM運 營 部 門 需 與 MOU簽 署 相 應 的 保 密 協 定 后 方 可 獲 得 具 體 算 法 ， 用 戶 識 別 卡 (SIM)的 制 作 廠 商 也 需 簽 定 協 議 后 才 能 將 算 法 做 到 SIM卡 中 。



　　每 個 用 戶 在 電 信 局 進 行 初 始 注 冊 時 ， 都 會 分 配 一 個 128比 特 長 的 用 戶 密 鑰 (Ki)， 它 與 用 戶 的 IMSI號 碼 關 聯 ， 形 成 唯 一 的 IMSI－ Ki對 ， 燒 制 到 SIM卡 中 ， 同 時 還 將 IMSI－ Ki(經 A2算 法 加 密 處 理 )對 保 存 在 鑒 權 中 心 。



　　A3算 法 的 輸 入 參 數 有 兩 個 ， 一 個 是 用 戶 IMSI對 應 的 固 定 密 鑰 Ki， 另 一 個 則 是 AUC本 地 產 生 的 128比 特 長 的 隨 機 數 (RAND)， 運 算 結 果 是 一 個 32比 特 長 的 用 戶 鑒 權 響 應 值 (SRES)。 移 動 臺 和 鑒 權 中 心 采 用 同 樣 的 參 數 和 算 法 應 得 到 相 同 的 鑒 權 響 應 值 ， 網 絡 就 是 據 此 來 驗 證 用 戶 的 身 份 。 網 絡 側 A3算 法 的 運 行 實 體 既 可 以 是 移 動 臺 訪 問 地 的 MSC/VLR， 也 可 以 是 移 動 臺 歸 屬 地 的 HLR/AUC。



　　北 美 系 統(tǒng) 的 鑒 權 算 法 、 話 音 保 密 和 信 令 加 密 算 法 統(tǒng) 稱 為 蜂 窩 鑒 權 與 話 音 保 密 算 法 (簡 稱 CAVE)， CAVE由 美 國 政 府 有 關 法 規(guī) (即 美 國 國 際 事 務 和 軍 事 條 例 ITAR以 及 出 口 管 理 條 例 )控 制 ， 只 向 使 用 者 提 供 標 準 的 算 法 接 口 (輸 入 輸 出 參 數 )。 CAVE中 與 鑒 權 有 關 的 算 法 程 序 共 有 兩 種 ， 即 鑒 權 簽 名 算 法 程 序 和 共 享 秘 密 數 據 生 成 算 法 程 序 。 與 GSM A3算 法 接 口 的 一 個 重 要 區(qū) 別 是 ： 在 不 同 鑒 權 場 合 和 不 同 的 鑒 權 方 式 下 ， CAVE算 法 輸 入 參 數 的 組 成 是 不 同 的 ， 而 且 不 同 場 合 輸 出 的 結 果 值 在 鑒 權 信 令 規(guī) 程 中 的 作 用 也 是 不 同 的 ， 移 動 臺 及 網 絡 實 體 必 須 按 照 要 求 提 供 或 使 用 這 些 參 數 及 結 果 。



4. 鑒 權 方 式 和 規(guī) 程



　　鑒 權 規(guī) 程 定 義 了 移 動 臺 和 各 網 絡 實 體 相 互 之 間 為 了 實 施 和 完 成 鑒 權 而 進 行 的 一 系 列 交 互 過 程 及 信 令 消 息 處 理 。 雖 然 GSM系 統(tǒng) 和 北 美 系 統(tǒng) 所 支 持 的 鑒 權 場 合 基 本 相 同 ， 但 是 就 每 種 鑒 權 場 合 下 鑒 權 的 具 體 實 施 而 言 ， 兩 者 又 有 重 大 差 別 。 這 里 主 要 介 紹 兩 大 系 統(tǒng) 在 鑒 權 規(guī) 程 上 的 主 要 特 點 和 處 理 機 制 。



　　(1)GMS系 統(tǒng)



