论文部分内容阅读
【摘 要】随着我国移动互联网进入快速增长时期,移动互联网的安全问题已经成为影响其发展的重要因素之一。目前在接入安全保障上主要采用双向认证鉴权、在无线空口采用加强型加密机制以及针对WiFi接入用AES算法替代RC4,在承载网上主要部署异常流量监控和清洗技术,以及采用网络溯源技术等来解决安全问题。
【关键词】移动互联;网络安全;应用安全
引言
近年来,我国乃至全球的移动互联网进入快速增长期。移动互联网实际上是移动网络的延伸。它可在任何时间和任何地点,使联网设备获得对电子邮件、即时消息传送、万维网乃至语音通信的无线访问。随着国内移动运营商各自3G网络的大规模建设,2009年年底宽带移动互联网已覆盖全国500个以上城市。截至2009年9月,我国手机上网网民已经达到1.92亿,较2008年增长62.7%。移动互联网相关的增值服务,作为现代服务业的一项重要内容,在推动经济发展方面有重要的意义。
1.移动互联网概述
移动互联网是移动网络与互联网融合的产物,并且随着两者融合的扩大和深入,能够为用户提供更具移动特性的、更深入到人们生产生活的网络与服务体系。移动互联网以手机、个人数字助理(PDA)、便携式计算机、专用移动互联网终端等作为终端,以移动通信网络(包括2G、3G、4G等)或无线局域网(WiFi)、无线城域网(WiMAX)作为接入手段,直接或通过无线应用协议(WAP)访问互联网并使用互联网业务。
移动互联网安全威胁存在于各个层面,包括终端安全威胁、网络安全威胁和业务安全威胁。智能终端的出现带来了潜在的威胁,如信息非法篡改和非法访问,通过操作系统修改终端信息,利用病毒和恶意代码进行系统破坏。数据通过无线信道在空中传输,容易被截获或非法篡改。非法的终端可能以假冒的身份进入无线通信网络,进行各种破坏活动;合法身份的终端在进入网络后,也可能越权访问各种互联网资源。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥和不良信息的传播等。
在业务应用方面,移动互联网通过来自移动通信网络和互联网的网络能力融合、数据融合和应用融合,将出现众多的创新应用,如:移动Mashup业务、移动Widget 业务、移动位置类业务等。固定互联网的业务复制是目前移动互联网业务发展的特点,而融合“移动”特征的业务创新则是移动互联网业务发展的方向。
2.移动互联网发展中的主要安全问题
2.1 移动互联网网络安全
首先,从移动通信角度看,与互联网的融合完全打破了其相对平衡的网络安全环境,大大削弱了通信网原有的安全特性。原有的移动通信网由于网络相对封闭,信息传输和控制管理平面分离,网络行为可溯源,终端的类型单一且非智能,用户鉴权也很严格,使得其安全性相对较高。而IP化后的移动通信网作为移动互联网的一部分,这些安全性优势仅剩下了严格的用户鉴权和管理。面对来自互联网的各种安全威胁,其安全防护能力明显降低。
其次,从现有互联网角度看,融合后的网络增加了无线空口接入,同时将大量移动电信设备,例如WAP网关、IMS设备等引入了IP承载网,从而使互联网产生了一些新的安全威胁。例如通过破解空口接入协议非法访问网络,对空口传递信息进行监听和盗取,对无线资源和设备的服务滥用攻击等。另一方面,移动互联网中IP化的电信设备、信令和协议,大多较少经受安全攻击测试,存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软硬件漏洞,一个恶意构造的数据包就可以很容易地引起设备宕机,导致业务瘫痪。实际上以上网络安全隐患,已经引起了业界广泛关注。在移动通信技术领域,3G以及未来LTE技术研究和组网设部署中,安全保护机制已有了比较全面的考虑,3G网络的无线空口接入安全保障机制相比2.5G提高了很多,如实现了双向认证的鉴权等。另一方面,针对Wi- Fi无线网络标准中的有线等效保密协议(WEP)加密很容易被破解的安全漏洞,WLAN的标准化组织IEEE 使用安全机制更完善的802.11i 标准,用AES 算法替代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。然而,仅有以上针对认证和空口传输安全的技术标准改进并不足以完全应对移动互联网面对的安全问题。针对以上安全问题,可采用端到端的加密方式,在应用平台与移动终端之间的网络连接中一直采用AES 256 或3DES等加密算法,保以无线方式传输信息的保密性和完整性。
