ＣＳＤ在ＧＳＭ的网络保密通信中的应用

摘 要：随着GSM网络的通信技术已经成熟，信息数据的保密成为十分重要的问题。本文主要讨论了保密通信的概念、密钥管理方式，描述了一种利用CSD信道来实现GSM手机中的数字加密通信方式。

关键词：保密通信；密钥管理；CSD；GSM保密通信

中图分类号：TP393.07 文献标识码：A

CSD Application in GSM Network Encrypted Communication

GAO Yun-bo，WU Zhong-dong

（Lanzhou Jiaotong University ,school of Autoniation and Electrical Engineering, Gansulanzhou730070）

Key word:encrypted communication；encryption algorithm；CSD；GSM encrypted communication

GSM网络的通信技术已经成熟，人们在享受移动通信带来方便与快捷的同时，或许会或多或少存在一些通话安全性方面的疑虑。任何事物都有利和弊的一面，信息和通信普及也大大提高了其被攻击、窃取的机会。信息在网络中以电子或电磁波的形式传播，很容易被截获或者捕捉。失密会造成严重后果(如金融信息、军事情报等)，所以数据保密成为十分重要的问题。

目前，GSM的移动数据业务有：电路交换数据(CSD)业务和通用分组无线业务(GPRS)2种。CSD(Circuit Switch Data)是基于电路交换的数据业务，空中速率为9.6kb/s，在通信过程中独占一个信道。信道利用率低，对于猝发式的通信，其交换效率不高，传输费用相对较高。但是，CSD方式数据传输可靠、延迟小，就给定的接续路由来说，传输延迟是固定不变的。GSM安全体现在两方面：认证和加密。通过认证，防止没有授权的用户使用网络资源；通过加密，保证用户数据何和信令数据的机密。GSM系统的安全体系结构由3层构成：认证层、密钥产生层、加解密层。

1 加密通信的概念

现代通信网络的安全主要是解决数据保密与认证的问题。数据的保密就是采用复杂多样的措施对数据加以保护，以防止数据被有意无意的泄露给无关的人员。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。

1.1链路加密

链路加密是传输数据仅在物理层前的数据链路层进行加密，不考虑信源和信宿，它用于保护通信节点间的数据，接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。

1.2节点加密

与链路加密类似的节点加密方法，是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。

1.3端到端加密

端到端加密是数据从一端到另一端提供的加密方式。数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中，除报头外的的报文均以密文的形式贯穿于全部传输过程，只是在发送端和接收端才有加、解密设备，而在中间任何节点报文均不解密，因此，不需要有密码设备，同链路加密相比，可减少密码设备的数量。

2 多密钥的管理

假设在某机构中有100个人，如果他们任意两人之间可以进行秘密对话，那么总共需要多少密钥呢?每个人需要知道多少密钥呢？也许很容易得出答案，如果任何两个人之间要不同的密钥，则总共需要4950个密钥，而且每个人应记住99个密钥。如果机构的人数是1000、10000人或更多，这种办法就显然过于愚蠢了，管理密钥将是一件可怕的事情。Kerberos (An Authentication Service for Computer Networks)提供了一种解决这个较好方案，它是由MIT(麻省理工)发明的，使保密密钥的管理和分发变得十分容易，但这种方法本身还存在一定的缺点。为能在因特网上提供一个实用的解决方案，Kerberos建立了一个安全的、可信任的密钥分发中心(Key Distribution Center，KDC)，每个用户只要知道一个和KDC进行会话的密钥就可以了，而不需要知道成百上千个不同的密钥。

假设用户甲想要和用户乙进行秘密通信，则用户甲先和KDC通信，用只有用户甲和KDC知道的密钥进行加密，用户甲告诉KDC他想和用户乙进行通信，KDC会为用户甲和用户乙之间的会话随机选择一个对话密钥，并生成一个标签，这个标签由KDC和用户乙之间的密钥进行加密，并在用户甲启动和用户乙对话时，用户甲会把这个标签交给用户乙。这个标签的作用是让用户甲确信和他交谈的是用户乙，而不是冒充者。因为这个标签是由只有用户乙和KDC知道的密钥进行加密的，所以即使冒充者得到用户甲发出的标签也不可能进行解密，只有用户乙收到后才能够进行解密，从而确定了与用户甲对话的人就是用户乙。

当KDC生成标签和随机会话密码，就会把它们用只有用户甲和KDC知道的密钥进行加密，然后把标签和会话钥传给用户甲，加密的结果可以确保只有用户甲能得到这个信息，只有用户甲能利用这个会话密钥和用户乙进行通话。同理，KDC会把会话密码用只有KDC和用户乙知道的密钥加密，并把会话密钥给用户乙。

用户甲会启动一个和用户乙的会话，并用得到的会话密钥加密自己和用户乙的会话，还要把KDC传给它的标签传给用户乙以确定用户乙的身份，然后用户甲和用户乙之间就可以用会话密钥进行安全的会话了，而且为了保证安全，这个会话密钥是一次性的，这样就更难进行破解了。同时由于密钥是一次性由系统自动产生的，则用户不必记那么多密钥了，方便了人们的通信。

