移動(dòng)網(wǎng)絡(luò)安全研究現(xiàn)狀概述

王翔明 劉文豪 張?jiān)佘?/p>

摘 要：移動(dòng)通信與移動(dòng)互聯(lián)網(wǎng)正在以前所未有的速度迅猛發(fā)展，通過移動(dòng)網(wǎng)絡(luò)人們可以高速地獲取各類豐富多彩的網(wǎng)絡(luò)服務(wù)，移動(dòng)網(wǎng)絡(luò)己經(jīng)滲透到了人們生產(chǎn)生活的各個(gè)方面。移動(dòng)網(wǎng)絡(luò)的開放性與無線傳輸?shù)奶?、移?dòng)互聯(lián)網(wǎng)繼承的傳統(tǒng)互聯(lián)網(wǎng)的脆弱性、移動(dòng)網(wǎng)絡(luò)與其它無線網(wǎng)絡(luò)異構(gòu)融點(diǎn)合導(dǎo)致網(wǎng)絡(luò)體系結(jié)構(gòu)的復(fù)雜化以及移動(dòng)網(wǎng)絡(luò)的全I(xiàn)P化都使得移動(dòng)網(wǎng)絡(luò)面臨著越來越多的各種類型的惡意攻擊的挑戰(zhàn)。

關(guān)鍵詞：移動(dòng)網(wǎng)絡(luò)；安全；信息

移動(dòng)網(wǎng)絡(luò)發(fā)展

隨著移動(dòng)與無線通信技術(shù)以及移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，新一代的移動(dòng)通信技術(shù)已經(jīng)開始致力于實(shí)現(xiàn)各種無線網(wǎng)絡(luò)如3G、4G、WLAN、WiMax等的互聯(lián)互通、跨域協(xié)同、異構(gòu)融合以建立一個(gè)幵放、靈活、可擴(kuò)展的全EP化網(wǎng)絡(luò)平臺，進(jìn)而為用戶提供無所不在的、高速率、低成本、優(yōu)質(zhì)QoS的網(wǎng)絡(luò)服務(wù)。然而，移動(dòng)網(wǎng)絡(luò)的幵放性與無線傳輸?shù)奶攸c(diǎn)、移動(dòng)互聯(lián)網(wǎng)繼承的傳統(tǒng)互聯(lián)網(wǎng)的脆弱性、網(wǎng)絡(luò)融合導(dǎo)致網(wǎng)絡(luò)體系結(jié)構(gòu)的復(fù)雜化以及網(wǎng)絡(luò)的全I(xiàn)P化都使得移動(dòng)網(wǎng)絡(luò)面臨著越來越多的各種類型的惡意攻擊的挑戰(zhàn)。DDoS攻擊、偽冒地址惡意阻斷上下文攻擊、病毒、木馬、垃圾郵件和短信、跟蹤定位、竊聽等安全事件層出不窮，都在不斷威脅著整個(gè)移動(dòng)網(wǎng)絡(luò)的安全[1]。

同時(shí)，新一代的移動(dòng)通信是以網(wǎng)絡(luò)應(yīng)用服務(wù)為核心的，以智能手機(jī)為代表的移動(dòng)終端作為用戶的體驗(yàn)平臺，其自身的安全隱患也給整個(gè)移動(dòng)網(wǎng)絡(luò)帶來了極大影響。各類惡意移動(dòng)代碼，如病毒、木馬等已經(jīng)對移動(dòng)終端的安全構(gòu)成了重大威脅，移動(dòng)終端的內(nèi)存和芯片處理能力不斷增強(qiáng)給了惡意代碼更多的生存空間，開放的操作系統(tǒng)和應(yīng)用編程接口極大地方便了惡意代碼的開發(fā)和入侵，而移動(dòng)終端用戶數(shù)量的日趨增加則為惡意代碼的廣泛傳播創(chuàng)造了良好環(huán)境。根據(jù)《2013-2014中國互聯(lián)網(wǎng)安全研究報(bào)告〉> 顯示，單是2013年被病毒感染的安卓手機(jī)數(shù)量就超過了270萬部，不斷出現(xiàn)的各類移動(dòng)病毒不僅給移動(dòng)用戶造成了大量損失，也使國家信息安全面臨嚴(yán)重威脅。

