【正文】 5個(gè)模塊集成在一個(gè)芯片上。 2．移動(dòng)用戶身份碼 (IMSI)和臨時(shí)移動(dòng)用戶身份碼 (TMSI) 移動(dòng)用戶身份碼可唯 — 確認(rèn)移動(dòng)用戶，它只在用戶第 — 次接人進(jìn)網(wǎng)時(shí)通過無線信道傳送一次。 3．鑒權(quán)過程 鑒權(quán)是在網(wǎng)絡(luò)與 SIM卡之間進(jìn)行的。 SIM卡接口傳出的是鑒權(quán)響應(yīng)參數(shù)，保證了合法用戶的權(quán)益。 為了使無線訪問鏈路與有線訪問鏈路具有相同的安全性， 3G系統(tǒng)的網(wǎng)絡(luò)接入部分主要提供了四種安全特性：用戶身份保密、實(shí)體間認(rèn)證、數(shù)據(jù)保密和數(shù)據(jù)完整性。 實(shí)體間認(rèn)證 實(shí)體間認(rèn)證是指移動(dòng)終端與服務(wù)網(wǎng)（ SN）之間相互認(rèn)證的過程。 （ 2 ） 3G系統(tǒng)增加了數(shù)據(jù)完整性這一安全特性，以防止竄改信息這樣的主動(dòng)攻擊。這些安全功能在 2G系統(tǒng)中是沒有的。 當(dāng)移動(dòng)終端 ME 需要與服務(wù)網(wǎng) SN建立連接時(shí)，告訴服務(wù)網(wǎng)它支持哪些加密算法。目前只用到一種 KUSUMI算法。為實(shí)現(xiàn) 3G系統(tǒng)的全球漫游 提供了可能。 當(dāng)移動(dòng)終端 ME需要與服務(wù)網(wǎng) SN建立連接時(shí)，告訴服務(wù)網(wǎng)它支持哪些完整性算法。目前只用到一種 KASUNI算法。 第三節(jié) 移動(dòng)通信的安全隱患 盡管當(dāng)前移動(dòng)通信技術(shù)有一定的安全措施，但仍存在著不少漏洞。因此，手機(jī)通信是一個(gè)開放的電子通信系統(tǒng)，只要有相應(yīng)的接收設(shè)備，就能夠截獲任何時(shí)間、任何地點(diǎn)，接收任何人的通話信息。祖巴耶達(dá) 赫就是因?yàn)槭褂檬謾C(jī)暴露了藏身之地而落網(wǎng)。因?yàn)樵诖龣C(jī)狀態(tài)，手機(jī)也要與通信網(wǎng)絡(luò)保持不間斷的信號交換。土耳其國家情報(bào)署署長阿塔沙昆就曾經(jīng)說過，即使使用者不使用手機(jī)，但如果保持待機(jī)狀態(tài)，有心人即可通過簡單電信暗碼，遙控打開手機(jī)的話筒，竊聽話筒有效范圍內(nèi)的任何談話。因此，這種手機(jī)雖然沒有開機(jī)或不是待機(jī)狀態(tài)，但只要有電池，手機(jī)上的接收裝置就能將其有效范圍內(nèi)的話音信息接收到，并可隨時(shí)發(fā)送出去。 而 3G系統(tǒng)的新特點(diǎn)在于 提供高帶寬和更好的安全特性。這里主要討論以下幾方面的內(nèi)容：數(shù)據(jù)保密、數(shù)據(jù)完整性、移動(dòng)設(shè)備的識別、全網(wǎng)范圍內(nèi)加密與合法偵聽。這一需求在 2G系統(tǒng)中已經(jīng)提出，但是該功能的實(shí)現(xiàn)機(jī)制本身并不安全?，F(xiàn)有的 2G系統(tǒng)只提供無線鏈路上的加密，在有線 網(wǎng)段數(shù)據(jù)是以明文方式傳輸?shù)?，所以偵聽很容易?shí)現(xiàn)。如果用戶選擇全網(wǎng)加密功能，將會(huì)涉及到一系列問題。 利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 8 頁 共 16頁 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 入侵檢測技術(shù)分析 入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。 異常檢測 異常檢測 (Anomaly detection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國內(nèi)送檢的入侵檢測產(chǎn)品中 95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測產(chǎn)品，其他 5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。其檢測方法上與計(jì)算機(jī)病毒的檢測方式類似。常用的入侵檢測 5種統(tǒng)計(jì)模型為： ● 操作模型，該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來說，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊； ● 方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時(shí)表明有可能是異常； ● 多元模型，操作模型的擴(kuò)展，通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn) 檢測； ● 馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件； ● 時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。 1. 基于網(wǎng)絡(luò)的入侵檢測 基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（ NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。值得一提的是，在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，有多個(gè)久負(fù)盛名的開放源碼軟件，它們是 Snort、 NFR、 Shadow 等，其中 Snort 的社區(qū) (躍，其入侵特征更新速度與研發(fā)的進(jìn)展已超過了大部分商品化產(chǎn)品。 由于網(wǎng)絡(luò)入侵檢測系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備 方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點(diǎn)： 網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。 網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。 網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會(huì)話過程較困難，目前通過加密 通道的攻擊尚不多，但隨著 IPv6 的普及，這個(gè)問題會(huì)越來越突出。舉例來說，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事：他們運(yùn)行了什么程序 、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主機(jī)入侵檢測系統(tǒng)在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。