移動互聯網面臨三大安全問題
中國移動通信集團公司網絡部處長徐海東表示,移動互聯網融合新凸顯的安全面臨網絡安全、終端安全、業務安全三方面問題。
徐海東表示,移動互聯網融合的安全對策可以有以下四點:
一是用戶對網絡透明,要抓住可鑒權,可溯源的技術優勢,可以起到有效的威懾作用,降低各種安全威脅,提高網絡的整體安全強度;
二是要關注網絡自身安全,且對用戶不透明,對用戶隱藏網絡拓撲,使得用戶無法對網絡節點發起攻擊;
三是終端安全保護。對于智能終端的安全保護需要進行重點研究,由于智能終端的操作系統可能存在安全漏洞,在彩信、手機瀏覽網頁、下載安裝軟件等多種情況下都可能感染病毒或遭到入侵;
四是業務的安全保護。互聯網應用大幅增加后,通信對端更不可信,由此可能引發病毒感染、木馬等一系列攻擊,危害嚴重。需要對服務提供方進行嚴格認證,目前正在標準化的GBA/GAA是一種對業務服務器進行認證的有效解決辦法。以下是中國移動通信集團公司網絡部處長徐海東發言實錄:
中國移動在互聯網安全和人才培養領域還有待加強,我們也是一名新兵,我們從2G到3G的網絡發展也在逐步向互聯網領域結合,有些業務也在往互聯網發展。所以,互聯網安全對我們來說是非常關注的,慢慢的會有很多網絡安全問題在網上凸顯出來,中國移動的業務以后會往互聯網發展為主,我們特別關注移動互聯網安全。在這里拋磚引玉提出自己的想法,并且按照這些想法做一些探索。所以,在這個平臺上能夠和大家在這些方面做交流,感到非常地榮幸。
網絡安全處是中國移動集團領導小組辦公室轉變過來的,我們主要關注客戶信息安全和互聯網安全兩大方面,還會對垃圾短信進行監測,也包括終端業務。
一、中國移動互聯網概念及發展趨勢。
二、互聯網安全分析。
三、移動通信網安全分析
四、移動互聯網安全分析。
互聯網應用飛速發展
開放共享的發展模式使互聯網成為新業務、新思維及海量信息的集散地。Web2.0、博客、播客、推特、C2C電子商務虛擬社區等新應用層出不窮,個人參與內容創作商業模式被激活。網民非常龐大,連我父親60多歲了都還會上網購物,上網聊天,上網視頻,在我們的生活中可以明顯地感受到這種變化。
移動通信網絡廣泛普及。網絡不斷演進,移動通信網絡從第一代模擬通信系統到第二代GSM為代表的窄帶數字移動通信系統,目前發展到以WCDMA/TD-SCDMA為代表的第三代寬帶數字通信系統,以LTE為代表的用戶就有5億的用戶。
互聯網需要電信能力。一是對網絡服務質量有要求,面向連接的話音、視頻、多媒體業務的要求趨勢越來越明顯;英特網的盡力面為決定了對這類業務的服務質量無法有效解決。二是終端發展的需要。手機能力的增強,實德隊互聯網的需求趨勢明顯,互聯網需要和手機緊密結合;固定多媒體終端的發展已和互聯網進行了緊密結合。
電信網絡需要互聯網服務模式。話音服務已基本滿足用戶需求,基于用戶增長和價格競爭的模式難以為繼;電信運營商需要拓展新業務應用模式;互聯網層出不窮的業務應用模式能夠很好的滿足這種需要。全國有手機人數的比例已經非常高了,中國移動從07年開始大力發展農村市場,按照這樣的發展速度總有一天用戶肯定會逐步飽和。當然,現在又在開辟新的領域,這和互聯網也有關系,就是物聯網,啟動人和機器的通信,把我們的業務在新的領域去拓展,在拓展的過程中也有對互聯網業務的需求。
