移动互联网安全问题分析

移动互联网安全问题分析泰尔网2009-12-1008:38:30来源[电信网技术]作者蒋晓琳黄红艳摘要随着移动互联网技术的快速发展、智能手机的普及及其开放的趋势，移动互联网的安全问题已经成为其发展的最重要的因素之一。本文通过分析移动互联网的安全模型，比较移动互联网与固定互联网安全问题的区别，提出了若干建议。1引言移动互联网融合了传统的蜂窝移动网络业务和互联网业务，因此在不同的领域对于移动互联网的理解有所不同，目前仍没有统一的定义，这些差异不仅仅体现在技术及其标准方面，其商业模式、思想理念也有着一定的区别。仅从业务形态方面来划分，可以将移动互联网分为以下模式：（1）手机以WAP方式接入运营商的WAP网络以及公共WAP网络来使用特定的移动互联网业务。（2）采用移动终端（手机/PDA，便携式PC）通过移动网（包括2G，2.5G，3G，E3G，4G）接入互联网使用开放的互联网业务，这些业务与固定互联网相比最明显的特点在于终端的移动性和业务的个性化。支持移动互联网业务的设备有手机，PDA，便携计算机等多种形态。移动互联网将把信息通信业两个发展最快、创新最为活跃的领域连接在一起，它绝不仅仅是接入手段的改变，或是对固定互联网的简单复制，而是一种新的能力、思想和模式，并将不断催生出新的产业形态、业务形态和商业模式。近年来，移动通信技术的飞速发展，网络带宽的不断提高，终端处理能力也越来越强，众多互联网业务向移动互联网渗透。据统计，搜索，SNS，门户，即时消息等在移动互联网业务中使用量最大。从移动互联网业务的发展趋势可以看出，IM类业务和Facebook等SNS类业务的发展速度较快，移动互联网业务也越来越体现出交互性、即时性和群体性的特征。与日、韩等移动互联网普及率较高的国家相比，我国的移动互联网仍处于发展的初期阶段，但由于2008年3G牌照的发放和运营商的宣传力度加大，现阶段我国的移动互联网业务无论在用户数量上还是创新能力上都有着大幅度的提高。截至2009年7月的调查显示，中国手机网民规模为1.55亿元，占整体网民的45.9%；在2009年上半年手机网民增长超过3700万。调查显示，手机作为上网设备使用比例增幅较大，从2008年末的39.5%到2009年6月的46%，相比较下，PC上网使用比例在下降。随着移动互联网的快速发展及其用户群的不断增大，随之而来的安全问题也开始引起业界的重视，现阶段安全问题已经初露端倪，针对手机的病毒，垃圾邮件和恶意代码正呈现出不断增多的态势，威胁形式也多样化，除了窃取用户的私人信息之外，网络和服务被攻击实现也出现了。国外的统计数据表明，已经有86%的移动互联网用户开始担心终端的安全问题，如欺诈账单、信息盗用等；34%的用户开始对目前的终端及其服务的安全质疑；59%的用户希望运营商能够把保障终端和业务安全放在首位。可以说，移动互联网的安全问题已经成为保证其发展的最重要因素之一。现阶段我国的移动互联网业务目前大多以“围墙花园”的模式在运营，另外由于智能手机的普及率不高，因此现阶段移动互联网的安全性较好。但是随着移动互联网的进一步开放，其安全问题也会逐渐显现。因此，如何保证移动互联网的安全可以说是建设移动互联网的重中之重。2移动互联网安全问题分析与固定互联网相比，移动互联网的特征可以总结为3个方面，即移动性、私密性和融合性。（1）移动性移动性带来接入便捷、无所不在的连接以及精确的位置信息，而位置信息与其他信息的结合蕴育着巨大的业务潜力。（2）私密性与固定互联网不同，移动互联网业务的用户一般对应着一个具体的移动话音用户，即移动话音、移动互联网业务承载在同一个个性化的终端上。而移动通信终端的私密性是与生俱来的，因此移动互联网业务也具有一定的私密性。（3）融合性首先，移动话音和移动互联网业务的一体化导致了业务融合；其次，手机终端趋向于变成人们随身携带的唯一的电子设备，其功能集成度越来越高。移动互联网毕竟是在固定互联网的基础上发展的，其安全问题存在相似性，但在每个环节上又有所区别，这些区别具体体现在其终端、网络、业务和应用几个环节。根据互联网的安全模型，可以相应地建立移动互联网的安全模型，具体参见图1。图1移动互联网安全模型移动互联网的安全包括终端安全、信息和内容安全、应用和平台安全及其网络安全4个部分。其区别于固定互联网的特点具体如下：●终端安全作为“无所不在”的服务，个人信息和业务创新的载体，终端是移动互联网区别于固定互联网的最重要环节，其安全问题贯穿并影响了移动互联网安全的各个环节。总的来说，由于移动互联网终端软、硬件技术的局限，总体来说安全性比固定互联网好。主要表现在移动终端的平台不统一，因此平台的不兼容性限制了恶意代码的传播，同时现阶段操作系统漏洞不多；其次硬件处理能力比PC差，无线带宽有限，限制恶意代码的传播；另外某些互联网安全问题不易威胁到移动终端。