移动通信安全技术分析解析Word文档下载推荐.docx
- 文档编号:20085135
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:23
- 大小:59.92KB
移动通信安全技术分析解析Word文档下载推荐.docx
《移动通信安全技术分析解析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《移动通信安全技术分析解析Word文档下载推荐.docx(23页珍藏版)》请在冰豆网上搜索。
2.4移动通信网物理环境安全12
2.4.1机房、办公场地物理环境安全12
2.4.2室外无线接入设备场地物理环境13
第三章移动通信中存在的安全隐患14
3.1安全隐患的重要性14
3.1.1移动通信设备14
3.1.2无线网络14
3.1.3无线通信15
3.2移动通信网络中的不安全因素15
3.2.1无线接口中的不安全因素16
3.2.2网络端的不安全因素16
3.2.3移动端的不安全因素18
3.2.4攻击风险类18
3.3无线局域网入侵检测现状和技术要点19
3.3.1WLAN概述19
3.3.2入侵检测技术及其在WLAN中的应用20
第四章常见的移动通信安全技术23
4.1概述23
4.2保密性安全技术23
4.3认证性安全技术23
4.4应用层安全技术24
4.5移动电话保护24
致谢25
参考文献26
第一章移动通信系统
1.1概述
人们日常常见的GSM、WCDMA、3G等都属于移动通信,总体可分为用户端、接入网和核心网。
用户端也称移动台(MS)常见的有手机、无线电话、车载移动台等。
接入网则包括了基站等设备组成,一般称为蜂窝系统。
核心网则包括电话网等重要通信网络。
1.2主要系统简介
1.2.1GSM
GSM系统全称全球移动通信系统(GlobalSystemforMobileCommunication,GSM),俗称“全球通”,它依照欧洲通信标准化委员会(ETSI)制定的GSM规范研制而成,是第二代移动通信技术(2G)。
其开发目的是让全球各地可以共同使用一个移动电话网络标准,让用户使用一部手机就能行遍全球。
GSM系统由移动台MS(MobileStation)、基站子系统BSS(BaseStationSub-System)、网络子系统NSS(NetworkSub-System)、操作维护子系统OSS(OperationSub-System)四个分系统组成,(其中,BSS包括基站(BTS)和基站控制器(BSC),NSS包括移动业务交换中心(MSC)、拜访位置寄存器(VLR)、归属位置寄存器(HLR)、设备识别寄存器(EIR)、鉴权中心(AUC)),四个分系统之间都有定义明确且详细的标准化接口方案,保证任何厂商提供的GSM系统设备可以互连。
同时,GSM系统与各种公用通信网之间也都详细定义了标准接口规范,使GSM系统可以与各种公用通信网实现互连互通。
GSM系统除了可以开放基本的话音业务外,还可以开放各种承载业务、补充业务以及与ISDN相关的各种业务。
GSM系统采用FDMA/TDMA及跳频的复用方式,频率重复利用率较高,同时它具有灵活方便的组网结构,可满足用户的不同容量需求。
GSM系统具有较强的鉴权和加密功能,能确保用户和网络的安全需求,系统抗干扰能力较强,通信质量较高。
GSM系统工作频段分配为:
GSM900MHz频段为:
890~915MHz(移动台发,基站收),935~960MHz(基站发,移动台收);
DCS1800MHz频段为:
1710~1785MHz(移动台发,基站收),1805~1880MHz(基站发,移动台收)。
目前我国陆地蜂窝数字移动通信网GSM通信系统主要采用900MHz与1800MHz频段。
其中GSM900使用的频段为:
905~915MHz上行频率,950~960MHZ下行频率,频道号为76~124,共l0M带宽。
1.2.2CDMA
CDMA(CodeDivisionMultipleAccess)又称码分多址,是在无线通讯上使用的技术,CDMA允许所有的使用者同时使用全部频带(1.2288Mhz),并且把其他使用者发出的讯号视为杂讯,完全不必考虑到信号碰撞(collision)的问题。
