新浪潮下的移动互联网安全及对策.doc

资源描述

《新浪潮下的移动互联网安全及对策.doc》由会员分享，可在线阅读，更多相关《新浪潮下的移动互联网安全及对策.doc（6页珍藏版）》请在三一办公上搜索。

1、新浪潮下的移动互联网安全及对策 *成城北京邮电大学信通院移动生活与新媒体实验室博士研究生北京邮电大学信通院移动生活与新媒体实验室讲师北京邮电大学信通院移动生活与新媒体实验室副教授张春红裘晓峰摘要移动互联网融合了移动通信可管可控能够随时随地通信的优势以及互联网开放性和丰富业务能力的特点，成为近年来国际信息产业界备受瞩目的热点课题。随着移动互联网中智能终端的广泛应用、网络全 IP 化、业务多样化以及云服务在移动互联网中的推广等趋势，势必会带来新的安全挑战。本文在介绍移动互联网的发展现状和趋势基础上，结合移动互联网安全问题，分析了移动互联网的安全威胁，提出了适合移动互联网的安全建议。关键词

2、移动互联网安全威胁安全策略云服务1移动互联网概念及发展趋势业务能力、对第三方开放、内容共享等优势，也融合了移动通信的随身、随时随地地通信、良好的可运营、可管理等优势。由此不难看出，移动互联网具备两个基本特征：“小巧轻便”及“通讯便捷”，并能够满足用户身份可识别、随时随地、开放、互动和用户更方便的参与。(1) 架构方面，移动互联网意味着终端智能化、网络 IP 化宽带化、业务应用开放化多样化。1.1 什么是移动互联网移动互联网是移动通信和互联网融合的产物，它并不是简单的“无线接入”和“互联网内容服务”叠加。从本质上，移动互联网是吸取移动通信和互联网各自优势建立的新一代网络

3、，既继承了互联网的丰富!网络的、比较便宜的应用，一般会提供用户自助订购的服务，这就对网络统一管理、业务快速自动配置和部署提出了更高的要求。传统的运营商上门服务方式，既昂贵又慢，不符合云计算应用的需要。全网统一管理和业务自动部署将大大降低运营商的服务维护成本，对于降低云计算应用的价格很有帮助。但是，现有的 IP 承载网络尚不能完全做到这一点。可见，在云计算时代，运营商的 IP 承载网络也大有可为之处；这也就是为什么一些著名的运营商和传统的网络设备提供商也积极加入云计算的阵营。结束语3在云计算出现之前，业界通常用“一朵云”来形象地表示网络

4、：因为对于使用者而言，网络是看不见摸不着的，其内部可以相当复杂但却无需被了解。现在，又有了一片云，堪称云上之云。（收稿日期：2012-03-02）* 中芬基于 LivingLab 的智慧设计创新网络平台研发与应用示范资助项目（2010DFA12780）51发展策略TELECOMMUNICATIONS NETWORK TECHNOLOGY No.3 DEVELOPING STRATEGY(2) 技术方面，移动互联网技术可以看作是在互联网上提供移动功能的网络层方案，它可以使移动节点用一个永久的地址与互联网中的任何主机通信，并且在切换子网时不中断正在进行的通信

5、。(3) 应用方面，移动互联网代表着 3G，社交，视频，网络电话，日新月异的移动装置这五大趋势的融合。可以说，移动互联网的出现是多方共同的需求所致。对于用户而言，能够随时随地上网冲浪，并能综合高效使用消息、语音、视频、数据等多媒体业务；对于电信运营商而言，电信业务有限，而互联网业务非常丰富，特别是用户业务创新能力、灵活性等方面，希望引入互联网商业模式；对互联网应用来说，电信有保障的通信能力是对互联网的最大吸引力。移动互联网领域的话语权。随着国家科技重大专项 “新一代宽带无线移动通信网”的开展，移动互联网和物联网、泛在网、