2.2 典型移动业务应用的安全
移动互联网的发展带动了大批具有移动特色的新型融合性移动应用的繁荣,例如移动电子商务、定位业务,以及飞信、QQ等即时或短信业务。这些应用和移动通信传统业务(话音、彩信、短信等)充分融合,业务环节和参与设备相对增加很多。同时由于移动业务带有明显的个性化特征,且拥有如用户位置、通信录、交易密码等用户隐私信息,因此这类业务应用一般都具有很强的信息安全敏感度。正是由于以上特征,再加上移动互联网潜在的巨大用户群,移动业务应用将面临的安全威胁将会具有更新的攻击目的、更多样化的攻击方式和更大的攻击规模。以典型移动业务移动电子商务应用为例,除了存在如钓鱼、连接中断导致交易失败、用户交易欺诈等安全威胁之外,其还面临一些特殊安全风险,如:短信交互风险:移动支付类业务很多用户关键信息需要通过移动通信业务(特别是短信)传递,而这些信息很可能在空口传递时被窃听盗取。短信业务还存在丢失和重发的可能,如果应用于支付环节时,将会造成交易问题,如多次支付或者支付失效等。隐私泄露或滥用风险:很多移动互联网应用(尤其是支付类商务应用),都会捆绑用户手机号码等隐私信息,这些信息在交易过程中和交易过后被泄露或者滥用的安全风险很大。移动互联网应用平台由于软硬件存在的漏洞,极易受到来自网络方面的攻击。可采用严格的用户鉴权和管理机制,防护非法用户对应用平台系统的侵入和攻击;同时通过设置防火墙对应用平台进行保护。
3.移动互联网网络安全保障思路
3.1 接入的安全保障
移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi- Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。
3.2 加大对安全服务领域的投入
继续加大对移动互联网安全方面的投入,并且从多方面不断提高移动互联网的安全能力,同时加大对移动互联网安全服务领域的投入。在推进移动互联网和全业务运营过程中,电信运营企业需进一步加大网络信息安全建设的投入力度,提升通信信息品质和安全性,提升客户体验。
3.3 对网络内容进行精细化管理
我国对互联网内容方面存在多头管理、相互冲突的情况,国家部委和相关监管部门多头管理,不仅有损法律的权威,也不利于互联网内容监管。因此,在监控机构方面,我国应进一步明确网络管理方面的职责分工,逐步实行网络和内容分开管理,并设立专门的监管部门来对互联网内容进行管理。落实已有标准的实施,例如对于琐碎具体的内容服务技术,可以采取分类规范的方式实施,参见YD/T 1902—2009《消息类业务内容分类技术要求》。同时,对于垃圾短信方面可以落实基于用户设置规则短信过滤系列标准的实施,包括《YDT 1774—2008 基于用户设置规则的消息过滤业务技术要求》、《YDT 1775—2008 基于用户设置规则的短消息过滤系统技术要求》和《YD/T 2035—2009 移动终端垃圾短消息过滤技术要求》。另外,加快相关技术研究和产品开发。
结论
总体来说,移动互联网是一个新生事物,是移动通信技术与互联网技术相结合的产物。因此,移动互联网既继承了二者的优点,同时也继承了二者的缺点,最显著的就是安全问题,其中有来自互联网的病毒、垃圾信息等,也有来自移动网与互联网相结合后的非法定位、移动网身份窃取等。尽管当前移动互联网与传统互联网相比,由于本身带宽和终端技术限制还有较大的差距,安全问题还不是非常显著,但是随着技术的飞速演进,移动互联网安全问题必然越来越严重。可以预期,移动互联网安全将成为未来安全领域的热点问题。
参考文献:
[1]杨剑锋.移动互联网安全威胁探析[J].电信网技术,2009(3).
