作者:张滨,冯运波,王庆丰,袁捷,王红艳,李祥军,于乐,李斌
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
![移动网络安全体系架构与防护技术[精品]](http://img62.ddimg.cn/digital/product/46/77/1900784677_ii_cover.jpg)
移动网络安全体系架构与防护技术[精品]试读:
前言
随着移动互联网的高速发展,网络速度越来越快,移动用户也越来越多地使用移动通信网络来进行社会经济生活。高速的网络发展一方面带来了巨大的社会价值和经济价值,另一方面也带来了潜在的信息安全风险。通信网络一旦出现安全问题,就会造成用户的信息沟通障碍、信息泄漏及经济损失,带来无法预料的损失。
随着移动互联网环境中移动终端和业务平台的逐步开放,受TCP/IP协议族的脆弱性、终端操作系统的安全漏洞、攻击技术的普及等因素影响,移动互联网下的安全管理形势将会更加复杂。移动互联网上的安全问题逐渐呈现出来,网络上出现了大量如GTP over Billing攻击、DDoS攻击、DHCP地址耗尽攻击、伪冒地址恶意阻断上下文攻击、“沉默诅咒”拒绝服务攻击、垃圾信息群发、隐私信息窃取、手机病毒等在内的威胁移动互联网安全事件。2014年12月18日据《华盛顿邮报》报道,德国科学家发现全球移动通信网络SS7信令系统存在重大漏洞,可导致对全球任何手机用户进行定位及监听通话和短信;2015年8月,澳大利亚电视节目《60分钟时事》展示了黑客利用SS7信令系统缺陷实现对国会议员的远程监听和定位。
移动通信网络安全关系到用户财产安全、个人信息安全、社会稳定及国家安全。移动通信网络的安全管控需要国家、行业、通信厂商及用户各个方面的共同努力。本书以当前广泛应用的通信系统和代表发展趋势的通信网络安全新技术为背景,在介绍移动通信网络基本原理的基础上,充分反映出最新的通信网络安全技术的发展。
本书作者均有多年从事通信网络安全工作的经验,不仅参与了电信行业通信网络安全相关标准的制定、电信运营商对通信网络安全环境的治理,还在长期实践中形成了较全面的移动通信网络安全视角。本书在系统深入阐述通信网络安全理论知识的基础上,结合实际案例,详细分析了移动通信网络各层面的安全风险。
特别鸣谢中国移动通信研究院张峰博士、设计院董江波博士对书稿内容提出的宝贵意见。
移动通信网安全技术发展日新月异,作者愿与广大读者深入交流、共同进步。
由于作者水平有限,书中不当之处恐难避免,敬请广大作者批评指正。作者2016年10月第1章绪论
移动互联网(Mobile Internet,MI)是一种通过智能移动终端,采用移动无线通信方式获取业务和服务的新兴业务,包含终端、软件和应用3个层面。终端层包括智能手机、平板电脑、电子书、移动互联网设备(Mobile Internet Devices,MID)等;软件层包括操作系统、中间件、数据库和安全软件等;应用层包括休闲娱乐类、工具媒体类、商务财经类等不同应用与服务。移动互联网将移动通信技术、终端技术与互联网技术相融合,而不是将固定互联网在移动网上的简单复制,是一种新能力、新思想和新模式的体现,并将不断催生出新的产业形态和业务形态。它主要由公众互联网上的内容、移动通信接入、便携式终端和不断创新的商业模式所构成,运营模式大致包括3种类型:以移动运营为主导的封闭式移动互联网、以终端厂商为主导的相对封闭式移动互联网和以网络运营为主导的开放式移动互联网。
移动互联网基于电信网络,是具有管理系统的层次管理网,具有完整的计费和管理系统;而且,移动互联网的移动终端具有不同于互[1]联网终端的移动特性、个性化特征,用户体验也不尽相同。1.1 移动互联网体系架构
移动互联网是移动通信与互联网融合的产物,移动互联网继承了移动通信随时随地的特点及互联网分享、开放、互动的优势。4G时代的开启以及移动终端设备的凸显必将为移动互联网的发展注入巨大的能量,移动互联网的演进分为以下4个阶段。
① 移动增值网:是为移动通信系统提供增值业务的网络,能够提供移动的各种增值业务,属于业务网络。
② 独立WAP(Wireless Application Protocol,无线应用协议)网站:是独立于移动网络体系的移动互联网站点,网站独立于运营商,直接面向消费者。
③ 移动互联网:是以互联网技术(如 HTTP/HTML 等)为基础,以移动网络为承载,以获取信息、进行娱乐和商务等服务的公共互联网。
④ 宽带无线互联网:是移动互联网的高级阶段,可以采用多种无线接入方式,如3G、4G、WiMAX(World Interoperability for Microwave Access,全球微波互联接入)等。[2]
开放系统互连(Open System Interconnect,OSI)参考模型是ISO组织在1985年研究的网络互联模型,该模型定义了网络互连的7层框架:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。OSI模型如图1-1所示,其中,第1~3层属于OSI参考模型的低3层,负责创建网络通信连接的链路;第4~7层为OSI参考模型的高4层,具体负责端到端的数据通信。图1-1 OSI模型
移动互联网因为是互联网和移动通信的结合,分层与互联网稍有不同,移动互联网可分为3个层次,即移动终端和移动子网、接入网、[3]核心网,如图1-2所示。[3]
移动互联网的总体架构如图1-3所示,移动终端通过3种方式(Wi-Fi、通信网及卫星)接入到相应的通信网络中,并通过互联网来访问移动互联网业务。图1-2 移动互联网体系架构图1-3 移动互联网总体架构1.1.1 通信技术的演进
移动互联网从概念的提出到实现经历了很短的时间,目前正以一种前所未有的速度向全球推进。从第一代的 WAP 手机到第二代 GPRS(General Packet Radio Service,通用分组无线业务),再到现在的3G、4G技术,以及正在研发的5G技术,人类通信在互联网技术[4]的推动下创造了一个又一个的应用新境界。具体见表1-1。表1-1 移动互联网代际分期(1)第一代移动通信技术
