（计算机应用技术专业论文）面向3g移动通信网络的安全框架研究.pdf

摘要中西科学技术大学博士学位论文 摘要 随着移动遥信技术的快速发晨，移动通售网络已成为信息通信的重要系绕。 在全球范围内，第三代移动通信( 3 g ) 技本曩开始实施著垮逐步取代现有移动 通信技术，其网络开放性大大增强，所能够承载的服务和内容急剧增多，并带给 人们前所未有的使用体验。与此同时，3 g 移动通信网络所面临的信息安全挑战 也显现出来。 3 g 移动通信网络是一个向全i p 网络方向发展的公众使用网络。它所面临的 威胁翻益增加，包括过去仅仅出现在互联网上的藏胁。正困如此，该网络很容易 成为黑客豹攻击民标。为此，镑对3 g 移动通信网的安全策略研究磊成为遥在盾 睫的问题。 本文在已有信息安全评估标准的基础上，提出了一种面向3 g 移动通信网络 的安全框架，可用于指导3 g 网络安全体系的实际建设、安全方法和措施的合理 选择。与此同时，通过深入研究异常检测技术，引入动态评估模块使得相应的安 全框架更加能够适应动态的3 g 网络环境。 其体褥言，本文的主要研究工作有： ( 1 ) 借鉴已有信患安全评佑标准的基础上，深入分析了移动通信逡营网络 的鸯身特点和安全霰求，提出了一种面向3 g 移动遴信运营网终的安全框架。该 安全框架包含静态评估模块、动态评估模块、网络的安全环境评估模块、风险和 成本评估模块、威胁库、可选安全方法库、实施安全方法库等七个模块。七个模 块通过静态评估和动态评估两个流程有机结合在一起。在静态评估流程中，首先 在静态评估模块中对威胁和脆弱性进行分析，然后建立可选安全方法库，最后由 风险和成本评估模块根据分析结果，选择部分合理的实施安全方法。在动态评估 流程中，蕾先出动态评佶模块对网络行为进行实时异常检测翻分析，在分橱过程 中可根据网络的安全环境对动态评估摸块检测闽篷进行调节，如果发现募常行为 则告警。 ( 2 ) 在本文提出的安全框架基础上，针对3 g 移动通信网络，给出了安全框 架实际实施方案的构建过程。根据本文安全框架的静态评估流程，给出了各网络 摘要中匿秘学技术大学博士学位论文 区域中各安全维度的要求，详细分析了网络和终端用户的威胁，并建立了威胁障 和霹选安会方法库，进而使用风险和成本评估模块筛选可选安全方法，给出实施 安全方法。与此同时，根擐本文安全框架豹动态评 鑫流程，分亳野了嬲络的安全环 境对动态评估模块的调节l 乍用，给出了动态评估模块的设计方案。 ( 3 ) 针对安全框架的动态评估模块，提出了基予统计分析的异常检测方法， 可用于未知恶意脚本检测。文中针对互联网上的网络脚本病毒样本进行了测试实 验，实验结果和分析表明该方法对未知和变种脚本瘸毒具有良好的检测效果。该 方法可用于动态评估模块以检测3 g 移动通信嗣络中未知手机脚本病毒。 ( 4 ) 锌对安全框架的动态评估模块，提出了检测器长度可变的簿选择算法。 该算法是一种_ i 霞用的异常检测方法，霹用于3 g 移动通信网络中的异常检测。与 传统非选择算法相比，该算法消除了“漏洞”，优化了检测器数量，提高了检测 性能。仿真实验结果表明检测器长度可变的非选择算法比传统非选择算法具有更 好的性能。 3 g 移动通信网络的安全体系建设是目前3 g 网络建设中亟待解决的问题。 本论文的研究丽向3 g 移动通信网络的安全框架，对我国即将投入建设的3 g 信 息系统具有一定参考意义。 关键字：3 g ，移动通信，信息安全，异常检测，人_ 工免疫，统计分析。 | i a b s 打a c t 中营科学技术大学博士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h e m o b 、i l ec o m m u n i c a t i o nt e c h n o l o g y , t h em o b i l e c o m m u n i c a t i o nn e t w o r kh a sb e e nt oac r u c i a ln e t w o r ks y s t e mt ot h ei n f o r m a t i o n c o m m u n i c a t i o nn o w , t h et h i r dg e n e r a t i o no f t h em o b i l ec o m m u n i c a t i o n ( 3 g ) i san e w t e c h n o l o g yc a r r i e do u tr e c e n t l ya n dw i l lr e p l a c et h ec u r r e n tm o b i l ec o m m u n i c a t i o n n e t w o r ks t e pb ys t e p t h e3 gm o b i l en e t w o r ki sm o r eo p e n ，a n dc a np r o v i d em u c h m o r es e r v i c e sa n dc o