4G網(wǎng)絡(luò)環(huán)境下移動(dòng)終端安全威脅及防護(hù)研究

李 陽(yáng) 李 峰 郭慶瑞 李明軒

（國(guó)網(wǎng)新疆電力公司電力科學(xué)研究院 新疆 830011）

0 引言

4G是第四代移動(dòng)通信及其技術(shù)的簡(jiǎn)稱(chēng)。在4G系統(tǒng)中各種針對(duì)不同業(yè)務(wù)的接入系統(tǒng)通過(guò)多媒體接入系統(tǒng)連接到基于Ipv6的核心網(wǎng)，形成一個(gè)公共的、靈活的、可擴(kuò)展的平臺(tái)。4G網(wǎng)絡(luò)的開(kāi)放性、無(wú)線傳播性以及高帶寬性，使得移動(dòng)終端安全威脅逐漸增多，移動(dòng)終端安全防護(hù)問(wèn)題也成為一個(gè)關(guān)系到個(gè)人信息安全的主要問(wèn)題。

1 傳統(tǒng)移動(dòng)終端的安全威脅

1.1 短信彩信類(lèi)威脅

在 2G時(shí)代，手機(jī)作為移動(dòng)終端的主要產(chǎn)品類(lèi)型之一，通信手段單一，帶寬受到嚴(yán)格的限制，短信成為移動(dòng)終端受到的主要威脅來(lái)源之一。如 MTK系統(tǒng)中的短信振鈴漏洞，發(fā)送者可以通過(guò)特定短信編碼使接收者的手機(jī)不停振鈴。

1.2 紅外設(shè)備威脅

早期移動(dòng)設(shè)備由于通信方式單一，移動(dòng)設(shè)備之間多采用紅外裝置進(jìn)行數(shù)據(jù)傳輸，如早期Windows CE大多數(shù)支持紅外線傳輸。通過(guò)紅外接口，各類(lèi)移動(dòng)設(shè)備可以自由進(jìn)行數(shù)據(jù)交換。紅外設(shè)備可以不經(jīng)過(guò)授權(quán)傳輸通訊錄等內(nèi)容，給用戶隱私造成較大威脅。

2 4G網(wǎng)絡(luò)環(huán)境下的新增威脅

2.1 數(shù)據(jù)流量威脅

4G網(wǎng)絡(luò)設(shè)備的理論下行速度達(dá)到了100Mbps，而上行速度達(dá)到了 50Mbps，實(shí)際下行速度按照我國(guó)北京地區(qū)實(shí)測(cè)為33Mbps，上行速度為 16Mbps。依據(jù)下行速度計(jì)算，如果移動(dòng)終端被安裝惡意下載程序或者惡意連接網(wǎng)絡(luò)程序，移動(dòng)終端在4G網(wǎng)絡(luò)條件下月流量可以達(dá)到：

30Mbps*60秒*60分*24小時(shí)*30天/1024/1024=74.6Tb

按照運(yùn)營(yíng)商資費(fèi)標(biāo)準(zhǔn)，普通用戶無(wú)法承受如此數(shù)據(jù)流量的巨額費(fèi)用。數(shù)據(jù)流量可能給用戶帶來(lái)巨大經(jīng)濟(jì)損失。

2.2 聯(lián)網(wǎng)破解密碼成為現(xiàn)實(shí)

4G網(wǎng)絡(luò)的帶寬提升巨大，使得移動(dòng)終端設(shè)備的聯(lián)網(wǎng)數(shù)據(jù)傳輸速率超過(guò)了普通辦公網(wǎng)絡(luò)的數(shù)據(jù)傳輸速度，個(gè)人辦公計(jì)算機(jī)所面臨的威脅也隨之遷移到了移動(dòng)終端設(shè)備上。移動(dòng)設(shè)備身份認(rèn)證暴力破解也伴隨網(wǎng)絡(luò)帶寬提升而成為主要威脅之一。

2.3 部分身份驗(yàn)證模式漏洞

很多移動(dòng)終端設(shè)備采用了多種身份認(rèn)證模式，但是部分身份認(rèn)證模式本身設(shè)計(jì)及應(yīng)用存在漏洞。如指紋身份認(rèn)證模式，部分移動(dòng)終端設(shè)備外殼易沾染指紋，可以簡(jiǎn)單通過(guò)指紋采樣獲取用戶指紋，從而冒用用戶身份進(jìn)入設(shè)備。

