3G通信网络的安全防护技术
[摘要] 第三代移动通信系统是在第二代移动通信系统的基础上发展起来的,它继承了2G系统的安全优点,同时针对3G系统的新特性,定义更加完善的安全特性与安全服务。然而同时3G通信嘲络面临着来自外部的巨大的威胁,因此如何完善3G通信网络安全防护技术成了从业者需要关注的话题之一.
[关键词] 3G 通信网络 安全防护
3G的安全戚胁
1.1 3G系统的安全威胁
(1)对敏感数据的非法获取。
(2)对敏感数据的非法操作,对消息的完整性进行攻击。主要包括:对消息的篡改、插入、重放或者删除。
(3)对嘲络服务的干扰和滥用,从而导致系统拒绝服务或者服务质景低下。主要包括:干扰:攻击者通过阻塞用户业务、信令或控制数据使合法用户无法使用网络资源;资源耗尽:攻击者通过使网络过载,从而导致用户无法使用服务;特权滥用:用户或服务嘲络利用其特权非法获取非授权信息;服务滥用:攻击者通过滥用某些系统服务,从而获得好处。或导致系统崩溃。
(4)否认。主要指用户或网络否认曾经发生的动作。(5)对服务的非法访问。包括:攻击者伪造成网络和用户实体,对系统服务进行非法访问;用户或网络通过滥用访阀权限非法获取末授权服务。
1.2针对系统无线接口的攻击
(1)对非授权数据的非法获取,基本手段包括对用户业务的窃听、对信令与控制数据的窃听、伪装成网络实体截取用户信息以及对用户流量进行主动与被动分析。
(2)对数据完整性的攻击。主要是对系统无线链路中传输的业务与信令、控制信息进行篡改,包括插入、修改、删除等。
(3)拒绝服务攻击。可分为三个层次:物理级干扰:攻击者通过物理手段对系统无线链路进行干扰,从而使用户数据与信令数据无法传输,典型的例子就是阻塞;
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
级干扰:攻击者通过诱使特定的协议流程失败,干扰正常通信;伪装成网络实体拒绝服务:攻击者伪装成合法网络实体,对用户的服务请求作出拒绝回答。
(4)对业务的非法访问攻击。攻击者伪装成其他合法用户身份,非法访问网络,或切入用户与网络之间。进行中间攻击。(5)对用户身份主动捕获攻击。攻击者伪装成服务网络,对目标用户发出身份请求,从而捕获用户明文形式的永久身份号。
1.3针对系统核心网的攻击
(I)对数据的非法获取。基本手段包括:对用户业务、信令和控制数据的窃听,伪装成网络实体截取用户信息以及对用户流量进行主动与被动分析,对系统数据存储实体的非法访问,在呼叫建立阶段伪装用户位置信息等。
对数据的完整性的攻击。基本手段包括:对用户业务与信令消息进行篡改;对下载到用户终端或USIM的应用程序与数据进行篡改;通过伪装成应用程序及数据发起方篡改用户终端或USIM的行为;篡改系统存储实体中储存的用户数据等。
(3)拒绝服务攻击。基本手段包括物理干扰、协议级干扰、伪装成嘲络实体对用户请求作出拒绝回答,滥用紧急服务等。
(4)否认主要包括对费用的否认、对发送数据的否认、对接受数据的否认等。
(5)对非授权业务的非法访问。基本手段包括伪装成用户、服务网络、归属网络,滥用特权非法访问非授权业务。
3G通信网络的安全技术
1、加密对于开放的网络,攻击者易于使用窃听和入侵等攻击手段。但通过对数据的加密,可以使得攻击者得到数据后无法解密识别,从而保证了数据的保密性。但加密手段也会带来一些新的问题,如计算开销增加、密钥的管理以及在网络中对加密数据的监督和审计等。
2、控制和限制。控制和限制是对于网络可控性和可用性的保护方法。这种方法分为对用户访问、流董的控制和对用户权限、操作的限制。这类方法存在的问题是需要以较准确的身份信息为基础的,在身份信息不准确的情况下,会降低授权用户的服务质量和限制授权管理者的操作。
3、认证。认证是用户身份的鉴别方法,是保证可靠性和可信性的基础。认证中主要存在的问题是:在认证过程中。往往会假定通信双方中一方是可信的,误将双向认证流程简化为单向认证流程,而使得该系统存在欺骗、中间人和拒绝服务等威胁。当然,双向认证流稗复杂,计算开销人,投入成本高。
4、验证。验证是一种保证信息可靠性的手段。它是指在_双方没有建立可信赖关系时,对对方所传达的信息要进行验证。比如路由验证。反向地址验证等。这类方法会带来附加的流程和计算开销,也会使得效率下降,因此在信赖己经建立后该机制可以取消。
5、过滤。过滤是一种保证可用性,提升网络有效负载,将低系统无效计算的手段。过滤的目的是要消除或减少垃圾数据占用带宽,无用或虚假数据对系统带来的危害。过滤的基础足识别,首先要正确地识别哪些是无用或虚假的信息,因此过滤存在的问题显而易见,在识别不准确的情况下,可能会对有效数据造成破坏。
6、多通道。多通道是指在传递信息时可以采用不同的通道进行传输,比如管理控制数据与业务数据采用不同的通道,这样使得攻击者必须获得同时具备两个通道的信息否则无法组合出完接的信息,这样就使得攻击者攻击成功的可能性下降,因此这种方法在一定程度上保护了信息的保密性。这类方法的缺点是会引入额外的组网和带宽开销,增加投入成本。
7、审查。这种手段保证了数据的町用性和可信性,从某种程度上提高了网络的可监督性,但也增加了入嘲流程和人力成本。
8、测试。测试是指对于入网的安全产品和网络设备的功能、性能和安全性进行考察。这足保证入网产晶不引入未知威胁的手段。测试的目的是保证被测试产品进入网络后的可用性、可控性、可监督性满足入网需求:另一方面,对于系统的升级包、补丁包也要进行测试,防止由于升级和修补带来的系统小使可用。测试是一种必要的管理流程,但也增加人力成本和一定的设备投入。
9、抗干扰。抗干扰是无法避免同频干扰的,特别足在CDUA制式下,假如用户的使用频率很高,势必淹没其他用户的信号,因此抗干扰主要是限制用户的发射频率,使得用户问的信号影响减小。抗干扰在一定程度上保证网络的可用性,但无法解决空口的同频大功率干扰的根本问题。
10、升级和漏洞修补。升级和漏洞的修补是指对于系统进行升级.对F系统的己知漏洞打补丁,以减少系统本身的脆弱性,防止攻击者入侵系统的可能性。升级和漏洞补丁是保护系统可控性和可用性的手段之一。
11、敏感信息管理。敏感信息管理是指对于系统中的敏感信息的管理,如用户身份标识管理、口令管理,密钥管理,审计信息管理等。敏感信息的管理保证了用户数据的保密性、完整性、可靠性和可信性,间接的保证了网络的可控性和可用性.
结语
总之,3G技术已开始实施并将逐步取代现有通信技术,其网络开放性大大增强,所能够承载的服务和内容急剧增多.并带给人们前所未有的使用体验。与此同时,3G移动通信网络所面临的信息安全挑战也显现出来。为此,针对3G移动通信网的安全策略研究己成为迫在眉睫的问题。
浙公网安备 33021202002483