安防移动通信网中的安全技术正式版
推荐-中国移动业务支撑网4A安全技术规范 精品
中国移动通信企业标准QB-W-016-20XX中国移动业务支撑网4A安全技术规范版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (7)1.1范围 (7)1.2规范性引用文件 (7)1.3术语、定义和缩略语 (7)2综述 (8)2.1背景和现状分析 (8)2.24A平台建设目标 (9)2.34A平台管理范围 (10)34A管理平台总体框架 (11)44A管理平台功能要求 (14)4.1帐号管理 (14)4.1.1帐号管理的范围 (14)4.1.2帐号管理的内容 (14)4.1.3主帐号管理 (14)4.1.4从帐号管理 (15)4.1.5密码策略管理 (15)4.2认证管理 (15)4.2.1认证管理的范围 (16)4.2.2认证管理的内容 (16)4.2.3认证服务的管理 (16)4.2.4认证枢纽的管理 (16)4.2.5SSO的管理 (17)4.2.6认证手段 (17)4.2.7提供多种手段的组合使用 (17)4.3授权管理 (17)4.3.1授权管理的范围 (17)4.3.2授权管理的内容 (18)4.3.3资源管理 (18)4.3.4角色管理 (18)4.3.5资源授权 (19)4.4审计管理 (20)4.4.1审计管理范围 (20)4.4.2审计信息收集与标准化 (21)4.4.3审计分析 (21)4.4.4审计预警 (22)4.54A管理平台的自管理 (23)4.5.1管理员管理 (23)4.5.2权限管理 (23)4.5.3组件管理 (23)4.5.4运行管理 (23)4.64A管理平台接口管理 (24)4.6.1帐号管理接口 (24)4.6.2认证接口 (24)4.6.3审计接口 (24)4.6.4外部管理接口 (25)54A管理平台技术要求 (25)5.1总体技术框架 (25)5.2P ORTAL层技术要求 (27)5.3应用层技术要求 (27)5.3.1前台应用层技术要求 (27)5.3.2核心数据库技术要求 (28)5.3.3后台服务层技术要求 (30)5.3.4单点登录技术要求 (32)5.3.5安全审计技术要求 (33)5.4接口层技术要求 (35)5.5非功能性技术要求 (35)5.5.1业务连续性要求 (35)5.5.2开放性和可扩展性要求 (38)5.5.3性能要求 (38)5.5.4安全性要求 (38)64A管理平台接口规范 (40)6.1应用接口技术规范 (40)6.1.1总体描述 (40)6.1.2登录类接口(①) (41)6.1.3认证类接口 (42)6.1.4帐号/角色接口(④) (43)6.1.5审计类接口 (48)6.2系统接口技术规范 (51)6.2.1总体描述 (51)6.2.2登录类接口(①) (52)6.2.3认证类接口 (53)6.2.4帐号接口(⑤) (55)6.2.5审计类接口 (59)6.3外部管理接口技术规范 (61)7BOSS系统3.0的改造要求 (62)7.1BOSS应用安全建设目标 (62)7.2BOSS系统配合4A改造要求 (62)7.2.1总体改造总体要求 (62)7.2.2帐号管理要求 (64)7.2.3授权管理要求 (66)7.2.4认证管理要求 (67)7.3BOSS应用的安全要求 (70)7.3.1BOSS应用帐号管理 (71)7.3.2BOSS应用授权管理 (73)7.3.3BOSS应用认证管理 (75)7.3.4BOSS应用审计要求 (76)7.3.5BOSS数据安全要求 (77)8经营分析系统2.0改造要求 (79)8.1经营分析系统应用安全建设目标 (79)8.2经营分析系统配合4A改造要求 (79)8.2.1总体改造要求 (79)8.2.2帐号管理改造要求 (81)8.2.3授权管理改造要求 (83)8.2.4认证管理改造要求 (84)8.2.5审计管理改造要求 (86)8.3经营分析系统应用安全要求 (87)8.3.1经营分析系统用户管理 (88)8.3.2经营分析系统权限管理 (92)8.3.3经营分析系统认证管理 (93)8.3.4经营分析系统日志记录 (95)8.3.5经营分析系统数据安全要求 (95)8.3.6系统平台安全要求 (97)9运营管理系统2.0改造要求 (99)9.1运营管理系统应用安全建设目标 (99)9.2运营管理系统配合4A改造要求 (99)9.2.1总体改造要求 (99)9.2.2帐号管理改造要求 (101)9.2.3授权管理改造要求 (103)9.2.4认证管理改造要求 (104)9.2.5审计管理改造要求 (106)9.3运营管理系统应用安全要求 (107)9.3.1运营管理系统用户管理 (108)9.3.2运营管理系统权限管理 (111)9.3.3运营管理系统认证管理 (112)9.3.4运营管理系统日志记录 (113)9.3.5运营管理系统数据安全要求 (114)104A平台建设指导意见 (116)10.1总体指导原则 (116)10.24A平台建设步骤 (116)10.2.1前期调研和准备阶段 (116)10.2.2平台建设和实施阶段 (117)10.2.3后期管理和维护阶段 (118)10.3.1应急方案流程梳理 (119)10.3.2应用功能改造实现 (119)11编制历史 (120)附录A 4A管理平台管理流程 (121)(1)用户入职流程 (122)(2)用户变更管理流程 (123)(3)离职管理流程 (124)(4)新项目纳入管理流程 (125)附录B 业务支撑系统敏感数据 (125)(1)BOSS系统中的敏感数据 (125)(2)经营分析系统中的敏感数据 (126)(3)需要关注的操作日志 (127)图形目录图3-1 业务支撑网4A管理平台总体框架图 (12)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (19)图5-1 业务支撑网4A管理平台的总体技术框架 (26)图6-1 4A平台与应用资源的接口框架图 (40)图6-2 业务支撑应用的帐号/角色接口图 (44)图6-3 4A平台与系统资源的接口框架图 (52)图6-4 4A平台与系统资源的接口框架图 (55)图7-1 BOSS配合4A的改造总体示意图 (63)图7-2 BOSS配合4A的帐号管理改造图 (65)图7-3 BOSS配合4A的授权管理改造图 (67)图7-4 BOSS配合4A的认证管理改造图 (68)图7-5 BOSS配合4A的审计管理改造图 (70)图7-6 BOSS应用安全体系逻辑图 (71)图7-7 BOSS应用授权管理结构图 (75)图8-1 经营分析系统配合4A的改造总体示意图 (80)图8-2 经营分析系统配合4A的帐号管理改造图 (82)图8-3 经营分析系统配合4A的授权管理改造图 (84)图8-4 经营分析系统配合4A的认证管理改造图 (85)图8-5 经营分析系统配合4A的审计管理改造图 (87)图8-6 经营分析应用安全体系逻辑图 (88)图8-7 经营分析应用授权管理结构图 (93)图8-8 通过经营分析门户认证流程图 (94)图9-1 运营管理系统配合4A的改造总体示意图 (100)图9-2 运营管理系统配合4A的帐号管理改造图 (102)图9-3 运营管理系统配合4A的授权管理改造图 (104)图9-4 运营管理系统配合4A的认证管理改造图 (105)图9-5 运营管理系统配合4A的授权号管理改造图 (107)图9-6 运营管理应用安全体系逻辑图 (108)图9-7 运营管理应用授权管理结构图 (112)图9-8 运营管理应用门户认证流程图 (113)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)的安全系统(简称4A管理平台或4A平台)的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。
中国移动通信集团网络设备安全配置规范-总则
密级:内部文档编号:项目代号:中国移动通信集团网络设备安全配置规范总则版本:草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)第二部分设备的安全机制 (7)1 访问控制 (7)2 数据加密 (7)3 日志问题 (7)4 自身的防攻击能力 (8)第三部分设备安全配置建议 (9)1 访问控制列表及其管理 (9)1.1 实施原则 (9)1.2 存在问题 (10)1.3 要求配置部分 (10)2 路由协议的安全性 (11)2.1 路由协议认证 (11)2.2 源地址路由检查 (12)2.3 黑洞路由 (12)3 网管及认证问题 (13)3.1 访问管理 (13)3.1.1 限制登录空闲时间 (14)3.1.2 限制尝试次数 (14)3.1.3 限制并发数 (14)3.1.4 访问地址限制 (14)3.2 帐号和密码管理 (15)3.3 帐号认证和授权 (15)3.3.1 本机认证和授权 (15)3.3.2 AAA认证 (16)3.4 snmp协议 (16)3.5 HTTP的配置要求 (17)4 安全审计 (17)4.1 设备的登录信息 (18)4.2 设备异常事件 (18)4.3 SYSLOG服务器的设置 (18)5 设备IOS升级方法 (18)5.1 前期准备 (19)5.1.1 软件的获取 (19)5.1.2 制定升级计划 (19)5.1.3 配置同步 (19)5.1.4 数据备份 (20)5.1.5 其他准备工作 (20)5.2 升级操作 (20)5.2.1 记录升级前系统状态 (20)5.2.2 升级IOS或装载补丁 (20)5.2.3 检查升级后系统的状态 (21)5.3 应急保障措施 (21)6 特定的安全配置 (21)6.1 更改标准端口 (21)6.2 关闭不必要的服务 (21)6.3 防DOS攻击 (22)6.3.1 Smurf进攻的防范。
安全防范技术
安全防范技术涉及多个领域,包 括视频监控、入侵检测、门禁控 制、消防报警等。
安全防范技术的发展历程
早期安全防范技术主要依赖于人 力,如保安人员巡逻、门卫等。
随着科技的发展,安全防范技术 逐渐向智能化、自动化方向发展
,如视频监控、智能门禁等。
现代安全防范技术还涉及到物联 网、云计算等新兴技术,能够实 现更加高效、精准的安全防范。
。
CHAPTER 04
安全防范技术评估与优化
安全防范技术的效果评估
评估指标
评估安全防范技术的效果时,应考虑技术性能、安全防护等级、 系统稳定性等关键指标。
测试与验证
通过实际测试和模拟攻击,验证安全防范技术的有效性,确保其在 实际应用中能够提供可靠的保护。
数据分析
收集和分析安和不足之处。
工业安全防范系统主要用于石油、化工、 电力等工业领域,通过监测设备运行状态 、预防泄漏等方式保障工业生产的安全。
CHAPTER 02
安全防范技术分类
物理防范技术
实体防护
01
通过实体物质(如墙体、门、窗等)对建筑或设施进行保护,
防止未经授权的进入。
闭路电视监控系统
02
通过安装摄像头和显示器,实时监控特定区域,记录和回放监
设备选型
根据设计要求和实际需求 ,选择合适的安全防范设 备,如摄像机、红外探测 器、报警器等。
设备配置
为所选设备配置相应的参 数,以满足实际使用需求 ,如摄像机的分辨率、红 外探测器的感应范围等。
设备安装与调试
按照规划布局,正确安装 所选设备,并进行调试, 确保设备正常运行和信息 传输的稳定性。
安全防范技术的集成与调试
安全防范技术
汇报人:可编辑
通信网络安全防护技术手册
通信网络安全防护技术手册1. 背景介绍随着互联网和通信网络的普及与发展,网络安全问题日益突出。
为保障通信网络的安全稳定运行,提高信息的保密性、完整性和可用性,我们需要深入了解并采取适当的安全防护技术措施。
本篇手册旨在介绍通信网络安全防护技术,为网络管理员和用户提供参考和指导。
2. 密码安全密码安全是通信网络安全的基础,确保用户账户、数据传输等的安全性。
合理设置密码的复杂度、定期更换密码、采用多因素认证等是提高密码安全性的基本要求。
3. 防火墙技术防火墙在通信网络中起着重要的作用,它能根据安全策略对流量进行过滤和监控,阻止潜在的安全威胁。
在手册中应介绍不同类型的防火墙及其配置、管理和监控方法。
4. 入侵检测与防范技术入侵检测与防范技术可以及时探测到网络中的入侵行为,并采取相应的措施进行防范。
在手册中应介绍入侵检测技术的原理、分类以及如何构建入侵检测系统。
5. 病毒防护技术病毒是通信网络中的常见安全威胁,对系统和数据造成极大的损害。
病毒防护技术能及时检测和清除病毒,防止病毒传播。
手册中应介绍常见病毒防护技术和防护措施。
6. 数据加密技术数据加密技术能够保护通信网络中传输的数据免受未经授权的访问和窃取。
加密算法、数字证书、SSL/TLS协议等是常用的数据加密技术,手册中应对其进行详细介绍。
7. 安全策略与风险评估制定科学合理的安全策略和进行风险评估是通信网络安全防护的重要环节。
手册中应指导如何制定和执行安全策略,并介绍常用的风险评估方法和工具。
8. 社会工程学防范社会工程学是一种通过人类行为和心理来进行安全攻击的手段。
手册应介绍防范社会工程学攻击的方法,包括提高用户的安全意识、定期开展培训等。
9. 安全管理与监控安全管理与监控是保障通信网络安全的关键环节,手册应介绍安全管理流程、安全事件的处理方法以及监控系统的建设与维护。
