移動互聯(lián)網(wǎng)絡(luò)安全技術(shù)之分析與展望

于杰 廈門大學(xué)嘉庚學(xué)院信息科學(xué)與技術(shù)學(xué)院

1 研究背景

1.1 移動網(wǎng)絡(luò)的發(fā)展史以及未來展望

在手持便攜終端迅速發(fā)展的同時，針對各種設(shè)備的安全威脅也接踵而來。根據(jù)相關(guān)統(tǒng)計數(shù)據(jù)顯示，在2017年1 月到7月安卓手機病毒有 1410%的增幅。因此，移動終端已成為黑客的新攻擊目標(biāo)，其安全問題不容忽視。操作系統(tǒng)安全漏洞、移動互聯(lián)網(wǎng)絡(luò)的安全風(fēng)險、手機病毒等都是人們不得不面對的風(fēng)險。至于政府及企業(yè)級用戶，他們對無線網(wǎng)絡(luò)的安全性、保密性也將面臨著嚴(yán)峻的挑戰(zhàn)。截止目前，通信技術(shù)在經(jīng)歷多年的發(fā)展后已經(jīng)到了第四代。下面對這四代技術(shù)做一個簡單的介紹。

（1）第一代通信技術(shù)主要為模擬化蜂窩數(shù)據(jù)的通信技術(shù)系統(tǒng)，這一系統(tǒng)在設(shè)計過程中沒有采取必要的安全防護措失，信號塔將其所需的電子序列號（ESN）和網(wǎng)絡(luò)分配的移動臺識別號（MIN）通過明文傳輸方式傳遞到整個網(wǎng)絡(luò)，若二者相互適配，則能夠有效實現(xiàn)終端用戶的接入。這一技術(shù)導(dǎo)致的結(jié)果是大量的數(shù)碼克隆手機出現(xiàn)，讓用戶和通信運營商受到嚴(yán)重的安全威脅。

（2）第二代蜂窩移動通信技術(shù)（2G）主要為依照時分多址（TDMA）的GSM系統(tǒng)及依照碼分多址（CDMA）的CDMA系統(tǒng)。這兩種系統(tǒng)防護策略上有諸多不同，但總的來說都靠私鑰密碼實現(xiàn)，并且采用了共享秘密數(shù)據(jù)（我們常說的私鑰）作為安全防護條例，實現(xiàn)了用戶在使用網(wǎng)絡(luò)過程中的身份認(rèn)證和數(shù)據(jù)傳輸過程中的信息保護。

（3）第三代移動通信技術(shù)（3G）在 2G 已形成的安全技術(shù)基礎(chǔ)上做出了較大改進，在很好地繼承 2G 技術(shù)在信息安全方面成果的同時，開發(fā)出了針對 3G 技術(shù)的新功能，如安全保護措施以及加密服務(wù)。

1.2 研究意義

移動通信網(wǎng)絡(luò)在當(dāng)今社會有著廣泛的應(yīng)用，已經(jīng)逐步成為我們?nèi)粘Ｉ町?dāng)中不可或缺的組成部分。從安全性方面來考慮，它直接影響用戶、通信商、服務(wù)提供商等多方的利益，甚至?xí)φ麄€社會的經(jīng)濟秩序產(chǎn)生一定影響。2G網(wǎng)絡(luò)經(jīng)驗告訴我們，即使移動通信網(wǎng)絡(luò)已經(jīng)實現(xiàn)商業(yè)化運作很久，但依然存在許多安全缺陷。對于我國而言，4G 網(wǎng)絡(luò)是一個全新的系統(tǒng)，需要應(yīng)對日新月異被開發(fā)出來的大量的數(shù)據(jù)業(yè)務(wù)應(yīng)用，這對移動通信網(wǎng)絡(luò)的數(shù)據(jù)安全提出了更高的要求。通信技術(shù)的安全關(guān)乎到一個國家的信息安全，而國家信息安全是國家安全的重要組成部分。所以研究移動通信網(wǎng)絡(luò)安全策略不僅僅具有商業(yè)意義，而且具有重大的社會意義。不同的網(wǎng)絡(luò)形式帶來不同的網(wǎng)絡(luò)安全問題，同樣也會導(dǎo)致不同的網(wǎng)絡(luò)攻擊方式的產(chǎn)生，需要采取不同的安全策略。

