移動數據的安全威脅和解決方案研究

金龍　邵彤

摘要：文章展示不同的移動數據可能在現實生活中發生的安全威脅，并提供了消除它們的解決方案。移動數據是分布式系統的一個特殊類。由于移動數據應用的分布式特性和移動設備的硬件約束對于安全是個挑戰。文章涉及的安全主題包含4個方面，包括：移動硬件設備的安全性、移動設備上的操作系統的安全性、移動數據的安全性和移動網絡的安全性。文章確定在移動數據上有一系列安全漏洞，并嘗試運用適當的技術，以減少對移動數據安全方面的影響。對于移動硬件設備，文章將討論影響移動數據的安全性的可能的解決方案，主要分為移動硬件設備、移動操作系統和移動網絡的安全問題。最后，對于更多的安全，文章提供了可應用于分布式數據的全面解決方案。

關鍵詞：移動數據；安全策略；移動網絡

本文目的是給用戶和組織提供移動數據全球互通的安全能力，并提供有效的移動數據技術建議確保被用戶和組織使用。安全性支持對任何數據系統是必需的。對于移動數據系統，安全支持對于保護用戶和設備以及數據更為重要。在移動通信中，由于無線介質是公開的，攻擊者可以很容易地訪問網絡和數據，用戶和分布數據的中央計算機變得更加脆弱。在已有的研究中，移動數據系統的安全問題的解決方案所缺乏的綜合介紹，這對于移動數據的研究者和開發者是非常重要的。本文討論移動數據系統和移動網絡所有安全問題以及解決方案。此外，一個新的議案也是對某一個安全問題的建議。首先，安全問題主要分為4個重要領域：移動硬件設備、移動設備上的操作系統、移動數據和移動網絡操作系統將是本文討論安全問題的4個領域。集中概括的描述對于研究人員和開發者是比較重要的，能夠幫助他們有效地理解問題域并可能在未來提出更多的安全機制。本文的主旨是開展對現有的安全機制的全面調查，并發現其中的安全缺陷。此外，還提供通用的安全問題的解決方案。本文的其余部分安排對分布式數據提供一個可能的解決方案和應用適當的技術來滿足相應的安全要求。

1 移動設備和WM（windows moblie）設備的安全性

對于視WM設備的開發者來說，安全是一個重要課題。根據特定設備的安全性配置，應用程序可能需要與特權證書或非特權證書進行簽名。除了簽名應用程序，了解能夠影響應用程序執行的安全設備的1層和2層同樣重要。尤其是在2層的安全配置，非特權和未簽名的應用程序已經是受限地訪問設備資源。

WM設備的安全模型歸納如下：（1）程序運行的安全性：適用于代碼執行。控制應用程序可以在設備上運行。控制應用程序可以做哪些。（2）設備配置的安全性：適用于設備管理的安全性；控制有權訪問特定設備配置信息。控制訪問設備配置信息的不同級別。（3）遠程訪問的安全性：通過ActiveSync遠程API（RAPI）控制。控制設備上的桌面應用程序可以做什么。

1.1 應用程序執行權限

根據特定的WM設備的安全配置，在設備上應用程序可能被允許運行或可能被禁止運行。下面是為WM設備的應用程序定義執行權限：（1）特權：應用程序在設備上可以做任何事情，對系統文件和系統注冊表具有完全寫入權限，也允許安裝證書，可能允許其他應用程序在特定的WM設備上運行。（2）正常：該應用程序被限制其執行。它不能調用可信的Win32 API，不能寫入注冊表的保護區，不能寫入系統文件或安裝證書。（3）阻止：將不允許應用程序執行。

不同的權限級別確定了一個未簽名的應用程序在WM設備上被允許做什么。這些不同的訪問級別稱為層。特定設備的安全策略決定了特定的設備如何處理應用程序簽名和權限問題。安全策略的第1部分是設備安全層，設備可以有1層或2層的安全性。

1層安全設備關注的只是應用程序是否已經被簽名。在1層安全中沒有權限限制的概念。在1層安全下，所有正在運行的應用程序都可以調用任何API，修改任何部分系統文件和修改注冊表的任何部分。1層安全只限制應用程序的啟動。簽名的應用程序可以執行并且不進行進一步檢查，未簽名的應用程序需要后面的策略進行檢查來確定它們是否可以執行。

2層安全限制應用程序啟動和應用程序運行時的權限。在具有2層安全的設備上，簽名的應用程序可以執行并進一步的檢查，未簽名應用需要后面的策略進一步檢查，以確定它們是否可以運行。在運行時，2層安全根據已簽名的證書關聯的權限來限制應用程序訪問API，注冊表和系統文件的權限。用特權證書存儲中的證書簽名的應用程序將會擁有特權權限執行，其他所有應用程序將使用普通權限運行。

