智能移动网络安全防护技术的设计方案

随着移动网络的迅速发展，无线通信技术和计算机技术不断融合，移动设备朝着智能化的方向发展，其所支持的功能越来越多，使得人们可以享受各类丰富多彩的服务。然而，网络的开放性以及无线传输的特性，使得终端设备暴露在开放式的全IP化的网络中，各种敏感信息的防护面临着来自各种恶意攻击的挑战，安全问题已成为整个移动网络的核心问题之一。

本文在研究3G和4G移动通信系统的安全目标、安全原则及相应的威胁基础上，对现有各种安全防护方案进行讨论和分析，提出一种基于终端可信的、面向安全服务的统一安全防护体系，并给出其在移动网络中的具体应用。

1 移动通信系统的安全架构和面临的安全威胁

1.1 3GPP的安全机制

WCDMA、CDMA2000、TD-SCDMA是第三代移动通信的三大主流技术。3GPP制订的3G安全功能分为5个安全特征组［1］，分别属于3个不同的层面，如图1所示。它们分别是：


（1）网络接入安全

该安全特征集提供用户安全接入3G业务，特别能抗击在无线接入链路上的攻击。

（2）网络域安全

该安全特征集使在服务提供者域中的节点能够安全地交换信令数据，抗击在有线网络的攻击。

（3）用户域安全

该安全特征集确保移动平台接入安全。

（4）应用域安全

该安全特征集使在用户域和在提供者域中的应用能够安全地交换信息。

（5）安全的可视性和可配置性

该安全特征集使用户能知道一个安全特征集是否在运行，而且业务的应用和设置是否应依赖于该安全特征。

3GPP提出的3G安全结构中重点描述了网络接入安全机制，包括双向鉴权、通用移动通信系统陆地无线接入网（UTRAN）加密和信令数据的完整性保护在内的安全机制。网络接入机制包括3种：使用临时身份识别（TMSI）、使用永久身份识别（IMSI）、认证和密钥协商（AKA），其中认证与密钥协商机制（AKA）是3G网络安全机制的核心，也是3G网络安全机制的研究热点。AKA机制用于完成移动台和网络的相互认证，并建立新的加密密钥和完整性密钥。3G网络的安全机制还包括数据加密和数据完整性。数据加密机制采用F8算法对用户终端（ME）与无线网络控制器（RNC）之间的信息加密。数据完整性机制采用F9算法对信令消息的完整性、时效性进行认证。

总的来说，3G系统使用了双向身份认证，增加了密钥长度，使用了高强度的加密算法和完整性算法，增加了信令完整性保护机制，并提出了保护核心网络通信节点的机制。但是面对新的业务、全开放式的IP网络和不断升级的攻击技术，移动网络仍面临较大的安全威胁。

1.2 4G网络的安全机制

根据3G网络所暴露出的安全问题和4G网络所面临的主要威胁，可以将4G网络的安全要求简要概括为4个方面［3］。

（1）网络接入安全

保护用户安全接入到4G网络，防止无线链路的攻击。

（2）网络域安全

保护运营网络安全交互数据，防止来自有线网络和网络实体的攻击。

（3）用户域安全

为访问移动实体/通用签约用户识别模块（USIM）提供安全保护，以及构建移动实体/USIM的安全环境。

（4）应用安全

为用户和运营应用提供安全保障，保障它们之间安全交换消息。

根据以上安全需求，4G网络的安全结构分为4个功能特征组，即网络接入安全、网络域安全、用户域安全和应用安全。各功能特征组的基本内容类似于3G网的功能特征组。4G网络安全体系结构如图2所示。


与3G网络最大的不同是，4G对ME/USIM侧的安全要求增加了“保证移动平台的软件、硬件和操作系统的完整性”，为移动实体构建可信计算环境。只有移动终端的平台安全了，才有可能保证用户信息的安全。但研究表明，要想保证移动终端平台的安全，只靠移动终端本身是做不到的，还必须依赖移动网络中的安全服务器的安全管理和服务。