中國移動有一個專門的基地在研究物聯網,比如把所有城市的電梯都裝在物聯網上,城市任何一個角落的電梯出現故障的話,都可以通過物聯網發布信息。中國移動的新業務對互聯網有很多的需求,話音業務的價格也已經降到很低了。
移動互聯網:電信和互聯網融合。在以一致的體驗享受互聯網的所用應用的同時,還可以享受針對移動和終端特點的新業務,如位置服務、短信、彩信等。繼承移動通信全網漫游、統一認證、無縫覆蓋等優勢,為用戶提供任何時間、任何地點的互聯網訪問,繼承傳統電信網的QOS優勢,提高高品質服務。
移動互聯網:多方共同需求。對于用戶而言,英特爾、消息、語音、視頻、數據等等多媒體,隨時上網,想用就用。對于電信運營商而言,電信業務有限,而互聯網業務極大豐富,特別是用戶創造內容/業務,引入不斷創新的互聯網商業模式。對互聯網應用來說,電信有保障的通信能力是對互聯網的最大吸引力。比如,大家在互聯網上看一個電影都不想繳費,可能會有額外的繳費方式,如廣告等方式繳費。但是,在中國移動聽一首歌都要繳費,彩鈴是很大一塊業務,我們也覺得很奇怪,自己下載歌花錢讓別人聽,還經常換,而且我們每年的收入非常好,這是一種收費模式。但是,你上互聯網看一部電影,自己看都不愿花一分錢,我覺得移動這種模式是對互聯網的一種促進,也是互相吸引的一種方式。
移動通信網安全分析
傳統2G移動通信網絡安全性較好,其原因是:
第一,終端類型單一。早期移動網絡只支持一種終端接入,要么是支持GSM,要么是支持CDMA,不支持其他模式終端接入,接入類型單一使鑒權認證比較可靠。業務單一,主要是傳輸話音業務,沒有數據傳輸,終端可控資源較少。
第二,網絡封閉。由運營商自建專有網絡傳輸,不經由公共網絡傳輸,受外界影響較少。媒體面和控制面獨立,采用TDM傳輸,媒體面不能干擾控制面,而IP網絡則是混合交換,增加了安全隱患。
第三,終端非智能。
2G網絡的安全缺陷一是認證有缺陷,認證為單向,只有網絡對用戶的認證,沒有用戶對網絡的認證,攻擊者可以偽造基站,騙取用戶信息。二是數據保護有缺陷。只有加密,沒有完整性保護功能、數據被篡改無法發現。數據加密時沒有采用抗重放保護措施。
大家不用擔心復制SIM卡,有人發短信告訴你可以復制SIM卡,或者監聽誰的電話的話,這些都是騙人的,不信可以去試一試,他們是用IP電話做的強顯,在手機上顯示這個號碼而已。SIM卡復制一定要使用原卡,這是大家一定要記住的。
3G及后續網絡的安全性在增強。如增加雙向認證,密匙長度128位,增加完整性保護,增加序列號機制,防止重放。當然,安全隱患也在增多,IMS中網絡IP化的引入,IP安全隱患增加,LTE網絡扁平化,增加了ENB的安全風險,終端智能化,引入新的攻擊能力,業務不斷豐富,流程的漏洞也在增加。
1、AMPS安全性較差,第一代模擬電話鑒權加密非常弱,電話經常被盜打或竊聽。
2、GSM安全性較強,鑒權加密得到大幅增強,基本滿足日常通信安全需要。
3、GPRS安全性比較強,終端智能化。
4、3G終端智能化,業務多樣化,傳輸高速化。
5、IMS業務IP化,接入多樣化,應用豐富化。
6、LTE/SAE傳輸高速化、接入多樣化。
互聯網安全分析
這里都是做安全的專家,我就不在這里班門弄斧了。
