試論如何構(gòu)造安全的移動(dòng)互聯(lián)網(wǎng)

◆韓宏峰 張 燾 王 月

(北京郵電大學(xué) 北京 100876)

試論如何構(gòu)造安全的移動(dòng)互聯(lián)網(wǎng)

◆韓宏峰 張 燾 王 月

(北京郵電大學(xué) 北京 100876)

高速發(fā)展的網(wǎng)絡(luò)通信技術(shù)促使傳統(tǒng)的無線互聯(lián)網(wǎng)向移動(dòng)互聯(lián)網(wǎng)轉(zhuǎn)變。移動(dòng)互聯(lián)網(wǎng)能滿足用戶對(duì)智能手機(jī)便攜性聯(lián)網(wǎng)的要求，是傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)融臺(tái)的產(chǎn)物。鑒于其使用智能移動(dòng)終端作為訪問接口，對(duì)用戶個(gè)人信息的采集高度敏感，對(duì)保障用戶信息安全提出了更高的要求和挑戰(zhàn)。

移動(dòng)互聯(lián)網(wǎng)；移動(dòng)終端；安全威脅；安全策略

0 引言

移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展改變了人們的生活方式。在規(guī)模不斷增長，頻繁應(yīng)用更新和無線通信技術(shù)發(fā)展的背景下，移動(dòng)互聯(lián)網(wǎng)暴露于安全威脅的環(huán)境，面臨著用戶安全保障的挑戰(zhàn)，其安全技術(shù)的研究有重要價(jià)值[1]。本文將從不同的角度論述如何構(gòu)造安全的移動(dòng)互聯(lián)網(wǎng)。

1 安全的無線傳輸技術(shù)

1.1 分等級(jí)的數(shù)據(jù)安全傳輸

移動(dòng)互聯(lián)網(wǎng)傳輸數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于傳統(tǒng)網(wǎng)絡(luò)。如果使用傳統(tǒng)的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)安全機(jī)制（對(duì)等）在任何兩點(diǎn)都建立了TLS或IPSec安全通道則會(huì)有較大的延遲和計(jì)算開銷，網(wǎng)絡(luò)性能較差[2]。同時(shí)，節(jié)點(diǎn)之間交換的信息需要不同級(jí)別的安全保護(hù)。而現(xiàn)有移動(dòng)互聯(lián)網(wǎng)的存在諸如地址欺騙，數(shù)據(jù)竊取篡改，應(yīng)用數(shù)據(jù)傳輸?shù)劝踩┒?。在移?dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全方面，需要研究不同的安全級(jí)別來滿足數(shù)據(jù)通信安全通道的要求。在非對(duì)稱式加密算法中，每一個(gè)節(jié)點(diǎn)在取得認(rèn)證后將會(huì)得加解密的密鑰，為確保數(shù)據(jù)的安全，數(shù)據(jù)將會(huì)在安全通道中進(jìn)行傳輸。

1.2 WLAN接入網(wǎng)面臨安全問題

隨著智能設(shè)備的普及，無線局域網(wǎng)技術(shù)在很多公共場合被廣泛應(yīng)用，使得人們可以在消費(fèi)區(qū)間內(nèi)免費(fèi)享受網(wǎng)絡(luò)服務(wù)。但考慮到無線網(wǎng)絡(luò)的特殊性，只有通過物理連接才能對(duì)網(wǎng)絡(luò)造成致命的攻擊，這使得 WLAN訪問網(wǎng)絡(luò)安全問題的變化非常突出。其中的兩個(gè)主要安全標(biāo)準(zhǔn)是IEEE 802.11i和國內(nèi)獨(dú)立的WAPI，都是用來解決無線接入段用戶的AP認(rèn)證。

