我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:ag视讯 > 地空通信 >

WCDMA网络无线行业应用信息安全分析

归档日期:11-02       文本归类:地空通信      文章编辑:爱尚语录

  孙记明, 张惠谦, 李广彬 无线通信 WCDMA 网络无线行业应用信息安全分析 Radio Communication WCDMA 网络无线行业 Analysis of WCDMA Network Wireless 应用信息安全分析 Application Information Safety 孙记明 1, 张惠谦 1, 李广彬 2(1.中讯邮电咨询设计院有限公司 , 河南 郑州 450007;2.中讯邮电咨询设计院有限公司 , 广东 广州 510627 ) Sun Jiming1,Zang Huiqian1,Li Guangbin2 (1.China Information Technology Designing & Consulting Institute Co. ,Ltd ,Zhengzhou 450007 , China ;2.China Information Technology Designing & Consulting Institute Co. ,Ltd ,Guangzhou 510627 ,China ) 摘 要: 关键词 : 行业应用; 安全性; 宽带码分多址; VPDN 中图分类号 :TN929.5 文献标识码 :A 文章编号 :1007- 3043 (2012) 02- 0013- 04 简要介绍了中国联通 WCDMA 网络 VPDN 组网模型, 基于该模型对 WCDMA 网络 端到端信息安全性进行了详细分析, 详细论述了中国联通 WCDMA 网络在信息安全 上为行业客户提供的有效技术保障, 使行业客户对其安全性有个全面了解, 打消使用 中国联通 WCDMA网络VPDN 业务时存在的安全忧虑。 Abstract : It briefly des cribes VPDN architecture of China Unicom WCDMA netw ork, provides a detailed analys is of WCDMA netw ork end- to- end inform ation s afety bas ed on the above, pres ents the effective s afety protection for indus try application, to eas e cus tom ers m ind on WCDMA netw ork VPDN s afety. Keywords : Indus try application; Safety; WCDMA; VPDN 0 前言 中国联通的宽带码分多址 (WCDMA ) 网络以成熟 的产业链 、 丰富的终端和高速稳定的无线数据传输 , 不 仅 为 公 众 用 户 带 来 了 崭 新 的 3G 无 线 数 据 业 务 体 验 , 也为行业客户实现高速无线数据业务提供了可能 和新的发展契机 。 为 满 足 行 业 客 户 对 WCDMA 网 络 高 速 无 线 数 据 传输能力的需求 , 中国联通推出了移动企业虚拟拨号 网 络 (VPDN ), 为 行 业 客 户 构 筑 了 基 于 WCDMA 网 络 的高速无线 VPDN ; 行业客户基于该网络 , 可远程经公 共网络 , 并通过虚拟的加密通道与行业客户内部网络 进行安全连接 , 实现特定的移动信息化应用 。 然而 , 对 —— —— —— —— —— —— —— —— —— — 收稿日期 :2011-12-07 于一些安全性要求极高的行业客户 ( 如海关 、 金融类企 业 等 ) 来 说 , 他 们 除 关 心 WCDMA 网 络 提 供 的 无 线 带 宽保障外 , 还关心 WCDMA 网络作为 VPDN 承载网络 是否能提供足够的信息安全保障 。 