第二,网络封闭。由运营商自建专有网络传输,不经由公共网络传输,受外界影响较少。媒体面和控制面独立,采用TDM传输,媒体面不能干扰控制面,而IP网络则是混合交换,增加了安全隐患。
第三,终端非智能。
2G网络的安全缺陷一是认证有缺陷,认证为单向,只有网络对用户的认证,没有用户对网络的认证,攻击者可以伪造基站,骗取用户信息。二是数据保护有缺陷。只有加密,没有完整性保护功能、数据被篡改无法发现。数据加密时没有采用抗重放保护措施。
大家不用担心复制SIM卡,有人发短信告诉你可以复制SIM卡,或者监听谁的电话的话,这些都是骗人的,不信可以去试一试,他们是用IP电话做的强显,在手机上显示这个号码而已。SIM卡复制一定要使用原卡,这是大家一定要记住的。
3G及后续网络的安全性在增强。如增加双向认证,密匙长度128位,增加完整性保护,增加序列号机制,防止重放。当然,安全隐患也在增多,IMS中网络IP化的引入,IP安全隐患增加,LTE网络扁平化,增加了ENB的安全风险,终端智能化,引入新的攻击能力,业务不断丰富,流程的漏洞也在增加。
移动网络安全问题演进趋势,有些方面在修补,原来的问题在增强,但同样需要一个开放共享的环境和业务驱动,网络安全威胁也在增加。
1、AMPS安全性较差,第一代模拟电话鉴权加密非常弱,电话经常被盗打或窃听。
2、GSM安全性较强,鉴权加密得到大幅增强,基本满足日常通信安全需要。
3、GPRS安全性比较强,终端智能化。
4、3G终端智能化,业务多样化,传输高速化。
5、IMS业务IP化,接入多样化,应用丰富化。
6、LTE/SAE传输高速化、接入多样化。
三、互联网安全分析。
这里都是做安全的专家,我就不在这里班门弄斧了。
互联网不安全的原因与移动电信网络对比图。移动电信网络终端接入类型单一,互联网接入类型多种多样,能力不一;移动通信网络业务单一,互联网业务非常丰富,且有网上银行、网上缴费、购物等全敏感业务;移动通信网络网络封闭,互联网是基于IP的开放式架构;移动通信网络媒体面和控制面独立,互联网全IP架构,用户有通过IP媒体通道控制网络的可能;移动通信网络终端非智能,互联网大量采用计算机上网,智能化、可定制化很高;移动通信网络IP独立,互联网可以共享IP。当然,互联网不安全的原因还有很多,在这里就不一一点评了。
互联网安全问题的重要根源:一是网络对用户透明。用户可以获得任意网络重要节点的IP地址并发起漏洞扫描及攻击,网络拓扑很容易被攻击者得到,攻击者可以在某一网络节点截获、修改网络中传送的数据,用户数据安全没有保障。二是用户对网络不透明。鉴权不严格,大量拥护未经严格的认证机制即可接入网络,终端的安全能力和安全状况网络不知情、不控制,用户地址可以伪造,无法可靠溯源。
对应的改进思路,网络对用户不透明,怎样做到透明呢?用户拓扑和网络拓扑分离,网络拓扑对用户隐藏,网络节点用户不可达;用户对网络可控透明,对接入用户进行严格的鉴权认证,将地址与身份严格绑定,实现行为可追溯,加强对用户行为的控制。
移动互联网的融合,传统移动网络安全性优势丧失殆尽。最后能够剩下的是鉴权严格,行为可溯源;移动互联网融合,互联网的其他安全问题仍然存在;移动互联网的融合新凸显的安全问题有网络安全、终端安全、业务安全。如网络安全扁平化、分布式将成为网络的演进方向,PZP等分布式技术将被广泛应用在网络构建中,其安全问题需要深入研究。终端安全问题将更加普及,终端容易被攻击,被控制。移动互联网环境下,结合位置信息、彩信、短信等移动特色的各种互联网服务将不断涌现,其安全问题需要给予足够重视。移动互联网还有用户信息安全问题,怎样保障用户的信息有效也是一个非常艰巨的任务,涉及的人和面确实非常广,大家如果有哪些信息在网上保存的话,也不愿意让别人可能这些信息,如通话记录、上网内容、彩信内容、短信内容、登记信息等等,但有时候这些业务又需要结合这些信息来做。
移动互联网的融合需要安全对策:一是用户对网络透明,要抓住“可鉴权,可溯源”的技术优势,可以起到有效的威慑作用,降低各种安全威胁,提高网络的整体安全强度;
二是要关注网络自身安全,且对用户不透明,对用户隐藏网络拓扑,使得用户无法对网络节点发起攻击;
三是终端安全保护。对于智能终端的安全保护需要进行重点研究,由于智能终端的操作系统可能存在安全漏洞,在彩信、手机浏览网页、下载安装软件等多种情况下都可能感染病毒或遭到入侵;
其实,现在黑客的目标也非常明确,都是“奔”钱去的,只要能赚到钱,对方在有些方面比我们研究得还深入。比如手机病毒防护、可信终端安全架构,手机操作系统漏洞研究等等,而有些病毒是很难发现的,只有你拿到帐单的时候才会发现。比如彩铃业务,很多人的手机被别人订购了彩铃,在网上消费了,但这个人永远都不知道,因为彩铃是给别人听的。
四是业务的安全保护。互联网应用大幅增加后,通信对端更不可信,由此可能引发病毒感染、木马等一系列攻击,危害严重。需要对服务提供方进行严格认证,目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。同时手机支付等敏感业务的安全机制需要重点研究。重点关注GBA/GAA认证架构和业务特定安全机制。