1.3 研究方法

本文研究的內(nèi)容需要綜合運籌學(xué)、管理學(xué)等多領(lǐng)域的知識和研究方法，主要采用了以下方法 ：

（1）文獻研究法。本文運用文獻研究法，借鑒國內(nèi)外關(guān)于移動網(wǎng)絡(luò)的相關(guān)理論，對移動網(wǎng)絡(luò)領(lǐng)域的技術(shù)背景進行分析，從而剖析了移動網(wǎng)絡(luò)安全問題產(chǎn)生的原因及現(xiàn)狀。

（2）定量與定性分析法。本文通過定量與定性分析法，從國外和國內(nèi)兩個角度探討移動網(wǎng)絡(luò)的前景、發(fā)展現(xiàn)狀，進而分析移動網(wǎng)絡(luò)存在的安全問題，通過對問題的分析提出能夠解決移動網(wǎng)絡(luò)安全問題的策略及相關(guān)技術(shù)。

（3）比較分析方法。本文在研究移動網(wǎng)絡(luò)存在的安全問題時，運用比較分析的方法分析比對現(xiàn)有的移動網(wǎng)絡(luò)安全技術(shù)方案，得出各技術(shù)方案的特點、優(yōu)勢和不足。本文在分析移動網(wǎng)絡(luò)領(lǐng)域的技術(shù)概念內(nèi)容及特點優(yōu)勢的基礎(chǔ)之上，分析總結(jié)移動網(wǎng)絡(luò)中的安全隱患，提出了應(yīng)對移動網(wǎng)絡(luò)安全問題的解決策略及相關(guān)技術(shù)，將各個技術(shù)方案進行對比，提出了基于可信計算的移動網(wǎng)絡(luò)安全體系。

1.4 研究進展

英國安格利亞魯斯金大學(xué)的研究團隊提出了一種應(yīng)用于 3G 網(wǎng)絡(luò)的對稱／非對稱認(rèn)證協(xié)議的混合方法。針對當(dāng)前3G 移動系統(tǒng)認(rèn)證方案中存在的不足，如移動終端身份泄露和更新臨時身份的高開銷，提出了新的安全認(rèn)證機制。

2 移動網(wǎng)絡(luò)安全隱患分析

2.1 無線網(wǎng)絡(luò)的開放性對信息安全的威脅就目前我們所使用的移動網(wǎng)絡(luò)中出現(xiàn)的安全隱患，究其根源是現(xiàn)今的網(wǎng)絡(luò)開放性帶來的影響。利用無線網(wǎng)絡(luò)傳輸，通過信令、協(xié)議認(rèn)證和私鑰交換算法等技術(shù)手段，攻擊者可以截獲并拆開數(shù)據(jù)包，分析數(shù)據(jù)包后拿到真實信息，再進行偽裝傳給第三者。攻擊者也可以通過物理方法截取物理通話，甚至通過遠程刪除用戶數(shù)據(jù)等行為，達到阻斷用戶業(yè)務(wù)進程的目的。如果入侵者能夠破解用戶在網(wǎng)絡(luò)認(rèn)證過程中所使用的目的加密算法，還可以對手機 SIM 卡進行非法復(fù)制。

2.2 核心網(wǎng)絡(luò)的IP化給信息安全帶來巨大挑戰(zhàn)

目前移動通信中大量使用的 VoIP 語音服務(wù)，從安全層面來說，尚未達到通信級的服務(wù)水平，對通話來源的跟蹤與控制問題也一直沒有得到很好的解決。以 VoIP 為代表的網(wǎng)絡(luò)開放性應(yīng)用在實現(xiàn)時，由于用戶采用互動的形式使用這些應(yīng)用，通信會以多種渠道或方式與網(wǎng)絡(luò)中心和通信數(shù)據(jù)庫進行頻繁的網(wǎng)絡(luò)接入，這樣會導(dǎo)致傳統(tǒng) IP 網(wǎng)絡(luò)面臨的諸多安全威脅移植到移動通信網(wǎng)絡(luò)中來，如針對相關(guān)業(yè)務(wù)系統(tǒng)的 CC 攻擊以及更強大的 Synflood 攻擊等。TCP/IP 協(xié)議技術(shù)的成熟，使攻擊者可以對網(wǎng)絡(luò)通信進行監(jiān)聽并獲取數(shù)據(jù)包，進而進行偽造、轉(zhuǎn)發(fā)，達到獲取機密信息的目的。我國骨干網(wǎng)絡(luò)上的 IP 路由交換設(shè)備大量使用國外系統(tǒng)設(shè)備，這些設(shè)備若存在 Bug 或后門，想徹底解決安全問題并不容易。

