移动通信的安全防范.docx
《移动通信的安全防范.docx》由会员分享,可在线阅读,更多相关《移动通信的安全防范.docx(13页珍藏版)》请在冰豆网上搜索。
移动通信的安全防范
移动通信的安全防范
随着人们生活信息化水平的提高与通信技术的不断进展,通信网络的规模日益扩大,这必定会对网络的安全系统提出更高的要求。
从当今社会的通信网络应用范畴来看,通信网络安全的重要性差不多越来越引发人们的关注,然而面临的问题和所采纳的安全爱护技术却并没有达到理想的水准
一、安防移动通信网络的史
二、移动通信网络中的不安全因素
1.1无线接口中的不安全因素
1.1.1非授权访问数据类攻击
1.1.2非授权访问网络服务类攻击
1.1.3威逼数据完整性类攻击
2.1网络端的不安全因素
2.1.2非授权访问数据类攻击
2.1.3非授权访问网络服务类攻击
2.1.4威逼数据完整性类攻击
2.2服务后抵赖类攻击
2.3移动端的不安全因素
2.4攻击风险类
3.1保密性安全技术服务
3.2认证性安全技术业务
3.3层安全技术业务
3.4移动爱护
三、3G通信的安全漏洞
四、3G通信安全技术
五、终止语
六、参考文献
一、安防移动通信网络的史
安防移动通信网络是无线电通信技术中的重要领域和组成部分。
这项技术的开发和应用开始于上世纪20年代,当时要紧应用在警察局总部与巡警巡逻车之间的车载移动通信服务并迅速在警察部门得到推广应用。
1946年,美国AT&T公司开发设计出能够连接移动用户和固定用户的无线技术。
于这项技术,AT&T公司进一步开发了一套称为安防移动服务(MTS,,Mobile;Telephone;service)的安防移动通信系统,它的改进型I;MTS系统在1969年进展成当时唯独的遍布美国的移动通信网络。
1968年,AT&T公司的贝尔实验室发明了“蜂窝”技术,它能将安防移动通信网络的覆盖区域划分成专门多类似蜂窝的小区,相隔较远的小区能够使用相同的无线电频率。
蜂窝技术的应用极大地增加了安防移动通信网络的容量,并使小区的基站能采纳低功率发射,幸免高发射功率带来的干扰。
蜂窝技术的发明是安防移动通信史上的一个光辉里程碑,它的广泛应用标志着安防移动通信进人了蜂窝移动通信。
20世纪70年代末至80年代初,第一代蜂窝安防移动通信网络在日本、瑞典、英国、美国、德国和法国等诸多国家广泛投入使用。
第一代蜂窝移动通信网络基于模拟通信技术,采纳频分复用(FDMA,FrequencyDivision;Multiple;Access)模式,网络容量差不多能够满足移动通信用户的需要。
到了20世纪80年代末,由于模拟技术的第一代蜂窝安防移动通信网络差不多显得过时。
集成电路技术的进步推动了数字通信技术在第二代安防蜂窝移动通信网络中的应用,如先进的数字语音编码技术,在保证话音质量的前提下,大大减少通信带宽的需要,提高了网络频段资源的利用率;差错操纵技术增强了网络的抗干扰能力——基站能够低功率发射;数字加密技术能够爱护数字化用户语音、数据和网络指令;身份证技术能够鉴别移动用户的身份,有效防止身份假冒。
因此第二代安防蜂窝移动通信网络与第一代相比不仅性能优良,而且安全。
1990年,泛欧数字安防蜂窝移动通信网(GSM,Global;svste~for;Mobile;Communication)领先在西欧各国开始运行,让欧洲摆脱了第一代蜂窝安防移动通信网络体制众多互不相通的逆境。
GSM网络在频分复用(FDMA)的基础上又采纳了时分多址(TDMA,TimeDivision;Muldple;Access)来增加网络容量。
