3G网络的基础设施和应用中,越来越多地使用了IP技术,IP技术的特点也因此逐渐融入到3G系统中,成为3G建设和管理中不可忽视的要素。本文从3G网络结构和应用的独特性出发,针对数据面、控制面和管理面的不同特点分析了3G系统面临的安全形势;提出了“3G系统安全问题的核心和基础是基于IP技术的网络安全”这一观点;并探讨了将IP安全技术与3G网络特点相结合,构筑安全的3G系统的方式方法。
1 3G安全概述
1.1通信安全与IP安全
网络安全是一个近年来被高度关注的话题。这里的“网络”,很大程度上指的是IP网络,特别是因特网。 传统通信网络上承载的主要是语音业务。除应用层面外,语音通信网络与外界的接口很少,具有良好的封闭性。可以说,对传统通信网络最大的安全威胁来自内部;其外部安全威胁主要是盗打、窃听、线路中断等,不会对整个系统构成致命的破坏。 IP以其高度灵活性和扩展性成为了新兴的通信网络技术。高度的灵活性和扩展性丰富了IP网络上的应用类型,也成为了IP网络的安全软肋。IP网与传统语音通信网络面临的安全形势的最大不同在于,IP网的主要安全威胁来自外部、来自用户。最初,在以TCP/IP协议栈为基础的因特网上,每个网络节点、每台主机、每个用户是平等的,面对安全威胁时都是“泥菩萨”,存在着一点突破、全网瘫痪的危险。这种状况随着IP网络安全机制的不断完善而有所改善。IP网的丰富应用带给用户极大的便利;外部因素的不可控性又威胁着用户利益,使得IP网安全成为了人们关心的焦点。
1.2移动通信发展及其安全形势演进
第一代和第二代移动通信属于传统语音通信,除了用无线空中接口作为“最后一公里”的传输方式外,其安全特性与固定语音通信网络基本相同。 从GPRS和CDMA1x开始,移动通信进入了2.5G时代。从2.5G开始,移动通信网络中增加了面向IP网络的控制功能模块(PCU/SGSN或PCF)和IP接入网关(GGSN或PDSN),并将一部分IP网络设备纳入到数据移动通信的体系中来,为用户提供在移动过程中直联IP网络的高速链路。由此开始,IP网络的安全性成为了移动通信安全体系中“最短的一块木板”。 第三代移动通信,也就是常说的3G。现在人们普遍关心的WCDMA、CDMA2000和TD-SCDMA三种3G制式,它们的差异更多地体现在空中接口部分。无论哪一种3G制式,它的控制信令和数据传输已经越来越依赖IP网络;3G系统为用户提供的服务,也将全部基于IP技术。因此,3G网络与以前的移动通信网络相比,更具有IP网络的特征。移动通信正在演变为IP网络上的一种特殊的应用。3G面临的最主要的安全威胁,也不再像以前的语音通信系统那样来源于内部;而是像IP网一样,来自外部。
1.33G安全目标
如果从协议栈的角度来看3G,那么3G网络仅仅是承载移动通信中信令和数据的平台。3G的安全目标,可以分为针对网络层的安全目标和针对应用层的安全目标。 网络层安全是应用层安全的基础。安全的3G网络首先应当保证网络设备正常工作,不被黑客侵入、免受病毒影响;网络层安全的终极目标是保障应用层数据的正常传输,数据流序列不被扰乱或中断。 应用层安全建立在网络层安全之上。应用层安全的目标是保证的数据的完整、可信,避免被窃听、截获、篡改和伪装。移动通信用户对网络安全的体验,建立在应用层安全的基础上,并以此为依据衡量运营商提供的通信服务质量。
2
3G系统安全分析 3G系统网络结构可以分为四个部分(图1):用户设备(UE)、无线接入网络(RAN),核心网络(CN)和业务网络(Service)。在3G系统中,它们具有各自不同的作用,对网络安全的影响和要求也各不相同。 图13G系统体系结构
2.1.1用户设备(UE)