　　GSM系 統(tǒng) 中 的 鑒 權 規(guī) 程 在 GSM09.02 MAP協 議 中 定 義 ， 相 對 于 北 美 系 統(tǒng) 而 言 要 簡 單 得 多 。 所 有 場 合 下 的 鑒 權 都 一 視 同 仁 ， 處 理 機 制 完 全 相 同 。 在 需 要 鑒 權 時 ， 網 絡 側 的 MSC/VLR向 移 動 臺 發(fā) 出 鑒 權 命 令 消 息 ， 其 中 包 含 鑒 權 算 法 所 需 的 隨 機 數 ， 移 動 臺 用 此 隨 機 數 和 自 身 的 Ki算 得 SRES， 通 過 鑒 權 響 應 消 息 將 SRES值 傳 回 網 絡 側 ， 只 要 其 值 與 網 絡 側 的 一 致 (一 般 由 MSC/VLR進 行 核 對 )， 就 認 為 是 合 法 用 戶 ， 鑒 權 成 功 。 如 果 鑒 權 不 成 功 ， 網 絡 可 以 拒 絕 用 戶 的 業(yè) 務 要 求 。



　　值 得 說 明 的 是 ， AUC可 預 先 為 本 網 內 的 每 個 用 戶 提 供 若 干 個 鑒 權 參 數 組 (其 中 包 括 RAND、 SRES和 用 于 加 密 的 Kc)， 并 在 移 動 臺 位 置 登 記 時 由 HLR在 響 應 消 息 中 順 便 傳 給 VLR， 比 如 一 次 可 先 送 5組 ， 保 存 在 VLR中 待 用 ， 以 后 可 視 使 用 情 況 隨 時 再 向 AUC申 請 。 這 樣 做 的 一 大 好 處 是 鑒 權 算 法 程 序 的 執(zhí) 行 時 間 不 占 用 移 動 用 戶 實 時 業(yè) 務 的 處 理 時 間 ， 有 利 于 提 高 呼 叫 接 續(xù) 速 度 。



　　(2)北 美 系 統(tǒng)



　　北 美 數 字 蜂 窩 移 動 通 信 系 統(tǒng) 的 MAP規(guī) 程 原 先 是 采 用 IS－ 41－ B(1991年 底 頒 布 )， 該 標 準 中 當 時 尚 未 包 含 鑒 權 和 加 密 規(guī) 程 ， 所 以 涉 及 鑒 權 和 加 密 規(guī) 程 的 這 部 分 內 容 一 般 參 照 TSB51臨 時 標 準 。 直 到 95年 底 ， 最 新 版 本 的 IS－ 41－ C才 正 式 將 鑒 權 和 加 密 規(guī) 程 列 入 其 標 準 文 本 之 中 ， 從 而 取 代 了 TSB51。



　　北 美 系 統(tǒng) 的 鑒 權 根 據 場 合 不 同 采 取 的 方 式 不 盡 相 同 ， 參 與 鑒 權 運 算 的 參 數 (參 數 來 源 或 組 成 )和 鑒 權 涉 及 的 信 令 過 程 也 會 有 所 區(qū) 別 。



　　● 標 準 鑒 權 方 式 ： 這 是 可 由 移 動 臺 根 據 基 站 廣 播 的 要 求 系 統(tǒng) 接 入 鑒 權 指 示 以 及 鑒 權 所 用 的 隨 機 數 (RAND)而 主 動 進 行 的 一 種 鑒 權 方 式 ， 在 標 準 鑒 權 過 程 中 還 可 包 含 接 入 事 件 計 數 器 (COUNT)的 更 新 。 在 進 行 以 下 系 統(tǒng) 接 入 時 將 采 用 標 準 鑒 權 ：



　　�� 移 動 用 戶 主 呼



　　�� 移 動 用 戶 被 呼



　　�� 移 動 臺 位 置 登 記



　　標 準 鑒 權 方 式 還 稱 作 共 用 RAND方 式 ， 意 即 某 個 蜂 窩 小 區(qū) 的 所 有 MS都 是 共 用 本 小 區(qū) 前 向 信 道 /尋 呼 信 道 上 廣 播 的 隨 機 數 RANDs， 以 此 作 為 鑒 權 算 法 輸 入 參 數 之 一 ， 然 后 在 進 行 系 統(tǒng) 接 入 時 通 過 其 初 始 接 入 消 息 提 供 算 出 的 響 應 值 AUTHR和 所 對 應 的 RANDC， 并 且 移 動 臺 還 可 根 據 情 況 對 內 部 保 存 的 COUNT計 數 值 增 1， 結 果 值 同 樣 放 在 初 始 接 入 消 息 中 送 給 網 絡 方 。 初 始 接 入 消 息 可 以 是 位 置 登 記 ， 呼 叫 始 發(fā) ， 或 尋 呼 響 應 ， 因 而 這 種 形 式 的 鑒 權 在 A接 口 上 無 顯 式 的 規(guī) 程 ， 其 消 息 過 程 隱 含 在 相 應 的 位 置 登 記 或 呼 叫 建 立 規(guī) 程 所 用 的 初 始 接 入 消 息 中 。



