- 相關推薦
3G時代的網絡通信安全技術探討論文
摘要:隨著移動通信技術的發展,3G時代已經到來!3G系統由于融合了無線通信與因特網技術,因而其安全體系也必是多種不同安全方式的融合。現將3G系統中的各種詳細的安全技術分析如下。
關鍵詞:3G系統網絡通信安全技術
第三代移動通信系統(3G)中的安全技術是在GSM的安全基礎上建立起來的,它克服了一些GSM中的安全問題,也增加了新的安全功能。當移動通信越來越成為用戶鐘愛的通信方式時,3G將會給用戶和服務提供商提供更為可靠的安全機制。3G的安全將更多地使用因特網中各種成熟的加密技術,各種國際組織(如WAP論壇以及IETF等)也將會在3G的安全解決方案中做出更大的貢獻。
1、3G安全體系的系統定義
1.1安全目標
3G的安全體系目標可以參考3GPP組織定義的安全條款,以及其詳細的定義3GPPTS33.120:
a)確保用戶信息或與用戶相關的信息受到保護,不被盜用和濫用。
b)確保提供給用戶的資源和服務受到保護,不被盜用和濫用。
c)確保安全方案具有世界范圍內的通用性(至少存在一種加密算法可以出口到其它國家)。
d)確保安全方案的標準化,適應不同國家不同運營商之間的漫游和互操作。
e)確保提供給用戶和運營商的安全保護優于當今的固定和移動網絡,這也即暗示了3G的安全方案要克服第二代移動通信的安全缺陷。
f)確保3G的安全方案是可擴展和可增強的,以抵制各種各樣的攻擊。
g)確保3G的安全方案能夠提供電子商務、電子貿易以及其它一些互聯網服務。
1.2任務模型
由于更多邏輯實體的參與,3G的任務模型比起2G更為復雜。各種各樣的邏輯實體包括網絡運營商、服務提供商、內容提供商、應用服務提供商、商業機構、金融機構以及各種虛擬網絡運營商等。當實體數目不斷增大時,實體與實體之間的關系就會變得很復雜。這給它們之間的相互認證帶來許多不便。
3G系統中采用了公鑰加密方式。公鑰系統的“信任節點”是位于認證等級最高層的根公鑰,它們控制著對哪些對象采取認證措施,以達到對移動臺接入服務進行安全控制的目的。在3G的任務模型中還引入了認證鑒權中心(CA)。
1.3功能實體
對3G系統的安全特性產生一定影響的功能實體包含以下幾個方面:
a)多種類型的接入網絡:在相當長的一段過渡時間內,必定存在多種形式的接入網絡(比如GSM、3G接入網、WLAN等)。
b)Internet技術的應用:各種網絡功能將越來越多地基于Internet技術。
c)靈活的終端功能:利用(U)用戶識別卡(SIM)和移動臺應用執行環境(MexE)(相對安全性較差),用戶可下載更多新業務和服務功能到終端設備。
d)個人無線網絡:移動終端還可以利用藍牙等新技術與本地無線網絡進行通信。
1.4攻擊模型分析
根據3G安全目標和系統組成,可以定義下列攻擊模型:
a)當移動終端成為電子商務或類似業務的平臺時,在應用層進行攻擊就將是一個很普遍的做法。
b)當接入網的安全性能不斷提高時,核心網就成為了以后攻擊的重點。
c)移動無線檢測設備的價格正在不斷下調,這就給惡意攻擊者創造了條件,便于對現有網絡進行破壞。而且,這些設備一般都是以軟件為基礎的,只要修改相應的部分就可以仿造現有網絡。另外,IP技術的應用也使得惡意節點容易偽裝成核心網節點。因此,應采取措施防止主動攻擊。
d)由于移動終端的功能越來越依賴于軟件技術,雖然這在一定程度上提高了終端功能的靈活性,但是也使得惡意者可以利用偽“移動代碼”或“病毒”攻擊終端軟件。
這些攻擊模型是我們分析3G安全方案的基礎,我們也可以把這些攻擊模型進行分類,比如非授權入網、拒絕承認服務、完整性威脅,等等。
1.5安全性需求
安全性需求是與系統威脅相對應的,更確切地說,安全性需求可以從各種各樣的攻擊形式中得出,它的目標就是克服這些可能的安全缺陷。
2、3G安全技術分析
2.1入網安全
用戶信息是通過開放的無線信道進行傳輸,因而很容易受到攻擊。第二代移動通信系統的安全標準也主要關注的是移動臺到網絡的無線接入這一部分安全性能。在3G系統中,提供了相對于GSM而言更強的安全接入控制,同時考慮了與GSM的兼容性,使得GSM平滑地向3G過渡。與GSM中一樣,3G中用戶端接入網安全也是基于一個物理和邏輯上均獨立的智能卡設備,即USIM。
未來的接入網安全技術將主要關注的是如何支持在各異種接入媒體包括蜂窩網、無線局域網以及固定網之間的全球無縫漫游。這將是一個全新的研究領域。
2.2核心網安全技術
