本论文主题涵盖三篇精品范文,主要包括《网络测试论文范文(精选3篇)》,仅供参考,希望能够帮助到大家。摘要:随着企业对信息交换与数据传输的可靠性日益重视,网络测试作为保障整个信息系统正常稳定运行的重要手段应运而生。结合网络建设全生命周期阶段的划分,详细地介绍了网络测试各阶段的测试方法,测试原理及工具选取。
第一篇:网络测试论文范文
计算机网络课程中网络测试命令的应用
[摘 要]IP协议为运输层提供无连接的、尽力而为的服务,却不包括流量控制与差错控制功能,因而传输错误在所难免;源主机无法得知数据报的传输质量,因此需要提供某种机制来了解网络的状态。利用ICMP(Internet控制消息协议)的相关命令可以进行网络的基本配置、网络连通性测试及基本网络诊断,其中,PING命令在测试子划分网连通性等实际问题中的应用尤为重要。
[关键词]控制消息协议;网络命令;连通性;子网
随着计算机应用的普及,网络在日常工作和社会生活的方方面面中都起着至关重要的作用,全民进入了信息化时代。在享用网络带来的便利的同时,不法分子也在寻找网络存在的漏洞,窃取一些重要或机密的信息,这对用户来说,存在一定程度上的安全隐患,更有甚者造成了其经济上的损失。因此,加强对计算机网络安全问题的研究十分重要。
严重的攻击不仅使网络面临无法工作甚至是瘫痪的风险,还会涉及个人信息、财产等安全,更有甚者会危及生命和国家利益的安全,所以人们对网络安全的要求也越来越高。而计算机网络是非常复杂的系统,不管是否遭受到外来的攻击,即使是网络设备或主机的软硬件设置问题,都会引起网络出现异常。网络受到的攻击是层出不穷的,不同的攻击有不同的处理方法,需要具体问题具体分析,这是一个复杂的难题。作为计算机网络的初学者,要解决这样的难题是不太现实的,况且联网的计算机都会安装杀毒软件,这些杀毒软件会拦截绝大部分的攻击,所以初学者遇到网络不能正常运行或链接不上网络时,可通过ICMP方法进行测试诊断,尽可能地判断故障的原因和位置。现在网络测试命令很多也较全面,功能也很完善,由于是操作系统自带的命令,使用起来简单且操作方便,对于判断网络故障以及从事网络专业教学工作均具有现实意义。作为计算机网络课程的主教老师,以海南热带海洋学院计算机网络实验室(6501)为实验环境,介绍基于ICMP的相关命令PING命令的使用。
一、ICMP概述
ICMP是因特网的标准协议,其主要任务和功能包括提高IP数据报交付成功的机会和允许主机或路由器报告差错情况和提供有关异常的报告。ICMP差錯报告采用路由器-源主机的模式,在遇到网络故障时,可以用ICMP协议中的PING(因特网包探索器)命令来大致检查故障出现的范围,一般步骤如下:
(1)使用Ipconfig/all观测本地网络设置是否正确,主要显示接口的IP地址、子网掩码和默认网关信息,可以通过这些信息来检测TCP/IP设置是否正确。
(2)PING 127.0.0.1,PING 回送地址,是为了检查本地的TCP/IP设置情况,如果畅通表明TCP/IP的设置正确。(127.0.0.1)是每个主机系统内部设定的环回测试地址,可通过PING 127.0.0.1来测试主机的TCP/IP是否正确安装和配置正确。
(3)PING本地IP地址,是为了检测本地的IP地址设置情况。
(4)PING本网段的网关或本网段的IP地址,是为了检测硬件设备是否有问题,也可检测本机与本地网络连接是否正常。
(5)PING本地DNS,是为了检测DNS是否存在故障。
(6)PING远程IP地址,是为了检测本网或本机与外部网络的连接是否正常。
下面以实例介绍ICMP协议的一些命令的使用。
二、ICMP应用举例
实验环境:以海南热带海洋学院计算机网络实验室6501为例,安装了Windows XP/Windows 7操作系统的计算机,为本地局域网环境(交换机、多根直通线)。实验通过分组实现,每个圆桌共有六台电脑和与之匹配的小组控制机柜,每台电脑都配有实验网卡和管理网卡两张网卡,通过实验网卡与小组控制机柜连接,通过管理网卡与核心控制机柜连接。具体的实现环境如图1、图2所示。
