移動(dòng)互聯(lián)網(wǎng)面臨三大安全問題
中國移動(dòng)通信集團(tuán)公司網(wǎng)絡(luò)部處長徐海東表示,移動(dòng)互聯(lián)網(wǎng)融合新凸顯的安全面臨網(wǎng)絡(luò)安全、終端安全、業(yè)務(wù)安全三方面問題。
徐海東表示,移動(dòng)互聯(lián)網(wǎng)融合的安全對(duì)策可以有以下四點(diǎn):
一是用戶對(duì)網(wǎng)絡(luò)透明,要抓住可鑒權(quán),可溯源的技術(shù)優(yōu)勢,可以起到有效的威懾作用,降低各種安全威脅,提高網(wǎng)絡(luò)的整體安全強(qiáng)度;
二是要關(guān)注網(wǎng)絡(luò)自身安全,且對(duì)用戶不透明,對(duì)用戶隱藏網(wǎng)絡(luò)拓?fù)洌沟糜脩魺o法對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起攻擊;
三是終端安全保護(hù)。對(duì)于智能終端的安全保護(hù)需要進(jìn)行重點(diǎn)研究,由于智能終端的操作系統(tǒng)可能存在安全漏洞,在彩信、手機(jī)瀏覽網(wǎng)頁、下載安裝軟件等多種情況下都可能感染病毒或遭到入侵;
四是業(yè)務(wù)的安全保護(hù)。互聯(lián)網(wǎng)應(yīng)用大幅增加后,通信對(duì)端更不可信,由此可能引發(fā)病毒感染、木馬等一系列攻擊,危害嚴(yán)重。需要對(duì)服務(wù)提供方進(jìn)行嚴(yán)格認(rèn)證,目前正在標(biāo)準(zhǔn)化的GBA/GAA是一種對(duì)業(yè)務(wù)服務(wù)器進(jìn)行認(rèn)證的有效解決辦法。以下是中國移動(dòng)通信集團(tuán)公司網(wǎng)絡(luò)部處長徐海東發(fā)言實(shí)錄:
中國移動(dòng)在互聯(lián)網(wǎng)安全和人才培養(yǎng)領(lǐng)域還有待加強(qiáng),我們也是一名新兵,我們從2G到3G的網(wǎng)絡(luò)發(fā)展也在逐步向互聯(lián)網(wǎng)領(lǐng)域結(jié)合,有些業(yè)務(wù)也在往互聯(lián)網(wǎng)發(fā)展。所以,互聯(lián)網(wǎng)安全對(duì)我們來說是非常關(guān)注的,慢慢的會(huì)有很多網(wǎng)絡(luò)安全問題在網(wǎng)上凸顯出來,中國移動(dòng)的業(yè)務(wù)以后會(huì)往互聯(lián)網(wǎng)發(fā)展為主,我們特別關(guān)注移動(dòng)互聯(lián)網(wǎng)安全。在這里拋磚引玉提出自己的想法,并且按照這些想法做一些探索。所以,在這個(gè)平臺(tái)上能夠和大家在這些方面做交流,感到非常地榮幸。
網(wǎng)絡(luò)安全處是中國移動(dòng)集團(tuán)領(lǐng)導(dǎo)小組辦公室轉(zhuǎn)變過來的,我們主要關(guān)注客戶信息安全和互聯(lián)網(wǎng)安全兩大方面,還會(huì)對(duì)垃圾短信進(jìn)行監(jiān)測,也包括終端業(yè)務(wù)。
一、中國移動(dòng)互聯(lián)網(wǎng)概念及發(fā)展趨勢。
二、互聯(lián)網(wǎng)安全分析。
三、移動(dòng)通信網(wǎng)安全分析
四、移動(dòng)互聯(lián)網(wǎng)安全分析。
互聯(lián)網(wǎng)應(yīng)用飛速發(fā)展