第一代移动通信技术(1G)是指最初的模拟、仅限话音的蜂窝电话标准,制定于 20 世纪 80 年代,第一代移动通信主要采用的是模拟技术和频分多址(Frequency Division Multiple Access,FDMA)技术。由于受到传输带宽的限制,不能进行移动通信的长途漫游,只是一种区域性的移动通信系统。第一代移动通信有多种制式,我国主要采用的是全入网通信系统(Total Access Communications System,TACS)。第一代移动通信有很多不足之处,如容量有限、制式太多、互不兼容、保密性差、通话质量不高、不能提供数据业务和不能提供自动漫游等。(2)第二代移动通信技术
第二代移动通信技术(2G)主要采用的是数字时分多址技术(Time Division Multiple Access,TDMA)技术和码分多址(Code Division Multiple Access,CDMA)技术,主要提供数字化的话音业务及低速数据业务。第二代为数字蜂窝移动通信系统,以GSM(Global System for Mobile communication,全球移动通信系统)、CDMA、PDC等系统为代表的。它克服了模拟移动通信系统的弱点,话音质量、保密性能得到很大的提高。第二代移动通信替代第一代移动通信系统完成了模拟技术向数字技术的转变,但由于采用的是不同的制式,导致移动通信的标准不统一,用户只能在同一制式覆盖的范围内进行漫游,因为无法进行全球漫游。而且,第二代数字移动通信系统带宽有限,从而限制了数据业务的应用,也无法实现高速率的业务。(3)第三代移动通信技术
第三代移动通信技术(3G)是指支持高速数据传输的蜂窝移动[5]通信技术。3G服务能够同时传送话音及数据信息,速率一般在几百kbit/s以上。目前3G存在4种标准:CDMA2000、WCDMA(Wideband CDMA,宽频码分多址复用)、TD-SCDMA(Time Division Synchronous CDMA,时分同步码分多址接入)、WiMAX。其中TD-SCDMA属于时分双工(Time Division Duplexing,TDD)模式,是由中国提出的 3G 技术标准;而 WCDMA 和 CDMA2000 属于频分双工(Frequency Division Duplexing,FDD)模式,WCDMA技术标准由欧洲和日本提出,CDMA2000技术标准由美国提出。中国国内支持国际电联确定3个无线接口标准,分别是中国电信的 CDMA2000、中国联通的 WCDMA、中国移动的TD-SCDMA。与前两代移动通信技术相比,第三代移动通信能够实现高速数据传输和带宽多媒体服务。第三代移动通信网络能将高速移动接入和基于互联网协议的服务结合起来,提高无线频率利用率,提供包括卫星在内的全球覆盖,并实现有线和无线以及不同无线网络之间业务的无缝连接;满足多媒体业务的要求,从而为用户提供更经济、内容更丰富的无线通信服务。(4)第四代移动通信技术
第四代移动通信技术(4G)的概念可称为宽带接入和分布网络,具有非对称的超过2 Mbit/s的数据传输能力。它包括宽带无线固定接入、宽带无线局域网、移动宽带系统和交互式广播网络。第四代移动通信标准比第三代标准具有更多的功能,第四代移动通信可以在不同的固定、无线平台和跨越不同的频带的网络中提供无线服务,可以在任何地方以高带宽接入互联网,能够提供全球定位、数据采集、远程控制等综合功能。此外,第四代移动通信系统是集成多功能的宽带移动通信系统,是宽带接入IP系统。第四代移动通信技术将数据速率从2 Mbit/s提高到100 Mbit/s,并且满足高速数据和高分辨率多媒体服务的需要。1.1.2 移动互联网的关键技术
1.蜂窝移动通信网络发展[6]
基站是指在一定的无线电覆盖区中,通过移动通信交换中心,与移动电话终端之间进行信息传递的无线电收发信电台。基站的建设是我国移动通信运营商投资的重要部分,随着移动通信网络业务向数据化、分组化方向发展,基站的发展趋势也必然是宽带化、大覆盖面建设及IP化。
在不同的网络系统中,基站结构也不尽相同,但相互没有本质差[6]异。以GSM网络为例,包括基站收发台(Base Transceiver Station,BTS)和基站控制器(Base Station Controller,BSC)。一个基站控制器可以控制十几以至数十个基站收发信机。而在WCDMA等系统中,类似的概念有NodeB和RNC(Radio Network Controller,无线网络控制器)。
一般情况下在某个区域内,多个基站相互组成一个蜂窝状的网络,通过控制收发台与收发台之间的信号相互传送和接收来达到移动通信信号的传送,这个范围内的地区也就是我们常说的网络覆盖区。如果没有了收发台,那就不可能完成手机信号的发送和接收。基站收发台不能覆盖的地区也就是手机信号的盲区。所以基站收发台发射和接收信号的范围直接关系到网络信号的好坏以及手机是否能在这个区域内正常使用。
GSM系统越区时采用切换方式,即当用户到达小区边界时,手机会先与原来的基站切断联系,然后再与新的服务小区的基站建立联系。当新的服务小区繁忙时,不能提供通话信道,这时就会发生掉线现象。
3G网络相对于2G网络有一个不同,就是3G网络使用了频率复用技术,虽然增加了频谱利用率,但也给它本身的网络带来了同频复用[7]的自干扰。
在整个蜂窝移动通信系统中,基站子系统是移动台与移动中心连接的桥梁,其地位极其重要。整个覆盖区中基站的数量、基站在蜂窝小区中的位置、基站子系统中相关组件的工作性能等因素决定了整个蜂窝系统的通信质量。基站的选型与建设,已成为组建现代移动通信网络的重要一环。
2.移动网络接入技术
移动互联网的网络接入技术主要包括:移动通信网络、无线局域网(Wireless Local Area Network,WLAN)、无线Mesh网络(Wireless Mesh Network,WMN)、其他接入网络技术、异构无线网[4]络融合技术等。