本 文 首 先 介 绍 了 中 国 联 通 WCDMA 网 络 VPDN 组网模型 , 并基于该模型对 WCDMA 网络进行了端到 端的信息安全性分析 , 详细论述了 WCDMA 网络在信 息安全上为行业客户提供的有效保障 , 旨在使其对中 国联通 WCDMA 网络的安全性有个全面了解 , 从而打 消使用 WCDMA 网络 VPDN 业务时的安全忧虑 。 1 WCDMA 网络 VPDN 组网 1.1 VPDN 组网模型 基于 WCDMA 网络的 VPDN 组网模型见图 1。 WCDMA 网络 VPDN 由以下 3 部分网络组成 。 邮电设计技术 /2012/02 13 张惠谦, 李广彬 无线通信 孙记明, Radio Communication WCDMA 网络无线行业应用信息安全分析 HLR 共享 AAA 企业网 务的过程中 , 可能泄露客户信息的有以下几个环节 。 a) 用户 USIM 卡被非法分子复制并冒充用户登录 客户内部网络 。 I nternet/ VPN 网关 专网 NodeB RNC 无线接入网 SGSN GGSN 企业网 b) 用户数据在空口部分被非法分子监听并 窃 取 相关信息 。 分组核心网 VPN 网关 VPDN 接入网 c) 用户数据信息在分组核心网络传输过程中 , 被 非法分子通过网络攻击获取 。 图1 基于 WCDMA 网络的 VPDN 组网模型 d) 用户数据信息在 VPDN 接入网中 , 被非法分子 通过网络攻击获取 。 下面就上述环节的信息安全性进行逐一分析 。 a) 无线接入网 。 用户终端至无线系统 (Node B 和 RNC) 部分 。 主要负责为移动用户提供无线通道接入 WCDMA 分组网络功能 。 b) 分组核心网 。 服务 GPRS 支持节点 (SGSN)至关 口 GPRS 支持节点 (GGSN ) 部分 。 提供给用户的网络接 入认证鉴权 、VPDN 业务认证鉴权和数据业务的路 由 控制等功能 。 2.1 USIM 卡的安全 USIM 卡 除 保 存 用 户 业 务 数 据 ( 如 通 讯 录 、 短 信 ) 外 , 还保存有以下用户认证鉴权数据 。 a) 国际移动用户识别码 (IMSI)。 唯一识别 USIM 卡的号码 。 c) VPDN 接入网 。 GGSN 至行业客户内部网络部 分 。 行业客户接入 WCDMA 分组核心网的传输通道 , 可以是物理专线 、 虚拟专线 , 甚至可以是 Internet 。 1.2 网元功能 网络模型中的主要网元功能分述如下 。 b) 鉴权密钥 (Ki)。 Ki 长度为 16 bit。 IMSI 为 Ki 的 索引 , 即 1 个 IMSI 号码唯一地对应于 1 个 Ki 值 。 c) 鉴权和加密算法 (f1、f2、f3、f4、f5、f1*、f5*、UIE、 UIA)。 d) Opc。 运营商可变算法配置域 , 使用 Mileage 鉴 权算法时引入的 1 个输入参数 。 e) SQNMS。 计算消息鉴权码 (MAC)值和终端鉴权 参数 (AUTN ) 时需应用 SQNMS , 以保证认证过程的 最 新性 , 防止重新攻击 。 上述数据还在 HLR 中保存 1 份 。 在认证鉴权时 , 网络下发 1 个随机数和 AUTN ,USIM 卡 根 据 随 机 数 、 a) 全球用户识别卡 (USIM)。 终端用户的身份识别 卡 。 负责保存用户标识 、 认证鉴权等信息 , 完成用户无 线网络接入的认证鉴权功能 。 b) Node B/RNC 。 负责完成用户移动终端的无线链 路建立 、 信道分配及无线资源管理等功能 , 实现用户的 无线网络接入 。 c) SGSN。 负责提供核心分组网与无线接入网的 连接 , 完成网络接入鉴权等功能 。 