提高移动通信传输网络安全性的探讨

摘要：随着技术的成熟和移动数据业务的出现，用户比以前更加关注移动通信的安全问题。3G移动通信系统的特色是为用户提供中高速的数据业务，以及诸如电子商务、互联网服务等业务，因此在3G移动通信系统中如何保证网络和业务信息的安全性已成为重要的课题。文章在分析了2G移动通信的安全漏洞的基础上，重点研究了3G移动通信的安全技术，包括3G面临的安全威胁，3G的安全原则、安全目标，3G安全网络结构。

关键词：第三代移动通信；安全技术；3GPP；数据完整性

移动通信的发展大致经历了三代：第一代模拟蜂窝移动通信系统；第二代数字蜂窝移动通信系统（2G），主要有基于时分多（TDMA）的GSM系统、DAMPS系统以及基于码分多址（CDMA）的CDMA－one系统；第三代移动通信系统（3G）在2G的基础上进行了改进，在兼顾通信基本需求的同时更加侧重网络融合的概念。同时，系统的安全也经历了从几乎没有任何安全措施到采用共享秘密数据（私钥）的安全协议，再到更加完善的安全特征与鉴权服务的发展。可见，伴随移动通信系统的发展，网络安全问题也日益凸显。特别是在将来，3G移动通信系统除了能提供传统的语音、数据、多媒体业务外，还应当能支持电子商务、电子支付、股票交易、互联网业务等，个人智能终端将获得广泛使用，移动通信最终会演变成开放式的网络，向用户提供各种开放式的应用程序接口，以满足用户的个性化需求。因此，网络的开放性以及无线传输的特性，使安全问题成为整个移动通信系统最核心的问题之一。

1安全风险分析

1.1应用方面的安全风险

利用手机软件及系统本身应用软件的漏洞传播病毒、植入木马，从而实现非授权的应用访问，即外部用户获取对非授权服务的访问，服务网内部人员滥用权限获取对非授权服务的访问，在数据库中修改、插入、重放、删除用户数据或信令数据以破坏整个系统数据的完整性。

1.2网络方面的安全风险

在无线链路或系统服务网内窃听用户数据、信令数据及控制数据或伪装成网络单元截取用户数据、信令数据及控制数据，从而得以伪装终端欺骗网络获取服务。干扰用户数据、信令数据及控制数据，造成移动通信网络资源耗尽，即通过使网络服务过载耗尽网络资源，导致合法用户无法访问。

以上分析表明，3G系统面临的安全问题与以往的移动通信网络有本质的不同。3G最重要的安全问题是IP网络的安全和基于IP技术应用的安全。这里的IP网不仅指承载网，更指业务网；IP应用也不仅指因特网浏览、下载、邮件等应用，也包括承载IP协议的移动通信系统控制信令和数据。对未来的3G运营商而言，系统建设之前的安全体系结构规划最为关键。3G建成后如何有效地管理3G系统，使之可以应对各种安全威胁，也需要借鉴现有IP网络和IP应用的经验，制定适应3G系统特点的安全管理策略和措施。

2应对措施

2.1在人机接口集中的部分综合部署入侵检测、用户认证、数据加密等安全技术，实现对管理面的安全保证无线接入网络（RAN）和核心网络（CN）的功能可划分为控制面、数据面和管理面。3个平面相对独立，通过预定义的呼叫流程配合工作。作为承载无线侧各网元之间的信令和数据的IP网络，所有信令和数据采用特定的TCP／IP协议进行封装，其源地址、目的地址、协议端口号等流信息是可预测、可控制的。在此基础上，有必要建立虚拟子网（VLAN）或虚拟专网（VPN）来实现不同层次信令与数据的逻辑分离，从而实现对控制、数据和管理3个面的QOS管理和安全管理。同时采用IPSec进行IP数据的加密，采用SNMPv3、SSH、SSL等网管接口协议。

2.2在统一的物理网络接入平台上构建各种基于业务的逻辑专网（VPN）

因为在多种应用混杂的核心业务网络上部署安全设备和安全措施起不到足够的支撑，而将安全措施集中在所有流量的出口，安全设备的性能又成为网络的瓶颈。最好的措施是在统一的物理网络接入平台上构建各种基于业务的逻辑专网（VPN）。逻辑专网可以构建在IP流“特征五元组（源地址、源端口、目的地址、目的端口、协议）”的基础上，也可以构建在接入点名（APN）／用户接入标识（NAI）／主叫号码（Calling－Station－Id）的基础上。用户应用层的IP数据在其专网上被封装为GTP或GRE格式进行传输，直到被业务网络之间的网关（GGSN／PDSN）解封装并转发到业务网络。以全网统一的业务分类为指导，理清每种业务的数据流向和流量特点，实现层次清晰的虚拟业务专网。在此基础上可以实现：以逻辑专网为单位的安全防御体系；在每种业务中有针对性地部署和强化统一安全策略；业务扩展的安全性、独立性和灵活性；基于业务的流量汇聚和统计。对业务专网的管理应当遵循中心监控、边缘部署的原则，以便及时发现和处理网络中的黑客行为和病毒传播，加快安全响应的速度，并将安全防御措施对业务网络的影响程度降到最低。

2.3采用“网络准入控制（NCA）”机制对用户终端进行认证。用户终端设备在3G移动通信系统的网络安全体系中，既是受保护对象，更是需要加以重点防范的对象。网络中有限的入侵检测和流量过滤设备不足以应对数以亿计终端的保护和防范。因此对3G用户终端设备的安全保障，将主要依赖终端本身的安全功能。通过在线方式对终端的软件版本和安全状态进行调查和评估，检查其当前防病毒状态以及操作系统补丁水平。禁止不兼容设备接入，将其放置在隔离区或只允许有限访问计算资源。尽可能地把安全性不完善的终端拒绝在3G网络以外，从而实现主动的安全防御。

3结束语

3G是一个崭新的系统，其技术的发展和网络的商用，为智能交通的数字、语音和视频图像等信息的实时传输、监控、调度发挥了重要作用。针对层出不穷的新数据业务，特别是对数据安全性提出了更高要求。3G系统目前只在少数国家展开试运营，但从其前景来看具有极大的发展空间，研究3G的安全性具有重要的现实意义。

参考文献

[1]曾勇, 舒燕梅•3G给信息安全带来前景 [J].信息安全与通信保密,2009,21(4):45-47.

[2]邓娟,蒋磊.3G网络时代移动电子商务安全浅析 [J].电脑知识与技术,2009,16(6):113-115.

[3] 刘岵,肖征荣,吕述望.3G系统演进中的安全问题[J] .数据通信, 2007, 19(1): 21-24.