開放共享的發(fā)展模式使互聯(lián)網(wǎng)成為新業(yè)務(wù)、新思維及海量信息的集散地。Web2.0、博客、播客、推特、C2C電子商務(wù)虛擬社區(qū)等新應(yīng)用層出不窮,個(gè)人參與內(nèi)容創(chuàng)作商業(yè)模式被激活。網(wǎng)民非常龐大,連我父親60多歲了都還會(huì)上網(wǎng)購物,上網(wǎng)聊天,上網(wǎng)視頻,在我們的生活中可以明顯地感受到這種變化。
移動(dòng)通信網(wǎng)絡(luò)廣泛普及。網(wǎng)絡(luò)不斷演進(jìn),移動(dòng)通信網(wǎng)絡(luò)從第一代模擬通信系統(tǒng)到第二代GSM為代表的窄帶數(shù)字移動(dòng)通信系統(tǒng),目前發(fā)展到以WCDMA/TD-SCDMA為代表的第三代寬帶數(shù)字通信系統(tǒng),以LTE為代表的用戶就有5億的用戶。
互聯(lián)網(wǎng)需要電信能力。一是對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量有要求,面向連接的話音、視頻、多媒體業(yè)務(wù)的要求趨勢越來越明顯;英特網(wǎng)的盡力面為決定了對(duì)這類業(yè)務(wù)的服務(wù)質(zhì)量無法有效解決。二是終端發(fā)展的需要。手機(jī)能力的增強(qiáng),實(shí)德隊(duì)互聯(lián)網(wǎng)的需求趨勢明顯,互聯(lián)網(wǎng)需要和手機(jī)緊密結(jié)合;固定多媒體終端的發(fā)展已和互聯(lián)網(wǎng)進(jìn)行了緊密結(jié)合。
電信網(wǎng)絡(luò)需要互聯(lián)網(wǎng)服務(wù)模式。話音服務(wù)已基本滿足用戶需求,基于用戶增長和價(jià)格競爭的模式難以為繼;電信運(yùn)營商需要拓展新業(yè)務(wù)應(yīng)用模式;互聯(lián)網(wǎng)層出不窮的業(yè)務(wù)應(yīng)用模式能夠很好的滿足這種需要。全國有手機(jī)人數(shù)的比例已經(jīng)非常高了,中國移動(dòng)從07年開始大力發(fā)展農(nóng)村市場,按照這樣的發(fā)展速度總有一天用戶肯定會(huì)逐步飽和。當(dāng)然,現(xiàn)在又在開辟新的領(lǐng)域,這和互聯(lián)網(wǎng)也有關(guān)系,就是物聯(lián)網(wǎng),啟動(dòng)人和機(jī)器的通信,把我們的業(yè)務(wù)在新的領(lǐng)域去拓展,在拓展的過程中也有對(duì)互聯(lián)網(wǎng)業(yè)務(wù)的需求。
中國移動(dòng)有一個(gè)專門的基地在研究物聯(lián)網(wǎng),比如把所有城市的電梯都裝在物聯(lián)網(wǎng)上,城市任何一個(gè)角落的電梯出現(xiàn)故障的話,都可以通過物聯(lián)網(wǎng)發(fā)布信息。中國移動(dòng)的新業(yè)務(wù)對(duì)互聯(lián)網(wǎng)有很多的需求,話音業(yè)務(wù)的價(jià)格也已經(jīng)降到很低了。
移動(dòng)互聯(lián)網(wǎng):電信和互聯(lián)網(wǎng)融合。在以一致的體驗(yàn)享受互聯(lián)網(wǎng)的所用應(yīng)用的同時(shí),還可以享受針對(duì)移動(dòng)和終端特點(diǎn)的新業(yè)務(wù),如位置服務(wù)、短信、彩信等。繼承移動(dòng)通信全網(wǎng)漫游、統(tǒng)一認(rèn)證、無縫覆蓋等優(yōu)勢,為用戶提供任何時(shí)間、任何地點(diǎn)的互聯(lián)網(wǎng)訪問,繼承傳統(tǒng)電信網(wǎng)的QOS優(yōu)勢,提高高品質(zhì)服務(wù)。