3G用户使用的移动终端设备大致可以分为两类:便携电脑和手持设备(PDA、手机、数据采集器等)。 便携电脑的特点是移动性强、功能丰富。移动性强,意味着其使用环境的多样性:一台便携电脑可能会通过各种方式(有线/无线)、先后接入到各种不同的网络(以太网、ADSL、无线局域网、GPRS、CDMA1x等等)中。在这些复杂的网络环境中,便携电脑有很多机会感染病毒或被黑客程序侵入。便携电脑上安装的软件越多、功能越纷繁复杂,其安全漏洞必然随之增加,被病毒感染或被黑客攻陷的可能性也就越大。 手持设备一般属于专用设备,通常使用专用操作系统,功能较为单一。这些设备本来不容易被病毒感染,也不是黑客攻击的主要目标。但随着技术的发展和市场的需求,3G上的丰富应用要求手持设备具备更多功能。这使手持设备的操作系统和软件变得复杂起来,通用平台开始流行,并普遍配备高速读/写接口。这些变化都导致了手持设备的安全系数降低。与便携电脑相比,手持类设备通常长时间处于待机状态,很多应用也要求用户“永远在线”。一旦手持设备成为一个长时间在线的IP终端,它就不可避免地直接面对各种安全威胁;被病毒感染或被黑客入侵后更不易被发现。因此,这类设备上的安全漏洞隐蔽性更强,持续危害时间更长。 3G可以为用户提供2Mbps以上的接入速率。接入速率提高和接入地点不停变换,使得对移动终端的安全监控和管理更为困难。一旦移动终端成为病毒和黑客程序的发源地或中继站,将使更多毫无保护的终端暴露在高度危险下,并有可能形成爆发的态势。
2.1.2无线接入网(RAN)和核心网(CN)
无线接入网承担NodeB(BTS)和RNC(BSC)之间的信令和数据传输。从3GPPR5版本开始,规定使用IP作为RAN的传输协议;3GPP2也明确将全IP作为今后的发展方向。 核心网(CN)的意义就在于,它完成用户语音通信的交换控制和路由选择任务;完成移动IP数据接入过程中最核心、最关键、也是最后一道用户控制和业务分类工作。无线接入网和核心网之间的接口是RNC(BSC),以及构建其上的分组数据控制功能模块——PCU/SGSN或PCF。从SGSN/PCF到GGSN/PDSN之间的全部数据已经完全采用IP协议进行传输。GGSN/PDSN是移动用户接入IP业务网的关键中继点,是用户数据在IP业务网中通信的起点,是对用户上网行为和业务权限进行控制和统计的核心,是决定用户分组数据走向的枢纽。用户分组通信数据被GGSN/PDSN解封装并转发到业务网以后,就成为普通因特网IP流量的一部分,缺乏足够的可控性和可靠性保证。 RAN和CN安全性的重要地位不言而喻。RAN和CN在很大程度上是封闭的专用网络,与用户设备和业务网之间没有网络层和应用层接口。因此,对RAN和CN最大的安全威胁来自于内部。
2.1.3业务网络
3G的发展的核心问题是业务和应用,这已经是不争的事实。这里所说的“业务”,绝不仅仅局限于以电路交换为基础的语音业务,而必然是基于IP的多种多样的数据业务。因特网业务将在其中占很重要的地位。 因特网本身是一个没有安全保障的网络。所有接入国际因特网骨干的运营商网络都需要依靠自己的措施进行自我保护。3G网络通过接入网关(GGSN/PDSN)连接到因特网时也不例外。3G系统的业务网络中将包含越来越多的应用服务器,基于IP技术的业务开展越丰富,整个系统对外的接口就越多。日益增加的外部接口也是日益增加的安全隐患。 随着电脑技术的日新月异,因特网上黑客技术和电脑病毒的发展和扩散速度也在惊人地增长。在最近几次全球蠕虫病毒爆发时,短短十几分钟内就感染了数以万计的主机,形成的异常流量阻塞了因特网。在因特网上以分、秒为单位演变发展的安全事件面前,3G系统的监控、管理和响应机制和响应速度面临着越来越大的挑战。
3构筑安全的3G系统
以上分析表明,3G系统的面临的安全问题与以往的移动通信网络有本质的不同:3G上最重要的安全问题将是IP网络的安全和基于IP技术的应用的安全。这里所说的IP网不仅指承载网,更是指业务网;IP应用也不仅指因特网浏览、下载、邮件等应用,也包括承载在IP协议之上的移动通信系统控制信令和数据。对未来的3G运营商而言,系统建设之前的安全体系结构规划最为关键。进而,3G建成后如何有效地管理3G系统,使之可以应对各种安全威胁,也需要借鉴现有IP网络和IP应用的经验,制定出适应3G系统特点的安全管理策略和措施。
