移动网络安全防护技术

　　1.3 移动通信网络面临的安全威胁

　　3G移动通信网络正向全IP网络方向发展，移动通信网络已经和互联网一样，面临着威胁越来越多的威胁。病毒、木马、垃圾邮件和短信、窃听等安全事件，不断威胁着整个3G网络以及未来的4G网络的安全。

　　由于3G与传统移动通信的显著区别在于它是以网络应用服务为核心的，移动终端是用户的体验平台，也是互联网的一个终端。一方面，其自身的安全隐患会对整个3G网络带来极大的影响。3G手机对互联网的高速访问导致其经空中接口传输的敏感数据量大大增加。而且，手机病毒及有害信息也会通过手机终端向其他终端或节点传播。另一方面，互联网的开放性对移动终端的安全构成了重大威胁。移动用户对互联网资源的任意访问，导致手机中毒或被攻击的可能性大大增加。网络开放性带来的安全性问题必然会在3G网络中凸显。此外，3G系统采用的大量协议，也依然存在着一定的安全隐患［4］。

　　2 移动通信网络安全防护研究

　　面对3G移动通信网络以及未来的4G移动通信网络所面临的各种威胁，国内外的学者进行了大量的移动通信网络安全防护方面的研究。这些研究大致可以分为两个方面，一是对安全体系和机制的改进，重点保护空中接口的安全，防止空中窃听。这较多的集中于对3G安全机制中的核心协议——AKA的安全性分析和改进方案。另一个方面是，把安全防护的目标和手段锁定在终端，认为终端是安全问题发生的源头。通过在终端上引入安全的技术和手段，保护终端免受病毒侵害，以保护用户信息安全，进而保护整个网络的安全。而这又可分为两个主要研究热点，一是对终端进行病毒防杀，二是基于可信计算的安全终端理念。

　　2.1 基于体系安全的防护技术

　　文献［5］中，英国安格利亚鲁斯金大学提出了一种应用于3G网络的新型的对称/非对称认证协议的混合方法。文献［5］针对当前3G移动系统认证方案中存在的不足，如移动终端身份泄露和更新临时身份的高开销，提出了安全的认证机制。该方案将认证实体与网络之间初始认证时的信息交互从5次降为4次。随后的认证过程仅仅包含两次信息交互。该方案还可以用来对抗网络攻击，如重放攻击和猜测攻击等，并且满足3G通信系统的安全要求。

　　文献［6］中，美国伊利诺伊大学香槟分校提出了一种轻量级的、基于组件的、可重构的安全机制。该安全机制将Tiny SESAME结构应用于移动网络，增强了认证和基于IP应用的多媒体安全服务，从而增强了移动设备的安全功能。

　　文献［7］中，美国佛罗里达大学针对3GPP中AKA协议易受到伪基站攻击的问题，提出了增强型的AKA协议。伪基站攻击这一漏洞将会使得攻击者可以将用户的信令从一个网络重定向到另一个，还使得攻击者可以使用认证向量来假冒其他网络。他们提出的AP-AKA协议，有效地对抗了以上攻击。

　　文献［8］提出了一种基于虚拟专用网IP安全协议（IPSec VPN）的3G网络安全多媒体业务的解决方案。这种基于IPSec的端到端VPN方案，提供了端到端的实时的安全的多媒体信息传输，并保证了服务的质量。

　　文献［9］分析了现有3G移动通信网络中AKA协议安全性的不足，如已经出现的认证向量攻击。文献［9］针对即将应用的4G通信系统，将已经被证实安全有效的安全套接层/传输层安全（SSL/TLS）协议引入到AKA机制中，提出了基于SSL/TLS协议的改进型AKA协议。

　　文献［10］研究了4G系统所受的安全威胁，用X.805标准对4G系统中的Y-Comm体系进行了分析。作为4G网络安全架构研发的组织之一，Y-Comm提出了集成安全模块和一个针对性的安全模型，较好的保护了数据、服务器和用户的安全。

　　文献［11］分析了3GPP系统架构演进（SAE）8号标准采用的AKA协议，指出了它已解决和未解决的安全问题，强调了其中存在的几个安全缺陷，如用户身份曝光、截取认证向量、共享K密钥泄露的潜在风险等，提出了一种新的3GPP SAE的认证和密钥协商协议。新协议中，采用公钥密码体制对网络域中的用户身份信息和认证向量进行了加密，用随机数产生本地认证的公共密钥。

　　文献［12］中，北京邮电大学对3GPP中AKA协议进行了安全性研究，分析了其容易遭受的4种攻击，提出在位置更新与位置不变两种情况下的基于公钥密码学的认证与密钥协商协议，采用形式化的分析方式证明了所提出算法的安全性，并将该协议与已有协议在安全性方面进行了比较，性能有一定的提升。