互聯網不安全的原因與移動電信網絡對比圖。移動電信網絡終端接入類型單一,互聯網接入類型多種多樣,能力不一;移動通信網絡業務單一,互聯網業務非常豐富,且有網上銀行、網上繳費、購物等全敏感業務;移動通信網絡網絡封閉,互聯網是基于IP的開放式架構;移動通信網絡媒體面和控制面獨立,互聯網全IP架構,用戶有通過IP媒體通道控制網絡的可能;移動通信網絡終端非智能,互聯網大量采用計算機上網,智能化、可定制化很高;移動通信網絡IP獨立,互聯網可以共享IP。當然,互聯網不安全的原因還有很多,在這里就不一一點評了。
互聯網安全問題的重要根源:一是網絡對用戶透明。用戶可以獲得任意網絡重要節點的IP地址并發起漏洞掃描及攻擊,網絡拓撲很容易被攻擊者得到,攻擊者可以在某一網絡節點截獲、修改網絡中傳送的數據,用戶數據安全沒有保障。二是用戶對網絡不透明。鑒權不嚴格,大量擁護未經嚴格的認證機制即可接入網絡,終端的安全能力和安全狀況網絡不知情、不控制,用戶地址可以偽造,無法可靠溯源。
對應的改進思路,網絡對用戶不透明,怎樣做到透明呢?用戶拓撲和網絡拓撲分離,網絡拓撲對用戶隱藏,網絡節點用戶不可達;用戶對網絡可控透明,對接入用戶進行嚴格的鑒權認證,將地址與身份嚴格綁定,實現行為可追溯,加強對用戶行為的控制。
移動互聯網的融合,傳統移動網絡安全性優勢喪失殆盡。最后能夠剩下的是鑒權嚴格,行為可溯源;移動互聯網融合,互聯網的其他安全問題仍然存在;移動互聯網的融合新凸顯的安全問題有網絡安全、終端安全、業務安全。如網絡安全扁平化、分布式將成為網絡的演進方向,PZP 等分布式技術將被廣泛應用在網絡構建中,其安全問題需要深入研究。終端安全問題將更加普及,終端容易被攻擊,被控制。移動互聯網環境下,結合位置信息、彩信、短信等移動特色的各種互聯網服務將不斷涌現,其安全問題需要給予足夠重視。移動互聯網還有用戶信息安全問題,怎樣保障用戶的信息有效也是一個非常艱巨的任務,涉及的人和面確實非常廣,大家如果有哪些信息在網上保存的話,也不愿意讓別人可能這些信息,如通話記錄、上網內容、彩信內容、短信內容、登記信息等等,但有時候這些業務又需要結合這些信息來做。
移動互聯網的融合需要安全對策:
一是用戶對網絡透明,要抓住可鑒權,可溯源的技術優勢,可以起到有效的威懾作用,降低各種安全威脅,提高網絡的整體安全強度;
二是要關注網絡自身安全,且對用戶不透明,對用戶隱藏網絡拓撲,使得用戶無法對網絡節點發起攻擊;
三是終端安全保護。對于智能終端的安全保護需要進行重點研究,由于智能終端的操作系統可能存在安全漏洞,在彩信、手機瀏覽網頁、下載安裝軟件等多種情況下都可能感染病毒或遭到入侵;
其實,現在黑客的目標也非常明確,都是奔錢去的,只要能賺到錢,對方在有些方面比我們研究得還深入。比如手機病毒防護、可信終端安全架構,手機操作系統漏洞研究等等,而有些病毒是很難發現的,只有你拿到帳單的時候才會發現。比如彩鈴業務,很多人的手機被別人訂購了彩鈴,在網上消費了,但這個人永遠都不知道,因為彩鈴是給別人聽的。
四是業務的安全保護。互聯網應用大幅增加后,通信對端更不可信,由此可能引發病毒感染、木馬等一系列攻擊,危害嚴重。需要對服務提供方進行嚴格認證,目前正在標準化的GBA/GAA是一種對業務服務器進行認證的有效解決辦法。同時手機支付等敏感業務的安全機制需要重點研究。重點關注GBA/GAA認證架構和業務特定安全機制。
【編輯推薦】