　　在 標 準 鑒 權 中 網 絡 方 需 要 執(zhí) 行 三 項 校 驗 ： 一 是 校 驗 RANDC， 二 是 校 驗 AUTHR， 三 是 校 驗 COUNT， 只 有 三 項 校 驗 均 通 過 ， 才 允 許 移 動 臺 接 入 。 RANDC的 檢 驗 為 了 驗 證 移 動 臺 鑒 權 所 用 的 隨 機 數 是 否 為 本 交 換 機 (即 移 動 臺 準 備 接 入 的 系 統(tǒng) )所 產 生 的 ， AUTHR校 驗 則 類 似 于 GSM中 SRES校 驗 。 這 里 要 特 別 介 紹 COUNT校 驗 ， 它 是 識 別 網 絡 中 是 否 有 仿 制 或 偽 冒 移 動 臺 (即 采 用 非 法 手 段 制 作 的 “ 克 隆 ” 移 動 臺 )的 一 種 有 效 手 段 ， 所 以 COUNT校 驗 也 稱 “ 克 隆 ” 檢 測 。 假 如 一 部 手 機 被 “ 克 隆 ” ， 那 么 只 要 真 手 機 和 “ 克 隆 ” 機 都 在 網 上 使 用 ， 兩 機 所 提 供 的 COUNT值 總 歸 會 有 不 同 ， 而 且 由 于 網 絡 記 錄 的 COUNT呼 叫 事 件 發(fā) 生 次 數 實 際 上 是 兩 機 呼 叫 事 件 發(fā) 生 次 數 和 ， 所 以 兩 機 中 任 意 一 部 在 某 次 進 行 系 統(tǒng) 接 入 嘗 試 時 必 定 會 出 現 手 機 的 COUNT值 與 網 絡 方 保 存 的 COUNT值 不 同 的 情 形 ， 網 絡 即 可 據 此 認 定 有 “ 克 隆 ” 存 在 ， 此 時 網 絡 方 除 了 拒 絕 接 入 外 還 可 另 外 再 采 取 有 關 措 施 ， 比 如 對 移 動 臺 進 行 跟 蹤 等 等 。



　　● 獨 特 征 詢 的 鑒 權 方 式 ： 這 是 由 MSC向 移 動 臺 發(fā) 起 的 一 種 顯 式 鑒 權 規(guī) 程 ， 其 消 息 過 程 與 始 呼 、 尋 呼 響 應 或 登 記 等 消 息 過 程 是 互 相 獨 立 的 ， MSC可 指 示 基 站 在 控 制 信 道 或 話 音 信 道 上 向 某 MS發(fā) 出 一 個 特 定 的 (獨 特 的 )RAND值 (即 RANDU)， 這 個 隨 機 數 是 非 廣 播 性 的 。 在 以 下 場 合 將 使 用 獨 特 征 詢 的 鑒 權 方 式 ：



　　�� 發(fā) 生 切 換 時 的 鑒 權



　　�� 在 話 音 信 道 上 鑒 權



　　�� 移 動 臺 始 呼 、 被 呼 及 位 置 登 記 時 標 準 鑒 權 失 敗 后 可 能 進 行 的 再 次 鑒 權



　　�� 移 動 臺 閃 動 請 求 (即 與 補 充 業(yè) 務 有 關 的 操 作 要 求 )



