<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 顛覆3G安全傳統(tǒng)觀 專家剖析3G網(wǎng)絡(luò)安全隱患

          顛覆3G安全傳統(tǒng)觀 專家剖析3G網(wǎng)絡(luò)安全隱患

          ——
          作者:田徑 時(shí)間:2006-07-20 來源:通信產(chǎn)業(yè)報(bào) 收藏
            3G的安全隱患主要表現(xiàn)在哪些層面?

            何桂立:移動(dòng)通信近幾年的發(fā)展速度飛快,正在逐漸成為人們通信的主要方式。就其安全來看,主要集中在質(zhì)量,能否實(shí)現(xiàn)良好的語音、數(shù)據(jù)等業(yè)務(wù);設(shè)備的可靠性和安全性、整個(gè)網(wǎng)絡(luò)的冗余度和可控性、內(nèi)容的靈活性等等都是3G網(wǎng)絡(luò)要面對(duì)的安全重點(diǎn)。

            同時(shí),基站和終端的輻射問題,以及對(duì)環(huán)境的影響都是整個(gè)“安全”概念需要涵蓋的范圍。除了網(wǎng)絡(luò)層面外,終端的安全隱患也越來越嚴(yán)重,包括手機(jī)對(duì)人體和環(huán)境的影響、手機(jī)病毒等。

            目前我們有哪些安全機(jī)制和措施方法可以盡可能地降低3G網(wǎng)絡(luò)帶來的安全隱患?3G網(wǎng)絡(luò)的安全策略與2G和2.75G的網(wǎng)絡(luò)相比,有哪些特點(diǎn)?

            周云:一般而言,3G的安全從網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用層面上可以分為接入安全、網(wǎng)絡(luò)安全、用戶安全、應(yīng)用安全和安全可預(yù)見性和配置。我們說移動(dòng)通信的安全,主要涉及三個(gè)層面:機(jī)密性、完整性和認(rèn)證性。上述任何一個(gè)方面都是3G安全機(jī)制的一部分,是一個(gè)整體。

            對(duì)于應(yīng)用安全,網(wǎng)絡(luò)安全及可預(yù)見性和配置,主要從網(wǎng)絡(luò)、業(yè)務(wù)層面以及模型的角度對(duì)3G移動(dòng)網(wǎng)絡(luò)的安全性做了闡述。譬如手機(jī)軟件病毒、惡意代碼、核心節(jié)點(diǎn)攻擊等。對(duì)于手機(jī)生產(chǎn)廠商而言,接入安全顯得尤為重要。在2G中,只是網(wǎng)絡(luò)對(duì)用戶進(jìn)行鑒權(quán),為單向鑒權(quán)。而在3G中(WCDMA和TD-SCDMA)一個(gè)重要的安全特征就是引入了雙向認(rèn)證。即不僅網(wǎng)絡(luò)對(duì)用戶進(jìn)行鑒權(quán),同時(shí)用戶也對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)。

            相對(duì)于2G的網(wǎng)絡(luò)單向認(rèn)證而言,這種雙向認(rèn)證提供了更好的安全性,具有防止假基站攻擊的功能。認(rèn)證過程也是密鑰協(xié)商的過程(AKA),認(rèn)證完成后提供加密密鑰和完整性密鑰。由于采用同一種算法,產(chǎn)生的CK,IK可以用來以后MS和RNC的保密通信。

            需要注意的是,3G中最大的一個(gè)安全特征是整個(gè)安全處理過程是公開的、透明的。3G中的算法和標(biāo)準(zhǔn)被很多相關(guān)組織和科研者進(jìn)行了分析,這是和以往最突出的不同點(diǎn)(2G中的算法是非公開的,在使用中很多漏洞被發(fā)現(xiàn)),因而3G能比以往技術(shù)提供更強(qiáng)健的安全特性。

            對(duì)于數(shù)據(jù)的機(jī)密性,主要包括加密和信令完整性保護(hù)過程。若雙向鑒權(quán)通過,網(wǎng)絡(luò)方面定使用哪些完整性算法和加密算法,并向RNC發(fā)送安全模式命令,具體參數(shù)包括f8、f9、IK、CK和信道參數(shù)等,最終由RNC根據(jù)移動(dòng)臺(tái)的支持的安全算法能力和其許可使用的密碼算法,選擇安全模式使用的f8和f9中的哪種算法,并發(fā)消息給MS,啟動(dòng)完整性保護(hù)。