其后,澳大利亚、和一些中东国家连续采纳GSM网络,使得GSM网络成为世界上覆盖范畴最大的安防移动通信网络。
20世纪90年代末期,随着因特网与安防移动通信网的融合,低速率数据传输业务差不多无法满足移动用户的需求,对高速率数据传输业务的需求推动着安防移动通信网络走向第三代。
为此,国际电信联盟ITU就倡导制定一个全球统一的第三代蜂窝安防移动通信网络标准——以后公共陆地移动电信网络。
1998年10月由欧洲、中国、日本、韩国和美国的电信标准组织联合成立了第三代伙伴打算(3GPP,the;3rd;GenerationPartnership;Projeet)组织,旨在制定一种以IS-95核心网络为基础的第三代安防移动通信网络标准CDMA2000。
第三代安防移动通信网络在本世纪初开始投入使用,日本的DoCoMo公司于2001年10月1日领先运营第三代安防移动通信网络。
随着技术的进步和进展人们对移动通信服务的需求,移动通信网络仍将连续不断地向前进展,更完美地实现宽敞安防移动通信用户的通信服务需求。
二、动通信网络中的不安全因素
无线电通信网络中存在着各种不安全因素,如无线窃听、身份假冒、篡改数据和服务后抵赖等等。
安防移动通信网络作为无线电通信网络的一种类型,同样存在着这些不安全因素。
由于安防移动通信网络的专门性,它还存在着其他类型的不安全因素。
下面将从移动通信网络的接口、网络端和移动端三个部分其不安全因素以及在安防移动通信网络中的具体表现形式及其危害。
1.1无线接口中的不安全因素
在安防移动通信网络中,移动站与固定网络端之间的所有通信差不多上通过无线接口来传输的,但无线接口是开放的,作案者可通过无线接口窃听信道而取得其中的传输信息,甚至能够修改、插入、删除或重传无线接口中的消息,达到假冒移动用户身份以欺诈网络终端的目的。
依照攻击类型的不同,又可分为非授权访问数据、非授权访问网络服务、威逼数据完整性三种攻击类型。
1.1.1非授权访问数据类攻击
非授权访问数据类攻击的要紧目的在于猎取无线接口中传输的用户数据或信令数据。
其有以下几种:
(1)窃听用户数据——猎取用户信息i
(2)窃听信令数据——猎取网络治理信息和其他有利于主动攻击的信息;
(3)无线跟踪——猎取移动用户的身份和位置信息,实现无线跟踪;
(4)被动传输流分析——推测用户通信内容和目的;
(5)主动传输流分析——猎取访问信息。
1.1.2非授权访问网络服务类攻击
在非授权访问网络服务类攻击中,攻击者通过假冒一个合法移动用户身份来欺诈网络端,获得授权访问网络服务并躲避付费,由被假冒的移动用户替攻击者付费。
1.1.3威逼数据完整性类攻击
威逼数据完整性类攻击的目标是无线接口中的用户数据流和信令数据流,攻击者通过修改、插入、删除或重传这些数据流来达到欺诈数据接收方的目的,完成某种攻击意图。
2.1网络端的不安全因素
在安防移动通信网络中,网络端的组成比较复杂。
它不仅包含许多功能单元,而且不同单元之间的通信媒体也不尽相同。
因此安防移动通信网络端同样存在着一些不可忽视的不安全因素,如线窃听、身份假冒、篡改数据和服务后抵赖等。
按攻击类型的不同,可分为四类。
2.1.2非授权访问数据类攻击
非授权访问数据类攻击的要紧目的在于猎取网络端单元之间传输的用户数据和信令数据,具体方法如下:
(1)窃听用户数据——猎取用户通信内容;
(2)窃听信令数据——猎取安全治理数据和其他有利于主动攻击的信息;
(3)假冒通信接收方——猎取用户数据、信令数据和其他有利于主动攻击的信息;
