无线通信本身的特点是，既容易让合法用户接入，也容易被潜在的非法用户窃取，因此，安全问题总是同移动通信网络密切相关。

    针对无线通信存在的安全问题，3G系统进行了如下优化：

    1. 实现了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击。

    2. 提供了接入链路信令数据的完整性保护。

    3. 密钥长度增加为128 bit，改进了算法。

    4. 3GPP接入链路数据加密延伸至无线接入控制器（RNC）。
 5. 3G的安全机制还具有可拓展性，为将来引入新业务提供安全保护措施。

    6. 3G能向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别。

    7. 在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面，3G的安全性能远远优于2G。

    但是3G的这些安全机制仅仅局限于无线部分，针对基于3G接入的无线企业网而言，无线部分的安全是远远不够的，需要保证数据在整个传输过程中的安全性，即端到端的安全性。

    3G路由器接入安全部署探讨

    随着3G数据通信应用的发展，业界专业的数据通信厂家推出了3G安全路由器，能够很好的解决3G网络数据安全传输问题。下面以3G安全路由器在金融离行ATM应用为例做一个分析。

图4  3G接入

    如上图所示，金融离行ATM网点使用3G 路由器无线接入3G无线网络，通过运营商3G无线基站及IP核心网连接金融一级或二级网汇聚路由器，实现了离行ATM与金融一级网或二级网的业务互访。

    根据应用模式，3G接入安全部署基于以下几点考虑：

    接入认证安全

    要求在进行3G网络登录时，提供基于用户名、密码、IMSI（international mobile subscriber identity, 国际移动用户识别码）的多重身份认证绑定功能，保证接入用户的唯一性，防止非法用户利用3G网络接入用户专用网络。
 端到端的私有性

    为了保证用户业务的私密性，必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道，以保证网点业务在运营商网络传输过程中的私有性。

    端到端的安全加密

    为了进一步保证网点业务数据在运营商3G无线网络以及IP核心网传输过程中的安全，防止黑客利用其他非法手段截取金融、政府等行业敏感数据，要求安全解决方案必须提供网点3G路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业，这种加密安全更需要国密办加密算法的支持，以保障国家信息安全的高度机密性。

图5  3G接入安全部署

    3G路由器安全接入解决方案

 图6  3G安全接入解决方案

    如上图所示，网点的3G安全接入部署方案，分别通过专有APN＋绑定接入认证、L2TP私有隧道、IPSEC安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则，具体部署方案如下：
专有APN+绑定接入认证

    在进行网点的3G无线接入部署时，需要先向运营商申请分配的专网APN（Access Point Name，类似行业专用的3G无线局域网，保证网点接入3G网络后，只能访问行业专用网络，保证无法与其他网络进行通信）。网点采用3G路由器接入，运营商会将网点用户的IMSI信息（IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3G路由器发起无线连接时，只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络，防止非法SIM卡用户拨入用户3G专网。

    此外，可进一步通过3G路由器设置SIM卡的PIN码保护功能，只有知道SIM卡的PIN密码才能触发3G拨号，防止非法用户获取到用户SIM卡后进行的非法操作，保证了SIM卡的使用安全。