移動(dòng)互聯(lián)網(wǎng):多方共同需求。對(duì)于用戶而言,英特爾、消息、語音、視頻、數(shù)據(jù)等等多媒體,隨時(shí)上網(wǎng),想用就用。對(duì)于電信運(yùn)營商而言,電信業(yè)務(wù)有限,而互聯(lián)網(wǎng)業(yè)務(wù)極大豐富,特別是用戶創(chuàng)造內(nèi)容/業(yè)務(wù),引入不斷創(chuàng)新的互聯(lián)網(wǎng)商業(yè)模式。對(duì)互聯(lián)網(wǎng)應(yīng)用來說,電信有保障的通信能力是對(duì)互聯(lián)網(wǎng)的最大吸引力。比如,大家在互聯(lián)網(wǎng)上看一個(gè)電影都不想繳費(fèi),可能會(huì)有額外的繳費(fèi)方式,如廣告等方式繳費(fèi)。但是,在中國移動(dòng)聽一首歌都要繳費(fèi),彩鈴是很大一塊業(yè)務(wù),我們也覺得很奇怪,自己下載歌花錢讓別人聽,還經(jīng)常換,而且我們每年的收入非常好,這是一種收費(fèi)模式。但是,你上互聯(lián)網(wǎng)看一部電影,自己看都不愿花一分錢,我覺得移動(dòng)這種模式是對(duì)互聯(lián)網(wǎng)的一種促進(jìn),也是互相吸引的一種方式。
移動(dòng)通信網(wǎng)安全分析
傳統(tǒng)2G移動(dòng)通信網(wǎng)絡(luò)安全性較好,其原因是:
第一,終端類型單一。早期移動(dòng)網(wǎng)絡(luò)只支持一種終端接入,要么是支持GSM,要么是支持CDMA,不支持其他模式終端接入,接入類型單一使鑒權(quán)認(rèn)證比較可靠。業(yè)務(wù)單一,主要是傳輸話音業(yè)務(wù),沒有數(shù)據(jù)傳輸,終端可控資源較少。
第二,網(wǎng)絡(luò)封閉。由運(yùn)營商自建專有網(wǎng)絡(luò)傳輸,不經(jīng)由公共網(wǎng)絡(luò)傳輸,受外界影響較少。媒體面和控制面獨(dú)立,采用TDM傳輸,媒體面不能干擾控制面,而IP網(wǎng)絡(luò)則是混合交換,增加了安全隱患。
第三,終端非智能。
2G網(wǎng)絡(luò)的安全缺陷一是認(rèn)證有缺陷,認(rèn)證為單向,只有網(wǎng)絡(luò)對(duì)用戶的認(rèn)證,沒有用戶對(duì)網(wǎng)絡(luò)的認(rèn)證,攻擊者可以偽造基站,騙取用戶信息。二是數(shù)據(jù)保護(hù)有缺陷。只有加密,沒有完整性保護(hù)功能、數(shù)據(jù)被篡改無法發(fā)現(xiàn)。數(shù)據(jù)加密時(shí)沒有采用抗重放保護(hù)措施。
大家不用擔(dān)心復(fù)制SIM卡,有人發(fā)短信告訴你可以復(fù)制SIM卡,或者監(jiān)聽誰的電話的話,這些都是騙人的,不信可以去試一試,他們是用IP電話做的強(qiáng)顯,在手機(jī)上顯示這個(gè)號(hào)碼而已。SIM卡復(fù)制一定要使用原卡,這是大家一定要記住的。
3G及后續(xù)網(wǎng)絡(luò)的安全性在增強(qiáng)。如增加雙向認(rèn)證,密匙長度128位,增加完整性保護(hù),增加序列號(hào)機(jī)制,防止重放。當(dāng)然,安全隱患也在增多,IMS中網(wǎng)絡(luò)IP化的引入,IP安全隱患增加,LTE網(wǎng)絡(luò)扁平化,增加了ENB的安全風(fēng)險(xiǎn),終端智能化,引入新的攻擊能力,業(yè)務(wù)不斷豐富,流程的漏洞也在增加。