802.11 i標(biāo)準(zhǔn)采用基于認(rèn)證的共享密鑰的方法，并定義了更嚴(yán)格的加密算法來彌補(bǔ)原始用戶認(rèn)證協(xié)議的安全漏洞，WAPI由WAI和WPI兩部分組成，WAI通過用戶身份識(shí)別進(jìn)行數(shù)據(jù)的加密傳輸。WAPI是一種基于數(shù)字證書的認(rèn)證，并自己定義了內(nèi)部的加密算法，極難被破解。綜合來看，這兩個(gè)標(biāo)準(zhǔn)在訪問控制中存在著缺陷，但同時(shí)擁有著自己的優(yōu)點(diǎn)。

2 安全的移動(dòng)性管理及網(wǎng)絡(luò)切換

2.1 需要統(tǒng)一的身份管理和認(rèn)證

移動(dòng)互聯(lián)網(wǎng)不同于傳統(tǒng)的互聯(lián)網(wǎng)，具有終端種類繁雜和頻繁更新的應(yīng)用特點(diǎn)。同時(shí)，移動(dòng)端設(shè)備更接近人們的生活，越來越多的個(gè)人信息被寫入到不同的App中，同時(shí)伴隨著在線支付電子貨幣的流行，安全性問題越發(fā)突出。因此在移動(dòng)互聯(lián)網(wǎng)中，身份管理的范圍可以進(jìn)一步擴(kuò)大，如智能終端ID，應(yīng)用ID，用戶ID等等。

4G 移動(dòng)通信系統(tǒng)作為當(dāng)前移動(dòng)互聯(lián)網(wǎng)的主要方式，由于其依靠全 IP 技術(shù)架構(gòu)，所以不僅會(huì)延續(xù) IP技術(shù)的優(yōu)勢，也會(huì)遺留安全問題。與GSM采用的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)相比，LTE這種平坦的結(jié)構(gòu)易受不同程度的攻擊，包括但不限于竊聽、注入、修改等方式，使用戶的個(gè)人信息泄密。除了傳統(tǒng)的分布式拒絕服務(wù)外，移動(dòng)互聯(lián)網(wǎng)還將受到諸如來自應(yīng)用層的種種攻擊，甚至是來自不安全站點(diǎn)的潛在威脅，并且一定程度會(huì)受到諸如 MAC 層位置跟蹤、移動(dòng)設(shè)備非法使用的影響。

2.2 安全的網(wǎng)絡(luò)切換

CDMA網(wǎng)絡(luò)中移動(dòng)IP的快速切換技術(shù)是研究的熱點(diǎn)。隨著信息時(shí)代“軟切換”的到來，傳統(tǒng) GSM的“硬切換”已被逐漸摒棄，人們渴望通過一部掌中的智能設(shè)備能隨時(shí)隨地獲取最新的不同信息，移動(dòng)IP將此愿景得以實(shí)現(xiàn)。通過對(duì)移動(dòng)IP在CDMA網(wǎng)絡(luò)中工作的簡單結(jié)構(gòu)以及過程的研究[3]，發(fā)現(xiàn)移動(dòng)IP將會(huì)引起延遲從而導(dǎo)致分組數(shù)據(jù)丟失，并且網(wǎng)絡(luò)交換性能差，不能滿足實(shí)時(shí)業(yè)務(wù)和敏感業(yè)務(wù)的要求。因此，具有安全性能的快速切換技術(shù)將得到更廣泛的深入研究。

3 運(yùn)營模式引起的安全漏洞

與傳統(tǒng)運(yùn)營商以網(wǎng)絡(luò)為核心的運(yùn)營模式不同，作為新時(shí)代產(chǎn)物的移動(dòng)互聯(lián)網(wǎng)，其關(guān)注的焦點(diǎn)是以業(yè)務(wù)為核心。通過技術(shù)的進(jìn)步和影響的擴(kuò)展現(xiàn)已擁有諸多內(nèi)容服務(wù)提供商，諸如移動(dòng)視頻[4]，手機(jī)游戲以及廣告服務(wù)等，同時(shí)其可以提供更多的增值服務(wù)。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展中心是業(yè)務(wù)內(nèi)容，一些非法服務(wù)提供商借此機(jī)會(huì)將用戶引導(dǎo)到不安全的環(huán)境中獲益。

