《移动通信的安全防范》由会员分享,可在线阅读,更多相关《移动通信的安全防范(11页珍藏版)》请在金锄头文库上搜索。
1、随着人们生活信息化水平的提高与通信技术的不断 发展,通信网络的规模日益扩大,这必然会对网络的 安全系统提出更高的要求。从当今社会的通信网络应 用围来看,通信网络安全的重要性已经越来越引发人 们的关注,但是面临的问题和所采用的安全维护技术 却并没有达到理想的水准一、安防移动通信网络的史二、移动通信网络中的不安全因素1. 1无线接口中的不安全因素1.1.1非授权访问数据类攻击1. 1. 2非授权访问网络服务类攻击1. 1. 3威胁数据完整性类攻击2. 1网络端的不安全因素2. 1. 2非授权访问数据类攻击2. 1. 3非授权访问网络服务类攻击2. 1. 4威胁数据完整性类攻击2. 2服务后抵赖类攻
2、击2. 3移动端的不安全因素2. 4攻击风险类3. 1性安全技术服务3. 2认证性安全技术业务3. 3层安全技术业务3. 4移动保护三、3G通信的安全漏洞四、3G通信安全技术五、结束语六、参考文献安防移动通信网络的史、安防移动通信网络是无线电通信技术中的重要领域和组成部分。这项技术的开 发和应用开始于上世纪20年代,当时主要应用在警察局总部与巡警巡逻车之间 的车载移动通信服务并迅速在警察部门得到推广应用。1946年,美国AT&T公司 开发设计出可以连接移动用户和固定用户的无线技术。于这项技术,AT&T公司进一步开发了一套称为安防移动服务(MTS,Mobile;Telephone;service
3、) 的安防移动通信系统,它的改进型I;MTS系统在1969年发展成当时唯一的遍布 美国的移动通信网络。1968年,AT&T公司的贝尔实验室发明了 “蜂窝”技术, 它能将安防移动通信网络的覆盖区域划分成很多类似蜂窝的小区,相隔较远的小 区可以使用相同的无线电频率。蜂窝技术的应用极增加了安防移动通信网络的容 量,并使小区的基站能采用低功率发射,避免高发射功率带来的干扰。蜂窝技术 的发明是安防移动通信史上的一个光辉里程碑,它的广泛应用标志着安防移动通 信进人了蜂窝移动通信。20世纪70年代末至80年代初,第一代蜂窝安防移动通信网络在日本、瑞 典、英国、美国、德国和法国等诸多国家广泛投入使用。第一代蜂
4、窝移动通信网 络基于模拟通信技术,采用频分复用(FDMA, FrequencyDivision;Multiple;Access)模式,网络容量基本可以满足移动通信用 户的需要。到了 20世纪80年代末,由于模拟技术的第一代蜂窝安防移动通信网络已经 显得过时。集成电路技术的进步推动了数字通信技术在第二代安防蜂窝移动通信 网络中的应用,如先进的数字语音编码技术,在保证话音质量的前提下,大大减 少通信带宽的需要,提高了网络频段资源的利用率;差错控制技术增强了网络的 抗干扰能力基站可以低功率发射;数字加密技术可以保护数字化用户语音、 数据和网络指令;技术可以鉴别移动用户的身份,有效防止身份假冒。所以第
5、二 代安防蜂窝移动通信网络与第一代相比不仅性能优良,而且安全。1990 年,泛欧数字安防蜂窝移动通信网(GSM, Global;svstefor;Mobile;Communication)率先在西欧各国开始运行,让欧洲摆 脱了第一代蜂窝安防移动通信网络体制众多互不相通的困境。GSM网络在频分复 用(FDMA)的基础上又采用了时分多址 (TDMA,TimeDivision;Muldple;Access) 来增加网络容量。其后,澳大利亚、和一些中东国家陆续采用GSM网络,使得 GSM网络成为世界上覆盖围最大的安防移动通信网络。20世纪90年代末期,随着因特网与安防移动通信网的融合,低速率数据传 输
