【導(dǎo)讀】質(zhì)量提出了更高的要求，這其中網(wǎng)絡(luò)的安全性是一個至關(guān)重要的問題。絡(luò)在各個發(fā)展階段所提供的安全措施。報告按照接入網(wǎng)、核心網(wǎng)及應(yīng)用層劃分為。鑒于BCMC業(yè)務(wù)是目前國內(nèi)外正在研究的熱點業(yè)務(wù)，并且該業(yè)務(wù)在安全方

　　

【正文】 動 IP 則是通過移動終端和 HA/歸屬 RADIUS 服務(wù)器之間類似 CHAP 協(xié)議的鑒權(quán)過程（ RFC3012） 來實現(xiàn)用戶的身份認(rèn)證。 . 分組數(shù)據(jù)加密 分組數(shù)據(jù)的加密通過采用 IPSec、 SA 和 IKE 等安全機制實現(xiàn)。 由于 IP包本身并不繼承任何安全特性，因此很容易便可偽造出IP包的地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容。所以要求從以下幾個方面保證收到的 IP數(shù)據(jù)包的安全： ? 來自原先要求的發(fā)送方（ IP頭內(nèi)的源地址）； ? 包含的是發(fā)送方當(dāng)初放在其中的原始數(shù)據(jù)； ? 原始數(shù)據(jù)在傳輸中途未被其它人看過。 針對這些問題， IPSec可有效地保護 IP數(shù)據(jù)包的安全。它采取的Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 38 具體保護形式包括： ? 數(shù)據(jù)起源地驗證； ? 無連接數(shù)據(jù)的完整性驗證； ? 數(shù)據(jù)內(nèi)容的機密性（是否被別人看過）； ? 抗重播保護； ? 有限的數(shù)據(jù)流機密性保證。 IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機制，可用它為 IP及上層協(xié)議（如 UDP和 TCP）提供安全保證。為保障 IP數(shù)據(jù)包的安全， IPSec定義了一個特殊的方法，它規(guī)定了要保護什么通信、如何 保護它以及通信數(shù)據(jù)發(fā)給何人。 IPSec可保障主機之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)（如路由器或防火墻）之間或主機與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。由于受 IPSec保護的 數(shù)據(jù)報本身不過是另一種形式的 IP包，所以完全可以嵌套提供安全服務(wù)，同時在主機之間提供像端到端這樣的驗證，并通過一個通道，將那些受 IPSec保護的數(shù)據(jù)傳送出去。 要想對 IP數(shù)據(jù)包或上層協(xié)議進行保護，方法是使用某種 IPSec協(xié)議：“封裝安全載荷（ ESP）”或者“驗證頭（ AH）”。其中， AH可證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。 ESP則更進一步，除具有 AH的所有能力之外，還可選擇保障數(shù)據(jù)的機密性以及為數(shù)據(jù)流提供有限的機密性保障。 IPSec提供的安全服務(wù)需要用到共享密鑰，以執(zhí)行它所肩負(fù) 的數(shù)據(jù)驗證以及（或者）機密性保證任務(wù)。密鑰可以通過人工加入也可以通過 IKE（即“ I n t e r n e t 密鑰交換”）協(xié)議動態(tài)實現(xiàn)驗證 IPSecCdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 39 參與各方的身份、協(xié)商安全服務(wù)以及生成共享密鑰等功能。 IPSec的結(jié)構(gòu)文檔（或基本架構(gòu)文檔）在 RFC2401中定義。 IPSec協(xié)議既可用來保護一個完整的 IP載荷，亦可用來保護某個IP載荷的上層協(xié)議。 為正確封裝及提取 IPSec數(shù)據(jù)包，有必要采取一套專門的方案，將安全服務(wù)／密鑰與要保護的通信數(shù)據(jù)聯(lián)系到一起；同時要將遠(yuǎn)程通信實體與要交換密鑰的 IPSec數(shù)據(jù)傳輸聯(lián) 系到一起。這樣的構(gòu)建方案稱為“安全聯(lián)盟（ Security Association ， SA）”。 IPSec的 SA是單向進行的。也就是說，它僅朝一個方向定義安全服務(wù)。通常， SA是以成對的形式存在的，每個朝一個方向。既可人工創(chuàng)建它，亦可采用動態(tài)創(chuàng)建方式。 