| 对更大容量、更高传输速率需求的持续增长推动了第三代移动通信系统——3G标准的制定。3G是个人通信发展的新阶段,它引入IP技术,除了传统的语音业务外,还包括多媒体业务、数据业务以及电子商务、电子贸易和互联网提供的多种信息业务,信息的传输既经过全开放的无线链路,亦经过开放的全球有线网络。而企业级的数据通信体系建立,也是3G网络广泛应用的直接体现。现在复杂的企业竞争环境下,数据通信的安全问题就成为了企业数据通信的重要课题。 一、3G网络通信模式概述 3G全称为3rd Generation,中文意思是第三代数字通信,是相对于第一代和第二代通信技术而言的。1995年问世的第一代模拟制式手机(1G)只能进行语音通话;1996到1997年出现的第二代GSM、CDMA等数字制式手机(2G)便增加了接收数据的功能,如接收电子邮件或网页。数字越高,代表该通信技术越先进。目前主要是2.75G,中国3G网络正在普及阶段。相对第一代和第二代,第三代通信技术是将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统。它能够处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。为了提供这种服务,无线网络必须能够支持不同的数据传输速度,也就是说在室内、室外和行车的环境中能够分别支持至少2Mbit/s、384kbit/s以及144kbit/s的传输速率。发展第三代移动通信网络的目的,主要是整合移动通信与Internet的相关服务,使得移动通信网络也能提供Intemet相关的数据服务功能。第三代移动通信系统的基本架构包括以下内容。 基站系统(Node B):一个NodeB可包含一个或多个基地发射站(13TS),BTS用来提供位于该服务区域内移动用户所需的无线通信接口。 无线电网络控制台(Radio Network Controller,RNC):管辖一个或多个NodeB,并负责提供所管辖NodeB间的交替工作及提供所管辖BTS的资源管理。 移动交换中心(MSC/SGSN):是第三代移动通信系统的中枢,可提供线路交换(Circuit-Switching)及数据交换(Packet-Switching)功能,为服务范围内的移动用户执行交换与转接的服务。 访客位置记录器(VLR):主要负责存储漫游到此服务区中的移动用户的相关数据。 本地位置记录器(HLR):主要负责存储所有移动用户的相关数据,以作为越区辨识及记账的依据。 认证中心(AuC):存储所有用户的IMSI及相对应的认证密钥,供后续执行相关安全机制之用。 移动站(MS):由移动设备(Mobile Equipment,ME)与类似SIM卡的UICC卡(UMTS IC Card)组成的。UICC卡内含有用户服务识别模块(User Service Identity Module,USIM),这个模块内存有/1至芦的密码机制算法,它们是由公开的MILENAGE算法推算而来的。而ME内则存有声与户的密码算法,它们是由公开的KASUMI算法推算而来的。 二、基于3G网络的企业数据通信安全机制 第二代移动通信系统的验证机制是采用网络对用户的验证方式,来防止非法用户进入合法的网络,但却没有提供用户对网络的验证机制,来防止合法用户进入非法的网络。为了解决这一缺点,第三代移动通信增加了用户对网络的验证机制。另外,为确保用户数据在无线电波传输时不被截取或篡改,第三代移动通信系统也新增了机密性及完整性的保护机制。第三代移动通信系统的相关安全机制如下: 1.用户身份的保密性 该机制与第二代通信系统相似,移动用户利用暂时眭的用户识别码TMSI向网络证明自己的身份,而不使用真实的用户识别码IMSI,目的是降低IMSI暴露后可能被窃取的风险。一旦VLR验证MS的旧TMSI无误后,就会产生一个新的TMSI给MS。为了避免TMSI数据外泄,TMSI在无线电波中传输时将给予加密保护。MS解出TMSI密码后存入SIM卡,并回复VLR已收到新的TMSI。当移动用户不在同一个VLR服务区域时,MS与VLR会先进行相互身份验证(此机制后面会有介绍),新的VLR会在该用户通过身份验证后,发送一个新的TMSI给该用户,并删除旧的TMSI。 2.网络与用户的双向验证机制 第三代移动通信系统中,网络与用户进行双向验证的步骤如下:当移动用户进入一个新的VLR所管辖的区域时,会先利用TMSI来识别用户的身份,再以挑战及响应的询问方式来识别用户身份。移动用户在通过身份验证之后,便可以开始进行通信,进入数据完整性及加解密的安全机制。 3.数据完整性机制 验证数据完整性所需的秘密密钥,是之前AuC与客户端根据密钥K及参数RAND,通过f4算法所计算出来的参数IK。传送端将信息(Message)及外加的1位方向识别码(Direction)、32位的时变序号值(Count-1)和32位的网络端变数(Fresh)与IK一起通过f9算法计算后,得到MAC-1验证码,然后再将MAC-1连同要传输的数据—起传送给验证端。接收端只要依据相同的程序以及秘密密钥K计算出MAC-1并与所收到的MAC-1对比是否相同,若相同则可确认该传输数据的完整性。用户对网络数据-的完整性验证与网络对用户数据的完整性验证都可通过传送MAC-1来完成。 4.数据加解密机制 针对在无线电波中传送的数据,第三代通信系统也提供相关的加解密机制来保护传送数据的机密性。该加密机制所使用的加解密密钥是由f3算法所计算出来的参数CK。传送端将参数Bearer、Direction、Count-C、Length及CK通过f8算法计算后产生一个密钥流块(Key Stream Block),然后再将此块与要传送的数据进行XOR计算,便可得到密文,再将密文传送到另一端。其中,参数Bearer为5位的载送识别码,Direction为1位的方向识别码,Count-C为32位的时变序号值,Length为16位的输入数据长度指示器。接收端收到密文块后,同样可计算出相同的密钥流块,并将其与所得到的密文进行XOR计算,便可得到明文。 三、结束语 基于3G网络的企业数据通信的安全,要确保所有用户产生或与用户相关的信息得到足够的保护,以防滥用或盗用;要确保归属网络与服务网络提供的资源与服务得到足够保护,以防滥用或盗用;要确保安全特性标准化,具有全球兼容能力;要确保安全特征的标准化,保证不同服务网络间的漫游与全球互操作能力;要确保提供给用户与运营商的安全保护水平高于已有固定或移动网络。 参考文献: [1]邓霄博,杜勇,朱伟光等.基于3G网络的企业数据通信安全方案[J].电信科学,2010,(8):102-106. [2]姚希.3G通信网络的安全分析[J].中国科技博览,2010,(1):144-144. [3]杨光辉,李晓蔚.现代移动通信网络安全关键技术探讨[J].长沙通信职业技术学院学报,2007,6(2):29-35. [4]周恩,田宏林,张杰,王彦武.第三代数字移动通信(3G)对信息安全保密工作的影响[J].保密工作,2009,(8):54-55. |