(4)被动传输流分析——猎取访问信息;
(5)非法访问系统储备的数据——猎取系统中储备的数据,如合法用户的认证参数等。
2.1.3非授权访问网络服务类攻击
非授权访问网络服务类攻击的要紧目的是访问网络并躲避付款,具体的表现形式如下:
(1)假冒合法用户——猎取访问网络服务的授权;
(2)假冒服务网络——访问网络服务;
(3)假冒归属网络——猎取能够假冒合法用户身份的认证参数;
(4)滥用用户职权——不付费而享受网络服务;
(5)滥用网络服务职权——猎取非法盈利。
2.1.4威逼数据完整性类攻击
安防移动通信网络端的威逼数据完整性类攻击不仅包括无线接口中的那些威逼数据完整性类攻击(因为BSS与MSC之间的通信接口也可能是无线接口),而且还包括有线通信网络,具体表现如下:
(1)操纵用户数据流——猎取网络服务访问权或有意干扰通信;
(2)操纵信令数据流——猎取网络服务访问权或有意干扰通信;
(3)假冒通信参与者——猎取网络服务访问权或有意干扰通信;
(4)操纵可下载应用——干扰移动终端的正常工作;
(5)操纵移动终端——干扰移动终端的正常工作;
(6)操纵网络单元中储备的数据——猎取网络服务访问权或有意干扰通信。
2.2服务后抵赖类攻击
服务后抵赖类攻击是在通信后否认曾经发生过此次通信,从而躲避付费或躲避责任,具体表现如下:
(1)付费抵赖——拒绝付费;
(2)发送方否认——不情愿为发送的消息服务承担付费责任;
(3)接收方抵赖——不情愿为接收的消息服务承担付费责任。
2.3移动端的不安全因素
安防移动通信网络的移动端是由移动站组成的。
移动站不仅是移动用户访问移动通信网的通信工具,它还储存着移动用户的个人信息,如移动设备国际身份号、移动用户国际身份号、移动用户身份认证密钥等。
移动设备国际身份号IMEI是代表一个唯独地移动,而移动用户国际身份号和移动用户身份认证密钥也对应一个唯独的合法用户。
由于移动在日常生活中容易丢失或被盗窃,由此给移动带来了如下的一些不安全因素:
(1)使用盗窃或捡来的移动访问网络服务,不用付费,给丢失移动的用户带来了上的缺失;
(2)不法分子若读出移动用户的国际身份号和移动用户身份认证密钥,那么就能够“克隆”许多移动,并从事移动的非法买卖,给移动用户和网络服务商带来了经济上的缺失;
(3)不法分子还会更换盗窃或捡来的移动的身份号,以此防止被登记在丢失移动的黑名单上等。
2.4攻击风险类
安防移动通信网络中的威逼还有无线窃听、假冒攻击、完整性侵犯、业务否认和移动攻击等内容,
具体描述如下:
(1)无线窃听——窃听无线信道中传送的用户身份号、用户数据和信令信息;
(2)假冒攻击——假冒移动用户欺诈网络端和假冒网络端欺诈移动用户;
(3)完整性侵犯——更换无线通信操纵信道中传送的信令信息;
(4)业务否认——移动用户滥用授权、网络端服务提供商伪造账单;
(5)移动攻击——偷窃移动、更换移动身份号和克隆移动。
3 安防移动通信中的安全技术
从第一代模拟安防移动通信网到第二代数字安防移动通信网的运行体会证明:
安防移动通信网络中存在的各种不安全因素不仅威逼到移动用户的隐私和利益,而且严峻地安防移动通信网络的正常运行,并损害到服务商和网络运行商的经济利益。
为了爱护各个方面的利益,安防移动通信网络必须采纳相应的安全措施,提供足够的安全技术级别服务。
3.1保密性安全技术服务
保密性安全技术服务可分为5类,其保密级别和目的如下:
(1)用户语音保密性(级别:
1)的目的一爱护无线信道中传送的用户语音,防止被他人窃听;
