【導(dǎo)讀】質(zhì)量提出了更高的要求，這其中網(wǎng)絡(luò)的安全性是一個(gè)至關(guān)重要的問(wèn)題。絡(luò)在各個(gè)發(fā)展階段所提供的安全措施。報(bào)告按照接入網(wǎng)、核心網(wǎng)及應(yīng)用層劃分為。鑒于BCMC業(yè)務(wù)是目前國(guó)內(nèi)外正在研究的熱點(diǎn)業(yè)務(wù)，并且該業(yè)務(wù)在安全方

　　

【正文】 動(dòng) IP 則是通過(guò)移動(dòng)終端和 HA/歸屬 RADIUS 服務(wù)器之間類似 CHAP 協(xié)議的鑒權(quán)過(guò)程（ RFC3012） 來(lái)實(shí)現(xiàn)用戶的身份認(rèn)證。 . 分組數(shù)據(jù)加密 分組數(shù)據(jù)的加密通過(guò)采用 IPSec、 SA 和 IKE 等安全機(jī)制實(shí)現(xiàn)。 由于 IP包本身并不繼承任何安全特性，因此很容易便可偽造出IP包的地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容。所以要求從以下幾個(gè)方面保證收到的 IP數(shù)據(jù)包的安全： ? 來(lái)自原先要求的發(fā)送方（ IP頭內(nèi)的源地址）； ? 包含的是發(fā)送方當(dāng)初放在其中的原始數(shù)據(jù)； ? 原始數(shù)據(jù)在傳輸中途未被其它人看過(guò)。 針對(duì)這些問(wèn)題， IPSec可有效地保護(hù) IP數(shù)據(jù)包的安全。它采取的Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 38 具體保護(hù)形式包括： ? 數(shù)據(jù)起源地驗(yàn)證； ? 無(wú)連接數(shù)據(jù)的完整性驗(yàn)證； ? 數(shù)據(jù)內(nèi)容的機(jī)密性（是否被別人看過(guò)）； ? 抗重播保護(hù)； ? 有限的數(shù)據(jù)流機(jī)密性保證。 IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可用它為 IP及上層協(xié)議（如 UDP和 TCP）提供安全保證。為保障 IP數(shù)據(jù)包的安全， IPSec定義了一個(gè)特殊的方法，它規(guī)定了要保護(hù)什么通信、如何 保護(hù)它以及通信數(shù)據(jù)發(fā)給何人。 IPSec可保障主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)（如路由器或防火墻）之間或主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。由于受 IPSec保護(hù)的 數(shù)據(jù)報(bào)本身不過(guò)是另一種形式的 IP包，所以完全可以嵌套提供安全服務(wù)，同時(shí)在主機(jī)之間提供像端到端這樣的驗(yàn)證，并通過(guò)一個(gè)通道，將那些受 IPSec保護(hù)的數(shù)據(jù)傳送出去。 要想對(duì) IP數(shù)據(jù)包或上層協(xié)議進(jìn)行保護(hù)，方法是使用某種 IPSec協(xié)議：“封裝安全載荷（ ESP）”或者“驗(yàn)證頭（ AH）”。其中， AH可證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。 ESP則更進(jìn)一步，除具有 AH的所有能力之外，還可選擇保障數(shù)據(jù)的機(jī)密性以及為數(shù)據(jù)流提供有限的機(jī)密性保障。 IPSec提供的安全服務(wù)需要用到共享密鑰，以執(zhí)行它所肩負(fù) 的數(shù)據(jù)驗(yàn)證以及（或者）機(jī)密性保證任務(wù)。密鑰可以通過(guò)人工加入也可以通過(guò) IKE（即“ I n t e r n e t 密鑰交換”）協(xié)議動(dòng)態(tài)實(shí)現(xiàn)驗(yàn)證 IPSecCdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 39 參與各方的身份、協(xié)商安全服務(wù)以及生成共享密鑰等功能。 