n t e n t st h a nb e f o r e i tc a nb r i n gp e o p l et h em o s te x c i t i n g e x p e r i e n c e ，a sn e v e rb e f o r e ，a tt h es a m et i m et h ei n f o r m a t i o ns e c u r i t yc h a l l e n g e s ， w h i c h3 gm o b i l en e t w o r kf a c e s ，a l s oo c c u r t h e3 gm o b i l en e t w o r ki sap u b l i cn e t w o r kw h i c hd e v e l o p st o w a r d sa l l i p t h i s l e a d st om u c hm o r et h r e a t si n c l u d e ss o m eo n l ye x i s ti nt h ei n t e r a c tb e f o r ea n dm a k e s i te a s yt ob ea t t a c k e db yh a c k e r s t h e r e f o r e ，t h er e s e a r c ho nt h ei n f o r m a t i o ns e c u r i t y o f 3 gm o b i l en e t w o r ki sn e c e s s a r ya n ds i g n i f i c a n t b a s eo nt h ed e v e l o p e ds t a t i ce v a l u a t i n gm e t h o d ，t h i sd i s s e r t a t i o nh a sp r o p o s e da n o v e ls e c u r i t yf r a m e w o r ko f3 gm o b i l en e t w o r kw h i c hi s a p p l i c a b l et og u i d et h e c o n s t r u c t i o no ft h es e c u r i t ys y s t e mo f3 gm o b i l en e t w o r k ，a n dt os e l e c tt h es e c u r i t y m e a s u r e s a tt h es a m et i m e ，ad y n a m i ce v a l u a t i n gm o d u l ei s a d o p t e di n t h i s d i s s e r t a t i o nt om a k et h e s e c u r i t y f r a m e w o r ka d a p tt ot h e d y n a m i cs e c u r i t y c i r c u m s t a n c eo f3 gm o b i l en e t w o r k t h em a i nr e s e a r c ho ft h i sd i s s e r t a t i o nc a nb es u m m a r i z e da sf o l l o w s ： ( 1 ) t h ef e a t u r e sa n dr e q u i r e m e n t so ft h em o b i l ec o m m u n i c a t i o no p e r a t i n g n e t w o r kh a v eb e e nd e e p l ya n a l y z e d ，a n da s e c u r i t yf r a m e w o r ko f3 gm o b i l en e t w o r k h a sb e e np r o p o s e d t h e r ea r es e v e nm o d u l e si nt h i sf r a m e w o r k ，i n c l u d i n gt h es t a t i c e v a l u a t i n gm o d u e ，t h ed y n a m i ce v a l u a t i n gm o d u l e ，t h ec i r c u m s t a n c es e c u f i t y e v a l u a t i n gm o d u l e ，t h er i s ka n dc o s ta s s e s s i n gm o d u l e ，t h et h r e a tl i b r a r y , t h eo p t i o n a l s e c u r i t ym e a s u r e sl i