移动互联网安全探析.docVIP

移动互联网安全探析  HYPERLINK \t _blank  2008年12月23日 15:44 通信世界周刊 作 者：信息产业部电信研究院规划设计所 王永斌  HYPERLINK /qiye/qy146.htm \t _blank 移动互联网的安全性 移动互联网（MobileInternet）已成为当今网络的一大热门词汇，其日趋火热也是网络发展的必然结果。目前， HYPERLINK /techClass2 \t _blank 移动通信代替固定通信成为一个不可争辩的事实，而互联网的飞速发展，也是信息社会发展的一个必然趋势，两者的结合体移动互联网的诞生和发展就成为一种必然。 移动互联网把移动通信网作为 HYPERLINK /tech/%BD%D3%C8%EB%CD%F8 \t _blank 接入网络，其包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网和传统的互联网有一定的差异，从表现形式来看，传统互联网是开放的、免费的、拥有海量信息的平台，但其无法对用户进行身份确认，而移动互联网却能做到这一点。所以，相对而言，移动互联网对网络安全有着更高的要求，更强调保护用户的行为及隐私不受干扰。 但是，目前移动互联网在终端和业务应用方面存在较大的安全漏洞，随着智能终端的普及，终端的安全和防护性存在重大考验；业务应用方面，使用移动互联网的用户可能会受到来自于各种渠道的垃圾信息的干扰，如短信、 HYPERLINK /tech/WAP \t _blank WAP、E-mail邮件等。 移动互联网的安全威胁 移动互联网的安全通信框架可以参考 HYPERLINK /tech/ITU \t _blank ITU-T的X.805框架（如图1所示），X.805的安全框架基本上有三个层次、三个平面和八个维度。保障移动互联网的安全，要保证终端的安全、网络的安全和业务的安全。 图1 ITU-T X.805 安全通信框架 终端的安全威胁 随着通信 HYPERLINK /tech \t _blank 技术的进步，终端越来越智能化，内存和芯片处理能力逐渐增强，在终端上也出现了操作系统。智能终端的出现也带来了潜在的威胁：非法篡改信息，非法访问，通过操作系统修改终??中的信息，利用病毒和恶意代码进行破坏。 网络的安全威胁 网络层面的安全威胁，包括非法接入网络，对数据进行机密性破坏、完整性破坏；进行拒绝服务攻击，利用各种手段产生数据包造成网络负荷过重；利用嗅探工具、系统漏洞、程序漏洞进行攻击。 业务的安全威胁 业务层面的安全威胁，包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。 移动互联网的安全机制 针对安全威胁，移动互联网也有相对应的安全机制。因为移动互联网接入部分是移动通信网络，无论是采用现在的2G还是今后的 HYPERLINK /3G \t _blank 3G进行接入，3GPP、OMA等组织都制定了完善的安全机制。 终端的安全机制 移动互联网终端应具有身份认证的功能，具有对各种系统资源、业务应用的访问控制能力。对于身份认证，可以通过口令或者智能卡方式、实体鉴别机制等手段保证安全性；对于数据信息的安全性保护和访问控制，可以通过设置访问控制策略来保证其安全性；对于终端内部存储的一些数据，可以通过分级存储和隔离，以及检测数据完整性等手段来保证安全性。 网络的安全机制 目前，在移动互联网接入网方面，3G有一套完整的安全机制。 HYPERLINK /tech/3G \t _blank 第三代移动通信系统(3G)在2G的基础上进行了改进，继承了2G系统安全的优点，同时针对3G系统的新特性，定义了更加完善的安全特征与安全服务，3G移动通信网络的安全机制包括3GPP和3GPP2两个类别。 业务的安全机制 对于业务方面，3GPP和3GPP2都有相应业务标准的机制。比如，有WAP有安全机制、Presence业务安全机制、定位业务安全机制、移动支付业务安全机制等，还包括垃圾短消息的过滤机制、防止版权盗用的DRM标准等。移动互联网业务纷繁复杂，需要通过多种手段，不断健全业务方面的安全机制。 从产业链角度 保障移动互联网安全 对于移动互联网的安全保障，需要从整体产业链的角度来看待其安全问题，既需要通信 HYPERLINK /opera/ \t _blank 运营商、 HYPERLINK /manufacture \t _blank 设备商、软件提供商、系统集成商等价值链各方共同努力，来实现其网络安全，也需要政府部门进行相应的监管，建立合理的政策监管体系。 政府相关监管部门 政府相关监管部门要协调各监管部门利益，建立并