關于移動互聯網的信息安全研究

何偉賢

摘 要：互聯網技術日新月異的進步發展，在滿足人們對數據和互聯網服務日益增長的需求的同時，也存在用戶隱私泄露、網絡違法增多等問題。論文以移動互聯網網絡安全問題為研究對象，重點剖析了當前移動互聯網網絡存在的安全漏洞，并針對安全漏洞提供了相對應的安全防護建議，旨在為移動互聯網安全的發展提供參考。

關鍵詞：移動互聯網；信息安全；對策

中圖分類號：TP309 文獻標識碼：A

Abstract： With the rapid development of Internet technology， while meeting the growing demand for data and Internet services， there are also problems such as leakage of user privacy and increased network illegality. This paper takes mobile internet security as the research object， focuses on the current security vulnerabilities in mobile Internet networks， and provides corresponding security protection recommendations for security vulnerabilities， aiming to provide reference for the development of mobile Internet security.

Key words： mobile internet； information security； countermeasures

1 引言

伴隨著移動通信技術日新月異的進步發展，移動網絡用戶的數量也在迅猛增長。在移動網絡飛速發展，移動終端快速普及的背景下，隨時隨地的話音業務已經不能滿足移動業務用戶的需求，適合市場需求的移動多媒體業務，包括移動數據、視頻與話音等綜合移動信息業務，已顯示出了巨大的市場潛力和應用發展空間。但從具體應用來看，其智能終端存在隱私泄露、身份冒用和手機病毒等風險；從運營平臺來看，絕服務、信息竊取等問題還普遍存在；從服務提供商來看，不良信息傳播、不安全的業務和惡意扣費等問題較為突出。由此說明，移動互聯網相比傳統的互聯網要面臨更多的安全威脅，加強移動互聯網安全管控已刻不容緩。

2 移動互聯網信息安全

2.1移動互聯網特性

移動互聯網是基于傳統互聯網發展起來的，但移動通信技術和移動終端發展不同，因此移動互聯網與傳統互聯網具有很多共性，同時又具備許多傳統互聯網沒有的新特性。

（1）便攜性：相對于PC，移動終端體積小、重量輕，人們可以裝入隨身攜帶的書包和手袋中，并在大部分場合都可接入網絡。使用移動終端設備上網相較使用PC上網更為方便快捷，更便于溝通，易于獲取資訊，具有得天獨厚的優越性。

（2）私密性：與傳統互聯網開放、公開、透明的特性不同，由于自身的便攜性和移動性，移動互聯網存在著較高的信息保護程度。高私密性決定了移動互聯網終端應用在數據共享時既要保證信息安全性，也要保障認證客戶有效性的特點。

（3）定位性：移動互聯網的典型應用是位置服務，它不同于傳統的Internet。例如，位置簽入、位置共享和基于位置的社交應用程序；基于位置的柵欄用戶監視和消息通知服務；生活導航和優惠券集成服務，目前越來越多的移動互聯網用戶選擇位置服務應用，這也是未來移動互聯網的發展趨勢。

（4）交互性：用戶可使用隨身攜帶的移動終端隨時隨地在移動狀態下接入移動互聯網，并使用移動互聯網應用服務。當人們需要溝通交流的時候，隨時隨地可以用語音、圖文或者視頻解決，充分體現了用戶與移動互聯網的交互性。

2.2 移動互聯網安全問題分析

2.2.1 終端智能化發展帶來安全問題

4G網絡的推廣及普及，給移動應用帶來廣闊的發展空間的同時，也帶來了很多新的信息安全問題。

從國家層面來說，其主要問題有三點。

（1）國外廠商壟斷著大多數移動終端操作系統，給國家的底層監管帶來了難度。

（2）終端用戶的個人信息都被存儲在國外的服務器中，不僅容易造成信息泄露，也容易使得國外企業通過云計算，了解和掌握我國用戶的生產、生活情況。

（3）GPS衛星定位技術的應用，增加了一些安全保密的基礎建設信息泄露的可能性。

從用戶自身來說，手機病毒是最主要的危險因素，不僅容易導致用戶經濟的損失，用戶個人信息的泄露，還容易導致手機終端響應緩慢甚至系統崩潰，影響著用戶的手機使用，更為惡意垃圾信息的傳播提供了途徑。