3.1RAN和CN
RAN和CN上的网元承担着无线资源管理、呼叫交换和路由、分组数据网关的功能。RAN和CN的功能可以逻辑地划分为控制面、数据面和管理面。三个平面相对独立,通过预定义的呼叫流程配合工作。这是RAN和CN的应用层。 作为承载无线侧各个网元之间的信令和数据的IP网络,RAN和CN上的流量对于终端、对于业务网络是透明的。所有信令和数据采用特定TCP/IP协议进行封装,其源地址、目的地址、协议端口号等流信息是可预测、可控制的。在此基础上,有必要,也有可能,建立精确的流量模型,使用虚拟子网(VLAN)或虚拟专网(VPN)的方式实现不同层次上信令与数据的逻辑分离,从而实现对控制、数据和管理三个面的QoS管理和安全管理。 设计和建设RAN和CN时,最重要的是网络的安全性和可靠性,以避免三个平面上的应用受到任何其他业务的干扰或互相干扰。RAN和CN的建设目标,是成为运营商完全可控的私有网络。RAN和CN网络和应用的特性决定了,它们的安全性和可靠性保障将主要依赖其对外封闭措施和网络内部流量的逻辑划分和隔离。 实现了对外封闭和内部逻辑隔离的RAN和CN上,各个虚拟网络之间仅仅是应用分工不同、优先级别不同;合法流量和非法流量不再是威胁系统安全的根本矛盾,也就不再需要影响网络性能、妨碍网络扩展的专用安全设备。具有内置安全功能IP路由和交换设备是实现VLAN隔离、VPN划分、流量监控、流量过滤、入侵检测、用户认证、数据加密等系统安全功能的最佳选择。在RAN和CN上,数据面的传输质量可以使用低延迟队列(LLQ)进行保障;实现控制面信令的可靠性需要用到优先级队列(PQ)。RAN和CN和网管平台是人机接口集中的部分,也是最需要加强安全管理的部分,综合部署入侵检测、用户认证、数据加密等安全技术将实现对管理面的安全保证。 中国政府和主要运营商正在建设的下一代网络(CNGI),把承载3G作为一项重要的内容进行了规划。如果在CNGI上采用VPN等方式构建RAN和CN,那么对于RAN和CN上的内容,特别是控制面和管理面上的流量,就必须加以额外保护。比如采用IPSec进行IP数据的加密,采用SNMPv3、SSH、SSL等网管接口协议等。对于IPv4来说,IPSec是需要额外部署的功能;而IPv6里已经强制采用了IPSec作为加密机制。CNGI采用IPv6已经是必然,这也为构建基于IPv6的安全的RAN和CN打下了良好的基础。 “网络层封闭、应用层分立、传输可靠、内容保密”将是RAN和CN高效运行和高度安全的保障,也是RAN和CN的建设目标。
3.2业务网络
3G的亮点是丰富的应用。业务网络是多种3G数据应用的接入点,用户由此处通过IP协议连接到各式各样的应用服务网络和应用服务器。业务网络必然是一个开放的网络,用户可以通过IP地址访问因特网、企业网或3G业务平台,进行的是Any-To-Any的通信。业务网络与应用网络之间的连接形式、连接协议没有一定之规,各种应用的数据流量混杂在一起,网络结构化特征不明显。因此,业务网络的可控性较差。 在这种“扁平”结构的网络上部署安全设备和安全措施,无疑是事倍功半。如果将安全措施集中于所有流量的必经之路,那么安全设备的性能就是网络上的瓶颈。3G的应用又必须随用户需求不断变化,如果每次变化都需要调整安全设备的配置,就没有灵活性可言,影响3G应用的发展速度。如果将安全措施不加区别地分布于各个网络设备上,由于各种业务流量彼此混杂,全网安全策略难于统一和贯彻,不免顾此失彼、漏洞百出。 为了加强对业务网络的管理和控制,最好的措施是,在统一的物理网络平台上构建各种基于业务的逻辑专网(VPN)。逻辑专网可以构建在IP流的“特征五元组(源地址、源端口、目的地址、目的端口、协议)”基础上,也可以构建在接入点名(APN)/用户接入标识(NAI)/主叫号码(Calling-Station-Id)基础上。