一是移动通信网络。移动通信网络经历了1G、2G、3G时代,目前正在大力部署4G网络,并在加快研发5G技术。4G能够以100 Mbit/s的速率下载数据, 20 Mbit/s的速率上传数据。5G的目标是,到2020年,相对于当前而言,实现数据流量增长1 000倍,用户数据速率提升100倍,速率提升至10 Gbit/s以上,入网设备数量增加100倍,电池续航时间增加10倍,端到端时延缩短5倍。
二是无线局域网。目前正在发展AC-AP架构的WLAN解决技术,即无线控制器负责管理无线网络的接入和无线接入点的配置与监测、漫游管理及安全控制等,无线接入点只负责 802.11报文的加解密。另外,802.11ad标准提出了利用60 GHz频段进行无线通信的技术,传输速率达到6.76 Gbit/s,并降低了天线的尺寸,提高了抗干扰能力。电气与电子工程师协会(IEEE)制定的无线局域网标准见表1-2。表1-2 IEEE制定的无线局域网标准
三是无线 Mesh 网络。WMN 是一种自组织、自配置的多跳无线网络技术, Mesh路由器通过无线方式构成无线骨干网,少数作为网关的Mesh路由器以有线方式连接到互联网。
四是其他接入网络。小范围的无线个域网有NFC、蓝牙、UWB、ZigBee、IrDA等技术。
五是异构无线网络融合技术。针对多种无线接入技术,正在发展异构无线网络融合技术。异构无线网络架构分为紧耦合技术和松耦合技术两类。紧耦合技术的网络架构是指无线接入系统之间存在主从关系,松耦合技术网络架构是指无线接入系统之间不存在主从关系。(1)Wi-Fi技术
Wi-Fi 技术应用灵活,能灵活胜任只有几个用户的小型网络,也能胜任使用者达到数千人的大型网络。组网成本也相对低廉,但是数据传输速率有限和无线电波之间的相互影响是制约其发展的两个原因。(2)3G之WCDMA
WCDMA 是 CDMA 演变而来,由欧洲提出,技术成熟。这个标准在全球应用是最广泛的。(3)3G之CDMA2000
CDMA2000 是窄带 CDMA 发展而来,由美国提出。这个标准在亚太地区应用比较广泛,主要集中在中国、日本和韩国。(4)3G之TD-SCDMA
这个标准由我国提出,主要优点是频谱利用率高。从理论上来说,这是中国第一次在全球通信领域内的有力尝试,也是自主知识产权的代表成就之一。
3.移动IP技术[8]
IP 协议(Internet Protocol)要求所有参加互联网的网络节点要有一个统一规定格式的地址,简称IP地址。在互联网上,每个网络和每一台移动终端都被分配有一个IP地址,这个IP地址在整个互联网网络中是唯一的。IP地址是供全球识别的通信地址。在互联网上通信必须采用这种32位的通用地址格式,才能保证互联网成为向全球的开放互联数据通信统。它是全球认可的计算机网络标识方法。IP地址可采用二进制格式或十进制格式。[2]
互联网工程任务组(Internet Engineering Task Force,IETF)将IP地址分为成3个普通类(加上2个特殊类)。IP地址由4个8位组的二进制组成,也可以使用4个带点的十进制数字表示。不同类之间的区别在于当寻址网络与主机对立时,分配给寻址网络的8位组的方式不同。这种分配方式称作第一个8位组规则。世界上的任何一个路由器都能够阅读IP地址的第一个8位组,并且知道哪些位能翻译成网络地址的一部分,哪些能翻译成主机地址的一部分。如果路由器不能进行这样的区分,那么互联网将不能正常工作。大部分网络使用B类或C类地址,每一个类的第一个8位组的范围如图1-4所示。图1-4 IP地址分类[9]
移动IP是移动通信和IP的深层融合,也是对现有移动通信方式的深刻变革,它将真正实现话音和数据的业务融合,它的目标是将无线话音和无线数据综合到一个技术平台上传输,这一平台就是IP协议。
我们在连接互联网时,需要使用固定的IP地址和TCP端口号进行相互通信,在通信期间它们的IP地址和TCP端口号必须保持不变,否则IP主机之间的通信将无法继续。而移动IP的基本问题是IP主机在通信期间可能需要移动,它的IP地址也许经常会发生变化,最终导致通[9]信中断。
如何解决因节点移动,即IP地址的变化而导致通信中断的问题[9]?蜂窝移动电话提供了一个非常好的解决问题先例。因此,解决移动IP问题的基本思路与处理蜂窝移动电话呼叫相似,它将使用漫游、位置登记、隧道技术、鉴权等技术,从而使移动节点使用固定不变的IP地址,一次登录即可实现在任意位置上保持与IP主机的单一链路层连接,使通信持续进行。(1)归属代理(Home Agent,HA)
一个在移动节点(Mobile Node,MN)归属网上的路由器,它至少有一个接口在归属网上,当移动节点离开归属网时,它通过IP通道把数据分组传给移动节点,并且负责维护移动节点的当前位置信息。(2)外区代理(Foreign Agent,FA)
移动节点当前所在网络上的路由器,它向已登记的移动节点提供选路服务。当使用外区代理转交地址时,外区代理负责解除原始数据分组的隧道封装,取出原始数据分组,并将其转发到该移动节点。对于那些由移动节点发出的数据分组而言,外区代理可作为已登记的移动节点的缺省路由器使用。(3)归属地址(Home Address,HA)
这是用来识别端到端连接的静态地址,也是移动节点与归属网连接时使用的地址。不管移动节点连至网络何处,其归属地址保持不变。(4)转交地址(Care Of Address,COA)
转交地址即隧道终点地址。它可能是外区代理转交地址,也可能是驻留本地的转交地址。如果当移动终端移动到外地子网时,就需要配置一个具有外地网络前缀的转交地址,通过转交地址提供移动终端当前所在的位置信息。(5)移动IP技术的工作原理
① 归属代理和外区代理不停地向网上发送代理通告(Agent Advertisement)消息,以声明自己的存在。
② 移动节点接到这些消息,确定自己是在归属网还是在外区网上。
