移动互联网的概念是相对传统互联网而言,APP服务器虽然可以在随时随地,并且可以在移动中接入互联网并应用业务。移动互联网的迅猛发展对政治、经济、文化发展的影响力逐步扩大,同时也对掩护国家安全、稳固社会秩序、掩护国民权利带来新的寻衅。
随着移动互联网环境中移动终端和业务平台的逐步开放,受 TCP/IP协议族的软弱性、终端操作系统的安全漏洞、攻击技巧的普及等因素影响,移动互联网下的安全管理形势将更加复杂。移动互联网上的安全问题逐渐浮现出来,网络上涌现了大批诸如 GTP over Billing攻击、DDoSDistributed Denial of Service,散布式拒绝服务)攻击、DHCP( Dynamic Host Configu-
ration Protocol,动态主机配置协议)地址耗尽攻击、伪冒地址恶意阻断高低文攻击、“沉默咒骂”拒绝服务攻击、垃圾信息群发、隐私信息窃取、手机病毒等在内的要挟移动互联网安全的事件。
移动通信网络的安全现状
移动互联网继承了传统互联网技巧以及移动通信网技巧的软弱性,面临来自互联网和正在IP化的移动网的双重安全风险风险。移动互联网网络结构如图1所示。
首先,从移动通信角度看,与互联网的融合完整打破了其相对平衡的网络安全环境,大大削弱了通信网原有的安全特征1。原有的移动通信网由于网络相对封闭、信息传输和把持管理平面分别、网络行动可溯源、终端的类型单一且非智能、用户鉴权严格,使得其安全性相对较高。而IP化后的移动通信网作为移动互联网的一部分,这些安全性优势仅剩下了严格的用户鉴权和
管理。面对来自互联网的各种安全风险,其安全防护能力明显降低。
其次,从现有互联网角度看,融合后的网络增长了无线空口接入,并将大批电信设备如WAP网关、IMS( IP Multimedia Subsystem,IP多媒体子系统)设备等引入IP承载网,从而使互联网产生了一些新的安全风险。其中,网络攻击、失窃密码等问题尤为突出。例如,通过破解空口接入协议非法访问网络、对空口传递信息的监听和盗取、对无线资源和设备的服务滥用攻击等。另外,移动互联网中IP化的电信设备、信令和协议,大多较少经受安全攻击测试,存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软/硬件漏洞,一个恶意结构的数据分组就可以很容易引起设备宕机,导致业务瘫痪。与传统互联网不同,移动互联网因为IPv4地址有限而引入了网络地址转换( Network Address Translation,NAT)技巧。NAT技巧有效解决了地址资源紧缺问题,但其损坏了互联网端到端透明的系统架构,同时由于目前部分移动上网日志留存信息的缺失,使侦察部门只能追溯到某一对应多个私网用户的公网IP地址,而无法准确溯源,给不法分子供给了可乘之机。
移动互联网的网络是移动互联网的基础,移动互联网网络重要分两个部分:接入网和IP承载网/互联网。
接入网采用移动通信网时涉及BTS、BSC、RNC、移动交换中心( Mobile Switching Center,MSC)、媒体网关(MGW)、服务GPRS支撑节点( Serving GPRS SupportingNode,SGSN)、网关GPRS支撑节点( GatewayGPRS SupportingNode,GGSN)等设备以及相干链路,当采用Wi-Fi时涉及接入设备。
IP承载网/互联网重要涉及路由器、交換机、接入服务器等设备以及相干链路。移动互联网网络安全同样分设备/环境安全、业务利用安全、信息自身安全以及信息内容安全4个层面进行研究。
1、设备/环境安全
移动互联网设备/环境安全重要是指路由器等网络设备自身的安全性、所处环境符合标准请求等。上述设备自身安全重要包含符合工信部设备入网请求中的安全请求,环境安全重要是指上述设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问把持等条件符合必要的标准请求。此外设备/环境安全还包含网络设备的操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力,保障设备可靠稳固运行。移动互联网安全框架如图2所示。
2、业务利用安全
移动互联网网络的业务利用安全重要是指接入服务的安全性,重要采用认证等技巧手段确保合法用户可以正常应用,防止业务被盗用、冒名应用等。在2G的GSM网络中实行单向认证,采用A3/A8实现认证和密钥协商。在3G网络中以3GPP为例,在R99中引入了双向认证、新的鉴权算法:高级加密标准( Advanced En-cryption Standard,ASE),将加密算法后移至RNC,引入新的密码算法 Kasumi,增长了信令完整性掩护;在R4中增长了 MAPSEC掩护移动利用协议(MAP)信令安全;在R5中利用Ipsec掩护分组域安全,并引入IP多媒体子系统接入安全;在R6中增长了通用鉴权架构。当采用Wi-i接入时,有IEE802.11i以及中国
自主知识产权的无线局域网认证和保密基础设施Wireless LAN Authentication and PrivacyInfrastructure,WAPI)供给接入安全。
3、信息自身安全
移动互联网信息自身安全重要包含信息空口流传、IP承载网/互联网传递时网络所供给必要的隔离和保密以及接入网络所涉及的用户注册信息安全。虽然移动通信网中定义了空口加密算法,针对无线接入网络,移动设备( MobileEquipment,ME)与接入网络( Access NetWork,AN)之间的空中接口是容易遭遇攻击的部分,其面临的攻击重要有:攻击者在空口窃听信令或用户业务,攻击者通过在空口插入、修正、重放或删除信令数据/把持数据、用户业务数据等手段,拒绝合法用户业务或假装成网元攻击网络;攻击者通过物理方法禁止用户业务、把持数据、信令数据在无线接口上传输,攻击者进行DoS( Denial of Service,拒绝服务)攻击。针对有线接入网、传送网及IP承载网。在机密性、完整性和可用性方面的攻击重要有以下几种。
1.针对机密性的攻击方法:嗅探或窃听是种监控网络中Web服务流量的行动。攻击者可在网络层监控传输的消息內容,从而获取敏感的纯文本数据和在SOAP、WSDL等消息中携带的安全配置信息。应用工具,攻击者可截获网络中传输的信息,利用获知的信息发起攻击。窃听行动的产生,对通信中数据机密性造成了极大的风险。流量分析是通过技巧手段获得情报监测模块的传输通信,在交互中,消息流承载大批的信息。
2.针对完整性的攻击方法:修正是指攻击者通过增长、删除、修正和重新安排等方法来转变原有的消息。假装是攻击者可能冒充合法用户来获取未经授权的特权。重放攻击是将以前获取的正确信息再次传输。这些信息可以是全部路由数据分组或仅是附在虚伪信息后的认证信息。后者可以被攻击者用来损坏设计不完善的安全方案,这也是假冒攻击的第一步。通过重放以前截获的数据分组,攻击者可以损坏不同路由域之间的同步。已经过时的路径可以按照新路径的方法涌现,对中继节点的路由表进行损坏。
3.针对可用性的攻击方法:重要以DoS攻击为主,目标是使盘算机或网络无法供给正常的服务。最常见的DoS攻击有盘算机网络带宽攻击和连通性攻击。帯宽攻击是指以极大的通信量冲击网络,使得所有可用网络资源都被耗费殆尽,最后导致合法的用户恳求无法通过。连通性攻击是指用大批的连接恳求冲击盘算机,使得所有可用的操作系统资源都被耗费殆尽,最终盘算机无法再处理合法用户的恳求。
4、信息内容安全
移动互联网有大批业务来自传统互联网,所传递的信息内容属于公众信息而不是端到端通信,因此移动互联网网络的内容安全应当涉及必要的有害信息过滤与检查。
