3G網絡的應用研究

1.1第三代移動通信及安全問題簡介移動通信經歷了三個發展階段:第壹代移動通信系統出現於20世紀70年代末，是壹種模擬移動通信系統，以模擬電路單元為基本模塊實現語音通信。主要標準是美國的AMPS、北歐的NMT、英國的TACS和日本的HCMTS。第二代移動通信系統出現於20世紀80年代末。它是以GSM、DAMPS和PDC為代表的第二代數字移動通信系統。第三代的概念早在1985的時候就被ITU提出來了，當時叫FPLMTS。1996更名為IMT-2000。前兩代系統主要面向語音傳輸。相比之下，第三代的主要特點是提供數據和多媒體業務，語音只是數據業務的壹個應用。第三代移動通信系統的目標是:世界範圍內設計的高度壹致性；與固定網絡服務的兼容性；服務質量高；全世界使用的小型終端；全球漫遊能力:支持多媒體功能和多種服務的終端。為了實現上述目標，需要第三代無線傳輸技術支持高速多媒體業務(高速移動環境:144Kbps，室外行走環境:384Kbps，室內環境:2Mbps)並具有比現有系統更高的頻譜效率。隨著近年來通信的快速發展，現有的第二代通信系統已經不能滿足現有人們的需求，主要表現在巨大的移動通信市場與當前有限的頻譜資源之間的矛盾日益突出，不能滿足工業化國家和壹些第三世界國家手機用戶的高密度要求。數據網絡和多媒體通信逐漸與無線通信的移動性相結合，因此移動多媒體或移動IP發展迅速。而二代的低速率與當前IP技術和多媒體業務的要求相差甚遠，無法滿足政府、先進企業和新興“白領”階層對高速數據的要求。無法實現全球覆蓋和無縫連接。通信業務安全性不足。隨著科技的發展，安全問題越來越受到重視。由於質量和效率的問題，移動通信滲透力強，四通八達，容易被截獲或竊聽，可靠性和安全性有待加強。在80年代，模擬通信遭受了巨大的損失，因為基本上沒有采用安全技術，通信過程中的語音很容易被竊聽。雖然第二代在安全性方面做了很大的改進，采用了數字系統，提出了身份認證和數據加密的概念。該系統考慮了壹些安全因素，但大多數安全規範都是從運營商的角度設計的:防止欺詐和網絡濫用。但是還是有很多安全漏洞。比如單向認證，即只考慮網絡對用戶的認證而忽略網絡對用戶的識別。這種處理方法不能提供可信的環境，也不能給移動用戶足夠的信心來進行電子商務和交換敏感信息。而且隨著解密技術的發展和計算能力的提高，加密算法A5已經被證明可以在短時間內被破解。隨著技術的成熟和移動數據業務的出現，用戶對移動通信的安全性越來越重視。因此，無線PKI的應用是解決安全問題的關鍵。1.2PKI簡介首先要介紹壹下PKI翻譯成公鑰的基礎設施。簡單來說，PKI技術就是利用公鑰理論和技術提供信息安全服務的基礎設施。公鑰系統是目前應用最廣泛的加密系統之壹。在這個系統中，加密密鑰和解密密鑰是不同的。發送方使用接收方的公鑰發送加密信息，接收方使用自己的私鑰解密。這種方法既保證了信息的機密性，又保證了信息的不可否認性。目前，公鑰系統廣泛應用於CA認證、數字簽名和密鑰交換。在3G系統中，PKI的應用主要是WPKI，即無線PKI的應用。它主要用於網絡中的實體認證，以獲得網絡服務提供商和用戶之間的相互信任。此外，無線PKI還將用於數據加密、完整性保護、用戶身份保密等諸多方面。1.3本文主要結構及摘要在介紹現有3G接入網安全技術的前提下，提出了壹種基於公鑰體制實現用戶身份保密的新方案。第壹章簡要介紹了移動通信的發展、面臨的安全問題以及PKI的介紹。第二章介紹了無線PKI的壹些基礎知識和相關操作。第三章給出了現有3G系統的接入架構和現有的安全措施。第四章是公鑰體制下的認證方案。第五章在介紹了壹些現有的身份秘密方案及其不足之後，給出了壹個在WPKI環境下基於公鑰系統的保護用戶身份秘密的新方案。最後，本文對新方案進行了總結。提出了相應的技術要求。2.1概述在無線環境中的應用是PKI未來的發展趨勢，其證書和身份認證是保證在開放的無線網絡中安全通信的必要條件。然而，無線通信網絡的獨特特性使得無線安全問題變得更加復雜。如果消息通過無線電波傳輸，在壹定區域內很容易被截獲和接收；網絡接入點多，任何人都可以輕易接入和攻擊網絡；無線通信網絡是壹個包括無線和有線兩部分的端到端系統。傳統有線領域的安全問題仍然會影響到無線領域，傳統安全領域常用的壓制威脅的工具在無線領域未必有效。同時，在無線通信環境中還有許多其他限制，包括無線帶寬。目前，大多數無線通信網絡僅提供有限的數據傳輸速率；軟件開發手機、PDA等移動通信設備的開發環境和工具仍然有限，相應的應用也很少。硬件方面，終端市場不同廠商的產品差別很大，生命周期短，更新速度快；同時，移動終端設備計算能力有限，內存和存儲容量小，顯示屏小，輸入法復雜。所有這些特點和局限性使得PKI在無線環境中的應用非常困難。為了最大程度地解決這些困難，WPKI草案已經公布，草案涉及WPKI的運作模式，以及WPKI如何與現有的PKI服務相結合。簡單地說，將PKI轉化為無線環境是WPKI。無線PKI基於傳統IETF的X.509公鑰基礎設施定義了證書的版本號。