实验要求:按照分好的6个组,每个组的学生坐在一起。组内再分每三个学生作为一小组,实验前分配好各自的实验任务,为避免实验出现混乱,三个学生需要规划好使用的主机的顺序,即A、B、C三台主机确定,再规划好IP配置(使用192.168.0.0/24这段私有IP地址),然后将实验网卡的IP地址、子网掩码、默认网关等参数记录并保留起来,实验完成后再恢复。
三、实验内容
在实验前,已检测局域网的环境,确保TCP/IP配置正确,确保实验能正常完成。
首先禁用管理网卡,防止在做第二个实验时,位于不同子网情况下两台主机通过管理网卡连接到核心控制机柜而检测出连通情况,从而得出错误的实验结论。配置实验网卡的TCP/IP属性(包括IP地址、子网掩码、网关、DNS);每台主机都要PING 127.0.0.1,PING 本机IP地址,PING 邻机IP地址,注意观察实际情况并记录;分别将相邻的2台PC机分别设置为同一子网、不同子网和相同的IP地址三种情况,再用PING命令进行测试,注意观察并记录,最后进行实验结果的分析。
1.先验证A、B两台主机位于相同子网时的连通情况。
配置主机A、主机B、主机C的实验网卡的IP地址、子网掩码等参数,使A主机、B主机、C主机在相同子网下,此时A主机的IP地址配置为192.168.7.37,B主机的IP地址配置为192.168.7.17,C主机的IP地址配置为192.168.7.7。
每台主机分别使用PING命令PING本机IP地址,并记录情况,正常情况下都是通畅的。这里只给出在A主机上通过PING命令检测到的情况如图3所示,其余的PC机与其同理可得。
在主机A和主机B上分别通过PING命令检测到对方的连通情况,这里只给出在A主机上通过PING命令检测到与B主机的连通情况,如图4所示,发送4个数据包,接收4个数据包,丢包率为0,由此可见A主机与B主机是连通的,可以进行正常的通信,在B主机上通过PING命令检测到与A机的连通情况与其同理可得。
2.然后测试A主机和B主机在不同子网的环境下的连通情况。
修改 B主机的IP地址和子网掩码,使之与A主机不在同一子网上,再次在A主机和B主机上分别通过PING命令检测到对方的连通情况,此时B主机IP地址为192.168.8.17,结束后将B主机IP地址改为初值即192.168.7.17,这里还是只给出在A主机上通过PING命令检测到与B主机的连通情况,如图5所示,发送4个数据包,接收到0个数据包,丢包率为100%,主机A和主机B是不连通的,不能进行正常的通信。在B主机上通过PING命令检测到与A主机的连通情况与其同理可得。
3.测试A主机与B主机是同一个IP地址即IP地址冲突情况下,如何判断这个相同IP地址的归属情况。
修改相邻两台计算机A、B的IP,其中B主机的IP地址设置为A主机的IP地址,即让A主机与B主机的IP地址发生冲突,观察并记录A主机、B主机上的错误消息报告情况;进入DOS命令窗口,在另外一台计算机C(IP地址与主机A/B不同)上向该IP地址发PING命令检测报文(PING IP -n 10),观察PING检测报文的返回情况,在C主机上用“nbtstat –A命令”查看此时该IP地址对应的主机名称是计算机A还是计算机B。用于显示本地计算机和远程计算机的基于 TCP/IP(NetBT) 协议的 NetBIOS 统计资料、NetBIOS名称表和NetBIOS名称缓存。NBTSTAT可以刷新NetBIOS名称缓存和注册的 Windows Internet 名称服务(WINS) 名称。使用不带参数的NBTSTAT显示帮助,如图6所示(让主机B与主机A的IP地址发生冲突步骤与此相同,同理可得,这里不再给出)。
在主机A的桌面上点击“我的电脑”-“属性”,可以查看主机A的名称“NETUSER22”,与上述实验结果一致,由此可判断此IP地址是主机A的。