1、AMPS安全性較差,第一代模擬電話鑒權(quán)加密非常弱,電話經(jīng)常被盜打或竊聽。
2、GSM安全性較強(qiáng),鑒權(quán)加密得到大幅增強(qiáng),基本滿足日常通信安全需要。
3、GPRS安全性比較強(qiáng),終端智能化。
4、3G終端智能化,業(yè)務(wù)多樣化,傳輸高速化。
5、IMS業(yè)務(wù)IP化,接入多樣化,應(yīng)用豐富化。
6、LTE/SAE傳輸高速化、接入多樣化。
互聯(lián)網(wǎng)安全分析
這里都是做安全的專家,我就不在這里班門弄斧了。
互聯(lián)網(wǎng)不安全的原因與移動(dòng)電信網(wǎng)絡(luò)對(duì)比圖。移動(dòng)電信網(wǎng)絡(luò)終端接入類型單一,互聯(lián)網(wǎng)接入類型多種多樣,能力不一;移動(dòng)通信網(wǎng)絡(luò)業(yè)務(wù)單一,互聯(lián)網(wǎng)業(yè)務(wù)非常豐富,且有網(wǎng)上銀行、網(wǎng)上繳費(fèi)、購物等全敏感業(yè)務(wù);移動(dòng)通信網(wǎng)絡(luò)網(wǎng)絡(luò)封閉,互聯(lián)網(wǎng)是基于IP的開放式架構(gòu);移動(dòng)通信網(wǎng)絡(luò)媒體面和控制面獨(dú)立,互聯(lián)網(wǎng)全I(xiàn)P架構(gòu),用戶有通過IP媒體通道控制網(wǎng)絡(luò)的可能;移動(dòng)通信網(wǎng)絡(luò)終端非智能,互聯(lián)網(wǎng)大量采用計(jì)算機(jī)上網(wǎng),智能化、可定制化很高;移動(dòng)通信網(wǎng)絡(luò)IP獨(dú)立,互聯(lián)網(wǎng)可以共享IP。當(dāng)然,互聯(lián)網(wǎng)不安全的原因還有很多,在這里就不一一點(diǎn)評(píng)了。
互聯(lián)網(wǎng)安全問題的重要根源:一是網(wǎng)絡(luò)對(duì)用戶透明。用戶可以獲得任意網(wǎng)絡(luò)重要節(jié)點(diǎn)的IP地址并發(fā)起漏洞掃描及攻擊,網(wǎng)絡(luò)拓?fù)浜苋菀妆还粽叩玫剑粽呖梢栽谀骋痪W(wǎng)絡(luò)節(jié)點(diǎn)截獲、修改網(wǎng)絡(luò)中傳送的數(shù)據(jù),用戶數(shù)據(jù)安全沒有保障。二是用戶對(duì)網(wǎng)絡(luò)不透明。鑒權(quán)不嚴(yán)格,大量擁護(hù)未經(jīng)嚴(yán)格的認(rèn)證機(jī)制即可接入網(wǎng)絡(luò),終端的安全能力和安全狀況網(wǎng)絡(luò)不知情、不控制,用戶地址可以偽造,無法可靠溯源。
對(duì)應(yīng)的改進(jìn)思路,網(wǎng)絡(luò)對(duì)用戶不透明,怎樣做到透明呢?用戶拓?fù)浜途W(wǎng)絡(luò)拓?fù)浞蛛x,網(wǎng)絡(luò)拓?fù)鋵?duì)用戶隱藏,網(wǎng)絡(luò)節(jié)點(diǎn)用戶不可達(dá);用戶對(duì)網(wǎng)絡(luò)可控透明,對(duì)接入用戶進(jìn)行嚴(yán)格的鑒權(quán)認(rèn)證,將地址與身份嚴(yán)格綁定,實(shí)現(xiàn)行為可追溯,加強(qiáng)對(duì)用戶行為的控制。