b r a r ya n dt h ei m p l e m e n t e ds e c u r i t ym e a s u r e sl i b r a r y t h es e v e n m o d u l e sa r ec o m b i n e dv i at h et w os t r a t e g i e so f t h es t a t i ce v a l u a t i n gs 仃a t e g ya n dt h e 1 1 1 a b s t r a c t 中国科学技术大学博士学位论文 d y n a m i ce v a l u a t i o ns t r a t e g y i nt h es t a t i ce v a l u a t i n gs t r a t e g y , t h et h r e a t sa n d v u l n e r a b i l i t ya r ef o c u s e da n dt h eo p t i o n a ls e c u r i t ym e a s u r e sl i b r a r yi sb u i l t ，t h e r e a s o n a b l ei m p l e m e n t e ds e c u r i t ym e a s u r e sa r es e l e c t e dt h r o u g ht h ea s s e s s i n go f t h e r i s ka n dc o s t i nt h ed y n a m i ce v a l u a t i n gs t r a t e g y ，t h ec o n c e p t i o no ft h ed y n a m i c e v a l u a t i o nb a s e do nt h ea n o m a l yd e t e c t i o na n da n a l y s i si s i n t r o d u c e d ，a n dt h e d e t e c t i o nt h r e s h o l do ft h ed y n a m i ce v a l u a t i o nm o d u l ec a nb ea d j u s t e dt of i n dt h e a n o m a l yb e h a v i o r ( 2 ) t o w a r d st h e3gm o b i l ec o m m u n i c a t i o nn e t w o r k ，t h ea c t u a li m p l e m e n t a t i o n p l a n t oc o n s t r u c tt h e s e c u r i t yf r a m e w o r ki sp r o p o s e db a s e do nt h es e c u r i t y f r a m e w o r kp r o p o s e di nt h i sd i s s e r t a t i o n a c c o r d i n gt ot h es t a t i ce v a l u a t i n gs t r a t e g y , e a c h s e c u r i t y d i m e n s i o nr e q u e s ti nv a r i o u sn e t w o r k st e r r i t o r yi s p r o d u c e d ，t h e n e t w o r ka n dt e r m i n a lu s e r st h r e a t sa r ea n a l y z e di nd e t a i l ，t h et h r e a tl i b r a r ya n dt h e o p t i o n a ls e c u r i t ym e a s u r e sl i b r a r yh a v eb e e nb u i l t ，a n dt h er e a s o n a b l ei m p l e m e n t e d s e c u r i t ym e a s u r e sa r es e l e c t e dt h r o u g ht h ea s s e s s i n go ft h er i s ka n dc o s t a n d a c c o r d i n gt ot h ed y n a m i ce v a l u a t i n gs t r a t e g y , t h ea d ju s t i n ga n dt h ed e s i g n i n gp l a n s o ft h ed y n a m i ce v a l u a t i n gm o d u l ea r ep r o p o s e da c c o r d i