SA駐留在“安全聯(lián)盟數(shù)據(jù)庫（ SADB）”內(nèi)。 . 3G 系統(tǒng)核心網(wǎng)的安全機制 前面已經(jīng)提到， 3GPP2 在空中接口的標(biāo)準(zhǔn)化進程已經(jīng)大大提前于核心網(wǎng)。到目前為止，核心網(wǎng)側(cè)（包括核心網(wǎng)電路域和核心網(wǎng)分組域）的安全機制仍在研究當(dāng)中，尚沒有成熟的標(biāo)準(zhǔn)。特別在分組域部分仍然沿用著 以前的安全機制。 5. 應(yīng)用層安全機制 隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展， 應(yīng)用層的安全越來越成為信息Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 40 產(chǎn)業(yè)中急需解決的問題。以 商務(wù) 為例， 在常規(guī)業(yè)務(wù)中，交易雙方現(xiàn)場交易，可以確認(rèn)購買雙方的身份。利用商場開具的發(fā)票和客戶現(xiàn)場支付商品費用，無須擔(dān)心發(fā)生糾紛和無憑證可依。但通過網(wǎng)上進行電子商務(wù)交易時，由于交易雙方并不現(xiàn)場交易，因此，無法確認(rèn)雙方的合法身份，同時交易信息是交易雙方的商業(yè)秘密，在網(wǎng)上傳輸時必須保證安全性，防止信息被竊??；雙方的交易非現(xiàn)場交易，一旦發(fā)生糾紛，必須能夠提供仲裁。 因此， 應(yīng)用層的安全 必須從技術(shù)上 實現(xiàn)以下 幾方面內(nèi)容： ? 身份認(rèn)證 ? 安全傳輸 ? 不可否認(rèn)性 ? 數(shù)據(jù)完整性 公鑰基礎(chǔ)設(shè)施（ Public Key Infrastructure，簡稱 PKI）是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是電子商務(wù)安全實施的基本保障。 PKI采用證書進行公鑰管理，通過第三方的可信任機構(gòu)（認(rèn)證中心，即CA），把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，其中包括用戶名和電子郵件地址等信息，以驗證用戶的身份。 PKI 把公鑰密碼和對稱密碼結(jié)合起來，實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。在無線網(wǎng)絡(luò)應(yīng)用時通常稱為 WPKI，即無線公鑰基礎(chǔ)設(shè)施。 . PKI的 組成 PKI 作為一組在分布式計算系統(tǒng)中利用公鑰技術(shù)和 證書所Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 41 提供的安全服務(wù)，企業(yè)或組織可利用相關(guān)產(chǎn)品建立安全域，并在其中發(fā)布密鑰和證書。在安全域內(nèi)， PKI 管理加密密鑰和證書的發(fā)布，并提供諸如密鑰管理（包括密鑰更新，密鑰恢復(fù)和密鑰委托等）、證書管理（包括證書產(chǎn)生和撤銷等）和策略管理等。 PKI 產(chǎn)品也允許一個組織通過證書級別或直接交叉認(rèn)證等方式來同其他安全域建立信任關(guān)系。這些服務(wù)和信任關(guān)系不能局限于獨立的網(wǎng)絡(luò)之內(nèi)，而應(yīng)建立在網(wǎng)絡(luò)之間和 Inter 之上，為電子商務(wù)和網(wǎng)絡(luò)通信提供安全保障 。 PKI 在實際應(yīng) 用上是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機制，使用戶在不知道對方身份或分布地很廣的情況下，以證書為基礎(chǔ)，通過一系列的信任關(guān)系進行通訊和電子商務(wù)交易。 圖 10 所示 為 典型的 PKI 系統(tǒng)，其中包括 PKI 策略、軟硬件系統(tǒng)、證書機構(gòu) CA、注冊機構(gòu) RA、證書發(fā)布系統(tǒng)和 PKI 應(yīng)用等。 圖 10 PKI 的組成 1. PKI 安全策略 ： 建立和 定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。它包Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 42 括一個組織怎樣處理密鑰和有價值的信息，根據(jù)風(fēng)險的級別定義安全控制的級別。