计算机网络论文

  • 格式:doc
  • 大小:285.50 KB
  • 文档页数:6

移动互联网安全问题探究及其对策 摘要:随着移动互联网的不断发展,网络技术、终端技术和业务平台技术正向多样化和泛在化的趋势发展。移动通信网和互联网的相互渗透、互相促进使得移动互联网络安全问题将比以往移动通信系统和传统的互联网更加复杂,涉及的安全问题和领域更多。本文在介绍移动互联网架构的基础上,分析了安全威胁的原因,提出了解决这些安全威胁的对策建议。 关键词:移动互联网;安全威胁;移动安全框架;网络安全;应对策略 1. 引言:随着移动互联网技术和业务的快速发展,用户数量猛增,全球互联网市场规模空前盛大。当下,国内 3G 建设临近尾声。在三大运营商的联合推动下,移动互联网已经逐渐渗透到人们的工作和日常生活中。根据中国互联网络信息中心(CNNIC) 《第 31次中国互联网络发展状况统计报告》,2012 年 12 月底,中国网民数量达到 5.64 亿户,互联网普及率为 42.1 %。其中手机网民规模达到4.2 亿,手机网民数净增 0.64 亿人,占网民总数的 74.5%,手机成为了我国网民的第一大上网终端。但是无线通信技术和互联网的结合,在丰富了人们沟通、娱乐体验的同时,垃圾短信、手机病毒、无端死机等一系列问题也在凸显。所有在互联网上出现的安全问题都可能在移动互联网上重现;另一方面,由于移动互联网本身的特点、独特发展方式与传播能力,致使很多新的安全问题不断出现。网络黑客和犯罪分子同样希望分一块这个能够带来巨大收益的诱人蛋糕,所以,移动互联网成为了网络攻击的新目标。