实现的方法可以是面向第二层的VPN技术(L2TPv2/v3、PPTP、AToM),也可以是面向第三层的VPN技术(GRE,IPSec,MPLS,TE,MobileIP)。 用户应用层的IP数据在CN上被封装为GTP或GRE格式进行传输,直到被CN和业务网络之间的分组数据网关(GGSN/PDSN)解封装并转发到业务网络。GGSN和PDSN是业务网络中唯一可以将用户标识(APN、NAI和Calling-Station-Id)与用户IP特性五元组进行关联的设备,是实施基于用户身份的流量分类和过滤的关键网元。因此,除了3GPP/3GPP2定义的分组接入网关功能外,如果GGSN和PDSN具有附加的防火墙安全特性和VPN功能,就可以丰富安全控制手段,减轻安全机制部署难度,提高安全措施效率。 以全网统一的业务分类为指导,理清每种业务的数据流向和流量特点,实现层次清晰的虚拟业务专网,在此基础上,可以实现: l 以逻辑专网为单位的安全防御体系; l 将统一安全策略在每种业务中有针对性地部署和强化; l 业务扩展的安全性、独立性和灵活性; l 基于业务的流量汇聚和统计。 对业务专网的管理,应当遵循中心监控、边缘部署的原则,以便及时发现和处理网络中的黑客行为和病毒传播,加快安全响应的速度,并将安全防御措施对业务网络的影响降到最低程度。
3.3用户设备
用户终端设备在3G网络安全体系中,既是受保护对象,更是需要加以重点防范的对象。网络中有限的入侵检测和流量过滤设备对于数以亿计终端的保护和防范来说,无疑是杯水车薪。 3G用户终端设备的安全保障,将主要依赖终端本身的安全功能,这也是安全防御边缘化的要求。一个可行的思路是将“网络准入控制(NCA)”机制引入3G系统,推行针对3G终端的安全认证方法,通过在线方式对终端的软件版本和安全状态进行调查和评估,检查其当前防病毒状态以及操作系统补丁水平;禁止不兼容设备接入,将其放置在隔离区,或者只允许它有限访问计算资源。这种措施尽可能地把安全性不完善的终端拒绝在3G网络以外,以实现主动的安全防御。 终端的安全准入机制需要网络设备厂家、终端厂家和运营商的协作,才能实施并推行。
4总结
在3G系统中,安全问题的重点已经从物理层转移到网络层和应用层,从传统语音通信安全为核心转移到IP网络和应用安全为核心。无论对于相对封闭的RAN和CN,还是对于和公共网络相联的业务网,按照业务应用的内容划分逻辑专网是对3G网络进行安全管理、配置管理、故障管理、性能管理和计费管理的基本要求,也是必然要求。 RAN和CN上的应用种类有限,流量类型和走向比较简单,适合于按照IP协议特征五元组(源地址、目的地址、源端口号、目的端口号、协议类型)进行应用流量甄别和逻辑专网划分。业务网络面对的是以因特网为代表的公共网络,业务种类日新月异,难以从网络层为每一种业务分析提取流量特征,因此比较适合于采用基于接入点名(APN)、网络接入标识(NAI)和主叫号码(Calling-Station-Id)的逻辑专网划分方式。逻辑专网划定后,还可以根据不同应用类型的要求,对特定业务专网中的数据部署认证、加密等面向应用层的安全机制。 在强健而灵活的安全体系中,安全措施应当进行边缘化部署,以便及时探测到安全隐患并使之远离网络骨干;安全管理应当实现集中化,以尽可能地贯彻统一安全策略,并敏捷地应对各种突发安全事件。逻辑专网的划分是“边缘部署、集中管理”方式的最佳基础。 3G时代的用户终端设备将比以往更智能,功能更丰富,同时也不可避免地更直接暴露在病毒和黑客的威胁之下。对于用户终端进行严格的安全准入控制,是安全措施边缘化的体现。 3G的发展因采用IP技术而加速,也受到IP网络安全特性的极大影响。“前车之覆,后车之鉴。”20年来,IP网络和IP应用所经历的安全事件、积累的安全经验、发展的安全技术是3G的宝贵财富。在3G正式部署之前,有必要系统地衡量3G网络和应用的安全形势,制定可行的安全策略和安全措施,为3G顺利启动、快速发展的打下良好的基础。