四、实验结果分析
1.当两主机A与B属于相同子网时,无论是A主机PINGB主机的IP地址还是B主机PINGA主机的IP地址,结果都是连通的;当两主机A与B属于不同子网时,无论是A机PINGB主机的IP地址还是B主机PINGA主机的IP地址,结果都是PING不同的。这验证了在同一子网内的各主机间可以相互通信,不同子网内的各主机间不同通信的原理,即划分了子网。划分子网限制了接收广播信息的计算机数量,对“网络风暴”引起的计算机网络性能恶化具有隔绝作用。这种作用等同于划分VLAN,却不需要额外的网络设备和VLAN帧的标识,節省了一定的资源开销。
2.当A、B两主机中其中一台计算机B主机修改为另一台计算机A主机的IP地址,造成IP地址冲突,在相同子网的第三台计算机C主机上可以查看该IP地址是属于最初分配到该IP地址的那台计算机A主机的。这是判断主机是否遭受ARP病毒攻击还是简单的地址冲突的最为简单实用的方法。若只是简单的IP地址冲突,修改主机B的TP地址即可;若是遭受ARP病毒攻击,可继续监测攻击的源头,并采取对应的ARP攻击的安全策略。
3.PING(Packet Internet Groper)命令即因特网包探索器,主要用来测试网络是否通畅或者网络连接速度的命令。PING命令通过发送一个ICMP报文,回复请求消息给目的主机并报告是否收到所希望的ICMP echo (ICMP回复应答)。它对一个网络地址发送测试数据包,看该网络地址是否有响应并统计响应时间,以此测试网络。PING和ICMP报文的关系如下:PING命令发送数据使用的是ICMP协议。从专业技术角度来说,ICMP报文就是一个“错误侦测与回报机制”,其目的是让网络使用者及管理者能够检测网路的连线状况,确保连线的准确性,主要有侦测通信的目的主机是否存在、建立及维护路由资料以及ICMP重定向、流量控制等功能;ICMP报文主要是通过不同的Type与Code让机器识别不同的连线状况来进行沟通的。ICMP 是个非常有用的协议﹐尤其是当我们要对网路连接状况进行判断的时候,所以对于网络安全具有极其重要的意义。但它本身的特点决定了它极易被用于攻击网络上的路由器和主机。虽然ICMP协议给黑客以可乘之机,但是对于ICMP攻击也并非束手无策,只要在日常网络管理中提前做好预防准备,就可以有效地避免因遭受ICMP攻击造成的损失,这就要求网络管理员对网络进行管理时要做到未雨绸缪,技术精益求精。
五、结论
迅速发展的计算机网络是一把双刃剑,人们办公、学习都依赖网络,只有保证用户的网络安全,才能真正享受网络带给我们的便利。本文以海南热带海洋学院计算机网络实验室为实验环境,向初学计算机网络的学生介绍了ICMP的功能及一些常用命令的使用及其在网络诊断中起到的重要作用,验证了PING等命令的使用。计算机网络等计算机主干课程因其课程本身具有知识面广、综合知识集成度高等特点,成为培养应用型人才的有效知识载体。但计算机网络理论内容较抽象且复杂难懂,通过将理论和实践相结合的实验教学培养学生的应用能力,可以促进学生学习的动力,也加深了学生对PING命令使用的理解,更有效地促进了教学效果。
[ 参 考 文 献 ]
[1] 谢希仁.计算机网络(第7版)[M].北京:电子工业出版社,2017.
[2] 张宇. Ping命令在计算机网络检测中的使用及其病毒防范[J]. 软件导刊,2013(9):157-159.
[3] 傅杰华. 谈Ping命令在网络维护中应用[J]. 信息与电脑. 2011(4):114-115.
[4] 陈晶,张鲲.编译原理课程中类比教学法的研究[J].软件,2017(7):55-57.
[5] 王小龙,陈英.论子网掩码在网络划分中的使用[J].数字技术与应用,2013(3):62.
[6] 易文泉.Ping命令应答信息剖析 [J].信息与电脑(理论版),2016(17):143-144.