[2]王永斌.移动互联网安全探析[J].通信世界,2008(47).
【关键词】移动互联;网络安全;应用安全
引言
近年来,我国乃至全球的移动互联网进入快速增长期。移动互联网实际上是移动网络的延伸。它可在任何时间和任何地点,使联网设备获得对电子邮件、即时消息传送、万维网乃至语音通信的无线访问。随着国内移动运营商各自3G网络的大规模建设,2009年年底宽带移动互联网已覆盖全国500个以上城市。截至2009年9月,我国手机上网网民已经达到1.92亿,较2008年增长62.7%。移动互联网相关的增值服务,作为现代服务业的一项重要内容,在推动经济发展方面有重要的意义。
1.移动互联网概述
移动互联网是移动网络与互联网融合的产物,并且随着两者融合的扩大和深入,能够为用户提供更具移动特性的、更深入到人们生产生活的网络与服务体系。移动互联网以手机、个人数字助理(PDA)、便携式计算机、专用移动互联网终端等作为终端,以移动通信网络(包括2G、3G、4G等)或无线局域网(WiFi)、无线城域网(WiMAX)作为接入手段,直接或通过无线应用协议(WAP)访问互联网并使用互联网业务。
移动互联网安全威胁存在于各个层面,包括终端安全威胁、网络安全威胁和业务安全威胁。智能终端的出现带来了潜在的威胁,如信息非法篡改和非法访问,通过操作系统修改终端信息,利用病毒和恶意代码进行系统破坏。数据通过无线信道在空中传输,容易被截获或非法篡改。非法的终端可能以假冒的身份进入无线通信网络,进行各种破坏活动;合法身份的终端在进入网络后,也可能越权访问各种互联网资源。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥和不良信息的传播等。
在业务应用方面,移动互联网通过来自移动通信网络和互联网的网络能力融合、数据融合和应用融合,将出现众多的创新应用,如:移动Mashup业务、移动Widget 业务、移动位置类业务等。固定互联网的业务复制是目前移动互联网业务发展的特点,而融合“移动”特征的业务创新则是移动互联网业务发展的方向。
2.移动互联网发展中的主要安全问题
2.1 移动互联网网络安全
首先,从移动通信角度看,与互联网的融合完全打破了其相对平衡的网络安全环境,大大削弱了通信网原有的安全特性。原有的移动通信网由于网络相对封闭,信息传输和控制管理平面分离,网络行为可溯源,终端的类型单一且非智能,用户鉴权也很严格,使得其安全性相对较高。而IP化后的移动通信网作为移动互联网的一部分,这些安全性优势仅剩下了严格的用户鉴权和管理。面对来自互联网的各种安全威胁,其安全防护能力明显降低。
其次,从现有互联网角度看,融合后的网络增加了无线空口接入,同时将大量移动电信设备,例如WAP网关、IMS设备等引入了IP承载网,从而使互联网产生了一些新的安全威胁。例如通过破解空口接入协议非法访问网络,对空口传递信息进行监听和盗取,对无线资源和设备的服务滥用攻击等。另一方面,移动互联网中IP化的电信设备、信令和协议,大多较少经受安全攻击测试,存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软硬件漏洞,一个恶意构造的数据包就可以很容易地引起设备宕机,导致业务瘫痪。实际上以上网络安全隐患,已经引起了业界广泛关注。在移动通信技术领域,3G以及未来LTE技术研究和组网设部署中,安全保护机制已有了比较全面的考虑,3G网络的无线空口接入安全保障机制相比2.5G提高了很多,如实现了双向认证的鉴权等。另一方面,针对Wi- Fi无线网络标准中的有线等效保密协议(WEP)加密很容易被破解的安全漏洞,WLAN的标准化组织IEEE 使用安全机制更完善的802.11i 标准,用AES 算法替代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。然而,仅有以上针对认证和空口传输安全的技术标准改进并不足以完全应对移动互联网面对的安全问题。针对以上安全问题,可采用端到端的加密方式,在应用平台与移动终端之间的网络连接中一直采用AES 256 或3DES等加密算法,保以无线方式传输信息的保密性和完整性。