n gt ot h en e t w o r ks e c u r i t y c i r c u m s t a n c e f i n a l l y , t h ew h o l ei m p l e m e n t a t i o np l a nt o w a r d st h e3 gm o b i l e c o m m u n i c a t i o nn e t w o r kh a sb e e np r e s e n t e d ( 3 ) t o w a r d st h ed y n a m i ce v a l u a t i n gm o d u l et h es e c u r i t yf r a m e w o r k ，a na n o m a l y d e t e c t i o nm e t h o db a s e do nt h es t a t i s t i c a la n a l y s i si sp r o p o s e di nt h i sd i s s e r t a t i o n w h i c hc a nb ea p p l i e di nt h eu n k n o w nm a l i c i o u ss c r i p td e t e c t i o n t h ee x p e r i m e n t s h a v eb e e n d o n eo nt h ei n t e m e ts c r i p tv i r u s e s ，t h er e s u l t so ft h ee x p e r i m e n tp r o v e dt h a t t h i sa n o m a l yd e t e c t i o nm e t h o di se f f i c i e n tf o rt h ed e t e c t i o no ft h eu n k n o w na n d v a r i o u ss c r i p tv i r u s e s t h i sm e t h o dc a nb eu s e di nt h ed y n a m i ce v a l u a t i n gm o d u l et o d e t e c tt h eu n k n o w nm o b i l es c r i p tv i r u s e si nt h e3gm o b i l ec o m m u n i c a t i o nn e t w o r k ( 4 ) t o w a r d st h ed y n a m i ce v a l u a t i n gm o d u l et h es e c u r i t yf r a m e w o r k ，an e g a t i v e s e l e c t i o na l g o r i t h mw i t hv a r i a b l el e n g t hd e t e c t o ri sp r o p o s e di nt h i sd i s s e r t a t i o n t h i s a l g o r i t h mi sag e n e r a la n o m a l yd e t e c t i o nm e t h o d ，a n di sa p p l i c a l ei nt h ea n o m a l y d e t e c t i o ni n3 gm o b i l ec o m m u n i c a t i o nn e t w o r k c o m p a r e dw i t ht h et r a d i t i o n a l n e g a t i v es e l e c t i o na l g o r i t h m ，t h i sa l g o r i t h mh a se l i m i n a t e dt h e ”h o l e s ”，o p t i m i z e dt h e a b s t r a c t中国科学技术大学博士学位论文 d e t e c t o r s ，a n de n h a n c e dt h ea l g o r i t h m sp e r f o r m a n c e t h er e s u l t so ft h ec o n c r e t e s i m u l a t i o ne x p e r i m e n t ss h o w e dt h a tt h ep e r f o r m a n c eo ft h en e g a t i v es e l e c t i o n a l g o r i t h mw i t hv a r i a b l el e n g t hd e t e c t o ri sb e t t e rt h a nt h et r a d i t i o n a ln e g a t i v es e l e c t i o n a l g o r i t h m 。 