3 CSD在GSM网络的保密通信实现方式

虽然GSM规范无论是对呼叫的管理，还是在安全性方面都采取了措施，如在允许一个用户进入服务通道前利用SIM卡对每个用户的身份进行鉴权，使用TMSI临时移动用户身份，通信数码化，对语音信号进行交织、加密等等。但由于GSM的开放性及GSM网络鉴权、加密算法的公开性，GSM的安全总是让人有一些担忧，更何况已经有国外的机构宣称破译了GSM的加密方式。此外GSM技术的发源地，西欧对一些国家数据加密产品的出口限制(如受北约制裁的国家)，因此GSM协议的缺省版本并不使用加密技术，使得GSM无法对基站(即与手机通讯联系的硬件设备)进行甄别，造成了潜在的威胁。这种攻击称为“中介者”攻击，它可将一个假基站安插在手机和真正的基站之间，从中截取它们通信，而真基站和手机都无法获知假基站的存在。

3.1CSD在GSM中的加解密过程

对于普通的用户而言，GSM的安全性也许已经足够，但如果在一些重要场合的通信如果也是通过普通的GSM网络来完成， 似乎不怎么另人放心了。GSM网络中有专门用于传输数据服务的数据通道CSD，我们知道要对数据进行加密、解密是很容易实现的。当主叫方准备进行一次呼叫时，输入对方的号码，按发送键，此时手机的MMI(Man Machine Interface)显示明、密电话的选择菜单。当选择以密话方式呼出，手机转入数据呼叫的处理流程，由主叫方发起一个数据呼叫，并将受话器和送话器等模拟通道切换给密话专用的CODEC，对模拟的语音进行A/D转换为PCM语音编码输出，声码化处理后(如采用8KbitVSELP语音编码方案，或其他语音编码方案)，再用特定的加密算法(可用专用加密算法芯片或者DSP数字信号处理器来运行可编程的软件加密算法)对语音信号进行加密，通过UART口发送给手机，再进行信道编码、交织、突发脉冲格式化，利用GSM的空中无线接口及CSD信道进行传输。在接收端，当监测到发来一个数据呼叫，转入数据呼入处理流程，经过与发送端同步、建立起数据链接以后，将接收下来的数据进行解密，去声码化，再经过D/A转换，还原成模拟的语音信号，双方的通信是双向的。当然如果主叫方在MMI上选择的是明话呼出，手机进入普通的GSM手机呼叫处理流程，被叫方检测到语音呼叫进入，自动转入普通明话的处理流程，双方通过CSS(电路语音交换)建立起链接，进行通信。具体流程见附图。

3.2GSM网络的加密方式

GSM的保密手机是一个实时通信系统的应用，为了保证通信系统的实时性和密钥分发的可靠性，我们可以采用如DES等加密速度快的对称加密和RSA等非对称加密两种相结合的加密方式。在保密手机终端，我们可以内置一种加密算法来对语音编码信号进行实时的加密，当然加密功能、算法的开启需要另一套可靠的密钥分发机制来保证。在保密通信系统中，用户可能有成千上万个，只要是这个保密通信系统的合法用户，他们之间都有可能建立起通话连接，因此不可避免的要引入Kerberos多密钥的管理方式。在密钥的管理中，带有保密功能的GSM保密手机在每次开机的时候都会向指定的密钥分发中心KDC(Key Distribu2tion Center)发送带有自身身份认证的短消息，在密管中心确认了它的合法性和真实性后，会向保密终端发送密钥。保密手机收到密钥后才能打开保密功能。在每次发起保密呼叫的时候，保密机都要向密钥管理中心申请新的密钥，并由密管中心将密钥传送给被叫端，双方根据密钥完成此次保密通话的加密和解密。这样每次通信的密钥都不一样，即使密钥一次被破译，下一次通话也无法使用。保密手机每隔一定的时间都要通过短信重新验证，如果保密手机不慎丢失，密管中心可以通过短消息发送遥毙命令。

在采用透明CSD传输语音加密编码通信的时候，语音信号的加密算法可以采用不公开的算法，大大降低了被破译的难度，而且如果我们和国家指定的保密机关合作，采用官方控制的加密算法，除可提供高强度的密码保护外，还可有选择的对保密通信进行监听，以防止不法分子利用保密通信进行非法活动。

4 结束语

信息安全问题涉及到国家安全、社会公共安全，涉及到重大国家利益，是信息社会的制高点，也是推动互联网发展、电子政务和电子商务的关键。通信的安全是信息安全的重要组成部分，如何保证通信的安全是通信发展的迫切需求。网络与通信的安全还涉及到其他很多方面的技术与知识，例如：黑客技术、防火墙技术、入侵检测技术、信息隐藏技术等等。一个完善的通信安全保障系统，应该根据具体需求对上述技术进行结合与取舍。

参考文献：

[1卢开澄著.计算机密码学——计算机网络中的数据保密与安全[M].第2版.北京:清华大学出版社，1998.

[2]陈彦学.信息安全理论与实务[M].中国铁道出版社，2000.

[3]许伟泉.保密通信与CSD在GSM保密通信中的应用[M]通信与广播电视,2007.

[4]戴美泰，吴志忠，邵世祥等.GSM移动通信网络优化[Ｍ](第一版).北京：人民邮电出版社，2003.