2.4 設(shè)備及網(wǎng)絡(luò)性能提升使病毒程序功能擴(kuò)展

隨著科技進(jìn)步及移動(dòng)終端設(shè)備的普及應(yīng)用，移動(dòng)終端設(shè)備的性能有了較大幅度提高，主流移動(dòng)終端設(shè)備在運(yùn)行內(nèi)存、設(shè)備存儲(chǔ)、設(shè)備處理性能、設(shè)備網(wǎng)絡(luò)性能上全面超過(guò)了普通辦公計(jì)算機(jī)設(shè)備，4G網(wǎng)絡(luò)應(yīng)用使得針對(duì)移動(dòng)終端的復(fù)雜網(wǎng)絡(luò)病毒程序可以運(yùn)行。

2.5 移動(dòng)終端中涉及金錢(qián)軟件增加

隨著科技進(jìn)步及移動(dòng)終端設(shè)備普及應(yīng)用及 4G網(wǎng)絡(luò)使用，移動(dòng)終端中功能完善的手機(jī)銀行程序、網(wǎng)絡(luò)購(gòu)物程序、股票交易程序增加。此類(lèi)程序均涉及金錢(qián)交易，并且程序安裝文件app無(wú)法獲得正確認(rèn)證。用戶在安裝程序時(shí)，無(wú)法確認(rèn)程序是否為正版程序還是病毒木馬程序。

2.6 新型病毒

4G網(wǎng)絡(luò)為用戶提供了前所未有的移動(dòng)網(wǎng)絡(luò)帶寬，移動(dòng)終端從網(wǎng)絡(luò)獲取圖片的速度極大提高，從而帶動(dòng)了二維碼等軟件的極大發(fā)展和普及。二維碼病毒，指的是有不法分子將二維碼病毒鏈接隱藏在打折促銷(xiāo)的二維碼廣告中，騙取用戶話費(fèi)。

3 4G網(wǎng)絡(luò)環(huán)境下的終端安全防護(hù)策略

3.1 流量管控與軟件識(shí)別

流量管控是基于網(wǎng)絡(luò)的流量現(xiàn)狀和流量管控策略，對(duì)數(shù)據(jù)流進(jìn)行識(shí)別分類(lèi)，并實(shí)施流量控制、優(yōu)化和對(duì)關(guān)鍵應(yīng)用進(jìn)行保障的相關(guān)技術(shù)。流量管控技術(shù)可以使得應(yīng)用軟件或者惡意軟件網(wǎng)絡(luò)流量進(jìn)行準(zhǔn)確分析，明確軟件網(wǎng)絡(luò)訪問(wèn)的行為，對(duì)惡意網(wǎng)絡(luò)訪問(wèn)軟件和大網(wǎng)絡(luò)流量軟件進(jìn)行流量封鎖或限制；同時(shí)對(duì)月度流量閾值進(jìn)行管理，超過(guò)閾值后，禁止移動(dòng)終端聯(lián)網(wǎng)。此類(lèi)管控軟件可以明確網(wǎng)絡(luò)訪問(wèn)行為的惡意軟件，進(jìn)行清除，以保障4G網(wǎng)絡(luò)環(huán)境下移動(dòng)終端流量安全。

3.2 增強(qiáng)型身份認(rèn)證

身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過(guò)程而產(chǎn)生的有效解決方法。當(dāng)前的身份認(rèn)證方法可以分為：基于信息秘密的身份認(rèn)證；基于信任物體的身份認(rèn)證；基于生物特征的身份認(rèn)證。常用的移動(dòng)終端身份認(rèn)證方法如靜態(tài)密碼、智能卡、短信密碼、動(dòng)態(tài)口令、數(shù)字簽名、生物識(shí)別等方法在 4G網(wǎng)絡(luò)環(huán)境下都存在被破解或者冒用的風(fēng)險(xiǎn)，因此采用增強(qiáng)型身份認(rèn)證對(duì) 4G網(wǎng)絡(luò)環(huán)境下移動(dòng)終端身份認(rèn)證有著重要意義。如采用雙因子認(rèn)證方式，可以有效的防止用戶身份被破解后口令丟失，采用動(dòng)態(tài)口令和靜態(tài)密碼結(jié)合的方法，可以有效的防止銀行類(lèi)應(yīng)用的盜取和偽造交易行為發(fā)生。