(2)用户身份保密性(级别:
1)的目的一爱护用户的真实身份,防止被无线跟踪;
(3)信令数据保密性(级别:
1)的目的一爱护无线信道中传送的信令数据,防止被他人窃听;
(4)用户数据保密性(级别:
2)的目的一爱护无线信道中传送的用户数据,防止被他人窃听;
(5)认证密钥保密性(级别:
2)的目的一爱护SIM和AC只储备的认证密钥,防止被他人窃取或“克隆"SIM。
3.2认证性安全技术业务
认证性安全技术业务可分为3类,具体描述如下:
(1)用户身份认证性的目的一鉴别移动用户身份,防止假冒用户;
(2)网络身份认证性的目的一鉴别网络身份,防止主动攻击者假冒网络进行欺诈;
(3)信令数据的完整性检测的目的—爱护无线信道中传送的信令信息完整性,防止被他人篡改。
3.3层安全技术业务
上述两类安全业务是在移动通信网络的访问层提供。
随着安防移动通信网络服务类别的增多和商贸的,在应用层增设了安全技术业务,其具体描述如下:
(1)实体身份认证——两个应用实体互相认证对力的身份;
(2)数据源认证——接收方应用实体认证数据确实来自于发送方;
(3)数据完整性认证——接收方应用实体确认接收到的数据没有被篡改;
(4)数据保密性——爱护两个应用实体之间的数据通信,实现端到端的保密性,防止流;
(5)数据接收证明——发送方应用实体认证可证明接收方确实收到了应用数据。
3.4移动爱护
移动生产商为每部移动分配一个全球唯独的国际移动设备号IMEI,每当移动访问移动通信网络,它必须传IMEI给网络端设备号登记处EIR;EIR检查该IMEI是否在丢失和失窃移动的“黑名单”上,若在则EIR就传一个信令将该移动锁起来,现在使用者自己不能开锁,就不能连续使用那个移动,那个在专门大程度上防止了非法用户用捡来或偷来的移动滥用网络服务而由丢失移动的合法用户付费的情形。
然而也有一些不法分子应用高工具改变偷来的的IMEI,从而通过“黑名单”检查。
为防止修改移动的IMEI,移动生产商通常将IMEI设置在一个爱护单元,即具有物理防撬功能的只读储备器。
二、3G的安全原则和安全目标
3G的安全原则要紧有:
3G的安全将建立在第二代系统的安全之上,在GSM和其他第二代系统内差不多证明是必要的和加强的安全元素应当被3G的安全所采纳;3G的安全要确定和校正第二代系统中的实时的和已认识到的缺点;3G的安全要提供新的安全特点,并爱护3G提供的新业务。
3G的安全体系目标能够参考3GPP组织定义的安全条款,以及其详细的定义3GPPTS33.120。
要紧安全目标有:
保证由用户产生的或与用户相关的信息能得到充分爱护,防止被误用和盗用;保证由服务网络和归属环境提供的资源和业务能得到充分爱护,防止被误用和盗用;保证标准化的安全特点至少应有一个能够在世界范畴的基础上输出的加密算法;保证安全特点被充分地标准化,以确保世界范畴内互操作与不同的服务网络之间的漫游;保证提供给用户和业务供应者的爱护级别比当代固定和移动网络(包括GSM)提供的高;保证3GPP安全特点、机制和实现能被扩展和加强。
3G安全结构定义了五个安全特点集,每一安全特点集应付某些威逼,实现某些安全目标:
网络接入安全:
该安全特点集提供用户安全接入3G业务,专门能抗击在(无线)接入链路上的攻击。
网络域安全:
该安全特点集使在提供者域中的结点能够安全地交换信令数据,抗击在有线网络上的攻击。
用户域安全:
该安全特点集确保安全接入移动台。
应用域安全:
该安全特点集使在用户域和在提供者域中的应用能够安全地交换消息。