            3G網(wǎng)中的加密機(jī)制和2G的加密機(jī)制相比,它使用128位的密鑰流,加密算法也經(jīng)過了公開的分析與檢驗(yàn),因此可提供更為安全的信息通道。當(dāng)核心網(wǎng)收到來自基站的安全模式設(shè)置完成的消息,安全控制過程成功啟動(dòng)。如果需要加密,激活后的某個(gè)時(shí)間,移動(dòng)臺(tái)和RNC就可以開始進(jìn)行業(yè)務(wù)數(shù)據(jù)、信道標(biāo)識(shí)、信令等的加密保護(hù)了。通常情況下,登記完成后,VLR將臨時(shí)分配一個(gè)TMSI給移動(dòng)臺(tái),不再使用IMSI。越區(qū)以后若重新鑒權(quán)就用這個(gè)TMSI。MS關(guān)機(jī)時(shí)TMSI的存儲(chǔ)。在對(duì)用戶身份的保密這一點(diǎn)上,3G完全繼承了2G的特點(diǎn),并在使用上提供了相應(yīng)的擴(kuò)展。
            
            自此至業(yè)務(wù)信道的建立和通過過程,業(yè)務(wù)信息和信令信息的傳送都要經(jīng)過加密解密,完整性保護(hù)及驗(yàn)證過程,提供3G通信有效的保護(hù)。

            李京川:3G與2.5G和2.75G在核心網(wǎng)絡(luò)上沒有太大的區(qū)別。他們的區(qū)別更多體現(xiàn)在這一層,我們所說的安全挑戰(zhàn)更多地也是來自于核心網(wǎng)。但是在應(yīng)對(duì)一些潛在的安全隱患上,目前采用較多的是“域”的概念的引入,把整個(gè)網(wǎng)絡(luò)邏輯上分成若干了相對(duì)獨(dú)立的部分進(jìn)行分而治之,當(dāng)然這些是要落實(shí)到在具體的網(wǎng)絡(luò)設(shè)備上來實(shí)現(xiàn)。但是網(wǎng)絡(luò)安全策略并不把具體的實(shí)現(xiàn)技術(shù)作為重點(diǎn),可以采用VPN、MPLSVPN等多種具體的技術(shù)。這就是現(xiàn)在人們提出的“物理分布,邏輯集中”。

            從長遠(yuǎn)來看,今后的數(shù)據(jù)業(yè)務(wù)應(yīng)該是3G的主導(dǎo)力量。包括語音。3G分PS、CS,今后他們兩都會(huì)跑到PS中,更多是以VIP的方式進(jìn)行傳輸,只不過在3G中會(huì)有更特殊的設(shè)備,使運(yùn)營更高一些。未來數(shù)據(jù)業(yè)務(wù)的保護(hù)肯定是核心。

            現(xiàn)在全球3G網(wǎng)絡(luò)的安全演進(jìn)情況如何?國際上流行的觀點(diǎn)有哪些?

            李京川:就全球而言,目前的主要安全策略是采取不同的安全解決方案。從網(wǎng)絡(luò)安全這個(gè)問題來講,確實(shí)是網(wǎng)絡(luò)方案應(yīng)該扮演越來越重要的角色。從產(chǎn)業(yè)鏈上來說是三個(gè)角色:廠商、解決方案提供商、方案提供商和最終的運(yùn)營商三者。這個(gè)時(shí)候誰來扮演解決方案提供商,并不是一些咨詢公司,因?yàn)樗麄儾⒉皇钦嬲迷O(shè)備細(xì)節(jié)的人。往往這種解決方案提供商更多是有規(guī)模比較大的產(chǎn)品提供商來扮演。

            中國運(yùn)營商目前就3G網(wǎng)絡(luò)安全應(yīng)做哪些準(zhǔn)備?

            李京川:從全國趨勢(shì)來說,中國移動(dòng)現(xiàn)在就是移動(dòng)運(yùn)營商,現(xiàn)在就有GPRS網(wǎng),情況要復(fù)雜一些。因?yàn)樗婕暗紾PRS向3G的過渡過程,過渡以及互聯(lián)互通的問題,所以要復(fù)雜一些。因此我們要首先要考慮到怎么把2.5G的網(wǎng)變得更加安全,在這個(gè)基礎(chǔ)上怎么把這張網(wǎng)融合到未來得3G網(wǎng)中。因?yàn)楝F(xiàn)在有兩張骨干網(wǎng),所有的業(yè)務(wù)都上面。而未來的骨干網(wǎng)是以3G網(wǎng)為主,這就涉及到互聯(lián)互通。IP的劃分以及互聯(lián)互通就會(huì)復(fù)雜一些。