6、业务已经无法满足移动用户的需求,对高速率数据传输业务的需求推动着安防 移动通信网络走向第三代。为此,国际电信联盟ITU就倡导制定一个全球统一的 第三代蜂窝安防移动通信网络标准未来公共陆地移动电信网络。1998年10 月由欧洲、中国、日本、国和美国的电信标准组织联合成立了第三代伙伴计划 (3GPP,the;3rd;GenerationPartnership;Projeet)组织,旨在制定一种以 IS-95 核心网络为基础的第三代安防移动通信网络标准CDMA2000O第三代安防移动通信网络在本世纪初开始投入使用,日本的DoCoMo公司于 2001年10月1日率先运营第三代安防移动通信网络。随着技术
7、的进步和发展人 们对移动通信服务的需求,移动通信网络仍将继续不断地向前发展,更完美地实 现广大安防移动通信用户的通信服务需求。二、动通信网络中的不安全因素无线电通信网络中存在着各种不安全因素,如无线窃听、身份假冒、篡改数据和 服务后抵赖等等。安防移动通信网络作为无线电通信网络的一种类型,同样存在 着这些不安全因素。由于安防移动通信网络的特殊性,它还存在着其他类型的不 安全因素。下面将从移动通信网络的接口、网络端和移动端三个部分其不安全因 素以及在安防移动通信网络中的具体表现形式及其危害。1. 1无线接口中的不安全因素在安防移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线 接口来传输
8、的,但无线接口是开放的,作案者可通过无线接口窃听信道而取得其 中的传输信息,甚至可以修改、插入、删除或重传无线接口中的消息,达到假冒 移动用户身份以欺骗网络终端的目的。根据攻击类型的不同,又可分为非授权访 问数据、非授权访问网络服务、威胁数据完整性三种攻击类型。1. 1. 1非授权访问数据类攻击非授权访问数据类攻击的主要目的在于获取无线接口中传输的用户数据或 信令数据。其有以下几种:(1) 窃听用户数据获取用户信息i(2) 窃听信令数据获取网络管理信息和其他有利于主动攻击的信息;(3) 无线跟踪获取移动用户的身份和位置信息,实现无线跟踪;(4) 被动传输流分析猜测用户通信容和目的;(5) 主动
9、传输流分析获取访问信息。1. 1. 2非授权访问网络服务类攻击在非授权访问网络服务类攻击中,攻击者通过假冒一个合法移动用户身份来 欺骗网络端,获得授权访问网络服务并逃避付费,由被假冒的移动用户替攻击者 付费。1. 1. 3威胁数据完整性类攻击威胁数据完整性类攻击的目标是无线接口中的用户数据流和信令数据流,攻 击者通过修改、插入、删除或重传这些数据流来达到欺骗数据接收方的目的,完 成某种攻击意图。2. 1网络端的不安全因素在安防移动通信网络中,网络端的组成比较复杂。它不仅包含许多功能单元, 而且不同单元之间的通信媒体也不尽相同。所以安防移动通信网络端同样存在着 一些不可忽视的不安全因素,如线窃听
10、、身份假冒、篡改数据和服务后抵赖等。 按攻击类型的不同,可分为四类。2. 1. 2非授权访问数据类攻击非授权访问数据类攻击的主要目的在于获取网络端单元之间传输的用户数 据和信令数据,具体方法如下:(1) 窃听用户数据获取用户通信容;(2) 窃听信令数据获取安全管理数据和其他有利于主动攻击的信息;(3) 假冒通信接收方获取用户数据、信令数据和其他有利于主动攻击的信息;(4) 被动传输流分析获取访问信息;(5) 非法访问系统存储的数据获取系统中存储的数据,如合法用户的认证参 数等。2.1. 3非授权访问网络服务类攻击非授权访问网络服务类攻击的主要目的是访问网络并逃避付款,具体的表现 形式如下:(1
