3G时代的网络通信安全技术探讨论文
摘要:随着移动通信技术的发展,3G时代已经到来!3G系统由于融合了无线通信与因特网技术,因而其安全体系也必是多种不同安全方式的融合。现将3G系统中的各种详细的安全技术分析如下。
关键词:3G系统网络通信安全技术
第三代移动通信系统(3G)中的安全技术是在GSM的安全基础上建立起来的,它克服了一些GSM中的安全问题,也增加了新的安全功能。当移动通信越来越成为用户钟爱的通信方式时,3G将会给用户和服务提供商提供更为可靠的安全机制。3G的安全将更多地使用因特网中各种成熟的加密技术,各种国际组织(如WAP论坛以及IETF等)也将会在3G的安全解决方案中做出更大的贡献。
1、3G安全体系的系统定义
1.1安全目标
3G的安全体系目标可以参考3GPP组织定义的安全条款,以及其详细的定义3GPPTS33.120:
a)确保用户信息或与用户相关的信息受到保护,不被盗用和滥用。
b)确保提供给用户的资源和服务受到保护,不被盗用和滥用。
c)确保安全方案具有世界范围内的通用性(至少存在一种加密算法可以出口到其它国家)。
d)确保安全方案的标准化,适应不同国家不同运营商之间的漫游和互操作。
e)确保提供给用户和运营商的安全保护优于当今的固定和移动网络,这也即暗示了3G的安全方案要克服第二代移动通信的安全缺陷。
f)确保3G的安全方案是可扩展和可增强的,以抵制各种各样的攻击。
g)确保3G的安全方案能够提供电子商务、电子贸易以及其它一些互联网服务。
1.2任务模型
由于更多逻辑实体的参与,3G的任务模型比起2G更为复杂。各种各样的逻辑实体包括网络运营商、服务提供商、内容提供商、应用服务提供商、商业机构、金融机构以及各种虚拟网络运营商等。当实体数目不断增大时,实体与实体之间的关系就会变得很复杂。这给它们之间的相互认证带来许多不便。
3G系统中采用了公钥加密方式。公钥系统的“信任节点”是位于认证等级最高层的根公钥,它们控制着对哪些对象采取认证措施,以达到对移动台接入服务进行安全控制的目的。在3G的任务模型中还引入了认证鉴权中心(CA)。
1.3功能实体
对3G系统的安全特性产生一定影响的`功能实体包含以下几个方面:
a)多种类型的接入网络:在相当长的一段过渡时间内,必定存在多种形式的接入网络(比如GSM、3G接入网、WLAN等)。
b)Internet技术的应用:各种网络功能将越来越多地基于Internet技术。
c)灵活的终端功能:利用(U)用户识别卡(SIM)和移动台应用执行环境(MexE)(相对安全性较差),用户可下载更多新业务和服务功能到终端设备。
d)个人无线网络:移动终端还可以利用蓝牙等新技术与本地无线网络进行通信。
1.4攻击模型分析
根据3G安全目标和系统组成,可以定义下列攻击模型:
a)当移动终端成为电子商务或类似业务的平台时,在应用层进行攻击就将是一个很普遍的做法。
b)当接入网的安全性能不断提高时,核心网就成为了以后攻击的重点。
c)移动无线检测设备的价格正在不断下调,这就给恶意攻击者创造了条件,便于对现有网络进行破坏。而且,这些设备一般都是以软件为基础的,只要修改相应的部分就可以仿造现有网络。另外,IP技术的应用也使得恶意节点容易伪装成核心网节点。因此,应采取措施防止主动攻击。
d)由于移动终端的功能越来越依赖于软件技术,虽然这在一定程度上提高了终端功能的灵活性,但是也使得恶意者可以利用伪“移动代码”或“病毒”攻击终端软件。
这些攻击模型是我们分析3G安全方案的基础,我们也可以把这些攻击模型进行分类,比如非授权入网、拒绝承认服务、完整性威胁,等等。
1.5安全性需求
安全性需求是与系统威胁相对应的,更确切地说,安全性需求可以从各种各样的攻击形式中得出,它的目标就是克服这些可能的安全缺陷。
2、3G安全技术分析
2.1入网安全
用户信息是通过开放的无线信道进行传输,因而很容易受到攻击。第二代移动通信系统的安全标准也主要关注的是移动台到网络的无线接入这一部分安全性能。在3G系统中,提供了相对于GSM而言更强的安全接入控制,同时考虑了与GSM的兼容性,使得GSM平滑地向3G过渡。与GSM中一样,3G中用户端接入网安全也是基于一个物理和逻辑上均独立的智能卡设备,即USIM。
未来的接入网安全技术将主要关注的是如何支持在各异种接入媒体包括蜂窝网、无线局域网以及固定网之间的全球无缝漫游。这将是一个全新的研究领域。
2.2核心网安全技术
