移动互联网面临三大安全问题

中国移动通信集团公司网络部处长徐海东表示，移动互联网融合新凸显的安全面临网络安全、终端安全、业务安全三方面问题。

徐海东表示，移动互联网融合的安全对策可以有以下四点：

一是用户对网络透明，要抓住可鉴权，可溯源的技术优势，可以起到有效的威慑作用，降低各种安全威胁，提高网络的整体安全强度;

二是要关注网络自身安全，且对用户不透明，对用户隐藏网络拓扑，使得用户无法对网络节点发起攻击;

三是终端安全保护。对于智能终端的安全保护需要进行重点研究，由于智能终端的操作系统可能存在安全漏洞，在彩信、手机浏览网页、下载安装软件等多种情况下都可能感染病毒或遭到入侵;

四是业务的安全保护。互联网应用大幅增加后，通信对端更不可信，由此可能引发病毒感染、木马等一系列攻击，危害严重。需要对服务提供方进行严格认证，目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。以下是中国移动通信集团公司网络部处长徐海东发言实录：

中国移动在互联网安全和人才培养领域还有待加强，我们也是一名新兵，我们从2G到3G的网络发展也在逐步向互联网领域结合，有些业务也在往互联网发展。所以，互联网安全对我们来说是非常关注的，慢慢的会有很多网络安全问题在网上凸显出来，中国移动的业务以后会往互联网发展为主，我们特别关注移动互联网安全。在这里抛砖引玉提出自己的想法，并且按照这些想法做一些探索。所以，在这个平台上能够和大家在这些方面做交流，感到非常地荣幸。

网络安全处是中国移动集团领导小组办公室转变过来的，我们主要关注客户信息安全和互联网安全两大方面，还会对垃圾短信进行监测，也包括终端业务。

一、中国移动互联网概念及发展趋势。

二、互联网安全分析。

三、移动通信网安全分析

四、移动互联网安全分析。

互联网应用飞速发展

开放共享的发展模式使互联网成为新业务、新思维及海量信息的集散地。Web2.0、博客、播客、推特、C2C电子商务虚拟社区等新应用层出不穷，个人参与内容创作商业模式被激活。网民非常庞大，连我父亲60多岁了都还会上网购物，上网聊天，上网视频，在我们的生活中可以明显地感受到这种变化。

移动通信网络广泛普及。网络不断演进，移动通信网络从第一代模拟通信系统到第二代GSM为代表的窄带数字移动通信系统，目前发展到以WCDMA/TD-SCDMA为代表的第三代宽带数字通信系统，以LTE为代表的用户就有5亿的用户。

互联网需要电信能力。一是对网络服务质量有要求，面向连接的话音、视频、多媒体业务的要求趋势越来越明显;英特网的尽力面为决定了对这类业务的服务质量无法有效解决。二是终端发展的需要。手机能力的增强，实德队互联网的需求趋势明显，互联网需要和手机紧密结合;固定多媒体终端的发展已和互联网进行了紧密结合。

电信网络需要互联网服务模式。话音服务已基本满足用户需求，基于用户增长和价格竞争的模式难以为继;电信运营商需要拓展新业务应用模式;互联网层出不穷的业务应用模式能够很好的满足这种需要。全国有手机人数的比例已经非常高了，中国移动从07年开始大力发展农村市场，按照这样的发展速度总有一天用户肯定会逐步饱和。当然，现在又在开辟新的领域，这和互联网也有关系，就是物联网，启动人和机器的通信，把我们的业务在新的领域去拓展，在拓展的过程中也有对互联网业务的需求。

中国移动有一个专门的基地在研究物联网，比如把所有城市的电梯都装在物联网上，城市任何一个角落的电梯出现故障的话，都可以通过物联网发布信息。中国移动的新业务对互联网有很多的需求，话音业务的价格也已经降到很低了。

移动互联网：电信和互联网融合。在以一致的体验享受互联网的所用应用的同时，还可以享受针对移动和终端特点的新业务，如位置服务、短信、彩信等。继承移动通信全网漫游、统一认证、无缝覆盖等优势，为用户提供任何时间、任何地点的互联网访问，继承传统电信网的QOS优势，提高高品质服务。

移动互联网：多方共同需求。对于用户而言，英特尔、消息、语音、视频、数据等等多媒体，随时上网，想用就用。对于电信运营商而言，电信业务有限，而互联网业务极大丰富，特别是用户创造内容/业务，引入不断创新的互联网商业模式。对互联网应用来说，电信有保障的通信能力是对互联网的最大吸引力。比如，大家在互联网上看一个电影都不想缴费，可能会有额外的缴费方式，如广告等方式缴费。但是，在中国移动听一首歌都要缴费，彩铃是很大一块业务，我们也觉得很奇怪，自己下载歌花钱让别人听，还经常换，而且我们每年的收入非常好，这是一种收费模式。但是，你上互联网看一部电影，自己看都不愿花一分钱，我觉得移动这种模式是对互联网的一种促进，也是互相吸引的一种方式。

移动通信网安全分析

传统2G移动通信网络安全性较好，其原因是：

第一，终端类型单一。早期移动网络只支持一种终端接入，要么是支持GSM，要么是支持CDMA，不支持其他模式终端接入，接入类型单一使鉴权认证比较可靠。业务单一，主要是传输话音业务，没有数据传输，终端可控资源较少。