n o w , t h es e c u r i t ys y s t e m sb u i l d i n go f3 gm o b i l ec o m m u n i c a t i o nn e t w o r ki sa l l i m p o r t a n tp r o b l e mn e e d t oh es o l v e ds o o n t h er e s e a r c ho ft h i sd i s s e r t a t i o ni sf o c u s e d o nt h es e c u r i t yf r a m e w o r ko f3 gm o b i l ec o m m u n i c a t i o nn e t w o r k ，a n di ti sv e r y s i g n i f i c a n tt ot oc o n s t r u c t t h es e c u r e3 gi n f o r m a t i o ns y s t e mi no u rc o u n t r y k e y w o r d s ：3 g ，m o b i l ec o m m u n i c a t i o n ，i n f o r m a t i o ns e c u r i t y , a n o m a l yd e t e c t i o n ， a r t i f i c i a li m m u n i t y , s t a t i s t i c s - b a s e da n a l y s i s v 目录 中国科学技术大学博士学位论文 插图目录 图1 1 移动通信网络框架 7 。 图l - 23 0 网络的基本系统结构 2 0 】 圈l - 3 电路域核心网系统构成方式【8 】。 图l _ 43 g 分组域设备与g p r s 设备独立设置【8 】 。l o 图1 - 53 g 移动通信系统的无线网络子系统的构成方式1 2 0 】1 2 图l _ 6 某移动通信运营网络总体结构图【7 】。1 3 图l 7o c t a v e 安全评估过程示意图 5 5 1 。1 8 图2 1 基于威胁和异常事件分析的安全框架3 2 图2 - 2 风险评估各要素的关系图 图2 - 3 安全框架中各模块之问的关系。4 3 图3 - l3 g 移动通信网络框架及安全目标4 6 图3 - 2 动态评估模块系统设计 图3 - 3 动态评估模块部署方案图 图4 - 1 异常脚本识别算法描述图 图4 2 关键字统计对比图。 7 8 图4 3 行为危险度柱状图。 图4 4 加、减关键字误报和漏报曲线图 图4 _ 5 阙值改变下的漏报率和误报率曲线 图4 - 6 行为危险度改变试验 图4 7 非选择算法【8 3 h 7 9 8 5 8 7 图4 8 检测器长度可变的非选择算法9 2 图4 9 全空间树。9 2 图4 1 0 检测器优化算法9 3 图4 1 1 自底向上查找的检测器生成算法9 3 图4 - 1 2 漏报率b = o 实验结果 图4 - 1 3 检测器数量变化带来的覆盏区域变化比较图 图4 1 4 随自我递减相同检测器数目覆盖范围变化图 3 目录 中国科学技术大学博士学位论文 表格目录 表2 1 威胁可能性分级袭。3 4 表2 - 2 威胁影响分级表3 4 表3 1 不同网络区域的具体安全目标4 8 表3 - 2 用户系统面临的威胁汇总4 8 表3 - 3 接入系统面临的威胁汇总, 4 9 表3 - 4 承载系统面临的威胁汇总4 9 表3 - 5 业务系统厩临的威胁汇总5 0 表3 - 6 支撑系统面临的威胁汇总5 0 表3 一安全方法汇总表5 5 表3 - 8 威胁权r 的选值表6 6 4 中国科学技术大学学位论文相关声明 本人声明新显交豹学位论文，是本入在导耀指导下进行研究 工俘所取雩导的成果。除已特别拥以标注积致谢的地方终，论文孛 不包含任何他人已经发表或撰写过的研究成果。与我一同工作的 同志对本研究所做的贡献均已在论文中作了明确的说明。 本人授权中豳科学技术大学拥有学位论文的部分使用权， l l p ：学校有权按有关觌定向国家有关部门绒机构送交论文的复印 件穰电子版，允许论文被查阅和诺阕，可以将学位论文缡入鸯关 数据库进行检索，可以采用影印、编印或扫描等复制手段保存、 汇编学位论文。 保密的学位论文在解密后也遵守此规定。 作者签名： 加7 第l 章绪论中国科学技术大学博士学位论文 第1 章绪论 个人通信是人类通信的最高目标，它是用各种可能的网络技术实现任何人 ( w h o e v e r ) ，在任何时间( w h e n e v e r ) 、任何地点( w h e r e v e r ) 与任何人( w h o e v e r ) 进行任何种类( w h a l e v e r ) 的信息交换。移动通信网是实现个人通信的必由之路， 它使得人们无论是在途中，还是在某个场所，都可以轻而易举地联系他人或是被 他人联系到。