APP下载

浅谈安防移动通信网中的安全技术

2009-07-28丁清泉

中国新技术新产品 2009年13期
关键词:通信系统移动电话

丁清泉

摘要:如今的安防通信网络中存在着各种不安全因素,如无线窃听、身份假冒、篡改数据和服务后抵赖等。文章从移动通信网络中的不安全因素和移动通信网络中的安全技术两个方面讲述了它们的特点。

关键词:移动电话;通信系统;频分复用模式;移动通信网;时分多址;第三代伙伴计划

1安防移动通信网络中的不安全因素

无线电通信网络中存在着各种不安全因素,如无线窃听、身份假冒、篡改数据和服务后抵赖等等。安防移动通信网络作为无线电通信网络的一种类型,同样存在着这些不安全因素。由于安防移动通信网络的特殊性,它还存在着其他类型的不安全因素。下面将从移动通信网络的接口、网络端和移动端三个部分分析其不安全因素以及在安防移动通信网络中的具体表现形式及其危害。

1.1无线接口中的不安全因素

在安防移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的,但无线接口是开放的,作案者可通过无线接口窃听信道而取得其中的传输信息,甚至可以修改、插入、删除或重传无线接口中的消息,达到假冒移动用户身份以欺骗网络终端的目的。根据攻击类型的不同,又可分为非授权访问数据、非授权访问网络服务、威胁数据完整性三种攻击类型。

非授权访问数据类攻击。非授权访问数据类攻击的主要目的在于获取无线接口中传输的用户数据或信令数据。其方法有以下几种:窃听用户数据——获取用户信息内容;窃听信令数据——获取网络管理信息和其他有利于主动攻击的信息;无线跟踪——获取移动用户的身份和位置信息,实现无线跟踪;被动传输流分析——猜测用户通信内容和目的;主动传输流分析——获取访问信息。

非授权访问网络服务类攻击。在非授权访问网络服务类攻击中,攻击者通过假冒一个合法移动用户身份来欺骗网络端,获得授权访问网络服务并逃避付费,由被假冒的移动用户替攻击者付费。

威胁数据完整性类攻击。威胁数据完整性类攻击的目标是无线接口中的用户数据流和信令数据流,攻击者通过修改、插入、删除或重传这些数据流来达到欺骗数据接收方的目的,完成某种攻击意图。

1.2网络端的不安全因素

在安防移动通信网络中,网络端的组成比较复杂。它不仅包含许多功能单元,而且不同单元之间的通信媒体也不尽相同。所以安防移动通信网络端同样存在着一些不可忽视的不安全因素,如线窃听、身份假冒、篡改数据和服务后抵赖等。按攻击类型的不同,可分为四类。

非授权访问数据类攻击。非授权访问数据类攻击的主要目的在于获取网络端单元之间传输的用户数据和信令数据,具体方法如下:窃听用户数据——获取用户通信内容;窃听信令数据——获取安全管理数据和其他有利于主动攻击的信息;假冒通信接收方——获取用户数据、信令数据和其他有利于主动攻击的信息;被动传输流分析——获取访问信息;非法访问系统存储的数据——获取系统中存储的数据,如合法用户的认证参数等。

非授权访问网络服务类攻击。 非授权访问网络服务类攻击的主要目的是访问网络并逃避付款,具体的表现形式如下:假冒合法用户——获取访问网络服务的授权;假冒服务网络——访问网络服务;假冒归属网络——获取可以假冒合法用户身份的认证参数;滥用用户职权——不付费而享受网络服务;滥用网络服务职权——获取非法盈利。

威胁数据完整性类攻击。安防移动通信网络端的威胁数据完整性类攻击不仅包括无线接口中的那些威胁数据完整性类攻击(因为BSS与MSC之间的通信接口也可能是无线接口),而且还包括有线通信网络,具体表现如下:操纵用户数据流——获取网络服务访问权或有意干扰通信;操纵信令数据流——获取网络服务访问权或有意干扰通信;假冒通信参与者——获取网络服务访问权或有意干扰通信;操纵可下载应用——干扰移动终端的正常工作;操纵移动终端——干扰移动终端的正常工作;操纵网络单元中存储的数据——获取网络服务访问权或有意干扰通信。

1.3服务后抵赖类攻击

服务后抵赖类攻击是在通信后否认曾经发生过此次通信,从而逃避付费或逃避责任,具体表现如下:付费抵赖——拒绝付费;发送方否认——不愿意为发送的消息服务承担付费责任;接收方抵赖——不愿意为接收的消息服务承担付费责任。