移動(dòng)互聯(lián)網(wǎng)的融合,傳統(tǒng)移動(dòng)網(wǎng)絡(luò)安全性優(yōu)勢喪失殆盡。最后能夠剩下的是鑒權(quán)嚴(yán)格,行為可溯源;移動(dòng)互聯(lián)網(wǎng)融合,互聯(lián)網(wǎng)的其他安全問題仍然存在;移動(dòng)互聯(lián)網(wǎng)的融合新凸顯的安全問題有網(wǎng)絡(luò)安全、終端安全、業(yè)務(wù)安全。如網(wǎng)絡(luò)安全扁平化、分布式將成為網(wǎng)絡(luò)的演進(jìn)方向,PZP 等分布式技術(shù)將被廣泛應(yīng)用在網(wǎng)絡(luò)構(gòu)建中,其安全問題需要深入研究。終端安全問題將更加普及,終端容易被攻擊,被控制。移動(dòng)互聯(lián)網(wǎng)環(huán)境下,結(jié)合位置信息、彩信、短信等移動(dòng)特色的各種互聯(lián)網(wǎng)服務(wù)將不斷涌現(xiàn),其安全問題需要給予足夠重視。移動(dòng)互聯(lián)網(wǎng)還有用戶信息安全問題,怎樣保障用戶的信息有效也是一個(gè)非常艱巨的任務(wù),涉及的人和面確實(shí)非常廣,大家如果有哪些信息在網(wǎng)上保存的話,也不愿意讓別人可能這些信息,如通話記錄、上網(wǎng)內(nèi)容、彩信內(nèi)容、短信內(nèi)容、登記信息等等,但有時(shí)候這些業(yè)務(wù)又需要結(jié)合這些信息來做。
移動(dòng)互聯(lián)網(wǎng)的融合需要安全對(duì)策:
一是用戶對(duì)網(wǎng)絡(luò)透明,要抓住可鑒權(quán),可溯源的技術(shù)優(yōu)勢,可以起到有效的威懾作用,降低各種安全威脅,提高網(wǎng)絡(luò)的整體安全強(qiáng)度;
二是要關(guān)注網(wǎng)絡(luò)自身安全,且對(duì)用戶不透明,對(duì)用戶隱藏網(wǎng)絡(luò)拓?fù)洌沟糜脩魺o法對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起攻擊;
三是終端安全保護(hù)。對(duì)于智能終端的安全保護(hù)需要進(jìn)行重點(diǎn)研究,由于智能終端的操作系統(tǒng)可能存在安全漏洞,在彩信、手機(jī)瀏覽網(wǎng)頁、下載安裝軟件等多種情況下都可能感染病毒或遭到入侵;
其實(shí),現(xiàn)在黑客的目標(biāo)也非常明確,都是奔錢去的,只要能賺到錢,對(duì)方在有些方面比我們研究得還深入。比如手機(jī)病毒防護(hù)、可信終端安全架構(gòu),手機(jī)操作系統(tǒng)漏洞研究等等,而有些病毒是很難發(fā)現(xiàn)的,只有你拿到帳單的時(shí)候才會(huì)發(fā)現(xiàn)。比如彩鈴業(yè)務(wù),很多人的手機(jī)被別人訂購了彩鈴,在網(wǎng)上消費(fèi)了,但這個(gè)人永遠(yuǎn)都不知道,因?yàn)椴殊徥墙o別人聽的。
四是業(yè)務(wù)的安全保護(hù)。互聯(lián)網(wǎng)應(yīng)用大幅增加后,通信對(duì)端更不可信,由此可能引發(fā)病毒感染、木馬等一系列攻擊,危害嚴(yán)重。需要對(duì)服務(wù)提供方進(jìn)行嚴(yán)格認(rèn)證,目前正在標(biāo)準(zhǔn)化的GBA/GAA是一種對(duì)業(yè)務(wù)服務(wù)器進(jìn)行認(rèn)證的有效解決辦法。同時(shí)手機(jī)支付等敏感業(yè)務(wù)的安全機(jī)制需要重點(diǎn)研究。重點(diǎn)關(guān)注GBA/GAA認(rèn)證架構(gòu)和業(yè)務(wù)特定安全機(jī)制。
【編輯推薦】
