圖為：中國移動研究院劉利軍演講

　　4月29日，2010中國移動通信產(chǎn)業(yè)發(fā)展高峰論壇在京召開，主題為“3G發(fā)展現(xiàn)狀及演進趨勢”，會議由人民郵電出版社主辦，信通傳媒承辦，移動通信網(wǎng)(MSCBSC)為特約網(wǎng)絡(luò)支持。

　　圖為：2010中國移動通信產(chǎn)業(yè)高峰論壇現(xiàn)場，中國移動研究院劉利軍演講。

　　以下為實錄：

　　劉利軍：各位領(lǐng)導(dǎo)，同仁下午好。我是負責(zé)網(wǎng)絡(luò)信息安全的研究工作，今天我講的題目是移動互聯(lián)網(wǎng)安全挑戰(zhàn)與應(yīng)對，主要是對跟大家分享一下我們在3G以及移動互聯(lián)網(wǎng)安全方面的思考，首先簡單的介紹一下3G促進移動互聯(lián)網(wǎng)發(fā)展的情況。

　　隨著3G技術(shù)的應(yīng)用我們帶來了移動網(wǎng)絡(luò)接入高速率，寬帶化，業(yè)務(wù)互聯(lián)網(wǎng)化，終端智能化技術(shù)特點變化，使得移動用戶可以非常便捷訪問互聯(lián)網(wǎng)業(yè)務(wù)，從而促進移動互聯(lián)網(wǎng)用戶數(shù)量的增長，有一個用戶數(shù)量統(tǒng)計數(shù)據(jù)，這兩年移動互聯(lián)網(wǎng)用戶數(shù)量有一個突飛猛進的增長。這個當中有一個非常重要的問題，關(guān)于如何理解移動互聯(lián)網(wǎng)這個概念，現(xiàn)在通常大家都認為移動互聯(lián)網(wǎng)我們現(xiàn)在的用戶利用移動通信設(shè)備，移動手段接入互聯(lián)網(wǎng)，我這個概念還不僅限于此，我們理解移動互聯(lián)網(wǎng)不僅僅是利用移動設(shè)備簡單訪問當前的互聯(lián)網(wǎng)，也不是為移動用戶建立一個單獨的互聯(lián)網(wǎng)，而是移動網(wǎng)和互聯(lián)網(wǎng)基礎(chǔ)上構(gòu)建一個融合的服務(wù)架構(gòu)。這個融合服務(wù)架構(gòu)具備幾個特點，第一就是移動互聯(lián)網(wǎng)和互聯(lián)網(wǎng)內(nèi)容和應(yīng)用和用戶體現(xiàn)趨向一致，移動互聯(lián)網(wǎng)充分繼承并發(fā)展了移動通信全網(wǎng)的漫游，統(tǒng)一認證無縫覆蓋特點，為用戶提供任何時間，任何地點，訪問與互聯(lián)網(wǎng)資源，根據(jù)移動擁護和終端的特點拓展新的內(nèi)容。移動互聯(lián)網(wǎng)時代業(yè)務(wù)特征體現(xiàn)全面滲透設(shè)備生產(chǎn)，用戶生活，隨時提供最優(yōu)的接入，最終目標是要全面實現(xiàn)社會虛擬化和網(wǎng)絡(luò)社會化，這是我們對3G促進移動互聯(lián)網(wǎng)發(fā)展，以及對移動互聯(lián)網(wǎng)基本的一個理解。

　　下面我們思路是這樣的，一般講大家會覺得移動通信網(wǎng)安全性要比互聯(lián)網(wǎng)好一些，移動網(wǎng)安全問題少一些，互聯(lián)網(wǎng)安全問題多一些，下面我們先分析一下移動互聯(lián)網(wǎng)的趨勢，下面再分析一下互聯(lián)網(wǎng)的安全問題，在移動互聯(lián)網(wǎng)時代應(yīng)該融合改進。最后再分析一下移動互聯(lián)網(wǎng)融合過程當中這些原有移動網(wǎng)和互聯(lián)網(wǎng)安全問題，會有什么樣的變化，以及會出現(xiàn)什么樣新的安全問題，并且進一步提出一些應(yīng)對安全的建議。