此外，它也會(huì)帶來一些額外的安全問題，安裝了主機(jī)入侵檢測系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。那些未安裝主機(jī)入侵檢測系統(tǒng) 的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。但是，它們的缺憾是互補(bǔ)的。 文件的數(shù)字文摘通過 Hash 函數(shù)計(jì)算得到。從而，當(dāng)文件一被修改，就可檢測出來。實(shí)際上，文件完整性檢查系統(tǒng)是一個(gè)檢測系統(tǒng)被非法使用的最重要的工具之一。 文件完整性檢查系統(tǒng)的弱點(diǎn)： 文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)庫。 做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作，在 Tripwire 中，在需要時(shí)可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。傳感器負(fù)責(zé)采集數(shù)據(jù) (網(wǎng)絡(luò)包、系統(tǒng)日志等 )、分析數(shù)據(jù)并生成安全事件。 3. 對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量 (包 /秒 PPS)是多少 首先，要分析網(wǎng)絡(luò) 入侵檢測系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在 512K 或 2M專線上布署網(wǎng)絡(luò)入侵檢測系統(tǒng)，則不需要高速的入侵檢測引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。 7. 產(chǎn)品支持的入侵特征數(shù) 不同廠商對檢測特征庫大小的計(jì)算方法都不一樣，所以不能偏聽一面之辭。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 12 頁 共 16頁 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 第三章 入侵檢測在移動(dòng)通信中的具體應(yīng)用 第一節(jié) 移動(dòng)通信系統(tǒng)防非法 入侵檢測的基本原理 移動(dòng)通信系統(tǒng)中防非法入侵檢測的目的 , 就是為了識別試圖或正在非法使用系統(tǒng)服務(wù)的非授權(quán)用戶以及濫用系統(tǒng)資源的授權(quán)用戶。其基本思路是 : 入侵者的 行為通常與系統(tǒng)合法用戶的正常行為是有很大的差異的 , 利用這種差異性 , 系統(tǒng)可以將非法入侵者檢測出來。 圖 1 異常性檢測系統(tǒng)原理框圖 計(jì)算機(jī)網(wǎng)絡(luò)中的這種異常性入侵檢測的思路同樣可用于移動(dòng)通信系統(tǒng)中 , 也就是說可以在移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)級而不是在空中接口部分引入防非法入侵檢測系統(tǒng)。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 13 頁 共 16頁 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 第二節(jié) 系統(tǒng)結(jié)構(gòu)描述 系統(tǒng)的結(jié)構(gòu)如圖 2 所示。這兩套系統(tǒng)之間由用戶通信行為描述數(shù)據(jù)庫 CPD ( Calling ProfileDatabase) 連接。 另一種方式 , 則是在用戶初次入網(wǎng)的一段時(shí)間 , CPD 中心對該用戶的通信行為處于一種學(xué)習(xí)狀態(tài) , 從對該用戶的一段時(shí) 間的通信行為監(jiān)控中歸納出用戶的通信行為特征。 CPD 中心提供這種聲訊服務(wù) , 用戶可以在語音的提示和幫助下 , 自己修改自己的通信行為描述表 , 以根據(jù)實(shí)際需要放寬或者進(jìn)一步約束該閾值。 CPD 中心與無線尋呼基站同樣由有線網(wǎng)絡(luò)連接。 同時(shí)用戶還可以隨時(shí)修改自己的用戶通信行為描述表。在這種情況下 ,CPD 中心將與該呼叫用戶所屬的無線尋呼基站取得聯(lián)系 , 通過無線尋呼基站向該用戶發(fā)出一條警告信息 , 以警告其手持 機(jī)可能正在被盜用。對于前一種情況 , 用戶可以對警告信息置之不理。同時(shí)為該用戶分配一個(gè)新的用戶識別碼 ID , 原來用戶的 ID 碼被注銷。這時(shí) , CPD 中心可以有兩種選擇 , 一種是開始修改用戶的通信行為描述表 , 以適應(yīng)用戶通信行為習(xí)慣的變化。因?yàn)樗腔诋惓Ｐ詸z測的原理基礎(chǔ)上的 , 一般的非法侵入者很難模仿出與合法用戶相類似的通信行為 。 DCMCS 中的入侵檢測分為幾個(gè)層次： 層次㈠ ：對用戶的移動(dòng)速度、并機(jī)進(jìn)行驗(yàn)證。 2G DCMCS IDS 的設(shè)計(jì)思想與設(shè)計(jì)原則 設(shè)計(jì)思想：修改現(xiàn)有的 H LR 和 V LR 數(shù)據(jù)庫，增加一些入侵檢測例程。所以，在設(shè)計(jì) DCMCS IDS 時(shí)，必須注意這些設(shè)計(jì)原則：①對現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)的修改要少；②設(shè)計(jì)一個(gè)快速算法，使它不必具有用戶行為的先驗(yàn)知識就可以跟蹤入侵者；③為檢測一個(gè)入侵活動(dòng)， IDS的各個(gè)單元之間的通信量應(yīng)盡量少，從而不至于在移動(dòng)通信網(wǎng)絡(luò)中引起很大的額外開銷降低系統(tǒng)的通信性能。這主要是考慮到移動(dòng)用戶在網(wǎng)絡(luò)中的漫游并不完全是隨機(jī)的，一般來說，每個(gè)用戶都有一定的活動(dòng)規(guī)律。檢測時(shí) IDS 將計(jì)算用戶的活動(dòng)行為與其正常行為輪廓配置的每一個(gè)偏差。這個(gè)概念有兩層含義：第一層，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法：第二層即使用分 布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。例如，基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)相結(jié)合，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測技術(shù)很好地集成起來，相互補(bǔ)充，提供集成化的攻擊簽名、檢測、報(bào)告和事件關(guān)聯(lián)等功能。因此，入侵檢測技術(shù)在移動(dòng)通信技術(shù)方面有廣闊的應(yīng)用前景