　　�� SSD(共 享 保 密 數 據 )更 新 時



　　MSC可 在 任 何 時 候 發(fā) 起 獨 特 征 詢 規(guī) 程 ， 最 典 型 的 情 況 是 在 呼 叫 建 立 或 登 記 的 開 始 階 段 實 施 這 個 規(guī) 程 ， 當 然 在 發(fā) 生 切 換 或 標 準 鑒 權 失 敗 后 也 可 追 加 這 種 專 門 的 獨 特 征 詢 鑒 權 過 程 。 MS用 RANDU計 算 得 到 AUTHU值 ， 并 通 過 專 門 的 鑒 權 響 應 消 息 發(fā) 給 基 站 /MSC。



　　● SSD更 新 的 鑒 權 方 式 。 這 是 一 種 最 高 級 別 的 安 全 性 措 施 ， 主 要 有 以 下 應 用 情 形 ：



　　�� 定 時 的 SSD更 新



　　�� 標 準 鑒 權 失 敗 后 可 能 要 進 行 的 SSD更 新



　　�� 其 它 管 理 方 面 的 需 要



　　由 于 SSD是 前 兩 者 鑒 權 方 式 下 參 與 算 法 執(zhí) 行 的 重 要 參 數 ， 因 此 SSD數 據 需 要 經 常 更 新 ， 比 如 按 時 間 更 新 或 是 網 絡 檢 測 到 某 種 不 安 全 或 可 疑 情 況 時 進 行 的 更 新 。 出 于 安 全 考 慮 SSD更 新 的 發(fā) 起 和 更 新 結 果 的 確 認 只 能 由 AC完 成 ， 不 能 在 MSC/VLR中 進 行 ， 在 更 新 過 程 中 SSD參 數 連 同 表 明 移 動 臺 身 份 的 MIN號 碼 、 ESN號 碼 都 不 能 在 空 中 傳 遞 ， 所 以 在 SSD更 新 過 程 中 一 定 同 時 伴 隨 基 站 征 詢 和 獨 特 鑒 權 ， 通 過 基 站 征 詢 過 程 中 的 中 間 響 應 值 AUTHBS來 確 認 移 動 臺 和 網 絡 側 的 SSD已 取 得 一 致 更 新 。


　　由 此 可 知 ， 北 美 系 統(tǒng) 的 鑒 權 機 制 和 規(guī) 程 相 對 于 GSM要 復 雜 得 多 ， 這 主 要 是 由 北 美 的 安 全 保 密 體 制 及 其 算 法 本 身 決 定 的 。


5.有 關 建 議



　　下 面 從 幾 個 不 同 的 角 度 對 移 動 通 信 系 統(tǒng) 的 鑒 權 技 術 提 出 建 議 。



　　首 先 是 在 未 來 的 移 動 通 信 和 個 人 通 信 中 ， 應 充 分 重 視 鑒 權 算 法 的 自 主 性 。 鑒 權 算 法 自 主 性 是 各 國 各 地 區(qū) 網 絡 主 管 者 和 所 有 者 的 經 濟 、 政 治 自 主 性 的 一 個 重 要 方 面 。 如 第 二 代 移 動 通 信 系 統(tǒng) 原 先 都 只 是 區(qū) 域 性 的 ， 盡 管 現 在 已 普 遍 被 原 區(qū) 域 之 外 的 許 多 國 家 引 進 和 使 用 (如 我 國 的 900/1800MHz TDMA以 及 800 MHz CDMA系 統(tǒng) )， 形 成 了 國 際 性 通 信 網 絡 ， 但 鑒 權 算 法 的 管 理 和 許 可 權 卻 仍 然 歸 屬 那 些 區(qū) 域 性 組 織 機 構 ， 這 不 利 于 一 個 國 家 的 通 信 自 主 和 安 全 ， 也 使 相 當 一 部 分 潛 在 收 益 流 失 。 比 如 我 國 已 具 備 自 主 開 發(fā) 和 研 制 移 動 通 信 設 備 的 能 力 ， 但 載 有 鑒 權 和 加 密 算 法 的 手 機 SIM卡 卻 不 得 不 從 國 外 供 貨 或 取 得 許 可 證 才 能 生 產 。 我 們 認 為 ， 無 論 從 技 術 角 度 還 是 從 政 治 、 經 濟 角 度 而 言 ， 鑒 權 算 法 完 全 可 以 也 應 該 由 用 戶 歸 屬 的 網 絡 管 理 者 決 定 和 使 用 ， 鑒 權 算 法 的 執(zhí) 行 也 一 律 交 由 歸 屬 的 鑒 權 中 心 完 成 ， 將 鑒 權 算 法 與 網 絡 從 屬 的 通 信 體 系 相 獨 立 ， 以 充 分 體 現 鑒 權 算 法 的 自 主 性 。