下面的安全策略的2部分緊密聯系在一起：未簽名的應用程序是否能夠執行以及未簽名應用程序在運行前用戶是否被提示。

3個安全設置創建4個共同的安全策略：（1）關閉安全性：在這個策略下，未簽名的程序可以被運行并且不會提示用戶。這個關閉安全性策略是默認配置。關閉安全性策略的設備是非常過時的做法，因為設備在不知情的情況下安裝惡意程序并且毫無限制地控制設備。（2）1層策略提示：此策略允許簽名的應用程序執行，未簽名的應用程序在執行前設備會提示用戶。應用程序一旦執行后，它對應用程序的權限是沒有限制的。這就是簽名程序和未簽名程序的區別。（3）2層策略提示：此策略允許簽名的應用程序執行，未簽名的應用程序在運行前設備會提示用戶。如果用戶允許未簽名的應用程序運行，該應用程序將獲取普通權限來運行。簽名應用程序將獲得的是普通權限或特權權限運行。（4）鎖定移動應用市場策略：應用程序經過簽名才能執行，未簽名程序運行將不會提示用戶。這些未簽名的應用根本無法執行。一旦申請執行，權限是由程序的簽名證書決定的，簽名證書存在于特權證書存儲中的證書中或普通證書存儲中的證書，則獲取相應的權限。

安全策略設置被存儲在設備注冊表的安全部分。如果沒有持久性存儲，如果WM設備的電池用盡，設備再次通電啟動后在ROM中的安全設置將會恢復到默認的安全設置。對于持久存儲，如果WM設備的電池耗盡，安全設置將在設備再次通電啟動后保持不變。當設備由用戶手動冷重啟后，持久存儲和所有程序以及用戶數據都會被擦除，恢復到當初燒錄的狀態。

1.2 設備上的安全策略

設備級的安全涉及誰有權訪問設備及其數據，控制哪些應用程序可以在設備上運行，并建立數據如何從設備發送。用戶訪問通過PIN碼或密碼驗證來管理。一個設備可以被設置成一段時間內不活動或者被關閉后自動鎖定，用戶如果再次使用則需要解鎖設備才能繼續。

1.3 在WM設備上的最佳安全實踐

（1）無論有沒有其他安全策略限制訪問設備，設置RAPI策略限制模式。

（2）在運行普通的應用程序提示用戶。微軟強烈建議在所有的WP設備上運行未簽名程序時保留用戶提示模式的策略。

（3）用一個未認證用戶的安全角色分配給未簽名的主題。微軟強烈建議您保留未簽名主題策略的SECROLE_USERUNAUTH安全角色。這是默認設置

（4）保持你的藍牙關閉。

（5）用戶可以通過加密控制面板程序啟用手機加密，在設置>安全。

（6）設備損壞時刪除在記憶卡的信息，防止非法訪問（見表1）。

2 移動數據庫安全

2.1 分布式數據庫

一個分布式數據庫系統包括分布式數據庫管理系統、一個分布式數據和一個互聯網絡。一個分布式數據庫中數據是分布在多個數據庫中的。在分布式數據庫管理分布式數據庫。分布式數據庫系統的功能包括分布式查詢管理、分布式事務處理和執行的安全性和完整性跨多個節點。數據庫管理系統的要求是：（1）多級訪問控制。（2）認證。（3）保密。（4）可靠性。（5）可用性。（6）可恢復。

移動數據庫是一個專門類的分布式系統，其中一些節點可以從聯合分布式操作系統中脫離，從一個工作站的子服務中轉移到另一個工作站的子服務中的連續連接的操作成為可能。移動數據庫可以在下面2種可能的場景中分布式：（1）整個數據庫主要分布在有線組件中，有可能全部或部分復制。（2）數據庫分布在有線和無線組件，數據管理負責基站和移動單元之間的共享。

2.2 移動數據庫系統的問題、安全性挑戰和解決方案

在分布式數據庫系統中一些軟件問題可能涉及數據管理、事務管理和數據庫恢復。在移動計算中，這些問題更難，主要是因為無線通信是有限的、間斷性的，有限的手機電源壽命和不斷變化的網絡結構。因此，在管理移動單元上的數據斷開操作是有必要的。

在一個移動數據庫應用程序是一個分布式數據庫的情況下，存在由于應用和移動設備的硬件限制的分布式特性的安全挑戰。分布式多級安全的主要問題是身份認證、數據保密、身份識別和執行適當的訪問控制。