③ 如果移动节点发现自己仍在归属网上,即收到的是归属代理发来的消息,则不启动移动功能;如果是从外区重新返回的,则向归属代理发出注册取消的功能消息,声明自己已回到归属网中。
④ 当移动节点检测到它移到外区网,它则获得一个关联地址,这个地址有两种类型:一种即是外区代理的IP地址;另一种是通过某种机制与移动节点暂时对应起来的网络地址,也即是移动节点在外区暂时获得的新的IP地址。
⑤ 然后移动节点向归属代理注册,表明自己已离开归属网,把所获的关联地址通知归属代理。
⑥ 注册完毕后,所有通向移动节点的数据分组将归属代理经由IP通道发往外区代理(如使用第一类关联地址)或移动节点本身(如使用第二类关联地址),外区代理收到后,再把数据分组转给移动节点,这样即使移动节点已由一个子网移到另一个子网,移动节点的数据传输仍能继续进行。
⑦ 移动IP技术工作原理如图1-5所示。移动节点发往外地的数据分组按一般的IP寻径方法送出,不必通过归属代理。图1-5 移动IP技术工作原理
在GSM网络中引入IP分组数据业务GPRS。GPRS是移动通信网络向分组化发展的一个里程碑。GPRS 的分组化实质,使空中接口频谱利用率与地面接入网带宽利用效率都得到极大的提高。同时诞生了“按流量计费”这种更加合理的资费政策,使运营商可以宣称:让用户24小时在线,只有点击的时候才计费。GPRS扫除了阻碍无线互联网应用的普及在技术和成本两方面的障碍,加快了移动互联网应用的普及和推广。GPRS的骨干网将借助于IP网络和互联网络实现无缝互联互通。对用户来说,移动终端使原先需要庞大昂贵的 PC 才能使用的互联网以一种更为简单便捷、亲切易用和廉价实用的方式出现,也更加易于为广大普通百姓所接受,移动性极大地促进了互联网应用的
[2]普及。
4.IPv4、IPv6协议
全球Internet所采用的是TCP/IP协议簇,IP作为TCP/IP协议簇中网络层协议,是协议簇的核心协议。
IPv4是第一个被广泛使用并构成现今互联网技术的基石的协议[10]。该协议的核心技术属于美国,现在正逐渐被IPv6取代。IPv4最大问题在于网络地址资源有限,尤其是采用A、B、C这3类编址方式后,可用的网络地址和主机地址的数目大打折扣,以至IP地址实际上已经分配完毕。这一现状严重制约了中国及其他国家互联网的应用和发展。
IPv6是IETF设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。IPv6简化了报文头部格式,只有 8 B,加快了报文转发,提高了吞吐量;其身份认证和隐私保护是IPv6的关键特性,IPv6允许协议继续演变,增加新的功能,使之适应未来技术的发展。
与IPv4相比,IPv6具有更大的地址空间。IPv4中规定IP地址长度为32位,约有43亿地址;而IPv6中IP地址的长度为128位,即最大地12896址个数为2,比IPv4 增大了 2倍长度,具有足够的地址资源,地球上每一粒沙子都可以有一个IPv6 地址。IPv6 具有更高的安全性。在 IPv6 网络中用户可以对网络层的数据进行加密并对IP报文进行校验,同时通过加密与鉴别选项增强了分组的保密性与完整性,极大地增强了网络的安全性。如果新技术或应用需要,IPv6允许对协议进行扩充。
5.智能终端技术
移动智能终端搭载各种操作系统,同时拥有接入互联网能力,可以根据用户的需求定制各种功能。常见的智能终端包括移动智能终端、车载智能终端、智能电视及可穿戴设备。智能终端技术的兴起为移动互联网的普及起到了重要作用。
智能手机:像计算机一样拥有独立的操作系统,用户可根据需求按照软件、游戏等第三方服务商提供的应用程序(APP)。这些APP不断丰富了手机的功能,同时智能手机可通过移动通信网络来实现无线网络接入。手机已从简单的通信终端发展为丰富功能的智能手机,从而可以在较大范围内使用便携式移动智能终端。
PDA智能终端:PDA智能终端分为工业级PDA和消费级PDA。工业级PDA主要应用在工业领域,如条码扫描器、RFD读写器、POS机等。消费级PDA内置高性能进口激光扫描引擎、高速CPU处理器、WINCE5.0/Android操作系统,具备超级防水、防摔及抗压能力。它广泛用于鞋服、快消、速递、零售连锁、仓储、移动医疗等多个行业的数据采集,支持BT/GPRS/3G/Wi-Fi等无线网络通信。
平板电脑:是一种小型、方便携带的个人电脑,以触摸屏作为基本的输入设备。它拥有的触摸屏允许用户通过触控笔或数字笔来进行作业而不是传统的键盘或鼠标。用户可以通过内建的手写识别、屏幕上的软键盘、语音识别或者一个真正的键盘输入信息。
车载智能终端:具备GPS定位、车辆导航、采集和诊断故障信息等功能,在新一代汽车行业中得到了大量应用,能对车辆进行现代化管理,车载智能终端将在智能交通中发挥更大的作用。
可穿戴设备:越来越多的科技公司开始大力开发智能眼镜、智能手表、智能手环、智能戒指等可穿戴设备产品。智能终端开始与时尚挂钩,人们的需求不再局限于可携带,更追求可穿戴,你的手表、戒指、眼镜都有可能成为智能终端。1.2 移动互联网的组成
目前来说,移动互联网的业务体系主要包括三大类。
① 固定互联网的业务向移动终端的复制,从而实现移动互联网与固定互联网相似的业务体验,这是移动互联网业务的基础。
② 移动通信业务的互联网化。
③ 结合移动通信与互联网功能而进行的有别于固定互联网的业务创新,这是移动互联网业务发展方向,移动互联网的业务创新关键是如何将移动通信的网络能力与互联网的网络与应用能力进行聚合,从而创新出适合移动互联网的互联网业务。1.3 移动互联网的发展
移动互联网正在以往我们难以想象的速度发展着,它已经不再是传统互联网的简单延伸和有效补充,而是有着自身个性的一张网络。移动互联网正在悄然无声地改变着我们的工作和生活,颠覆着互联网[10]行业,也将传统化行业推向了移动化转型的道路。移动互联网业务体系如图1-6所示。图1-6 移动互联网业务体系1.3.1 移动互联网的发展趋势(1)大流量消费时代已经开启