CDMA的优点包括:
CDMA中所提供的语音编码技术,其通话品质比目前的GSM好,而且可以把用户对话时周围环境的噪音降低,使通话更为清晰。
CDMA,就是利用展频的通讯技术,因而可以减少手机之间的干扰,并且可以增加用户的容量,而且手机的功率还可以做的比较低,不但可以使使用时间更长,更重要的是可以降低电磁波辐射对人的伤害。
CDMA的带宽可以扩展较大,还可以传输影像呢,这是第三代手机为什么选用CDMA的原因。
就安全性能而言,CDMA不但有良好的认证体制,更因为其传输的特性,用码来区分用户,防止被人盗听的能力大大地增强。
目前CDMA系统正快速发展中。
WidebandCDMA(WCDMA)宽带码分多址传输技术,为IMT-2000的重要基础技术,将是第三代数字无线通信系统的标准之一。
CDMA优点:
(1)系统容量大
理论上,在使用相同频率资源的情况下,CDMA移动网比模拟网容量大20倍,实际使用中比模拟网大10倍,比GSM要大4-5倍。
(2)系统容量的配置灵活
在CDMA系统中,用户数的增加相当于背景噪声的增加,造成话音质量的下降。
但对用户数并无限制,操作者可在容量和话音质量之间折衷考虑。
另外,多小区之间可根据话务量和干扰情况自动均衡。
这一特点与CDMA的机理有关。
CDMA是一个自扰系统,所有移动用户都占用相同带宽和频率,打个比方,将带宽想像成一个大房子,所有的人将进入惟一的大房子。
如果他们使用完全不同的语言,他们就可以清楚地听到同伴的声音而只受到一些来自别人谈话的干扰。
在这里,屋里的空气可以被想像成宽带的载波,而不同的语言即被当作编码,我们可以不断地增加用户直到整个背景噪音限制住了我们。
如果能控制住用户的信号强度,在保持高质量通话的同时,我们就可以容纳更多的用户。
(3)通话质量更佳
TDMA的信道结构最多只能支持4Kb的语音编码器,它不能支持8Kb以上的语音编码器。
而CDMA的结构可以支持13kb的语音编码器。
因此可以提供更好的通话质量。
CDMA系统的声码器可以动态地调整数据传输速率,并根据适当的门限值选择不同的电平级发射。
同时门限值根据背景噪声的改变而变,这样即使在背景噪声较大的情况下,也可以得到较好的通话质量。
另外,TDMA采用一种硬移交的方式,用户可以明显地感觉到通话的间断,在用户密集、基站密集的城市中,这种间断就尤为明显,因为在这样的地区每分钟会发生2至4次移交的情形。
而CDMA系统“掉话”的现象明显减少,CDMA系统采用软切换技术,“先连接再断开”,这样完全克服了硬切换容易掉话的缺点。
(4)频率规划简单
用户按不同的序列码区分,所以不相同CDMA载波可在相邻的小区内使用,网络规划灵活,扩展简单。
虽然CDMA系统频率规划简单,但CDMA系统存在着PN短码的规划,并且PN短码的规划相较频率规划并不一定更简单。
总体来说CDMA的规划并不简单。
相反,较之GSM系统要更为复杂。
(5)建网成本低
CDMA系统有着容量大、工作频点较GSM低,因此,在CDMA规划中,CDMA的站间距一般较GSM稀疏。
因此可以更好的节约建网成本。
(6)网络绿色环保
技术体制平均发射功率最大发射功率
GSM125毫瓦2瓦
CDMA2毫瓦200毫瓦
从以上数据可以看到CDMA手机是GSM手机平均发射功率的2/125
CDMA手机更加绿色环保。
(7)低功率谱密度
由于CDMA的关键技术为扩频技术,所以它的功率谱被扩展的很宽,从而功率很低,好处有二:
1防止其它信道的干扰;
2防止干扰其它信道。
以上就是关于现在主要两种移动通信系统的简介。
由于空中接口的开放性,移动通信尤其是数字蜂窝移动通信系统中的安全性能一直是用户所关注的焦点。
接下来就让我们来探讨下移动通信中的安全性。
1.3安防移动通信网络的发展史
安防移动通信网络是无线电通信技术中的重要应用领域和组成部分。
这项技术的开发和应用开始于上世纪20年代,当时主要应用在警察局总部与巡警巡逻车之间的车载移动通信服务并迅速在警察部门得到推广应用。
