摘要:“互联网+”时代已全面向我们走来,移动互联网更随着时代进步而飞速发展。然而,人们在享受移动互联网带来的便利的同时,也正遭受预想不到的安全问题所带来的各种经济损失和痛苦,并导致大量的社会问题。针对移动互联网所面临的一些安全问题,国内外研究者们提出了多种安全技术和策略,主要围绕安全框架和安全关键技术两方面,从而针对不同特点的安全问题设计合适的解决方案。
关键词:移动互联网;信息安全;安全框架;关键技术
自1969年被人类开发以来,互联网经历了阿帕网、TCP/IP交换协议、万维网和智能手机开户的移动互联网等4个阶段。无时不在、无处不在的移动互联网已将我们的视线牵往遥远的天边,已经帮助人类实现自直立行走以来的第二次解放。国家也在认识到移动互联网重要性的基础上积极布局“互联网+”发展战略,通过将“互联网+”与制造业、农业以及工商业等领域相结合,用以积极发挥“互联网+”的穿针引线作用将我国的各个产业有机地联系在一起,从而形成集团化的发展优势,在“互联网+”战略实施的过程中其另一个重要目标是在布局国内“互联网+”市场的同时积极开拓国外市场,引导国内互联网企业积极进入到国际市场中,促进国内标准进入国际市场实现中国的跨越式发展。移动互联网是“互联网+”战略中的重要一环,其与传统的通过PC机进行网络互联不同的是其主要依靠的是通过智能移动终端,采用移动无线通信方式获取业务和服务的新兴业务。移动互联网主要由移动终端、专用软件和丰富的应用3个层面所组成。移动终端设备包括有智能手机、平板电脑、电子书、MID等;相关软件包括操作系统、中间件、数据库和安全软件等。应用层包括休闲娱乐类、工具媒体类、商务财经类等不同应用与服务。移动互联网有着广阔的发展前景,在做好移动互联网应用的同时也应当积极布局移动互联网信息安全领域,用以保障信息安全。
1移动互联网信息安全威胁
在移动互联网应用过程中主要面临着以下3个方面的安全威胁:(1)恶意软件。据不完全统计全球恶意软件已达600多种以上,而其多数是在用户所不知道的情况下自动安装在用户移动终端上,进而衍生出恶意订购、恶意支付以及病毒和垃圾短信的转发等。严重威胁着用户的安全。(2)隐私泄露。在移动互联网时代大量用户信息会保存在移动互联网的核心网元或者业务数据库中,而一些犯罪分析将会有目的地对受害人的个人信息进行获取并进行一系列的犯罪活动。(3)恶意骚扰,由于手机等设备是随身携带的,而一旦出现骚扰电话、垃圾短信、垃圾邮件等将会对用户的生产生活造成严重的影响。为做好移动互联网的安全防护国内外学者展开了一系列的研究,并提出了多种安全技术和策略。
2移动互联网的安全策略
2.1移动互联网的安全框架
由于移动互联网的融合性更高其安全问题将更为复杂,为更好地解决移动互联网的安全问题,采用分层研究的方式将移动互联网分为网络、业务和终端安全3个层面。
2.1.1终端安全
智能终端设备随着时间的发展其开放性、智能化以及运算速度将会越来越快。而智能终端的发展也伴随着病毒、恶意代码、非法访问、肆意窜改信息、通过操作系统随意修改终端存有的信息等的众多复杂的信息安全问题。为确保智能终端安全首先应当采取移动互联网终端赋予身份认证功能,使得终端对各种系统资源、业务应用具备访问控制能力。在身份认证上可以通过智能卡、口令卡、实体鉴别等手段和机制来实现。
2.1.2网络安全
加强网络层的安全刻不容缓,早在2G和3G时代网络层已经建立起一套较为完善的信息安全机制。2G和3G时代结合网络层的特点设置了一系列的安全防护技术,但是在4G乃至后续的5G时代,信息的传输速度更快、信息量也更大,要求在网络层的信息安全上投入更大的资源,积极做好网络层信息安全防护,确保移动互联网的信息安全。
2.1.3业务安全
业务层面所面临的安全威胁主要为拒绝服务攻击、非法访问数据、非法访问业务等。在应对上述安全威胁上可以建立起诸如WAP、presence等的业务安全机制以及定位业务和移动支付业务等的安全机制来进一步确保信息安全。在这一层面需要通过采取积极的措施不断建立和完善相应的安全机制,确保移动互联网的信息安全。
2.2安全关键技术
2.2.1隐私保护
移动互联网的隐私安全保护很早就已经开始了。与传统的互联网形式不同的是移动互联网其采用的是IP开放式架构。这一架构形式使得用户能够清楚地看到移动互联网内部结构,从而获取关键节点的数据,并通过篡改、删除等的方式来威胁用户的信息安全。此外,由于用户对网络不透明,大量未经严格鉴权的认证机制即可接入网络,致使在移动互联网中做好信息安全工作更加困难,用户可以通过伪造、修改IP地址等的方式来规避信息溯源,加大了信息安全防护的难度。移动互联网从发展至今已经形成了庞大的用户群体,而移动互联网接入终端的智能化、多样化将使得移动互联网信息安全形势增加严峻。隐私保护是移动互联网应用中所需要注意的核心问题,在隐私保护中其容易遭受到系统破坏、隐私窃取、恶意扣费等形式的安全威胁,致使用户的隐私泄漏甚至于被人非法牟利,严重威胁着用户的使用安全。在移动互联网中,其所采用的无线通信方式所具有的开放性将使得无线信号具有易拦截、获取等的特点,而用户的隐私信息诸如通话信息、位置信息、数据信息甚至身份信息都是经由无线信道进行传送。犯罪分子仅仅需要适当的无线接收设备,就能对相关信息进行截取。为提高信息安全需要积极地做好信息安全防护,保护用户隐私信息的安全,并通过更加严密的安全编码使得犯罪分子无法对所截获的信息进行破译、修改,提高信息安全。
2.2.2身份认证
身份认证是一种加强移动互联网信息安全的重要举措,其是一种基于身份的公钥密码系统的思想,即用户的身份信息,或由其身份信息通过公开的本地算法计算得出的结果直接为用户的公钥。因此,不用交换公钥证书、不用保存证书列表甚至不需要一个在线的可信第三方就能实现身份认证和安全通信。在后续的发展中基于身份的密码体制和基于身份的数字签名方案主要采用双线性对技术来构造。随着双线性对(即Weil或Tate对)被成功地用于构造基于身份的密码体制,使得基于身份的签名成为密码学研究领域中的热点问题之一。
3结语
移动互联网的信息安全是现今乃至今后相当长一段时间内信息安全防护发展的重点也是难点,移动互联网的安全策略主要沿用了传统互联网安全中所用到的技术,如加密技术、隐私保护、身份认证技术和网络监听技术等。但移动互联网和传统的互联网相比,有其独特的特点,如不断移动的便携式终端的功能和带宽实时变化,导致某些有效的互联网安全保护策略根本无法实施。所以,在移动互联网的应用中,特别是“互联网+”时代,传统的安全保护策略需要进行有效的改变,以适应移动互联网发展的需要。
参考文献
[1]陈尚义.移动互联网安全技术研究[J].信息安全与通信保密,2010(8):34-37.
[2]吴剑华,莫兰芳,李湘.Android用户隐私保护系统[J].信息网络安全,2012(9):50-53.
[3]廖明华,郑力明.Android安全机制分析与解决方案初探[J].科学技术与工程,2011(9):6350-6355.
作者:李青野 单位:重庆工程职业技术学院