10. 总结与展望本手册通过介绍通信网络安全防护技术的各个方面,帮助读者全面了解通信网络的安全问题和防范措施。
通信网络安全防护定级
通信网络安全防护定级通信网络安全防护定级随着互联网的快速发展,通信网络安全防护成为了一个非常重要的问题。
为了更好地保护通信网络的安全,各国都制定了不同的网络安全防护定级。
首先,通信网络安全防护定级是一个分类的过程,通过对通信网络的威胁、风险和安全措施的评估,将其分为不同的等级。
通常,安全防护定级从低到高分为四个等级:一般级、较低级、较高级和非常高级。
一般级即指对网络的风险和威胁进行一般的评估和防护措施的等级。
在这个级别下,主要的防护措施包括应用防火墙、入侵检测系统和反病毒软件等,以保护网络免受一般级的安全威胁。
较低级是对网络威胁和风险进行较深入评估并采取相应防护措施的等级。
在这个级别下,除了一般级的安全防护措施外,还包括权限管理、远程访问控制和流量监控等,以防止较低级的安全威胁。
较高级是对网络威胁和风险进行深入评估并采取更高防护措施的等级。
在这个级别下,除了较低级的安全防护措施外,还包括数据加密、安全传输协议和网络监控等,以提高网络的安全性和保护敏感数据。
非常高级是对网络威胁和风险进行全面评估并采取最高级别的安全防护措施的等级。
在这个级别下,除了较高级的安全防护措施外,还包括网络流量分析、异常行为检测和红队对抗等,以应对非常高级的安全威胁。
通信网络安全防护定级的目的是为了有效地评估和防范网络安全威胁,并制定相应的措施和策略来保护网络的安全。
不同的等级对应着不同的安全需求和防护措施,可以根据实际情况来选择适合的级别。
综上所述,通信网络安全防护定级是一个根据网络风险和威胁来对网络进行分类和评估的过程。
通过对网络的安全防护等级进行划分,可以采取相应的措施来保护网络的安全,提高通信网络的抗攻击能力,确保网络的正常运行和用户的信息安全。
移动通信安全加密[1]2024
![移动通信安全加密[1]2024](https://img.taocdn.com/s3/m/24f76d8c8ad63186bceb19e8b8f67c1cfad6ee2a.png)
引言概述:移动通信安全加密是保障移动通信中信息传输安全的重要技术手段。
在移动信息时代,随着移动通信技术的快速发展,人们越来越依赖移动通信网络进行信息交流和数据传输。
随之而来的安全威胁也不容忽视。
本文将从移动通信加密的基本原理、常用加密算法、移动通信安全的挑战、移动通信网络的安全防护措施和未来发展趋势等五个大点展开详细阐述。
一、移动通信加密的基本原理1.1对称加密算法1.2非对称加密算法1.3混合加密算法1.4数字签名和数字证书二、常用移动通信加密算法2.1AES(AdvancedEncryptionStandard)算法2.2RSA算法2.3DiffieHellman密钥交换算法2.4ECC(EllipticCurveCryptography)算法三、移动通信安全的挑战3.1窃听和截获攻击3.2伪基站攻击3.3数据篡改和重放攻击3.4蓝牙安全问题3.5移动终端威胁四、移动通信网络的安全防护措施4.1端到端加密技术4.2身份认证和访问控制4.3安全隧道技术4.4安全协议的应用4.5移动设备管理和安全策略五、未来移动通信安全的发展趋势5.1量子加密技术的应用5.2()在移动通信安全中的角色5.3区块链技术的应用5.4多因素认证的发展5.5威胁情报分享与合作总结:移动通信安全加密是维护移动通信信息安全的重要手段,通过对基本原理和常用算法的介绍,可以更好地理解移动通信加密的工作原理。
同时,挑战的存在要求我们采取相应的安全防护措施,包括加密技术、身份认证、安全隧道和设备管理等方面。
随着科技的不断发展,未来移动通信安全将面临更多的挑战和机遇,如量子加密、、区块链技术等的应用。
加强威胁情报的分享与合作,共同应对不断出现的安全威胁,将是未来移动通信安全的发展趋势。
只有不断强化安全意识,注重技术创新和合作共赢,才能构建更加安全可靠的移动通信网络。
信息安全技术移动终端安全保护技术要求-编制说明
信息安全技术移动终端安全保护技术要求-编制说明1. 编制目的本文档的编制目的是为了规范移动终端信息安全技术保护的相关要求,保护用户信息与移动设备的安全。
通过明确移动终端安全保护技术的要求,帮助企业制定移动设备安全保护措施并提升安全意识,在避免信息泄露、防范黑客攻击等方面提供可行的保障措施。
2. 移动终端安全保护技术要求移动终端安全保护技术要求主要包括以下几个方面:2.1 设备管理企业需要对所有移动终端设备进行集中化管理。