1.3 移动通信网络面临的安全威胁

3G移动通信网络正向全IP网络方向发展，移动通信网络已经和互联网一样，面临着威胁越来越多的威胁。病毒、木马、垃圾邮件和短信、窃听等安全事件，不断威胁着整个3G网络以及未来的4G网络的安全。

由于3G与传统移动通信的显著区别在于它是以网络应用服务为核心的，移动终端是用户的体验平台，也是互联网的一个终端。一方面，其自身的安全隐患会对整个3G网络带来极大的影响。3G手机对互联网的高速访问导致其经空中接口传输的敏感数据量大大增加。而且，手机病毒及有害信息也会通过手机终端向其他终端或节点传播。另一方面，互联网的开放性对移动终端的安全构成了重大威胁。移动用户对互联网资源的任意访问，导致手机中毒或被攻击的可能性大大增加。网络开放性带来的安全性问题必然会在3G网络中凸显。此外，3G系统采用的大量协议，也依然存在着一定的安全隐患［4］。

2 移动通信网络安全防护研究

面对3G移动通信网络以及未来的4G移动通信网络所面临的各种威胁，国内外的学者进行了大量的移动通信网络安全防护方面的研究。这些研究大致可以分为两个方面，一是对安全体系和机制的改进，重点保护空中接口的安全，防止空中窃听。这较多的集中于对3G安全机制中的核心协议——AKA的安全性分析和改进方案。另一个方面是，把安全防护的目标和手段锁定在终端，认为终端是安全问题发生的源头。通过在终端上引入安全的技术和手段，保护终端免受病毒侵害，以保护用户信息安全，进而保护整个网络的安全。而这又可分为两个主要研究热点，一是对终端进行病毒防杀，二是基于可信计算的安全终端理念。

2.1 基于体系安全的防护技术

英国安格利亚鲁斯金大学提出了一种应用于3G网络的新型的对称/非对称认证协议的混合方法。文献［5］针对当前3G移动系统认证方案中存在的不足，如移动终端身份泄露和更新临时身份的高开销，提出了安全的认证机制。该方案将认证实体与网络之间初始认证时的信息交互从5次降为4次。随后的认证过程仅仅包含两次信息交互。该方案还可以用来对抗网络攻击，如重放攻击和猜测攻击等，并且满足3G通信系统的安全要求。

美国伊利诺伊大学香槟分校提出了一种轻量级的、基于组件的、可重构的安全机制。该安全机制将Tiny SESAME结构应用于移动网络，增强了认证和基于IP应用的多媒体安全服务，从而增强了移动设备的安全功能。

美国佛罗里达大学针对3GPP中AKA协议易受到伪基站攻击的问题，提出了增强型的AKA协议。伪基站攻击这一漏洞将会使得攻击者可以将用户的信令从一个网络重定向到另一个，还使得攻击者可以使用认证向量来假冒其他网络。他们提出的AP-AKA协议，有效地对抗了以上攻击。

提出了一种基于虚拟专用网IP安全协议（IPSec VPN）的3G网络安全多媒体业务的解决方案。这种基于IPSec的端到端VPN方案，提供了端到端的实时的安全的多媒体信息传输，并保证了服务的质量。

分析了现有3G移动通信网络中AKA协议安全性的不足，如已经出现的认证向量攻击。文献［9］针对即将应用的4G通信系统，将已经被证实安全有效的安全套接层/传输层安全（SSL/TLS）协议引入到AKA机制中，提出了基于SSL/TLS协议的改进型AKA协议。

研究了4G系统所受的安全威胁，用X.805标准对4G系统中的Y-Comm体系进行了分析。作为4G网络安全架构研发的组织之一，Y-Comm提出了集成安全模块和一个针对性的安全模型，较好的保护了数据、服务器和用户的安全。

分析了3GPP系统架构演进（SAE）8号标准采用的AKA协议，指出了它已解决和未解决的安全问题，强调了其中存在的几个安全缺陷，如用户身份曝光、截取认证向量、共享K密钥泄露的潜在风险等，提出了一种新的3GPP SAE的认证和密钥协商协议。新协议中，采用公钥密码体制对网络域中的用户身份信息和认证向量进行了加密，用随机数产生本地认证的公共密钥。