6、云计算等成为企业界、高校及相关研究机构的研究热点。在前不久结束的，由工业和信息化部电信研究院主办的“新一代宽带无线移动通信国际论坛 ” 上，代表们也或多或少地提及移动互联网并对移动互联网的发展和创新进行了广泛讨论，表现出对移动互联网的关注。1.3 移动互联网商业前景目前，移动互联网正逐渐渗透到人们生活、工作的各个领域，其业务应用和智能终端将成为日后消费热点。据最新统计，在移动互联网的各类服务中，“移动社交”、“搜索”、“娱乐”、“购物 / 拍卖”、“教育 / 工作”、 “房地产”、“新闻 / 时事”、“手机支付”、“门户”和“电子邮件”依次是移

7、动互联网用户使用增长率最大的前 10 类服务。其中，移动社交被一致认为是迅速成长起来的一匹“黑马”，几乎获得全球用户的热捧。而手机支付由于其操作便捷简单、随身携带资金的安全性得到提高等特点，也具有美好的前景。另一方面，移动音乐、手机游戏、视频应用、手机支付、位置服务等丰富多彩的移动互联网应用迅猛发展，正在深刻地改变着信息时代的社会生活。在移动互联网中，不仅业务应用丰富多彩，智能手机终端也不再局限于一个手机终端，它是集合具备通话、个人信息管理、电子邮件、基于无线数据通信的浏览器等先进功能，并配有操作系统的手机

8、，也会成为影响日后用户消费的热点。移动互联网发展现状移动互联网作为融合了移动通信和互联网优势的“升级版本”，成为近年来国际信息产业界备受瞩目的新课题。目前，移动互联网的发展速度远快于桌面互联网，且规模大得超乎所有人的想象。摩根士丹利 2010 年出炉的移动互联网研究报告显示，2010 年智能手机的发展超越了全球笔记本电脑加上网本市场，并预计在2012 年超越全球个人电脑市场（笔记本 + 上网本 + 台式机）。可见移动互联网有着可观的市场竞争力。由以上统计数据可以看出，移动互联网经过几年的曲折前行，终于迎来了新的发展高潮，显示出来移动互联网市

9、场爆发之势。中国的移动互联网产业有着良好的软硬件优势，成为移动互联网环境最大的试验田。具体来说，硬件方面，中国的手机制造领域、运营商领域以及手机用户市场等环节在世界上处于领先地位；软件方面，中国既有跟欧美比较类似的成熟市场，也有跟印度、印尼比较类似的农村市场，在中国可以看到全世界各种模式下产生的创新应用和商业模式。来自艾瑞咨询统计的数据显示，2011 年第 3 季度中国移动互联网市场1.22移动互联网面临的安全挑战2.1 移动互联网安全问题移动互联网由于智能终端的多样性，用户的上网模式和使用习惯与固网时代很不相同，使得移动网络的安全跟传统固网安全存在

10、很大的差别，移动互联网的安全问题要远甚于传统的互联网，并成为黑客新的攻击目标。截至 2011 年 10 月，国内累计发现移动互联网恶意程序已达 4500 余种，并呈加速增长趋势。国家互联网应急中心也看到了移动互联网安全问题的严峻，规模达到 108.3 亿，同比增长 154.6% ，环比增长38.9%。 2011 年底，中国移动互联网用户比 2010 年底的 3.03 亿增加近一亿，达到 4.15 亿。反映了中国移动互联网的蓬勃发展。我国政府也看到了这一大好机遇，积极投入资金和人力参与移动互联网等新兴技术的研究，想争取在52图 1 移动互联网安全威胁发

11、展策略电信网技术2012 年 3 月第 3 期2011 年初发布的 2010 年互联网安全报告称，2010年国内感染 “ 毒媒” 手机木马用户逾 200 万，感染 “ 手机骷髅”的用户也超过 80 万。 360 安全中心也于近日发布了2011 年上半年中国手机安全报告，报告显示2011 上半年国内新增手机木马和恶意软件 2559 个，感染手机用户数高达 1324 万。移动互联网的安全问题，不仅影响了移动互联网的推广，也牵涉国家和民族信息安全产业。目前，我国手机用户已经达到 8 亿人，通过智能终端上网的人数也超过结构的模式，承载业务丰富多彩等特点，