移動(dòng)通信與移動(dòng)互聯(lián)網(wǎng)正在以前所未有的速度迅猛發(fā)展，據(jù)國際電信聯(lián)盟ITU數(shù)據(jù)顯示，2013年全球移動(dòng)互聯(lián)網(wǎng)連接數(shù)達(dá)到了68億次而中國移動(dòng)用戶數(shù)量2013年初就已達(dá)SflL8億，移動(dòng)互聯(lián)網(wǎng)用戶則約有8億。通過移動(dòng)網(wǎng)絡(luò)人們高速地獲取各類網(wǎng)絡(luò)服務(wù)，移動(dòng)網(wǎng)絡(luò)已經(jīng)滲透到了人們生產(chǎn)生活的各個(gè)領(lǐng)域。確保移動(dòng)兩絡(luò)安全，研宄新型移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)不僅事關(guān)移動(dòng)阿絡(luò)用戶的個(gè)人隱私與財(cái)產(chǎn)安全，更是對國家信息安全、社會穩(wěn)定與經(jīng)濟(jì)發(fā)展起著舉足輕重的作用。移動(dòng)網(wǎng)絡(luò)安全防護(hù)作為面向國家重大戰(zhàn)略需求的基礎(chǔ)研究內(nèi)容，己被列入《國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要（2006-2020年）》之“新一代寬帶無線移動(dòng)通信網(wǎng)”》國家973計(jì)劃項(xiàng)目《面向服務(wù)的未來互聯(lián)網(wǎng)體系結(jié)構(gòu)與機(jī)制研究》以及中日韓三方前瞻計(jì)劃項(xiàng)目《下一代互聯(lián)網(wǎng)安全與隱私關(guān)鍵性技術(shù)的研究》等也都將移動(dòng)網(wǎng)絡(luò)安全防護(hù)作為了主要研究課題之一。

移動(dòng)網(wǎng)絡(luò)安全研究現(xiàn)狀

當(dāng)前，針對移動(dòng)網(wǎng)絡(luò)安全問題開展的研宄大致可分為兩方面一是基于安全體系與機(jī)制的研究，主要包括實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)安全保護(hù)功能的各種具體安全技術(shù)與措施；二是基于移動(dòng)終端安全的研究，認(rèn)為終端是一切安全問題的源頭，通過對移動(dòng)終端施以特殊保護(hù)從而保證終端安全進(jìn)而實(shí)現(xiàn)整個(gè)移動(dòng)網(wǎng)絡(luò)的安全，這主要集中于基于可信計(jì)算的安全終端設(shè)計(jì)以及移動(dòng)病毒防控策略研宄等。

隨著移動(dòng)網(wǎng)絡(luò)自身的不斷演進(jìn)，如2G GSM系統(tǒng)，3G的TD-SCDMA、WCDMA，一直到現(xiàn)在的4G LTE移動(dòng)通信系統(tǒng)，以及移動(dòng)網(wǎng)絡(luò)與WLAN、WiMax等其它無線網(wǎng)絡(luò)的異構(gòu)融合都需要移動(dòng)網(wǎng)絡(luò)的安全體系與機(jī)制不斷的發(fā)展與完善。當(dāng)前移動(dòng)網(wǎng)絡(luò)主要采用的安全機(jī)制包括[2]：

（1）身份認(rèn)證機(jī)制

身份認(rèn)證機(jī)制，即認(rèn)證與密朗協(xié)商協(xié)議（authentication and key agreementprotocol， AKA），是保護(hù)移動(dòng)網(wǎng)絡(luò)安全的核心安全機(jī)制，主要用于實(shí)現(xiàn)用戶與接入網(wǎng)絡(luò)的雙向身份認(rèn)證并對兩者之后通信過程中所使用加密算法與完整性保護(hù)算法的密銅進(jìn)行協(xié)商。針對移動(dòng)終端接入網(wǎng)絡(luò)環(huán)境的不同，存在多種不同類型的AKA協(xié)議，如3GPP AKA、用戶漫游情形中的AKA協(xié)議、3GPP-WLAN-WiMax異構(gòu)網(wǎng)絡(luò)中的AKA協(xié)議、以及移動(dòng)終端在不同服務(wù)器環(huán)境中的AKA協(xié)議等。

（2）完整性保護(hù)機(jī)制

移動(dòng)網(wǎng)絡(luò)的完整性保護(hù)機(jī)制主要用于保護(hù)終端與基站之間傳輸消息免受偶然或惡意的非授權(quán)篡改，比如插入、刪除、修改、置亂、偽造等。TD-SCDMA與LIE均采用分組算法對終端與基站之間傳輸?shù)南⑦M(jìn)行完整性保護(hù)，終端與基站通過驗(yàn)證附加在傳輸消息后的消息認(rèn)證碼判斷消息是否被篡改以及消息源的合法性。

