王翔明 劉文豪 張再軍

摘 要：移動通信與移動互聯(lián)網(wǎng)正在以前所未有的速度迅猛發(fā)展，通過移動網(wǎng)絡人們可以高速地獲取各類豐富多彩的網(wǎng)絡服務，移動網(wǎng)絡己經滲透到了人們生產生活的各個方面。移動網(wǎng)絡的開放性與無線傳輸?shù)奶亍⒁苿踊ヂ?lián)網(wǎng)繼承的傳統(tǒng)互聯(lián)網(wǎng)的脆弱性、移動網(wǎng)絡與其它無線網(wǎng)絡異構融點合導致網(wǎng)絡體系結構的復雜化以及移動網(wǎng)絡的全IP化都使得移動網(wǎng)絡面臨著越來越多的各種類型的惡意攻擊的挑戰(zhàn)。

關鍵詞：移動網(wǎng)絡；安全；信息

移動網(wǎng)絡發(fā)展

隨著移動與無線通信技術以及移動互聯(lián)網(wǎng)的快速發(fā)展，新一代的移動通信技術已經開始致力于實現(xiàn)各種無線網(wǎng)絡如3G、4G、WLAN、WiMax等的互聯(lián)互通、跨域協(xié)同、異構融合以建立一個幵放、靈活、可擴展的全EP化網(wǎng)絡平臺，進而為用戶提供無所不在的、高速率、低成本、優(yōu)質QoS的網(wǎng)絡服務。然而，移動網(wǎng)絡的幵放性與無線傳輸?shù)奶攸c、移動互聯(lián)網(wǎng)繼承的傳統(tǒng)互聯(lián)網(wǎng)的脆弱性、網(wǎng)絡融合導致網(wǎng)絡體系結構的復雜化以及網(wǎng)絡的全IP化都使得移動網(wǎng)絡面臨著越來越多的各種類型的惡意攻擊的挑戰(zhàn)。DDoS攻擊、偽冒地址惡意阻斷上下文攻擊、病毒、木馬、垃圾郵件和短信、跟蹤定位、竊聽等安全事件層出不窮，都在不斷威脅著整個移動網(wǎng)絡的安全[1]。

同時，新一代的移動通信是以網(wǎng)絡應用服務為核心的，以智能手機為代表的移動終端作為用戶的體驗平臺，其自身的安全隱患也給整個移動網(wǎng)絡帶來了極大影響。各類惡意移動代碼，如病毒、木馬等已經對移動終端的安全構成了重大威脅，移動終端的內存和芯片處理能力不斷增強給了惡意代碼更多的生存空間，開放的操作系統(tǒng)和應用編程接口極大地方便了惡意代碼的開發(fā)和入侵，而移動終端用戶數(shù)量的日趨增加則為惡意代碼的廣泛傳播創(chuàng)造了良好環(huán)境。根據(jù)《2013-2014中國互聯(lián)網(wǎng)安全研究報告〉> 顯示，單是2013年被病毒感染的安卓手機數(shù)量就超過了270萬部，不斷出現(xiàn)的各類移動病毒不僅給移動用戶造成了大量損失，也使國家信息安全面臨嚴重威脅。

移動通信與移動互聯(lián)網(wǎng)正在以前所未有的速度迅猛發(fā)展，據(jù)國際電信聯(lián)盟ITU數(shù)據(jù)顯示，2013年全球移動互聯(lián)網(wǎng)連接數(shù)達到了68億次而中國移動用戶數(shù)量2013年初就已達SflL8億，移動互聯(lián)網(wǎng)用戶則約有8億。通過移動網(wǎng)絡人們高速地獲取各類網(wǎng)絡服務，移動網(wǎng)絡已經滲透到了人們生產生活的各個領域。確保移動兩絡安全，研宄新型移動網(wǎng)絡安全防護技術不僅事關移動阿絡用戶的個人隱私與財產安全，更是對國家信息安全、社會穩(wěn)定與經濟發(fā)展起著舉足輕重的作用。移動網(wǎng)絡安全防護作為面向國家重大戰(zhàn)略需求的基礎研究內容，己被列入《國家中長期科學和技術發(fā)展規(guī)劃綱要（2006-2020年）》之“新一代寬帶無線移動通信網(wǎng)”》國家973計劃項目《面向服務的未來互聯(lián)網(wǎng)體系結構與機制研究》以及中日韓三方前瞻計劃項目《下一代互聯(lián)網(wǎng)安全與隱私關鍵性技術的研究》等也都將移動網(wǎng)絡安全防護作為了主要研究課題之一。

移動網(wǎng)絡安全研究現(xiàn)狀

當前，針對移動網(wǎng)絡安全問題開展的研宄大致可分為兩方面一是基于安全體系與機制的研究，主要包括實現(xiàn)移動網(wǎng)絡安全保護功能的各種具體安全技術與措施；二是基于移動終端安全的研究，認為終端是一切安全問題的源頭，通過對移動終端施以特殊保護從而保證終端安全進而實現(xiàn)整個移動網(wǎng)絡的安全，這主要集中于基于可信計算的安全終端設計以及移動病毒防控策略研宄等。