12、使移动互联网的安全威胁已不是移动通信和互联网固有问题的简单叠加。图 1 显示了移动互联网面临的几种主要安全威胁。移动互联网的扁平网络、丰富业务和智能终端特点，是其区别于传统移动通信网络和互联网的主要优势。由此导致的安全威胁包括：智能终端安全无法保证、网络的不可靠性、业务的安全威胁和运营支撑安全。3 亿人。如果移动互联网安全没有一个可行的解决方案，随之而来的是短信骚扰、恶意软件、网络诈骗及黄、赌、毒泛滥，将严重威胁到个人隐私，个人财务信息的安全，甚至威胁着社会稳定和国家安全。因此，有必要研究移动互联网

13、安全的整体架构和安全部署，研究移动互联网可能存在的流量攻击、不健康内容等问题，通过安全设计安全部署保证移动互联网安全，通过监控和内容过滤等技术手段保障安全。工信部日前印发的移动互联网恶意程序监测与处置机制）（下文简称机制），从管理层面对移动互联网恶意程序的认定、监测及惩治措施等做出具体规定，机制还进一步明确了移动通信运营企业、安全企业、科研机构等移动互联网领域相关方的责任、义务，以切实保障移动用户利益，维护用户安全。2.2 移动互联网安全威胁分析(1) 智能终端安全无法保证智能

14、终端的广泛应用是移动互联网区别于传统互联网的一大特点，同时也是移动互联网发展过程中非常关键的因素。由于智能终端将保存更多的个人隐私和有价值信息，所以对于智能终端的安全需要重点关注。智能终端具备上网、办公、通信、娱乐等功能，将来可能发展成为用户的资讯中心、办公中心、交易中心、娱乐中心。然而，随着移动终端成为网络边界，并且越来越开放，将很容易受到病毒攻击，出现比传统计算机更严峻的安全问题。智能终端的推广刚刚启动，由于用户安全防范意识薄弱，终端本身操作系统、防病毒软件可能存在安全漏洞，导致用户手机终端受

15、攻击的概率比传统 PC移动互联网作为移动智能终端、移动通信网络、互联网的一种融合性网络，不可避免地继承了传统互联网技术以及移动通信网技术的脆弱性，而云服务的加入也带来了隐私安全等新问题。面临来自“问题多多”的互联网、正在 IP 化的移动网以及存在隐私安全的云服务的三重安全风险威胁。由于终端类型繁多，接入方式多种多样（移动通信网，Wi-Fi，3G/3G/E3G， WAP），互联网的开放和资助打破了运营商主导网络53TELECOMMUNICATIONS NETWORK TECHNOLOGY No.3 DEVELOPING STRATEGY机高得多。从当前的应用情况来看，智能终端

16、多以短信、彩信、手机浏览网页、下载安装软件等方式感染病毒或遭到入侵。同时，移动互联网的业务提供与创新更多的面向普通用户，伴随着更多终端平台的适配和开放，使用户对网络透明，用户更易面临隐私泄露、恶意骚扰、恶意软件等安全问题。(2) 网络的不可靠性传统电信网中最有效的安全机制是等级保护和边界防护，但由于移动互联网网中将不再有明显的网络边界，因此像安全域划分、防火墙部署这样的等级保护和边界防护机制将在移动互联网中不再适用。移动互联网由于引入了无线空中接口的接入方式导致非法接入网络、攻击者身份隐藏、空中接口传送的信息易被跟踪窃听等新威胁。具体来