如果證書不包含任何擴展，則版本應設置為1，以解釋證書標準部分未涉及的部分。證書應用程序必須能夠識別X.509v3中列出的所有特定名稱屬性。移動用戶證書的SN長度小於八個字節，服務器證書的SN長度小於二十個字節。定義了兩種簽名算法:SHA1WithRSAEncryption和ecdsawawithsha 1，首選後者。與Issuer字段壹樣，證書應用程序必須能夠識別X.509v3中列出的所有特定名稱屬性。這裏定義了兩種類型的公鑰:RSA和ECC。因為每個證書都有壹個有效期，當根CA的證書即將到期時，移動終端中存儲的根CA證書需要更新，也就是說要通過無線網絡下載新的根CA證書。如何保證這壹過程的安全，WPKI規定了兩種方案。第壹種方案允許用戶終端通過不安全通道直接下載新的根CA證書，但需要通過輸入壹個30位十進制數來“激活”CA。顯然，這種方法增加了用戶的負擔。根ca的證書只代表根ca的身份，改變根CA的證書的過程相當於改變了壹個身份，所以第二種方案可以理解為引入壹個新的CA為即將到期的CA接管其使命的過程。CA用即將過期的根密鑰簽署新的CA證書，並將其發送給用戶。這種方式不需要用戶做額外的操作，方便了用戶，但是必須有壹段時間兩個證書同時有效，增加了後臺處理的工作量。證書撤銷列表在PKI規範X.509和PKIX中定義，用於發布被撤銷的證書。如前所述，WPKI規定了“短期網關證書”，這樣用戶根本不需要查詢網關的證書狀態。WAP網關生成密鑰對和證書請求，並將證書請求發送給CA。CA確認後，向網關頒發網關證書。其實證書的有效期可長可短，但網關證書的有效期很短，所以稱為“短期網關證書”。證書有效期越短，越不容易出問題，也就是說，越不容易被吊銷。如果短到壹兩天甚至幾個小時，網關證書的CRL都可以保存。那麽用戶證書的有效期是不是也很短？不是這樣的。用戶證書的狀態由網關查詢，網關的計算能力和存儲能力非常強大，完全可以在本地存儲用戶證書的CRL或者查詢證書狀態。由於存儲容量有限，而且壹個移動終端可能有幾個適用於不同場合的證書，而且證書到期後需要更新，所以移動終端將自己的證書存儲在本地並不是壹個好主意。如果證書存儲在其他地方，必要時下載到終端會提出過高的帶寬要求。因此，WPKI規定只有證書的URL存儲在本地。證書存儲在RA中。當網關需要與終端建立安全連接時，需要去RA獲取用戶的證書進行驗證。2.6 WPKI和PKI的主要功能是在私有或* * *擁有的環境中提供可靠有效的密鑰管理和認證。WPKI基本上是PKI應用在無線環境中的擴展。兩者都旨在提供應用環境中的安全服務，其相似之處如下:開放可信的第三方:認證機構CA；審批中心ra；每個實體持有壹對密鑰；證書是公鑰的載體，是密鑰治理的手段；功能:認證、保密、數據完整性。由於應用環境的不同，即移動終端在無線環境下的能力和通信方式不同，兩者有所不同如表2.1: 3.1無線接入網架構3G是個人通信發展的新階段，引入了IP技術，支持語音和非語音業務。它是在第二代網絡的基礎上發展起來的。3G系統由三部分組成:CN、UTRAN和UE。CN和UTRAN的接口定義為Iu接口，UTRAN和UE的接口定義為Uu接口，如圖3.1所示。Uu接口和Iu接口協議分為兩部分:用戶平面協議和控制平面協議。UTRAN包括許多通過Iu接口連接到CN的rn。每個RNS包括壹個RNC和多個NodeB。NodeB通過Iub接口連接到RNC，Iub接口支持FDD模式、TDD模式或雙模。NodeB包括壹個或多個小區。RNC負責決定UE的切換，並具有合並/分離功能，以支持不同NodeB基站之間的宏分集。在UTRAN內部，RNSs中的RNC可以通過Iur接口交換信息，Iu接口和Iur接口是邏輯接口。Iur接口可以是RNC之間的物理直接連接，或者通過適當的傳輸網絡來實現。UTRAN的結構如圖3.2所示。這裏簡單描述壹下UTRAN的功能:系統接入控制功能:接入控制；擁塞控制；系統信息廣播；無線信道的加密和解密。移動功能:切換；SRNS搬遷。無線資源的管理和控制:無線環境調查:無線電承載控制；無線保真功能等。3.23G網絡安全架構3G系統是在2G的基礎上發展起來的。由於熟悉GSM/GPRS的安全缺陷，3GPP采用了開放透明的設計方法來提高公眾對移動數據服務的信心。其安全設計基於以下假設:被動和主動攻擊都是非常嚴重的威脅；終端設備不可信；網間和網內信令協議不安全；可以應對欺騙用戶的偽基站攻擊。3G系統的安全設計遵循以下原則:所有在GSM或其他2G系統中被認為必要或應該增強的安全特性必須在3G系統中保留，包括:無線接口加密；無線接口用戶識別安全性；無線接口用戶的身份是保密的；用戶訪問服務認證；最小化家庭環境中服務網絡的信任；網絡運營商管理可移動硬件安全模塊SIM，其安全功能獨立於終端。3G將改善2G系統現有的和潛在的薄弱安全功能。為3G系統提供的新業務提供安全保護。3G系統不僅支持傳統的語音和數據業務，還提供交互式和分布式服務。全新的業務環境體現了全新的業務特征，也要求系統提供相應的安全特性。這些新的業務特性和安全特性如下:不同的服務提供商提供各種