　　首先我們看一下移動通信網(wǎng)的安全現(xiàn)狀和問題，我們歸納移動通信網(wǎng)絡(luò)現(xiàn)在大家說二代網(wǎng)絡(luò)比較好，第一終端接入類似單一，決定對于實施認證安全控制手段，比較可靠，第二方面就是業(yè)務(wù)類型單一，主要是傳統(tǒng)話音，第三方面就是網(wǎng)絡(luò)的封閉性比較好，還有就是媒體面和控制面獨立，終端非智能，目前為止智能化手機不斷增長但是占的比例還不是很高，這樣可用能力和安全隱患也是比較少，最后就是我們移動通信網(wǎng)絡(luò)當中健全機制是非常嚴格，行為是可溯源，因為你標識不可篡改，用戶行為都可以復(fù)員，所得網(wǎng)絡(luò)安全系數(shù)得到非常大的提高，2G網(wǎng)絡(luò)也有一些安全缺陷，比如說認證單向，加密密鑰長度只有64位，還有只有加密沒有完整性保護，3G階段從標準體系設(shè)置已經(jīng)對安全系數(shù)進行了進一步增強，進行了雙向認證，密鑰長度128位，增加完整性保護，增加序列號機制，防止重放。我們通過這個圖可以看到，移動通信網(wǎng)絡(luò)不斷階段的安全特點也是不同的。

　　在第一代不用講，模擬電話的時候，健全加密等東西都是非常弱，基本不存在安全性考慮，二代講過，安全性有所增強，滿足了一般的要求。在GPRS危害還不到，3G時代有了非常大的變化，傳輸速率有大幅度提高，終端智能化這些都滋生了新的安全的隱患。這個是從移動通信網(wǎng)發(fā)展不同階段看技術(shù)特點的變化，而導(dǎo)致的新的安全形勢的變化和分析。

　　下面我們看一下互聯(lián)網(wǎng)安全特點分析，互聯(lián)網(wǎng)面臨大量安全威脅和問題，現(xiàn)在所有用戶感知到安全形勢的惡化是由于互聯(lián)網(wǎng)當中安全問題導(dǎo)致的，互聯(lián)網(wǎng)為什么這么多安全問題呢，我們先看一下它和移動網(wǎng)做一個對比，來分析以下，這個是6個方面，移動通信網(wǎng)絡(luò)安全性比較好的因素，這幾項因素在互聯(lián)網(wǎng)中是什么形成，終端接入類型單位，互聯(lián)網(wǎng)多種多樣能力不一，第二業(yè)務(wù)單一在互聯(lián)網(wǎng)當中也是不成立，互聯(lián)網(wǎng)也有非常豐富，有網(wǎng)上銀行，購物，非常敏感的一些業(yè)務(wù)，第三網(wǎng)絡(luò)封閉互聯(lián)網(wǎng)完全不存在，終端非智能，我們PC機計算能力非常強，最后健全嚴格行為可溯源這一點在互聯(lián)網(wǎng)當中也是不成立的，我們在互聯(lián)網(wǎng)當中大量存在網(wǎng)吧，集體入網(wǎng)方式，沒有實現(xiàn)嚴格對用戶控制，也是導(dǎo)致安全問題頻發(fā)重要原因，我們認為互聯(lián)網(wǎng)還有這么幾個方面原因?qū)е碌膯栴}，一方面TCP/IP協(xié)議的脆弱性，終端漏洞比較多，訪問對象沒有經(jīng)過認證，黑客盛行，惡意程序隨處可得。

　　上面都是一些互聯(lián)網(wǎng)安全存在問題的一些具體原因，歸納起來我們認為互聯(lián)網(wǎng)安全的問題重要根源可以歸納為兩方面，第一就是網(wǎng)絡(luò)對用戶透明，這個概念網(wǎng)絡(luò)拓撲很容易被攻擊者得到，通過掃描的一些方式很容易找到網(wǎng)絡(luò)拓撲結(jié)構(gòu)，網(wǎng)絡(luò)對用戶透明這個時非常重要的弱勢，還有一點用戶對網(wǎng)絡(luò)是不透明的，由于健全不嚴格，大量用戶沒有經(jīng)過嚴格控制，可以隨時進入網(wǎng)絡(luò)，我們對安全可以打一個比方，攻防雙方，雙方對質(zhì)對我們有利是對方不了解我，而我非常了解對方這樣安全模型是可靠的，現(xiàn)在正好相反，你對用戶不了解，而用戶對網(wǎng)絡(luò)結(jié)構(gòu)非常了解，這樣導(dǎo)致你在用戶和網(wǎng)絡(luò)出現(xiàn)安全問題上兩個完全不對等的對比。

　　相應(yīng)我們覺得對應(yīng)的改進思路也應(yīng)該從這兩個方面入手，第一是網(wǎng)絡(luò)對用戶不透明的建設(shè)，比如說使得用戶拓撲和網(wǎng)絡(luò)拓撲分離，網(wǎng)絡(luò)拓撲對用戶隱藏，網(wǎng)絡(luò)節(jié)點用戶不可達，同時加強健全認證機制，地址和身份綁定，事先溯源這個是從思路上講我們認為是可以加強重視的思路。