　　文献［13］中，同济大学提出了在移动网络环境下建立IPSec VPN连接的终端系统的实现方案，该系统利用NDIS中间驱动程序实现防火墙穿越，以保证IPSec数据包的正常传输。同时利用安全智能卡存储X.509证书，用于身份验证，防止非法用户的入侵。

　　2.2 基于终端安全的防护技术

　　终端是创建和存放数据的源头，大多数的攻击事件都是由终端发起。如果移动系统中的每一个终端都是经过认证和授权的，并且其操作符合安全策略的规定，那么就可以保证整个网络系统的安全［14］。因此终端安全的思想正在逐渐被人们所重视，对其研究也备受关注。而这又分为两个主流的安全防护技术：一是从终端的防病毒和病毒查杀角度的安全防护，另一个是基于终端可信的安全防护。

　　文献［3］提出了一种用于4G移动终端的可信计算安全结构。该结构基于可信移动平台（TMP）和公钥基础设施（PKI），为用户在4G系统中接入敏感服务和敏感数据提供了一个鲁棒性的平台，并提出了混合型AKA认证方案。

　　文献［15］提出在终端安装反病毒软件，在网络侧添加旁路式检测和过滤器进行病毒查杀，以应对智能终端的病毒威胁。

　　文献［16］提出了从网络接入控制到应用服务控制的多层安全控制手段，在终端构造安全应用程序，在网络侧构造安全的网络访问控制和应用服务访问控制的策略，结合安全服务器，保障移动通信网络的安全。

　　文献［14］和文献［17］，都倡导基于可信计算的终端安全体系结构，实现可信终端与可信网络的一致性，以实现系统的安全防护。文献［14］总结了可信计算的各种体系结构以及在终端安全防护上的进展，指出了下一步努力方向。该文献没有涉及系统效率等实际因素，也没有涉及如何构建全网统一安全防护问题。

　　综上所述，上述两种技术方向是移动网络信息安全不可或缺的两个方面。前者着力保护空中接口的安全，后者旨在保护终端免受病毒入侵。在这两个方面中，前者发展相对完善；后者是这两年随着移动网络病毒的出现才受到重视。因此，本文重点讨论后者。

　　3 基于服务的移动网络安全体系

　　如前所述，在如何保护移动终端免受病毒入侵方面，主要有两种解决思路。其一是对终端进行扫描杀毒，另一种是为终端建立可信计算环境。无论是哪一种思路，都离不开安全服务体系。前者需要在移动网络中建立病毒库更新与杀毒服务中心，定期或在线为移动终端提供杀毒服务；后者需要为终端可信环境的建立和维护提供信任检查。不同于计算机用户，由于手机用户的非技术性，如果没有安全服务，很难保证移动网络的安全。

　　在保证手机终端与接入网络之间的身份认证、数据完整性和机密性的前提下，手机终端的安全威胁主要来自Internet网络，这和互联网上的计算机用户受到的安全威胁一样。人们希望可信终端能够防御来自网络的攻击。如果终端是可信的，终端的表现就要符合预期要求，那么终端上就不能存在未授权软件。也就是说，凡是在终端上安装和可以执行的软件一定要得到安全服务器的授权许可。只有这样，网上的病毒才不可能被植入到移动终端中。

　　3.1 基于可信服务的安全体系结构

　　本文对现有的移动网络架构进行了改进。首先，移动终端中必须添加移动可信计算模块（MTM）［18］。该模块是独立的、安全的模块，具有计算能力，能够与安全服务提供者（SSP）进行安全通信。它可以计算出移动终端中的所有软件的完整性，并报告给SSP；同时，它还能够对移动终端中需要安装和执行的软件检查其合法性，看其是否得到SSP的授权。如果没有授权，将禁止安装和执行。其次，移动网络中还需要添加SSP这个角色。它的主要工作是为移动终端提供软件合法性证明。在互联网中，软件提供商（SWP）向移动用户提供的软件必须持有SSP的合法证明，也就是必须有SSP签发的数字证书，才能在移动用户的手机中被安装和运行使用。图3给出了基于可信服务的移动网络安全体系结构图。

　　在图3中，SSP服务器与AN服务器直接连接，这样对原有系统结构改动很小。通过接入认证后的移动终端被允许接入网络后，SSP对该移动终端进行完整性检查。如果终端软件完整性受到破坏，则表明终端可能已经染毒，此时就可以不允许其进一步接入网络，以免将病毒扩散到其他网络终端；如果终端软件完整性未受破坏，则可通过SSP对使用中的移动终端的安装软件和运行软件过程进行安全监督，从而为移动终端提供动态安全服务。