设计具备故障恢复能力的安全的UMTS网络(四)

　　(接上期第71页)

　　简介

　　蜂窝技术使通信行业发生了翻天覆地的变化，尤其是3G技术的问世，提供了使用类似于互联网的高级业务能力。随着互联网日渐渗入移动通信世界，手机成为了通过IP技术，与固网或无线网络工作站进行通信的PC终端。电信网络不再是一个自成一体的以硬件为主导的网络；传统的电信网络已成为整个网络域的一小部分。

　　3G技术的问世为无线通信网络运营商带来了新的商机，同时也将所有的互联网安全风险带入了3G网络。现有的3G网络运营商的反应已经表明，对互联网安全风险的意识已经改变了这些电信网络运营商在制定决策时的看法，它们不再将3G网络安全视作低端的附加安全措施，而是确保网络完整性和业务正常运转的关键组件。在3G网络部署的初步阶段实现安全措施正日益成为整个3G部署方案中相当重要的一个部分。市场调查数据显示，近年来，互联网安全市场的复合年增长率为28％，2003年收入达到85亿美元。

　　本文分四次介绍以下几个方面：

　　第1部分——简介。这部分主要介绍本文所述工作的动机，并概述本文的结构。

　　第2部分——设计一个安全的端到端的3G网络的一般过程。以网络安全行业的一般做法为基础，本部分总结了通过进行良策共享，设计和实现一个安全的3G网络的过程。

　　第3部分——3G网络的安全风险分析。以对典型的3G网络和现有3G网络运营商提供的3G业务发起的伪攻击案例研究为基础，分析潜在风险及其原因。

　　第4部分——端到端的安全要求。以第3部分进行的风险分析为基础，总结出安全设计要求，并以之为基础，设计安全的3G网络架构。

　　第5部分——面向3G端到端网络的安全对策。根据从风险分析和良策共享总结出的安全要求，利用防火墙、VPN、入侵检测系统和防病毒解决方案等在网络边缘实现安全对策，防止外部攻击。同时，将3G网络划分为多个域，以强化网络周边安全，并防止内部攻击。根据风险分析，应实现各种机制以防止对最终用户发起攻击，如隧道、防病毒、防欺骗、加密和鉴权与密钥协议（AKA）等。防止网络欺诈已被视作确保ARPU的重要机制。防止网络欺诈的机制包括3GPP标准AKA、可与3G网络进行实时互动的接口的欺诈管理系统等。