孟照丽 中国信息通信研究院安全研究所助理工程师韩 挺 中国信息通信研究院安全研究所工程师
“互联网+”时代移动互联网安全研究
孟照丽中国信息通信研究院安全研究所助理工程师
韩挺中国信息通信研究院安全研究所工程师
随着“互联网+”时代的到来,移动互联网将会面临前所未有的发展前景。移动互联网融合了移动通信随时随地通信的优势和互联网丰富业务能力的特点,但是也面临着由此带来的安全挑战。本文综合分析了移动互联网现有的安全问题,并展开分析了安全防护措施。
移动互联网;安全威胁;安全防护;安全机制
2015年3月5日,李克强总理在十二届全国人大三次会议上的政府工作报告中提出制定“互联网+”计划,强调“推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融的健康发展,引导互联网企业拓展国际市场。”
“互联网+”战略就是利用互联网的平台,利用移动通信技术,把互联网和包括传统行业在内的各行各业结合起来,在新的领域创造一种新的生态。移动互联网作为“互联网+”计划的核心网络架构,其网络规模和应用领域也在不断扩大。《中国移动互联网发展报告(2015)》显示:2014年,我国建成全球最大的4G网络,基站数量超过80万,中国移动互联网的用户、终端、网络基础设施规模持续稳定增长,移动应用开发者数量超过300万人,同比增长约16%,移动应用生态链初步形成,移动应用的高渗透率与高集中度并存,即时通信、移动支付、电子商务、视频、广告、阅读、医疗等各细分市场都获得长足进步。
各类移动应用蓬勃发展的同时,也暴露出了移动互联网的安全缺陷,TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等,使得移动互联网面临前所未有的安全挑战。2015年移动互联网发展论坛上,项立刚提到:移动互联网最有价值的东西是什么?一是方便,二是高效,三是管理,四是安全。可见,安全问题是移动互联网健康持续发展不可或缺的要素之一。在对移动互联网络频繁应用的同时,要不断地对其中所涉及的关键性技术做进一步的完善和研究,保证拥有一个健康良好的移动互联网络环境。
移动互联网是移动通信和互联网融合的产物,融合了移动通信随时随地通信的优势和互联网开放性和丰富业务能力的特点。由于移动通信网的IP化发展,渐渐削弱了传统通信网易管易控的安全特性,同时也面临着互联网带来的种种威胁和挑战。
移动互联网带来的安全问题主要表现在终端层级安全问题、网络层级安全问题和业务应用层级安全问题3个方面。
2.1终端层级安全问题
移动终端的智能化和移动互联网的大发展,使移动终端越来越贴近个人,承载的用户信息也更有价值,巨大的经济利益带来了非法篡改信息、非法访问、病毒和恶意代码等新的安全威胁,终端的发展对安全提出了巨大挑战。目前,移动终端面临的风险可分为移动终端硬件层面、操作系统层面和用户数据层面。
(1)硬件层面
移动终端通信接口安全性较为脆弱,信息传输容易泄露甚至篡改;移动终端缺乏完善的访问控制机制,非法用户能够侵入终端窃取数据信息;硬件平台还缺乏完善的保护和验证机制,模块中固件容易被攻击者篡改;用户对移动终端的配置能力逐渐增强,不合理的配置很可能会导致安全级别的降低。
(2)操作系统层面
市场上主流的操作系统有Android、IOS等,其中Android系统凭借其开源的平台以及免费的各式各样的应用,市场份额超过了80%,一直处于领先地位。与此同时,正是由于其开放的API和平台给攻击者提供了开发恶意程序的平台,故OS和APP安全问题层出不穷,成为了移动互联网安全的重灾区。随着Android系统向物联网各个领域的渗透,它的安全性将成为极大的安全隐患。
绝大多数系统破坏类恶意软件都会非法获取系统的最高权限,即Root权限。获取最高权限后,恶意软件可以强行结束安全防护软件的进程,将自身程序移动到系统程序目录以伪装成系统应用,使自己无法被卸载,破坏了用户的手机系统。
(3)用户数据层面
移动终端存储着用户大量的重要信息,如电话簿、短信、邮件、支付账户等,如何对这些数据进行加密、保护和隔离,也是移动终端面临的一个安全难题。
移动定位技术获取用户位置信息,用户个人位置信息也存在被泄露的风险。
移动终端提高存储和处理能力的成本较高,相应安全防备保护技术的开发存在较大的限制性,例如病毒库的存储和更新。
2.2网络层级安全问题
(1)空中接口易遭受攻击
攻击者在空口窃听信令或用户业务,攻击者通过在空口插入、修改、重放或删除信令数据控制数据用户业务数据等手段,拒绝合法用户或伪装成网元攻击网络,或者通过物理方法组织用户业务、控制数据、信令数据在无线接口上传输。
(2)全IP化发展带来的安全威胁
有线接入网络、传输网以及承载网由于全IP化发展引入了新的安全威胁形式,如黑客更容易利用电信移动网络的安全漏洞,对移动终端进行攻击、控制,让其成为攻击其他目标的工具;同时,引发垃圾邮件、蠕虫病毒、网络攻击等大量网络安全事件发生。
(3)配置脆弱