與第二代移動通信系統一樣,3GPP組織最初也并未定義核心網安全技術。但是隨著技術的不斷發展,核心網安全也已受到了人們的廣泛關注,在可以預見的未來,它必將被列入3GPP的標準化規定。目前一個明顯的趨勢是,3G核心網將向全IP網過渡,因而它必然要面對IP網所固有的一系列問題。因特網安全技術也將在3G網中發揮越來越重要的作用,移動無線因特網論壇(MWIF)就致力于為3GPP定義一個統一的結構。
2.3傳輸層安全
盡管現在已經采取了各種各樣的安全措施來抵抗網絡層的攻擊,但是隨著WAP和Internet業務的廣泛使用,傳輸層的安全也越來越受到人們的重視。在這一領域的相關協議包括WAP論壇的無線傳輸層安全(WTLS),IEFT定義的傳輸層安全(TLS)或其之前定義的Socket層安全(SSL)。這些技術主要是采用公鑰加密方法,因而PKI技術可被利用來進行必要的數字與接入網安全類似,用戶端傳輸層的安全也是基于智能卡設備。在WAP中即定義了WIM。當然在實際應用中,可以把WIM嵌入到USIM中去。但是現階段WAP服務的傳輸層安全解決方案中仍存在著缺陷:WTLS不提供端到端的安全保護。當一個使用WAP協議的移動代理節點要與基于IP技術的網絡提供商進行通信時,就需要通過WAP網關,而WTLS的安全保護就終結在WAP網關部分。如何能夠提供完整的端到端安全保護,已經成為了WAP論壇和IETF關注的熱點問題。
2.4應用層安全
在3G系統中,除提供傳統的話音業務外,電子商務、電子貿易、網絡服務等新型業務將成為3G的重要業務發展點。因而3G將更多地考慮在應用層提供安全保護機制。
端到端的安全以及數字簽名可以利用標準化SIM應用工具包來實現,在SIM/USIM和網絡SIM應用工具提供商之間建立一條安全的通道。SIM應用工具包安全定義可以見3GPPGSMTS03.48。
2.5代碼安全
在第二代移動通信系統中,所能提供的服務都是固定的、標準化的,但是在3G系統中各種服務可以通過系統定義的標準化工具包來定制(比如3GPPTS23.057定義的MexE)。MExE提供了一系列標準化工具包,可以支持手機終端進行新業務和新功能的下載。在這一過程中,雖然考慮了一定的安全保護機制,但相對有限。
MExE的使用增強了終端的靈活性,但也使得惡意攻擊者可以利用偽“移動代碼”或“病毒”對移動終端軟件進行破壞。為了抵御攻擊,MExE定義了有限的一部分安全機制,具體如下:首先定義了3個信任域節點,分別由運營商、制造商和第三方服務提供商控制,另外還定義了一個非信任的發送節點。移動代碼在這些節點上的可執行功能是由一個標準化列表嚴格規定的。當然信任域節點具有一定的優先級。移動代碼在執行特定功能前,MExE終端會先檢查代碼的數字簽名來驗證代碼是否被授權。
簽名認證,提供給那些需要在傳輸層建立安全通信的實體以安全保障。
MExE中數字簽名的使用需要用到合適的PKI技術來進行數字認證。公鑰系統的信任節點是那些位于認證等級最高層的根公鑰。MExE允許根公鑰內嵌入3個信任域節點設備中,并由其控制對哪些實體對象進行認證。但如何保證由數字簽名建立的信任鏈能夠真正為用戶提供安全的應用服務還是一個尚待解決的問題。
2.6個人無線網絡安全
3G終端的硬件設備形式是多樣化的。例如使用藍牙技術的無線局域網就允許各種物理終端設備自由加入和退出。這些終端包括手機電話、電子錢包、PDA以及其它共享設備等等。考慮個人無線局域網內通信安全也是很必要的。
3、結束語
相對于第二代移動通信系統,3G系統的安全機制有了較強的改善,不僅保留了第二代移動通信系統中已被證明是必須的和穩健的安全元素,而且還改進了第二代移動通信系統中的眾多安全弱點。目前3G網絡接入域的安全規范已經成熟,網絡域安全、終端安全規范還在制訂中,網絡的安全管理及其它規范等剛剛起步。本文從一個整體的角度,對3G的安全體系結構做了一個詳細的分析,對未來的移動通信安全具有一定的指導意義。
參考文獻:
1、《3G核心網技術》作者:劉韻潔,張云勇,張3、江,朱士鈞,郝文化-2006
2、《數據網絡與通信》作者:潘科、盧亞宏、郭傳偉-2006
3、《信息對抗與網絡安全》作者:賀雪晨陳林玲-2006
4、《網絡與信息安全》作者:胡錚-2006
5、《移動通信原理、系統、技術》作者:曹達仲-2004
【3G時代的網絡通信安全技術探討論文】相關文章:
3G后傳播時代的手機媒體論文摘要05-01
3G時代的傳媒變局04-29
安全評價技術的探討04-30
云杉繁育技術的探討論文04-29
電子商務的3G時代04-30
虛擬城市的開發技術探討工學論文04-30
對黃巖栽培技術的探討論文04-29
黃巖栽培技術的探討論文04-29
基于GPS在3G時代應用的分析04-28