4 安全的服務(wù)質(zhì)量保證

互聯(lián)網(wǎng)架構(gòu)的服務(wù)能力主要是指可以為用戶提供的各種應(yīng)用服務(wù)的性能，這被稱為架構(gòu)的可服務(wù)性。RAS是評(píng)估架構(gòu)硬件性能的重要指標(biāo)，反映了計(jì)算機(jī)連續(xù)運(yùn)行并處理各種情況的能力。服務(wù)質(zhì)量 QOS是服務(wù)性能的綜合表現(xiàn)，決定了網(wǎng)絡(luò)滿足業(yè)務(wù)用戶需求的程度[5]。詳細(xì)的性能參數(shù)如表1所示。

表1 性能參數(shù)描述

同時(shí)本文提出另一個(gè)常見參數(shù)CoS，這是一組具有相似性能的常見業(yè)務(wù)流。但是，服務(wù)質(zhì)量 QOS作為服務(wù)性能的綜合表現(xiàn)具有更高的準(zhǔn)確度[6]，可以在業(yè)務(wù)服務(wù)中顯示出各種具體的準(zhǔn)確描述。本文主要介紹表2中可信度，可控性等安全性相關(guān)屬性。

表2 移動(dòng)互聯(lián)網(wǎng)體系結(jié)構(gòu)評(píng)估相關(guān)概念說明[7]

5 構(gòu)建移動(dòng)互聯(lián)網(wǎng)中的信任模型

基于信任模型的安全域劃分最大程度降低了安全成本，是最關(guān)鍵的環(huán)節(jié)，有必要研究一種新的信任模型建立方法：通過構(gòu)建具有多個(gè)安全級(jí)別的虛擬安全域，使不同的虛擬安全域可以保持不同的信任保護(hù)間隔，并在域和域中實(shí)現(xiàn)不同的安全保護(hù)機(jī)制從而確保節(jié)點(diǎn)安全。除了技術(shù)考慮外，我們還需要對(duì)這種安全機(jī)制的可行性和必要性進(jìn)行認(rèn)真分析。

6 建立移動(dòng)互聯(lián)網(wǎng)安全體系框架

目前業(yè)界已經(jīng)提出了各種移動(dòng)互聯(lián)網(wǎng)安全系統(tǒng)解決方案。本文認(rèn)為，移動(dòng)互聯(lián)網(wǎng)的動(dòng)態(tài)標(biāo)準(zhǔn)體系可以通過靜態(tài)和動(dòng)態(tài)組合來開發(fā)。靜態(tài)開發(fā)是研究一套移動(dòng)互聯(lián)網(wǎng)安全整體結(jié)構(gòu)并使用安全保護(hù)系統(tǒng);動(dòng)態(tài)開發(fā)則是主動(dòng)地進(jìn)行移動(dòng)互聯(lián)網(wǎng)的防御技術(shù)研究，在網(wǎng)絡(luò)運(yùn)行過程中提高對(duì)異常信息的判別和處理能力，從而避免被攻擊。

界一般認(rèn)為，移動(dòng)互聯(lián)網(wǎng)安全體系架構(gòu)的設(shè)立應(yīng)當(dāng)采用物理與信息安全相互分層，并依據(jù)其體系結(jié)構(gòu)來構(gòu)建的原則。一種較為普遍的針對(duì)移動(dòng)互聯(lián)網(wǎng)的安全框架設(shè)計(jì)模型如圖1所示[8]。