与第二代移动通信系统一样,3GPP组织最初也并未定义核心网安全技术。但是随着技术的不断发展,核心网安全也已受到了人们的广泛关注,在可以预见的未来,它必将被列入3GPP的标准化规定。目前一个明显的趋势是,3G核心网将向全IP网过渡,因而它必然要面对IP网所固有的一系列问题。因特网安全技术也将在3G网中发挥越来越重要的作用,移动无线因特网论坛(MWIF)就致力于为3GPP定义一个统一的结构。
2.3传输层安全
尽管现在已经采取了各种各样的安全措施来抵抗网络层的攻击,但是随着WAP和Internet业务的广泛使用,传输层的安全也越来越受到人们的重视。在这一领域的相关协议包括WAP论坛的无线传输层安全(WTLS),IEFT定义的传输层安全(TLS)或其之前定义的Socket层安全(SSL)。这些技术主要是采用公钥加密方法,因而PKI技术可被利用来进行必要的数字与接入网安全类似,用户端传输层的安全也是基于智能卡设备。在WAP中即定义了WIM。当然在实际应用中,可以把WIM嵌入到USIM中去。但是现阶段WAP服务的传输层安全解决方案中仍存在着缺陷:WTLS不提供端到端的安全保护。当一个使用WAP协议的移动代理节点要与基于IP技术的网络提供商进行通信时,就需要通过WAP网关,而WTLS的安全保护就终结在WAP网关部分。如何能够提供完整的端到端安全保护,已经成为了WAP论坛和IETF关注的热点问题。
2.4应用层安全
在3G系统中,除提供传统的话音业务外,电子商务、电子贸易、网络服务等新型业务将成为3G的重要业务发展点。因而3G将更多地考虑在应用层提供安全保护机制。
端到端的安全以及数字签名可以利用标准化SIM应用工具包来实现,在SIM/USIM和网络SIM应用工具提供商之间建立一条安全的通道。SIM应用工具包安全定义可以见3GPPGSMTS03.48。
2.5代码安全
在第二代移动通信系统中,所能提供的服务都是固定的、标准化的,但是在3G系统中各种服务可以通过系统定义的标准化工具包来定制(比如3GPPTS23.057定义的MexE)。MExE提供了一系列标准化工具包,可以支持手机终端进行新业务和新功能的下载。在这一过程中,虽然考虑了一定的安全保护机制,但相对有限。
MExE的使用增强了终端的灵活性,但也使得恶意攻击者可以利用伪“移动代码”或“病毒”对移动终端软件进行破坏。为了抵御攻击,MExE定义了有限的一部分安全机制,具体如下:首先定义了3个信任域节点,分别由运营商、制造商和第三方服务提供商控制,另外还定义了一个非信任的发送节点。移动代码在这些节点上的可执行功能是由一个标准化列表严格规定的。当然信任域节点具有一定的优先级。移动代码在执行特定功能前,MExE终端会先检查代码的数字签名来验证代码是否被授权。
签名认证,提供给那些需要在传输层建立安全通信的实体以安全保障。
MExE中数字签名的使用需要用到合适的PKI技术来进行数字认证。公钥系统的信任节点是那些位于认证等级最高层的根公钥。MExE允许根公钥内嵌入3个信任域节点设备中,并由其控制对哪些实体对象进行认证。但如何保证由数字签名建立的信任链能够真正为用户提供安全的应用服务还是一个尚待解决的问题。
2.6个人无线网络安全
3G终端的硬件设备形式是多样化的。例如使用蓝牙技术的无线局域网就允许各种物理终端设备自由加入和退出。这些终端包括手机电话、电子钱包、PDA以及其它共享设备等等。考虑个人无线局域网内通信安全也是很必要的。
3、结束语
相对于第二代移动通信系统,3G系统的安全机制有了较强的改善,不仅保留了第二代移动通信系统中已被证明是必须的和稳健的安全元素,而且还改进了第二代移动通信系统中的众多安全弱点。目前3G网络接入域的安全规范已经成熟,网络域安全、终端安全规范还在制订中,网络的安全管理及其它规范等刚刚起步。本文从一个整体的角度,对3G的安全体系结构做了一个详细的分析,对未来的移动通信安全具有一定的指导意义。
参考文献:
1、《3G核心网技术》作者:刘韵洁,张云勇,张3、江,朱士钧,郝文化-2006
2、《数据网络与通信》作者:潘科、卢亚宏、郭传伟-2006
3、《信息对抗与网络安全》作者:贺雪晨陈林玲-2006
4、《网络与信息安全》作者:胡铮-2006
5、《移动通信原理、系统、技术》作者:曹达仲-2004
【3G时代的网络通信安全技术探讨论文】相关文章:
网络通信技术论文11-22
网络通信病毒与安全防护探讨论文12-21
对3G时代手机安全问题认识论文01-03
安全评价技术的探讨07-16
3G时代的传媒变局10-05
3G后传播时代的手机媒体论文摘要11-05
关于网络通信的论文11-29
力学教师适应新时代要求探讨的论文05-31
旋挖钻机的安全技术措施探讨论文12-28