移動網絡安全機制探究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了移動網絡安全機制探究范文,希望能給你帶來靈感和參考,敬請閱讀。
本文作者:楊世杰 單位:浙江工業職業技術學院
引言
近年來,我國乃至全球的移動互聯網進入快速增長期。移動互聯網實際上是移動網絡的延伸。它可在任何時間和任何地點,使聯網設備獲得對電子郵件、即時消息傳送、萬維網乃至語音通信的無線訪問。隨著國內移動運營商各自3G網絡的大規模建設,2009年年底寬帶移動互聯網已覆蓋全國500個以上城市。截至2009年9月,我國手機上網網民已經達到1.92億,較2008年增長62.7%。移動互聯網相關的增值服務,作為現代服務業的一項重要內容,在推動經濟發展方面有重要的意義。
1.移動互聯網概述
移動互聯網是移動網絡與互聯網融合的產物,并且隨著兩者融合的擴大和深入,能夠為用戶提供更具移動特性的、更深入到人們生產生活的網絡與服務體系。移動互聯網以手機、個人數字助理(PDA)、便攜式計算機、專用移動互聯網終端等作為終端,以移動通信網絡(包括2G、3G、4G等)或無線局域網(WiFi)、無線城域網(WiMAX)作為接入手段,直接或通過無線應用協議(WAP)訪問互聯網并使用互聯網業務。
移動互聯網安全威脅存在于各個層面,包括終端安全威脅、網絡安全威脅和業務安全威脅。智能終端的出現帶來了潛在的威脅,如信息非法篡改和非法訪問,通過操作系統修改終端信息,利用病毒和惡意代碼進行系統破壞。數據通過無線信道在空中傳輸,容易被截獲或非法篡改。非法的終端可能以假冒的身份進入無線通信網絡,進行各種破壞活動;合法身份的終端在進入網絡后,也可能越權訪問各種互聯網資源。業務層面的安全威脅包括非法訪問業務、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫和不良信息的傳播等。
在業務應用方面,移動互聯網通過來自移動通信網絡和互聯網的網絡能力融合、數據融合和應用融合,將出現眾多的創新應用,如:移動Mashup業務、移動Widget業務、移動位置類業務等。固定互聯網的業務復制是目前移動互聯網業務發展的特點,而融合“移動”特征的業務創新則是移動互聯網業務發展的方向。
2.移動互聯網發展中的主要安全問題
2.1移動互聯網網絡安全
首先,從移動通信角度看,與互聯網的融合完全打破了其相對平衡的網絡安全環境,大大削弱了通信網原有的安全特性。原有的移動通信網由于網絡相對封閉,信息傳輸和控制管理平面分離,網絡行為可溯源,終端的類型單一且非智能,用戶鑒權也很嚴格,使得其安全性相對較高。而IP化后的移動通信網作為移動互聯網的一部分,這些安全性優勢僅剩下了嚴格的用戶鑒權和管理。面對來自互聯網的各種安全威脅,其安全防護能力明顯降低。其次,從現有互聯網角度看,融合后的網絡增加了無線空口接入,同時將大量移動電信設備,例如WAP網關、IMS設備等引入了IP承載網,從而使互聯網產生了一些新的安全威脅。例如通過破解空口接入協議非法訪問網絡,對空口傳遞信息進行監聽和盜取,對無線資源和設備的服務濫用攻擊等。另一方面,移動互聯網中IP化的電信設備、信令和協議,大多較少經受安全攻擊測試,存在各種可以被利用(如拒絕服務和緩沖區溢出等)的軟硬件漏洞,一個惡意構造的數據包就可以很容易地引起設備宕機,導致業務癱瘓。實際上以上網絡安全隱患,已經引起了業界廣泛關注。在移動通信技術領域,3G以及未來LTE技術研究和組網設部署中,安全保護機制已有了比較全面的考慮,3G網絡的無線空口接入安全保障機制相比2.5G提高了很多,如實現了雙向認證的鑒權等。另一方面,針對Wi-Fi無線網絡標準中的有線等效保密協議(WEP)加密很容易被破解的安全漏洞,WLAN的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。然而,僅有以上針對認證和空口傳輸安全的技術標準改進并不足以完全應對移動互聯網面對的安全問題。針對以上安全問題,可采用端到端的加密方式,在應用平臺與移動終端之間的網絡連接中一直采用AES256或3DES等加密算法,保以無線方式傳輸信息的保密性和完整性。