集中化管理意味着所有移动设备都必须经过认证才能够接入企业的网络。
企业 IT 管理人员应保证每台移动设备都具有最新的软件版本和安全补丁。
2.2 密码保护对于所有移动终端设备,必须确保密码保护。
密码必须至少包括一个字母和一个数字,并且不得少于八个字符。
除了手动输入密码外,还可以使用指纹识别、面部识别等生物识别技术。
2.3 数据保护数据保护涉及到两个方面:数据在传输中的保护和数据在存储中的保护。
•数据在传输中的保护:数据在传输过程中必须使用加密技术进行保护。
对于敏感数据,建议使用严格的身份验证和访问控制机制。
•数据在存储中的保护:企业应该对移动设备上的数据进行加密存储,以避免数据被盗用或遗失后泄露出去。
2.4 应用程序策略企业应该对所有应用程序实施严格的审查和管理。
应用程序必须经过严格的安全测试和审核,以确保它们具有良好的安全性。
企业 IT 管理人员应该对企业内部应用程序、企业外部应用程序和个人下载的应用程序进行分类管理,制定政策和规定,以确保企业数据不会因应用程序的漏洞而受到损失。
2.5 远程删除和锁定对于被盗或失窃的移动设备,企业应该具有远程删除和锁定的能力。
管理员应该能够在受控环境中远程锁定和删除移动设备中的敏感数据,以避免信息泄露和网络攻击。
3. 结语在移动互联时代,移动终端安全保护已变得越来越迫切,而信息安全技术便成为了保护设备安全的重要手段。
本文档旨在为企业管理者提供一些有关移动终端安全保护的必要要求,可以使他们更好地了解信息安全技术的意义,并为其制定出恰当有效的安全保护措施,保证移动终端的安全。
中国移动设备通用安全功能和配置规范V
目录2.规范性引用文件.........................................................................................................................2.1.内部引用.........................................................................................................................2.2.外部引用.........................................................................................................................3.术语、定义和缩略语.................................................................................................................4.设备安全要求框架.....................................................................................................................4.1.背景.................................................................................................................................4.2.设备安全要求框架说明.................................................................................................4.3.本框架内各规范的使用原则.........................................................................................4.4.设备安全要求编号原则.................................................................................................5.设备通用安全功能和配置要求.................................................................................................5.1.