摘 要：網絡安全作為移動通信系統(tǒng)發(fā)展的關鍵影響因素一直是通信領域的專家和學者研究的重點和熱點。本文對移動通信系統(tǒng)安全技術進行了簡要分析，同時分析了提高移動通信系統(tǒng)網絡的安全性的研究要點，并相應給出一些策略。

關鍵詞：移動通信系統(tǒng)網絡；認證；身份識別

中圖分類號：TN929.5

通信技術的發(fā)達與應用領域的擴大，移動通信系統(tǒng)網絡的安全性因為能夠直接對客戶和運營商的利益產生不同程度的直接或間接影響，社會各界也均將移動通信系統(tǒng)網絡的安全性作為一項重點工作，如何運用合理的策略保障移動通信系統(tǒng)網絡的安全具有十分重要的現(xiàn)實意義。

1 移動通信網絡的安全技術發(fā)展簡介

第一代移動通信（1G）所利用的模擬蜂窩網系統(tǒng)，該系統(tǒng)無法提供非語音方面的業(yè)務，可以提供較為基本的語音會話業(yè)務。安全性能上，保密性很低，幾乎沒安全措施，給使用者和運營商帶來嚴重的危害。該系統(tǒng)的安全技術主要是以移動臺為平臺，將系統(tǒng)的電子序列號與網絡分配的移動臺識別號用明文的方式傳遞到網絡且加以比較，如果兩者能夠匹配，則允許用戶接入。這種方式很容易造成盜打，并導致克隆手機的大量產生。第二代通信系統(tǒng)（2G）所利用的數字蜂窩網絡系統(tǒng)，相較于第一代移動通信，保密性能上大幅度提高，并且徹底堵塞并機盜打的可能，但是仍然存在諸多安全隱患。在安全措施上，主要采用時分多址（TDMA）和碼分多址（CDMA）兩種措施，同時還引入了加密模式加密傳輸的信息，并增加了用戶鑒權功能，使無線信道傳送在安全性能上有所增強。2G鑒權流程如圖1所示。

圖1 2G鑒權流程

從圖1可看出2G認證采用的是單向模式，在加密方面主要是以私鑰密碼體制為基礎，而非端到端，通過共享秘密數據（私鑰）的安全協(xié)議，從而使接入用戶的認證和數據信息的保密兩個方面都得到實現(xiàn)，因此，第二代移動通信系統(tǒng)仍然存在著安全隱患。第三代移動通信（3G），在其安全體系中定義了傳輸層、歸屬、服務層和應用層以及移動用戶和移動設備、服務網和歸屬環(huán)境等五個方面的安全特征組。在面對威脅和攻擊時，根據其來源于性質的不同會有一個相應的安全特征組來與其對抗，最終實現(xiàn)某一類安全目標。

當前，大多數發(fā)達國家正在加緊研制第四代移動通信技術（4G），以期能夠保持并繼續(xù)享有在未來4G系統(tǒng)中制定規(guī)則與標準方面的發(fā)言權。美日等國正在密集的組織科研力量研發(fā)新一代無線通信技術，以期能夠盡快的進入市場化階段。就現(xiàn)階段的情況來看，在該領域新的研究方向主要集中在網絡結構、用戶切換和漫游等移動環(huán)境下的系統(tǒng)實現(xiàn)方案技術等方面，從而保障用戶的大范圍移動能夠得以實現(xiàn)，這一技術路線也是目前第四代移動通信系統(tǒng)在全球最主要的設計思路。但是，因為無線網絡自身方面所無法擺脫的脆弱性，來自各個方面的安全威脅仍然無法避免。

2 移動通信系統(tǒng)網絡安全策略研究

為可能夠最大限度的保障盡可能多的用戶在信息方面的安全，有效降低濫用或盜用等情況，就應當努力實現(xiàn)移動通信系統(tǒng)網絡的全球兼容性能，可以通過以下策略實現(xiàn)上述目標：