　　其 次 是 關 于 鑒 權 算 法 執(zhí) 行 體 的 問 題 。 在 第 二 代 移 動 通 信 系 統(tǒng) 中 ， 網 絡 側 鑒 權 算 法 的 運 算 實 體 既 可 以 是 MSC/VLR， 也 可 是 移 動 臺 的 歸 屬 地 鑒 權 中 心 。 而 從 長 遠 來 看 ， 我 們 認 為 鑒 權 算 法 應 在 鑒 權 中 心 執(zhí) 行 ， 主 要 理 由 有 ： (1)用 戶 密 鑰 不 會 暴 露 給 MSC/VLR等 其 它 網 絡 實 體 ， 僅 由 鑒 權 中 心 單 方 統(tǒng) 一 管 理 ， 算 法 受 人 為 攻 擊 的 機 會 大 為 減 少 ， 因 而 安 全 性 更 高 ； (2)設 備 制 造 商 和 網 絡 運 營 者 在 開 發(fā) 或 選 用 配 置 MSC/VLR時 不 必 關 心 具 體 的 鑒 權 算 法 ， 運 營 者 之 間 也 可 避 免 算 法 一 致 性 的 磋 商 ， 因 此 網 間 漫 游 更 容 易 支 持 ； (3)鑒 權 算 法 自 主 性 的 需 要 。 當 然 在 鑒 權 中 心 進 行 鑒 權 運 算 會 增 加 從 MSC/VLR到 HLR之 間 傳 遞 鑒 權 信 息 的 信 令 開 銷 和 處 理 時 延 ， 但 卻 節(jié) 省 了 VLR/MSC為 了 執(zhí) 行 鑒 權 算 法 所 需 要 額 外 占 用 的 處 理 能 力 ， 而 這 部 分 能 力 并 不 象 AUC的 處 理 能 力 那 樣 容 易 預 測 。 由 于 AUC處 理 能 力 主 要 取 決 于 歸 屬 它 的 用 戶 總 數 和 用 戶 平 均 鑒 權 次 數 ， 隨 時 間 分 布 的 運 算 的 負 荷 能 夠 做 到 比 較 平 坦 ， 也 易 于 使 設 計 能 力 與 實 際 能 力 較 為 匹 配 。



　　第 三 ， 從 鑒 權 技 術 對 MAP應 用 業(yè) 務 單 元 (ASE)的 處 理 復 雜 度 、 處 理 器 工 作 負 荷 和 處 理 時 延 的 影 響 來 考 慮 ， 鑒 權 算 法 的 執(zhí) 行 時 刻 應 與 鑒 權 決 策 過 程 相 分 離 ， 也 即 不 占 用 鑒 權 規(guī) 程 的 當 前 處 理 時 間 。 這 一 點 GSM系 統(tǒng) 已 經 做 到 ， 但 北 美 系 統(tǒng) 無 法 做 到 ， 比 如 在 標 準 鑒 權 方 式 中 由 于 鑒 權 簽 名 算 法 程 序 所 需 的 RAND是 廣 播 共 享 的 ， 因 此 鑒 權 簽 名 算 法 執(zhí) 行 時 間 不 得 不 包 含 在 鑒 權 的 當 前 處 理 過 程 中 ， 是 造 成 規(guī) 程 處 理 時 延 的 重 要 因 素 ， 對 于 用 戶 敏 感 的 呼 叫 業(yè) 務 尤 其 不 利 。