在移动互联网时代,智能终端与互联网的高速发展带来了巨大的能量。随着智能手机等对数据业务流量需求较多的终端的发展,以及社交、电子商务、游戏和咨询等应用在移动终端的迅速普及,PC 互联网流量正在加快向移动互联网迁移。根据工信部发布的数据,2016年前2个季度,移动互联网接入流量累计完成37.5亿 Gbit/s,同比增长123.9%。而根据电信运营商的数据,4G用户维持高速增长,1~6月净增1.83亿户,总数达到6.13亿户。随着电信运营商流量资费套餐逐步从百兆级向G字头提升,大流量消费时代已经到来,其必将重塑移动互联网用户的无线互联的行为和习惯,给业界带来更多商业增值的空间。(2)移动电子商务及O2O应用进入爆发期
得益于高速增长的移动端用户量和手机支付流程的优化,移动购物的用户基数在迅速扩大,市场交易规模一直呈现大幅度增长的态势。根据统计显示,2016年第1季度国内第三方移动支付市场交易规模达62 011亿,环比增长33.4%,第2季度交易规模达93 400亿,环比增长51%。其中一些具有特色的应用,例如条码扫描、比价软件、图片搜索购物等获得了较高的实用率。与 O2O(Online To Office,线上到线下)相结合的应用更是成为了市场卖点。
O2O将线下商务的机会与互联网结合在一起,让互联网成为线下交易的前台。在O2O的发展演进到移动互联网时代后,由于可以和位置等因素相结合,具备随时便携的特点,更是焕发了强大的创新力。(3)开放和竞争成为关键词
融合、创新、开放、多元化成为移动互联网和业的整体发展方向。国内一线开放平台的竞争格局已经日趋明显,各方的态度也逐渐清晰。目前,开放平台及成为移动互联网产业的发展契机,全球已经涌现了数百个开放平台。随着移动互联网时代的到来,国内传统的互联网巨头们均已经认识到移动互联网是开放平台发展的制高点。在移动互联网产业纵深发展的过程中,开放平台正逐渐由平台之间的单纯竞争转向竞争与合并共存。(4)拥抱4G移动互联网时代
随着发展 4G 用户行动的全面开展,移动网络速度和质量将得到大幅提升,令市场进入流量宽裕时代,以下3个方面将是创新和改革的重点:① 高流量的视频应用;② 多屏化、在线化、互动化;③ 传统行业的移动化变革。1.3.2 移动互联网对网络的影响
随着移动互联网的迅猛发展,移动互联网对当前的网络格局和发[5,11]展形势产生了重要的影响。(1)移动互联网将引领互联网发展新潮流
有线互联网是互联网的早期形态,移动互联网是互联网的未来。PC只是互联网的终端之一,智能手机、平板电脑、电子阅读器已经成为重要终端,电视机、车载设备正在成为终端,冰箱、微波炉、抽油烟机、照相机,甚至眼镜、手表等穿戴之物,都可能成为泛终端。(2)传统互联网多数应用将逐步转化为移动互联网的基础型应用
多数产业的发展都伴随着新产品的出现和原有产品的淘汰,这主要是由于产品所固有的成本使原有产品已不能满足基本的效用与成本比率。然而在互联网产业中,基于虚拟化、数字化和服务供给在更大层面上的规模化,相关应用服务的生产、运营、流通成本却几乎可以忽略不计。移动互联网所具有的无可比拟的优势,将使传统互联网的多数应用转化为移动互联网的基础应用。(3)所有原有的传统应用都将建立移动化
现在所有传统的IT应用、企业应用、各种软件、各种互联网站等都要移动化,包括交通行业与移动应用结合,还有金融行业,所有网站都应该有一个移动版。这一切都是第一拨移动开发者面临最现实的市场,面对移动改变生活的现状,企业必须调整策略以适应这种状况。(4)互联网技术对网络信号质量的要求将降低
随着越来越多无线网用户和偏远地区用户的加入,互联网的基础架构也将发生变化,将不再采取用户必须随时与网络保持连接状态的设定。相反,许多研究者已经开始研究允许网络延迟较大或可以利用其他用户将数据传输到某位用户那里的互联网技术。这种技术对移动互联网的意义尤其重大。部分研究者们甚至已经开始研究可用于在行星之间互传网络信号的技术,而高延迟互联网技术则正好可以发挥其威力。(5)互联网在全球的分布状况将日趋分散
在接下来的10年里,互联网发展最快的地区将会是发展中国家。据互联网世界的统计数据:目前互联网普及率最低的是非洲地区,仅6.8%;其次是亚洲(19.4%)和中东地区(28.3%);相比之下,北美地区的普及率则达到了74.2%。这表明未来互联网将在地球上的更多地区发展壮大,而且所支持的语种也将更为丰富。(6)互联网的网速越来越快
10 Mbit/s以上光纤普及民用,Wi-Fi和3G信号完成城镇覆盖。从资费上看,越来越便宜,部分 Wi-Fi 信号免费对市民提供。从信息质量上看,互联网将提供越来越多的基于地理位置的个性化服务,一些垃圾信息将被清理,获得的信息将更加贴近个人生活。参考文献
[1] 郑凤, 杨旭, 胡闻,等. 移动互联网技术架构及其发展[M]. 北京: 人民邮电出版社, 2014.
[2] 特南鲍姆, 韦瑟罗尔. 计算机网络[M]. 第5版. 严伟, 潘爱民, 译. 北京: 清华大学出版社, 2012.
[3] 张波, 徐昌彪. 移动互联网体系结构及关键技术研究[D]. 重庆: 重庆邮电大学.
[4] 移动互联网[EB/OL]. http://baike.baidu.com/view/1168245.htm?fr=aladdin.
[5] 胡世良, 钮钢, 谷海颖. 移动互联网: 赢在下一个十年的起点[M]. 北京: 人民邮电出版社, 2011.
[6] 官建文, 唐胜宏. 移动互联网蓝皮书: 中国移动互联网发展报告[M]. 北京: 社会科学文献出版社, 2014.
[7] 杨家玮. 移动通信[M]. 北京: 人民邮电出版社, 2011.
[8] 基站[EB/OL]. http://baike.baidu.com/view/69697.htm.
[9] 雷震甲. 网络工程师教程[M]. 第3版. 北京: 清华大学出版社, 2011.
[10] 孙利民, 阙志刚, 郑健平, 等. 移动IP技术[M]. 北京:电子工业出版社, 2003.