2.2典型移動業務應用的安全
移動互聯網的發展帶動了大批具有移動特色的新型融合性移動應用的繁榮,例如移動電子商務、定位業務,以及飛信、QQ等即時或短信業務。這些應用和移動通信傳統業務(話音、彩信、短信等)充分融合,業務環節和參與設備相對增加很多。同時由于移動業務帶有明顯的個性化特征,且擁有如用戶位置、通信錄、交易密碼等用戶隱私信息,因此這類業務應用一般都具有很強的信息安全敏感度。正是由于以上特征,再加上移動互聯網潛在的巨大用戶群,移動業務應用將面臨的安全威脅將會具有更新的攻擊目的、更多樣化的攻擊方式和更大的攻擊規模。以典型移動業務移動電子商務應用為例,除了存在如釣魚、連接中斷導致交易失敗、用戶交易欺詐等安全威脅之外,其還面臨一些特殊安全風險,如:短信交互風險:移動支付類業務很多用戶關鍵信息需要通過移動通信業務(特別是短信)傳遞,而這些信息很可能在空口傳遞時被竊聽盜取。
短信業務還存在丟失和重發的可能,如果應用于支付環節時,將會造成交易問題,如多次支付或者支付失效等。隱私泄露或濫用風險:很多移動互聯網應用(尤其是支付類商務應用),都會捆綁用戶手機號碼等隱私信息,這些信息在交易過程中和交易過后被泄露或者濫用的安全風險很大。移動互聯網應用平臺由于軟硬件存在的漏洞,極易受到來自網絡方面的攻擊。可采用嚴格的用戶鑒權和管理機制,防護非法用戶對應用平臺系統的侵入和攻擊;同時通過設置防火墻對應用平臺進行保護。
3.移動互聯網網絡安全保障思路
3.1接入的安全保障
移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全,3G以及未來LTE技術的安全保護機制有比較全面的考慮,3G網絡的無線空口接入采用雙向認證鑒權,無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。
3.2加大對安全服務領域的投入繼續加大對移動互聯網安全方面的投入,并且從多方面不斷提高移動互聯網的安全能力,同時加大對移動互聯網安全服務領域的投入。在推進移動互聯網和全業務運營過程中,電信運營企業需進一步加大網絡信息安全建設的投入力度,提升通信信息品質和安全性,提升客戶體驗。
3.3對網絡內容進行精細化管理我國對互聯網內容方面存在多頭管理、相互沖突的情況,國家部委和相關監管部門多頭管理,不僅有損法律的權威,也不利于互聯網內容監管。因此,在監控機構方面,我國應進一步明確網絡管理方面的職責分工,逐步實行網絡和內容分開管理,并設立專門的監管部門來對互聯網內容進行管理。落實已有標準的實施,例如對于瑣碎具體的內容服務技術,可以采取分類規范的方式實施,參見YD/T1902—2009《消息類業務內容分類技術要求》。同時,對于垃圾短信方面可以落實基于用戶設置規則短信過濾系列標準的實施,包括《YDT1774—2008基于用戶設置規則的消息過濾業務技術要求》、《YDT1775—2008基于用戶設置規則的短消息過濾系統技術要求》和《YD/T2035—2009移動終端垃圾短消息過濾技術要求》。另外,加快相關技術研究和產品開發。
結論
總體來說,移動互聯網是一個新生事物,是移動通信技術與互聯網技術相結合的產物。因此,移動互聯網既繼承了二者的優點,同時也繼承了二者的缺點,最顯著的就是安全問題,其中有來自互聯網的病毒、垃圾信息等,也有來自移動網與互聯網相結合后的非法定位、移動網身份竊取等。盡管當前移動互聯網與傳統互聯網相比,由于本身帶寬和終端技術限制還有較大的差距,安全問題還不是非常顯著,但是隨著技術的飛速演進,移動互聯網安全問題必然越來越嚴重。可以預期,移動互聯網安全將成為未來安全領域的熱點問題。