17、说，由于智能终端接入网络的信息真实性，信誉度问题，无论3G/Wi-Fi/WIMAX，如果鉴权认证系统存在漏洞，就可能发生非法接入网络的情况；由于多数移动电信运营商 2G 网络语音加密功能，Wi-Fi 网络的空中接口信息加密功能较少启用的原因，使攻击者有机可循，跟踪窃听空中接口传送的信息；由于存在大量开放认证（无认证）的运营场景，恶意行为实施者易逃避追溯。移动互联网 IP 开放式架构和网络边界向智能终端延伸，使移动互联网对用户透明、网络拓扑易被得到，黑客可以直接利用终端对网络发起匿名电话、电话洪水等

18、攻击。同时，由于移动互联网的终端移动性和动态性，传递信号一般无须事先建立连接，经过的节点是随机的，各个节点间经过的电路也是随机的，网络形态中传递的信元是完全自由的，再加上用户终端具有比较高的智能，出发地址可以伪造或隐蔽，因此难以实时定位入侵信号。再次，作为未来移动互联网的主要 IP 管道的 LTE，也存在着尚未解决的安全问题，具体包括：用户隐私暴露，根密钥无法更新存在被破解隐患，对特殊场景下的安全机制考虑不足，切换时无法完全保证实现前向安全等。(3) 业务的安全威胁合位置信息、彩信、短信等移动特色的各种服务不断涌现，

19、并逐渐向应用类和行业信息化的方向发展。虽然移动互联网业务丰富了手机应用，但也带来了更多的安全隐患。由于移动互联网业务的大幅增加，业务提供商以及通信对端更不可信，由此可能引发非法访问系统、非法访问数据、付费网站、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。尤其移动办公、手机支付、移动社交等敏感业务对安全提出了更高的要求。需要对服务提供方进行严格认证，目前正在标准化的 GBA/GAA 是一种对业务服务器进行认证的有效解决办法。另一方面，云服务近年来越来越受广大运营商、服务提供

20、商推崇。随着云服务的推广，更多的个人信息、用户业务数据将在云中集中存储和管理，云服务多租户、虚拟化等特性将为移动互联网带来新的安全问题。例如厂商将会掌握终端用户越来越多的个人信息，造成用户隐私泄露的隐患，仅 2011 年就有苹果、谷歌等多家厂商已经涉嫌非法使用用户隐私信息而遭到起诉。(4) 运营支撑安全运营支撑包括用户身份及权限管理、安全计费、流量控制、安全审计、内容过滤与舆情管控、移动内容保护与版权管理等。运营支撑需要支持灵活的安全策略，实行不同强度的安全机制，提供不同等级的安全服务。应具有安全事件收集、处理等功能，以及对关键

21、信息的监控、记录、回溯和检索功能。当前移动互联网运营还不成熟，由于移动互联网终端移动性大、业务种类繁多、用户多重身份等因素，运营统计分析数据、网管数据的收集更复杂，如在新的网络结构中，对计费业务的原始数据进行分拣、纠错、计价处理，从而形成计费数据更加复杂；随着业务流量的增大，资费将更低廉，流量费不断降低过程中的阶段性保护也亟待关注。另外，当更多的内容提供商甚至用户参于提供内容和服务时，基于内容的安全威胁问题就显现出来了。总的来说，如何在网络扁平化、业务多样化、终端智能化的情况下，发掘移动互联网的安全威胁，进一步研究移

22、动互联网的安全策略，从而保证移动互联网中信息的机密性、完整性、可用性，抵抗各种恶意的攻移动互联网承载的业务类型多种多样，部分业务还能有第三方的终端用户直接提供。由于移动互联网固有的随身性、身份可识别等特性产生了更加丰富、独特的业务形态，为用户带来了更加丰富的业务体验。结54发展策略电信网技术2012 年 3 月第 3 期击，提高移动互联网容侵容错能力，是关系到移动互联网是否推广的一个关键性问题。络，如果借鉴传统的点到点数据安全机制在每两点之间都建立 TLS 或 IPSec 安全通道，可能会存在时延和计算开销较大的情况，不利于保证实时性及提高网络性能。同