d) GGSN。 负责提供通用分组无线业务 (GPRS)与 外部分组数据网的接口 , 完成 IP 地址分配 、 路由选择 等功能 。 此外 , 还配合共享 AAA , 完成企业 VPDN AAA 认证功能 。 在判断出用户为 VPDN 业务用户时 , 触发 到共享 AAA 服务器进行远程用户拨号认证系统 (RADIUS)认证 。 e) 归属位置寄存器 (HLR)。 负责存储本归属区的 所有移动用户数据 ( 包括鉴权管理 、 业务等 )。 IMSI、OPc、Ki 和 SQNMS 作为输入参数 , 通过鉴权和加 密算法计算出 AUTN 、RES 、CK 和完整性密钥 (IK ); 终 端 将 本 地 计 算 的 AUTN 和 网 络 下 发 的 AUTN 值 进 行 比对 , 一致时则完成对网络的认证 , 并将 RES 上报至 网络核心网控制设备 。 控制设备将用户上报的 RES 与 本地计算的值作对比 , 一致时则完成对用户的认证 , 允 许用户接入并分配 IP 地址和数据业务通道 。 因此 , 非法分子若想复制 USIM 卡 , 则需获取用户 IMSI、Ki、 各种加密算法 、OPc 和 SQNMS 等 数 据 , 这 无 疑是非常困难的 。 f) 共享 AAA 服务器 。 完成行业用户终端访问行 业客户网络的认证和授权等功能 。 a) IMSI。 用户的唯一身份标识 。 该标识被存储在 USIM 和用户信息数据库中 , 用户或客户不需要知道 。 为避免 IMSI 被窃取 , 网络会为每个用户分配 1 个临时 身 份 标 识 (TMSI/P-TMSI ), 只 有 用 户 第 一 次 接 入 网 络 或其他特殊情况时 ( 如用户长期关机导致网络取消了 其原临时身份标识 ) 才上报 IMSI , 以 后 的 交 互 都 通 过 2 WCDMA 网络端到端信息安全分析 从 基 于 WCDMA 网 络 的 VPDN 组 网 模 型 的 上 述 分析中可知 , 在用户通过 WCDMA 网络使用 VPDN 业 14 2012/02/DTPT 孙记明, 张惠谦, 李广彬 无线通信 WCDMA 网络无线行业应用信息安全分析 Radio Communication 临时身份标识实现 , 同时网络侧还会定期更换用户临 时身份标识 。 上述机制有效地避免了通过监听无线网 络盗取用户 IMSI 信息的可能性 。 整性保护 。 b) Ki。 该密钥在制卡时写入 USIM 卡 ,为用户不可 读数据 , 非法分子获取 USIM 卡后也无法读取该值 。 而 网络侧的 Ki 值是经过加密保护的 , 且是不可见的 。 2.3 无线 WCDMA 无线技术的安全性 WCDMA 原理是基于扩频技术的 , 即 : 将需传送的 具有一定信号带宽的信息数据 , 用一个带宽远大于信 号带宽的高速伪随机码进行调制 , 使原数据信号的带 宽被扩展 , 再经载波调制并发送出去 , 而接收端则使用 完全相同的伪随机码与接收的带宽信号做相关处理 , 以实现通信 。 这种扩频技术最初为美国军方使用 。 扩频 技术的特点是 , 信号被扩展到很宽的频带上 , 使信号功 率非常低 , 信号被淹没在白噪声之中 , 非法分子很难发 现信号的存在 。 为发现信号 , 非法分子需知道扩频码 。 而扩频码有数万个 , 且每个用户的扩频码都是随机分 配和不断变化的 , 因此非法分子是很难监听到用户的 无线信号的 。 c) OPc 值 。 加密算法的输入值 。 运营商维护有 256 组 OPc 值 , 使用户 USIM 卡间的 OPc 值保持差异 , 从 而进一步提高了非法分子获取卡保密数据的难度 。 d) 各种加密算法 。 非公开保密算法 , 非法分子很 难获取 。 通过上述分析可发现 , 非法分子盗取用户数据并 复制 USIM 卡的可能性是微乎其微的 。 2.2 合法用户控制 WCDMA 网络通过对用户的认证鉴权 ( 流程见图 2), 保证只有合法用户才能接入网络 。 