但是移动终端也有其安全问题的特殊性，包括：其Always-on的特性会招致更多的窃听和监视问题；其“个性化”容易引发涉及隐私/金融等的恶意代码攻击；较PC用户，移动互联网用户缺乏安全意识；另外其病毒传播途径多样化如短信、彩信、互联网、蓝牙、存储卡等；较PC而言，移动终端对用户的重要性增加，已经如身份证一样不可或缺，因此使得攻击价值增大，危险度和严重性增加。●网络安全移动互联网在固定互联网的基础上，其网络节点和相应的协议由于引入了“移动性”需要进行扩展。移动互联网的接入方式多种多样，因此网络安全也将呈现不同的特点。移动互联网相比较固定互联网的网络结构封闭，便于管理和控制。网络安全的特殊性主要表现在网络结构、协议及其网络标识几个方面。互联网主张开放和平等，网络中没有控制点，而移动通信网多主张封闭性更强的“围墙花园”模型和有差别的服务；网络中可以部署关键控制点，便于实现可管、可控；引入移动性需要互联网的协议进行支持，对于原有的互联网协议的扩展和影响；移动互联网的网络标识是其最重要的特点之一，除了可以像固定互联网一样互联网中使用IP地址作为位置和身份标识，在移动互联网中也可以采用SIM卡信息作为用户标识，可以精确定位终端及位置。因此，从这个方面来讲，移动互联网的溯源性要优于固定互联网。●业务和应用安全固定互联网的业务复制是目前移动互联网业务发展的特点，而融合“移动”特征的业务创新则是移动互联网业务发展的方向。因此，其业务系统环节会更多，应用涉及到的用户及服务器的信息会更多，信息安全问题比固定互联网更为复杂。由于移动互联网用户基数大，节点自组织能力强，同时涉及大量的私密信息和位置信息，因此有可能引发大规模的攻击和信息发掘，包括拒绝服务攻击及其对于特定群组的敏感信息搜集等。●恶意信息的传播方式与固定互联网相比，移动互联网的恶意信息传播方式多样化，具有即时性、群组的精确性。移动互联网传播方式可以分为4种：通过短信/彩信进行群组消息传送；通过MMSC/SMSC服务器在SNS，BBS及其微博客等进行信息发布，在指定的群组中进行消息散布；通过即时消息，PushMail等交流沟通类业务在特定的群组中进行传播。3移动互联网安全建议目前在世界范围内尚未发现针对手机的大范围攻击，到目前为止，披露的手机溢出漏洞还很少。但是由于移动互联网业务的发展，移动终端承载了越来越多的支付功能，而且携带大量的私密信息、位置信息和社会关系等，因此其安全问题应引起我们足够的重视，加之移动终端用户群巨大，因此在移动互联网上发起的攻击规模有可能超过固定互联网。例如，我国发生的智能手机大范围的感染“小媒体幽灵短信”木马病毒，危害巨大。“小媒体”手机木马会搜集手机系统的各种私密信息，包括手机主人姓名，手机号码，设备序列号，SIM卡惟一序列号，其他硬件特征等信息，悄悄通过短信发送到指定手机号码，或通过GPRS把更多信息发送到指定网站。这些网站会把用户私密信息进行分析，并高价出售给不法分子。有了这些信息，不法分子可以对感染病毒的手机主人进行短信诈骗、电话骚扰，甚至将来可以进行远程控制。与固定互联网相比，由于感染的移动终端本身携带着大量的用户信息、电话号码及其社会关系甚至位置信息，因此恶意代码的传播也是由点及面，辐射面更广，传播速度更快。其攻击模式有可能是针对于用户的信息窃取，如信用卡号等；有可能是控制多个终端发起服务器或者核心网设备的DDoS攻击；也可能利用木马迅速散布危害国家安全的信息和其他的垃圾信息等。针对上述安全问题，应该明确各个业务经营方的前提下，充分借鉴互联网安全保障措施来明确各个业务安全的权责方，要求其进行网络内容监听、安全事件预警等“事前”控制机制；其次，在明确内容/业务的提供方式之后，可以在关键环节（如服务器、短信/彩信网关等）进行信息识别、过滤、阻断来防止恶意消息的进一步扩散；利用移动互联网较好的溯源能力，在明确各个业务的连接方式后，可以充分借鉴互联网的安全技术，同时根据移动互联网的特点，在特殊节点加强安全监控和安全日志管理。我们可以在如下几个方面加强对于移动互联网的安全问题的研究：（1）加强对于终端的控制，尽量发现漏洞，弥补漏洞。（2）增强对于新业务的检查和控制，尤其是针对于“移动商店”这种运营模式，如何让新业务与安全规划同步，通过SDK和业务上线要求等将安全因素植入。（3）加强业务系统之间访问控制，制定统一的安全策略管理。（4）加强移动互联网统一认证的技术研究，可以避免用户在登录多个业务系统时用户信息泄露。（5）运营商应该优化对于移动互联网的运营，包括不良内容过滤，网络流量清洗，在关键节点部署DPI，DFI的策略（6）加强统一身份管理（IDM）的研究，及IP地址的溯源机制的部署，推进用户网络接入实名制。4结束语虽然目前移动互联网的安全问题尚未凸显，但由于其快速发展及开放的趋势，针对手机的病毒，垃圾邮件和恶意代码正呈现出不断增多的态势，安全问题已经威胁到了“围墙花园”。与此同时，与固定互联网相比，手机用户防范意识不高，运营商的安全防护和技术手段也并不完善。因此，我们应该对移动互联网的安全尽早进行全面的规划，在其网络和技术快速发展的同时最大程度地满足安全的需求。