1946年,美国AT&
T公司开发设计出可以连接移动用户和固定电话用户的无线电话技术。
基于这项技术,AT&
T公司进一步开发了一套称为安防移动电话服务(MTS,MobileTelephoneservice)的安防移动通信系统,它的改进型IMTS系统在1969年发展成当时唯一的遍布美国的移动通信网络。
1968年,AT&
T公司的贝尔实验室发明了“蜂窝”技术,它能将安防移动通信网络的覆盖区域划分成很多类似蜂窝的小区,相隔较远的小区可以使用相同的无线电频率。
蜂窝技术的应用极大地增加了安防移动通信网络的容量,并使小区的基站能采用低功率发射,避免高发射功率带来的干扰问题。
蜂窝技术的发明是安防移动通信史上的一个光辉里程碑,它的广泛应用标志着安防移动通信进人了蜂窝移动通信时代。
20世纪70年代末至80年代初,第一代蜂窝安防移动通信网络在日本、瑞典、英国、美国、德国和法国等诸多国家广泛投入使用。
第一代蜂窝移动通信网络基于模拟通信技术,采用频分复用(FDMA,FrequencyDivisionMultipleAccess)模式,网络容量基本可以满足移动通信用户的需要。
到了20世纪80年代末,由于模拟技术的第一代蜂窝安防移动通信网络已经显得过时。
集成电路技术的进步推动了数字通信技术在第二代安防蜂窝移动通信网络中的应用,如先进的数字语音编码技术,在保证话音质量的前提下,大大减少通信带宽的需要,提高了网络频段资源的利用率;
差错控制技术增强了网络的抗干扰能力——基站可以低功率发射;
数字加密技术可以保护数字化用户语音、数据和网络指令;
身份证技术可以鉴别移动用户的身份,有效防止身份假冒。
所以第二代安防蜂窝移动通信网络与第一代相比不仅性能优良,而且安全。
1990年,泛欧数字安防蜂窝移动通信网(GSM,GlobalsystemforMobileCommunication)率先在西欧各国开始运行,让欧洲摆脱了第一代蜂窝安防移动通信网络体制众多互不相通的困境。
GSM网络在频分复用(FDMA)的基础上又采用了时分多址(TDMA,TimeDivisionMultipleAccess)来增加网络容量。
其后,澳大利亚、中国和一些中东国家陆续采用GSM网络,使得GSM网络成为世界上覆盖范围最大的安防移动通信网络。
20世纪90年代末期,随着因特网与安防移动通信网的融合,低速率数据传输业务已经无法满足移动用户的需求,对高速率数据传输业务的需求推动着安防移动通信网络走向第三代。
为此,国际电信联盟ITU就倡导制定一个全球统一的第三代蜂窝安防移动通信网络标准——未来公共陆地移动电信网络。
1998年10月由欧洲、中国、日本、韩国和美国的电信标准组织联合成立了第三代伙伴计划(3GPP,the3rdGenerationPartnershipProject)组织,旨在制定一种以IS-95核心网络为基础的第三代安防移动通信网络标准CDMA2000。
第三代安防移动通信网络在本世纪初开始投入使用,日本的DoCoMo公司于2001年10月1日率先运营第三代安防移动通信网络。
随着科学技术的进步和发展人们对移动通信服务的需求,移动通信网络仍将继续不断地向前发展,更完美地实现广大安防移动通信用户的通信服务需求。
第二章移动通信网安全防护技术
2.1移动通信网安全防护内容
1、安全等级保护
定级对象和安全等级的确定、业务安全、网络安全、设备安全、物理环境安全、管理安全。
2、安全风险评估
对移动通信网进行资产分析、脆弱性分析、威胁分析,在移动通信网安全风险评估过程中确定各个资产、灾难备份及恢复等级确定、针对灾难备份及恢复各资源要素的具体实施等脆弱性、威胁的具体值。
资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法参见《电信网和互联网安全风险评估实施指南》。
3、灾难备份及恢复
灾难备份及恢复等级确定、针对灾难备份及恢复各资源要素的具体实施等。
4、检测
安全等级检测…1、业务安全检测2、网络安全检测3、设备安全检测4、物理环境安全检测5、管理安全检测