[7] Kun ZHANG, Haifeng WANG, Xiaoyan CHEN. Research on Teaching Reform of Computer Course Based on Computational Thinking[C]. DEStech Transactions on Social Science, Education and Human Science, 2017 International Conference on Education Innovation and Economic Management (EIEM2017):109-113.
[8] 陈晶,张鲲.类比教学法在计算机专业主干课程中的应用研究[J].教育现代化,2017(43):139-140+156.
[责任编辑:钟 岚]
作者:陈晶 张鲲
第二篇:网络测试研究
摘要:随着企业对信息交换与数据传输的可靠性日益重视,网络测试作为保障整个信息系统正常稳定运行的重要手段应运而生。结合网络建设全生命周期阶段的划分,详细地介绍了网络测试各阶段的测试方法,测试原理及工具选取。
关键词:网络测试;网络仿真;网络应用
Network Testing
MENG Yan, YANG Jin-feng
(Software Testing Center of State Grid Electric Power Research Institute, Hefei 230000, China)
Key words: network testing; network simulation; applications of computer networks
随着信息技术的飞速发展、信息化建设的不断深入,人们对信息系统的依赖也越来越深。计算机网络作为整个信息系统的运行基础与底层平台,其正确,可靠,安全,稳定的运行对于信息系统与信息应用至关重要。在这样的发展背景下,网络测试作为保障整个信息系统正常稳定运行的重要手段,日益受到重视。
网络测试是整个信息系统的系统级测试的重要组成部分[3],包括从最底层的物理传输层即网络布线测试,到网络平台测试,再到系统主机测试,最后到上层应用系统的测试网络测试。能够有效的发现网络系统的自身故障与潜在隐患,就可降低网络运行的风险,提高网络系统的可靠性与稳定性。本文结合网络建设全生命周期的划分对各阶段网络测试的方法进行分析,图1是网络建设全生命周期的三个阶段划分。
其中规划设计阶段主要的测试目的是利用网络仿真技术测试设计方案,以及对网络设备进行评估测试,为网络选型提供依据;网络实施阶段的主要测试目的是保证系统可用性和稳定性(吞吐量、包转发率、丢包率等);网络与应用系统集成阶段的主要测试目的是为了保证应用系统在网络平台上的性能。
1 网络规划设计阶段的测试
网络工程是一个复杂的系统工程,通信网络结构规模的日趋庞大复杂,网络的性能也变得越加难以预测。如何尽早对设计的网络性能和服务质量进行验证,降低网络组建的投资风险。单纯地依靠经验来进行网络的规划和设计、对现用网络的修改已经不能适应当前网络的飞速发展,且方案的适用性也不能得到证明。在这种情况下,具有高可信度、良好的预测能力、使用范围大、初期应用成本不高的特点的网络仿真技术,被越来越多的运用于规划验证中,已经逐渐成为网络规划、设计和开发中的主流技术。使用网络仿真技术,能够为网络的规划设计提供可靠的定量结果,而且,能够验证方案或比较多个不同的设计方案,为企业选择出最适合的方案。
1.1 网络仿真技术原理
网络仿真是一种利用数学建模和统计分析的方法模拟网络行为,通过建立网络设备和网络链路的统计模型,模拟网络流量的传输,从而获取网络设计及优化所需要的网络性能数据的一种高新技术。数学建模包括网络建模(网络设备、通信链路等)和流量建模两个部分。模拟网络行为是指模拟网络流量在实际网络中传输和交换的过程。网络模拟获取的网络特性参数包括网络全局性能统计量、网络节点的性能统计量、网络链路的流量和延迟等,由此即可有获取某些业务层的统计数据,也可以得到协议内部的某些特殊的参数的统计结果[1]。
1.2 网络仿真软件
