3G通信网络的安全分析

2023-02-13

3 G是一个在全球范围内覆盖与使用的网络系统。信息的传输既经过全开放的无线链路, 亦经过开放的全球有线网络。同时, 在第三代移动通信系统中, 除了传统的语音业务外, 它还提供多媒体业务、数据业务、以及电子商务、电子贸易、互联网服务等多种信息服务。因此, 如何在第三代移动通信系统中保证业务信息的安全性以及网络资源使用的安全性已成为3 G系统中重要而迫切的问题。

1 3G系统的安全要求

(1) 保证业务接入的需要除紧急呼叫外, 接入任何第三代移动通信系统的业务都应该需要一有效的U S I M, 由网络决定紧急呼叫是否需要U S I M。应防止入侵者通过伪装成合法用户来非法接入3 G业务。用户可以在业务开始、传送期间验证服务网是合法的, 以用户归属环境提供3G业务。 (2) 保证业务提供的需要对业务提供者可以在业务开始、传送期间验证用户的合法性, 以防止入侵者通过伪装或误用权限来接入3 G业务。应能检测和阻止欺诈性的使用业务和安全有关的事件发生时可以向业务提供者报警并产生相应的记录。应防止使用特殊的U S I M接入3 G业务。对某些用户, 服务网络提供的归属环境可以立即停止它所提供的所有业务。对服务网络, 在无线接口上可以验证用户业务、信令数据和控制数据的发起者。通过逻辑手段限制业务的获得来阻止入侵者。对网络运营商, 应加强基础网络的安全性。 (3) 满足系统完整性的需要应防止越权修改用户业务, 防止越权修改某些信令数据和控制数据, 特别是在无线接口上。防止越权修改的和用户有关的数据下载到或存储在终端或U S I M中。防止越权修改由提供者存储或处理的、和用户有关的数据。 (4) 保护个人数据的要求, 应可以保证某些信令数据和控制数据、用户业务、用户身份数据、用户位置数据的保密性, 特别是在无线接口上, 应防止参与特定3 G业务的用户位置数据不必要地泄露给同一业务的其它参与者。用户可以检查它的业务及与呼叫有关的信息是否需要保密。应可以保证由提供者存储或处理的、和用户有关的数据的保密性。 (5) 对终端用S I M的要求应可以控制接入到一Us IM, 以便用户只使用它来接入3G业务。可以控制获得USIM中的数据, 如某些数据只有授权的归属环境才能获得。 (6) 合法的窃听的要求依国家相关法律, 3 G可以为执法机构提供检测和窃听每一个呼叫和呼叫尝试, 和其它服务。

2 3G安全技术分析

2.1接入网安全

用户信息是通过开放的无线信道进行传输, 因而很容易受到攻击。第二代移动通信系统的安全标准也主要关注的是移动台到网络的无线接入这一部分安全性能。在3G系统中, 提供了相对于GSM而言更强的安全接入控制, 同时考虑了与G S M的兼容性, 使得GSM平滑地向3G过渡。与GSM中一样, 3 G中用户端接入网安全也是基于一个物理和逻辑上均独立的智能卡设备, 即U S I M。未来的接入网安全技术将主要关注的是如何支持在各异种接入媒体包括蜂窝网、无线局域网以及固定网之间的全球无缝漫游。这将是一个全新的研究领域。

2.2核心网安全技术

与第二代移动通信系统一样, 3 G P P组织最初也并未定义核心网安全技术。但是随着技术的不断发展, 核心网安全也已受到了人们的广泛关注, 在可以预见的未来, 它必将被列入3 G P P的标准化规定。目前一个明显的趋势是, 3 G核心网将向全I P网过渡, 因而它必然要面对I P网所固有的一系列问题。因特网安全技术也将在3 G网中发挥越来越重要的作用, 移动无线因特网论坛 (Mwi F) 就致力于为3GPP定义一个统一的结构。

2.3传输层安全

尽管现在已经采取了各种各样的安全措施来抵抗网络层的攻击, 但是随着W A P和I n t e r n e t业务的广泛使用, 传输层的安全也越来越受到人们的重视。在这一领域的相关协议包括W A P论坛的无线传输层安全 (WTLS) , IEFT定义的传输层安全 (TLS) 或其之前定义的Socket层安全 (SSL) 。这些技术主要是采用公钥加密方法, 因而P K I技术可被利用来进行必要的数字签名认证, 提供给那些需要在传输层建立安全通信的实体以安全保障。与接入网安全类似, 用户端传输层的安全也是基于智能卡设备。在W A P中即定义了W I M, 当然在实际应用中, 可以把W I M嵌入到U S I M中去。当一个使用W A P协议的移动代理节点要与基于I P技术的网络提供商进行通信时, 就需要通过W A P网关, 而W T L S的安全保护就终结在认叭P网关部分。如何能够提供完整的端到端安全保护, 已经成为了W A P论坛和I E T F关注的热点问题。

2.4应用层安全

在3 G系统中, 除提供传统的话音业务外, 电子商务、电子贸易、网络服务等新型业务将成为3 G的重要业务发展点。因而3 G将更多地考虑在应用层提供安全保护机制。端到端的安全以及数字签名可以利用标准化S I M应用工具包来实现, 在S I M/USIM和网络SIM应用工具提供商之间建立一条安全的通道。S I M应用工具包安全定义可以见3GPPGSMTS303.48。

2.5代码安全

在第二代移动通信系统中, 所能提供的服务都是固定的、标准化的, 但是在3 G系统中各种服务可以通过系统定义的标准化工具包来定制 (比如3GPPTS23.057定义的M E x E) 。M E x E提供了一系列标准化工具包, 可以支持手机终端进行新业务和新功能的下载。在这一过程中, 虽然考虑了一定的安全保护机制, 但相对有限。

M E x E的使用增强了终端的灵活性, 但也使得恶意攻击者可以利用伪“移动代码”或“病毒”对移动终端软件进行破坏。为了抵御攻击, M E x E定义了有限的一部分安全机制, 具体如下:首先定义了3个信任域节点, 分别由运营商、制造商和第三方服务提供商控制, 另外还定义了一个非信任的发送节点。移动代码在这些节点上的可执行功能是由一个标准化列表严格规定的。当然信任域节点具有一定的优先级。移动代码在执行特定功能前, M E x E终端会先检查代码的数字签名来验证代码是否被授权。

M E x E中数字签名的使用需要用到合适的P K I技术来进行数字认证。公钥系统的信任节点是那些位于认证等级最高层的根公钥。M E x E允许根公钥内嵌入3个信任域节点设备中, 并由其控制对哪些实体对象进行认证。但如何保证由数字签名建立的信任链能够真正为用户提供安全的应用服务还是一个尚待解决的问题。

2.6个人无线网络安全

3 G终端的硬件设备形式是多样化的。例如使用蓝牙技术的无线局域网就允许各种物理终端设备自由加入和退出。这些终端包括手机电话、电子钱包、P D A以及其它共享设备等等。考虑个人无线局域网内通信安全也是很必要的。

3结语

3 G是一个崭新的系统, 针对层出不穷的新的数据业务, 特别是对数据安全性提出了很高要求。3 G系统目前只在少数国家展开试运营, 但从其前景来看具有极大的发展空间, 所以研究3 G的安全具有非常重要的现实意义。

摘要：本文介绍了3G系统的安全性要求, 对3G系统的安全技术进行了系统的分析, 为3G通信网络的全面实施提供了依据。

关键词：3G,通信,安全