IPSec的結(jié)構(gòu)文檔（或基本架構(gòu)文檔）在 RFC2401中定義。 IPSec協(xié)議既可用來(lái)保護(hù)一個(gè)完整的 IP載荷，亦可用來(lái)保護(hù)某個(gè)IP載荷的上層協(xié)議。 為正確封裝及提取 IPSec數(shù)據(jù)包，有必要采取一套專門的方案，將安全服務(wù)／密鑰與要保護(hù)的通信數(shù)據(jù)聯(lián)系到一起；同時(shí)要將遠(yuǎn)程通信實(shí)體與要交換密鑰的 IPSec數(shù)據(jù)傳輸聯(lián) 系到一起。這樣的構(gòu)建方案稱為“安全聯(lián)盟（ Security Association ， SA）”。 IPSec的 SA是單向進(jìn)行的。也就是說(shuō)，它僅朝一個(gè)方向定義安全服務(wù)。通常， SA是以成對(duì)的形式存在的，每個(gè)朝一個(gè)方向。既可人工創(chuàng)建它，亦可采用動(dòng)態(tài)創(chuàng)建方式。 SA駐留在“安全聯(lián)盟數(shù)據(jù)庫(kù)（ SADB）”內(nèi)。 . 3G 系統(tǒng)核心網(wǎng)的安全機(jī)制 前面已經(jīng)提到， 3GPP2 在空中接口的標(biāo)準(zhǔn)化進(jìn)程已經(jīng)大大提前于核心網(wǎng)。到目前為止，核心網(wǎng)側(cè)（包括核心網(wǎng)電路域和核心網(wǎng)分組域）的安全機(jī)制仍在研究當(dāng)中，尚沒(méi)有成熟的標(biāo)準(zhǔn)。特別在分組域部分仍然沿用著 以前的安全機(jī)制。 5. 應(yīng)用層安全機(jī)制 隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展， 應(yīng)用層的安全越來(lái)越成為信息Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 40 產(chǎn)業(yè)中急需解決的問(wèn)題。以 商務(wù) 為例， 在常規(guī)業(yè)務(wù)中，交易雙方現(xiàn)場(chǎng)交易，可以確認(rèn)購(gòu)買雙方的身份。利用商場(chǎng)開具的發(fā)票和客戶現(xiàn)場(chǎng)支付商品費(fèi)用，無(wú)須擔(dān)心發(fā)生糾紛和無(wú)憑證可依。但通過(guò)網(wǎng)上進(jìn)行電子商務(wù)交易時(shí)，由于交易雙方并不現(xiàn)場(chǎng)交易，因此，無(wú)法確認(rèn)雙方的合法身份，同時(shí)交易信息是交易雙方的商業(yè)秘密，在網(wǎng)上傳輸時(shí)必須保證安全性，防止信息被竊??；雙方的交易非現(xiàn)場(chǎng)交易，一旦發(fā)生糾紛，必須能夠提供仲裁。 因此， 應(yīng)用層的安全 必須從技術(shù)上 實(shí)現(xiàn)以下 幾方面內(nèi)容： ? 身份認(rèn)證 ? 安全傳輸 ? 不可否認(rèn)性 ? 數(shù)據(jù)完整性 公鑰基礎(chǔ)設(shè)施（ Public Key Infrastructure，簡(jiǎn)稱 PKI）是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是電子商務(wù)安全實(shí)施的基本保障。 PKI采用證書進(jìn)行公鑰管理，通過(guò)第三方的可信任機(jī)構(gòu)（認(rèn)證中心，即CA），把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，其中包括用戶名和電子郵件地址等信息，以驗(yàn)證用戶的身份。 PKI 把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。在無(wú)線網(wǎng)絡(luò)應(yīng)用時(shí)通常稱為 WPKI，即無(wú)線公鑰基礎(chǔ)設(shè)施。 . PKI的 組成 PKI 作為一組在分布式計(jì)算系統(tǒng)中利用公鑰技術(shù)和 證書所Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 41 提供的安全服務(wù)，企業(yè)或組織可利用相關(guān)產(chǎn)品建立安全域，并在其中發(fā)布密鑰和證書。在安全域內(nèi)， PKI 管理加密密鑰和證書的發(fā)布，并提供諸如密鑰管理（包括密鑰更新，密鑰恢復(fù)和密鑰委托等）、證書管理（包括證書產(chǎn)生和撤銷等）和策略管理等。 PKI 產(chǎn)品也允許一個(gè)組織通過(guò)證書級(jí)別或直接交叉認(rèn)證等方式來(lái)同其他安全域建立信任關(guān)系。這些服務(wù)和信任關(guān)系不能局限于獨(dú)立的網(wǎng)絡(luò)之內(nèi)，而應(yīng)建立在網(wǎng)絡(luò)之間和 Inter 之上，為電子商務(wù)和網(wǎng)絡(luò)通信提供安全保障 。 PKI 在實(shí)際應(yīng) 用上是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機(jī)制，使用戶在不知道對(duì)方身份或分布地很廣的情況下，以證書為基礎(chǔ)，通過(guò)一系列的信任關(guān)系進(jìn)行通訊和電子商務(wù)交易。 圖 10 所示 為 典型的 PKI 系統(tǒng)，其中包括 PKI 策略、軟硬件系統(tǒng)、證書機(jī)構(gòu) CA、注冊(cè)機(jī)構(gòu) RA、證書發(fā)布系統(tǒng)和 PKI 應(yīng)用等。 圖 10 PKI 的組成 1. PKI 安全策略 ： 建立和 定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。它包Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 42 括一個(gè)組織怎樣處理密鑰和有價(jià)值的信息，根據(jù)風(fēng)險(xiǎn)的級(jí)別定義安全控制的級(jí)別。一般情況下，在 PKI 中有兩種類型的策略：一是證書策略，用于管理證書的使用，比如，可以確認(rèn)某一 CA 是在 Inter 上的公有 CA，還是某一企業(yè)內(nèi)部的私有 CA；另外一個(gè)就是 CPS（ Certificate Practice Statement）。一些由商業(yè)證書發(fā)放機(jī)構(gòu)（ CCA）或者可信的第三方操作的 PKI 系統(tǒng)需要 CPS。這是一個(gè)包含如何在實(shí)踐中增強(qiáng)和支持安全 策略的一些操作過(guò)程的詳細(xì)文檔。它包括 CA是如何建立和運(yùn)作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產(chǎn)生、注冊(cè)的，以及密鑰是如何存儲(chǔ)的，用戶是如何得到它的等等。 2. 證書機(jī)構(gòu) （ CA）： CA 是 PKI 的信任基礎(chǔ)，它管理公鑰的整個(gè)生命周期，其作用包括：發(fā)放證書、規(guī)定證書的有效期和通過(guò)發(fā)布證書廢除列表（ CRL）確保必要時(shí)可以廢除證書。 3. 注冊(cè)機(jī)構(gòu) (RA):RA 提供用戶和 CA 之間的一個(gè)接口，它獲取并認(rèn)證用戶的身份，向 CA 提出證書請(qǐng)求。它主要完成收集用戶信息和確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證中心（即 CA）申 請(qǐng)數(shù)字證書的客戶，可以是個(gè)人，也可以是集團(tuán)或團(tuán)體、某政府機(jī)構(gòu)等。注冊(cè)管理一般由一個(gè)獨(dú)立的注冊(cè)機(jī)構(gòu)（即 RA）來(lái)承擔(dān)。它接受用戶的注冊(cè)申請(qǐng)，審查用戶的申請(qǐng)資格，并決定是否同意 CA 給其簽發(fā)數(shù)字證書。注冊(cè)機(jī)構(gòu)并不給用戶簽發(fā)證書，而只是對(duì)用戶進(jìn)行資格審查。因Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 43 此， RA 可以設(shè)置在直接面對(duì)客戶的業(yè)務(wù)部門，如銀行的營(yíng)業(yè)部、機(jī)構(gòu)認(rèn)識(shí)部門等。當(dāng)然，對(duì)于一個(gè)規(guī)模較小的 PKI 應(yīng)用系統(tǒng)來(lái)說(shuō)，可把注冊(cè)管理的職能由認(rèn)證中心 CA 來(lái)完成，而不設(shè)立獨(dú)立運(yùn)行的 RA。但這并不是取消了 PKI 的注冊(cè)功能，而只是將其作為 CA 的一項(xiàng)功能而已。 PKI 國(guó)際標(biāo)準(zhǔn) 推薦由一個(gè)獨(dú)立的 RA 來(lái)完成注冊(cè)管理的任務(wù)，可以增強(qiáng)應(yīng)用系統(tǒng)的安全。 4. 證書發(fā)布系統(tǒng) ： 負(fù)責(zé)證書的發(fā)放，如可以通過(guò)用戶自己，或是通過(guò)目錄服務(wù)。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)存的，也可以是 PKI 方案中提供的。 5. PKI 應(yīng)用： PKI 的應(yīng)用非常廣泛，包括在 web 服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換（ EDI）、在 Inter上的信用卡交易和虛擬 專用 網(wǎng)（ VPN）等。 . PKI的標(biāo)準(zhǔn) PKI 的標(biāo)準(zhǔn)可分為兩個(gè)部分：一類用于定義 PKI，而另一類用于PKI 的應(yīng)用。 在 PKI 技術(shù)框架中，許多方面都經(jīng)過(guò)嚴(yán)格的定義， 如用戶的注冊(cè)流程、數(shù)字證書的格式、 CRL（證書廢除列表） 的格式、證書的申請(qǐng)格式以及數(shù)字簽名格式等。 國(guó)際電信聯(lián)盟 ITU 協(xié)議，是 PKI 技術(shù)體系中應(yīng)用最為廣泛、Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 44 也是最為基礎(chǔ)的一個(gè)國(guó)際標(biāo)準(zhǔn)。它的主要目的在于定義一個(gè)規(guī)范的數(shù)字證書的格式，以便為基于 協(xié)議的目錄服務(wù)提供一種強(qiáng)認(rèn)證手段。但該標(biāo)準(zhǔn)并非要定義一個(gè)完整的、可互操作的 PKI 認(rèn)證體系。 PKCS 是由美國(guó) RSA 數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn)，其中包括證書申請(qǐng)、證書更新、證書作廢表發(fā)布、擴(kuò)展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封的格式等 方面的一系列相關(guān)協(xié)議。到 1999 年底， PKCS 已經(jīng)公布了以下標(biāo)準(zhǔn)： ? PKCS1：定義 RSA 公開密鑰算法加密和簽名機(jī)制，主要用于組織 PKCS7 中所描述的數(shù)字簽名和數(shù)字信封。 ? PKCS3：定義 DiffieHellman 密鑰交換協(xié)議。 ? PKCS5：描述一種利用從口令派生出來(lái)的安全密鑰加密字符串的方法。使用 MD2 或 MD5 從口令中派生密鑰，并采用DESCBC 模式加密。主要用于加密從一個(gè)計(jì)算機(jī)傳送到另一個(gè)計(jì)算機(jī)的私人密鑰，不能用于加密消息。 ? PKCS6：描述了公鑰證書的標(biāo)準(zhǔn)語(yǔ)法，主要描述 證書的擴(kuò)展格式。 ? PKCS7：定義一種通用的消息語(yǔ)法，包括數(shù)字簽名和加密等用于增強(qiáng)的加密機(jī)制， PKCS7 與 PEM 兼容，所以不需其他密碼操作，就可以將加密的消息轉(zhuǎn)換成 PEM 消息。 ? PKCS8：描述私有密鑰信息格式，該信息包括公開密鑰算法的私有密鑰以及可選的屬性集等。 ? PKCS9：定義一些用于 PKCS6 證書擴(kuò)展、 PKCS7 數(shù)字簽名Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 45 和 PKCS8 私鑰加密信息的屬性類型。 ? PKCS10：描述證書請(qǐng)求語(yǔ)法。 ? PKCS11：稱為 Cyptoki，定義了一套獨(dú)立于技術(shù)的程序設(shè)計(jì)接口，用于智能卡和 PCMCIA 卡之類的加密設(shè)備。 ? PKCS12：描述個(gè)人信息交換語(yǔ)法標(biāo)準(zhǔn)。描述了將用戶公鑰、私鑰、證書和其他相關(guān)信息打包的語(yǔ)法。 ? PKCS13：橢圓曲線密碼體制標(biāo)準(zhǔn)。 ? PKCS14：偽隨機(jī)數(shù)生成標(biāo)準(zhǔn)。 ? PKCS15：密碼令牌信息格式標(biāo)準(zhǔn)。 另外， PKCS2 和 PKCS4 已經(jīng)合并到 PKCS1 之中。 PKIX 是由 IETF 組織中的 PKI 工作小組制定的系列國(guó)際標(biāo)準(zhǔn)。此類標(biāo)準(zhǔn)主要定義基于 和 PKCS 的 PKI 模型框架。 PKIX 中定義的四個(gè)主要模型為用戶、認(rèn)證中心 CA、注冊(cè)中心 RA 和證書存取庫(kù)。 目前世界上已經(jīng)出現(xiàn)了許多依賴于 PKI 的安全標(biāo)準(zhǔn)，即 PKI 的應(yīng)用標(biāo)準(zhǔn)，如安全套接層協(xié)議 SSL、傳輸層安全協(xié)議 TLS、安全的多用途互連網(wǎng)郵件擴(kuò)展協(xié)議 S/MIME 和 IP 安全協(xié)議 IPSEC 等。 ? S/MIME是一個(gè)用于發(fā)送安全報(bào)文的 IETF標(biāo)準(zhǔn)。它采用了 PKI數(shù)字簽名技術(shù)并支持消息和附件的加密，無(wú)須收發(fā)雙方共享相同密鑰。 S/MIME 委員會(huì)采用 PKI 技術(shù)標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn) S/MIME，并適當(dāng)擴(kuò)展了 PKI 的功能。目前該標(biāo)準(zhǔn)包括密碼報(bào)文語(yǔ)法、報(bào)文規(guī)范、證書處理以及證書申請(qǐng)語(yǔ)法等方面的內(nèi)容。 Cdma2020 網(wǎng)絡(luò)提供的安全機(jī)制研究報(bào)告 46 ? SSL/TLS 是互連網(wǎng)中訪問(wèn) WEB 服 務(wù)器最重要的安全協(xié)議。當(dāng)然，他們也可以應(yīng)用于基于客戶機(jī) /服務(wù)器模型的非 WEB 類型的應(yīng)用系統(tǒng)。 SSL/TLS 都利用 PKI 的數(shù)字證書來(lái)認(rèn)證客戶和服務(wù)器的身份。 ? IPSEC 是 IETF 制定的 IP 層加密協(xié)議， PKI 技術(shù)為其提供了加密和認(rèn)證過(guò)程的密鑰管理功能。 IPSEC 主要用于開發(fā)新一代的 VPN。 另外，隨著 PKI 的進(jìn)一步發(fā)展，新的標(biāo)準(zhǔn)也在不斷的增加和更新。 關(guān)于應(yīng)用層安全機(jī)制的詳細(xì)內(nèi)容參見《中國(guó)聯(lián)通 移動(dòng)交易類安全研究報(bào)告》。 6. BCMC 業(yè)務(wù)的安全機(jī)制 所謂 BCMC（ BroadcastMulticast）業(yè)務(wù)就是向 被授權(quán)的用戶提供廣播或組播服務(wù)的一種業(yè)務(wù)形式。由內(nèi)容源（ CS）通過(guò)無(wú)線系統(tǒng)向 BCMCS 用戶提供相應(yīng)的內(nèi)容。該內(nèi)容可以是 IP 多媒體消息例如音視頻數(shù)據(jù)或多媒體廣播消息等。而內(nèi)容源可以是服務(wù)網(wǎng)絡(luò)的一部分也可以是獨(dú)立的實(shí)體。如果所提供的內(nèi)容是免費(fèi)內(nèi)容，則可以向網(wǎng)絡(luò)中的所有用戶提供。但如果對(duì)內(nèi)容的接收方有一定