北京邮电大学对3GPP中AKA协议进行了安全性研究，分析了其容易遭受的4种攻击，提出在位置更新与位置不变两种情况下的基于公钥密码学的认证与密钥协商协议，采用形式化的分析方式证明了所提出算法的安全性，并将该协议与已有协议在安全性方面进行了比较，性能有一定的提升。

同济大学提出了在移动网络环境下建立IPSec VPN连接的终端系统的实现方案，该系统利用NDIS中间驱动程序实现防火墙穿越，以保证IPSec数据包的正常传输。同时利用安全智能卡存储X.509证书，用于身份验证，防止非法用户的入侵。

2.2 基于终端安全的防护技术

终端是创建和存放数据的源头，大多数的攻击事件都是由终端发起。如果移动系统中的每一个终端都是经过认证和授权的，并且其操作符合安全策略的规定，那么就可以保证整个网络系统的安全［14］。因此终端安全的思想正在逐渐被人们所重视，对其研究也备受关注。而这又分为两个主流的安全防护技术：一是从终端的防病毒和病毒查杀角度的安全防护，另一个是基于终端可信的安全防护。

提出了一种用于4G移动终端的可信计算安全结构。该结构基于可信移动平台（TMP）和公钥基础设施（PKI），为用户在4G系统中接入敏感服务和敏感数据提供了一个鲁棒性的平台，并提出了混合型AKA认证方案。

提出在终端安装反病毒软件，在网络侧添加旁路式检测和过滤器进行病毒查杀，以应对智能终端的病毒威胁。

提出了从网络接入控制到应用服务控制的多层安全控制手段，在终端构造安全应用程序，在网络侧构造安全的网络访问控制和应用服务访问控制的策略，结合安全服务器，保障移动通信网络的安全。

都倡导基于可信计算的终端安全体系结构，实现可信终端与可信网络的一致性，以实现系统的安全防护。文献［14］总结了可信计算的各种体系结构以及在终端安全防护上的进展，指出了下一步努力方向。该文献没有涉及系统效率等实际因素，也没有涉及如何构建全网统一安全防护问题。

综上所述，上述两种技术方向是移动网络信息安全不可或缺的两个方面。前者着力保护空中接口的安全，后者旨在保护终端免受病毒入侵。在这两个方面中，前者发展相对完善；后者是这两年随着移动网络病毒的出现才受到重视。因此，本文重点讨论后者。

 

3 基于服务的移动网络安全体系

如前所述，在如何保护移动终端免受病毒入侵方面，主要有两种解决思路。其一是对终端进行扫描杀毒，另一种是为终端建立可信计算环境。无论是哪一种思路，都离不开安全服务体系。前者需要在移动网络中建立病毒库更新与杀毒服务中心，定期或在线为移动终端提供杀毒服务；后者需要为终端可信环境的建立和维护提供信任检查。不同于计算机用户，由于手机用户的非技术性，如果没有安全服务，很难保证移动网络的安全。

在保证手机终端与接入网络之间的身份认证、数据完整性和机密性的前提下，手机终端的安全威胁主要来自Internet网络，这和互联网上的计算机用户受到的安全威胁一样。人们希望可信终端能够防御来自网络的攻击。如果终端是可信的，终端的表现就要符合预期要求，那么终端上就不能存在未授权软件。也就是说，凡是在终端上安装和可以执行的软件一定要得到安全服务器的授权许可。只有这样，网上的病毒才不可能被植入到移动终端中。