这种通信是全天候的，不受时间和地点的限制。为了使得这种个人 通信得到实现，现在越来越多的研究者在研究移动通信网的各种通信技术【l ，2 】， 与此同时，数字移动通信网络得到了飞速的发展。 移动通信是指通信的双方或至少一方处于运动中进行信息交换的通信方式。 移动通信的主要应用系统有无绳电话、无线寻呼、卫星通信、陆地蜂窝移动通信 等，其中陆地蜂窝移动通信是当今移动通信发展的主流和热点。陆地蜂窝移动通 信的主要提供者是各大移动网络通信运营商，结合运营商的需求，本文主要分析 和研究面向第三代陆地蜂窝移动通信运营网络及其应用的安全框架。在后文中， 陆地蜂窝移动通信简称为移动通信，其网络简称为移动通信网或移动运营网络。 1 1 移动通信网络概况和发展趋势 在1 9 4 6 年，亚历山大贝尔实验室造出了第一部“移动通讯电话”。这是移 动通信史的开端【2 】。但是，由于体积太大，研究人员只能把它放在实验室的架 子上，慢慢人们就淡忘了。2 0 世纪6 0 年代，a t & t 和m o t o r o l a 两个公司开始研 究移动通信技术，并在1 9 7 3 年由马丁库伯发明了世界上第一部手机，移动通信 开始正式的面向了用户的应用【2 ，3 】。 2 0 世纪7 0 年末，移动通信采用的空中接口为频分多址( f d m 气f r e q u e n c y d i v i s i o nm u l t i p l ea c c e s s ) ，所传输的无线信号为模拟量，也就是第一代移动通信 ( 1 g t h e1 s t g e n e r a t i o n ) 【4 】。典型的第一代移动通信系统是美国的先进移动电话 系统( a m p s ，a d v a n c e dm o b i l ep h o n es y s t e m ) 和欧洲的全入网移动通信系统 ( t a c s ，t o t a la c c e s sc o m m u n i c a t i o ns y s t e m ) 【4 ，5 】。 随着需求和技术的提高，第二代移动通信( 2 gt h e2 r i dg e n e r a t i o n ) 不仅解 第l 章绪论中田科学技术大学博士学位论文 决了i g 的频谱效率低的问题，还在一定程度上提高了保密性和网络容量。2 0 是目前移动通信领域的主要技术，代表性的系统是全球移动通信系统( g s m ， g l o b a ls y s t e mf o rm o b i l ec o m m u n i c a t i o n ) 和窄带码分多址( n c d m a ，n a r r o w b a n d c o d ed i v i s i o nm u l t i p l e a c c e s s ) 两种，并已经在全球范围内取代了l g 的系统2 ， 6 】。 尽管2 g 已经满足了人们对话音业务的基本需求，但是随着i n t e m e t 的发展 和壮大，人们不再仅仅满足于话音业务需要，对数据业务的需求日益增高，而且 数据业务的使用量已经超过了话音业务。因此，在这种背景下，移动数据业务应 运而生。这样，移动通信网就逐渐演变为第2 5 代( 2 5 gt h e2 5 t hg e n e r a t i o n ) 网络，即在不大量改变2 g 网络的基础上，通过添加了一些新的设备和协议来支 撑移动数据业务。在这些新添加的设备和协议中，有些是全部基于分组交换的， 有些是部分基于m 分组交换的。因此，在2 5 g 网络中不仅包含传统的电路域交 换，而且包含i p 分组域交换。目前，比较有代表性的2 5 g 网络包括通用分组无 线业务( g p r s ，g e n e r a lp a c k e tr a d i os e r v i c e ) 和c d m a 2 0 0 0l x 两种。 2 5 g 虽然可以承载数据业务，然而，其传输速率的局限使得很多在i n t e m e t 上使用广泛的数据业务服务质量难以保证，甚至无法承载，因此人们定义了3 g 网络，希望3 g 网络可以解决全球漫游，能够提供高质量的多媒体服务，多用户 管理和安全的通信保密等问题。 第三代移动通信技术的发展分为三个阶段，2 0 0 2 年以前是3 g 发展的初级阶 段，对于3 g 的技术标准初步形成；2 0 0 2 年至2 0 0 5 年是3 g 的发展和壮大阶段， 全球多数运营商开始投入3 g 的建设和使用，最早投入使用的3 g 网络是2 0 0 1 年 底日本的n t td o c o m o 公司，随后美国、欧洲和韩国也开始了大规模的3 g 建 设，在我国由于牌照等问题目前3 g 移动通信网络还没有正式商用，预计将在2 0 0 8 年以前开始商用【4 】。 