风险评估检测...1、安全风险评估范围检测2、安全风险评估内容检测3、安全风险评估要素检测4、安全风险评估赋值原则检测5、安全风险评估内容计算方法检测6、安全风险评估内容文件类型检测7、安全风险评估内容文件记录检测
灾难备份及恢复检测…1、冗余系统、冗余设备及冗余链路检测2、冗余路由检测3备份数据检测4人员和技术支持能力检测5运行维护管理能力检测6灾难恢复预案检测
2.2移动通信网网络安全要求
2.2.1网络拓扑安全
•网络设备处理能力应具备冗余空间,满足流量高负荷时需求,不能由于设备配置不够而导致网络
全部或者局部瘫痪。
•网络拓扑设计合理,应绘制与当前运行情况相符合的网络拓扑图。
第3.1、3.2、4级要求(GSM/GPRS/WCDMA/TD-SCDMA网)
•网络设备处理能力应具备冗余空间,满足流量高负荷时需求,不能由于设备配置不够而导致网络全部
或者局部瘫痪。
•GMSC或GMSCServer应当采用1+1方式配置,并通过负荷分担方式来保证业务安全,避免单一GMSC或
GMSCServer瘫痪时导致业务全阻。
•TMSC或TMSCServer应当采用1+1方式配置,并通过负荷分担方式来保证业务安全,避免单一TMSC或
TMSCServer瘫痪时导致业务全阻。
•MSC或MSCServer至关口局和汇接局之间应当具备双路由或多路由。
•HLR(归属位置寄存器)应当采用1+1或N+1备份,具有负荷分担的能力。
•GGSN要求采用负荷分担的工作方式,或者采用N+1备份的工作方式。
•DNS和CG设备应当采用1+1备份的工作方式,具有负荷分担的能力。
•网络域至无线接入系统应当采用物理上的多路由方式配备,在不同的传输设备和传输线路上相互保护,确保传输路径的安全,避免单一传输通道阻断时导致业务全阻。
第、、级要求(网)网络拓扑安全
•网络设备处理能力应具备冗余空间,满足流量高负荷时需求,不能由于设备配置不够而导致网络全部或者局部瘫痪。
3.13.24CDMA2000•网络拓扑设计合理,应绘制与当前运行情况相符合的网络拓扑图。
•GMSC或GMSCe应当采用采用1+1方式配置,并通过负荷分担方式来保证业务安全,避免单一GMSC或GMSCe瘫痪时导致业务全阻。
•TMSC或TMSCe应当采用采用1+1方式配置,并通过负荷分担方式来保证业务安全,避免单一TMSC或TMSCe瘫痪时导致业务全阻。
•MSC或MSCe至关口局和汇接局之间应当具备双路由或多路由。
•PDSN设备应具有负荷分担的能力。
•AAA设备应采用1+1或N+1备份配置,具有负荷分担的能力。
第31、32、4级要求(CDMA网)
网络拓扑设计合理,应绘制与当前运行情况相符合的网络拓扑图。
3.13.22000HRPD••PDSN设备应具有负荷分担的能力。
•ANAAA、AAA设备应采用1+1或N+1备份配置,具有负荷分担的能力。
第3.1、3.2、4级要求(IMS网)
•HSS的设置应采用N+1或1+1的配置方式,支持对HSS上保存的用户信息相关的数据备份,发生故障时能够实现自动倒换或进行系统再配置。
•S/I-CSCF应当采用N+1方式配置,并通过负荷分担方式来保证业务安全,避免单一S/I-CSCF瘫痪时导致业务全阻。
•应支持应用服务器的N+1方式冗余备份配置,在主用应用服务器出现故障的情况下控制S-CSCF和备用应用服务器交互。
2.2.2接入安全
•GSM–对接入的用户身份发起鉴权认证,验证用户身份的合法性,保证授权用户能够接入网络。
–应提供用户身份的保密措施。
在用户初次接入网络的时候IMSI才被发送,仅在无线信道上发送移动用户相应的TMSI。
–应在MS和BTS之间提供数据的加密机制,保证数据在无线链路上的传输安全。
(在国家未对算法作出具体规定之前,对此功能不做要求)
•接入GPRS网络安全对接入的用户身份发起鉴权认证,验证用户身份的合法性,保证授权用户够接入网络。
应在MSSGSN之间提供用户数据的加密机制,保证用户数据在链路上的传输安全。
接入WCDMA/TDSCDMA网络安全
•TD‐–支持双向鉴权认证功能。
对接入的用户身份发起鉴权认证,验证用户身份的合法性,保证授权用户能够接入网络。