2.2.1 身份認證

用戶認證是保護移動設備和手持設備的主線路。認證確定并驗證在系統中一個用戶的身份，類似提供一個問題的答案。傳統的認證機制依賴于維護用戶身份的集中式數據庫，使得在不同的管理域用戶身份很難驗證。在移動設備中使用這種安全機制，為每個系統提供安全訪問重要的、私密的信息或者個性化服務是非常困難的。這里的問題是認證機制應該是分布的，認證一個用戶時，認證的各個部件需要相互通信。在集成環境中，認證需要具有所有系統用戶的信息。有3種基本的身份驗證手段，其中個別可以驗證自己的身份。

（1）一些個人數據（例如，一個口令、個人身份號碼（PIN）、組合、個人背景數據集）。（2）一些個人擁有（例如，令牌或卡片、物理鑰匙鎖）。（3）一些個人特征（中間系統）（例如，個人特征或“生物體”諸如指紋或語音模式），這種技術原理基于指紋，由此，當用戶的指紋被識別認證即被授權可以訪問這個手機。

移動設備用戶只需要在他第一次使用設備時驗證，當用戶通過設備驗證后就可以訪問通過該認證的其他任意設備數據。該方案要求所有網絡上的設備都能夠可靠地處理此認證數據。標準化工作，如開放系統環境（OSE），便攜式操作系統界面（POSIX）和政府開放系統互連配置（GOSIP）可以促進跨網絡透明的認證這一目標。

本文通過符號來描述3個基本的身份驗證，基于PIN的身份驗證是用于驗證設備實際用戶身份的方法，但這種方法有很大的缺點，因為PIN或密碼可以很容易被猜到。為了防止密碼被猜解，用戶必須設置一個復雜的密碼，它往往很難記住。在手持設備上為了解決此問題，已經開發了比較安全實用的、基于圖形的或生物驗證的、令人難忘的認證方案，例如指紋、語音識別、虹膜掃描和面部識別。這種方法的主要缺點是，這樣的系統可能是昂貴的，并且識別過程可能是緩慢的和不穩定的。

2.2.2 數據保密性

通常情況下，移動用戶與企業數據庫的連接在不斷增長，使移動用戶的個人數據的隱私和保密性面臨新的威脅。C-SDA（芯片級擔保數據訪問）是解決方案，它允許查詢加密的數據，同時可以控制用戶特權。C-SDA是作為客戶端（手機）和加密的數據庫之間基于客戶端的安全組件。這個組件被嵌入到智能卡，以防止在客戶端上發生篡改。這是比較好地嵌入用戶的機密數據到自己的移動設備里的方案。除了它們在存儲容量方面的限制，即使是這些設備不能完全信任的，如被盜、遺失或損毀（他們的主機數據必須在網絡上保存副本，以保證數據的恢復能力）。另一種方式是通過加密以提供機密性，或者使用接收的主體公共密鑰，或使用組合密鑰和公鑰方法。例如，代理可以使用對稱密鑰，并使用它來接收要保護的主體公鑰。加密通常用于保護在不安全的網絡或存儲設備上的數據。

2.2.3 鑒別

驗證用戶身份的方法，通常被稱為用戶識別和認證。密碼是用于驗證用戶的常用方法，但名字信息（例如，第一個或最后一個）或密碼，電子郵件地址不能確保身份，當使用認證作為授權的手段時為了防止未經授權訪問計算機資源，一些用戶開始使用生物識別技術作為用戶識別方法。

如果使用密碼作為安全認證的方式，就必須管理密碼使密碼周期變化，它依賴于數據的復雜度，在口令中使用故意拼錯的單詞，2個或多個單詞組合在一起，或包括數字和標點，以防止密碼的猜測。身份必須是唯一的，這樣系統可以區分不同的用戶。身份也應該是不可偽造的。識別和認證之間的一個重要區別是，身份是公開的，而認證信息是保密的，由一個人證明他確實是他聲稱的自己。此外，身份識別和認證為未來提供了訪問控制的基礎。

2.2.4 訪問控制

訪問控制保護數據的完整性限制可以更改數據的用戶。訪問控制規則在分布式環境實施中可以被分布、集中或復制。如果規則是集中的，那么中央服務器需要檢查所有的數據庫訪問。如果規則是分布的，那么規則能被適當的定位和特權執行。特定的數據庫通常與相關聯的規則可以被存儲在同一部位。如果規則可以被復制，那么每個節點都要有可以檢查自己所管理的數據的訪問權限。關系數據庫系統使用SQL語言實現訪問控制，使用GRANT和REVOKE命令。GRANT命令用來給用戶提供特權。它的語法如下：

GRANT privileges ON object TO users [WITH GRANTOPTION]

在SQL中，對象可以是表或視圖或列名的列表。該權限包括SELECT，允許讀取訪問指定表的指定列，以及INSERT，UPDATE，DELETE。參數users可以指單個用戶或一組用戶。

