以3G網(wǎng)絡(luò)為基礎(chǔ)的企業(yè)數(shù)據(jù)通信安全

摘要:3G網(wǎng)絡(luò)做為第三代移動通信標(biāo)準(zhǔn)，已經(jīng)在我國通信領(lǐng)域廣范圍應(yīng)用。與普通用戶的通信服務(wù)相比，安全性成為企業(yè)級數(shù)據(jù)通信的重要問題。本文簡要介紹了3G網(wǎng)絡(luò)通信模式的基本發(fā)展和構(gòu)成，深入分析了基于3G網(wǎng)絡(luò)的企業(yè)通信安全機(jī)制。

關(guān)鍵詞:3G網(wǎng)絡(luò)企業(yè)數(shù)據(jù)通信安全

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1672-3791(2011)02(b)-0009-01

對更大容量、更高傳輸速率需求的持續(xù)增長推動了第三代移動通信系統(tǒng)——3G標(biāo)準(zhǔn)的制定。3G是個(gè)人通信發(fā)展的新階段，它引入IP技術(shù)，除了傳統(tǒng)的語音業(yè)務(wù)外，還包括多媒體業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)以及電子商務(wù)、電子貿(mào)易和互聯(lián)網(wǎng)提供的多種信息業(yè)務(wù)，信息的傳輸既經(jīng)過全開放的無線鏈路，亦經(jīng)過開放的全球有線網(wǎng)絡(luò)。而企業(yè)級的數(shù)據(jù)通信體系建立，也是3G網(wǎng)絡(luò)廣泛應(yīng)用的直接體現(xiàn)。現(xiàn)在復(fù)雜的企業(yè)競爭環(huán)境下，數(shù)據(jù)通信的安全問題就成為了企業(yè)數(shù)據(jù)通信的重要課題。

13G網(wǎng)絡(luò)通信模式概述

3G全稱為3rd Generation，中文意思是第三代數(shù)字通信，是相對于第一代和第二代通信技術(shù)而言的。1995年問世的第一代模擬制式手機(jī)(1G)只能進(jìn)行語音通話;1996到1997年出現(xiàn)的第二代GSM、CDMA等數(shù)字制式手機(jī)(2G)便增加了接收數(shù)據(jù)的功能，如接收電子郵件或網(wǎng)頁。數(shù)字越高，代表該通信技術(shù)越先進(jìn)。目前主要是2.75G，中國3G網(wǎng)絡(luò)正在普及階段。相對第一代和第二代，第三代通信技術(shù)是將無線通信與國際互聯(lián)網(wǎng)等多媒體通信結(jié)合的新一代移動通信系統(tǒng)。它能夠處理圖像、音樂、視頻流等多種媒體形式，提供包括網(wǎng)頁瀏覽、電話會議、電子商務(wù)等多種信息服務(wù)。為了提供這種服務(wù)，無線網(wǎng)絡(luò)必須能夠支持不同的數(shù)據(jù)傳輸速度，也就是說在室內(nèi)、室外和行車的環(huán)境中能夠分別支持至少2Mbit/s、384kbit/s以及144kbit/s的傳輸速率。發(fā)展第三代移動通信網(wǎng)絡(luò)的目的，主要是整合移動通信與Internet的相關(guān)服務(wù)，使得移動通信網(wǎng)絡(luò)也能提供Intemet相關(guān)的數(shù)據(jù)服務(wù)功能。第三代移動通信系統(tǒng)的基本架構(gòu)包括以下內(nèi)容。

基站系統(tǒng)(Node B):一個(gè)NodeB可包含一個(gè)或多個(gè)基地發(fā)射站(13TS)，BTS用來提供位于該服務(wù)區(qū)域內(nèi)移動用戶所需的無線通信接口。

無線電網(wǎng)絡(luò)控制臺(Radio Network Controller，RNC):管轄一個(gè)或多個(gè)NodeB，并負(fù)責(zé)提供所管轄NodeB間的交替工作及提供所管轄BTS的資源管理。

移動交換中心(MSC/SGSN):是第三代移動通信系統(tǒng)的中樞，可提供線路交換(Circuit-Switching)及數(shù)據(jù)交換(Packet-Switching)功能，為服務(wù)范圍內(nèi)的移動用戶執(zhí)行交換與轉(zhuǎn)接的服務(wù)。

訪客位置記錄器(VLR):主要負(fù)責(zé)存儲漫游到此服務(wù)區(qū)中的移動用戶的相關(guān)數(shù)據(jù)。

本地位置記錄器(HLR):主要負(fù)責(zé)存儲所有移動用戶的相關(guān)數(shù)據(jù)，以作為越區(qū)辨識及記賬的依據(jù)。

認(rèn)證中心(AuC):存儲所有用戶的IMSI及相對應(yīng)的認(rèn)證密鑰，供后續(xù)執(zhí)行相關(guān)安全機(jī)制之用。

移動站(MS):由移動設(shè)備(Mobile Equipment，ME)與類似SIM卡的UICC卡(UMTS IC Card)組成的。UICC卡內(nèi)含有用戶服務(wù)識別模塊(User Service Identity Module，USIM)，這個(gè)模塊內(nèi)存有／1至蘆的密碼機(jī)制算法，它們是由公開的MILENAGE算法推算而來的。而ME內(nèi)則存有聲與戶的密碼算法，它們是由公開的KASUMI算法推算而來的。