2.3 業(yè)務(wù)種類的豐富導(dǎo)致泄密渠道的增加

移動網(wǎng)絡(luò)逐步邁進 3G/4G 時代，3G/4G 的高帶寬和高速率給數(shù)據(jù)傳輸帶來了極大的便利，基于 3G/4G 網(wǎng)絡(luò)的應(yīng)用程序數(shù)量也正以一種不可思議的增長速度高速攀升，大量的移動網(wǎng)絡(luò)終端應(yīng)用被不斷開發(fā)出來，這也使得網(wǎng)絡(luò)業(yè)務(wù)種類大大增加。這些應(yīng)用如微信、短信、語音、彩信等，通過多種形式在網(wǎng)絡(luò)中進行高速的信息傳遞。一旦在這些過程當(dāng)中發(fā)生信息泄露，用戶的重要信息很有可能通過不同的渠道在短時間內(nèi)進行傳播，進而造成巨大影響和損失。

2.4 定位服務(wù)的廣泛應(yīng)用帶來個人信息泄露的隱患

移動通信技術(shù)在發(fā)展 過程當(dāng)中為了能夠?qū)崿F(xiàn)多種移動性管理功能，如業(yè)務(wù)切換、位置定位跟新等，需要利用用戶終端獲取用戶的實時位置。用戶定位已經(jīng)逐漸成為3G/4G 手機應(yīng)用經(jīng)常要獲取的信息，這一定位在精準(zhǔn)性方面能夠達到 2 米以內(nèi)。然而也恰恰是這種定位服務(wù)給信息的傳輸安全帶來了相當(dāng)大的隱患。對于攻擊者來說，通過不正當(dāng)?shù)氖侄潍@取使用 3G/4G 手機的用戶的個人隱私信息后，就可對用戶進行實時追蹤。這會對個人隱私甚至人身安全帶來威脅，也可能對國家安全造成威脅。

2.5 手機智能化過程中受到攻擊的可能性增加

目前大部分的移動終端均為 3G/4G 手機，常用的操作系統(tǒng)大致分為 iOS 系統(tǒng)和安卓系統(tǒng)。由于系統(tǒng)開放了API接口，用戶大多可隨意安裝第三方軟件，這就給惡意軟件的開發(fā)者以可乘之機。這些惡意軟件，有些能發(fā)送有惡意鏈接的短信，有些能下載存在木馬病毒的軟件，有些能控制智能終端設(shè)備刪除資料，有些能非法上傳敏感信息，甚至有些能直接遙控智能終端設(shè)備實現(xiàn)拍照、打電話等惡意行為。由于這些惡意程序隱蔽性強，移動用戶很難及時發(fā)現(xiàn)，在對個人用戶造成很大危害的同時，也會給 3G/4G 業(yè)務(wù)網(wǎng)絡(luò)安全運營帶來巨大威脅。

3 移動網(wǎng)絡(luò)安全問題解決策略及相關(guān)技術(shù)

針對移動網(wǎng)絡(luò)安全上出現(xiàn)的問題及原因展開深入分析，進一步分析針對這些問題的現(xiàn)有的安全解決方案和相關(guān)技術(shù)，在研究了相關(guān)成功經(jīng)驗之后，我們提出一些行之有效的辦法。

3.1 對當(dāng)前移動終端提出更嚴(yán)格的安全要求

在今后的移動網(wǎng)絡(luò)發(fā)展過程中，要對當(dāng)前移動終端網(wǎng)絡(luò)提出更嚴(yán)格的安全要求，應(yīng)該基于 PKI，采用數(shù)字認(rèn)證對終端設(shè)備進行有效管理。通過移動終端上傳的相關(guān)數(shù)據(jù)需要進行簽名加密。利用 PKI 這一密鑰認(rèn)證機制，防范數(shù)據(jù)在傳輸過程中被攻擊者分析篡改。還需要在網(wǎng)絡(luò)層部署安全防護設(shè)備，對流量進行牽引，在流量確認(rèn)沒問題之后再回注到用戶終端，通過流量分析及時發(fā)現(xiàn)攻擊行為并有效處置。