            中國電信跟中國網(wǎng)通相對(duì)簡(jiǎn)單一些,從3G角度看是一張白紙,這個(gè)時(shí)候等于在白紙上書寫未來3G網(wǎng)絡(luò)的架構(gòu),相對(duì)來說會(huì)容易一些。

            周云:如果說提前考慮到每個(gè)運(yùn)營商的情況都不一樣,首先是要點(diǎn)對(duì)點(diǎn)的分析。然后,在先期準(zhǔn)備的時(shí)候應(yīng)該是在總體架構(gòu)的制定上,總體架構(gòu)制定上回答您剛才的問題,實(shí)際上這里必須涉及到安全域的問題,實(shí)際上我們會(huì)把不同的運(yùn)營商按照他安全的需求會(huì)分成不同的域,現(xiàn)在我們要考慮具體部署,安全設(shè)備的控制點(diǎn),安全的控制點(diǎn)應(yīng)該是放在域與域之間。其次,域內(nèi)也要考慮類似防病毒的東西。因?yàn)樵谟騼?nèi)從道理講要相信,如果在一個(gè)安全域內(nèi)應(yīng)該相信域內(nèi)所有的人。但有的時(shí)候他自己不知道已經(jīng)被一個(gè)黑客拿下,可能拿著PC機(jī)直接掛在域里,由于他的疏忽造成向有后門一樣。兩個(gè)點(diǎn),一個(gè)是域與域之間的充分控制,一個(gè)是域內(nèi)的充分控制。
            
            IMS的引入和網(wǎng)絡(luò)融合趨勢(shì)的出現(xiàn)對(duì)3G網(wǎng)絡(luò)安全帶來哪些挑戰(zhàn)?
            
            何桂立:不論是三網(wǎng)融合還是n網(wǎng)融合,我們所采取的安全思維方式是觸類旁通的。首先是要保證網(wǎng)絡(luò)設(shè)備的高可靠性和安全性。這是網(wǎng)絡(luò)的物質(zhì)基礎(chǔ),不能因?yàn)榫W(wǎng)絡(luò)的信息流量出現(xiàn)超負(fù)荷的情況就出現(xiàn)設(shè)備的癱瘓,這是運(yùn)營商和用戶都不能容忍的。

            其次是網(wǎng)絡(luò)要提供充足的冗余度,以保證路由的靈活性,從而在最大限度上避免由于網(wǎng)絡(luò)擁堵所造成的網(wǎng)絡(luò)崩潰。這些都是3G作為傳統(tǒng)通信網(wǎng)與計(jì)算機(jī)網(wǎng)絡(luò)的差別做決定的。前者是需要較好的質(zhì)量保證,如QoS等;而后者是一種松散網(wǎng)絡(luò),并不需要電信級(jí)的服務(wù)質(zhì)量。

            多網(wǎng)融合的趨勢(shì)和3G發(fā)展的前景都在證實(shí)一個(gè)現(xiàn)實(shí),即網(wǎng)絡(luò)的IP化。這是未來網(wǎng)絡(luò)發(fā)展給安全帶來的最大挑戰(zhàn)。以目前日益火暴的VoIP來講,已經(jīng)取得了應(yīng)用,但從安全角度講,它還不是一個(gè)實(shí)實(shí)在在的電信級(jí)業(yè)務(wù),因?yàn)樗陌踩赃h(yuǎn)遠(yuǎn)不足。如可追溯性,即對(duì)電話來源的跟蹤和控制沒有得到有效解決;在運(yùn)營商對(duì)中間環(huán)節(jié)的可控性上也明顯不足,根本沒有解決商用問題;IP沒有QoS,安全問題就是這種基于IP業(yè)務(wù)最大的隱患。最后,還有互聯(lián)互通問題,不過國家已經(jīng)意識(shí)到未來網(wǎng)絡(luò)在這方面安全的不足,已經(jīng)著手在加強(qiáng)網(wǎng)絡(luò)質(zhì)量和可控性方面做出努力,不久的將來,互聯(lián)互通也會(huì)得到很好地解決。

            周云:新技術(shù)的引入會(huì)帶來新的業(yè)務(wù)和功能,在安全方面勢(shì)必提出新的要求。IMS的引入會(huì)對(duì)IMS系統(tǒng)內(nèi)和不同IMS系統(tǒng)間的業(yè)務(wù)安全提出新的要求,包括對(duì)用戶身份合法性的認(rèn)證、相關(guān)業(yè)務(wù)的安全性如信息流和信令的安全性等等。