账号管理及认证授权要求.............................................................................................账号安全要求.....................................................................................................口令安全要求.....................................................................................................授权安全要求.....................................................................................................5.2.日志安全要求.................................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................5.3.IP协议安全要求 ............................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................5.4.设备其他安全要求.........................................................................................................功能要求:.........................................................................................................配置要求:.........................................................................................................6.编制历史.....................................................................................................................................前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
In the schedule of the activity, the time and the progress of the completion of the project content are described in detail to make the progress consistent with the plan.安防移动通信网中的安全技术正式版安防移动通信网中的安全技术正式版下载提示:此解决方案资料适用于工作或活动的进度安排中,详细说明各阶段的时间和项目内容完成的进度,而完成上述需要实施方案的人员对整体有全方位的认识和评估能力,尽力让实施的时间进度与方案所计划的时间吻合。
文档可以直接使用,也可根据实际需要修订后使用。
I 安防移动通信网络的发展史安防移动通信网络是无线电通信技术中的重要应用领域和组成部分。
这项技术的开发和应用开始于上世纪20年代,当时主要应用在警察局总部与巡警巡逻车之间的车载移动通信服务并迅速在警察部门得到推广应用。
1946年,美国AT&T公司开发设计出可以连接移动用户和固定电话用户的无线电话技术。
基于这项技术,AT&T公司进一步开发了一套称为安防移动电话服务(MTS,Mobile Telephone service)的安防移动通信系统,它的改进型I MTS系统在1969年发展成当时唯一的遍布美国的移动通信网络。
1968年,AT&T公司的贝尔实验室发明了“蜂窝”技术,它能将安防移动通信网络的覆盖区域划分成很多类似蜂窝的小区,相隔较远的小区可以使用相同的无线电频率。
蜂窝技术的应用极大地增加了安防移动通信网络的容量,并使小区的基站能采用低功率发射,避免高发射功率带来的干扰问题。