目前,移动互联网的很多安全事件的根源在于现网设备基础安全配置不够,如开放无用端口、弱口令、没有配置安全策略等。
(4)认证漏洞
入侵者可以通过伪造、猜测甚至旁路认证机制进入移动终端并获取数据,成为移动终端的严重安全威胁。
2.3业务应用层级安全问题
(1)业务应用平台自身脆弱性
移动互联网的业务应用平台自身的脆弱性给攻击者提供了入侵和破坏业务应用平台系统的途径。业务应用平台硬件、软件和信息资源的脆弱性在被相关安全威胁利用时会对业务应用平台造成极大危害。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
(2)业务应用的复杂性
业务应用平台的主流应用主要包括Web应用类,如网页浏览;上层应用类,如电子邮件、即时通讯、网银、网游、下载等。这些软件相对复杂,尤其是应用软件功能设计实现与测试不完善,用户与监管部门关注度较低,存在各种安全缺陷或者隐患。Web安全和渗透测试厂商Cenzic公司最新发表的报告称,96%应用存在安全漏洞,每个应用平均有14个安全漏洞。一方面,这些应用在互联网上的用户群庞大,软件安全性能薄弱,侵入用户终端的途径增多,互联网安全风险增大;另一方面,如果这些基础软件存在的隐患或者漏洞被利用,将给互联网安全带来非常严重的后果。
(3)业务应用缺乏监管性
一方面,由于Android系统的开源性,大多手机应用的质量由开发人员自己把控,水平参差不齐。而一些应用软件平台希望在短期内迅速扩大用户规模、提升流量,无论手机应用质量好坏都可以上载,降低了对手机应用质量的审核和把关。
另一方面,面对飞速发展的移动互联网络,国内相关法律法规落在后面,一定程度上助长了低质甚至山寨APP的横行。
3.1移动终端的安全防护
2014年工业和信息化部报告显示,中国已有超过6.3亿互联网用户和5.7亿万手机用户。移动终端将会置于“互联网+”战略的核心地位,移动终端的安全问题将是移动互联网安全的重中之重。
(1)设备硬件安全层
主要是对设备进行控制,包括蓝牙、红外、Wi-Fi、USB管理等,对所有对外接口设置开关控制,避免使用未知无线接口。启动用户认证使用增强型接入认证、数据存储加密。
(2)系统安全层
安装安全防护软件,防止恶意程序对系统、信息造成损坏;及时对系统进行补丁管理和系统加固,防止病毒利用漏洞侵入终端。
从技术上来说,身份认证和数据加密是移动终端需要解决的主要安全问题。
终端应具有身份认证的功能,具有对各种系统资源、业务应用的访问控制能力。对于身份认证,可以通过口令或者智能卡方式、实体鉴别机制等手段保证安全性。
(3)用户数据安全层
对于数据信息的安全性保护和访问控制,可以通过设置访问控制策略来保证其安全性;对于终端内部存储的一些数据,可以通过分级存储和隔离,以及检测数据完整性等手段来保证安全性。
3.2网络的安全防护
移动互联网网络包括两部分,即接入网和IP承载网/互联网。接入网采用移动通信网时涉及基站(BTS)、基站控制器(BSC)、无线网络控制器(RNC)、移动交换中心(MSC)、媒体网关(MGW)、服务通用分组无线业务支持节点(SGSN)、网关通用分组无线业务支持节点(GGSN)等设备以及相关链路,采用W i-Fi时涉及接入(AP)设备。IP承载网/互联网主要涉及路由器、交换机、接入服务器等设备以及相关链路。接入网和IP承载网/互联网的现网设备需加强基础安全配置,可以将设备功能和设备配置要求规范,并作为设备入网、工程验收、日常维护的准入规范。除了加强基础安全配置外,还需要重点加强如下的防护措施:
(1)接入网
接入网层面偏重于身份鉴权和数据加密能力,还应提供数据完整性保护和接入控制保护,确保合法用户可以正常使用,防止业务被盗用、冒名使用等,相关设备也应加装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵入。无线终端与基站之间现有的安全通信协议有:WEP协议、IEEE 802.11i安全标准、WAPI协议等;包括安全连接协议WTLS等。针对需要重点防护的用户,还可以采用VPN或专用加密等方式,确保实现双向鉴权、密钥动态地实时分发以及及时销毁,进一步增强数据信息在空中接口传输的安全性。
(2)IP承载网/互联网
IP承载网/互联网层面偏重于网络入侵检测和防御、内容过滤、流量监测等。通过安全算法、安全协议保证移动互联网基础安全;通过安全设计、安全部署保证移动互联网安全;通过监控和内容过滤的技术手段,保障相关内容的安全与健康。
●关于入侵检测与防御
移动互联网的入侵检测和防御将会借鉴传统互联网上的入侵检测和防御技术成果。目前,入侵检测IDS和入侵防御IPS呈现出一种新趋势,那就是综合利用网络处理器、通用处理器和专用处理器的网络流量深度安全检测与分析的硬件支持技术。
●关于内容过滤
