移动网络安全研究现状概述

1、    移动网络安全研究现状概述    王翔明 刘文豪 张再军摘 要：移动通信与移动互联网正在以前所未有的速度迅猛发展，通过移动网络人们可以高速地获取各类丰富多彩的网络服务，移动网络己经渗透到了人们生产生活的各个方面。移动网络的开放性与无线传输的特、移动互联网继承的传统互联网的脆弱性、移动网络与其它无线网络异构融点合导致网络体系结构的复杂化以及移动网络的全ip化都使得移动网络面临着越来越多的各种类型的恶意攻击的挑战。关键词：移动网络；安全；信息移动网络发展随着移动与无线通信技术以及移动互联网的快速发展，新一代的移动通信技术已经开始致力于实现各种无线网络如

2、3g、4g、wlan、wimax等的互联互通、跨域协同、异构融合以建立一个幵放、灵活、可扩展的全ep化网络平台，进而为用户提供无所不在的、高速率、低成本、优质qos的网络服务。然而，移动网络的幵放性与无线传输的特点、移动互联网继承的传统互联网的脆弱性、网络融合导致网络体系结构的复杂化以及网络的全ip化都使得移动网络面临着越来越多的各种类型的恶意攻击的挑战。ddos攻击、伪冒地址恶意阻断上下文攻击、病毒、木马、垃圾邮件和短信、跟踪定位、窃听等安全事件层出不穷，都在不断威胁着整个移动网络的安全1。同时，新一代的移动通信是以网络应用服务为核心的，以智能手机为代表的移动终端作为用户的体验平台，其自身的

3、安全隐患也给整个移动网络带来了极大影响。各类恶意移动代码，如病毒、木马等已经对移动终端的安全构成了重大威胁，移动终端的内存和芯片处理能力不断增强给了恶意代码更多的生存空间，开放的操作系统和应用编程接口极大地方便了恶意代码的开发和入侵，而移动终端用户数量的日趋增加则为恶意代码的广泛传播创造了良好环境。根据2013-2014中国互联网安全研究报告> 显示，单是2013年被病毒感染的安卓手机数量就超过了270万部，不断出现的各类移动病毒不仅给移动用户造成了大量损失，也使国家信息安全面临严重威胁。移动通信与移动互联网正在以前所未有的速度迅猛发展，据国际电信联盟itu数据显示，2013年全球移动互

4、联网连接数达到了68亿次而中国移动用户数量2013年初就已达sfll8亿，移动互联网用户则约有8亿。通过移动网络人们高速地获取各类网络服务，移动网络已经渗透到了人们生产生活的各个领域。确保移动两络安全，研宄新型移动网络安全防护技术不仅事关移动阿络用户的个人隐私与财产安全，更是对国家信息安全、社会稳定与经济发展起着举足轻重的作用。移动网络安全防护作为面向国家重大战略需求的基础研究内容，己被列入国家中长期科学和技术发展规划纲要（2006-2020年）之“新一代宽带无线移动通信网”国家973计划项目面向服务的未来互联网体系结构与机制研究以及中日韩三方前瞻计划项目下一代互联网安全与隐私关键性技术的研究

5、等也都将移动网络安全防护作为了主要研究课题之一。移动网络安全研究现状当前，针对移动网络安全问题开展的研宄大致可分为两方面一是基于安全体系与机制的研究，主要包括实现移动网络安全保护功能的各种具体安全技术与措施；二是基于移动终端安全的研究，认为终端是一切安全问题的源头，通过对移动终端施以特殊保护从而保证终端安全进而实现整个移动网络的安全，这主要集中于基于可信计算的安全终端设计以及移动病毒防控策略研宄等。随着移动网络自身的不断演进，如2g gsm系统，3g的td-scdma、wcdma，一直到现在的4g lte移动通信系统，以及移动网络与wlan、wimax等其它无线网络的异构融合都需要移动网络的安

6、全体系与机制不断的发展与完善。当前移动网络主要采用的安全机制包括2：（1）身份认证机制身份认证机制，即认证与密朗協商协议（authentication and key agreementprotocol， aka），是保护移动网络安全的核心安全机制，主要用于实现用户与接入网络的双向身份认证并对两者之后通信过程中所使用加密算法与完整性保护算法的密铜进行协商。针对移动终端接入网络环境的不同，存在多种不同类型的aka协议，如3gpp aka、用户漫游情形中的aka协议、3gpp-wlan-wimax异构网络中的aka协议、以及移动终端在不同服务器环境中的aka协议等。（2）完整性保护机制移动网络的完

7、整性保护机制主要用于保护终端与基站之间传输消息免受偶然或恶意的非授权篡改，比如插入、删除、修改、置乱、伪造等。td-scdma与lie均采用分组算法对终端与基站之间传输的消息进行完整性保护，终端与基站通过验证附加在传输消息后的消息认证码判断消息是否被篡改以及消息源的合法性。（3）空口加密机制空口加密机制通过对移动终端与基站间传输的数据与控制信息进行加密，实现两者之间的保密传输以保证空口安全。由于移动终端自身计算能力与电量供应能力有限，空口加密机制一般采用对称密码算法。gsm、td-scdma以及lte系统均采用序列密码算法作为空口加密算法，而加密算法使用的密钥则来自aka协议。（4）用户身份保

8、护机制移动网络通过使用临时身份识别码技术防止非法个人或团体通过监听无线信道上的信令交换而获取移动用户的真实身份识别码或对移动用户进行跟踪定位。一般情况下，无线信道上发送的用户身份标识均为其临时身份识别码，用户只有在开机或访问网络寄存器中存储的临时身份标识丢失时才会重新发送其真实身份标识。同时，临时身份识别码会不断进行更新，更新频率越快，越能有效保护用户身份。（5）网络信令安全交换机制信令安全交换机制主要用于保护移动网络中不同网络单元间交换信令的机密性与完整性。以lte为例，lte使用mapsec机制保护事务处理能力应用部分 （tcap）中所有的七号信令，使用ipsecesp机制实现服务网络与分

9、组数据网关接口以及分组数据网关与外部数据网接口的通用数据传输平台（gtp）信令安全，同时分别使用ipsec的險道模式与传输模式保护不同安全域间与安全域内的信令安全。（6）移动终端安全接入机制移动网络通过使用pin码机制防止全球用户识别卡（usim）的非授权使用，利用usim机制限制终端的网络接入范围等，同时应用安全传输层协议（tls）、ipsec机制等确保数据在移动终端与智能卡之间的安全传输。（7）安全服务对用户的可见性与可配置性安全服务对用户的可见性和可配置性是指用户可以获知一个安全服务的运行状态，以及业务的应用和设置是否依赖于该安全服务。移动终端是移动网络中数据创建、处理和存储的源头，也是大多数安全事件的发起端。若移动终端在接入网络前经过认证和授权，且其任意操作都符合规定好的安全策略，那么就可有效保护整个移动网络系统的安全。安全移动终端的研宄己经引起了人们的广泛重视，关于安全移动终