移动互联网安框全架.docVIP

移动互联网安全框架 Security Framework of Mobile Internet 2009-07-23 ??????作者:魏亮 英文摘要:The article describes the layered model of network and information security, and gets the security framework of mobile Internet according to the structure of mobile Internet. The mobile Internet has three parts, i.e. terminal, network and service system, and the network and information security; and it can be studied in 4 layers: equipment/environment security layer, service and application security layer, information security layer and information content security layer.英文关键字:mobile Internet; network and information security; security framework ? 基金项目：国家高技术研究发展计划(“863”计划)资助项目(2008AA01A204) ? ??? 随着信息化水平的提高，互联网逐渐深入到使用者的日常工作和生活，人们对互联网使用的需求也随之水涨船高。除了在家和在办公室接入互联网外，出现了随时随地，在移动过程中，在野外，在地铁等交通工具中接入互联网的需求。与此同时，无线技术的飞速发展也为此提供了相应的技术支撑，除了无线局域网(如Wi-Fi)技术外，还有WCDMA、CDMA2000 EV-DO、TD-SCDMA、WiMAX等3G移动通信技术。据中国互联网信息中心(CNNIC)统计，截至2008年底，中国移动互联网的用户数达到了1.17亿户，相当于互联网2005年的网民人数，增长率已经连续两年超过100%。随着中国移动、中国电信和中国联通分别推出了3G上网方案，移动互联网驶入了发展的快车道[1-6]。 ??? 与此同时，移动互联网上的安全问题也逐渐显现出来。网络上出现了大量如：GTP over Billing攻击、DDoS攻击、DHCP地址耗尽攻击、伪冒地址恶意阻断上下文攻击、“沉默诅咒”拒绝服务攻击、垃圾信息群发、隐私信息窃取、手机病毒等在内的威胁互联网安全的案例。截至2008年底，能运行在智能手机平台上的病毒已经接近400个。移动互联网继承了传统互联网技术以及移动通信网技术的脆弱性，面临来自“问题多多”的互联网和正在IP化的移动网的双重安全风险威胁。可以预计，移动互联网安全问题将在不久的将来凸现出来，成为安全重灾区。 1 移动互联网??? 移动互联网的概念是相对传统互联网而言，强调可以在随时随地，并且可以在移动中接入互联网并使用业务。与此类似还有无线互联网的概念，强调以无线方式而非同轴、双绞线、光纤等有线方式接入互联网并使用互联网业务。一般来说移动互联网与无线互联网并不完全等同：移动互联网强调使用蜂窝移动通信网接入互联网，因此常常特指手机终端采用移动通信网(如2G、3G、E3G)接入互联网并使用互联网业务；而无线互联网强调接入互联网的方式是无线接入，除了蜂窝网外还包括各种无线接入技术，例如便携式计算机采用802.11(Wi-Fi)技术接入互联网并使用互联网业务。 ??? 随着电信网络和计算机网络在技术、业务方面的相互融合：手机除了通过移动通信网外也可以通Wi-Fi接入互联网；便携式计算机除了通过无线局域网(如Wi-Fi)外也可以使用数据卡通过移动通信网接入互联网。很多人已经不再纠缠移动互联网与无线互联网的细微差别。一般人们可以认为移动互联网是采用手机、个人数字助理(PDA)、便携式计算机、专用移动互联网终端等作为终端，移动通信网络(包括2G、3G、E3G等)或无线局域网作为接入手段，直接或通过无线应用协议(WAP)访问互联网并使用互联网业务。移动互联网网络结构如图1所示。 ? ??? 与此对应，移动互联网安全研究采用手机、PDA、便携式计算机、专用移动互联网终端等作为终端，移动通信网络(包括2G、3G、E3G等)或无线局域网作为接入手段，直接或通过WAP访问互联网并使用互联网业务时的安全问题。 2 移动互联网安全架构 ? 2.1 网络与信息安全分层??? 移动互联网既涉及传统的移动通信网络(现包含