[11] 王健, 关中利. Internet市场分析与预测[J]. 商业研究, 2005, (13): 32-34.第2章移动通信网络安全
移动互联网的概念是相对传统互联网而言,强调可以在随时随地,并且可以在移动中接入互联网并使用业务。移动互联网的迅猛发展对政治、经济、文化发展的影响力逐步扩大,同时也对维护国家安全、稳定社会秩序、保护公民权利带来新的挑战。
随着移动互联网环境中移动终端和业务平台的逐步开放,受TCP/IP协议族的脆弱性、终端操作系统的安全漏洞、攻击技术的普及等因素影响,移动互联网下的安全管理形势将更加复杂。移动互联网上的安全问题逐渐呈现出来,网络上出现了大量诸如GTP over Billing攻击、DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)地址耗尽攻击、伪冒地址恶意阻断上下文攻击、“沉默诅咒”拒绝服务攻击、垃圾信息群发、隐私信息窃取、手机病毒等在内的威胁移动互联网安全的事件。2.1 移动通信网络的安全现状
移动互联网继承了传统互联网技术以及移动通信网技术的脆弱性,面临来自互联网和正在IP化的移动网的双重安全风险风险。移动互联网网络结构如图2-1所示。
首先,从移动通信角度看,与互联网的融合完全打破了其相对平[1]衡的网络安全环境,大大削弱了通信网原有的安全特性。原有的移动通信网由于网络相对封闭、信息传输和控制管理平面分离、网络行为可溯源、终端的类型单一且非智能、用户鉴权严格,使得其安全性相对较高。而IP化后的移动通信网作为移动互联网的一部分,这些安全性优势仅剩下了严格的用户鉴权和管理。面对来自互联网的各种安全风险,其安全防护能力明显降低。
其次,从现有互联网角度看,融合后的网络增加了无线空口接入,并将大量电信设备如WAP网关、IMS(IP Multimedia Subsystem,IP多媒体子系统)设备等引入IP承载网,从而使互联网产生了一些新的安全风险。其中,网络攻击、失窃密码等问题尤为突出。例如,通过破解空口接入协议非法访问网络、对空口传递信息的监听和盗取、对无线资源和设备的服务滥用攻击等。另外,移动互联网中IP化的电信设备、信令和协议,大多较少经受安全攻击测试,存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软/硬件漏洞,一个恶意构造的数据分组就可以很容易引起设备宕机,导致业务瘫痪。与传统互联网不同,移动互联网因为IPv4地址有限而引入了网络地址转换(Network Address Translation,NAT)技术。NAT技术有效解决了地址资源紧缺问题,但其破坏了互联网端到端透明的体系架构,同时由于目前部分移动上网日志留存信息的缺失,使侦查部门只能追溯到某一对应多个私网用户的公网 IP 地址,而无法精确溯源,给不法分子提供了可乘之机。图2-1 移动互联网网络结构
移动互联网的网络是移动互联网的基础,移动互联网网络主要分两个部分:接入网和IP承载网/互联网。
接入网采用移动通信网时涉及 BTS、BSC、RNC、移动交换中心(Mobile Switching Center,MSC)、媒体网关(MGW)、服务GPRS支持节点(Serving GPRS Supporting Node,SGSN)、网关GPRS支持节点(Gateway GPRS Supporting Node, GGSN)等设备以及相关链路,当采用Wi-Fi时涉及接入设备。
IP承载网/互联网主要涉及路由器、交换机、接入服务器等设备以及相关链路。移动互联网网络安全同样分设备/环境安全、业务应[2]用安全、信息自身安全以及信息内容安全4个层面进行研究。(1)设备/环境安全
移动互联网设备/环境安全主要是指路由器等网络设备自身的安全性、所处环境符合标准要求等。上述设备自身安全主要包括符合工信部设备入网要求中的安全要求,环境安全主要是指上述设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求。此外设备/环境安全还包括网络设备的操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力,保障设备可靠稳定运行。移动互联网安全框架如图2-2所示。图2-2 移动互联网安全框架(2)业务应用安全
移动互联网网络的业务应用安全主要是指接入服务的安全性,主要采用认证等技术手段确保合法用户可以正常使用,防止业务被盗用、冒名使用等。在 2G的GSM网络中实施单向认证,采用A3/A8实现认证和密钥协商。在3G网络中以3GPP为例,在R99中引入了双向认证、新的鉴权算法:高级加密标准(Advanced Encryption Standard,ASE),将加密算法后移至RNC,引入新的密码算法Kasumi,增加了信令完整性保护;在R4中增加了MAPSec保护移动应用协议(MAP)信令安全;在R5中利用IPSec保护分组域安全,并引入IP多媒体子系统接入安全;在R6中增加了通用鉴权架构。当采用Wi-Fi接入时,有IEEE 802.11i以及中国自主知识产权的无线局域网认证和保密基础设施(Wireless LAN Authentication and Privacy Infrastructure,WAPI)提供接入安全。(3)信息自身安全
移动互联网信息自身安全主要包括信息空口传播、IP承载网/互联网传递时网络所提供必要的隔离和保密以及接入网络所涉及的用户注册信息安全。虽然移动通信网中定义了空口加密算法,针对无线接入网络,移动设备(Mobile Equipment, ME)与接入网络(Access Network,AN)之间的空中接口是容易遭受攻击的部分,其面临的攻击主要有:攻击者在空口窃听信令或用户业务,攻击者通过在空口插入、修改、重放或删除信令数据/控制数据、用户业务数据等手段,拒绝合法用户业务或伪装成网元攻击网络;攻击者通过物理方法阻止用户业务、控制数据、信令数据在无线接口上传输,攻击者进行DoS(Denial of Service,拒绝服务)攻击。针对有线接入网、传送网及IP承载网。在机密性、完整性和可用性方面的攻击主要有以下几种[3]。
① 针对机密性的攻击方法:嗅探或窃听是一种监控网络中 Web 服务流量的行为。攻击者可在网络层监控传输的消息内容,从而获取敏感的纯文本数据和在SOAP、WSDL 等消息中携带的安全配置信息。使用工具,攻击者可截获网络中传输的信息,利用获知的信息发起攻击。窃听行为的发生,对通信中数据机密性造成了极大的风险。流量分析是通过技术手段获得情报监测模块的传输通信,在交互中,消息流承载大量的信息。