2基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全機(jī)制

第二代移動通信系統(tǒng)的驗(yàn)證機(jī)制是采用網(wǎng)絡(luò)對用戶的驗(yàn)證方式，來防止非法用戶進(jìn)入合法的網(wǎng)絡(luò)，但卻沒有提供用戶對網(wǎng)絡(luò)的驗(yàn)證機(jī)制，來防止合法用戶進(jìn)入非法的網(wǎng)絡(luò)。為了解決這一缺點(diǎn)，第三代移動通信增加了用戶對網(wǎng)絡(luò)的驗(yàn)證機(jī)制。另外，為確保用戶數(shù)據(jù)在無線電波傳輸時(shí)不被截取或篡改，第三代移動通信系統(tǒng)也新增了機(jī)密性及完整性的保護(hù)機(jī)制。第三代移動通信系統(tǒng)的相關(guān)安全機(jī)制如下。

2.1 用戶身份的保密性

該機(jī)制與第二代通信系統(tǒng)相似，移動用戶利用暫時(shí)眭的用戶識別碼TMSI向網(wǎng)絡(luò)證明自己的身份，而不使用真實(shí)的用戶識別碼IMSI，目的是降低IMSI暴露后可能被竊取的風(fēng)險(xiǎn)。一旦VLR驗(yàn)證MS的舊TMSI無誤后，就會產(chǎn)生一個(gè)新的TMSI給MS。為了避免TMSI數(shù)據(jù)外泄，TMSI在無線電波中傳輸時(shí)將給予加密保護(hù)。MS解出TMSI密碼后存入SIM卡，并回復(fù)VLR已收到新的TMSI。當(dāng)移動用戶不在同一個(gè)VLR服務(wù)區(qū)域時(shí)，MS與VLR會先進(jìn)行相互身份驗(yàn)證(此機(jī)制后面會有介紹)，新的VLR會在該用戶通過身份驗(yàn)證后，發(fā)送一個(gè)新的TMSI給該用戶，并刪除舊的TMSI。

2.2 網(wǎng)絡(luò)與用戶的雙向驗(yàn)證機(jī)制

第三代移動通信系統(tǒng)中，網(wǎng)絡(luò)與用戶進(jìn)行雙向驗(yàn)證的步驟如下:當(dāng)移動用戶進(jìn)入一個(gè)新的VLR所管轄的區(qū)域時(shí)，會先利用TMSI來識別用戶的身份，再以挑戰(zhàn)及響應(yīng)的詢問方式來識別用戶身份。移動用戶在通過身份驗(yàn)證之后，便可以開始進(jìn)行通信，進(jìn)入數(shù)據(jù)完整性及加解密的安全機(jī)制。

2.3 數(shù)據(jù)完整性機(jī)制

驗(yàn)證數(shù)據(jù)完整性所需的秘密密鑰，是之前AuC與客戶端根據(jù)密鑰K及參數(shù)RAND，通過f4算法所計(jì)算出來的參數(shù)IK。傳送端將信息(Message)及外加的1位方向識別碼(Direction)、32位的時(shí)變序號值(Count-1)和32位的網(wǎng)絡(luò)端變數(shù)(Fresh)與IK一起通過f9算法計(jì)算后，得到MAC-1驗(yàn)證碼，然后再將MAC-1連同要傳輸?shù)臄?shù)據(jù)—起傳送給驗(yàn)證端。接收端只要依據(jù)相同的程序以及秘密密鑰K計(jì)算出MAC-1并與所收到的MAC-1對比是否相同，若相同則可確認(rèn)該傳輸數(shù)據(jù)的完整性。用戶對網(wǎng)絡(luò)數(shù)據(jù)-的完整性驗(yàn)證與網(wǎng)絡(luò)對用戶數(shù)據(jù)的完整性驗(yàn)證都可通過傳送MAC-1來完成。

2.4 數(shù)據(jù)加解密機(jī)制

針對在無線電波中傳送的數(shù)據(jù)，第三代通信系統(tǒng)也提供相關(guān)的加解密機(jī)制來保護(hù)傳送數(shù)據(jù)的機(jī)密性。該加密機(jī)制所使用的加解密密鑰是由f3算法所計(jì)算出來的參數(shù)CK。傳送端將參數(shù)Bearer、Direction、Count-C、Length及CK通過f8算法計(jì)算后產(chǎn)生一個(gè)密鑰流塊(Key Stream Block)，然后再將此塊與要傳送的數(shù)據(jù)進(jìn)行XOR計(jì)算，便可得到密文，再將密文傳送到另一端。其中，參數(shù)Bearer為5位的載送識別碼，Direction為1位的方向識別碼，Count-C為32位的時(shí)變序號值，Length為16位的輸入數(shù)據(jù)長度指示器。接收端收到密文塊后，同樣可計(jì)算出相同的密鑰流塊，并將其與所得到的密文進(jìn)行XOR計(jì)算，便可得到明文。

3結(jié)語

基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信的安全，要確保所有用戶產(chǎn)生或與用戶相關(guān)的信息得到足夠的保護(hù)，以防濫用或盜用;要確保歸屬網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)提供的資源與服務(wù)得到足夠保護(hù)，以防濫用或盜用;要確保安全特性標(biāo)準(zhǔn)化，具有全球兼容能力;要確保安全特征的標(biāo)準(zhǔn)化，保證不同服務(wù)網(wǎng)絡(luò)間的漫游與全球互操作能力;要確保提供給用戶與運(yùn)營商的安全保護(hù)水平高于已有固定或移動網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]鄧霄博，杜勇，朱偉光，等.基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案[J].電信科學(xué)，2010，(8):102～106.

[2]姚希.3G通信網(wǎng)絡(luò)的安全分析[J].中國科技博覽，2010(1):144～144.