常用的网络仿真软件有Berkeley NS,可以进行对固定,无线,卫星以及混合等多种网络的仿真,其仿真主要针对路由层,传输层,数据链路层展开; OMNet++,是一个免费的、开源的多协议网络仿真软件,只在学术和非盈利性活动免费;OPNET网络仿真软件,能够准确的分析复杂网络的性能和行为,以其精确的模拟方式及仿真结果受到了充分的肯定,下面具体介绍OPNET的常规应用。
OPNET软件包主要由三个模块组成:ItDecisionGuru 适合最终用户,它只有仿真、分析功能,用于优化网络性能和提高网络可用性;Modeler 在ItDecisionGuru基础上增加了建库功能,用于设计分析网络、设备和协议;Modeler/radio 在Modeler上又增加了对移动通信和卫星通信的支持。在对企业方案的选择中,主要使用Modeler模块功能。
Modeler仿真大体可以分为以下6个步骤[4]:a.配置网络拓扑结构;b.配置业务;c.确定结果统计量;d.运行仿真;e.调试;f.发布结果和报告。图2为Modeler的仿真步骤。
下面通过一个案例说明各步骤。假设当前局域网是一个总线型的拓扑结构,现在要求对局域网的拓扑结果进行重新规划,考虑在星型结构和总线型中选择一种(服务器和终端构成不发生改变,只改变网络的拓扑结构)。分别对两种拓扑结构进行仿真,预测和分析网络性能的变化。
a) 配置网络拓扑结构:首先建立一个总线型的场景,在场景中建立现在的网络拓扑图(添加上中心节点和终端),选择链接模型(如100Mbps以太网光纤线路);
b) 配置业务:在场景中添加相应的应用定义和业务规格定义;
c) 收集结果统计量:选择服务器的平均负载以及全局以太网延时作为统计量;
d) 运行仿真;
e) 调试:重新建立一个星星的场景,重复a~d步;
f) 发布结果和报告:发布仿真报告,给出两种拓扑结果的比较。
2 网络实施阶段的测试
对实施阶段的网络进行网络质量测试,是由以下两点决定其必要性:1)实施后的网络质量是用户关心的问题,如吞吐量、包转发率、丢包率、延时等网络的各项指标是否符合规划设计要求等;2)实施阶段的网络质量测试结果也为今后网络应用系统开发提供了网络性能基准值,有助于定位故障是出现在应用系统上还是网络环境中。
2.1 网络质量测试方法
网络系统本身的复杂性,使得网络质量的测试有更强的逻辑性。下面归纳出常用的网络质量测试方法。
网络模型分析法:根据OSI定义的七层网络模型(物理层、数据链路层、网络层、传输层、会话层、表示层及应用层),在各个层面上逐一地分析和排查,这是最基础的分析方法,可以采用自下而上的思路即从物理层的链路开始检测直到应用层,也可以采用自上而下的思路从应用协议中捕捉数据包,分析数据包统计和流量统计信息。
连接设备分析法:网络的连接设备大致可分成客户端、网络链路、服务器端三个模块,对客户端的检测要涵盖硬件、软件、驱动、应用程序、设置、病毒等各方面;对网络链路的检测一般借助于工具如网络电缆测试仪、网管软件、协议分析仪等,这些工具可以帮助确定问题;对服务器端的检测要在充分了解服务器的硬件性能、软件系统性能、软硬件配置、网络应用对服务器的影响的基础上进行。
工具分析法:借助于网络测试工具的自动分析和专家系统快速的获取网络的各种参数,分析故障原因。2.2节将具体介绍常用的网络测试工具。
经验分析法:网络测试工程师依靠积累的丰富的经验,加上测试工具的支持,定位网络故障。
2.2 网络质量测试工具
网络质量测试工具一般分为如下几种类型:
物理设备检查工具:物理线缆测试仪常用来检测如线缆长度、衰减、阻抗、串扰、反射和噪音等项。
网络运行模拟工具:按照指定的网络基准或网络负载模式,以指定速率向所连网络发送指定大小的数据包,模拟出所需的网络流量状况。
协议分析仪:协议分析仪主要是通过捕获网络上的数据报和数据帧,将捕获的数据包存放在磁盘缓冲区中,进而对各种协议进行解析。常用的协议分析仪有NAI公司的Sniffer、FLUKE公司的OptiView、HP公司的Internet Advisor、WG公司的Domino系列、免费网络协议分析软件Ethereal等。
网络协议一致性测试工具:对ISDN、ATM、ADSL、帧中断等的测试都有专门的测试仪。
