浅析CDMA2000 1X无线数据网络安全_浅析大数据网络安全

浅析CDMA2000 1X无线数据网络安全由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“浅析大数据网络安全”。

浅析CDMA2000 1X无线数据网络安全

泰尔网 2006-12-10 14:24:53

来源[中国无线通信] 【关键词】

浅析CDMA2000 1X无线数据网络安全

王骏彪 彭明安 杨瑜

目前，国内各大电信运营商都相继推出了移动数据通信业务，基于联通CDMA公用移动通信网络的无线数据业务也已经在各行各业得到应用，由于网络部署的灵活性、快速性，对移动应用的良好的支持性，独具特色的安全措施，良好、稳定的速率支持等，使其在电力监控自动化、交通监控与信息发布、银行卡服务、工业数据采集、环境检测、企业移动办公等领域得到越来越广泛的应用。但是，随着应用的推广，移动数据传输的安全性越来越为广大用户所关注，能否向用户特别是企业用户提供更安全的数据应用服务，也成为衡量运营商网络的标准之一。

一、CDMA2000 1X无线数据网络

1.CDMA2000 1X无线网络部分的架构及功能

按照3GPP2的定义，CDMA网络无线移动通信网网络参考模型由功能实体和与之对应的接口参考点构成。图1的系统参考模型包括以下几个部分：无线部分，心网电路域，核心网分组域，智能网部分，短消息中心，AP网关，定位部分。突出了设备网元的概念，描述了cdma2000系统主要组成部分几个部分之间的关系。

图1 简化的CDMA和cdma2000系统参考模型

2.CDMA2000 1X分组网部分的架构及功能简介

分组域部分为移动用户提供基于TCP/IP技术的分组数据服务，包括基于外部互联网(Internet)和基于企业内部网(Internet)的并获得服务。同时提供这些服务所必需的路由选择、用户数据管理、移动性管理等功能。在Simple IP(简单IP)的模式下，分组网的主要的功能实体包括：

(1)PDSN分组数据业务节点，负责本地用户及漫游用户的无线接入。

(2)AAA：Authentication(认证)，Authorization(授权)，Accounting(计费)鉴权、授权与计费服务器，提供cdma2000 lx终端的鉴权、授权和计费。DNS：Domain Name Server域名服务器，用于翻译或解析一个Web站点的域名并且找到该域名对应的IP地址。NTP：Network Time Protocol时钟同步系统，用于CDMA 1x分组域核心设备进行时钟同步。

二、CDMA2000 1X数据网络目前的安全性介绍

1.码分多址方式(CDMA)下无线通信的特点及其安全性

在CDMA2000 1X系统的无线侧(包括空中接口和无线网络部分)，对业务的安全性影响较大的为码分多址技术和鉴权功能，两项技术简述如下：

(1)码分多址技术一方面提高了系统容量及系统的抗干扰能力，另一方面也大大提高了系统的安全生，使用户的通信安全得到极大保障。在CDMA方式下，用户间信息的区分是通过不同的地址码进行区分，不同的地址码之间具有准正交性，其组合方式可达264-2128之多，因此通过空中接口对CDMA方式下进行通讯的用户信号进行截获是非常困难的，安全、保密功能成为CDMA系统的特长，因此CDMA技术长期作为美国军力的通讯方式也就不足为怪了。

(2)鉴权功能：CDMA网络的鉴权功能用来防止非法用户接入通信网络。系统的鉴权功能使用户身份的合法性和唯一性得到很好的保障。

2.分组网安全特点、缺陷及防范措施

当前CDMA 1x分组网存在以下的结构特点：系统网络与用户网络并存；系统网络中存在运营商内部的私有网络和对INTERNET网络的接口；专网用户与公网用户并存，无线与有线网络并存；私有地址空间与公用地址空间并存，同一网络上承载多种业务，同网络连接到多个接入网。

从以上可看出，分组网的组网较普通数据网络更复杂，随着网络的发展，网络安全的保障在整个网络的建设维护中将具有更重要的意义。同时，CDMA 1X分组网还存在很多来自各方面的安全威胁，用户可能发起权限以外的访问甚至攻击行为，因此，CDMA 1x分组网的安全隐患可以概括为以下几个方面：基于物理层的线路盗用、侦听，线路噪音引入等，虚假MAC地址的攻击；非法访问；探测和扫描，拒绝服务(D0S)攻击。