圖1 移動(dòng)互聯(lián)網(wǎng)安全框架

然而，業(yè)界目前提出的移動(dòng)互聯(lián)網(wǎng)安全框架往往只集中在其安全系統(tǒng)的一個(gè)方面，缺乏整體規(guī)范的建立與發(fā)展[9]。通常情況下需要系統(tǒng)的方法開發(fā)移動(dòng)互聯(lián)網(wǎng)統(tǒng)一安全框架，從而將復(fù)雜的網(wǎng)絡(luò)安全相關(guān)功能分類為多個(gè)組件用來執(zhí)行相關(guān)的安全規(guī)定。目前，移動(dòng)互聯(lián)網(wǎng)的安全體系框架的制定工作涉及多個(gè)標(biāo)準(zhǔn)化組織，但其間的協(xié)同性還存在不足，導(dǎo)致尚缺乏系統(tǒng)性的移動(dòng)互聯(lián)網(wǎng)安全體系的標(biāo)準(zhǔn)化工作。目前較為合適的應(yīng)用于移動(dòng)互聯(lián)網(wǎng)的體系結(jié)構(gòu)是如圖2所示的一種ITU－T X.805 建議定義的端到端的安全體系框架和安全尺度模型[10]。

圖2 ITU－T X.805中的安全體系框架

在此基礎(chǔ)上，移動(dòng)互聯(lián)網(wǎng)安全框架的構(gòu)建還可以借鑒傳統(tǒng)移動(dòng)通信網(wǎng)的安全體系框架。為了保障用戶信息的安全，3GPP和3GPP2 等標(biāo)準(zhǔn)化組織為傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)制定了嚴(yán)格的安全體系框架和安全保障手段，其安全機(jī)制涵蓋了移動(dòng)終端層面、網(wǎng)絡(luò)層面、應(yīng)用層面以及管理層面。這種嚴(yán)謹(jǐn)?shù)陌踩蚣艿闹贫ǚ绞綖橐苿?dòng)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)奠定了良好的參考基礎(chǔ)。

7 通過產(chǎn)業(yè)鏈協(xié)作保障移動(dòng)互聯(lián)網(wǎng)安全

移動(dòng)互聯(lián)網(wǎng)的安全是一個(gè)整體產(chǎn)業(yè)鏈，因而本文將從整體的產(chǎn)業(yè)鏈角度來論述如何保證其必要的安全性。為了達(dá)到整體協(xié)作，有必要與運(yùn)營商，設(shè)備制造商等協(xié)作，進(jìn)行諸如價(jià)值鏈方面的合作，共同制定網(wǎng)絡(luò)安全協(xié)議和策略。另一方面，作為政府需要協(xié)調(diào)相關(guān)監(jiān)管部門的利益，敦促法律的實(shí)施，對(duì)各類移動(dòng)互聯(lián)網(wǎng)犯罪行為進(jìn)行不斷的公開追蹤紀(jì)律，起到警示作用[11]。

8 移動(dòng)互聯(lián)網(wǎng)展望

移動(dòng)互聯(lián)網(wǎng)引領(lǐng)新方向：

移動(dòng)互聯(lián)網(wǎng)是有線互聯(lián)網(wǎng)發(fā)展的必然產(chǎn)物，而過去我們常用的計(jì)算機(jī)只是互聯(lián)網(wǎng)終端的一種形式，正如當(dāng)下飽受爭議的“低頭族”現(xiàn)象，說明智能手機(jī)、平版電腦已逐步成為人們出行時(shí)的流行終端，移動(dòng)互聯(lián)網(wǎng)因而飛速發(fā)展。另一方面，諸如車載設(shè)備甚至手表等穿戴之物，都可能成為將來的終端產(chǎn)品。

商業(yè)模式多樣化：

業(yè)務(wù)是否成功很大程度取決于商業(yè)模式。而移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的特點(diǎn)需要?jiǎng)?chuàng)新的、多樣的商業(yè)模式。伴隨著智能終端的越來越成熟，用戶基礎(chǔ)也變得越來越堅(jiān)實(shí)。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)已經(jīng)融入了日常生活與商業(yè)社會(huì)，新型的運(yùn)作模式正在形成。移動(dòng)廣告平臺(tái)、移動(dòng)網(wǎng)游、移動(dòng)電子商務(wù)、移動(dòng)導(dǎo)航等商業(yè)模式的盈利能力大幅提升。