3.2 對終端進行集中管理在部署終端管理時，可通過廠家自帶的管理平臺機制以及 OTA 技術(shù)進行集中管理，每個終端根據(jù)職能不同設(shè)置不同的權(quán)限，可限制其更新、病毒庫升級等功能，最終實現(xiàn)遠程故障診斷。通過在網(wǎng)絡(luò)內(nèi)部部屬相應(yīng)的管理服務(wù)器和策略服務(wù)器來管理企業(yè)的所有移動終端設(shè)備，移動終端設(shè)備通過離線或在線安裝移動代理程序，通過 3G/4G 或

WiFi 連接到策略服務(wù)器，策略服務(wù)器通過互聯(lián)網(wǎng)對移動終端設(shè)備進行相關(guān)策略的指定下發(fā)。

3.3 對無形財產(chǎn)加強保密

家庭用戶與企業(yè)用戶有著不同的安全需求，對于家庭用戶而言，主要保證所需業(yè)務(wù)的持續(xù)性、穩(wěn)定性等。而對于企業(yè)用戶而言，在滿足個人用戶的需求之外，還必須保證公司無形資產(chǎn)的安全，因此防止因員工疏忽導(dǎo)致核心機密外泄成為企業(yè)用戶對移動安全的重要需求。一個企業(yè)的網(wǎng)絡(luò)架構(gòu)無非就是終端、網(wǎng)絡(luò)、應(yīng)用三層結(jié)構(gòu)，在企業(yè)內(nèi)部可將終端直接接入公司內(nèi)部網(wǎng)絡(luò)，公司以外的網(wǎng)絡(luò)可使用可信的端到端 VPN 服務(wù)。就業(yè)務(wù)應(yīng)用來說，提供通用的PKI，利用密鑰服務(wù)器加密重要信息來保證企業(yè)用戶的安全需求。統(tǒng)一的安全策略及應(yīng)用管理能夠增進工作效率，通過統(tǒng)一的策略下發(fā)可對企業(yè)用戶的移動設(shè)備進行實時的安全防護，同時通過應(yīng)用程序的管理和推送，可有效控制員工對應(yīng)用程序的使用，規(guī)避重要信息泄露風(fēng)險。

3.4 建立健全移動網(wǎng)絡(luò)安全體系

移動網(wǎng)絡(luò)攻擊事件大部分都是由于移動終端被攻擊所引起的。移動終端承擔(dān)著創(chuàng)建和存放各種數(shù)據(jù)的重要功能，要想確保整個移動網(wǎng)絡(luò)系統(tǒng)的安全得到有效保障，就必須對移動系統(tǒng)中的各種終端操進行必要的授權(quán)和認(rèn)證，這也是基于我國相關(guān)信息安全法規(guī)策略所要求的。而要建立覆蓋移動終端的可信環(huán)境，就要通過提供信任檢查和制度體系維護移動網(wǎng)絡(luò)的可信環(huán)境，構(gòu)建安全的服務(wù)系統(tǒng)實現(xiàn)對包括終端在內(nèi)的移動網(wǎng)絡(luò)的實時掃描，進而建立可信計算環(huán)境，確保移動網(wǎng)絡(luò)系統(tǒng)安全。

4 結(jié)束語

近年來，尤其是在智能手機日益普及的今天，由于手機在操作上或防護上的使用不當(dāng)而造成的泄密事件時有發(fā)生，移動網(wǎng)絡(luò)的安全問題成為人們所共同關(guān)注的重點問題。但無論問題多么嚴(yán)重，都不能掩蓋移動網(wǎng)絡(luò)通信所具有的優(yōu)勢，移動網(wǎng)絡(luò)通信無疑為未來通信業(yè)的發(fā)展指明了方向。3G/4G 技術(shù)的興起，無論是對個人用戶的日常應(yīng)用還是對提高企業(yè)生產(chǎn)效率都發(fā)揮了十分重要的作用。3G 網(wǎng)絡(luò)從建設(shè)到實施已經(jīng)形成了一套完整的體系并在商用過程中得到一個良好的反饋。4G 時代的各項規(guī)范、標(biāo)準(zhǔn)也在逐漸成熟，在建成移動網(wǎng)絡(luò)之初就需要全面考慮信息安全的影響，保證在用戶端、傳輸端、應(yīng)用端形成統(tǒng)一的安全控制體系，全方位提高 3G/4G 移動通信網(wǎng)絡(luò)以及未來新一代網(wǎng)絡(luò)的安全防護能力。