安全的可视性和可配置性:
该安全特点集使用户能明白一个安全特点集是否在运行,且业务的使用和提供是否应依靠于该安全特点。
三、3G通信的安全漏洞
3G在安全性上比2G有了进一步的提高,然而3G依旧存在诸多安全漏洞:
(一)对敏锐数据的非法猎取,对系统信息的保密性进行攻击
其中要紧包括:
侦听:
攻击者对通信链路进行非法窃听,猎取消息;
假装:
攻击者假装合法身份,诱使用户和网络相信其身份合法,从而窃取系统信息;
扫瞄:
攻击者对敏锐数据的储备位置进行搜索;
泄露:
攻击者利用合法接入进程猎取敏锐信息;
试探:
攻击者通过向系统发送信号来观看系统的反应。
(二)对敏锐数据的非法操作,对消息的完整性进行攻击
要紧包括:
对消息的篡改、插入、重放或者删除。
(三)对网络服务的干扰和滥用,从而导致系统拒绝服务或者服务质量低下
要紧包括:
干扰:
攻击者通过堵塞用户业务、信令或操纵数据使合法用户无法使用网络资源;
资源耗尽:
攻击者通过使网络过载,从而导致用户无法使用服务;
特权滥用:
用户或服务网络利用其特权非法猎取非授权信息;
服务滥用:
攻击者通过滥用某些系统服务,从而获得好处,或导致系统崩溃。
(四)否认
要紧指用户或网络否认曾经发生的动作。
(五)对服务的非法访问
包括:
攻击者伪造成网络和用户实体,对系统服务进行非法访问;
用户或网络通过滥用访问权限非法猎取未授权服务。
四、3G通信安全技术
(一)接入网安全
用户信息是通过开放的无线信道进行传输,因而专门容易受到攻击。
第二代移动通信系统的安全标准要紧关注的也是移动台到网络的无线接入这一部分安全性能。
在3G系统中,提供了相关于GSM而言更强的安全接入操纵,同时考虑了与GSM的兼容性,使得GSM平滑地向3G过渡。
与GSM中一样,3G中用户端接入网安全也是基于一个物理和逻辑上均独立的智能卡设备,即USIM。
以后的接入网安全技术将要紧关注的是如何支持在各异种接入媒体包括蜂窝网、无线局域网以及固定网之间的全球无缝漫游。
这将是一个全新的研究领域。
(二)核心网安全技术
与第二代移动通信系统一样,3GPP组织最初也并未定义核心网安全技术。
然而随着技术的不断进展,核心网安全也已受到了人们的广泛关注,在能够预见的以后,它必将被列入3GPP的标准化规定。
目前一个明显的趋势是,3G核心网将向全IP网过渡,因而它必定要面对IP网所固有的一系列问题。
因特网安全技术也将在3G网中发挥越来越重要的作用,移动无线因特网论坛(MWIF)就致力于为3GPP定义一个统一的结构。
(三)传输层安全
尽管现在差不多采取了各种各样的安全措施来抗击网络层的攻击,然而随着WAP和Internet业务的广泛使用,传输层的安全也越来越受到人们的重视。
在这一领域的相关协议包括WAP论坛的无线传输层安全(WTLS)、IEFT定义的传输层安全(TLS)或其之前定义的socket层安全(SSL)。
这些技术要紧是采纳公钥加密方法,因而PKI技术可被利用来进行必要的数字签名认证,提供给那些需要在传输层建立安全通信的实体以安全保证。
与接入网安全类似,用户端传输层的安全也是基于智能卡设备。
在WAP中即定义了WIM。
因此在实际应用中,能够把WIM嵌入到USIM中去。
然而现时期WAP服务的传输层安全解决方案中仍存在着缺陷,WTLS不提供端到端的安全爱护。
当一个使用WAP协议的移动代理节点要与基于IP技术的网络提供商进行通信时,就需要通过WAP网关,而WTLS的安全爱护就终结在WAP网关部分。