网络应用分析测试工具:这类工具以应用性能分析为目的,一般采用探针技术Probe监听数据包来实现数据采集,然后进行综合分析,为网络应用系统提供强大的故障定位和解决方案。常见的工具有Compuware公司的Application Vantage等。
专用网络测试设备:专用的网络测试设备具备数据捕获、生成负载和智能分析三大功能,能够对网络设备、网络子网以及整个网络系统进行综合测试。常用的有Spirent公司的SmartBits 600,IXIA公司的IXIA 1600等。
2.3 网络质量测试指标
测试方法及工具的使用,目的是为了获得各项网络的性能数据来定位问题。以下,归纳出常需要获取的性能指标[2]。
吞吐量:吞吐量是指在没有帧丢失的情况下,设备能够接受并转发的最大数据速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备接收的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。
丢包率:是指测试中所丢失数据包数量占所发送数据包的比率,通常在吞吐量范围内测试。丢包率与数据包长度以及包发送频率相关。通常,千兆网卡在流量大于200Mbps时,丢包率小于万分之五;百兆网卡在流量大于60Mbps时,丢包率小于万分之一。网络丢包的原因主要有物理线路故障、设备故障、病毒攻击、路由信息错误等。其测试方法主要是通过模拟高负载使网络处于繁忙状态,在测试结束时统计每个端口应该转发但被丢弃的包。
延迟:指一个数据包在传输介质中传输所用的时间,即从报文开始进入网络到它开始离开网络之间的时间。延迟测试主要是通过让系统在有负载条件下转发数据包,在规定时间内生成规定负载量,在测试过程中测量每对端口上的每一个包的延时所需的时间(单位:毫秒(MS))。
背靠背性能:背靠背性能是指在最大速率下,在不发生报文丢失前提下被测设备可以接收的最大的突发报文序列(Burst)的长度。它反映网络设备对于突发报文的容纳能力。其测试方法主要是通过在全负载条件下生成突发传输流,如果所有的包都得到转发,就增加突发长度,并重新进行测试。如果某一对端口上出现包丢失,将突发长度减少一半并再次进行测试。然后利用二分搜索法查找无包丢失时的最大突发长度。
3 网络与应用系统集成阶段的测试
在进行网络质量测试获取互连设备的具体性能指标,如吞吐量、延迟、丢失率等之后,还需要结合实际的应用系统进行网络应用测试,考察多用户并发访问性能、系统响应时间、应用对网络资源的占用情况等。
3.1 网络应用监控
通过网络应用监控手段来获取网络应用性能数据,帮助进行故障诊断。网络应用监控一般是通过将网络探测器设备安装在网络的某一网段上采集数据实现的。探测器常常被插入到局域网交换机上得镜像端口中,即被配置为复制来自交换机上另一个端口的传输流的端口。探测器将只能够从镜像端口采集传输流数据。
3.2 网络故障诊断
网络故障诊断一般的步骤是[1]:首先弄清楚网络故障;收集需要的用于帮助隔离可能故障原因的信息;根据收集到的情况考虑可能的故障原因;根据最后的可能的故障原因,建立一个诊断计划。网络故障诊断分为两个层面:软件问题的诊断和硬件问题的诊断。软件问题的诊断建立在网络应用分析的基础上,网络应用分析的关键因素包括会话信息(往返行程和流量信息)、包信息、响应时间信息、负载信息、高峰信息、线程信息等。硬件问题的诊断分物理层、数据链路层、网络层,其中物理层的故障主要表现在物理连接方式是否恰当、连接电缆是否正确、MODEM或CSU/DSU等设备的配置及操作是否正确;数据链路层的故障主要通过查看路由器的配置、连接端口、接口与通信设备封装等来排查;网络层故障检查的基本方法是沿源到目标的路径,查看路由表,同时检查路由器接口的IP地址。图3为网络故障诊断细分图。
4 结束语
网络测试不仅是要关注网络的性能问题,更深一步地,需要对网络的可靠性进行测试。目前国内对网络可靠性的测试还不普遍,然而,网络可靠性测试将成为网络测试技术发展的主要趋势之一。
参考文献:
[1] 柳纯录.软件评测师教程[M].北京: 清华大学出版社,2005.