第二，网络封闭。由运营商自建专有网络传输，不经由公共网络传输，受外界影响较少。媒体面和控制面独立，采用TDM传输，媒体面不能干扰控制面，而IP网络则是混合交换，增加了安全隐患。

第三，终端非智能。

2G网络的安全缺陷一是认证有缺陷，认证为单向，只有网络对用户的认证，没有用户对网络的认证，攻击者可以伪造基站，骗取用户信息。二是数据保护有缺陷。只有加密，没有完整性保护功能、数据被篡改无法发现。数据加密时没有采用抗重放保护措施。

大家不用担心复制SIM卡，有人发短信告诉你可以复制SIM卡，或者监听谁的电话的话，这些都是骗人的，不信可以去试一试，他们是用IP电话做的强显，在手机上显示这个号码而已。SIM卡复制一定要使用原卡，这是大家一定要记住的。

3G及后续网络的安全性在增强。如增加双向认证，密匙长度128位，增加完整性保护，增加序列号机制，防止重放。当然，安全隐患也在增多，IMS中网络IP化的引入，IP安全隐患增加，LTE网络扁平化，增加了ENB的安全风险，终端智能化，引入新的攻击能力，业务不断丰富，流程的漏洞也在增加。

1、AMPS安全性较差，第一代模拟电话鉴权加密非常弱，电话经常被盗打或窃听。

2、GSM安全性较强，鉴权加密得到大幅增强，基本满足日常通信安全需要。

3、GPRS安全性比较强，终端智能化。

4、3G终端智能化，业务多样化，传输高速化。

5、IMS业务IP化，接入多样化，应用丰富化。

6、LTE/SAE传输高速化、接入多样化。

互联网安全分析

这里都是做安全的专家，我就不在这里班门弄斧了。

互联网不安全的原因与移动电信网络对比图。移动电信网络终端接入类型单一，互联网接入类型多种多样，能力不一;移动通信网络业务单一，互联网业务非常丰富，且有网上银行、网上缴费、购物等全敏感业务;移动通信网络网络封闭，互联网是基于IP的开放式架构;移动通信网络媒体面和控制面独立，互联网全IP架构，用户有通过IP媒体通道控制网络的可能;移动通信网络终端非智能，互联网大量采用计算机上网，智能化、可定制化很高;移动通信网络IP独立，互联网可以共享IP。当然，互联网不安全的原因还有很多，在这里就不一一点评了。

互联网安全问题的重要根源：一是网络对用户透明。用户可以获得任意网络重要节点的IP地址并发起漏洞扫描及攻击，网络拓扑很容易被攻击者得到，攻击者可以在某一网络节点截获、修改网络中传送的数据，用户数据安全没有保障。二是用户对网络不透明。鉴权不严格，大量拥护未经严格的认证机制即可接入网络，终端的安全能力和安全状况网络不知情、不控制，用户地址可以伪造，无法可靠溯源。

对应的改进思路，网络对用户不透明，怎样做到透明呢?用户拓扑和网络拓扑分离，网络拓扑对用户隐藏，网络节点用户不可达;用户对网络可控透明，对接入用户进行严格的鉴权认证，将地址与身份严格绑定，实现行为可追溯，加强对用户行为的控制。

移动互联网的融合，传统移动网络安全性优势丧失殆尽。最后能够剩下的是鉴权严格，行为可溯源;移动互联网融合，互联网的其他安全问题仍然存在;移动互联网的融合新凸显的安全问题有网络安全、终端安全、业务安全。如网络安全扁平化、分布式将成为网络的演进方向，PZP 等分布式技术将被广泛应用在网络构建中，其安全问题需要深入研究。终端安全问题将更加普及，终端容易被攻击，被控制。移动互联网环境下，结合位置信息、彩信、短信等移动特色的各种互联网服务将不断涌现，其安全问题需要给予足够重视。移动互联网还有用户信息安全问题，怎样保障用户的信息有效也是一个非常艰巨的任务，涉及的人和面确实非常广，大家如果有哪些信息在网上保存的话，也不愿意让别人可能这些信息，如通话记录、上网内容、彩信内容、短信内容、登记信息等等，但有时候这些业务又需要结合这些信息来做。

移动互联网的融合需要安全对策：

一是用户对网络透明，要抓住可鉴权，可溯源的技术优势，可以起到有效的威慑作用，降低各种安全威胁，提高网络的整体安全强度;

二是要关注网络自身安全，且对用户不透明，对用户隐藏网络拓扑，使得用户无法对网络节点发起攻击;

其实，现在黑客的目标也非常明确，都是奔钱去的，只要能赚到钱，对方在有些方面比我们研究得还深入。比如手机病毒防护、可信终端安全架构，手机操作系统漏洞研究等等，而有些病毒是很难发现的，只有你拿到帐单的时候才会发现。比如彩铃业务，很多人的手机被别人订购了彩铃，在网上消费了，但这个人永远都不知道，因为彩铃是给别人听的。

四是业务的安全保护。互联网应用大幅增加后，通信对端更不可信，由此可能引发病毒感染、木马等一系列攻击，危害严重。需要对服务提供方进行严格认证，目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。同时手机支付等敏感业务的安全机制需要重点研究。重点关注GBA/GAA认证架构和业务特定安全机制。

【编辑推荐】