移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全研究

摘 要：網(wǎng)絡(luò)安全作為移動(dòng)通信系統(tǒng)發(fā)展的關(guān)鍵影響因素一直是通信領(lǐng)域的專家和學(xué)者研究的重點(diǎn)和熱點(diǎn)。本文對(duì)移動(dòng)通信系統(tǒng)安全技術(shù)進(jìn)行了簡(jiǎn)要分析，同時(shí)分析了提高移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性的研究要點(diǎn)，并相應(yīng)給出一些策略。

關(guān)鍵詞：移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)；認(rèn)證；身份識(shí)別

中圖分類號(hào)：TN929.5

通信技術(shù)的發(fā)達(dá)與應(yīng)用領(lǐng)域的擴(kuò)大，移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性因?yàn)槟軌蛑苯訉?duì)客戶和運(yùn)營(yíng)商的利益產(chǎn)生不同程度的直接或間接影響，社會(huì)各界也均將移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性作為一項(xiàng)重點(diǎn)工作，如何運(yùn)用合理的策略保障移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全具有十分重要的現(xiàn)實(shí)意義。

1 移動(dòng)通信網(wǎng)絡(luò)的安全技術(shù)發(fā)展簡(jiǎn)介

第一代移動(dòng)通信（1G）所利用的模擬蜂窩網(wǎng)系統(tǒng)，該系統(tǒng)無(wú)法提供非語(yǔ)音方面的業(yè)務(wù)，可以提供較為基本的語(yǔ)音會(huì)話業(yè)務(wù)。安全性能上，保密性很低，幾乎沒(méi)安全措施，給使用者和運(yùn)營(yíng)商帶來(lái)嚴(yán)重的危害。該系統(tǒng)的安全技術(shù)主要是以移動(dòng)臺(tái)為平臺(tái)，將系統(tǒng)的電子序列號(hào)與網(wǎng)絡(luò)分配的移動(dòng)臺(tái)識(shí)別號(hào)用明文的方式傳遞到網(wǎng)絡(luò)且加以比較，如果兩者能夠匹配，則允許用戶接入。這種方式很容易造成盜打，并導(dǎo)致克隆手機(jī)的大量產(chǎn)生。第二代通信系統(tǒng)（2G）所利用的數(shù)字蜂窩網(wǎng)絡(luò)系統(tǒng)，相較于第一代移動(dòng)通信，保密性能上大幅度提高，并且徹底堵塞并機(jī)盜打的可能，但是仍然存在諸多安全隱患。在安全措施上，主要采用時(shí)分多址（TDMA）和碼分多址（CDMA）兩種措施，同時(shí)還引入了加密模式加密傳輸?shù)男畔?，并增加了用戶鑒權(quán)功能，使無(wú)線信道傳送在安全性能上有所增強(qiáng)。2G鑒權(quán)流程如圖1所示。

圖1 2G鑒權(quán)流程

從圖1可看出2G認(rèn)證采用的是單向模式，在加密方面主要是以私鑰密碼體制為基礎(chǔ)，而非端到端，通過(guò)共享秘密數(shù)據(jù)（私鑰）的安全協(xié)議，從而使接入用戶的認(rèn)證和數(shù)據(jù)信息的保密兩個(gè)方面都得到實(shí)現(xiàn)，因此，第二代移動(dòng)通信系統(tǒng)仍然存在著安全隱患。第三代移動(dòng)通信（3G），在其安全體系中定義了傳輸層、歸屬、服務(wù)層和應(yīng)用層以及移動(dòng)用戶和移動(dòng)設(shè)備、服務(wù)網(wǎng)和歸屬環(huán)境等五個(gè)方面的安全特征組。在面對(duì)威脅和攻擊時(shí)，根據(jù)其來(lái)源于性質(zhì)的不同會(huì)有一個(gè)相應(yīng)的安全特征組來(lái)與其對(duì)抗，最終實(shí)現(xiàn)某一類安全目標(biāo)。

當(dāng)前，大多數(shù)發(fā)達(dá)國(guó)家正在加緊研制第四代移動(dòng)通信技術(shù)（4G），以期能夠保持并繼續(xù)享有在未來(lái)4G系統(tǒng)中制定規(guī)則與標(biāo)準(zhǔn)方面的發(fā)言權(quán)。美日等國(guó)正在密集的組織科研力量研發(fā)新一代無(wú)線通信技術(shù)，以期能夠盡快的進(jìn)入市場(chǎng)化階段。就現(xiàn)階段的情況來(lái)看，在該領(lǐng)域新的研究方向主要集中在網(wǎng)絡(luò)結(jié)構(gòu)、用戶切換和漫游等移動(dòng)環(huán)境下的系統(tǒng)實(shí)現(xiàn)方案技術(shù)等方面，從而保障用戶的大范圍移動(dòng)能夠得以實(shí)現(xiàn)，這一技術(shù)路線也是目前第四代移動(dòng)通信系統(tǒng)在全球最主要的設(shè)計(jì)思路。但是，因?yàn)闊o(wú)線網(wǎng)絡(luò)自身方面所無(wú)法擺脫的脆弱性，來(lái)自各個(gè)方面的安全威脅仍然無(wú)法避免。

2 移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全策略研究

為可能夠最大限度的保障盡可能多的用戶在信息方面的安全，有效降低濫用或盜用等情況，就應(yīng)當(dāng)努力實(shí)現(xiàn)移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的全球兼容性能，可以通過(guò)以下策略實(shí)現(xiàn)上述目標(biāo)：

