基于移动互联网的安全机制探索 杨世杰浙江工业职业技术学院 【摘要】随着我国移动互联网进入快速增长时期,移动互联网的安全问题已经成为影响其发展的重要因素之一。目前在接入安全保障上 主要采用双向认证鉴权、在无线空口采用加强型加密机制以及针对WiFi接入用AES算法替代RC4,在承载网上主要部署异常流量监控和清洗 技术,以及采用网络溯源技术等来解决安全问题。 【关键词】移动互联;网络安全;应用安全 引言 联网并使用互联网业务。 入网络后,也可能越权访问各种互 近年来,我国乃至全球的移 移动互联网安全威胁存在于各 联网资源。业务层面的安全威胁包 动互联网进入快速增长期。移动互 个层面,包括终端安全威胁、网络 括非法访问业务、非法访问数据、 联网实际上是移动网络的延伸。它 安全威胁和业务安全威胁。智能终 拒绝服务攻击、垃圾信息的泛滥和 可在任何时间和任何地点,使联网 端的出现带来了潜在的威胁,如信 不良信息的传播等。 设备获得对电子邮件、即时消息传 息非法篡改和非法访问,通过操作 在业务应用方面,移动互联网 送、万维网乃至语音通信的无线访 系统修改终端信息,利用病毒和恶 通过来自移动通信网络和互联网的 问。随着国内移动运营商各自3G网 意代码进行系统破坏。数据通过无 网络能力融合、数据融合和应用融 络的大规模建设,2009年年底宽带 线信道在空中传输,容易被截获或 合,将出现众多的创新应用,如: 移动互联网已覆盖全国500个以上 非法篡改。非法的终端可能以假冒 移动Mashup业务、移动Wi dget业 城市。截至2009年9月,我国手机 的身份进入无线通信网络,进行各 务、移动位置类业务等。固定互联 上网网民已经达到1.92亿,较2008 种破坏活动;合法身份的终端在进 网的业务复制是目前移动互联网业 年增长62.7%。移动互联网相关的 增值服务,作为现代服务业的一项 重要内容,在推动经济发展方面有 重要的意义。 1.移动互联网概述 移动互联网是移动网络与互 联网融合的产物,并且随着两者 融合的扩大和深入,能够为用户 提供更具移动特性的、更深入到人 们生产生活的网络与服务体系。 移动互联网以手机、个人数字助理 (PDA)、便携式计算机、专用移 动互联网终端等作为终端,以移动 通信网络(包括2G、3G、4G等)或 无线局域网(WiFi)、无线城域网 (WiMAX)作为接入手段,直接或 通过无线应用协议(WAP)访问互 闷文 辱・1/2012 —47— 务发展的特点,而融合“移动”特 其次,从现有互联网角度看, 征的业务创新则是移动互联网业务 融合后的网络增加了无线空口接 发展的方向。 入,同时将大量移动电信设备,例 2.移动互联网发展中的主要安 3kHWAP网关、IMS设备等引入了IP承 全问题 载网,从而使互联网产生了一些新 2.1移动互联网网络安全 的安全威胁。例如通过破解空口接 首先,从移动通信角度看, 入协议非法访问网络,对空口传递 与互联网的融合完全打破了其相对 信息进行监听和盗取,对无线资源 平衡的网络安全环境,大大削弱了 和设备的服务滥用攻击等。另一方 通信网原有的安全特性。原有的移 面,移动互联网中IP化的电信设 动通信网由于网络相对封闭,信息 备、信令和协议,大多较少经受安 传输和控制管理平面分离,网络行 全攻击测试,存在各种可以被利用 为可溯源,终端的类型单一且非智 (如拒绝服务和缓冲区溢出等)的 能,用户鉴权也很严格,使得其安 软硬件漏洞,一个恶意构造的数据 全性相对较高。而IP化后的移动通 包就可以很容易地引起设备宕机, 信网作为移动互联网的一部分,这 导致业务瘫痪。实际上以上网络安 些安全性优势仅剩下了严格的用户 全隐患,已经引起了业界广泛关 鉴权和管理。面对来自互联网的各 注。在移动通信技术领域,3G以 种安全威胁,其安全防护能力明显 及未来LTE技术研究和组网设部署 降低。 中,安全保护机制已有了比较全面 一48一 问菽 罨・1,2O12 的考虑,3G网络的无线空口接入安 全保障机制相比2.5G提高了很多, 如实现了双向认证的鉴权等。另一 方面,针对Wi-Fi无线网络标准中 的有线等效保密协议(WEP)加密 很容易被破解的安全漏洞,WLAN的 标准化组织IEEE使用安全机制更 完善的802.11i标准,用AES算法 替代了原来的RC4,提高了加密鲁 棒性,弥补了原有用户认证协议的 安全缺陷。然而,仅有以上针对认 证和空口传输安全的技术标准改进 并不足以完全应对移动互联网面对 的安全问题。