移動辦公網絡自帶設備（BYOD）安全風險。

BYOD的全稱是Bring Your Own Device ，指智能手機（Andeoid或iOS）、PAD、Laptop等智能移動設備，通過這些智能設備，員工可以在任何時間，任何地點進行收發公司郵件，訪問公司資源，對公司的業務進行處理，從而實現移動辦公。員工攜帶個人移動設備開展移動辦公，較目前固定辦公終端接入方式，存在安全接入審計困難、無詳細評估支撐手段、無應急響應策略等安全風險。移動設備的連通是在設備層面的，也就是說當移動設備接上之后，員工可以對企業內部網絡，訪問企業郵件、辦公文檔、進行移動信息交互。但是移動設備內其他的東西，例如病毒甚至是流氓軟件都可以有權限接觸公司的內部網絡，讓企業的信息安全無法得到保證。

物聯網終端安全問題。

物聯網也是在傳統的互聯網和新興的移動互聯網的基礎上發展起來的網絡系統。傳統的互聯網是計算機與計算機之間的聯系，移動互聯網是移動智能設備之間的交互，而物聯網則是物品之間的信息通訊。它會帶來四點新的安全需求。

（1）集中式的防護模式可能不適用于分布式的終端。如傳統的防火墻無法實現集中保護。

（2）需要監控節點的非法移動。物聯網中M2M終端，如智慧網關、智能開關、監控攝像頭、煙霧報警器等，都是固定不動的或者固定范周內移動的，要求監控節點的非法移動。

（4）在傳輸隱私數據的過程中需要考慮對隱私數據的保護。物聯網中存儲著大量隱私信息，如個人身份信息、家庭住址、電話號碼等。物品上常常為了識別而貼上條形碼或者二維碼，這些識別碼的信息就是唯一標識用戶的信息。這些都需要受到保護，以防泄露。

（4）目前網絡通訊的焦點是物聯網終端，物聯網終端自身的安全問題需要隨時關注，如對終端的識別認證。

2.2.2 4G-LTE網絡IP化帶來的安全風險

做為移動互聯網的主要承載網絡，4G-LTE的安全問題不僅具有傳統IP網絡的特點，同時也面臨電信4G網特有的安全威脅。

4G-LTE網絡面臨多種類型的安全威脅。

威脅來源一：由終端發起的攻擊。攻擊者可以通過在終端內植入病毒或木馬等惡意軟件，控制大量終端進行頻繁的上下線，或發起大量的數據請求等攻擊行為，從而導致空口/網絡擁塞，或者導致相關涉及IP分組數據傳輸的網元（eNB、MME、SAE-GW、防火墻、路由器甚至是交換機）及相關的移動業務應用服務器的相關處理資源耗盡。

威脅來源二：漫游場景下的安全威脅。在漫游場景下，不同PLMN中的SAE-GW、MME、SGSN、HSS、HLR或PCRF需要互相通信。攻擊者可能利用對端運營商的安全防護機制中的漏洞，侵入其網絡或獲取其網元的使用權限，從S8等接口向核心網的網元發起惡意攻擊，獲取敏感數據等。

威脅來源三：互聯網接口的安全威脅。攻擊者可以通過源 IP的方式或DDOS的方式對部署在CMNET上的SGi，S10接口發送大量的攻擊數據包，造成網絡擁塞，網元處理資源耗盡，或導致大量終端接收到偽造的數據請求。

威脅來源四：小型化的eNB、HeNB和以及部分核心系統間的回傳網絡不能被實施完全物理保護，攻擊者就有可能通過物理入侵，實現攔截這些網絡中的數據流量或偽造通訊數據，從而實現對核心網的網元攻擊，竊取用戶敏感信息等。

威脅來源五：安全管理和物理安全機制也會存在漏洞，也不能100%保證內部員工不會有惡意行為。對核心網來說，不能確保攻擊者不能獲得物理接入權限，從而入侵EPC中的網元。外部攻擊者一旦濫用物理接入權限入侵了EPS的網元，就可以從核心網內部發起攻擊，如攔截內部的通信數據，或對其他網元發起攻擊。

威脅來源六：運營商也必須應對接入核心網絡中的網元中存在的惡意軟件的威脅。惡意軟件可以在網元的制造，安裝或調測的過程中被植入，并隱藏和不被激活，通過網元的各種驗收測試，直到系統上線后才通過后門激活。惡意軟件可以實現各種類型的安全攻擊，諸如竊聽、惡意訂購、偽造、欺詐，甚至是拒絕服務攻擊。很明顯，此類攻擊的后果將是災難性的。