23、时，节点间交互的信息包括控制、路由、管理以及业务数据信息，这些信息需要不同等级的安全保护。在移动互联网数据安全方面，需要研究提供不同安全等级的、可满足移动互联网要求的数据通信安全通道，提供机密性、消息认证、完整性保障。可以在通过节点认证后，节点获取安全通道加解密密钥，凭借密钥加入相应的安全通道。数据在安全通道中进行传输达到确保数据安全的目的。3.3 用户可自定义的细粒度访问控制随着云服务与移动互联网的结合，更多的用户将个人信息和数据在云中存储和共享，这对用户隐私保护提出更高的要求。同时，海量异构终端接入移动互联网并获取服务，有必要通过访问控制保证合法终

24、端的服务质量，保障网络带宽、服务器不受到来自恶意终端的非法占用和攻击。另外，为了降低第三方开发者应用开发门槛，移动互联网有必要以安全服务的形式提供访问控制能力，当第三方开发应用时无须再设计自己单独的访问控制系统，而是可以直接调用系统提供的访问控制能力，经过简单的个性化配置即可投入运营。传统的 MAC，DAC，RBAC 等访问控制模型，由于其或者粗粒度、或者开销大、效率低等缺点，已经无法满足移动互联网对安全的需求。在设计移动互联网访问控制机制时，需要综合考虑时间、地点、终端能力、网络流量等上下文因素，并提供用户、应用能够自定义访问权

25、限、访问粒度的，适合移动互联网新业务环境下的访问控制模型。通过提供统一的策略管理，分布式策略实施的用户可自定义的细粒度权限分配管理方案，防止特权用户滥用权限，满足职权分离要求等。3.4 终端节点自免疫由于移动互联网的全 IP 化趋势，网络边界将扩展到智能终端层面。根据第二章安全威胁的介绍，由于智能终端的安全防护能力薄弱，终端本身操作系统、防病毒软件可能存在安全漏洞，更容易遭受病毒感染或入侵威胁。移动互联网网络对智能终端的安全保护能力有移动互联网安全应对策略3在人类发展的历史中，我们曾通过建城堡、长城这样的机制来进行防御，随着人类社

26、会的发展，人口增加、社会经济活动范围扩大，原来建城堡、修长城的方式已无法提供良好的安全保障了。同样，从移动互联网安全的新挑战可以看到，移动互联网中将大量采用分布式的网络结构，随着智能终端的广泛应用和业务种类的增多，传统建城堡、修长城的网络安全机理将面临成本、效率等各种问题，我们需要一些新的机制来保障安全性。目前对于移动互联网安全方面的研究才刚刚起步，本文依据对移动互联网安全挑战分析以及当前研究现状，提出作者认为在移动互联网安全设计时应当考虑的问题。以服务方式提供统一的身份管理及认证移动互联网具有用户角色不惟一（普通访问者

27、、资源提供者、应用开发者等）、终端异构性、应用多样性特点。在移动互联网中，身份管理的意义可进一步延伸到更广泛的 ID，包括智能终端 ID，用户 ID，应用 ID 等。同时，认证也不再限于系统对用户的认证，还包括 “ 用户智能终端 ”， “ 智能终端智能终端 ”， “ 用户智能终端应用”等更复杂的认证需求。由各个应用系统提供独立的身份管理和认证已经不能满足需求，亟待实现一种以服务方式提供的统一身份管理和认证机制。在移动互联网中，可以把身份管理和认证作为网络提供的安全服务之一，实现对上述多种类型 I

28、D 的统一分配、存储和管理，提出适合于移动互联网的节点认证服务模型以及相关的流程和协议，实现单点登录以及节点间认证信息的安全传递。另外，这种安全服务形式能够进一步将节点认证与 ID 分配结合，以实现用户单点接入享受全网服务，单用户多终端接入，享受统一用户体验。这种统一的节点认证也利于业务创新和透明计费。3.2 分等级的数据安全传输在移动互联网环境下，由于数据量远大于传统网3.155TELECOMMUNICATIONS NETWORK TECHNOLOGY No.3 DEVELOPING STRATEGY限，可以考虑通过终端中间件、智能网关等途