（3）空口加密機(jī)制

空口加密機(jī)制通過對移動(dòng)終端與基站間傳輸?shù)臄?shù)據(jù)與控制信息進(jìn)行加密，實(shí)現(xiàn)兩者之間的保密傳輸以保證空口安全。由于移動(dòng)終端自身計(jì)算能力與電量供應(yīng)能力有限，空口加密機(jī)制一般采用對稱密碼算法。GSM、TD-SCDMA以及LTE系統(tǒng)均采用序列密碼算法作為空口加密算法，而加密算法使用的密鑰則來自AKA協(xié)議。

（4）用戶身份保護(hù)機(jī)制

移動(dòng)網(wǎng)絡(luò)通過使用臨時(shí)身份識別碼技術(shù)防止非法個(gè)人或團(tuán)體通過監(jiān)聽無線信道上的信令交換而獲取移動(dòng)用戶的真實(shí)身份識別碼或?qū)σ苿?dòng)用戶進(jìn)行跟蹤定位。一般情況下，無線信道上發(fā)送的用戶身份標(biāo)識均為其臨時(shí)身份識別碼，用戶只有在開機(jī)或訪問網(wǎng)絡(luò)寄存器中存儲的臨時(shí)身份標(biāo)識丟失時(shí)才會重新發(fā)送其真實(shí)身份標(biāo)識。同時(shí)，臨時(shí)身份識別碼會不斷進(jìn)行更新，更新頻率越快，越能有效保護(hù)用戶身份。

（5）網(wǎng)絡(luò)信令安全交換機(jī)制

信令安全交換機(jī)制主要用于保護(hù)移動(dòng)網(wǎng)絡(luò)中不同網(wǎng)絡(luò)單元間交換信令的機(jī)密性與完整性。以LTE為例，LTE使用MAPSec機(jī)制保護(hù)事務(wù)處理能力應(yīng)用部分 （TCAP）中所有的七號信令，使用IPSecESP機(jī)制實(shí)現(xiàn)服務(wù)網(wǎng)絡(luò)與分組數(shù)據(jù)網(wǎng)關(guān)接口以及分組數(shù)據(jù)網(wǎng)關(guān)與外部數(shù)據(jù)網(wǎng)接口的通用數(shù)據(jù)傳輸平臺（GTP）信令安全，同時(shí)分別使用IPSec的險(xiǎn)道模式與傳輸模式保護(hù)不同安全域間與安全域內(nèi)的信令安全。

（6）移動(dòng)終端安全接入機(jī)制

移動(dòng)網(wǎng)絡(luò)通過使用PIN碼機(jī)制防止全球用戶識別卡（USIM）的非授權(quán)使用，利用USIM機(jī)制限制終端的網(wǎng)絡(luò)接入范圍等，同時(shí)應(yīng)用安全傳輸層協(xié)議（TLS）、IPSec機(jī)制等確保數(shù)據(jù)在移動(dòng)終端與智能卡之間的安全傳輸。

（7）安全服務(wù)對用戶的可見性與可配置性

安全服務(wù)對用戶的可見性和可配置性是指用戶可以獲知一個(gè)安全服務(wù)的運(yùn)行狀態(tài)，以及業(yè)務(wù)的應(yīng)用和設(shè)置是否依賴于該安全服務(wù)。

移動(dòng)終端是移動(dòng)網(wǎng)絡(luò)中數(shù)據(jù)創(chuàng)建、處理和存儲的源頭，也是大多數(shù)安全事件的發(fā)起端。若移動(dòng)終端在接入網(wǎng)絡(luò)前經(jīng)過認(rèn)證和授權(quán)，且其任意操作都符合規(guī)定好的安全策略，那么就可有效保護(hù)整個(gè)移動(dòng)網(wǎng)絡(luò)系統(tǒng)的安全。安全移動(dòng)終端的研宄己經(jīng)引起了人們的廣泛重視，關(guān)于安全移動(dòng)終端的研宄主要集中于基于可信計(jì)算的移動(dòng)終端設(shè)計(jì)和針對移動(dòng)病毒的傳播建模與防控策略研究。

參考文獻(xiàn)

[1] 胡愛群，李濤，薛明富.移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù).中興通訊技術(shù)，17（1），2011：21-26.

[2] 謝進(jìn)柳.3GPP安全架構(gòu)演進(jìn)探討.保密科學(xué)技術(shù)，2012（07）：24-29.