3.1 基于可信服务的安全体系结构

本文对现有的移动网络架构进行了改进。首先，移动终端中必须添加移动可信计算模块（MTM）［18］。该模块是独立的、安全的模块，具有计算能力，能够与安全服务提供者（SSP）进行安全通信。它可以计算出移动终端中的所有软件的完整性，并报告给SSP；同时，它还能够对移动终端中需要安装和执行的软件检查其合法性，看其是否得到SSP的授权。如果没有授权，将禁止安装和执行。其次，移动网络中还需要添加SSP这个角色。它的主要工作是为移动终端提供软件合法性证明。在互联网中，软件提供商（SWP）向移动用户提供的软件必须持有SSP的合法证明，也就是必须有SSP签发的数字证书，才能在移动用户的手机中被安装和运行使用。图3给出了基于可信服务的移动网络安全体系结构图。


在图3中，SSP服务器与AN服务器直接连接，这样对原有系统结构改动很小。通过接入认证后的移动终端被允许接入网络后，SSP对该移动终端进行完整性检查。如果终端软件完整性受到破坏，则表明终端可能已经染毒，此时就可以不允许其进一步接入网络，以免将病毒扩散到其他网络终端；如果终端软件完整性未受破坏，则可通过SSP对使用中的移动终端的安装软件和运行软件过程进行安全监督，从而为移动终端提供动态安全服务。

3.2 移动终端可信计算环境

基于安全服务的防护体系能否有效运行的关键在于移动终端的可信计算环境的设计。本文将移动终端的状态分为启动时和启动后两个状态分别进行讨论。启动时建立的可信环境称为静态可信环境，启动后的可信计算环境称为动态可信环境。

关于静态可信的建立方法在很多文献中已有描述，这里再简要介绍一下。移动终端上电后，从可信模块中固化的可信代码启动，硬件的特性保证了这段代码不可能被更改。可信代码首先校验系统装载代码是否完整，若完整就将控制权交给系统装载代码；接着，系统装载代码校验操作系统内核是否完整，若完整就装载操作系统内核；然后，操作系统内核接着对操作系统中的其他部分进行校验；操作系统校验完毕后就被启用；最后再对上层的各个应用程序进行完整性校验，直到所有程序被校验完毕，用户才能使用终端。如果某一个环节没有通过校验，那么就需要恢复之前的配置或重装系统。信任链通过这样的完整性校验从可信代码传递到操作系统，最后再传递给应用软件，就构成了整个系统的静态可信环境。图4为系统启动时的资源结构。可信校验程序附着在程序末尾，负责校验下一段程序的完整性。


从图4可见，为保证系统安全，在静态可信链建立以后，OS内核程序和可信校验程序B不能被破坏，这两部分程序需要靠MTM来保护。因为，在系统启动之后，内核程序需要被运行，而可信检验程序B需要被用来动态检验新启动的应用程序，或者为SSP生成终端的完整性信息。

在系统运行之后，对系统的保护可依赖动态可信机制实现。由于在系统运行之后，随着用户开启的应用的不同，系统的完整性是动态变化的。比如，用户打开浏览器后，浏览器软件被运行，这时，系统中增加了与运行浏览器相关的程序，显然系统完整性发生了变化。如果不能及时正确地更新系统的完整性信息，则可能被恶意软件钻了空子。但要计算动态完整性，必然要耗费系统的计算资源。因此，如何对运行中的系统进行安全保护，是可信计算的难点问题。可信计算要实现以下几个目标：

（1）能够定期对指定程序或区域资源计算其完整性，并汇报给SSP。

（2）能够检查即将安装的程序的合法性，如不合法则不能被安装。

（3）能够检查即将运行的程序的合法性，如不合法则不能被运行。

（4）上述安全机制本身必须是安全的。

（5）上述安全机制应不明显影响系统运行效率。

在上述目标中，目标1是要检查运行中的系统软件或软件资源是否被修改，一旦被修改即能被发现。计算一段代码的完整性通常采用计算其摘要值并与已有摘要值（由SSP提供）相比的方法，也可以采用随机抽取代码位再取其摘要的方法。当代码较长时，后一种方法具有优势。

当移动终端需要安装或运行一个程序时候，不仅需要检查其完整性，还需要验证其合法性。目标2和目标3中程序合法性是通过检查程序是否有SSP授权来验证。该验证过程同样由SSP提供。SSP通过与软件提供商SWP签订合约，并将合法软件的版本及其摘要信息保存在SSP服务器中供移动终端查询。该过程可以用图5所示的流程来描述。


