提高移動通信傳輸網絡安全性的探討

摘要：隨著技術的成熟和移動數據業務的出現，用戶比以前更加關注移動通信的安全問題。3G移動通信系統的特色是為用戶提供中高速的數據業務，以及諸如電子商務、互聯網服務等業務，因此在3G移動通信系統中如何保證網絡和業務信息的安全性已成為重要的課題。文章在分析了2G移動通信的安全漏洞的基礎上，重點研究了3G移動通信的安全技術，包括3G面臨的安全威脅，3G的安全原則、安全目標，3G安全網絡結構。

關鍵詞：第三代移動通信；安全技術；3GPP；數據完整性

移動通信的發展大致經歷了三代：第一代模擬蜂窩移動通信系統；第二代數字蜂窩移動通信系統（2G），主要有基于時分多（TDMA）的GSM系統、DAMPS系統以及基于碼分多址（CDMA）的CDMA－one系統；第三代移動通信系統（3G）在2G的基礎上進行了改進，在兼顧通信基本需求的同時更加側重網絡融合的概念。同時，系統的安全也經歷了從幾乎沒有任何安全措施到采用共享秘密數據（私鑰）的安全協議，再到更加完善的安全特征與鑒權服務的發展?？梢?，伴隨移動通信系統的發展，網絡安全問題也日益凸顯。特別是在將來，3G移動通信系統除了能提供傳統的語音、數據、多媒體業務外，還應當能支持電子商務、電子支付、股票交易、互聯網業務等，個人智能終端將獲得廣泛使用，移動通信最終會演變成開放式的網絡，向用戶提供各種開放式的應用程序接口，以滿足用戶的個性化需求。因此，網絡的開放性以及無線傳輸的特性，使安全問題成為整個移動通信系統最核心的問題之一。

1安全風險分析

1.1應用方面的安全風險

利用手機軟件及系統本身應用軟件的漏洞傳播病毒、植入木馬，從而實現非授權的應用訪問，即外部用戶獲取對非授權服務的訪問，服務網內部人員濫用權限獲取對非授權服務的訪問，在數據庫中修改、插入、重放、刪除用戶數據或信令數據以破壞整個系統數據的完整性。

1.2網絡方面的安全風險

在無線鏈路或系統服務網內竊聽用戶數據、信令數據及控制數據或偽裝成網絡單元截取用戶數據、信令數據及控制數據，從而得以偽裝終端欺騙網絡獲取服務。干擾用戶數據、信令數據及控制數據，造成移動通信網絡資源耗盡，即通過使網絡服務過載耗盡網絡資源，導致合法用戶無法訪問。

以上分析表明，3G系統面臨的安全問題與以往的移動通信網絡有本質的不同。3G最重要的安全問題是IP網絡的安全和基于IP技術應用的安全。這里的IP網不僅指承載網，更指業務網；IP應用也不僅指因特網瀏覽、下載、郵件等應用，也包括承載IP協議的移動通信系統控制信令和數據。對未來的3G運營商而言，系統建設之前的安全體系結構規劃最為關鍵。3G建成后如何有效地管理3G系統，使之可以應對各種安全威脅，也需要借鑒現有IP網絡和IP應用的經驗，制定適應3G系統特點的安全管理策略和措施。

2應對措施

2.1在人機接口集中的部分綜合部署入侵檢測、用戶認證、數據加密等安全技術，實現對管理面的安全保證無線接入網絡（RAN）和核心網絡（CN）的功能可劃分為控制面、數據面和管理面。3個平面相對獨立，通過預定義的呼叫流程配合工作。作為承載無線側各網元之間的信令和數據的IP網絡，所有信令和數據采用特定的TCP／IP協議進行封裝，其源地址、目的地址、協議端口號等流信息是可預測、可控制的。在此基礎上，有必要建立虛擬子網（VLAN）或虛擬專網（VPN）來實現不同層次信令與數據的邏輯分離，從而實現對控制、數據和管理3個面的QOS管理和安全管理。同時采用IPSec進行IP數據的加密，采用SNMPv3、SSH、SSL等網管接口協議。

2.2在統一的物理網絡接入平臺上構建各種基于業務的邏輯專網（VPN）

因為在多種應用混雜的核心業務網絡上部署安全設備和安全措施起不到足夠的支撐，而將安全措施集中在所有流量的出口，安全設備的性能又成為網絡的瓶頸。最好的措施是在統一的物理網絡接入平臺上構建各種基于業務的邏輯專網（VPN）。邏輯專網可以構建在IP流“特征五元組（源地址、源端口、目的地址、目的端口、協議）”的基礎上，也可以構建在接入點名（APN）／用戶接入標識（NAI）／主叫號碼（Calling－Station－Id）的基礎上。用戶應用層的IP數據在其專網上被封裝為GTP或GRE格式進行傳輸，直到被業務網絡之間的網關（GGSN／PDSN）解封裝并轉發到業務網絡。以全網統一的業務分類為指導，理清每種業務的數據流向和流量特點，實現層次清晰的虛擬業務專網。在此基礎上可以實現：以邏輯專網為單位的安全防御體系；在每種業務中有針對性地部署和強化統一安全策略；業務擴展的安全性、獨立性和靈活性；基于業務的流量匯聚和統計。對業務專網的管理應當遵循中心監控、邊緣部署的原則，以便及時發現和處理網絡中的黑客行為和病毒傳播，加快安全響應的速度，并將安全防御措施對業務網絡的影響程度降到最低。

2.3采用“網絡準入控制（NCA）”機制對用戶終端進行認證。用戶終端設備在3G移動通信系統的網絡安全體系中，既是受保護對象，更是需要加以重點防范的對象。網絡中有限的入侵檢測和流量過濾設備不足以應對數以億計終端的保護和防范。因此對3G用戶終端設備的安全保障，將主要依賴終端本身的安全功能。通過在線方式對終端的軟件版本和安全狀態進行調查和評估，檢查其當前防病毒狀態以及操作系統補丁水平。禁止不兼容設備接入，將其放置在隔離區或只允許有限訪問計算資源。盡可能地把安全性不完善的終端拒絕在3G網絡以外，從而實現主動的安全防御。

3結束語

3G是一個嶄新的系統，其技術的發展和網絡的商用，為智能交通的數字、語音和視頻圖像等信息的實時傳輸、監控、調度發揮了重要作用。針對層出不窮的新數據業務，特別是對數據安全性提出了更高要求。3G系統目前只在少數國家展開試運營，但從其前景來看具有極大的發展空間，研究3G的安全性具有重要的現實意義。

參考文獻

[1]曾勇， 舒燕梅#8226;3G給信息安全帶來前景 [J].信息安全與通信保密，2009，21(4):45-47.

[2]鄧娟，蔣磊.3G網絡時代移動電子商務安全淺析 [J].電腦知識與技術，2009，16(6):113-115.

[3] 劉岵，肖征榮，呂述望.3G系統演進中的安全問題[J] .數據通信， 2007， 19(1): 21-24.