② 针对完整性的攻击方法:篡改是指攻击者通过增加、删除、修改和重新安排等方法来改变原有的消息。伪装是攻击者可能冒充合法用户来获取未经授权的特权。重放攻击是将以前获取的正确信息再次传输。这些信息可以是整个路由数据分组或仅是附在虚假信息后的认证信息。后者可以被攻击者用来破坏设计不完善的安全方案,这也是假冒攻击的第一步。通过重放以前截获的数据分组,攻击者可以破坏不同路由域之间的同步。已经过时的路径可以按照新路径的方式出现,对中继节点的路由表进行破坏。
③ 针对可用性的攻击方法:主要以 DoS 攻击为主,目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击是指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。(4)信息内容安全
移动互联网有大量业务来自传统互联网,所传递的信息内容属于公众信息而不是端到端通信,因此移动互联网网络的内容安全应当涉及必要的有害信息过滤与检查。2.2 移动通信网络的安全风险2.2.1 身份假冒攻击风险
在移动通信网络中,移动站与网络控制中心及其他移动站之间不存在固定的物理设备连接,移动站必须通过无线信道传送其身份信息,以便于网络控制中心及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻击者截获一个合法用户的身份信息时,他就可以利用这个身份信息假冒合法用户身份入网。
用户通过无线信道传送其身份信息以便于网络端能正确鉴别用户的身份。攻击者可截获这些身份信息,并利用截获的身份信息假冒合法用户使用通信服务。SIM(Subscriber Identity Model,用户识别模块)卡易受“SIM克隆”的攻击,这是一种对用户和系统都很严重的风险。如果入侵者可以得到用户的SIM卡并获得它所存储的关键信息,它就可以再做一个SIM卡来盗用这部电话。2.2.2 单向鉴权安全风险
单项鉴权是指只考虑了网络对用户的认证,而没有考虑用户对网络的识别。加密功能由网络侧决定是否开启。由于GSM协议的缺省版本并不采用加密技术,无法对基站进行甄别,最终造成了潜在的风险。比较典型的有中介者攻击,其一般过程如下。
① 侦听设备先假冒基站,安插在手机和真正的基站之间,在目标附近形成自己的微小区。
② 目标终端登录侦听设备,暴露了 IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)。
③ 侦听设备冒充目标终端向网络侧发起注册请求,在这个过程中把网络下发的RAND转给终端并把终端返回的SRES转给网络。
④ 完成注册后假基站便可以截取终端和真基站之间的通信,而真基站和终端都无法获知假基站的存在。2.2.3 加密算法的弱点
GSM采用3种安全机制:匿名(用临时用户身份标识用户)、认证和密钥协商(Authentication Key Agreement,AKA)以及机密性保护。当移动台(Mobile Station,MS)进行呼叫或者位置更新时,需要网络方的认证。认证中心根据用户的 IMSI 找到用户的密钥 Ki,然后产生认证向量三元组(RAND、SRES),并将其发送到 MSC/VLR(Visiting Location Register,拜访位置寄存器);MSC/VLR将其中的RAND发送给MS,MS中的SIM卡根据收到的RAND和存储在卡中的,利用A3(认证算法)和A8(加密密钥产生算法)分别计算出用于认证的响应 SRES 和加密密钥,并将 SRES 回送到 MSC/VLR 中。在MSC/VLR 里,比较来自 MS 的 SRES 和来自认证中心的访问网络,并且在后续的通信过程中,用户和基站之间无线链路的通信使用加密密钥和加密算法A5进行加密保护。[4]
David Wagner和Ian Goldberg曾用不到一天的时间破解了COMP128算法。他们指出了其中的缺陷,并证实了在得到SIM卡的情况下,存在其中的可在8小时内被破解出来。这样就会引发SIM克隆攻击。然而,GSM运营商和SIM卡的制造商都不愿意,也无法用其他算法来取代A8/A3。因为COMP128已经在全世界范围内得到了广泛使用。
A5算法包括A5/1、A5/2和A5/0,其中A5/1为强加密,应用于欧洲地区,算法复杂度理论上为254;A5/2算法为弱加密;A5/0算法不加密。分块攻击法可以将加密算法的复杂度降低到240.16;存储交换法可以在1 s内得到密钥;分块加密主要是猜测其内部3个寄存器的状态。相应的攻击方法是在一个已知时刻,找出对应于一个已知账号的已知[5]加密流的3个寄存器的内部状态,重建密钥。2.2.4 信令系统安全风险
2014年12月18日据《华盛顿邮报》报道,德国科学家发现全球移动通信网络SS7(Signaling System 7,7号信令系统)存在重大漏洞,可导致对全球任何手机用户进行定位及监听通话和短信。此后,关于SS7信令漏洞事件不断发酵,2015年8月,澳大利亚电视节目《60分钟时事》展示了黑客利用SS7信令系统缺陷实现对国会议员的远程监听和定位。
移动通信网络是全球标准化的网络,全球网络都遵循相同的国际标准,为实现国际漫游等场景下用户能够在他网注册并使用他网,网络之间用户位置查询、呼叫转移、业务数据查询等都是网络必须具备的功能。基于目前的全球标准,移动通信网络在接收到这些请求时,不进行对方网络身份鉴别,也无法判断这些请求是否合理,因此可能导致滥用这些功能对用户定位以及话音监听。
根据《华盛顿邮报》报道,利用当前全球移动通信网络中信令系统存在的缺陷,能够定位全球任何移动用户的手机,并监听话音通话、短信内容。当进行用户定位、话音监听时,必须具备两个条件:一是能够接入到移动通信信令网;二是为移动通信网连接的链路开通MAP信令。利用SS7漏洞实现监听或定位的方式主要有以下几种情况:① 利用查询命令或假冒国际漫游通话过程定位用户;② 假冒国际漫游用户设置呼叫转移实现监听;③ 假冒国际漫游用户设置呼叫转移实现监听;④ 模拟国际漫游用户设置虚假智能网平台,实现监听。
德国科学家提出的利用通信网络缺陷监听用户的方法需要黑客能够直接接入移动通信网络,并能发送相关的信令。在国内通信网络开放程度相对低,黑客难以直接接入移动通信网络;而在国外通信市场开放程度高,小型运营商、虚拟运营商、设备租赁商等可以直接接入移动通信运营商网络,并能够直接发送相关命令。因此,黑客在国外更容易实现用户定位及监听,而在国内难以实现用户定位及监听。2.2.5 拒绝服务攻击