11、) 假冒合法用户获取访问网络服务的授权;假冒服务网络访问网络服务;(3) 假冒归属网络获取可以假冒合法用户身份的认证参数;滥用用户职权不付费而享受网络服务;(5)滥用网络服务职权获取非法盈利。2. 1. 4威胁数据完整性类攻击安防移动通信网络端的威胁数据完整性类攻击不仅包括无线接口中的那些 威胁数据完整性类攻击(因为BSS与MSC之间的通信接口也可能是无线接口),而 且还包括有线通信网络,具体表现如下:操纵用户数据流获取网络服务访问权或有意干扰通信;(2) 操纵信令数据流获取网络服务访问权或有意干扰通信; 假冒通信参与者获取网络服务访问权或有意干扰通信;(4) 操纵可下载应用干扰移动终端的正常
12、工作;(5) 操纵移动终端干扰移动终端的正常工作;(6) 操纵网络单元中存储的数据获取网络服务访问权或有意干扰通信。2. 2服务后抵赖类攻击服务后抵赖类攻击是在通信后否认曾经发生过此次通信,从而逃避付费或逃避 责任,具体表现如下:(1) 付费抵赖拒绝付费;(2) 发送方否认不愿意为发送的消息服务承担付费责任; 接收方抵赖不愿意为接收的消息服务承担付费责任。2. 3移动端的不安全因素安防移动通信网络的移动端是由移动站组成的。移动站不仅是移动用户访问 移动通信网的通信工具,它还保存着移动用户的个人信息,如移动设备国际身份 号、移动用户国际身份号、移动用户身份认证密钥等。移动设备国际身份号IMEI
13、是代表一个唯一地移动,而移动用户国际身份号和移动用户身份认证密钥也对应 一个唯一的合法用户。由于移动在日常生活中容易丢失或被盗窃,由此给移动带 来了如下的一些不安全因素:(1) 使用盗窃或捡来的移动访问网络服务,不用付费,给丢失移动的用户带来了 上的损失;(2) 不法分子若读出移动用户的国际身份号和移动用户身份认证密钥,那么就可 以“克隆”许多移动,并从事移动的非法买卖,给移动用户和网络服务商带来了 经济上的损失;(3) 不法分子还会更改盗窃或捡来的移动的身份号,以此防止被登记在丢失移动 的黑上等。2. 4攻击风险类安防移动通信网络中的威胁还有无线窃听、假冒攻击、完整性侵犯、业务否 认和移动攻
14、击等容, 具体描述如下:(1) 无线窃听窃听无线信道中传送的用户身份号、用户数据和信令信息;(2) 假冒攻击假冒移动用户欺骗网络端和假冒网络端欺骗移动用户;(3) 完整性侵犯更改无线通信控制信道中传送的信令信息;(4) 业务否认移动用户滥用授权、网络端服务提供商伪造账单;(5) 移动攻击偷窃移动、更改移动身份号和克隆移动。3 安防移动通信中的安全技术从第一代模拟安防移动通信网到第二代数字安防移动通信网的运行经验证 明:安防移动通信网络中存在的各种不安全因素不仅威胁到移动用户的隐私和利 益,而且严重地安防移动通信网络的正常运行,并损害到服务商和网络运行商的 经济利益。为了保护各个方面的利益,安防
15、移动通信网络必须采用相应的安全措 施,提供足够的安全技术级别服务。3. 1性安全技术服务性安全技术服务可分为5类,其级别和目的如下:(1) 用户语音性(级别:1)的目的一保护无线信道中传送的用户语音,防止被他人 窃听;(2) 用户身份性(级别:1)的目的一保护用户的真实身份,防止被无线跟踪;(3) 信令数据性(级别:1)的目的一保护无线信道中传送的信令数据,防止被他人 窃听;(4) 用户数据性(级别:2)的目的一保护无线信道中传送的用户数据,防止被他人 窃听;(5) 认证密钥性(级别:2)的目的一保护SIM和AC只存储的认证密钥,防止被他 人窃取或“克隆SIM。3. 2认证性安全技术业务认证性安全技术业务可分为3类,具体描述如下:(1)用户身份认证性的目的一鉴别移动用户身份,防止假冒用户; 网络身份认证性的目的一鉴别网络身份,防止主动攻击者假冒网络进行欺骗;(3) 信令数据的完整性检测的目的一保护无线信道中传送的信令信息完整性,防 止被他人篡改。3. 3层安全技术业务上述两类安全业务是在移动通信网络的访问层提供。随着安防移动通信网络 服务类别的增多和商贸的,在应用层增设了安全技术业务,其具体描述如下:(1) 实体身份认证两个
