移動通信網絡安全技術探討

摘 要：隨著4G通信時代的到來，移動通信網絡的速度越來越快，利用IP技術發展和承載的業務種類也越來越多，同時對移動網絡的安全性提出了新的要求。本文總結了移動通信中存在的安全問題，回顧第一代（1G）到第四代（4G）移動網絡安全措施的演進過程，分析了如何利用各種安全技術手段保障通信的安全。

關鍵詞：移動通信；網絡安全；加密；認證

中圖分類號：TN929.5 文獻標識碼：A 文章編號：1674-7712 （2014） 06-0000-01

一、安全威脅及對安全的基本要求

在開放的通信網絡環境下，安全問題日益突出，主要源于軟硬件設施存在的安全隱患、互聯網服務協議設計上的隱患、病毒攻擊、人為因素的破壞等。例如IP電話及增值業務（VoIP）就存在著一些威脅：欺騙、誤導通訊、修改數據；把IP報文頭中的IP地址改成攻擊者自己的；竊聽他人通信內容、攔截和分析IP數據包，通過釣魚軟件竊取用戶名、密碼、銀行帳號、信用卡等。總結起來就是獲取信息、對敏感信息搜索瀏覽最后利用獲取的重要信息接入攻擊對象的敏感信息存儲位置實施破壞。

因此，對安全的基本要求有以下幾種：（1）避免出現沒有經過授權的數據接入或者其他非法操作，或在授權范圍內使用資源；（2）在利用網絡進行傳輸時，防止重要信息或者資源被盜取；（3）在網絡中獲取用戶端的安全信息，保障用戶均能對其網絡行為負責；（4）網絡的兼容性強，能夠適應多種類型的安全方式及措施；（5）若有安全事故出現或者發現系統存在安全缺陷，可以在較短的時間內恢復并修復缺陷；（6）如果網絡系統已經無法恢復正常運轉，盡量降低危害，減少損失。

從1G移動通信的模擬蜂窩移動通信系統幾乎沒有采取安全措施到2G的基于私鑰密碼體制的安全機制，再到3G網絡中雙向鑒權、數據完整性保護，仍然不能很好地否認、偽造、篡改和冒充等問題，基于IP開放平臺的4G網絡對安全問題提出了更高的要求，人們只有不斷更新和加強安全技術才能維護移動通信網絡的安全。

二、移動通信安全技術

（一）加密技術（encryption technique）

簡單的加密技術如我們個人用戶PIN碼。如果啟用了開機PIN碼，那么每次開機后就要輸入4位數PIN碼，PIN碼是可以修改的（修改為4-8位數），用來保護自己的SIM卡不被他人使用。輸入機會只有3次，若都不正確，SIM卡就被鎖住，并提示輸入PUK碼解鎖或到電信部門重新解鎖。PUK碼（PUK1）是個人解鎖碼，由8位數字組成，客戶無法更改。

無線鏈路上也采用信息加密技術，網絡對用戶的數據進行加密，以防止竊聽。加密是受鑒權過程中產生的加密密鑰Kc控制的。在網絡側實現加密是在基站收發器（BTS）中完成。

加密體制可分為對稱密鑰密碼體制、非對稱密鑰密碼體制。對稱加密體制，即加密方和解密方使用相同的密鑰，系統的保密性主要取決于密鑰的安全性，可用于數據加密和消息的認證中。非對稱密鑰密碼體制也叫雙鑰體制或公開密鑰體制，即使用兩個不同的密鑰，一個用來加密信息，稱為加密密鑰；另一個用解密信息，稱為解密密鑰。可以實現多個用戶加密的消息只能由一個用戶解讀，或只能由一個用戶加密的消息而使多個用戶可以解讀。前者可用于公共網絡中實現保密通信，而后者可用于認證系統中對消息進行數字簽字。

由于密碼算法是公開的，網絡的安全性就完全基于密鑰的安全保護上。因此要加強對密鑰的管理。通常情況下，一個密鑰的生存周期主要經歷以下幾個階段：密鑰的產生也可能需要登記、密鑰分發、啟用密鑰、停用密鑰、替換密鑰或更新密鑰、撤消密鑰、銷毀密鑰。

（二）鑒權技術

鑒權（認證）目的是防止未授權的非法用戶接入移動通訊系統。其基本原理是利用認證技術在移動網端訪問寄存器VLR時對入網用戶的身份進行鑒別。鑒權的整個過程是在網絡與SIM卡之間進行的。當移動等級用戶登記入網或者呼叫將要進行時，用戶身份識別后，網絡端會產生一個隨機數，這個隨機數是128bits的。在SIM卡端，將隨機數和SIM卡中的安全密鑰通過A3算法進行計算，計算得到的鑒權碼為SRES2，該鑒權碼SRES2和鑒權中心計算出的鑒權碼SRES1相比較，如果相同，則判定為合法用戶，進行接入處理；如果不同，則進行不接入處理。經過鑒權技術的處理，很大程度上保證了合法用戶的權益，阻止了部分非法用戶。

（三）數據完整性技術（data integrity）

數字完整性技術的基本原理：發送方在發送時，通過編碼為信息增加一些冗余的編碼段，作為校驗碼，一般該校驗碼附加在消息后。發送時，將主要信息和校驗碼一同發送給接收方。接收方收到消息后，首先根據對應的解碼規則，用信息后附加的檢驗碼驗證消息是否正確。由于該校驗碼是由信息生成的。所以逆運算可以推導出該校驗碼對應的信息是否被修改。

（四）實體認證技術（entity authentication）

身份認證的方法有很多，常用的就是基于共享密鑰的身份認證技術。要進行鑒別通信，發送方使用自己的私鑰對明文進行加密，接收方使用發送方的公鑰對密文進行解密。接收方使用發送方的公鑰進行解密，可以確信信息是由發送方加密的，也就可以鑒別了發送方的身份。

（五）入侵檢測技術（intrusion Detection Technology）

入侵檢測技術是一項重要的安全監控的技術，它的目的是為了識別系統中入侵者的非授權使用和系統合法用戶的濫用行為的，盡量發現系統因軟件的錯誤、認證模塊的失效下不適當的系統管理，引起的安全性缺陷并及時采取相應的補救措施。在移動通信中入侵檢測系統可以檢測非法用戶以及不誠實的合法用戶對網絡資源的盜用與濫用的行為。加密等安全技術可以減少假冒合法用戶、竊聽等攻擊手段對移動通信網進行攻擊的危險。所以必須要加強這項技術。

三、結束語

3G和4G移動通信網絡安全必須從實體認證、用戶識別機密性、數據傳輸的機密性、移動設備識別、數據完整性等幾個方面來保證網絡域安全、用戶域安全以及應用域安全。其中，網絡域安全包括密鑰的建立、分配和通信安全；用戶域安全包括用戶與USIM智能卡間的認證、USIM智能卡與終端間的認證以及鏈路的保護；應用域定義了用戶與應用程序與運營商應用程序安全交換數據的安全特性。

參考文獻：

[1]沈立武.3G移動通信系統的網絡安全對策分析[J].中國新技術新產品，2013（02）：34.

[2]張亮.現代數據通信技術與應用[M].北京：電子工業出版社，2011.

[作者簡介]石立峰（1971.07-），長春郵電學院本科，學士學位，進修中國人民大學工商企業管理研修班，中國聯通吉林分公司客戶服務部門副總經理。