2.移动互联网发展现状 移动互联网的概念是相对传统互联网而言的。随着现代科技的发展,移动通信和互联网飞速发展, 两者成为信息社会的两大支柱,并且随着演进趋势将逐渐走向融合,电信和互联网产业间的界限会越来越模糊。移动互联网是指移动的用户从自身实际需求出发,能够通过以手机、移动互联网设备(Mobileinternetdeviee,Mln)为主的无线终端随时随地的通过无线方式接人互联网川。移动互联网首先逐步向以IP技术为中心的方向演进,移动通信网络和互联网在网络层面趋向融合;其次移动通信网络通信质量提高和资费下降,使得移动互联网承载互联网业务成为可能;第三以iPhone和Andro记为代表的移动智能终端性能提高与发展,使得互联网与移动网络的一系列服务在终端层面趋于融合;第四最终用户从自身实际需求出发,随时随地接入互联网的需求,推动移动网和传统互联网在内容和应用体验趋向一致。 3.移动互联网的主要安全威胁 移动互联网在发展中遇到的安全问题很多,诸如移动互联网的 ALL-IP 化使互联网的所有安全威胁全部重现、终端的智能化凸显了管道化的业务安全问题、移动云计算加大了移动互联网风险等等。 3.1移动终端智能化暗藏隐患 移动终端的普及和上网应用的创新,是手机网民数量增长的重要刺激因素。当前,智能手机功能越来越强大,移动上网应用出现创新热潮,同时手机价格不断走低,“千元智能机”的出现大幅降低了移动智能终端的使用门槛,从而促成了普通手机用户向手机上网用户的转化。之前,只能在计算机上完成的功能,现在智能终端几乎都可以完成了。移动终端在实现智能化以后,会出现与计算机终端一样的安全威胁。智能手机的普及、使用频率的增加以及功能设计的日趋复杂,将使智能手机更加容易被黑客攻击。毫无疑问,智能手机已成为移动互联网网络犯罪的主要攻击目标。同时,在智能终端冲击下,业务的管道化问题也需要特别重视。当手机智能化之后,在线视频点播、P2P 下载等数据业务会像在固网中一样迅速膨胀,如果在移动互联网中提供数据管道,那好比卖衣服一样,不会在乎所买衣服尺寸和颜色,只按衣服的件数收费,而不会按衣服的式样收费。如果在业务流量非常大的情况下,会给用户造成费用压力,也会造成运营商计费的压力。如果运营商不能针对性地提供业务来满足不同用户的业务需求,那么最终将导致业务收入的流失甚至用户费用提升和满意度下降。除了费用问题外,网络黑客还试图将网页浏览和应用程序下载作为最主要的2 个攻击方向向智能手机发起攻击。智能手机不安全的网络合作伙伴以及含有不良编码的第三方应用程序,则增加了受攻击的风险。同时在使用智能手机的过程中,个人应用和业务应用相互融合,用户行为变得更为随意,再加上无线网络本身就很容易受到攻击,这些也构成智能手机受手机病毒、恶意网络应用程序攻击数量激增的因素。据安全专家预测,今后 80%的网络安全隐患都将来自于智能终端。 3.2移动云计算加大了移动互联网安全风险 随着移动互联网的蓬勃发展,移动云计算正成为 ICT 行业炙手可热的新业务发展模式。移动云计算的各种移动业务在更加方便、快捷以及更为强大的海量信息存储、计算、检索等方面给人们带来了前所未有的应用体验。但也给移动互联网带来了新的安全威胁。在移动云计算环境下,浏览器已经普遍成为云服务应用的客户端,目前互联网浏览器存在软件漏洞,这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算应用的安全。另一方面,移动互联网环境下Always-on 的特性会招致更多的窃听和监视问题;其“个性化”容易引发涉及隐私等的恶意代码攻击;同时,很多 PC 用户,移动互联网用户在使用云服务时缺乏安全意识,短信、彩信、蓝牙等方式很容易成为病毒传播的途径。由于云计算技术中的数据是存储在云中,用户将自己的数据全部托付给移动云服务提供商,但是又没有选择价格昂贵的备份和容灾服务,一旦发生事故,将导致一些关键数据丢失而不能恢复。在移动互联网业务中,移动云服务使各个服务之间的资源得到共享,有效地降低了服务成本,但同时也造成了更多信息内容的暴露,涉及大量的私密信息和位置信息。因此,有可能引发大规模的攻击和信息发掘,包括拒绝服务攻击及其对于特定群组的敏感信息搜集等。 4.移动互联网架构 未来移动网络在网络层实现全IP化的趋势已很明显,各个标准化组织都在将它的体系结构向全IP发展。在网络层以下,众多的无线接人网络以一个异构并存的方式在共同发展,不存在统一趋势。无线接人网络在不同的覆盖区域具有不同的地域优势,高带宽的无线局域网(WLAN)在咖啡厅、机场候机楼等热点地区的应用逐渐普及;在广域环境中,蜂窝技术以其强大的移动性仍处在主流地位;个人环境中,以超宽带(UWB)为代表的各种近距离、低功率的宽带无线通信技术已经崭露头角。随着新应用的驱动,未来将是一个多元化的接入网时代,没有统一的空中接口技术和组网方式。移动网络技术多样化的原因在于各种无线通信技术都有各自的特点,没有一种技术可以在任何条件下满足用户的所有需求,异构共存是未来网络系统的基本特征之一。既然最终各种技术必将共生,那么就有必要从业务提供的角度从整体上对各种技术物种的共生关系进行规划与设计,通过新的体系结构支持异构技术群体的和谐发展,使网络走向有机融合。移动互联网技术正是基于移动泛在业务环境(MUSE)的核心思想而产生的。移动互联网从网络层面来讲,通信系统通过各个异构移动子网络(3G网络、WLAN网络)的协同,支持用户通信的移动与无缝连接;从终端上讲,高性能的泛在智能终端设备以及传感器网络能够充分交互(图1)。移动互联网安全研究采用手机、PDA、便携式计算机、专用移动互联网终端等作为终端,移动通信网络或无线局域网作为接人手段,直接或通过无线接人点(WAP)访问互联网并使用互联网业务时的安全问题。 5.端到端网络安全框架 ITLJ一TX.soo系列建议按照七层开放系统互连(051)基本参考模型对网络安全进行规定。其中X.805安全协议框架为提供端对端网络安全而规定了一种安全体系结构。基于X.805安全协议框架适用于其端对端安全问题与网络的基础技术无关的任何种类的网络,移动互联网网络安全可以参考该安全协议框架进行研究和探讨。 X.805安全协议框架从平面、分层和维度等角度对端对端网络安全进行定义,根据网络管理活动、网络控制或信令活动和用户特定安全等需求把网络安全分为管理、控制和用户三个安全平面(图2);根据网络元素和系统要求,将端对端网络安全划分为基础设施层、服务层和应用层。基础设施层包括网络传输设施和单独的网络单元,例如路由器、交换机和服务器以及其间的通信链路等网元。服务层涉及为用户提供的网络服务的安全。应用层涉及对客户的网络应用的求。分层定义的主要优点是在提供端对端安全时不同应用允许重复使用。由于每一层的弱点不同,因此可以根据每一层的需求进行针对性措施。X.805安全框架给出了8个安全维度,主要包括访问控制、认证、不可抵赖、数据机密性、通信安全、数据完整性、可用性、保密。访问控制用来防止未经授权使用的网络资源。访问控制保证只允许得到授权的个人或设备访问网络一单元、存储的信息、信息流、服务和应用仁。认证用于证实通信实体的身份。认证确保r参与通信的实休具有自称的身份,还对一个实体未试图冒名顶替或未经授权地重播一个先前的通信提供保证不可抵赖。通过给出各种网络相关活动的可用证据(如义务、意图或承诺的证据,数据来源证据,所有权证据,资源使用证据),为防止个人或实体否认实施了涉及数据的某种行为提供了方法。它确保了提供给第三方用于证实已发生某种事件或行为的证据是可用的。数据机密性)防止数据遭未经授权的泄露。数据机密性确保未经授权的实体无法理解数据内容。加密、访问控制清单和文档权限是提供数据机密性的常用方法。通信安全确保信息只在得到授权的端点间流动(信息在这些端点间流动时无法改向或被中途拦截)。数据完整性确保数据的正确性或准确性。防止数据遭未经授权的修改、删除、生成和复制,并给出这些未经授权活动的迹象。可用性(Availability)确保对网络单元、存储的数据、信息流、服务和应用的得到授权的访问不因影响网络的事件而被拒绝。灾害恢复解决方案就属于这个类别。保密(Privacy)对从观察网络活动可能得出的信息提供保护。这种信息的例子包括用户访问过的网站、用户的地理位置以及服务提供商网络中设备的IP地址与DNS名称。

6 安全威胁应对策略 凡事预则立,不预则废。移动互联网面临着各种安全危机,因此要推进其健康地发展,应预先制定针对各种安全威胁的应对策略。维护移动互联网安全,既需要吸取在固网安全上成熟的成功经验,又应当考虑其自身特点。这就对移动互联网的普通用户、运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时,还需要政府监管部门完善相应的监管体系,加强相关法律法规的建设。 6.1 普通用户普通用户应提高安全意识和防范技能,增加网络安全防护知识,改掉不良的上网习惯和不当的手机操作行为,及时安装杀毒软件,查补漏洞。不访问问题站点、不下载或安装不明内容或应用的软(文)件。学会辨别问题网站、恶意软件以及各种网络欺诈行为。 6.2运营商及其他设备厂商运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措