數(shù)據(jù)挖掘提升營銷潛力：

隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，更多的傳感設(shè)備和智能終端作為無線傳感器節(jié)點(diǎn)更為便捷地接入非局域網(wǎng)絡(luò)，adhoc這種自組網(wǎng)絡(luò)成為了可能，將會(huì)徹底擺脫傳統(tǒng)藍(lán)牙等技術(shù)的距離限制。在營銷方面，目前主流方向仍然是針對(duì)廣泛群體的營銷，但隨著數(shù)據(jù)挖掘等相關(guān)技術(shù)的高速發(fā)展，針對(duì)用戶個(gè)性化定制的服務(wù)類型和營銷模式將成為發(fā)展的必然趨勢，必將成為移動(dòng)互聯(lián)網(wǎng)的另一發(fā)展前景。

9 結(jié)束語

移動(dòng)互聯(lián)網(wǎng)作為傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)融合的產(chǎn)物，更貼近人們的生活，其帶來的安全性問題也引發(fā)更多人的關(guān)注。本文通過對(duì)無線傳輸技術(shù)，移動(dòng)性管理及網(wǎng)絡(luò)切換，業(yè)務(wù)應(yīng)用環(huán)境，服務(wù)質(zhì)量保證，構(gòu)建移動(dòng)互聯(lián)網(wǎng)中的信任模型，建立移動(dòng)互聯(lián)網(wǎng)安全體系框架，產(chǎn)業(yè)鏈協(xié)作保障移動(dòng)互聯(lián)網(wǎng)安全的不同維度進(jìn)行分析，論述了構(gòu)造安全的移動(dòng)互聯(lián)網(wǎng)的方法。在無線移動(dòng)通信技術(shù)不斷發(fā)展的背景下，移動(dòng)互聯(lián)網(wǎng)能規(guī)避風(fēng)險(xiǎn)造福于人民。

[1]中國工業(yè)和信息化部電信研究院. 移動(dòng)終端白皮書(2014年)[R].北京: 中國工業(yè)和信息化部電信研究院，2014.

[2]成城，張春紅，裘曉峰.新浪潮下的移動(dòng)互聯(lián)網(wǎng)安全及對(duì)策[J].電信網(wǎng)技術(shù)，2012.

[3]張鑫.移動(dòng)IP的快速切換技術(shù)分析[J].科技資訊，2011.

[4]趙書峰.移動(dòng)互聯(lián)網(wǎng)的信息安全探析[J].韶關(guān)學(xué)院學(xué)報(bào)，2011.

[5]孫其博.移動(dòng)互聯(lián)網(wǎng)安全綜述[J].無線電通信技術(shù)，2016.

[6]劉小波.無線移動(dòng)互連網(wǎng)服務(wù)質(zhì)量保證的研究[D].太原理工大學(xué)，2007.

[7]徐恪，朱敏，林闖.互聯(lián)網(wǎng)體系結(jié)構(gòu)評(píng)估模型、機(jī)制及方法研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2012.

[8]張帆，馬建峰.WAPI 認(rèn)證機(jī)制的性能和安全性分析[J].西安電子科技大學(xué)學(xué)報(bào)，2005.

[9]楊劍鋒.移動(dòng)互聯(lián)網(wǎng)安全威脅探析[J].電信網(wǎng)技術(shù)，2009.

[10]陳萍，夏俊杰.移動(dòng)互聯(lián)網(wǎng)安全現(xiàn)狀及應(yīng)對(duì)策略[J].電信網(wǎng)技術(shù)，2010.

[11]李文江.移動(dòng)互聯(lián)網(wǎng)安全威脅與漏洞治理[A].中國刑警學(xué)院、廈門市美亞柏科信息股份有限公司.第三屆全國公安院校網(wǎng)絡(luò)安全與執(zhí)法專業(yè)主任論壇暨教師研修班論文集[C].中國刑警學(xué)院、廈門市美亞柏科信息股份有限公司，2017.