当前有三种主要的3 g 技术标准体制，分别是欧洲的宽带码分多址( w c d m a , w i d e b a n dc o d ed i v i s i o nm u l t i p l e a c c e s s ) 、北美的c d m a 2 0 0 0 和中国的时分同步 码分多址( t d s c d m a , t i m e - d i v i s i o ns y n c b 1 - o n o u sc o d ed i v i s i o nm u l 邱l e a c c 铭s ) 【2 ，4 ，6 】。w c d m a 是在g s m g p r s 网络的基础上进行演进，兼容 g s m g p r s 网络，核心网基于时分多路技术( t d m ，t i m ed i v i s i o nm u l t i p l e x i n g ) 、 2 第1 章绪论中田科学技术大学博士学位论文 异步传输模式( a t m ，a s y n c h r o n o u st r a n s f e rm o d e ) 和i p ，并向全口的网络结构 演进，在网络结构上分为电路域和分组域，并在3 g p pr e l e a s e 5 以后新增i p 多媒 体子系统( i m s ，i pm e d i as u b s y s t e m ) ，统一移动电话系统( u m t s ，u n i f i e dm o b i l e t e l e p h o ns y s t e m ) 陆地无线接入网( u t r a n ，u m t st e r r e s t r i a lr a d i oa c c e s s n e t w o r k ) ，基于a t m 统一处理语音和分组业务，并向全i p 方向发展，在移动性 管理机制中移动应用部分( m a p ，m o b i l ea p p l i c a t i o np a r t ) 和g p r $ 隧道是核心 技术。我国的t d s c d m a 体制在核心网部分与w c d m a 体制相同，只是在无 线接入技术上有所区别【2 ，6 】。本文面向的是w c d m a 的全网络，并考虑到该网 络向全m 方向发展，因此本文对其分组域进行了着重的讨论。 当前围绕3 g 技术体制进行讨论并发布统一标准的组织主要有第三代合作伙 伴计划组织( 3 g p p , t h e t h i r d g e n e r a t i o n p a r t n e r s h i p p r o j e c t ) 研究w c d m a 体制、 3 g p p 2 研究c d m a 2 0 0 0 体制和中国无线通信标准研究组( c w t s ，c h i n a w i r e l e s s t e l e c o m m u n i c a t i o ns t a n d a r d ) 研究1 d s c d m a 体制。当然，与其相关的一些标 准组织包括国际电信联盟( i t u ，i n t e r n a t i o n a l t e l e c o m m u n i c a t i o n s u n i o n ) 、欧洲电 信标准协会( e t s i ，e u r o p e a nt e l e c o m m u n i e a t i o ns t a n d a r d i z a t i o ni n s t i t u t e ) 、电信 和互联网融合业务及高级网络协议标准组织( s p a n ，t e l e c o m m u n i c a t i o na n d i n t e m e tc o n v e r g e ds e r v i c e sa n dp r o t o c o l sf o r a d v a n c e dn e t w o r k i n g ) 等【4 】 当然，现在还有很多的超前研究者已经将目光投向了第四代移动通信网络 ( 4 gt h e4 t hg e n e r a t i o n ) 的研究。但严格来说，4 g 目前还没有明确的定义，完 全处于研发阶段f 2 ，6 】。因此，本文的主要研究还是面向3 g 移动通信网络，对 于后3 g 和4 g 的研究工作将是本文工作的延续。 下面将以某移动运营商3 1 3 网络框架为例，介绍3 g 网络的基本框架。 1 23 g 移动通信网络框架 1 2 1 总体概况 所谓移动通信运营商就是拥有移动通信网络，并以该网络为平台提供语音、 短信等基本业务，并提供以妒承载为主体的增值业务【7 】。在我国，主要的移动 通信运营商是具有移动通信运营牌照的中国移动、中国联通等。一般而畜，移动 第l 章绪论中国科学技术大学博士学位论文 通信运营商网络总体上分为生产网络系统和i t ( i n f o r m a t i o n t e c h n o l o g y ) 运营支 撑系统两大部分【7 】。如图1 1 所示，生产网络系统负责为用户提供通信及各种增 值服务，主要包括用户单元( 终端和卡) 、接入网、传送网、核心网、业务网等 几部分；i t 运营支撑系统为生产网络的正常运营提供保障，主要包括网管系统、 b o s s 系统和企业信息化系统。 