2.2 典型移动业务应用的安全
移动互联网的发展带动了大批具有移动特色的新型融合性移动应用的繁荣,例如移动电子商务、定位业务,以及飞信、QQ等即时或短信业务。这些应用和移动通信传统业务(话音、彩信、短信等)充分融合,业务环节和参与设备相对增加很多。同时由于移动业务带有明显的个性化特征,且拥有如用户位置、通信录、交易密码等用户隐私信息,因此这类业务应用一般都具有很强的信息安全敏感度。正是由于以上特征,再加上移动互联网潜在的巨大用户群,移动业务应用将面临的安全威胁将会具有更新的攻击目的、更多样化的攻击方式和更大的攻击规模。以典型移动业务移动电子商务应用为例,除了存在如钓鱼、连接中断导致交易失败、用户交易欺诈等安全威胁之外,其还面临一些特殊安全风险,如:短信交互风险:移动支付类业务很多用户关键信息需要通过移动通信业务(特别是短信)传递,而这些信息很可能在空口传递时被窃听盗取。短信业务还存在丢失和重发的可能,如果应用于支付环节时,将会造成交易问题,如多次支付或者支付失效等。隐私泄露或滥用风险:很多移动互联网应用(尤其是支付类商务应用),都会捆绑用户手机号码等隐私信息,这些信息在交易过程中和交易过后被泄露或者滥用的安全风险很大。移动互联网应用平台由于软硬件存在的漏洞,极易受到来自网络方面的攻击。可采用严格的用户鉴权和管理机制,防护非法用户对应用平台系统的侵入和攻击;同时通过设置防火墙对应用平台进行保护。
3.移动互联网网络安全保障思路
3.1 接入的安全保障
移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi- Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。
3.2 加大对安全服务领域的投入
继续加大对移动互联网安全方面的投入,并且从多方面不断提高移动互联网的安全能力,同时加大对移动互联网安全服务领域的投入。在推进移动互联网和全业务运营过程中,电信运营企业需进一步加大网络信息安全建设的投入力度,提升通信信息品质和安全性,提升客户体验。
3.3 对网络内容进行精细化管理
我国对互联网内容方面存在多头管理、相互冲突的情况,国家部委和相关监管部门多头管理,不仅有损法律的权威,也不利于互联网内容监管。因此,在监控机构方面,我国应进一步明确网络管理方面的职责分工,逐步实行网络和内容分开管理,并设立专门的监管部门来对互联网内容进行管理。落实已有标准的实施,例如对于琐碎具体的内容服务技术,可以采取分类规范的方式实施,参见YD/T 1902—2009《消息类业务内容分类技术要求》。同时,对于垃圾短信方面可以落实基于用户设置规则短信过滤系列标准的实施,包括《YDT 1774—2008 基于用户设置规则的消息过滤业务技术要求》、《YDT 1775—2008 基于用户设置规则的短消息过滤系统技术要求》和《YD/T 2035—2009 移动终端垃圾短消息过滤技术要求》。另外,加快相关技术研究和产品开发。
结论
总体来说,移动互联网是一个新生事物,是移动通信技术与互联网技术相结合的产物。因此,移动互联网既继承了二者的优点,同时也继承了二者的缺点,最显著的就是安全问题,其中有来自互联网的病毒、垃圾信息等,也有来自移动网与互联网相结合后的非法定位、移动网身份窃取等。尽管当前移动互联网与传统互联网相比,由于本身带宽和终端技术限制还有较大的差距,安全问题还不是非常显著,但是随着技术的飞速演进,移动互联网安全问题必然越来越严重。可以预期,移动互联网安全将成为未来安全领域的热点问题。
参考文献:
[1]杨剑锋.移动互联网安全威胁探析[J].电信网技术,2009(3).
[2]王永斌.移动互联网安全探析[J].通信世界,2008(47).