一般情況下，在 PKI 中有兩種類型的策略：一是證書策略，用于管理證書的使用，比如，可以確認(rèn)某一 CA 是在 Inter 上的公有 CA，還是某一企業(yè)內(nèi)部的私有 CA；另外一個就是 CPS（ Certificate Practice Statement）。一些由商業(yè)證書發(fā)放機構(gòu)（ CCA）或者可信的第三方操作的 PKI 系統(tǒng)需要 CPS。這是一個包含如何在實踐中增強和支持安全 策略的一些操作過程的詳細(xì)文檔。它包括 CA是如何建立和運作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產(chǎn)生、注冊的，以及密鑰是如何存儲的，用戶是如何得到它的等等。 2. 證書機構(gòu) （ CA）： CA 是 PKI 的信任基礎(chǔ)，它管理公鑰的整個生命周期，其作用包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表（ CRL）確保必要時可以廢除證書。 3. 注冊機構(gòu) (RA):RA 提供用戶和 CA 之間的一個接口，它獲取并認(rèn)證用戶的身份，向 CA 提出證書請求。它主要完成收集用戶信息和確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證中心（即 CA）申 請數(shù)字證書的客戶，可以是個人，也可以是集團或團體、某政府機構(gòu)等。注冊管理一般由一個獨立的注冊機構(gòu)（即 RA）來承擔(dān)。它接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意 CA 給其簽發(fā)數(shù)字證書。注冊機構(gòu)并不給用戶簽發(fā)證書，而只是對用戶進行資格審查。因Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 43 此， RA 可以設(shè)置在直接面對客戶的業(yè)務(wù)部門，如銀行的營業(yè)部、機構(gòu)認(rèn)識部門等。當(dāng)然，對于一個規(guī)模較小的 PKI 應(yīng)用系統(tǒng)來說，可把注冊管理的職能由認(rèn)證中心 CA 來完成，而不設(shè)立獨立運行的 RA。但這并不是取消了 PKI 的注冊功能，而只是將其作為 CA 的一項功能而已。 PKI 國際標(biāo)準(zhǔn) 推薦由一個獨立的 RA 來完成注冊管理的任務(wù)，可以增強應(yīng)用系統(tǒng)的安全。 4. 證書發(fā)布系統(tǒng) ： 負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。目錄服務(wù)器可以是一個組織中現(xiàn)存的，也可以是 PKI 方案中提供的。 5. PKI 應(yīng)用： PKI 的應(yīng)用非常廣泛，包括在 web 服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換（ EDI）、在 Inter上的信用卡交易和虛擬 專用 網(wǎng)（ VPN）等。 . PKI的標(biāo)準(zhǔn) PKI 的標(biāo)準(zhǔn)可分為兩個部分：一類用于定義 PKI，而另一類用于PKI 的應(yīng)用。 在 PKI 技術(shù)框架中，許多方面都經(jīng)過嚴(yán)格的定義， 如用戶的注冊流程、數(shù)字證書的格式、 CRL（證書廢除列表） 的格式、證書的申請格式以及數(shù)字簽名格式等。 國際電信聯(lián)盟 ITU 協(xié)議，是 PKI 技術(shù)體系中應(yīng)用最為廣泛、Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 44 也是最為基礎(chǔ)的一個國際標(biāo)準(zhǔn)。它的主要目的在于定義一個規(guī)范的數(shù)字證書的格式，以便為基于 協(xié)議的目錄服務(wù)提供一種強認(rèn)證手段。但該標(biāo)準(zhǔn)并非要定義一個完整的、可互操作的 PKI 認(rèn)證體系。 PKCS 是由美國 RSA 數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn)，其中包括證書申請、證書更新、證書作廢表發(fā)布、擴展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封的格式等 方面的一系列相關(guān)協(xié)議。到 1999 年底， PKCS 已經(jīng)公布了以下標(biāo)準(zhǔn)： ? PKCS1：定義 RSA 公開密鑰算法加密和簽名機制，主要用于組織 PKCS7 中所描述的數(shù)字簽名和數(shù)字信封。 ? PKCS3：定義 DiffieHellman 密鑰交換協(xié)議。 ? PKCS5：描述一種利用從口令派生出來的安全密鑰加密字符串的方法。使用 MD2 或 MD5 從口令中派生密鑰，并采用DESCBC 模式加密。主要用于加密從一個計算機傳送到另一個計算機的私人密鑰，不能用于加密消息。 ? PKCS6：描述了公鑰證書的標(biāo)準(zhǔn)語法，主要描述 證書的擴展格式。 ? PKCS7：定義一種通用的消息語法，包括數(shù)字簽名和加密等用于增強的加密機制， PKCS7 與 PEM 兼容，所以不需其他密碼操作，就可以將加密的消息轉(zhuǎn)換成 PEM 消息。 ? PKCS8：描述私有密鑰信息格式，該信息包括公開密鑰算法的私有密鑰以及可選的屬性集等。 ? PKCS9：定義一些用于 PKCS6 證書擴展、 PKCS7 數(shù)字簽名Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 45 和 PKCS8 私鑰加密信息的屬性類型。 ? PKCS10：描述證書請求語法。 ? PKCS11：稱為 Cyptoki，定義了一套獨立于技術(shù)的程序設(shè)計接口，用于智能卡和 PCMCIA 卡之類的加密設(shè)備。 ? PKCS12：描述個人信息交換語法標(biāo)準(zhǔn)。描述了將用戶公鑰、私鑰、證書和其他相關(guān)信息打包的語法。 ? PKCS13：橢圓曲線密碼體制標(biāo)準(zhǔn)。 ? PKCS14：偽隨機數(shù)生成標(biāo)準(zhǔn)。 ? PKCS15：密碼令牌信息格式標(biāo)準(zhǔn)。 另外， PKCS2 和 PKCS4 已經(jīng)合并到 PKCS1 之中。 PKIX 是由 IETF 組織中的 PKI 工作小組制定的系列國際標(biāo)準(zhǔn)。此類標(biāo)準(zhǔn)主要定義基于 和 PKCS 的 PKI 模型框架。 PKIX 中定義的四個主要模型為用戶、認(rèn)證中心 CA、注冊中心 RA 和證書存取庫。 目前世界上已經(jīng)出現(xiàn)了許多依賴于 PKI 的安全標(biāo)準(zhǔn)，即 PKI 的應(yīng)用標(biāo)準(zhǔn)，如安全套接層協(xié)議 SSL、傳輸層安全協(xié)議 TLS、安全的多用途互連網(wǎng)郵件擴展協(xié)議 S/MIME 和 IP 安全協(xié)議 IPSEC 等。 ? S/MIME是一個用于發(fā)送安全報文的 IETF標(biāo)準(zhǔn)。它采用了 PKI數(shù)字簽名技術(shù)并支持消息和附件的加密，無須收發(fā)雙方共享相同密鑰。 S/MIME 委員會采用 PKI 技術(shù)標(biāo)準(zhǔn)來實現(xiàn) S/MIME，并適當(dāng)擴展了 PKI 的功能。目前該標(biāo)準(zhǔn)包括密碼報文語法、報文規(guī)范、證書處理以及證書申請語法等方面的內(nèi)容。 Cdma2020 網(wǎng)絡(luò)提供的安全機制研究報告 46 ? SSL/TLS 是互連網(wǎng)中訪問 WEB 服 務(wù)器最重要的安全協(xié)議。當(dāng)然，他們也可以應(yīng)用于基于客戶機 /服務(wù)器模型的非 WEB 類型的應(yīng)用系統(tǒng)。 SSL/TLS 都利用 PKI 的數(shù)字證書來認(rèn)證客戶和服務(wù)器的身份。 ? IPSEC 是 IETF 制定的 IP 層加密協(xié)議， PKI 技術(shù)為其提供了加密和認(rèn)證過程的密鑰管理功能。 IPSEC 主要用于開發(fā)新一代的 VPN。 另外，隨著 PKI 的進一步發(fā)展，新的標(biāo)準(zhǔn)也在不斷的增加和更新。 關(guān)于應(yīng)用層安全機制的詳細(xì)內(nèi)容參見《中國聯(lián)通 移動交易類安全研究報告》。 6. BCMC 業(yè)務(wù)的安全機制 所謂 BCMC（ BroadcastMulticast）業(yè)務(wù)就是向 被授權(quán)的用戶提供廣播或組播服務(wù)的一種業(yè)務(wù)形式。由內(nèi)容源（ CS）通過無線系統(tǒng)向 BCMCS 用戶提供相應(yīng)的內(nèi)容。該內(nèi)容可以是 IP 多媒體消息例如音視頻數(shù)據(jù)或多媒體廣播消息等。而內(nèi)容源可以是服務(wù)網(wǎng)絡(luò)的一部分也可以是獨立的實體。如果所提供的內(nèi)容是免費內(nèi)容，則可以向網(wǎng)絡(luò)中的所有用戶提供。但如果對內(nèi)容的接收方有一定