【摘要】移动网络安全管控是网络安全的重要领域,本文首先分析了目前主要管控手段和移动网络安全机制,在此基础上提出一种基于基站代理的协议级安全管控机制,可区分用户进行选通管控,加强了移动网络安全管控的精确性和实用性。
【关键词】小区重定位;移动网络;安全管控
1引言
移动通信网作为承载通信平台的综合信息服务网络,是一个国家关键基础设施的重要组成部分,提供包括语音、数据、短信息等多种服务类型,已成为当前社会主要通信手段。然而移动通信在方便大众的同时,也为不法分子沟通联络提供了便利,已经成为网络失泄密、违法勾连、恐怖活动的主要手段。采用移动网络安全管控,是解决这一问题的有效途径。
2移动网络安全管控的技术现状
自数字移动通信系统开始在国内部署以来,移动管控相关技术及产品的研发便开始起步,目前存在的主要安全管控设备是通信干扰设备、被动式监控定位设备。按照技术体制实现来划分,移动通信管控分为信号压制、被动式监听和协议级主动管控三种。信号压制是最早出现的移动管控产品,主要通过大功率信号辐射,淹没正常的网络电磁波传送,实现区域内通信屏蔽;被动式监听是指通过被动接收并解析来自网络和用户的移动通信无线信号获取重要情报信息;协议级主动管控是指通过代理网络并与用户进行协议数据交互实现用户通信监管和控制,是本文研究的重点。
3协议级移动网络安全管控分析
众所周知,目前移动网络已经进入4G时代,同时兼容2G、3G移动通信,并正在向5G迈进。对应的安全管控技术必须针对不同制式进行精确管控,才能有效解决全域管控问题。2G主要制式为GSM,3G主要制式为CDMA(CDMA2000、WCDMA、TD-SCDMA),4G主要制式为LTE(TDD-LTE、FDD-LTE),因此必须针对各种制式进行设计。移动通信系统提供的安全机制主要有用户身份认证和身份保密、用户数据保密和信令保密。GSM安全机制存在较大的漏洞,即“单项鉴权”,只有基站对手机端的认证,没有手机端对基站的认证。我们可充分利用这一漏洞进行移动信号安全管控,方法是采用代理基站的方式,模拟公网小区,使被管控移动终端误认为代理基站才是真正的`基站,从而脱离原小区,重新定位到“新”基站。这样被管控的移动终端的所有通信都将被有效管控,并通过协议级精确管控,实现目标的选通或阻塞。
4基于公网小区重定位的移动网络安全管控关键技术
传统的通信干扰无法区分合法、非法通信,无法满足特殊场合下的白名单通信需求。本文利用不同移动通信技术体制小区重选/切换的实现方式,综合运用信令伪装、载波控制手段,维持合法用户与公网的通信,阻断非法用户的通信,实现安全管控。4.1针对2G移动终端的安全管控技术利用GSM移动通信单向鉴权的弱点,设置代理小区基站,对小区内移动用户进行吸取,获得用户身份信息,并将自己定义为代理中间人,即以对下充当基站,对原公网小区基站充当同级基站的方式,在移动终端于公网基站中间安置管控设备,使移动终端的通信完全处于被管控状态。2G移动信号管控流程如图1所示.4.2针对3G移动终端的安全管控技术3G移动通信在安全机制上与2G最大的不同是它引入了“双向鉴权”的概念,即手机终端和基站需要双向验证身份,这样可以有效降低2G中单项鉴权的风险。针对这一问题,我们的解决方案是将3G信号强制重定位到2G,迫使移动终端选择2G方式进行通信,进而实现代理基站的中间人管控。所以对3G移动终端的管控,需要2G管控设备配合。以WCDMA为例,需要同时使用GSM管控系统和WCDMA管控系统,首先使用WDMA管控系统将3G信号进行压制,手机终端在3G信号无法接收的情况下,选择2G的GSM方式进行通信,此时启用GSM管控方案,完成安全管控。3G(以WCDMA为例)安全管控流程见图2。4.3针对4G移动终端的安全管控技术4G移动通信主要使用LTE制式,在LTE中主要使用IM-SI和IMEI完成对用户的身份识别,与3G移动通信安全机制一样,LTE同样使用了双向鉴权。我们可以采用“二次重定位”的方法通过身份识别,获取移动终端的信任,从而实现吸附、管控目的。基本方法是利用LTE在空中接口传输的用户临时身份标识,管控设备将自身伪装成网络设备,根据协议构造相应的欺骗信令,发送信令到终端,使终端应答,进而获取其IM-SI或IMEI码,通过侦听解码的方式获取身份识别信息。再将4G信号重定位到2G,利用获得的IMSI或IMEI码与移动终端完成认证,实现小区的重定位,进而实现管控。4G安全管控流程如图3所示。综上所述,采用协议级主动管控技术可以实现对2G/3G/4G移动通信的全制式重定位,从而对区域内移动网络实施更加精确的安全管控。
【移动网络安全管控技术研究论文】相关文章:
4.网络安全论文
5.网络安全技术论文
6.网络安全性论文
7.网络安全毕业论文
8.网络安全的论文