威脅來源七：在核心網網元中，保存著一些敏感信息。如在HSS的AuC中保存著共享的長期密鑰 K。如果K在HSS中采用明文存儲或通過網管系統操作時可以明文顯示，一旦攻擊者入侵HSS系統或HSS的網管系統，可能導致敏感信息的泄露。

基于IP的開放體系結構是Internet安全的根本。而上網終端接入類型多樣，業務豐富，智能化程度高，也逐漸成為Internet安全問題的主要原因。IP開放式體系結構使互聯網絡對用戶來說都是透明的。用戶可以得到任何重要節點的IP地址并發起漏洞掃描及攻擊，網絡拓撲結構很容易被攻擊者獲取，攻擊者可以攔截其中一個網絡節點，修改數據的網絡傳輸，用戶數據安全無法保證。與此同時，用戶對網絡不透明，導致認證不嚴格，大量未經嚴格認證的認證機制可以連接到網絡，終端網絡的安全能力和安全狀態未知，無法控制，用戶地址可以偽造，無法追蹤源。隨著移動互聯網的發展和普及，移動互聯網應用日益豐富，接入終端更為多樣化，移動互聯網安全將會面臨更大的挑戰。

2.2.3 移動應用安全

隨著手機等新的移動業務載體智能化的發展，其所面臨的安全風險也正在與日俱增。移動應用客戶端作為各類業務的網上營業廳、OA辦公等應用的一個延伸產品，繼承了PC端絕大多數應用和業務特點，因此傳統應用的安全問題在手機、平板燈應用中依然存在，更加不容忽視的是，隨著手機、平板這個新的業務載體智能化的發展，其所面臨的安全風險也正在與日俱增。根據相關研究部門的分析顯示，除了APP特有風險，目前類似PC端的信息泄露、鍵盤劫持、通訊數據截獲/篡改等常見的安全技術手段，均已經在移動應用端找到了生存的土壤。隨著手機、平板等客戶端技術的發展以及手機APP業務的不但豐富，面臨的風險將會越來越大，在傳統PC上面臨的安全問題都將一一在手機上復現。

3 移動互聯網安全解決方案

3.1 構建移動互聯網安全框架

根據對終端智能化、移動互聯網載體、物聯網載體、移動應用安全等方面進行了安全分析，形成移動互聯網安全框架，如圖1所示。

主要關注三個方面的工作。

（1）應用安全：主要可從應用訪問控制、內容過濾、安全審計三個方面來考慮。前者主要是利用身份認證機制、訪問權限控制及事后追蹤等措施進行控制；內容過濾是指對垃圾郵件的識別、對Web內容的過濾等；安全審計則可以檢測系統漏洞、入侵行為或改進系統性能，是評估系統安全風險并進行整改規避的一個手段。概括來說安全審計可分為系統審計策略和應用審計策略兩大類，前者主要記錄系統相關的活動，后者則是對應用程序的控制。

（2）網絡安全：常用的網絡安全控制策略有加密認證、網絡隔離交換以及攻擊防御和溯源三種。其中加密認證的核心思想是PKI（公匙基礎設施）標準，并結合移動互聯網的環境特征及WAP安全規范而制定的認證體系；網絡隔離交換的出現主要是基于人們對保障“物理隔離”基礎上進行數據交換的需求，伴隨著互聯網安全技術的不斷發展，網絡隔離交換技術也得到了推廣和發展，其基本原理是通過分時的使用兩套系統中的數據通路進行數據交換，已達到隔離和交換的目的；攻擊防御與溯源可分為兩個方面，一是對DoS攻擊的防御，如Ping Flood等，二是對攻擊行為的時候追蹤和監察。

（3）終端安全：移動終端不僅是用戶接入移動網絡的接入點設備，也是用戶信息處理和存儲的節點，其安全涉及用戶隱私、數字安全、支付安全等多個方面的內容，但移動網絡本身提供的安全機制存在風險，并且網絡的開放性也使得計算網絡的安全風險在移動終端上可能出現，由此需要采用多種機制來實現安全目標。如認證：主要包括授權認可的認證、終端的接入互認證等；對系統軟件和應用軟件的完整性檢測；通信或存儲數據的機密性；對各種數據和執行中的狀態進行檢測等。

