移动互联网安全框架.pdfVIP

移动互联网安全框架 Security Framework of Mobile Internet 2009-07-23 作者:魏亮 摘要:文章认为应当采用物理与信息安全分层，依据移动互联网网络结构，构建移动互联网安全架构。按照 网络特征，移动互联网可以分终端、网络以及业务系统 3 个部分；网络与信息安全分设备/环境安全、业务 应用安全、信息自身安全以及信息内容安全 4 个层面。移动互联网安全应将终端、网络以及业务系统分别 在设备/环境、业务应用、信息自身以及信息内容安全层面加以研究。 关键字:移动互联网；网络与信息安全；安全框架 英文摘要:The article describes the layered model of network and information security, and gets the security framework of mobile Internet according to the structure of mobile Internet. The mobile Internet has three parts, i.e. terminal, network and service system, and the network and information security; and it can be studied in 4 layers: equipment/environment security layer, service and application security layer, information security layer and information content security layer. 英文关键字:mobile Internet; network and information security; security framework 基金项目：国家高技术研究发展计划( “863”计划)资助项目(2008AA01A204) 随着信息化水平的提高，互联网逐渐深入到使用者的日常工作和生活，人们对互联网使用的需求也随之 水涨船高。除了在家和在办公室接入互联网外，出现了随时随地，在移动过程中，在野外，在地铁等交通 工具中接入互联网的需求。与此同时，无线技术的飞速发展也为此提供了相应的技术支撑，除了无线局域 网(如 Wi-Fi)技术外，还有 WCDMA 、CDMA2000 EV-DO、TD-SCDMA、WiMAX 等 3G 移动通信技术。据 中国互联网信息中心(CNNIC)统计，截至 2008 年底，中国移动互联网的用户数达到了 1.17 亿户，相当于互 联网 2005 年的网民人数，增长率已经连续两年超过 100%。随着中国移动、中国电信和中国联通分别推出 了3G 上网方案，移动互联网驶入了发展的快车道[1-6]。 与此同时，移动互联网上的安全问题也逐渐显现出来。网络上出现了大量如：GTP over Billing 攻击、DDoS 攻击、DHCP 地址耗尽攻击、伪冒地址恶意阻断上下文攻击、“沉默诅咒”拒绝服务攻击、垃圾信息群发、 隐私信息窃取、手机病毒等在内的威胁互联网安全的案例。截至 2008 年底，能运行在智能手机平台上的病 毒已经接近 400 个。移动互联网继承了传统互联网技术以及移动通信网技术的脆弱性，面临来自 “问题多 多”的互联网和正在IP 化的移动网的双重安全风险威胁。可以预计，移动互联网安全问题将在不久的将来 凸现出来，成为安全重灾区。 1 移动互联网 移动互联网的概念是相对传统互联网而言，强调可以在随时随地，并且可以在移动中接入互联网并使用 业务。与此类似还有无线互联网的概念，强调以无线方式而非同轴、双绞线、光纤等有线方式接入互联网 并使用互联网业务。一般来说移动互联网与无线互联网并不完全等同：移动互联网强调使用蜂窝移动通信 网接入互联网，因此常常特指手机终端采用移动通信网(如 2G 、3G、E3G)接入互联网并使用互联网业务； 而无线互联网强调接入互联网的方式是无线接入，除了蜂窝网外还包括各种无线接入技术，例如便携式计 算机采用 802.11(Wi-Fi)技术接入互联网并使用互联网业务。 随着电信网络和计算机网络在技术、业务方面的相互融合：手机除了通过移动通信网外也可以通 Wi-Fi