[2] 谢希仁.计算机网络[M].北京: 电子工业出版社,2003.
[3] 朱红,金凌紫.软件质量保障与测试[M].北京: 科学出版社,1997.
[4] 垄慜,侯维岩,费敏.OPNET网络仿真技术及其应用[J].自动化仪表,2008,29(1).
作者:孟岩,杨金凤
第三篇:无线网络协议的安全分析与测试
【摘 要】随着信息技术的不断更新,3G移动通信系统已经为人们广泛使用,3G 移动通信系统网络安全问题也越来越受到人们的重视,可见,对3G移动通信系统的网络安全进行分析具有重要的意义,据此提出了一些具体的安全防范措施。
【关键词】3G移动通信系统;网络安全;防范措施
随着第三代移动通信(3G)网络技术的发展,移动终端功能的增强和移动业务应用内容的丰富,各种无线应用将极大地丰富人们的日常工作和生活,也将为国家信息化战略提供强大的技术支撑,网络安全问题就显得更加重要。
1.3G 移动通信系统及网络安全相关概述
3G移动通信系统即第三代移动通信技术,3G是英文the thirdgeneration的缩写。移动通信技术发展至今历经三次技术变革。3G的概念于1986年由国际电联正式提出,是将无线通信与互联网等新兴多媒体整合的新一代通信系统[1]。3G系统不仅满足了用户基本的通话需求,对于非语音业务如图像、视频交互,电子商务等,3G系统同样提供了优质业务的服务。
3G移动通信系统由于与互联网等多媒体通信结合,原本封闭的网络逐渐开放,一方面可以节省投资,另一方面便于业务升级,提供良好的服务。但与此同时3G移动通信系统的安全面临一定挑战。
构建3G系统的安全原则概括来说可做如下表述:建立在2G系统基础之上的3G系统要充分吸收构建2G系统的经验教训,对2G系统中可行有效的安全方法要继续使用,针对他的问题应加以修补,要全面保护3G系统,并且提供全部服务,包括新兴业务服务。3G系统需要达到的安全目标:保护用户及相关信息;保护相关网络的信息安全;明确加密算法;明确安全标准,便于大范围用户的之间的应用;确保安全系统可被升级,应对可能出现的新服务等。
2.影响3G移动通信系统网络安全的主要因素
3G移动通信系统的主要安全威胁来自网络协议和系统的弱点,攻击者可以利用网络协议和系统的弱点非授权访问、非授权处理敏感数据、干扰或滥用网络服务,对用户和网络资源造成损失。
按照攻击的物理位置,对移动通信系统的安全威胁可分为对无线链路的威胁、对服务网络的威胁和对移动终端的威胁,其威胁方式主要有以下几种。(1)窃听:在无线链路或服务网内窃听用户数据、信令数据及控制数据;(2)伪装:伪装成网络单元截取用户数据、信令数据及控制数据,伪终端欺骗网络获取服务;(3)流量分析:主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地;(4)破坏数据完整性:修改、插入、重放、删除用户数据或信令数据以破坏数据完整性;(5)拒绝服务:在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击;(6)否认:用户否认业务费用、业务数据来源及发送或接收到的其他用户数据,网络单元否认提供网络服务;(7)非授权访问服务: 用户滥用权限获取对非授权服务的访问,服务网滥用权限获取对非授权服务的访问;(8)资源耗尽:通过使网络服务过载耗尽网络资源,使合法用户无法访问。当然,随着移动通信网络规模的不断发展和网络新业务的应用,还会有新的攻击类型出现。
3.3G 移动通信系统网络存在的安全问题
由于传播方式以及传输信息的影响,移动通信系统网络所面临的安全威胁更加严重,移动通信系统为保证数据信息的有效传播,无线电讯号需要在传播过程中进行多角度、多方向传播,并且传播必须具有强大的穿透力,和有线网络相比,其信息遭受破坏的因素会更多。3G用户的通信信息安全面临更多的威胁,由于 3G网络提供了许多新的服务,业务范围不断增加,3G移动通信系统用户可以登入互联网,通过手机终端共享网络资源,所以,来自网络的安全威胁也影响着3G 移动通信系统网络用户的通信信息安全。