蜂窝技术的发明是安防移动通信史上的一个光辉里程碑,它的广泛应用标志着安防移动通信进人了蜂窝移动通信时代。
20世纪70年代末至80年代初,第一代蜂窝安防移动通信网络在日本、瑞典、英国、美国、德国和法国等诸多国家广泛投入使用。
第一代蜂窝移动通信网络基于模拟通信技术,采用频分复用(FDMA,FrequencyDivision Multiple Access)模式,网络容量基本可以满足移动通信用户的需要。
到了20世纪80年代末,由于模拟技术的第一代蜂窝安防移动通信网络已经显得过时。
集成电路技术的进步推动了数字通信技术在第二代安防蜂窝移动通信网络中的应用,如先进的数字语音编码技术,在保证话音质量的前提下,大大减少通信带宽的需要,提高了网络频段资源的利用率;差错控制技术增强了网络的抗干扰能力——基站可以低功率发射;数字加密技术可以保护数字化用户语音、数据和网络指令;身份证技术可以鉴别移动用户的身份,有效防止身份假冒。
所以第二代安防蜂窝移动通信网络与第一代相比不仅性能优良,而且安全。
1990年,泛欧数字安防蜂窝移动通信网(GSM,Global svste~for Mobile Communication)率先在西欧各国开始运行,让欧洲摆脱了第一代蜂窝安防移动通信网络体制众多互不相通的困境。
GSM网络在频分复用(FDMA)的基础上又采用了时分多址(TDMA,TimeDivision Muldple Access)来增加网络容量。
其后,澳大利亚、中国和一些中东国家陆续采用GSM网络,使得GSM网络成为世界上覆盖范围最大的安防移动通信网络。
20世纪90年代末期,随着因特网与安防移动通信网的融合,低速率数据传输业务已经无法满足移动用户的需求,对高速率数据传输业务的需求推动着安防移动通信网络走向第三代。
为此,国际电信联盟ITU就倡导制定一个全球统一的第三代蜂窝安防移动通信网络标准——未来公共陆地移动电信网络。
1998年10月由欧洲、中国、日本、韩国和美国的电信标准组织联合成立了第三代伙伴计划(3GPP,the 3rd GenerationPartnership Projeet)组织,旨在制定一种以IS-95核心网络为基础的第三代安防移动通信网络标准CDMA2000。
第三代安防移动通信网络在本世纪初开始投入使用,日本的DoCoMo公司于20xx年10月1日率先运营第三代安防移动通信网络。
随着科学技术的进步和发展人们对移动通信服务的需求,移动通信网络仍将继续不断地向前发展,更完美地实现广大安防移动通信用户的通信服务需求。
2 安防移动通信网络中的不安全因素无线电通信网络中存在着各种不安全因素,如无线窃听、身份假冒、篡改数据和服务后抵赖等等。
安防移动通信网络作为无线电通信网络的一种类型,同样存在着这些不安全因素。
由于安防移动通信网络的特殊性,它还存在着其他类型的不安全因素。
下面将从移动通信网络的接口、网络端和移动端三个部分分析其不安全因素以及在安防移动通信网络中的具体表现形式及其危害。
2.1无线接口中的不安全因素在安防移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的,但无线接口是开放的,作案者可通过无线接口窃听信道而取得其中的传输信息,甚至可以修改、插入、删除或重传无线接口中的消息,达到假冒移动用户身份以欺骗网络终端的目的。
根据攻击类型的不同,又可分为非授权访问数据、非授权访问网络服务、威胁数据完整性三种攻击类型。
2.1.1非授权访问数据类攻击非授权访问数据类攻击的主要目的在于获取无线接口中传输的用户数据或信令数据。
其方法有以下几种:(1)窃听用户数据——获取用户信息内容i(2)窃听信令数据——获取网络管理信息和其他有利于主动攻击的信息;(3)无线跟踪——获取移动用户的身份和位置信息,实现无线跟踪;(4)被动传输流分析——猜测用户通信内容和目的;(5)主动传输流分析——获取访问信息。
2.1.2非授权访问网络服务类攻击在非授权访问网络服务类攻击中,攻击者通过假冒一个合法移动用户身份来欺骗网络端,获得授权访问网络服务并逃避付费,由被假冒的移动用户替攻击者付费。
2.1.3威胁数据完整性类攻击威胁数据完整性类攻击的目标是无线接口中的用户数据流和信令数据流,攻击者通过修改、插入、删除或重传这些数据流来达到欺骗数据接收方的目的,完成某种攻击意图。
2.2网络端的不安全因素在安防移动通信网络中,网络端的组成比较复杂。