29、径，在智能终端上或其本地提供一定的攻击检测和防御能力，对智能终端实现安全保护。对于自身软硬件条件较好的终端设备，可以在终端上安装终端中间件；对于自身软硬件条件较差的终端设备，则可以通过智能网关实现本地的安全防护。以上两种情况，我们统称为终端节点自免疫。此处终端节点是指能够实现自免疫功能的智能终端或智能网关。具体实现上，可以通过分析移动互联网中多源多形式的安全威胁，研究各种安全威胁之间的关联，进一步研究低代价的适合于移动互联网的异常和攻击检测模型及算法，使终端节点具有自动发现网络中异常状态和事件、并自动避免这种状态和事件进一步扩散的能力，实现自免疫功

30、能。并通过保护节点的安全防御能力提高全网的安全性能。3.5 构建移动互联网中的信任模型在传统的网络安全防护措施中，基于信任模型的安全域划分及其之上的等级保护、边界防护可以说是最重要的安全措施，信任模型极大地降低了整体安全成本。在移动互联网环境中，需要研究新的信任模型建立方法，可以通过构建多安全等级的虚拟安全域，不同虚拟安全域维护不同信任值区间的节点，在域内和域间实施不同的安全保护机制，以保证节点安全。在信任值更新方面，除了传统的通过服务交互过程相互评价外，还可以制定指标体系，综合考虑移动互联网中的各类业务应用，以及 SNS 等社交关系进行评定。移动互联网很好

31、地将信息空间与现实社会联系起来，因此在设计移动互联网安全机制时，除了技术上的考虑，应当充分借鉴和利用现实社会中在安全方面的经验，特别是在安全需求分析、安全模型建立、安全机制的伸缩性、灵活性方面以及安全法规方面。当一个安全机制试图超越现实社会文明成就时，我们需要仔细分析一下，这种安全机制的可行性和必要性，它的使用是否会增加系统复杂度或成为安全威胁的目标。结束语4总的来说，目前移动互联网安全已经受到了广泛的关注。对移动互联网安全的重视程度也远超过了 Internet 发展初期对安全的关注，这将有利于在移动互联网技术和应用发展的各个方面尽早加入必要的安全机制

32、，保障用户利益。虽然移动互联网在安全方面将面临许多新的挑战，但是安全从来不可能成为阻碍各种应用和技术发展的理由。我们需要做的是具有良好的风险意识，认识到风险的存在，并采取必要的安全机制将风险控制在可接受的范围之中。参考文献1 杨剑锋. 移动互联网安全威胁探析. 电信网技术. 20092 陈萍,夏俊杰. 移动互联网安全现状及应对策略. 电信网技术. 20103 石美君. 移动互联网安全问题凸显跨界收购成趋势. 通信世界网. 20104 方丽. 易观国际:2010 上半年中国移动互联网市场规模达 237 亿元. 科技资讯网. 2

33、0105 中国移动互联网发展现状与未来发展趋势分析. 20116 2011 年移动互联网发展现状与趋势研究报告. 20117 2011 年上半年中国手机安全报告. 360 安全中心. 2011Security Issues and Countermeasures of Mobile Internet in the New WaveAbstract Mobile Communication has the advantage of manageable, controllable, communicate anytime and anywhere.Also, Internet is famous

34、 for its open and abundant service capabilities. Mobile Internet is the combination of these two, which is a hot subject interested by international information industry. With the trend of intelligent terminal widely used, all-IP network， various services and cloud service, Mobile Internet will sure

35、ly bring a lot of new security challenges. This paper introduces status and trend of the mobile Internet at first, then analyses status of mobile Internet, finally provides the specific security solutions for mobile Internet.Key words mobile Internet, security threats, security solution，cloud service（收稿日期：2012-02-07）56

展开阅读全文