在内容过滤方式上,一般采用字符串精确匹配过滤和正则表达式过滤两种方法;采用的关键技术为基于特征库的深度过滤,动态的流数据重组方法能准确、高效地过滤不良信息,使用于流量大的网络环境。目前,针对使用P2P及加密方式传播的不良内容的识别、获取、分析、控制是内容过滤的难点。
●关于流量监测
协议识别是流量监测的关键技术,比较常用的协议识别技术包括:基于端口的协议识别、深度检测识别和连接模式识别。依据控制策略控制流量,流量控制系统把用户的流量牵引到安全防护系统上,进行清洗后再把信息传输给用户,拦截各种威胁流量。对流量进行缓冲和队列控制,是流量控制的较新的技术。
3.3业务应用的安全防护
业务应用平面的安全防护偏重于业务权限认证、数据保密、访问记录能力。
(1)合理规划安全域
针对不同的业务合理划分和布防安全域,从外部网络到核心网之间建立多层安全防护边界,并在每层防护边界上部署侧重点不同的安全技术手段和安全策略。
(2)业务权限认证
移动互联网应用大幅增加后,通信对端更不可信,由此可能引发病毒感染、木马等一系列攻击,危害严重。需要对服务提供方进行严格认证,目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。
(3)建立多样化的业务安全机制
除了用户和系统的身份认证之外,业务系统的安全机制还要保证信息不被非法访问,保证业务系统信息的保密性、完整性和不可抵赖性。对于业务方面,3GPP和OMA都有相应业务标准的机制。比如,WAP安全机制、Presence业务安全机制、定位业务安全机制、移动支付业务安全机制等,还包括垃圾短消息的过滤机制、防止版权盗用的DRM标准等。
(4)加强业务应用的监管
所谓“安全三分靠技术,七分靠管理”,移动互联网除了技术手段的安全防护外,监管部门需形成APP应用程序准入制度,加强对智能手机应用发布平台的网络安全审查;移动互联网使用者也应加强自身的安全防护意识,培养良好的上网习惯,时刻注意个人信息的保护,重要信息的存储加密,数据的定期备份,以及注意移动终端的安全,防止被抢被盗等。
随着“互联网+”时代的到来,移动互联网得到了长足的发展,伴随而来的安全问题也成为了人们广泛关注的热点。移动互联网的安全关系到9亿移动互联网用户的个人信息和财产安全,是移动互联网健康持续发展的前提和基础。本文全面分析了移动互联网的安全现状,并展开分析了安全防护措施。移动互联网业务纷繁复杂,需要通过多种手段,不断健全各个层面的安全机制。
[1]王文宇,刘玉红.移动互联网终端安全分析与研究[J].计算机安全,2011,12:21-23+27.
[2]王红凯,王志强,龚小刚.移动互联网安全问题及防护措施探讨[J].信息网络安全,2014(9):66-70.
[3]马铮,王健全,周光涛.移动互联网安全防护体系及策略探析[A].2012全国无线及移动通信学术大会论文集(下)[C].中国通信学会无线及移动通信委员会,2012:5.
[4]彭国军,邵玉如,郑袆.移动智能终端安全威胁分析与防护研究[J].信息网络安全,2012(1):58-63.
[5]石莎.移动互联网络安全认证及安全应用中若干关键技术研究[D].北京邮电大学,2012.
[6]班晓芳,佟鑫.移动互联网安全威胁分析[J].电信技术,2012(7):77-78.
[7]岳荣,李洪.探讨移动互联网安全风险及端到端的业务安全评估[J].电信科学,2013(8):74-79.
[8]杜跃进,李挺.移动互联网安全问题与对策思考[J].信息通信技术,2013(4):11-15.
[9]房秉毅,张云勇,徐雷,蓝天.云计算应用模式下移动互联网安全分析[J].电信技术,2011(10):22-26.
[10]贾心恺,顾庆峰.移动互联网安全研究[J].移动通信,2011,10:66-70.
Study on Mobile Internet Security in Internet+Era
Meng Zhaoli,HanTing
With the advent of the“Internet+”era,mobile Internet will hold out an unprecedented prospects.Mobile Internet combines the advantages of mobile communications’anytime,anywhere communication characteristics and the Internet’s rich services,but also facing security challenges it poses.This paper analyzes the existing security problems of mobile Internet and expand the analysis for the security measures.
Mobile Internet;security threat;security;security mechanism
2015-12-10)