它不仅包含许多功能单元,而且不同单元之间的通信媒体也不尽相同。
所以安防移动通信网络端同样存在着一些不可忽视的不安全因素,如线窃听、身份假冒、篡改数据和服务后抵赖等。
按攻击类型的不同,可分为四类。
2.2.1非授权访问数据类攻击非授权访问数据类攻击的主要目的在于获取网络端单元之间传输的用户数据和信令数据,具体方法如下:(1)窃听用户数据——获取用户通信内容;(2)窃听信令数据——获取安全管理数据和其他有利于主动攻击的信息;(3)假冒通信接收方——获取用户数据、信令数据和其他有利于主动攻击的信息;(4)被动传输流分析——获取访问信息;(5)非法访问系统存储的数据——获取系统中存储的数据,如合法用户的认证参数等。
2.2.2非授权访问网络服务类攻击非授权访问网络服务类攻击的主要目的是访问网络并逃避付款,具体的表现形式如下:(1)假冒合法用户——获取访问网络服务的授权;(2)假冒服务网络——访问网络服务;(3)假冒归属网络——获取可以假冒合法用户身份的认证参数;(4)滥用用户职权——不付费而享受网络服务;(5)滥用网络服务职权——获取非法盈利。
2.2.3威胁数据完整性类攻击安防移动通信网络端的威胁数据完整性类攻击不仅包括无线接口中的那些威胁数据完整性类攻击(因为BSS与MSC之间的通信接口也可能是无线接口),而且还包括有线通信网络,具体表现如下:(1)操纵用户数据流——获取网络服务访问权或有意干扰通信;(2)操纵信令数据流——获取网络服务访问权或有意干扰通信;(3)假冒通信参与者——获取网络服务访问权或有意干扰通信;(4)操纵可下载应用——干扰移动终端的正常工作;(5)操纵移动终端——干扰移动终端的正常工作;(6)操纵网络单元中存储的数据——获取网络服务访问权或有意干扰通信。
2.4服务后抵赖类攻击服务后抵赖类攻击是在通信后否认曾经发生过此次通信,从而逃避付费或逃避责任,具体表现如下:(1)付费抵赖——拒绝付费;(2)发送方否认——不愿意为发送的消息服务承担付费责任;(3)接收方抵赖——不愿意为接收的消息服务承担付费责任。
2.3移动端的不安全因素安防移动通信网络的移动端是由移动站组成的。
移动站不仅是移动用户访问移动通信网的通信工具,它还保存着移动用户的个人信息,如移动设备国际身份号、移动用户国际身份号、移动用户身份认证密钥等。
移动设备国际身份号IMEI是代表一个唯一地移动电话,而移动用户国际身份号和移动用户身份认证密钥也对应一个唯一的合法用户。
由于移动电话在日常生活中容易丢失或被盗窃,由此给移动电话带来了如下的一些不安全因素:(1)使用盗窃或捡来的移动电话访问网络服务,不用付费,给丢失移动电话的用户带来了经济上的损失;(2)不法分子若读出移动用户的国际身份号和移动用户身份认证密钥,那么就可以“克隆”许多移动电话,并从事移动电话的非法买卖,给移动电话用户和网络服务商带来了经济上的损失;(3)不法分子还会更改盗窃或捡来的移动电话的身份号,以此防止被登记在丢失移动电话的黑名单上等。
2.4攻击风险类安防移动通信网络中的威胁还有无线窃听、假冒攻击、完整性侵犯、业务否认和移动电话攻击等内容,具体描述如下:(1)无线窃听——窃听无线信道中传送的用户身份号、用户数据和信令信息;(2)假冒攻击——假冒移动用户欺骗网络端和假冒网络端欺骗移动用户;(3)完整性侵犯——更改无线通信控制信道中传送的信令信息;(4)业务否认——移动用户滥用授权、网络端服务提供商伪造账单;(5)移动电话攻击——偷窃移动电话、更改移动电话身份号和克隆移动电话。
3 安防移动通信网络中的安全技术从第一代模拟安防移动通信网到第二代数字安防移动通信网的运行经验证明:安防移动通信网络中存在的各种不安全因素不仅威胁到移动用户的隐私和经济利益,而且严重地影响安防移动通信网络的正常运行,并损害到服务商和网络运行商的经济利益。
为了保护各个方面的利益,安防移动通信网络必须采用相应的安全措施,提供足够的安全技术级别服务。
3.1保密性安全技术服务保密性安全技术服务可分为5类,其保密级别和目的如下:(1)用户语音保密性(级别:1)的目的一保护无线信道中传送的用户语音,防止被他人窃听;(2)用户身份保密性(级别:1)的目的一保护用户的真实身份,防止被无线跟踪;(3)信令数据保密性(级别:1)的目的一保护无线信道中传送的信令数据,防止被他人窃听;(4)用户数据保密性(级别:2)的目的一保护无线信道中传送的用户数据,防止被他人窃听;(5)认证密钥保密性(级别:2)的目的一保护SIM和AC只存储的认证密钥,防止被他人窃取或“克隆"SIM。