相比2G系统,3G移动通信系统更易受到网络安全的威胁。因为3G系统相比之前的 2G系统数据资源量巨大,并且网络信息也比较多,有些信息涉及到金钱利益等方面,因此,不法分子以及黑客就会寻找机会,导致网络安全受到威胁。另外,3G 移动通信系统的网络开放程度比较高,所以,也给黑客的攻击创造了许多的方便条件,还有,如果3G网络软件设置有缺陷,也可能导致3G系统产生漏洞,给3G 网络带来不安全因素,造成潜在安全威胁。
4.3G 移动通信系统的网络安全防范对策
4.1 3G移动通信系统网络安全的技术
接入网安全的实现由智能卡USIM卡保证,它在物理和逻辑上均属独立个体。未来各种不同媒体间的安全、无缝接入将是研究开发的重点。3G核心网正逐步向IP网过渡,新的安全问题也将涌现,互联网上较成熟安全技术同时也可应用于3G移动通信网络的安全防范。传输层的安全因为互联网的接入受到更为广泛的重视,其防范技术主要采用公钥加密算法,同时具有类似基于智能卡的设备。应用层安全主要是指运营商为用户提供语音与非语音服务时的安全保护机制。代码安全,在3G系统中可针对不同情况利用标准化工具包定制相应的代码,虽有安全机制的考虑,但是不法分子可以伪装代码对移动终端进行破坏,可通过建立信任域节点来保证代码应用的安全。
4.2 3G 移动通信系统的安全体系结构
3G系统安全体系结构中定义了三个不同层面上的五组安全特性,三个层面由高到低分别是:应用层、归属层/服务层和传输层;五组安全特性包括网络接入安全、网络域安全、用户域安全、应用域安全、安全特性的可视性及可配置能力。网络接入安全是指3G网络系统中的对无线网络的保护。其功能包括用户认证、网络认证、用户身份识别、机密性算法、对移动设备的认证、保护数据完整性、有效性等。网络域安全是指运营商间数据传输的安全性,其包括三个安全层次:密钥建立、密钥分配、通信安全。用户域安全主要指接入移动台的安全特性,具体包括两个层次:用户与USIM卡、USIM卡与终端。保证它们之间的正确认证以及信息传输链路的保护。应用域安全是指用户在操作相关应用程序时,与运营商之间的数据交换的安全性。USIM卡提供了添加新的应用程序的功能,所以要确保网络向USIM卡传输信息的安全。安全特性的可视性及可配置能力是指允许用户了解所应用的服务的安全性,以及自行设置的安全系数的功能。
4.3 3G移动通信系统网络安全的防范措施
首先,个人用户应加强安全意识,对于不明信息的接收要慎重;确保无线传输的对象是确定的安全对象;浏览、下载网络资源注意其安全性;安装杀毒软件等。其次,企业用户大力宣传3G系统相关的安全知识,建立完善的管理及监管制度。最后,电信运营商要从用户、信息传输过程及终端等各个方面保证自身及用户接入网络的安全性。手机等移动终端已渗入日常生活的各个方面,3G移动通信系统的网络的安全性影响更加深远,也将面临更多的挑战。
5.结语
3G系统的安全以第2代移动通信系统中的安全技术为基础,保留了在系统中被证明是必要和强大的安全功能,并且对系统中的安全弱点做了很大的改进,同时也考虑了安全的扩展性。网络安全问题是系统的一个重要问题,只有保证所提供业务的安全性,才能获得成功。系统的安全要提供新的安全措施来保证其所提供新业务的安全。
【参考文献】
[1]曾勇,舒燕梅.3G给信息安全带来前景[J].信息安全与通信保密,2009,21(4):45-47.
[2]邓娟,蒋磊.3G网络时代移动电子商务安全浅析[J].电脑知识与技术,2009,16(6):113-115.
[3]刘岵,肖征荣,吕述望.3G系统演进中的安全问题[J].数据通信,2007,19(1):21-24.
作者:刘世文 张庆刚