WCDMA核心網絡安全解決方案.pdf

1、移動通信已經從第一代經過了長足的發(fā)展，目前已經到了第三代移動通信系統(tǒng)，俗稱3G。不僅調制方式從FDMA演變成CDMA，而且其業(yè)務也從單純的語音業(yè)務，擴展為覆蓋語音、高速數(shù)據(jù)、移動多媒體的全業(yè)務范圍。 第三代移動通信標準主要有：由GSM演進發(fā)展而來的WCDMA、有CDMA IS95演進而來的CDMA2000和中國自主開發(fā)的TD-SCDMA。其中WCDMA是目前最成熟、部署最廣泛、擁有用戶數(shù)量最多的標準，因此研究WCDMA網絡對于研

2、究3G網絡具有相當?shù)拇硇浴?起草WCDMA技術規(guī)范的3GPP組織，在其技術規(guī)范TS33.102中指出，WCDMA網絡要實現(xiàn)的安全目標主要分為以下5類： 網絡接入安全：為用戶提供安全的WCDMA業(yè)務接入，主要防范針對無線接入鏈路發(fā)起的攻擊； 網絡域安全：保證在網絡中各節(jié)點間能安全地交換信令，防止對網絡的攻擊； 用戶域安全：保證對移動終端的安全接入； 應用域安全：保證應用能在用戶域和網絡域之間安全地

3、交換信息； 可見性和可配置性安全：使用戶能知道某個安全特性是否應用，以及某項業(yè)務是否基于該安全特性。 為了達到既定目標，3GPP也定義了許多安全體制，例如無線安全機制、對于用戶的鑒權算法、加密信令的MAPSec算法等。 面對3GPP浩瀚無邊的規(guī)范和文檔，如何運用規(guī)范所定義的安全手段，建設一個面向未來，提供全業(yè)務能力的安全移動通信網絡，是值得考慮和深思的，也是網絡運營商和設備廠家所最關心的問題。 因此，本文

4、主要研究WCDMA核心網由于IP化而引入的安全問題包括：移動網絡中的互信水平、據(jù)此提出的網絡隔離、數(shù)據(jù)的安全傳送和網絡攻擊的防范等；并且提出相應的解決方案。 本文的研究內容主要有以下幾個方面： 1. WCDMA網絡的安全分析 ，包括：安全分析的假設、安全需求分析和安全威脅分析。 2. WCDMA網絡的安全域劃分：提出了基于安全水平和互信水平的網絡安全域的概念，并且將WCDMA核心網絡劃分為電路域、Gi域、Gp域、

5、Gn域、網管域、計費域和業(yè)務網絡域。 3. 安全域的安全需求和安全威脅分析：對于劃分的各種安全域，進行可能面臨的安全攻擊分析，從而得到其安全需求。并且根據(jù)安全威脅和需求，提出該安全域對于IP地址（IPv4）規(guī)劃和使用的一些要求和考慮。最后將所有安全域進行安全等級的劃分。 4. 安全域的安全策略：首先對于上述安全域提出了各自的域內安全策略，包括是否使用專網或VPN承載，路由安全，重要節(jié)點的安全配置等。其次，根據(jù)域間互訪的需

6、要提出域間安全策略，包括域間訪問控制和隔離，與Internet之間的邊界防護等。最后提出了各安全域IP地址的規(guī)劃和分配原則。 5. 安全解決方案：根據(jù)各安全域典型的組網結構，綜合上述章節(jié)的分析，提出較為詳細的安全解決方案。其中包括：各類地址的使用和分配，各類業(yè)務的物理和邏輯隔離，防火墻和訪問控制策略，路由安全以及各種VPN的應用和組網等。 本文所涉及的關鍵技術有：WCDMA、安全域、安全策略、安全需求、安全威脅安全解決方

7、案等。其中，本課題創(chuàng)新成果如下： 1. 根據(jù)WCDMA核心網絡中各節(jié)點的互信水平和訪問要求，將WCDMA核心網絡劃分成若干安全域。安全域內共享相同的安全策略。 2. 根據(jù)WCDMA核心網絡中各節(jié)點所處的地位和功能，考慮電信網絡實際需求，作出了針對WCDMA核心網絡的安全需求和威脅分析，并且進行了安全等級的劃分。對不同安全等級要求給出不同的網絡建設意見。 3. 提出了域內和域間不同的安全策略考慮，給出了例如防火墻、