            李京川:IMS的引入使核心網(wǎng)更加開放,隨之而來的就是對(duì)安全的新的挑戰(zhàn)。IMS讓3G網(wǎng)絡(luò)與Internet等網(wǎng)絡(luò)之間的距離越來越短,這對(duì)3G網(wǎng)絡(luò)本身的安全是一個(gè)新的挑戰(zhàn)。但是IMS作為3G的更高層面的技術(shù)演進(jìn),其本身就具備較高的安全措施。

            在業(yè)務(wù)豐富的今天,3G終端的安全問題對(duì)網(wǎng)絡(luò)有怎樣的影響?

            史文勇:隨著3G應(yīng)用的不斷完善。3G終端作為網(wǎng)絡(luò)和用戶之間的橋梁起著非常重要的作用。而終端的安全與否直接影響3G業(yè)務(wù)的開展,甚至關(guān)系到整個(gè)網(wǎng)絡(luò)的安全.而手機(jī)病毒的日益猖獗正在對(duì)3G終端和3G網(wǎng)絡(luò)提出挑戰(zhàn).今天,手機(jī)病毒經(jīng)歷了短信病毒階段,其是針對(duì)普通非智能手機(jī)芯片固化程序的缺陷,通過網(wǎng)絡(luò)向這些有缺陷的手機(jī)發(fā)送特殊字符的短信,從而產(chǎn)生各種如關(guān)機(jī)、重啟、刪除資料等現(xiàn)象。

            今天進(jìn)入了誘騙型病毒階段,主要是針對(duì)通用的智能手機(jī)操作系統(tǒng)出現(xiàn)及智能手機(jī)大規(guī)模使用。該類型手機(jī)病毒利用智能手機(jī)操作系統(tǒng)開放的接口編寫病毒,然后利用人們的好奇心或信任來(或者說是利用社會(huì)工程學(xué))達(dá)到廣泛傳播的目的,利用業(yè)務(wù)發(fā)展及終端能力增強(qiáng)使移動(dòng)終端之間的病毒傳播便利,如通過移動(dòng)通信帶寬增加;彩信、Java等業(yè)務(wù)的廣泛使用;藍(lán)牙、紅外功能的廣泛使用等。今后,手機(jī)病毒還會(huì)向著漏洞型病毒的方向發(fā)展。

            記者觀察

            有人把網(wǎng)絡(luò)安全對(duì)人的作用比喻成疾病對(duì)健康的影響,這種比方再恰當(dāng)不過。在移動(dòng)通信正逐步成為通信市場(chǎng)的主角的時(shí)候,中國也正在迎接3G網(wǎng)絡(luò)所帶來的便利和安全挑戰(zhàn)。

            3G網(wǎng)絡(luò)本身是復(fù)雜的,所以作為形影不離的3G安全也是復(fù)雜的。對(duì)待相同的網(wǎng)絡(luò),我們對(duì)安全的認(rèn)識(shí)卻會(huì)有很多的可能,而采取不同的安全措施,正如疾在腠理,湯熨治之;疾在肌膚,則要用針石;疾在腸胃,就只有用火齊了。但網(wǎng)絡(luò)安全的毫發(fā)之傷對(duì)人類正常生活的影響,其廣度和速度要遠(yuǎn)遠(yuǎn)勝于任何疾病。

            3G安全給我們提出了哪些新的挑戰(zhàn)?我們?cè)撊绾握_面對(duì)?一系列的問題需要我們?nèi)ニ伎?、探討、求證。

            精彩觀點(diǎn)

            ——3G網(wǎng)絡(luò)安全的主要思想是“物理分布,邏輯集中”。

            ——不論是三網(wǎng)融合還是n網(wǎng)融合,我們所采取的安全思維方式是觸類旁通的。

            ——IMS讓3G網(wǎng)絡(luò)與Internet等網(wǎng)絡(luò)之間的距離越來越短,這對(duì)3G網(wǎng)絡(luò)本身的安全是一個(gè)新的挑戰(zhàn)。

            ——3G完全繼承了2G的特點(diǎn),并在使用上提供了相應(yīng)的擴(kuò)展,但其與2G安全最大的不同是整個(gè)安全處理過程的公開性和透明性。 
            
           


          關(guān)鍵詞: 通訊 網(wǎng)絡(luò) 無線

          評(píng)論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();