WCDMA 网络认证鉴权过程为 : 鉴权时网络侧下 发 AUTN 和 RAND ,USIM 卡根据本地存储的 Ki 、OPc 、 IMSI 等数据及网络下发的随机序列数 , 通过加密算法 计算出 AUTN 值 , 并与网络下发的 AUTN 进行核对 , 一 致 时 则 认 为 网 络 可 信 ; 计 算 出 RES 、CK 和 IK , 把 2.3.2 无线接入网的信息安全 认证鉴权通过后 , 用户终端会使用 USIM 卡计算 出的 128 位 CK 和 IK , 对用户业务数据进行加密和完 整性保护 。 WCDMA 的 加 密 机 制 是 利 用 加 密 算 法 f8 生 成 密 钥流 ( 伪随机的掩码数据 )。 明文数据再和掩码数据进 行逐比特相加产生密文 , 然后再以密文方式在无线链 路上传输用户数据和信令信元 。 接收方在收到密文后 , 再把密文和掩码数据 ( 同加密时输入参数一样 , 因此产 生的掩码数据也一样 ) 逐比特相加 , 还原成明文数据 ( 即解密 )。 用户数据的加密和完整性保护 , 一直延伸到 RES 上报至网络认证单元供网络对用户认证 。 若 RES 与网络侧计算出的预期结果一致 , 则认证通过 , 允许用 户接入无线网络 。 认证鉴权通过后 , 用户终端会使用 USIM 卡计算 出的 128 位 CK 和 IK , 对用户业务数据进行加密和完 USIM RNS REQUEST (IMSI/TMSI ) 与呼叫建立 、 位置更新 、 补充业务相关的请求 VLR/SGSN HLR/AuC 鉴权数据 (IMSI/TMSI ) 产生鉴权参数组 AV (1 ,…,n ) (RAND/XRES/CK/IK/AUTN ) 鉴权数据响应 (1 ,…,n ) 存储鉴权参数组 用户鉴权请求 (RAND(i )AUTN (i )) 验证 AUTN (i ) 计算 RES (i ) 用户鉴权响应 (RES (i )) 计算 CK (i ) 和 IK (i ) RES (i )=XRES (i )? 选择 CK (i ) 和 IK (i ) 图2 WCDMA 鉴权流程 邮电设计技术 /2012/02 15 张惠谦, 李广彬 无线通信 孙记明, Radio Communication WCDMA 网络无线行业应用信息安全分析 无线接入网的边缘网元 RNC 。 为防止侵入者假造消息或篡改用户和网络间的信 令消息 ,WCDMA 提供了完整性保护机制来保护信令 的完整性 。 完整性保护在无线资源控制 (RRC ) 子层执 行 , 同加密一样 , 在 RNC 和终端间使用 。 络层面的安全性 。 而为保证接入网络的数据信息安全 性 , 则可通过端到端的 IPsec 方案来保证 GGSN 到企 业网络的链路数据信息安全性 。 3 结束语 中国联通 WCDMA 网络建设 , 为公众用户带来了 多姿多彩的多媒体业务体验 , 同时也为行业客户提供 了随时随地接入行业客户内部网络的无线数据通道 。 通过上述分析可明显地看出 ,WCDMA 网 络 在 数 据信息方面提供了足够的安全性保障措施。 结合 WCDMA 的 完 整 性 保 护 机 制 是 发 送 方 (UE 或 RNC) 将要传送的数据用 IK 经过 f9 算法产生的 MAC 附加在发出的消息后 , 接 收 方 (RNC 或 UE ) 用 同 样 的 方 法 计 算 得 到 XMAC , 并 把 收 到 的 MAC 与 计 算 的 XMAC 相比较 ,若 2 者相等时 ,则说明收到的消息是完 整的 , 在传输过程中没有被修改过 。 通 过 对 空 口 用 户 数 据 的 128 位 加 密 和 完 整 性 保 护 ,WCDMA 无 线 接 入 网 的 安 全 性 较 2G 网 络 有 了 进 一步提高 , 非法分子是很难通过无线接入网窃取到用 户数据信息的 。 