2.1 用戶身份保密性。對(duì)于用戶在無(wú)線鏈路中身份的保密性，主要由下述三個(gè)方面構(gòu)成：（1）身份機(jī)密性：保證在用戶真實(shí)身份具有安全性，防止竊聽(tīng)情況的發(fā)生；（2）位置機(jī)密性：保證用戶位置的確定非經(jīng)竊聽(tīng)完成；（3）不可追溯性：入侵者無(wú)法對(duì)用戶的各類業(yè)務(wù)信息加以推斷；為了能夠最終實(shí)現(xiàn)用戶身份保密性的目標(biāo)，為了能夠避免用戶信息可追溯性，通常在用戶身份識(shí)別方面采用臨時(shí)身份的形式；同時(shí)，對(duì)于那些存在暴露用戶信息風(fēng)險(xiǎn)的信令或數(shù)據(jù)，應(yīng)使用相應(yīng)加密措施加以防范。

2.2 認(rèn)證系統(tǒng)。雙向認(rèn)證體系能夠有效的維護(hù)網(wǎng)絡(luò)通訊的安全，即必須同時(shí)能夠進(jìn)行基站與MS認(rèn)證和MS與基站認(rèn)證。因此，系統(tǒng)應(yīng)當(dāng)保證在用戶與網(wǎng)絡(luò)建立連接時(shí)，實(shí)體認(rèn)證機(jī)制能夠發(fā)揮效能。雙向認(rèn)證鑒權(quán)總計(jì)有5個(gè)向量，他們的參數(shù)依次為RAND、期望響應(yīng)（XRES）、加密密鑰（CK）、完整性密鑰（IK）、鑒權(quán)令牌（AUTN）。其中，IK負(fù)責(zé)保護(hù)接入鏈路信令數(shù)據(jù)的完整性，提高用戶網(wǎng)絡(luò)側(cè)合法性鑒權(quán)。雙向鑒權(quán)認(rèn)證過(guò)程與基本原理見(jiàn)圖2。

圖2 雙向鑒權(quán)認(rèn)證過(guò)程

通過(guò)比較RES與XRES是否相等，對(duì)用戶的身份進(jìn)行雙向網(wǎng)絡(luò)認(rèn)證。

2.3 數(shù)據(jù)完整性研究。為了有效維護(hù)移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全，需要保持?jǐn)?shù)據(jù)的完整性，具體包括完整性算法協(xié)商、完整性密鑰協(xié)商和數(shù)據(jù)完整性和信令數(shù)據(jù)的信源認(rèn)證三個(gè)方面。完整性密鑰協(xié)商的最終實(shí)現(xiàn)要置于執(zhí)行密鑰協(xié)商機(jī)制的過(guò)程之中。完整性算法協(xié)商的實(shí)現(xiàn)要通過(guò)用戶和網(wǎng)絡(luò)之間的安全模式協(xié)商機(jī)制。在移動(dòng)通信當(dāng)中，很大比例存在于MS與網(wǎng)絡(luò)之間的信令信息都需要完整性的保護(hù)，其在3 G中的實(shí)現(xiàn)是依賴消息認(rèn)證這一方式完成的，有效避免了篡改行為。數(shù)據(jù)完整性保護(hù)方法見(jiàn)圖3。

圖3 數(shù)據(jù)完整性保護(hù)方法

對(duì)于發(fā)送方而言，將要傳送的數(shù)據(jù)利用完整性密鑰IK通過(guò)F9算法生成消息認(rèn)證碼MAC，并附于發(fā)出的消息之后。而接收方利用同樣的方法對(duì)收到的消息進(jìn)行運(yùn)算得到XMAC，再由接收方比較MAC與XMAC的一致性，如果完全相同，則證明消息完整。

2.4 數(shù)據(jù)保密性研究。3G網(wǎng)絡(luò)既延長(zhǎng)了密鑰長(zhǎng)度還將加密算法協(xié)商機(jī)制引入其中，提供了以端到端為基礎(chǔ)的全網(wǎng)范圍內(nèi)加密，同時(shí)還將以交換設(shè)備為核心的安全機(jī)制運(yùn)用其中，有效地強(qiáng)化了網(wǎng)絡(luò)在信息傳送方面的安全性。在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密主要表現(xiàn)在4各方面，即加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其采用F8算法加密分組密碼流數(shù)據(jù)，這種算法的實(shí)現(xiàn)由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制完成，由AKA實(shí)現(xiàn)加密密鑰協(xié)商機(jī)制。

3 結(jié)束語(yǔ)

隨著無(wú)線通信與現(xiàn)代信息技術(shù)的融合與發(fā)展，推動(dòng)了移動(dòng)通信系統(tǒng)的進(jìn)步，在經(jīng)歷了三代發(fā)展之后，正向第四代演進(jìn)。本文基于就移動(dòng)通信系統(tǒng)安全技術(shù)領(lǐng)域的分析，探討了如何保障移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全的有關(guān)策略，對(duì)于移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性的提高具有一定的參考價(jià)值。

參考文獻(xiàn)：

[1]張平，王衛(wèi)東.第三代蜂窩移動(dòng)通信系統(tǒng)-WCDMA[M].北京：北京郵電大學(xué)出版社，2001：33-56.

[2]Xenakis C，Merakos L Security in third generation mobile networks[J].Computer Communications，2004（07）：638-650.

[3]Hunt R，Verwoerd T.Reactive firewalls：a new technique[J].Computer Communications，2003（12）.

作者單位：曲阜師范大學(xué)，山東曲阜 273100