　　第 四 ， 鑒 權 規(guī) 程 涉 及 的 參 數 不 應 過 多 ， 參 數 之 間 的 關 聯 性 應 盡 可 能 小 ， 否 則 就 可 能 得 不 償 失 。 以 北 美 系 統(tǒng) 被 叫 鑒 權 為 例 ， 簽 名 算 法 程 序 需 要 4個 輸 入 參 數 ， 其 中 的 ESN(設 備 電 子 序 列 號 )和 MIN(用 戶 身 份 號 )還 是 一 種 雙 重 引 入 ， 因 為 另 一 個 參 與 運 算 的 SSD數 據 實 際 上 是 通 過 用 戶 A鑰 (體 現 MIN的 唯 一 關 聯 )、 ESN及 隨 機 運 算 得 到 的 ， 但 是 ESN和 MIN完 全 可 以 被 別 有 用 心 者 非 法 成 對 獲 取 ， 這 兩 個 參 數 的 效 用 實 際 上 只 相 當 于 一 個 參 數 ， 從 這 個 意 義 上 說 和 GSM的 鑒 權 保 護 效 果 不 相 上 下 ， 但 是 鑒 權 信 令 開 銷 和 處 理 開 銷 卻 顯 然 比 GSM的 大 得 多 。



　　第 五 ， 為 減 少 鑒 權 信 令 消 息 的 傳 輸 和 處 理 開 銷 ， 從 而 也 減 小 對 全 網 信 令 負 荷 、 MSC/VLR系 統(tǒng) 處 理 能 力 的 影 響 ， 鑒 權 技 術 的 復 雜 度 應 該 主 要 體 現 在 鑒 權 算 法 內 核 程 序 的 復 雜 度 上 ， 而 盡 量 避 免 鑒 權 協 議 和 規(guī) 程 的 復 雜 性 ， 如 北 美 系 統(tǒng) 的 COUNT校 驗 和 GSM系 統(tǒng) 的 CKSN校 驗 都 是 既 簡 便 又 實 用 的 鑒 權 手 段 之 一 ， 此 外 還 可 配 合 采 用 用 戶 口 令 字 校 驗 ， 這 類 方 法 對 協 議 和 規(guī) 程 的 復 雜 度 要 求 遠 比 密 鑰 算 法 所 要 求 的 低 。



　　第 六 ， 在 未 來 的 移 動 通 信 系 統(tǒng) 中 還 應 進 一 步 提 高 網 絡 實 體 尤 其 是 MSC/VLR的 鑒 權 智 能 化 程 度 ， 以 優(yōu) 化 全 網 整 體 效 能 。 比 如 原 先 鑒 權 場 合 一 般 由 操 作 人 員 通 過 人 機 命 令 事 先 設 置 ， 鑒 權 參 數 的 獲 取 也 只 是 根 據 庫 存 門 限 值 決 定 ， 將 來 就 可 能 結 合 網 絡 的 實 際 運 行 情 況 和 用 戶 業(yè) 務 使 用 情 況 ， 由 網 絡 實 體 根 據 內 部 動 態(tài) 策 略 自 動 選 擇 何 時 需 要 實 施 鑒 權 以 及 何 時 向 鑒 權 中 心 請 求 鑒 權 參 數 組 ， 決 定 因 素 包 括 實 體 當 前 的 處 理 負 荷 、 網 絡 的 信 令 負 荷 、 業(yè) 務 種 類 和 使 用 頻 度 、 鑒 權 優(yōu) 先 級 以 至 用 戶 話 費 變 化 情 況 等 。



　　第 七 ， 鑒 權 協 議 和 規(guī) 程 可 考 慮 形 成 國 際 性 的 統(tǒng) 一 標 準 ， 著 力 于 規(guī) 范 與 鑒 權 相 關 的 數 據 界 面 和 通 信 界 面 ， 這 樣 也 有 利 于 達 成 第 三 代 移 動 通 信 所 追 求 的 真 正 開 放 、 兼 容 與 互 通 。



6.結 束 語


　　由 于 移 動 通 信 在 未 來 的 信 息 產 業(yè) 中 占 有 舉 足 輕 重 的 地 位 ， 人 們 對 移 動 通 信 中 的 可 靠 性 及 保 密 性 提 出 了 越 來 越 高 的 要 求 ， 加 密 、 安 全 和 用 戶 身 份 驗 證 技 術 就 顯 得 更 為 重 要 。 第 二 代 數 字 移 動 通 信 中 的 不 同 的 用 戶 鑒 權 體 系 各 有 所 長 ， 而 如 何 取 長 補 短 、 在 現 有 技 術 的 基 礎 上 研 究 和 確 定 更 完 善 的 第 三 代 移 動 通 信 用 戶 鑒 權 體 系 應 是 人 們 關 注 的 焦 點 。




摘自《移動通信》2001.7