REVOKE命令是用于刪除以前授予的權限。

多級安全數據庫管理系統（MLS/DBMS），明確用戶在不同安全級別的訪問權限和在不同的安全級別不違反安全策略共享數據，并且基于分布式數據和分布控制，所有在數據庫中的數據必須接收一個訪問級別和用戶以較低的分級水平將不知道存在于一個更高的分類級別的數據。從MLS/DBMS中的觀點和安全政策的設計上來看，權限控制系統可分為自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）。

這3個安全訪問模型，RBAC執行最差。它缺乏必要的細粒度控制強制用戶訪問規則或防止外部行為者非法進入。基于角色的訪問控制（RBAC）技術吸引了越來越多的關注，特別是對商業應用，因為它有可能用于減少在大網絡應用的訪問控制信息和安全管理成本的復雜性。

3 移動網絡的安全性

移動運營商的3G網絡不僅暴露了病毒，同樣針對手機的特定病毒和木馬以及直接攻擊，例如黑客和犯罪組織在他們的網絡上的拒絕服務（DOS）攻擊。對于這種類型的攻擊，有線互聯網服務供應商已經花了長期時間處理。這些攻擊根據3G網絡的結構和3G數據網絡中使用的協議弱點也有相應的變異。為了保護網絡和用戶，移動運營商需要：（1）以整體架構的實施方式為網絡出安全解決方案，單點解決方案是不行的。（2）在網絡中部署各種安全產品，如防火墻、入侵檢測與防護（IDP）和虛擬專用網絡（VPN）。（3）制作客戶端防病毒、防火墻軟件，隨時提供給使用終端設備的用戶。（4）提高警惕，使用適當的安全策略反映出3G網絡中的威脅。這是廣泛的使用無線網絡和基于IP多媒體系統（IMS）標準的網絡總體發展的額外結果。（5）網絡的安全在于最薄弱的環境。移動運營商、ISP社區和其他電信運營商需要相互合作來確保安全性。（6）大力保護信令，信令通過IP遷移創造了新的風險。移動運營商比有限運行商需要更多的信令流量，業務通信的關鍵是信令。

本文接下來將探討以下主題：（1）為什么3G無線網絡是脆弱的，這些脆弱性在什么地方。（2）針對這些網絡可以做哪些類型的攻擊。（3）部署什么樣的產品可以幫助保護3G網絡。（4）移動運營商將來的威脅，特別是關于目前正部署在世界各地固定的和移動的IMS。

最后，本文還提出了一些移動運營商可以采取的步驟，以盡量減少網絡和用戶的風險。蜂窩數據網絡是脆弱的有以下幾個原因：（1）移動運營商正在構建是基于因特網協議（IP）高速無線網絡，其允許用戶在聯網時可以做更多。（2）移動運營商已經向公眾互聯網和其他數據網絡開放了他們的網絡，這樣使他們的3G網絡更容易受到攻擊。（3）移動運營商把網絡不斷發展成IMS，使得所有在IP協議上網絡都能相互連通。

具體的攻擊移動網絡的類型如表2所示。這里的安全含義是，很多用戶設備通過多樣化的網絡訪問內容和相互通信，在蜂窩網絡中產生很多流量。這意味著，從任何目的源發生攻擊的可能性很高。例如，許多復雜的攻擊會偽裝在自己的數據會話和端口流量中，與很多的正常流量在一起，就越難識別威脅。

4 保護移動網絡的解決方案

對于移動運營商，第一步在自己的網絡中擊敗攻擊。這意味著實現網絡的分層防御：（1）改變安全政策和做法，以更好地反映新的威脅。（2）專注。只要有可能，無線數據服務到數據中心的數據壓縮到一個更小的數字。在歐洲的許多移動運營商已經采取這類措施來保護其核心網絡。（3）在網絡中通過技術和設備保護終端用戶。例如，抗病毒、防火墻、內容掃描。（4）部署安全產品，如防火墻、虛擬專用網（VPN）和入侵檢測與防護（IDP）。（5）提供數據包級、會話級和應用級的保護移動網絡。

5 結語

分布式數據庫安全在分布式數據庫的設計和功能中是不可或缺的。分布式數據庫的安全性有3個重要的部分：物理、用戶和網絡。這一系列策略、標準和程序要協同工作。策略支持目標方向。上述解決方案的目標必須放到一個分布式數據庫上。此外，在該系統中不應該忽略人的因素和特點。因為使用該系統的用戶，將會被認為是安全的有效因子。當然，我們也強調，只集中審查的項目是不夠的，更高的安全性需要在實施過程中考慮一個合適的架構。