3.2 完善移動IP協議實體

移動IP的安全應從四個方面來考慮。

第一，移動節點：漫游到外地網絡的移動節點會失去本地網絡防火墻的保護，因此需要考慮如何把它放入到本地網絡防火墻中，使移動節點可以受到相同于本地網絡上其他節點安全級別的安全防護。

第二，外地代理和被訪問子網：移動節點訪問外地網絡，在經過外地網絡防火墻時，應當能夠保護外地網絡的通信流及資源。

第三，本地網絡和本地代理：移動節點離開本地網絡后，在保證本地網絡安全的完整性的同時，應該能夠跨越外地網絡防火墻。

第四，通信對端：要避免黑客通過偽造移動節點進行攻擊，竊聽用戶會話，其中第一點和第三點的認證擴展是必備的。

現階段IPv6已持續投入使用，IPv6也繼承自IPv4的安全威脅，同時具有特有的安全威脅。IPv6中協議和報文結構雖有變化，一些存在于IPv4網絡中的攻擊類型仍然存在。將在IPv6網絡中繼續存在的攻擊類型包括DoS攻擊、路由選擇攻擊、應用層攻擊等。同時IPv6報文結構中引入的新字段（如流標簽、RH0路由頭等）、IPv6協議族中引入的新協議（如鄰居發現協議等）可能存在漏洞，被用于發起嗅探、DoS等攻擊。IPv6特有的攻擊風險包括逐跳擴展頭攻擊、鄰居發現協議攻擊等，對此需要加強認證及DDoS方面的防護。

由此在構建移動IP安全體系時要注意兩個方面。

一是移動安全關聯，要求認證協議必須具有一定的靈活性，并能適應不同的各種約束，這樣才能實現對消息的保護。其主要組成有加密算法、HASH算法、認證方法及移動安全關聯的生存時間，由此兩個網絡實體在進行安全通信前，需綜合考慮這四個方面的因素確定一個安全關聯，選擇彼此都支持的加密和認證算法。

二是密匙管理。它不僅是移動IP的基礎，還是安全關聯的重要內容，能夠預防基于移動IP協議的許多潛在攻擊。常用的秘鑰管理方式有兩種：手工分發和自動分發，但在具體實踐中，手工分發往往難度較大，因此多采用自動分發，此時需要注意的是數據信息需具備數字簽名及數字證書，才能建立起信任關系。

3.3 制定移動互聯網安全安全事件應急預案

為了提高移動互聯網安全突發事件的應對能力，形成快速、高效、有序的移動互聯網安全應急響應機制，有效預防、及時控制和最大限度地減少各類移動互聯網安全突發事件造成的損失和影響，應提前制定移動互聯網安全安全事件應急預案。

移動互聯網安全事件應急預案在技術執行層面可按照分級執行進行響應。

三級響應：采用指令方式進行修復如修改所有的防火墻和路由器的過濾規則；封鎖或刪除被攻擊的登錄賬號。

二級響應：在指令不能進行修復的情況下，需關閉受攻擊系統或其他相關系統的部分服務；關閉或與從網絡上斷開主機或部分網絡；設置誘餌服務器進一步獲取事件信息。

一級響應：在指令不能進行修復，系統也無法快速關閉、隔離的情況下，需考慮對系統進行關電處理。

4 結束語

總的來說，移動互聯網本身存在著巨大的市場潛力，能為社會進步帶來巨大的價值，具有更大的社會效益。移動互聯網不僅僅是一個通過手機上網的簡單概念，它還將承載著未來信息技術的發展變革，高清語音、視頻通訊、遠程會議等通信服務，移動搜索、移動定位服務等移動增值服務，移動辦公、移動電子政務等辦公服務，手機支付、在線商城等消費服務，還有很多現在無法想象但未來可能會出現的各種應用服務都將會出現在移動互聯網上，這將推動整個社會全面進入信息化的時代，提升人們工作、學習、生活的效率。由此，更加需要持續不斷地加強其安全問題的研究，不斷提高安全意識和安全技術手段，保證移動互聯網的安全快速發展。

參考文獻

[1] 張原，劉穎.信息安全等級保護的安全技術分析[J].電子測試，2013（16）.

[2] 趙貌文.計算機信息安全的應用研究[J].電子技術與軟件工程，2013（15）.

[3] 郝呈祥.當前計算機信息安全技術與完善建議分析[J].電子技術與軟件工程，2013（11）.

[4] 張原.計算機網絡信息安全分析與管理探究[J].電子測試，2013（14）.