图1 - 1 移动通信网络框架 7 】 3 g 网络目前存在三种主要的体制是w c d m a 、c d m a 2 0 0 0 和 t d s c d m a 1 ，2 ，3 - 6 ，8 】。本文主要针对w c d m a 体制组网的移动通信运营 网的安全框架进行研究。 1 2 23 g 移动通信网络的基本功能需求 对于3 g 通信网络而言，在设计之初就为其定义了如下几个目标【2 ，6 ，8 ， a ) 全球漫游，全球具有公用的频段，用户不再限制于一个地区和一个网络， 而能够在整个系统和全球漫游。 b ) 在设计上具有高度的通用性，具有足够的系统容量和多种用户管理能力 c ) 适应多种环境，采用多层小区结构，网络终端具有多样性。 第1 章绪论中国科学技术大学博士学位论文 d ) 提供高质量的多媒体业务，包括高质量的话音、可变速率的数据、高分 辨率的图像等多种业务。 在这样的设计目标下，一般3 g 通信网络会提供如下的基本功能嘲： 1 位置登记包括：位置更新、位置删除、周期位置更新、国际移动用户识 别码( i m s i ，i n t e r n a t i o n a lm o b i l es u b s c r i b e ri d e n t i t y ) 分离附着和故障后位置寄存 器恢复。 2 小区选择与重选，系统应能支持终端发起的小区重选。 3 ，重定位是指在终端连接状态下，更换核心网与无线网连接接口的过程。 4 公共陆地移动通信网( p n 饿，p u b l i cl a n dm o b i l en e t w o r k ) 的选择与重 选，终端在开机或重新进入覆盖区域后，能发现具备可驻留无线条件的p l m n 小区，并且能尝试发起p l m n 登记请求。 5 3 ( 3 系统内的切换，支持话音业务、分组业务以及并发业务在3 g 系统内 的各类软切和硬切换，包括【6 ，1 0 】： a ) 同一无线网络子系统( r n s ) ，同基站( n o d e b ) 不同扇区之间的更软切 换： ”同一无线网络子系统( r n s ) ，不同基站( n o d e - b ) 之间的软切换； c ) 同一m s cs e r v e r ，不同无线网络子系统( r n s ) 之间、有i i l r 接口的 软切换； d ) 同一m s c s e r v e r ，不同无线网络子系统( r n s ) 之间、没有i 眦接口的 硬切换； e ) 同一3 g 网络，不同m s cs e r v e r 问的硬切换； f ) 频间的硬切换； 6 3 g 系统以外的切换，包括话音业务3 g 到g s m9 0 0 系统间的单向切换。 分组业务在3 g 与g p r s 之间的双向切换。系统应支持分组域与电路域并发业务 由3 g 向2 g 的单向系统间切换。 7 漫游，向用户提供在3 g 网络内区域、全国范围的自动漫游能力，并向 用户提供国际自动漫游的能力；同时支持用户在2 g 和3 g 网络中进行漫游1 1 1 。 8 呼叫和会话处理功能，3 g 电路域网络应提供3 g 移动用户之间、3 g 移 动用户与g s m 用户之间、3 g 移动用户与其他运营者p s t n i s d h 卯l m n 用户 第1 章绪论中国科学技术大学博士学位论文 之间的电路通信业务。支持在呼叫建立过程失败情况下，可视电话业务回落到普 通语音业务。支持免编码操作( t r f o ，t r a m c o d e rf r e eo p e r a t i o n ) 功能，在通话 建立阶段，通过实现编解码的协商提高话音质量。3 g 分组域网络应可提供p d p 上下文的建立、删除、修改等会话管理功能 1 2 1 。 9 支持双音多频( d t m f , d u a lt o n em u l t i p l ef r e q u e n c y ) ，从移动台至网络 方向，当话音通路已建立，移动用户按下键盘，系统应支持d t m f 信号的带内 及带外传送。 l o 用户数据管理功能，包括：插入用户数据、删除用户数据、修改用户数 据、区分2 c 以g 用户等 1 1 3 g 与2 g 互操作功能，3 g 网络与2 g 网络的互操作应能够保持网络的稳 定性。系统应支持在2 g 3 g 同覆盖情况下，3 g 用户全部优先选择接入3 g 网络， 并一直保持在3 g 网络中，而不受到同时覆盖的2 ( 3 网络影响。 1 2 支持3 g 对2 g 用户的接入控制功能i 可设置用户3 g 属性，对非3 g 属 性用户可控制其用户的登陆和授权。 1 3 支持w l a n 无线局域网接入的网络功能，3 g 网络系统应支持w l a n 的 s i m 卡认证方式，即可为w l a n 系统提供用户认证信息，完成w l a n 业务属性 设置以及基于三元组或五元组方式协作实现对用户的认i 正 1 3 - 1 6 。 1 4 支持3 g 系统所定义的服务质量机制，在3 g 系统中，对服务质量( q o s ， q u a l i t yo f s e r v i c e ) 进行了明确