基于以上的安全问题，目前CDMA 1x分组网的安全机制主要可通过以下手段实现：内外网隔离；限制用户对设备的访问，对非法访问的侦测，对异常网络流量做到及时反应，制定有效的安全管理方案。

3.联通CDMA2000 1X数据网络的安全特点

系统的安全性可分为系统的可靠性和抗攻击能力两方面。首先是可靠性，为保证PDSN的可靠性，PDSN设备的主要板件一般均设置为双板热备方式，同时还可进一步考虑PDSN设备级的主备方式。在系统的R-P侧路由组网中，为保证网络的健壮性，骨干网络均采用双网双平面冗余备份，并在主备网络之间实现了动态路由方式下的负荷分担机制，大大提高了网络的稳定性。

为了保证网络安全，采用了MPLS VPN技术在IP骨干网上构造一个逻辑独立的Pi网络，达到与现有IP骨干网物理上共享、逻辑上独立的目的。另一方面，为增强网络的抗攻击能力，现网主要采取了以下的安全措施：(1)通过在系统私有网络中构建MPLS VPN来加强内部网络的安全；(2)在网络内部使用私有地址空间，做到内外网隔离；(3)使用硬件防火墙、NAT方式及ACL控制策略，保证了私有网络和公用网络的进一步隔离，(4)通过三层交换的VLAN隔离和VLAN间路由技术，对不同子网间的路由访问进行有效的控制等。

三、当前应用WVPDN方式进行企业组网的安全性浅议

1.WVPDN企业组网方式介绍

WVPDN(无线虚拟拨号专用网络)技术与普通的VPDN不同之处在于，CDMA lx分组域的WVPDN业务，体现的是无线上网的概念，它利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过CDMA 1X网络，为职员和商业伙伴提供无缝和安全的连接，真正做到“无限联通”到企业网。CDMA 1x分组域根据网络自身的特点和企业的不同需求，为企业VPDN用户提供有差异化的、安全可靠的网络解决方案。

为实现企业的WVPDN组网，对网内设备的构成及性能要求如下：(1)用户端设备(CPE)：用户端需具备作为VPDN的网关功能的设备，可以由企业网内部的路由器实现；(2)接入服务器(NAS)：VPDN的接入服务器，可以提供广域网接口，负责与企业专用网的VPN连接，并支持各种LAN局域网协议，支持安全管理和认证，(3)支持隧道及相关技术用户终端：使用CDMA1X上网的终端设备；(4)CDMA1X手机连接台式电脑：具有浏览器功能的PDA或手机终端，(5)用户端认证服务器：用户端认证服务器是可选的设备，用于对登陆用户做鉴权认证。

2.企业数据安全防范浅议

(1)企业网络接口的安全

企业在实施信息化的过程中，由于要实现信息共享，同时还有可能对外网开放企业局域网内的服务器区，因此一方面要考虑网络内部公开信息的安全保障，还需要考虑对内部网络与外部网络采取隔离措施，避免内部网络拓扑结构、网络路由状况和网络结构信息外泄，影响网络安全，同时需要对外网访问内网的请求加以甄别过滤，防止非法访问请求进入内网。

(2)企业内部网络、系统的安全

企业内部系统的安全主要指企业内部局域网网络中的操作系统、网络硬件平台的安全可靠性。由于任何操作系统都不可能是绝对安全的，因此在系统核心设备的管理上需要制定严格的安全管理的措施，包括对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，将不同类别的访问操作者的权限限制在最小的范围内，同时加强登录过程的认证(特别是在到达服务器主机之前的认证)，确保用户的合法性。

(3)企业信息网络管理的安全

管理是网络安全中最重要的部分。任何安全管理的措施和策略的实施都需要完善的管理流程作为保障，如果在管理中存在责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。因此制定规范、完善的管理措施，建立全新网络安全机制，并在实施中予以有力地贯彻，才能确实保障网络安全。

3.WVPDN企业组网的安全保障机制

针对企业用户在网络信息安全方面的需求，在考虑通过CDMA 1x分组网为企业用户提供组网方案时，可以结合现有的一些技术手段对企业信息安全予以保障，当前具备条件在网络上实施的技术有以下几种：基于L2TP的VPN方式；基于IPSEC技术的三层隧道加密技术；虚拟路由方式(virtual Route r)基于用户无线网络参数的安全验证；使用NAT技术屏敝企业内部网络；综合以上方式的综合安全策略方案。下面对以上主要方式分别进行介绍。