VPDN 技术 , 中国联通 WCDMA 网络将为行业客户提 供了安全 、 高速 、 稳定的移动数据业务应用通道 , 为行 业客户实现移动信息化提供了强有力的保障 , 行业客 户是不必有任何忧虑的 。 参考文献 : [1 ] 朱爱华 , 杨娜 . 2G 与 3G 移动网络接入的安全性 分 析 [J ]. 邮 电 设 计 技术 ,2007 (1 ). [2 ] 李稷楠 , 王欣 , 朱旭明 , 朱伟雄 . 浅谈基于 WCDMA 分组域的行业应 用接入方案 [J ]. 邮电设计技术 ,2010 (3 ). [3 ] 张明 , 胡悍英 , 刘正军 . WCDMA 在无线接入端的安全性研究 [J ]. 通 信技术 ,2003 (7 ). [4 ] 韩 昱 炜 , 郑 厚 喜 . 3G-WCDMA 系 统 分 组 域 核 心 网 安 全 分 析 [J ]. 中 国传媒科技 ,2007 (4 ). 2.4 有线 分组核心网的安全性 分组核心网用户数据信息的安全保障主要是通过 以下 2 个方面来实现的 。 a) 专用 IP 承载网 。 中国联通分组核心网网络设 备是通过其内部的专用 IP 承载网实现互通的 , 并采用 了 MPLS VPN 等安全技术 。 b) 采 用 安 全 隧 道 协 议 。 用 户 数 据 在 由 RNC 经 SGSN 至 GGSN 的过程中采用了 GPRS 隧道协议 , 通过 将用户数据包在 GTP 隧道中传输实现了用户间数 据 的安全隔离 。 作者简介 : 孙记明, 毕业于北京邮电大学, 工程师, 硕士, 主要从事移动增值业务系统咨询规划设计 工作; 张惠谦, 毕业于河海大学, 高级工程师, 硕士, 曾参加过软件开发、 移动核心网技术 研究, 现主要从事移动通信核心网咨询规划设计工作; 李广彬, 毕业于郑州大学, 工程 师, 学士, 主要从事 GSM 、 CDMA、 WCDMA 移动通信网咨询规划设计工作。 2.4.2 VPDN 接入网络的安全性 VPDN 接入网络可以是 Internet , 也可以是个共享 的专用接入网络 。 各种 VPN 隧道技术保证了接入网网 中兴通讯信息 中兴通讯下一代智能光接入平台获第一 评级: 著名咨询公司 Current Analysis 近 日发布了最新的产品性能评估报告, 中 兴通讯的 ZXA10 C300 下一代智能光接 入平台在 GPON 类产品中排名第一。作 为中兴通讯统一接入解决方案的核心组 成部分, ZXA10 C300 平台支持多种 技 术,包括基于标准的 GPON/EPON、 PTP/ 有 源 Ethernet FTTP 和 10G EPON/ GPON,适用于各种 FTTx 应用场景; 支 持 800 Gbit/s 的 交 换 和 矩 阵 能 力 以 及 3.2 Tbits 的背板能力,为接入层光网络 演进奠定基础。据悉, 包括 ZXA10 C300 下一代高密度光接入平台在内的中兴 xPON 光接入产品已应用 9 600 万线, 在 全球 PON 市场排名前二。 (孙丽 ) 中 兴 T8000 路 由 器 获 国 际 权 威 组 织 MEF 认证:中兴通讯日前对外宣布, 其 自 研 芯 片 100G 集 群 路 由 器 ZXR10 T8000 通过国际城域网论坛组织 (MEF ) 的严格检测, 顺利通过 MEF9 和 MEF 14 的标准测试。作为中兴通讯技术创新战 略的核心成果之一, T8000 平台产品于 2009 年面市, 以满足互联网 、 运营商骨 干和城域网核心节点的需求,构建扁平 化网络,实现统一承载网的长期平滑演 进。本次中兴通讯参与测试的核心路由 器, 全部采用自主研发的转发、 交换与接 路由转发 口芯片, 保证了数据报文接收、 和交换的性能。 (孙丽 ) 16 2012/02/DTPT

本文链接:http://sickedwick.net/dikongtongxin/799.html