当攻击者占用了主机或网络几乎所有的资源时,合法用户无法获得这些资源的情况,就是拒绝服务攻击。攻击者可以发送大量的垃圾信息阻塞信道,或者不断地对某个移动设备发送虚假服务请求,使设备始终处于全负荷工作状态,从而不能正常工作。由于无线电波本身的特性,无线网络非常容易受到拒绝服务攻击,如攻击者有足够功率的无线电收发器,就能容易地产生干扰信号,以致于正常的无线网络无法使用该信道。
采取拒绝服务攻击的方式中断或禁止通信设施的使用或管理,使合法用户的通信信息在网上不能正常传递,如果当非法业务流覆盖了所有的频段时,合法的业务流就不能到达用户。拒绝服务攻击是对系统可用性的攻击,能使网络彻底崩溃。2.3 移动通信网络的安全保障
移动互联网把移动通信网作为接入网络,其包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网面临的安全风险主要来自终端、网络和业务。终端的智能化带来的风险主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源、非法恶意订购等。网络的安全风险主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息、滥用网络服务等。业务层面的安全风险包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄漏等。针对以上安全风险,应在终端侧和网络侧进行安全防护。
① 终端侧:主要增强终端自身的安全功能,终端应具有身份认证、业务应用的访问控制能力,同时要安装手机防病毒软件。
② 网络侧:对于协议漏洞或网络设备自身漏洞,首先要对网络设备进行安全评估和加固,确保系统自身安全。其次,针对网络攻击和业务层面的攻击,应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备,识别出正常业务流量、异常攻击流量等内容,实现对 DDoS 攻击的防护。针对手机恶意代码导致的滥发短/彩信、非法联网、恶意下载、恶意订购等行为,应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据分组采集到手机恶意代码监测系统进行扫描分析,同时可以从彩信中心获取数据,对彩信及附件进行扫描分析,从而实现对恶意代码的监测和拦截,如图2-3所示。图2-3 恶意代码检测系统示意2.3.1 核心网安全防护
GPRS核心网安全防护:GPRS系统面临来自GPRS用户、互连伙伴和内部的安全风险。GPRS安全防护措施:对GPRS网络划分多个安全域,例如Gn安全域、Gi安全域、Gp 安全域等,各安全域之间 VLAN 或防火墙实现与互联网的隔离;省际Gn域互连、Gp域与其他PLMN(Public Land Mobile Network,公共陆地移动网络) GRPS网络互连、Gn与Gi域互连时,均应设置防火墙,并配置合理的防火墙策略。
3G核心网安全防护:3G核心网不仅在分组域采用IP技术,电路域核心网也将采用IP技术在核心网元间传输媒体流及信令信息,因此IP网络的风险也逐步引入到3G核心网中。由于3G核心网的重要性和复杂性,可以对其PS域网络和CS域网络分别划分安全域并进行相应的防护。例如,对CS域而言,可以划分信令域、媒体域、维护OM域、计费域等;对于电路域可以划分为Gn/Gp域、Gi域、Gom维护域、计费域等;对划分的安全域分别进行安全风险分析并进行针对性的防护。重要安全域中的网元之间要做到双向认证、数据一致性检查,同时对不同安全域要做到隔离,并在安全域之间进行相应的访问控制。同时软交换核心网需要重点防范来自内部的风险,如维护终端、现场支持、支撑系统接入带来的安全问题。重点防护措施可以包括:在软交换网和网管、计费网络的连接边界,设置安全访问策略,禁止越权访问;根据需要,在网络边界部署防病毒网关类产品,以避免蠕虫病毒的蔓延;维测终端、反牵终端安装网络版防病毒软件,并专用于设备维护。2.3.2 支撑网安全防护
支撑网包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网中有大量的IT设备、终端,面临的安全风险主要包括:病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏等。
支撑网安全防护的基础是做好安全域划分、系统自身安全和增加基础安全防护手段。同时,通过建立统一安全管理平台4A(Authentication、Account、Authorization、Audit,认证、账号、授权、审计)系统,4A系统是融合统一认证管理、统一用户账号管理、统一授权管理和统一安全审计4要素后的解决方案,涵盖单点登录(SSO)等安全功能,既能为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案要求的内控报表。对内部维护人员和厂家人员操作网络、业务系统、网管系统、业务支撑系统、OA系统等的全过程实施管控。
对支撑系统进行区域划分,进行层次化、有重点的保护是保证系统安全的有效手段。安全域划分遵循集中化防护和分等级防护原则,整合各系统分散的防护边界,形成数个大的安全域,内部分区控制、外部整合边界,并以此为基础集中部署安全域内各系统共享的安全技术防护手段,实现重兵把守、纵深防护。
4A系统作为用户访问后台系统的唯一入口,可以实现对系统维护人员、用户的统一接入访问控制、授权和操作行为审计。为防止违规访问敏感信息系统和在访问之后进行审计提供了非常重要的管控手段。4A系统为用户访问资源、进行维护操作提供了便捷、高效、可靠的途径,并对操作维护过程进行实时日志审计,同时也为加强企业内部网络与信息安全控制、满足相关法案审计要求提供技术保证。图2-4为维护人员通过登录4A系统后访问后台设备的示意。图2-4 支撑网安全防护示意2.3.3 网络传输安全防护(1)加密机制
加密技术是将通信明文转换成密文,信息以加密密文的方式在信道中传输,最终通过解密密钥将密文解密为明文的过程。加密机制是一种基本的安全机制,可保障信息在信道中加密传输。加密算法需要进行复杂的运算,由于移动通信网络中计算环境和通信环境有限,使得无线通信网络在选用加密技术保护网络保障网络的安全性时必须选择能够适应无线通信网络特点的密码算法。(2)认证机制
完整性检测技术用于提供消息认证的安全机制,为了抵抗恶意攻击,完整性检测技术需要加入秘密消息,攻击者不知道秘密消息,所
试读结束[说明:试读内容隐藏了图片]