对于目标4，关键是要保护好图4中的可信校验程序B不受破坏，这通常需要专门的硬件。一种有效的保护方法是通过硬件电路实现对可信校验程序B所在的地址空间不能被写入，除非得到MTM的授权许可。这种硬件保护电路可以一并设计在MTM中。

3.3 安全服务器

根据以上阐述，不难理解，安全服务器的两个主要安全服务功能为：

（1）检查移动终端的软件完整性，如不完整，则不允许其接入网络。如移动终端软件完整性受到破坏，表明终端可能已经遭受病毒入侵。如允许其接入网络，则可能会传染其他终端和网络设备。

（2）为移动终端提供软件合法性查询服务。当移动终端需要安装或者运行软件时，首先需要查询该软件是否合法。终端先在本地MTM中查询，如无结果，则将查询申请递交给安全服务器，安全服务器验明终端的身份后将查询结果返回给该终端。

安全服务器的辅助功能还包括：与软件提供商的安全交互，以实现软件安全性审核及合法性信息生成功能；与移动网络运营商的AAA服务器安全交互，以实现身份认证及计费功能；与运营网络的接入网服务器交互功能，以实现基于移动终端完整性的接入控制功能等等。

4 未来的研究方向

随着网络构架和传输协议的日益成熟，未来移动通信安全的研究重点将转移到移动终端上。而由于目前移动终端上的嵌入式平台和嵌入式操作系统的设计初衷都不是专门为移动通信环境服务，因此这方面的安全问题尤为突出。嵌入式系统中程序空间和数据空间一体化的结构，为实现对关键程序的保护增加了难度。因此，有利于保护关键程序安全的嵌入式系统架构是需要进一步研究的问题之一。

类似于TrustZone的域隔离技术，对内存空间的关键位置读写保护是一个很好的思路。操作系统和应用软件装载到内存后，可以通过对CPU访问的内存地址进行监控，控制对关键位置的读写操作。如果能从硬件上来控制读写操作，那么几乎不会影响到系统的运行效率。这种域隔离方案是解决系统实时防护的有效方法，但需要嵌入式操作系统的配合，并提供完整的内存管理的地址信息。因此，针对安全防护的需要，改进系统的结构也是必须研究的内容。

软件平台安全的关键在于操作系统，访问控制是有效的手段，但缺乏足够的理论支撑和安全性测量方法，这也是可信计算技术面临的问题之一。因此在操作系统的安全性研究上，通常侧重在理论指导下构建安全模型，从而增强系统的安全性。

系统软件与应用软件的完整性测量对构建安全体系至关重要。但完整性测量计算量很大，如何设计计算量小且有效的完整性测量算法有实际应用价值。如对软件代码随机抽取比特信息再做摘要，运算量会大幅度下降，但如何抽取和与验证端同步则是需要进一步研究的问题。

预计在不远的将来，手机终端将成为真正意义上的互联网终端。用户使用手机能实现个人电脑几乎所有的功能，如电子商务、收发邮件、手机钱包等。如果手机的安全问题得不到有效解决，将成为严重制约这些应用发展的瓶颈。

移动网络安全问题需要从整个网络出发整体考虑，将传统的由用户自行处理的终端杀毒方法转移到由网络运营商，为移动用户提供安全服务。由于运营商在技术、设施、管理等方面具有优势，能够为移动网络安全提供有力保障。

可以预见，随着移动网络安全事件的不断出现，能否为用户提供优质的安全服务，将成为移动网络运营商商业竞争能否取胜的关键。基于安全服务的整体安全解决方案，将成为未来网络信息安全的主流发展方向。

相关文章

4G移动网络公共交通WiFi覆盖解决方案

ST宣布售出其移动网络全球导航卫星系统（GNSS）业务

全球最小3G模块通过澳洲电讯移动网络兼容性认证