3.3 新密碼技術(shù)應(yīng)用

密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)。密碼體制設(shè)計(jì)是密碼編碼學(xué)的主要內(nèi)容，密碼體制的破譯是密碼分析學(xué)的主要內(nèi)容，密碼編碼技術(shù)和密碼分析技術(shù)是相互依相互支持、密不可分的兩個(gè)方面。密碼體制有對(duì)稱(chēng)密鑰密碼體制和非對(duì)稱(chēng)密鑰密碼體制。對(duì)稱(chēng)密鑰密碼體制要求加密解密雙方擁有相同的密鑰。而非對(duì)稱(chēng)密鑰密碼體制是加密解密雙方擁有不相同的密鑰，在不知道陷門(mén)信息的情況下，加密密鑰和解密密鑰是不能相互算出的。然而密碼學(xué)不僅僅只包含編碼與破譯，而且包括安全管理、安全協(xié)議設(shè)計(jì)、散列函數(shù)等內(nèi)容。不僅如此，密碼學(xué)的進(jìn)一步發(fā)展，涌現(xiàn)了大量的新技術(shù)和新概念，如零知識(shí)證明技術(shù)、盲簽名、量子密碼技術(shù)、混沌密碼等。新的密碼技術(shù)可以明顯增強(qiáng)密碼防破解強(qiáng)度，使4G網(wǎng)絡(luò)環(huán)境下分布式破解時(shí)間增長(zhǎng)，有效防止移動(dòng)設(shè)備終端密碼被破譯。

3.4 建立新的移動(dòng)終端安全模型

4G網(wǎng)絡(luò)具有以往數(shù)據(jù)網(wǎng)絡(luò)所不具有的高速傳輸、多平臺(tái)接入、高兼容的能力，因此需要建立適合 4G網(wǎng)絡(luò)環(huán)境下移動(dòng)終端的新安全結(jié)構(gòu)模型。新的安全模型應(yīng)增強(qiáng)數(shù)據(jù)通信中數(shù)據(jù)校驗(yàn)和數(shù)據(jù)管控能力，增強(qiáng)身份認(rèn)證結(jié)構(gòu)的層次，強(qiáng)制多因子身份認(rèn)證模式；增加安全的可見(jiàn)性和自動(dòng)配置性；增強(qiáng)無(wú)線鏈路的防攻擊能力；增加用戶和移動(dòng)設(shè)備接入網(wǎng)絡(luò)的雙向認(rèn)證，提高網(wǎng)絡(luò)的安全級(jí)別，重要用戶端引入可信移動(dòng)終端。

3.5 服務(wù)商CA中心的建立

4G網(wǎng)絡(luò)中針對(duì)不同的安全特征和服務(wù)，將會(huì)采用公鑰密碼和私鑰密碼體制混合的體制。建立移動(dòng)服務(wù)商CA中心，主要包括統(tǒng)一用戶管理、身份認(rèn)證、授權(quán)管理和訪問(wèn)控制等幾大主要功能，實(shí)現(xiàn)對(duì)用戶、用戶身份認(rèn)證、用戶權(quán)限等的有效管理，從而提高對(duì)網(wǎng)絡(luò)資源等安全性和保密性的保護(hù)。

4 結(jié)束語(yǔ)

4G網(wǎng)絡(luò)因其高速度、多平臺(tái)接入、高兼容性給移動(dòng)終端安全防護(hù)帶來(lái)以往網(wǎng)絡(luò)所不具有的挑戰(zhàn)，當(dāng)前針對(duì)移動(dòng)終端的病毒的盛行及病毒的復(fù)雜化全面化就是一個(gè)典型的威脅體現(xiàn)。因此建立完善的移動(dòng)終端安全防護(hù)機(jī)制，多層次防御，移動(dòng)終端用戶和移動(dòng)服務(wù)提供商共同防御，同時(shí)做好未現(xiàn)威脅的跟蹤，才能為移動(dòng)終端提供較為完善的信息安全防護(hù)能力。

[1]吳新民，熊暉.安全問(wèn)題防范與對(duì)策的研究[J]通信技術(shù).2009（4）：148-150.

[2]蘇洪斌.技術(shù)下的移動(dòng)通信網(wǎng)絡(luò)安全[J].信息安全與通信保密.2006（6）：103-105.

[3]Suk Y.H，Kai H.Y.Challengges in the migration to 4G mobile systems[J].IEEE Communications Magazine，2003，41（3）：54-59.