2.1 用戶身份保密性。對于用戶在無線鏈路中身份的保密性，主要由下述三個方面構成：（1）身份機密性：保證在用戶真實身份具有安全性，防止竊聽情況的發(fā)生；（2）位置機密性：保證用戶位置的確定非經竊聽完成；（3）不可追溯性：入侵者無法對用戶的各類業(yè)務信息加以推斷；為了能夠最終實現(xiàn)用戶身份保密性的目標，為了能夠避免用戶信息可追溯性，通常在用戶身份識別方面采用臨時身份的形式；同時，對于那些存在暴露用戶信息風險的信令或數據，應使用相應加密措施加以防范。

2.2 認證系統(tǒng)。雙向認證體系能夠有效的維護網絡通訊的安全，即必須同時能夠進行基站與MS認證和MS與基站認證。因此，系統(tǒng)應當保證在用戶與網絡建立連接時，實體認證機制能夠發(fā)揮效能。雙向認證鑒權總計有5個向量，他們的參數依次為RAND、期望響應（XRES）、加密密鑰（CK）、完整性密鑰（IK）、鑒權令牌（AUTN）。其中，IK負責保護接入鏈路信令數據的完整性，提高用戶網絡側合法性鑒權。雙向鑒權認證過程與基本原理見圖2。

圖2 雙向鑒權認證過程

通過比較RES與XRES是否相等，對用戶的身份進行雙向網絡認證。

2.3 數據完整性研究。為了有效維護移動通信系統(tǒng)網絡安全，需要保持數據的完整性，具體包括完整性算法協(xié)商、完整性密鑰協(xié)商和數據完整性和信令數據的信源認證三個方面。完整性密鑰協(xié)商的最終實現(xiàn)要置于執(zhí)行密鑰協(xié)商機制的過程之中。完整性算法協(xié)商的實現(xiàn)要通過用戶和網絡之間的安全模式協(xié)商機制。在移動通信當中，很大比例存在于MS與網絡之間的信令信息都需要完整性的保護，其在3 G中的實現(xiàn)是依賴消息認證這一方式完成的，有效避免了篡改行為。數據完整性保護方法見圖3。

圖3 數據完整性保護方法

對于發(fā)送方而言，將要傳送的數據利用完整性密鑰IK通過F9算法生成消息認證碼MAC，并附于發(fā)出的消息之后。而接收方利用同樣的方法對收到的消息進行運算得到XMAC，再由接收方比較MAC與XMAC的一致性，如果完全相同，則證明消息完整。

2.4 數據保密性研究。3G網絡既延長了密鑰長度還將加密算法協(xié)商機制引入其中，提供了以端到端為基礎的全網范圍內加密，同時還將以交換設備為核心的安全機制運用其中，有效地強化了網絡在信息傳送方面的安全性。在3G系統(tǒng)中，網絡接入部分的數據保密主要表現(xiàn)在4各方面，即加密算法協(xié)商、加密密鑰協(xié)商、用戶數據加密和信令數據加密。其采用F8算法加密分組密碼流數據，這種算法的實現(xiàn)由用戶與服務網間的安全模式協(xié)商機制完成，由AKA實現(xiàn)加密密鑰協(xié)商機制。

3 結束語

隨著無線通信與現(xiàn)代信息技術的融合與發(fā)展，推動了移動通信系統(tǒng)的進步，在經歷了三代發(fā)展之后，正向第四代演進。本文基于就移動通信系統(tǒng)安全技術領域的分析，探討了如何保障移動通信系統(tǒng)網絡安全的有關策略，對于移動通信系統(tǒng)網絡的安全性的提高具有一定的參考價值。

參考文獻：

[1]張平，王衛(wèi)東.第三代蜂窩移動通信系統(tǒng)-WCDMA[M].北京：北京郵電大學出版社，2001：33-56.

[2]Xenakis C，Merakos L Security in third generation mobile networks[J].Computer Communications，2004（07）：638-650.

[3]Hunt R，Verwoerd T.Reactive firewalls：a new technique[J].Computer Communications，2003（12）.

作者單位：曲阜師范大學，山東曲阜 273100