2.1 移动通信网络的安全现状
移动互联网继承了传统互联网技术以及移动通信网技术的脆弱性,面临来自互联网和正在IP化的移动网的双重安全风险风险。移动互联网网络结构如图2-1所示。
首先,从移动通信角度看,与互联网的融合完全打破了其相对平衡的网络安全环境,大大削弱了通信网原有的安全特性[1]。原有的移动通信网由于网络相对封闭、信息传输和控制管理平面分离、网络行为可溯源、终端的类型单一且非智能、用户鉴权严格,使得其安全性相对较高。而IP化后的移动通信网作为移动互联网的一部分,这些安全性优势仅剩下了严格的用户鉴权和管理。面对来自互联网的各种安全风险,其安全防护能力明显降低。
其次,从现有互联网角度看,融合后的网络增加了无线空口接入,并将大量电信设备如WAP网关、IMS(IP Multimedia Subsystem,IP多媒体子系统)设备等引入IP承载网,从而使互联网产生了一些新的安全风险。其中,网络攻击、失窃密码等问题尤为突出。例如,通过破解空口接入协议非法访问网络、对空口传递信息的监听和盗取、对无线资源和设备的服务滥用攻击等。另外,移动互联网中IP化的电信设备、信令和协议,大多较少经受安全攻击测试,存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软/硬件漏洞,一个恶意构造的数据分组就可以很容易引起设备宕机,导致业务瘫痪。与传统互联网不同,移动互联网因为IPv4地址有限而引入了网络地址转换(Network Address Translation,NAT)技术。NAT技术有效解决了地址资源紧缺问题,但其破坏了互联网端到端透明的体系架构,同时由于目前部分移动上网日志留存信息的缺失,使侦查部门只能追溯到某一对应多个私网用户的公网 IP 地址,而无法精确溯源,给不法分子提供了可乘之机。
图2-1 移动互联网网络结构
移动互联网的网络是移动互联网的基础,移动互联网网络主要分两个部分:接入网和IP承载网/互联网。
接入网采用移动通信网时涉及 BTS、BSC、RNC、移动交换中心(Mobile Switching Center,MSC)、媒体网关(MGW)、服务GPRS支持节点(Serving GPRS Supporting Node,SGSN)、网关GPRS支持节点(Gateway GPRS Supporting Node, GGSN)等设备以及相关链路,当采用Wi-Fi时涉及接入设备。
IP承载网/互联网主要涉及路由器、交换机、接入服务器等设备以及相关链路。移动互联网网络安全同样分设备/环境安全、业务应用安全、信息自身安全以及信息内容安全4个层面进行研究[2]。
(1)设备/环境安全
移动互联网设备/环境安全主要是指路由器等网络设备自身的安全性、所处环境符合标准要求等。上述设备自身安全主要包括符合工信部设备入网要求中的安全要求,环境安全主要是指上述设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求。此外设备/环境安全还包括网络设备的操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力,保障设备可靠稳定运行。移动互联网安全框架如图2-2所示。
图2-2 移动互联网安全框架
(2)业务应用安全
移动互联网网络的业务应用安全主要是指接入服务的安全性,主要采用认证等技术手段确保合法用户可以正常使用,防止业务被盗用、冒名使用等。在 2G的GSM网络中实施单向认证,采用A3/A8实现认证和密钥协商。在3G网络中以3GPP为例,在R99中引入了双向认证、新的鉴权算法:高级加密标准(Advanced Encryption Standard,ASE),将加密算法后移至RNC,引入新的密码算法Kasumi,增加了信令完整性保护;在R4中增加了MAPSec保护移动应用协议(MAP)信令安全;在R5中利用IPSec保护分组域安全,并引入IP多媒体子系统接入安全;在R6中增加了通用鉴权架构。当采用Wi-Fi接入时,有IEEE 802.11i以及中国自主知识产权的无线局域网认证和保密基础设施(Wireless LAN Authentication and Privacy Infrastructure,WAPI)提供接入安全。
(3)信息自身安全
移动互联网信息自身安全主要包括信息空口传播、IP承载网/互联网传递时网络所提供必要的隔离和保密以及接入网络所涉及的用户注册信息安全。虽然移动通信网中定义了空口加密算法,针对无线接入网络,移动设备(Mobile Equipment, ME)与接入网络(Access Network,AN)之间的空中接口是容易遭受攻击的部分,其面临的攻击主要有:攻击者在空口窃听信令或用户业务,攻击者通过在空口插入、修改、重放或删除信令数据/控制数据、用户业务数据等手段,拒绝合法用户业务或伪装成网元攻击网络;攻击者通过物理方法阻止用户业务、控制数据、信令数据在无线接口上传输,攻击者进行DoS(Denial of Service,拒绝服务)攻击。针对有线接入网、传送网及IP承载网。在机密性、完整性和可用性方面的攻击主要有以下几种[3]。
① 针对机密性的攻击方法:嗅探或窃听是一种监控网络中 Web 服务流量的行为。攻击者可在网络层监控传输的消息内容,从而获取敏感的纯文本数据和在SOAP、WSDL 等消息中携带的安全配置信息。使用工具,攻击者可截获网络中传输的信息,利用获知的信息发起攻击。窃听行为的发生,对通信中数据机密性造成了极大的风险。流量分析是通过技术手段获得情报监测模块的传输通信,在交互中,消息流承载大量的信息。
② 针对完整性的攻击方法:篡改是指攻击者通过增加、删除、修改和重新安排等方法来改变原有的消息。伪装是攻击者可能冒充合法用户来获取未经授权的特权。重放攻击是将以前获取的正确信息再次传输。这些信息可以是整个路由数据分组或仅是附在虚假信息后的认证信息。后者可以被攻击者用来破坏设计不完善的安全方案,这也是假冒攻击的第一步。通过重放以前截获的数据分组,攻击者可以破坏不同路由域之间的同步。已经过时的路径可以按照新路径的方式出现,对中继节点的路由表进行破坏。
③ 针对可用性的攻击方法:主要以 DoS 攻击为主,目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击是指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
(4)信息内容安全
移动互联网有大量业务来自传统互联网,所传递的信息内容属于公众信息而不是端到端通信,因此移动互联网网络的内容安全应当涉及必要的有害信息过滤与检查。