如何能够提供完整的端到端安全爱护,差不多成为WAP论坛和IETF关注的热点问题。
(四)应用层安全
在3G系统中,除提供传统的话音业务外,电子商务、电子贸易、网络服务等新型业务将成为3G的重要业务进展点。
因而3G将更多地考虑在应用层提供安全爱护机制。
端到端的安全以及数字签名能够利用标准化SIM应用工具包来实现,在SIM/USIM和网络SIM应用工具提供商之间建立一条安全的通道。
SIM应用工具包安全定义能够见3GPPGSMTS303.48。
(五)代码安全
在第二代移动通信系统中,所能提供的服务差不多上固定的、标准化的,然而在3G系统中各种服务能够通过系统定义的标准化工具包来定制(比如3GPPTS23.057定义的MExE)。
MExE提供了一系列标准化工具包,能够支持手机终端进行新业务和新功能的下载。
在这一过程中,尽管考虑了一定的安全爱护机制,但相对有限。
MExE的使用增强了终端的灵活性,但也使得恶意攻击者能够利用伪“移动代码”或“病毒”对移动终端软件进行破坏。
为了抵御攻击,MExE定义了有限的一部分安全机制,具体如下:
第一定义了3个信任域节点,分别由运营商、制造商和第三方服务提供商操纵;另外还定义了一个非信任的发送节点移动代码在这些节点上的可执行功能是由一个标准化列表严格规定的。
因此信任域节点具有一定的优先级。
移动代码在执行特定功能前,MExE终端会先检查代码的数字签名来验证代码是否被授权。
MExE中数字签名的使用需要用到合适的PKI技术来进行数字认证。
公钥系统的信任节点是那些位于认证等级最高层的根公钥。
MExE承诺根公钥内嵌入3个信任域节点设备中,并由其操纵对哪些实体对象进行认证。
但如何保证由数字签名建立的信任链能够真正为用户提供安全的应用服务依旧一个尚待解决的问题。
个人无线网络安全3G终端的硬件设备形式是多样化的。
例如使用蓝牙技术的无线局域网就承诺各种物理终端设备自由加入和退出。
这些终端包括手机、电子钱包、PDA以及其他共享设备,等等。
考虑个人无线局域网内通信安全也是专门必要的。
五、终止语
由于无线通信网络中存在的不安全因素对网络月户和网络经营者的经济利益构成了威逼,为了爱护其利益,无线电通信网络须应用上述相关技术的安全业务来排除不安全因素给网络用户带来的威逼。
随着无线通信技术的不断进展,无线通信网络的应用不仅深入到国防军事、科研、医疗卫生等国民经济诸多领域,并已深入到千家万户的日常生活。
无线通信网络应用越广泛,它的安全性就越重要。
本文仅从安防移动通信网络中的不安全因素和安防移动通信网络中的安全技术两个方面阐述了它们的特点和特色。
致谢
光阴似箭,日月如梭,赶忙要毕业了,在这四年的学习过程中,我把握了专门多专业知识,也学到了专门多做人的道理。
值此论文顺利完成之际,我衷心的感谢曾经关心过我的人们。
我的论文能得以顺利完成,离不开黄瑞光老师的尽心指导。
从选题,翻译,开题,理论分析,编程,直至论文的撰写修改,黄老师都给了我专门大的关心。
同时,黄老师活跃的思维,严谨求实的作风也让我从中学到了专门多。
在此我向黄老师表示衷心的感谢!
另外,我要感谢母校华中科技大学,她为我们提供了专门好的学习环境以及优良的软硬件设施,使我能与周围那么多优秀的同学们一起学习成长。
在此我深深地感谢所有关怀过我,关心过我的老师、同学、朋友和亲人,是他们的关怀、关心和支持使我得以顺利完成学业!
参考文献
1.手机安全引发全球关注欧盟警示用户加强防范
2010年12月16日
2.安防移动通信网中的安全技术
3.3G安全技术的必要与解析