用户对接入的网络发起鉴权认证,验证网络的合法性,保证用户能够接入合法网络。
应提供用户身份的保密措施。
应支持用户和网络之间的密钥协商机制。
应在MS和RNC之间提供数据的加密机制,保证数据在链路上的传输安全。
(在国家未对算法作出具体规定之前,对此功能不做要求)应该支持对层三RRC消息的完整性保护,用于维护信令的完整性。
•接入CDMA2000网络安全对接入的用户身份发起鉴权认证,验证用户身份的合法性,保证授权用户能够接入网络。
在空中接口的层三提供鉴权和加密的服务。
应在MS和基站系统之间提供数据的加密机制,保证数据在无线链路上的传输安全。
•接入CDMA2000HRPD网络安全应支持ANAAA对移动台进行无线接入网的认证和授权。
应支持空中接口安全层的密钥交换、鉴权和加密服务,安全层使用密钥交换协议、鉴权协议、加密协议和安全协议提供这些功能。
•接入IMS网络安全提供用户和IMS网络之间的双向认证。
HSS负责产生密钥和挑战,委托S-CSCF执行用户认证的操作。
认证基于由IP多媒体服务身份模块(ISIM)和HSS共享的密钥和算法。
UE与P-CSCF之间的SIP信令消息使用IPSecESP提供机密性和完整性保护。
2.2.3网络域安全
•GPRS/WCDMA/TD‐SCDMA网络域安全在分组域与外部IP网络之间应设置防火墙进行隔离,禁止外部网络对内部网络的配置操作,并严格管理内部网络数据。
不同分组域之间互连时应在BG处应设置防火墙进行隔离。
•CDMA2000/HRPD网络域安全在PDSN与外部IP网络之间应设置防火墙进行隔离,禁止外部网络对内部网络的配置操作,并严格管理内部网络数据。
•IMS网络域安全
通过选择网络隐藏机制提供对其他运营商隐藏网络拓扑的能力,包括隐藏
S-CSCF的数量、S-CSCF的能力以及网络能力,归属网络中的所有I-CSCF将
共享一个加密和解密密钥。
不同网络之间的CSCF网络实体之间采用IPSec机制,提供消息机密性、完整性保护安全。
与外部IP网络之间应设置防火墙进行隔离,禁止外部网络对内部网络的配置操作,并严格管理内部网络数据。
在两个运营商域间进行互连的IBCF处应设置防火墙进行隔离。
GPRS/WCDMA/TD‐SCDMA网络域安全
TD–在分组域与外部IP网络之间应设置防火墙进行隔离,禁止外部网络对内部网络的配置操作,并严格管理内部网络数据。
•IMS网路域安全通过选择网络隐藏机制提供对其他运营商隐藏网络拓扑的能力,包括隐藏S‐CSCF的数量、S‐CSCF的能力以及网络能力,归属网络中的所有I‐CSCF将共享一个加密和解密密钥。
网络域内CSCF和HSS之间采用IPSec机制,提供消息机密性、完整性保护安全。
相同网络内的CSCF之间的安全之间采用IPSec机制,提供消息机密性、完整性保护安全。
应支持对S‐CSCF上保存的和用户注册状态信息相关的数据备份(包括用户注册路由信息Path头域、用户注册的Contact地址、P‐Visited‐Network‐ID、终端的鉴权方式等信息),当为注册用户提供服务的SCSCF出现故障时,这些数据能够下载到重新为用户分配的服务S‐CSCF上。
I‐CSCF应能够根据负载均衡、能力集和可用性选择S‐CSCF,并支持S‐CSCF的重新分配。
当第三方应用服务器请求接入IMS核心网络域时,需要对第三方应用服务器进行认证和鉴权,只有合法且认证通过的服务器才能接入的核心网络域中,而且S‐CSCF应当对第三方应用服务器隐藏运营商网络拓扑信息。
2.3网络攻击防范
–网络应采取安全对策(如防病毒软件、系统加固、网络隔离、防火墙、访问控制等)有效地防止非法用户利用各种手段对网络发起攻击而导致合法用户无法正常使用业务,网络及设备无法正常工作或瘫痪;
–网络应部署基于主机和基于网络的防入侵功能系统,并应及时处理防入侵的报警;
–应对网络中关键的主机系统和网络定期进行安全检查(例如使用安全扫描
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 移动 通信 安全技术 分析 解析