针对以上安全问题, 可采用端到端的加密方式,在应用 平台与移动终端之间的网络连接中 一直采用AES 256或3DES等加密算 法,保以无线方式传输信息的保密 性和完整性。 2.2典型移动业务应用的安全 移动互联网的发展带动了大批 具有移动特色的新型融合性移动应 用的繁荣,例如移动电子商务、定 位业务,以及飞信、QQ等即时或短 信业务。这些应用和移动通信传统 业务(话音、彩信、短信等)充分 融合,业务环节和参与设备相对增 加很多。同时由于移动业务带有明 显的个性化特征,且拥有如用户位 置、通信录、交易密码等用户隐私 信息,因此这类业务应用一般都具 有很强的信息安全敏感度。正是由 于以上特征,再加上移动互联网潜 在的巨大用户群,移动业务应用将 面临的安全威胁将会具有更新的攻 击目的、更多样化的攻击方式和更 大的攻击规模。以典型移动业务移 动电子商务应用为例,除了存在如 钓鱼、连接中断导致交易失败、用 户交易欺诈等安全威胁之外,其还 面临一些特殊安全风险,如:短信 3.2加大对安全服务领域的投入 互联网既继承了二者的优点,同时 继续加大对移动互联网安全 也继承了二者的缺点,最显著的就 交互风险:移动支付类业务很多用 方面的投入,并且从多方面不断 是安全问题,其中有来自互联网的 户关键信息需要通过移动通信业务 提高移动互联网的安全能力,同时 病毒、垃圾信息等,也有来自移动 (特别是短信)传递,而这些信息 加大对移动互联网安全服务领域的 网与互联网相结合后的非法定位、 很可能在空口传递时被窃听盗取。 投入。在推进移动互联网和全业务 移动网身份窃取等。尽管当前移动 短信业务还存在丢失和重发的可 运营过程中,电信运营企业需进一 互联网与传统互联网相比,由于本 能,如果应用于支付环节时,将会 步加大网络信息安全建设的投入力 身带宽和终端技术还有较大的 造成交易问题,如多次支付或者支 付失效等。隐私泄露或滥用风险: 很多移动互联网应用(尤其是支付 类商务应用),都会捆绑用户手机 号码等隐私信息,这些信息在交易 过程中和交易过后被泄露或者滥用 的安全风险很大。移动互联网应用 平台由于软硬件存在的漏洞,极易 受到来自网络方面的攻击。可采用 严格的用户鉴权和管理机制,防护 非法用户对应用平台系统的侵入和 攻击;同时通过设置防火墙对应用 平台进行保护。 3.移动互联网网络安全保障思路 3.1接入的安全保障 移动互联网的接入方式可分为 移动通信网络接入和wi—Fi接入两 种。针对移动通信接入网安全,3G 以及未来LTE技术的安全保护机制 有比较全面的考虑,3G网络的无线 空口接入采用双向认证鉴权,无线 空口采用加强型加密机制,增加抵 抗恶意攻击的安全特性等机制,大 大增强了移动互联网的接入安全能 力。针对Wi—Fi接入安全,Wi-Fi 的标准化组织IEEE使用安全机制更 完善的802.11i标准,用AES算法替 代了原来的RC4,提高了加密鲁棒 性,弥补了原有用户认证协议的安 全缺陷。 度,提升通信信息品质和安全性, 提升客户体验。 . 3.3对网络内容进行精细化管理 我国对互联网内容方面存在 多头管理、相互冲突的情况,国家 部委和相关监管部门多头管理,不 仅有损法律的权威,也不利于互联 网内容监管。因此,在监控机构方 面,我国应进一步明确网络管理方 面的职责分工,逐步实行网络和内 容分开管理,并设立专门的监管部 门来对互联网内容进行管理。落实 已有标准的实施,例如对于琐碎具 体的内容服务技术,可以采取分类 规范的方式实施,参见YD/T 1902 —2009《消息类业务内容分类技 术要求》。同时,对于垃圾短信 方面可以落实基于用户设置规则 短信过滤系列标准的实施,包括 ((YDT l774—2008基于用户设置 规则的消息过滤业务技术要求》、 (<YDT 1775—2008基于用户设置 规则的短消息过滤系统技术要求》 和((YD/T 2035--2009移动终端垃 圾短消息过滤技术要求》。另外, 加快相关技术研究和产品开发。 结论 总体来说,移动互联网是一个 新生事物,是移动通信技术与互联 网技术相结合的产物。因此,移动 差距,安全问题还不是非常显著, 但是随着技术的飞速演进,移动互 联网安全问题必然越来越严重。可 以预期,移动互联网安全将成为未 来安全领域的热点问题。 参考文献: [1]杨剑锋.移动互联网安全威胁探析Ⅱ].电信网 技术,2009(3). [2]王永斌.移动互联网安全探析U].通信世 界,2008(47). 闷文 晖・1,2012 —49—