隨著移動網(wǎng)絡自身的不斷演進，如2G GSM系統(tǒng)，3G的TD-SCDMA、WCDMA，一直到現(xiàn)在的4G LTE移動通信系統(tǒng)，以及移動網(wǎng)絡與WLAN、WiMax等其它無線網(wǎng)絡的異構融合都需要移動網(wǎng)絡的安全體系與機制不斷的發(fā)展與完善。當前移動網(wǎng)絡主要采用的安全機制包括[2]：

（1）身份認證機制

身份認證機制，即認證與密朗協(xié)商協(xié)議（authentication and key agreementprotocol， AKA），是保護移動網(wǎng)絡安全的核心安全機制，主要用于實現(xiàn)用戶與接入網(wǎng)絡的雙向身份認證并對兩者之后通信過程中所使用加密算法與完整性保護算法的密銅進行協(xié)商。針對移動終端接入網(wǎng)絡環(huán)境的不同，存在多種不同類型的AKA協(xié)議，如3GPP AKA、用戶漫游情形中的AKA協(xié)議、3GPP-WLAN-WiMax異構網(wǎng)絡中的AKA協(xié)議、以及移動終端在不同服務器環(huán)境中的AKA協(xié)議等。

（2）完整性保護機制

移動網(wǎng)絡的完整性保護機制主要用于保護終端與基站之間傳輸消息免受偶然或惡意的非授權篡改，比如插入、刪除、修改、置亂、偽造等。TD-SCDMA與LIE均采用分組算法對終端與基站之間傳輸?shù)南⑦M行完整性保護，終端與基站通過驗證附加在傳輸消息后的消息認證碼判斷消息是否被篡改以及消息源的合法性。

（3）空口加密機制

空口加密機制通過對移動終端與基站間傳輸?shù)臄?shù)據(jù)與控制信息進行加密，實現(xiàn)兩者之間的保密傳輸以保證空口安全。由于移動終端自身計算能力與電量供應能力有限，空口加密機制一般采用對稱密碼算法。GSM、TD-SCDMA以及LTE系統(tǒng)均采用序列密碼算法作為空口加密算法，而加密算法使用的密鑰則來自AKA協(xié)議。

（4）用戶身份保護機制

移動網(wǎng)絡通過使用臨時身份識別碼技術防止非法個人或團體通過監(jiān)聽無線信道上的信令交換而獲取移動用戶的真實身份識別碼或對移動用戶進行跟蹤定位。一般情況下，無線信道上發(fā)送的用戶身份標識均為其臨時身份識別碼，用戶只有在開機或訪問網(wǎng)絡寄存器中存儲的臨時身份標識丟失時才會重新發(fā)送其真實身份標識。同時，臨時身份識別碼會不斷進行更新，更新頻率越快，越能有效保護用戶身份。

（5）網(wǎng)絡信令安全交換機制

信令安全交換機制主要用于保護移動網(wǎng)絡中不同網(wǎng)絡單元間交換信令的機密性與完整性。以LTE為例，LTE使用MAPSec機制保護事務處理能力應用部分 （TCAP）中所有的七號信令，使用IPSecESP機制實現(xiàn)服務網(wǎng)絡與分組數(shù)據(jù)網(wǎng)關接口以及分組數(shù)據(jù)網(wǎng)關與外部數(shù)據(jù)網(wǎng)接口的通用數(shù)據(jù)傳輸平臺（GTP）信令安全，同時分別使用IPSec的險道模式與傳輸模式保護不同安全域間與安全域內的信令安全。

（6）移動終端安全接入機制

移動網(wǎng)絡通過使用PIN碼機制防止全球用戶識別卡（USIM）的非授權使用，利用USIM機制限制終端的網(wǎng)絡接入范圍等，同時應用安全傳輸層協(xié)議（TLS）、IPSec機制等確保數(shù)據(jù)在移動終端與智能卡之間的安全傳輸。

（7）安全服務對用戶的可見性與可配置性

安全服務對用戶的可見性和可配置性是指用戶可以獲知一個安全服務的運行狀態(tài)，以及業(yè)務的應用和設置是否依賴于該安全服務。

移動終端是移動網(wǎng)絡中數(shù)據(jù)創(chuàng)建、處理和存儲的源頭，也是大多數(shù)安全事件的發(fā)起端。若移動終端在接入網(wǎng)絡前經過認證和授權，且其任意操作都符合規(guī)定好的安全策略，那么就可有效保護整個移動網(wǎng)絡系統(tǒng)的安全。安全移動終端的研宄己經引起了人們的廣泛重視，關于安全移動終端的研宄主要集中于基于可信計算的移動終端設計和針對移動病毒的傳播建模與防控策略研究。

參考文獻

[1] 胡愛群，李濤，薛明富.移動網(wǎng)絡安全防護技術.中興通訊技術，17（1），2011：21-26.

[2] 謝進柳.3GPP安全架構演進探討.保密科學技術，2012（07）：24-29.