謝志能

摘 要：網(wǎng)絡(luò)安全作為移動(dòng)通信系統(tǒng)發(fā)展的關(guān)鍵影響因素一直是通信領(lǐng)域的專(zhuān)家和學(xué)者研究的重點(diǎn)和熱點(diǎn)。本文對(duì)移動(dòng)通信系統(tǒng)安全技術(shù)進(jìn)行了簡(jiǎn)要分析，同時(shí)分析了提高移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性的研究要點(diǎn)，并相應(yīng)給出一些策略。

關(guān)鍵詞：移動(dòng)通信系統(tǒng)網(wǎng)絡(luò) 認(rèn)證 身份識(shí)別

中圖分類(lèi)號(hào)：TN929.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）03（b）-0019-01

隨著先進(jìn)通信技術(shù)的發(fā)展，移動(dòng)通信技術(shù)在人們的生產(chǎn)和生活中的作用日益重要[1，2]，應(yīng)用范圍也越來(lái)越廣泛。由于移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性直接影響客廣和運(yùn)營(yíng)商的切身利益，就引起越來(lái)越多的人開(kāi)始關(guān)注通信系統(tǒng)信息的安全性以及網(wǎng)絡(luò)資源使用的安全性，而且一直是移動(dòng)通信研究的熱點(diǎn)和重點(diǎn)。所以研究移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全策略具有十分重要的現(xiàn)實(shí)意義。

1 移動(dòng)通信網(wǎng)絡(luò)的安全技術(shù)發(fā)展簡(jiǎn)介

第一代移動(dòng)通信采用的是模擬蜂窩網(wǎng)系統(tǒng)，只能提供基本的語(yǔ)音會(huì)話(huà)業(yè)務(wù)，不能提供非語(yǔ)音業(yè)務(wù)。幾乎沒(méi)有采取安全措施，其保密性很差，容易并機(jī)盜打，使用戶(hù)和運(yùn)營(yíng)商深受其害。其安全技術(shù)主要是通過(guò)移動(dòng)臺(tái)把系統(tǒng)的電子序列號(hào)（ESN）和網(wǎng)絡(luò)分配的移動(dòng)臺(tái)識(shí)別號(hào)（MIN）以明文方式傳送至網(wǎng)絡(luò)并進(jìn)行比較，若兩者相符，即允許用戶(hù)的接入。正式這種沒(méi)有安全措施的方式造成大量的克隆手機(jī)，致使1G很快被2G取代。

第二代通信系統(tǒng)采用的是數(shù)字蜂窩網(wǎng)絡(luò)系統(tǒng)，與1G相比起保密性得到了提高，并機(jī)盜打也被杜絕了。但其安全措施方面同樣也存在著許多安全隱患。時(shí)分多址（TDMA）和碼分多址（CDMA）是2G采用的兩種主要安全措施，在2G系統(tǒng)中，引入加密模式對(duì)傳輸?shù)男畔⑦M(jìn)行加密，采用了用戶(hù)鑒權(quán)，增強(qiáng)了無(wú)線(xiàn)信道傳送的安全性。但2G認(rèn)證是單向的，加密不是端到端的，其加密都是基于私鑰密碼體制，采用共享秘密數(shù)據(jù)（私鑰）的安全協(xié)議，實(shí)現(xiàn)對(duì)接入用戶(hù)的認(rèn)證和數(shù)據(jù)信息的保密。因此2G通信網(wǎng)絡(luò)同樣存在著安全隱患。

第三代移動(dòng)通信（3G）網(wǎng)絡(luò)技術(shù)的在3G系統(tǒng)的安全體系中定義5個(gè)安全特征組，主要有傳輸層、歸屬、服務(wù)層和應(yīng)用層，同時(shí)也包括移動(dòng)用戶(hù)和移動(dòng)設(shè)備、服務(wù)網(wǎng)和歸屬環(huán)境。通過(guò)每一安全特征組來(lái)對(duì)抗某一類(lèi)威脅和攻擊，最終實(shí)現(xiàn)3G系統(tǒng)的某一類(lèi)安全目標(biāo)。

2 移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全策略研究

為了確保所有用戶(hù)與用戶(hù)相關(guān)的信息得到足夠的保護(hù)，以防濫用或盜用，確保安全特性標(biāo)準(zhǔn)化，具有全球兼容能力是移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)。為了達(dá)到這個(gè)目標(biāo)，必須對(duì)安全策略進(jìn)行研究，其中有以下幾個(gè)方面技術(shù)。

2.1 用戶(hù)身份保密性

用戶(hù)身份保密性要求的安全特征研究主要以下幾個(gè)方面。

（1）用戶(hù)身份機(jī)密性：主要保證接受業(yè)務(wù)用戶(hù)的真實(shí)身份在無(wú)線(xiàn)鏈路中不被竊聽(tīng)。

（2）用戶(hù)位置機(jī)密性：保證用戶(hù)所在的在位置不會(huì)在無(wú)線(xiàn)接入鏈路上通過(guò)竊聽(tīng)的方法來(lái)確定。