(1)基于L2TP的VPN方式

L2TP是一种网络层协议，支持在IP，x.25，桢中继或ATM等的网络上传送经过包封的PPP帧。企业可以通过采用支持L2TP的路由器作为LNS，与PDSN(LAC)之间建立L2TP隧道，从而在公众网络上实现基于L2TP的虚拟专用网(VPN)，对接入用户的鉴权可通过在LNS路由器或企业内部的专用RADIUS服务器上设置用户名和用户密码进行管理，此方式适合于对数据传输的安全性具有一般要求，同时不具备专线接入条件的企业；

(2)基于IPSEC技术的三层隧道加密技术

TPSec是基于三层隧道的网络安全体系，它基于IP层上网络数据安全提供了一整套体系结构，包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。

IPSec通过密码保护服务、安全协议组和动态密钥管理等措施来实现数据包安全和网络抗攻击能力，同时还能用来筛选特定数据流，而网络中其他设备只负责转发数据而无须支持IPSec。

同时，IPSec还具有用户负责密匙管理、支持私有地址空间、访问控制、抗抵赖性等特点。

基于上述特性，企业可通过在组网方式中引入IPSec隧道加密，提高数据在网络中传输的安全性，防止数据在传输过程中遭到破坏或泄密；

(3)虚拟路由器方式(Virtual Router)

虚拟路由器方式应用PDSN提供的功能，在PDSN平台为企业用户模拟一个路由器，将用户的数据包发送到正确的目的节点并隔离不同用户群间的业务流量。

VR为每个企业用户的网络提供了独立的用户数据资源处理，特定VR将用来处理归属其的VPN的事务。通过采用VR技术，可根据不同的企业用户群进行独立的网段规划，大大提高了网络IP地址规划的灵活性，加强了不同企业用户群间的隔离度。

(4)基于用户无线网络参数的安全验证

由于CDMA无线网络中具有完善的用户鉴权机制，因此可以通过应用部分无线网络中的用户参数来加强对分组网用户的鉴权。

用户的IMSI号码(国际移动识别码)，作为用户在系统中的标识，存储于HLR/AC和R-UIM中，并参与鉴权。由于IMSI号码在网络中的唯一性，用其作为用户在分组网中的鉴权标识将能大大提高用户合法身份认证的准确性和安全性。因此是很具可行性的安全措施。

(5)使用NAT技术屏蔽企业内部网络

可以通过在运营商网络和企业局域网之间设置一台防火墙或路由器，通过NAT方式对企业局域网的内、外地址段作隔离，从而达到企业局域网与外部网络隔离的目的。

(6)综合以上方式的综合安全策略方案

可以通过对上述几种安全方案进行组合来实现企业外部组网的安全保障，由于上述的方案均支持基于IP的方式，各种不同的安全策略可同时实施于同网络，在考虑组网投资的基础上，结合使用不同的安全策略可有效提高企业数据的安全，实现用户端到企业端的全程数据加密。(见图2)

图2 综合安全策略方案

4.构筑CDMA2000 1X网络安全的展望

现阶段由于CDMA 2000 1x移动分组网的应用还处于发展阶段，许多用户需求还无法一一满足，但是随着企业应用的增加、技术的进步，一方面安全需求将在企业组网中成为更受关注的焦点，另一方面，随着更多新技术的采用，CDMA 2000 lx移动分组网将向用户提供更多、更廉价、更有效的安全方式。

例如采用移动IP方式后，由于移动IP方式能够更好的支持移动IP隧道技术(IP-in-IPsec)，因此在进行企业VPN组网时，能够较容易的实现安全性管理。而在IPv6技术引入后，由于IETF在设计IPv6时，就要求IPv6实现必须支持IPSes协议，因此在网络由IPv4升级到IPv6后，可以实现从核心网至接入网段的任意点之间部署IPsec，大大提高了网络安全部署的灵活性。

可以预期，随着CDMA2000 1x移动分组网的发展，将会根据不同层次的用户需求提供各个层次的网络服务，真正做到网络服务的“度身定制”。