　　我們認為在移動網(wǎng)絡(luò)當中這方面是比較好的，所以在移動互聯(lián)網(wǎng)發(fā)展當中這一點應(yīng)該提供有意的借鑒，最后肯一下移動互聯(lián)網(wǎng)安全融合安全形勢的建議，我們有三方面的判斷，移動互聯(lián)網(wǎng)融合當中，傳統(tǒng)移動網(wǎng)絡(luò)安全性優(yōu)勢喪失殆盡。最后一點還是保留，應(yīng)該移動互聯(lián)網(wǎng)安全發(fā)展當中發(fā)揮重要作用，第二方面就是互聯(lián)網(wǎng)其他安全問題全部繼承。這些問題會是全部存在，第三方面就是在移動互聯(lián)網(wǎng)的融合過程當中會凸現(xiàn)一些新的安全問題，從網(wǎng)絡(luò)的角度來看，扁平化，分布式成為網(wǎng)絡(luò)的演進方向，包括P2P等分布式技術(shù)，將被廣泛應(yīng)用在網(wǎng)絡(luò)構(gòu)建中，其安全問題需要深入研究，為支持巨大的移動互聯(lián)網(wǎng)用戶需求，IPV6將被部署，其引入中的安全問題需要重點關(guān)注，現(xiàn)在主流運營商都在對IPV6進行推進，將來在IPV6情況之下，每個用戶將有一個固定的地址，每個用有一個固定的IP地址，還有一個重要特點移動互聯(lián)網(wǎng)用戶可以永久在線加上這一點，使得每一個用戶被攻擊可能性大大增加，這個是在將來新技術(shù)部署會出現(xiàn)安全新的情況。

　　在業(yè)務(wù)角度看，移動互聯(lián)網(wǎng)環(huán)境之下，結(jié)合位置信息，彩信，短信等移動特色的各種互聯(lián)網(wǎng)服務(wù)將不斷涌現(xiàn)，其安全問題需要給予足夠的重視。

　　針對這樣的情況，從發(fā)揮移動網(wǎng)和互聯(lián)網(wǎng)優(yōu)勢互補角度，我們提出四個方面應(yīng)對措施建議，第一方面就是要價錢用戶對網(wǎng)絡(luò)透明力度，通過加強移動互聯(lián)網(wǎng)鑒權(quán)嚴格，行為可追溯，IP網(wǎng)絡(luò)和核心網(wǎng)絡(luò)可溯源的機制，第二方面措施就是盡力實現(xiàn)網(wǎng)絡(luò)自身安全，同時對用戶不透明，主要通過對用戶隱藏網(wǎng)絡(luò)拓撲，使得用戶無法對網(wǎng)絡(luò)節(jié)點發(fā)起攻擊，并加強網(wǎng)絡(luò)自身構(gòu)建機制的安全，對網(wǎng)絡(luò)流量等進行監(jiān)控，及時發(fā)現(xiàn)異常，重點關(guān)注問題，網(wǎng)絡(luò)拓撲隱藏機制，網(wǎng)絡(luò)魚安全機制增強，網(wǎng)絡(luò)異常流量監(jiān)控及清洗方案。第三要保證終端安全保護，實現(xiàn)終端安全可信，重點對智能終端安全保護進行研究，其中主要就是對病毒防護，可信架構(gòu)，以及操作系統(tǒng)多方面的研究。

　　第四方面就是對于業(yè)務(wù)和核心數(shù)據(jù)保護和監(jiān)控，在移動互聯(lián)網(wǎng)環(huán)境之下，通信對端更不可信，由此可能引發(fā)病毒感染，我們重點采取措施以用戶為中心，訂購關(guān)系管理等等。對于將來我們認為移動互聯(lián)網(wǎng)安全發(fā)展一個未來目標應(yīng)該是構(gòu)建基于我可信網(wǎng)絡(luò)安全架構(gòu)，這個架構(gòu)將以可信溯源能力可信接入控制，可信拓撲等為特點的可信網(wǎng)絡(luò)安全架構(gòu)，將成為未來移動互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施之一。

　　最后，移動互聯(lián)網(wǎng)將滲透社會生活方方面面，移動互聯(lián)網(wǎng)安全將受到前所未有的重視，我們應(yīng)該充分把握這樣一個機遇，為未來達到一個安全可靠的移動互聯(lián)網(wǎng)貢獻力量我就講到這兒謝謝大家。

• ←←微信掃描二維碼，即可將本文分享到朋友圈
• 版權(quán)申明：部分文章轉(zhuǎn)載或來源于投稿，不代表本站贊同其觀點，如有異議，請聯(lián)系我們。
• 上篇文章：中移動發(fā)布社會責(zé)任報告
• 下篇文章：傳中國移動優(yōu)先推187號段
• 中國移動