（3）用戶(hù)的不可追溯性：入侵者不可能通過(guò)在無(wú)線(xiàn)接入鏈路推斷出用戶(hù)不同的業(yè)務(wù)的信息。

為了實(shí)現(xiàn)以上的目標(biāo)，系統(tǒng)往往是通常用臨時(shí)身份來(lái)識(shí)別用戶(hù)，為了避免用戶(hù)信息的可追溯性，系統(tǒng)應(yīng)該利用不同臨時(shí)身份來(lái)識(shí)別某位用戶(hù)，另外還要求任何可能暴露用戶(hù)身份的信令或用戶(hù)數(shù)據(jù)在無(wú)線(xiàn)接入鏈路上都應(yīng)采取加密措施。

2.2 認(rèn)證系統(tǒng)

采用雙向認(rèn)證體系，既要對(duì)基站與MS進(jìn)行認(rèn)證，也要對(duì)MS與基站進(jìn)行認(rèn)證，可有效防止偽基站攻擊，以提高網(wǎng)絡(luò)通信的安全性。

為了實(shí)現(xiàn)這種方法，系統(tǒng)應(yīng)該保證在用戶(hù)和網(wǎng)絡(luò)之間的每一個(gè)連接建立時(shí)，假設(shè)實(shí)體認(rèn)證機(jī)制發(fā)揮作用。

雙向認(rèn)證鑒權(quán)向量的5個(gè)參數(shù)依次為RAND、期望響應(yīng)（XRES）、加密密鑰（CK）、完整性密鑰（IK）、鑒權(quán)令牌（AUTN）。其中完整性密鑰提供接入鏈路信令數(shù)據(jù)的完整性保護(hù)，增強(qiáng)了用戶(hù)對(duì)網(wǎng)絡(luò)側(cè)合法性的鑒權(quán)。

2.3 數(shù)據(jù)完整性研究

完整性密鑰協(xié)商是在執(zhí)行密鑰協(xié)商機(jī)制的過(guò)程中來(lái)實(shí)現(xiàn)的。完整性算法協(xié)商是通過(guò)用戶(hù)和網(wǎng)絡(luò)之間的安全模式協(xié)商機(jī)制來(lái)實(shí)現(xiàn)。移動(dòng)通信中MS和網(wǎng)絡(luò)間的大多數(shù)信令信息需要得到完整性保護(hù)。在3G中通過(guò)消息認(rèn)證方式來(lái)保護(hù)用戶(hù)和網(wǎng)絡(luò)間的信令消息不被篡改。

發(fā)送方把要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過(guò)F9算法產(chǎn)生消息認(rèn)證碼MAC將其附加在發(fā)出的消息后面。在接收方把收到的消息用同樣的方法計(jì)算得到XMAC。接收方把收到的MAC與XMAC進(jìn)行比較，如二者完全相同就說(shuō)明收到的消息的完整性。3G數(shù)據(jù)完整性主要有三個(gè)方面：完整性算法（UIA）協(xié)商、完整性密鑰協(xié)商及數(shù)據(jù)和信令的完整性。

2.4 數(shù)據(jù)保密性研究

3G網(wǎng)絡(luò)在對(duì)密鑰長(zhǎng)度加長(zhǎng)的同時(shí)，加密算法協(xié)商機(jī)制也被引入了進(jìn)來(lái)。3G提供了基于端到端的全網(wǎng)范圍內(nèi)加密，采用了以交換設(shè)備為核心的安全機(jī)制，以加強(qiáng)消息在網(wǎng)絡(luò)內(nèi)的傳送安全。

在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密主要有：加密算法協(xié)商、加密密鑰協(xié)商、用戶(hù)數(shù)據(jù)加密和信令數(shù)據(jù)加密等4個(gè)方面。其采用F8算法對(duì)分組密碼流數(shù)據(jù)進(jìn)行加密，這種算法是由用戶(hù)與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制來(lái)完成的，加密密鑰協(xié)商機(jī)制由AKA來(lái)完成。

3 結(jié)論

隨著無(wú)線(xiàn)通信與計(jì)算機(jī)技術(shù)的不斷結(jié)合，移動(dòng)通信系統(tǒng)經(jīng)歷了三代系統(tǒng)的發(fā)展歷程，并朝著更先進(jìn)、全I(xiàn)P化的第四代通用無(wú)線(xiàn)通信系統(tǒng)（4G）逐步演進(jìn)。本文在分析移動(dòng)通信系統(tǒng)安全技術(shù)的基礎(chǔ)上，對(duì)移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全策略進(jìn)行了研究，對(duì)提高移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)的安全性有一定的參考價(jià)值。

參考文獻(xiàn)

[1]張平，王衛(wèi)東.第三代蜂窩移動(dòng)通信系統(tǒng)-WCDMA[M].北京：北京郵電大學(xué)出版社，2001：33-56.

[2]Xenakis C，Merakos L Security in third generation mobile networks[J].Computer Communications，2004，27（7）：638-650.

[3]Hunt R，Verwoerd T.Reactive firewalls：a new technique[J].Computer Communi cations，2003，26（12）.

[4]鄧所云，胡正名，鈕心忻，等.移動(dòng)通信中的雙向認(rèn)證與密鑰協(xié)商新協(xié)議[J]. 北京郵電大學(xué)學(xué)報(bào)，2002，25（2）.

[5]Horn G，Martin KM，Mitchell CJ. Authentication Protocols for mobil netWork environment value added sevices.http：//isg.ribnc.sc.uk/ cjm/Listofpublicati Ons，2003.