1.4移动端的不安全因素

安防移动通信网络的移动端是由移动站组成的。移动站不仅是移动用户访问移动通信网的通信工具,它还保存着移动用户的个人信息,如移动设备国际身份号、移动用户国际身份号、移动用户身份认证密钥等。移动设备国际身份号IMEI是代表一个唯一地移动电话,而移动用户国际身份号和移动用户身份认证密钥也对应一个唯一的合法用户。

由于移动电话在日常生活中容易丢失或被盗窃,由此给移动电话带来了如下的一些不安全因素:使用盗窃或捡来的移动电话访问网络服务,不用付费,给丢失移动电话的用户带来了经济上的损失;不法分子若读出移动用户的国际身份号和移动用户身份认证密钥,那么就可以"克隆"许多移动电话,并从事移动电话的非法买卖,给移动电话用户和网络服务商带来了经济上的损失;不法分子还会更改盗窃或捡来的移动电话的身份号,以此防止被登记在丢失移动电话的黑名单上等。

1.5攻击风险类

安防移动通信网络中的威胁还有无线窃听、假冒攻击、完整性侵犯、业务否认和移动电话攻击等内容。

具体描述如下:无线窃听——窃听无线信道中传送的用户身份号、用户数据和信令信息; 假冒攻击——假冒移动用户欺骗网络端和假冒网络端欺骗移动用户; 完整性侵犯——更改无线通信控制信道中传送的信令信息;业务否认——移动用户滥用授权、网络端服务提供商伪造账单;移动电话攻击——偷窃移动电话、更改移动电话身份号和克隆移动电话。

2安防移动通信网络中的安全技术

从第一代模拟安防移动通信网到第二代数字安防移动通信网的运行经验证明:安防移动通信网络中存在的各种不安全因素不仅威胁到移动用户的隐私和经济利益,而且严重地影响安防移动通信网络的正常运行,并损害到服务商和网络运行商的经济利益。为了保护各个方面的利益,安防移动通信网络必须采用相应的安全措施,提供足够的安全技术级别服务。

2.1认证性安全技术业务

认证性安全技术业务可分为3类,具体描述如下:用户身份认证性的目的一鉴别移动用户身份,防止假冒用户;网络身份认证性的目的一鉴别网络身份,防止主动攻击者假冒网络进行欺骗;信令数据的完整性检测的目的-保护无线信道中传送的信令信息完整性,防止被他人篡改。

2.2应用层安全技术业务

上述两类安全业务是在移动通信网络的访问层提供。随着安防移动通信网络服务类别的增多和电子商贸的发展,在应用层增设了安全技术业务,其具体描述如下:实体身份认证——两个应用实体互相认证对力的身份;数据源认证——接收方应用实体认证数据确实来自于发送方;数据完整性认证——接收方应用实体确认接收到的数据没有被篡改;数据保密性——保护两个应用实体之间的数据通信,实现端到端的保密性,防止流分析;数据接收证明——发送方应用实体认证可证明接收方确实收到了应用数据。

2.3移动电话保护

移动电话生产商为每部移动电话分配一个全球唯一的国际移动设备号IMEI,每当移动电话访问移动通信网络,它必须传IMEI给网络端设备号登记处EIR;EIR检查该IMEI是否在丢失和失窃移动电话的"黑名单"上,若在则EIR就传一个信令将该移动电话锁起来,此时使用者自己不能开锁,就不能继续使用这个移动电话,这个方法在很大程度上防止了非法用户用捡来或偷来的移动电话滥用网络服务而由丢失移动电话的合法用户付费的情况。但是也有一些不法分子应用高科技工具改变偷来的电话的IMEI,从而通过"黑名单"检查。为防止修改移动电话的IMEI,移动电话生产商通常将IMEI设置在一个保护单元,即具有物理防撬功能的只读存储器。

结束语

由于无线通信网络中存在的不安全因素对网络月户和网络经营者的经济利益构成了威胁,为了保护其利益,无线电通信网络必须应用上述相关技术的安全业务来消除不安全因素给网络用户带来的威胁。随着无线通信技术的不断发展,无线通信网络的应用不仅深入到国防军事、科研教育、医疗卫生等国民经济诸多领域,并已深入到千家万户的日常生活。无线通信网络应用越广泛,它的安全性就越重要。本文仅从安防移动通信网络中的不安全因素和安防移动通信网络中的安全技术两个方面阐述了它们的特点和特色,供广大读者参考。

猜你喜欢

通信系统移动电话
第一通移动电话拨打于75年前——科技从有所突破到大获成功需要什么
万物起源
对宁夏高速公路干线网络维护现状及未来监测方式的探讨
失效网络中节点可通信性能评估方法研究
浅析计算机网络与通信系统
2013年7月电话用户分省情况
3GSM世界移动电话大会走笔