图为：中国移动研究院刘利军演讲

发布: 2010-04-30 23:03 | 作者: | 来源: 新浪科技 | 字体: 小中大

相关专题：中国移动

　　4月29日，2010中国移动通信产业发展高峰论坛在京召开，主题为“3G发展现状及演进趋势”，会议由人民邮电出版社主办，信通传媒承办，移动通信网(MSCBSC)为特约网络支持。

　　图为：2010中国移动通信产业高峰论坛现场，中国移动研究院刘利军演讲。

　　以下为实录：

　　刘利军：各位领导，同仁下午好。我是负责网络信息安全的研究工作，今天我讲的题目是移动互联网安全挑战与应对，主要是对跟大家分享一下我们在3G以及移动互联网安全方面的思考，首先简单的介绍一下3G促进移动互联网发展的情况。

　　随着3G技术的应用我们带来了移动网络接入高速率，宽带化，业务互联网化，终端智能化技术特点变化，使得移动用户可以非常便捷访问互联网业务，从而促进移动互联网用户数量的增长，有一个用户数量统计数据，这两年移动互联网用户数量有一个突飞猛进的增长。这个当中有一个非常重要的问题，关于如何理解移动互联网这个概念，现在通常大家都认为移动互联网我们现在的用户利用移动通信设备，移动手段接入互联网，我这个概念还不仅限于此，我们理解移动互联网不仅仅是利用移动设备简单访问当前的互联网，也不是为移动用户建立一个单独的互联网，而是移动网和互联网基础上构建一个融合的服务架构。这个融合服务架构具备几个特点，第一就是移动互联网和互联网内容和应用和用户体现趋向一致，移动互联网充分继承并发展了移动通信全网的漫游，统一认证无缝覆盖特点，为用户提供任何时间，任何地点，访问与互联网资源，根据移动拥护和终端的特点拓展新的内容。移动互联网时代业务特征体现全面渗透设备生产，用户生活，随时提供最优的接入，最终目标是要全面实现社会虚拟化和网络社会化，这是我们对3G促进移动互联网发展，以及对移动互联网基本的一个理解。

　　下面我们思路是这样的，一般讲大家会觉得移动通信网安全性要比互联网好一些，移动网安全问题少一些，互联网安全问题多一些，下面我们先分析一下移动互联网的趋势，下面再分析一下互联网的安全问题，在移动互联网时代应该融合改进。最后再分析一下移动互联网融合过程当中这些原有移动网和互联网安全问题，会有什么样的变化，以及会出现什么样新的安全问题，并且进一步提出一些应对安全的建议。

　　首先我们看一下移动通信网的安全现状和问题，我们归纳移动通信网络现在大家说二代网络比较好，第一终端接入类似单一，决定对于实施认证安全控制手段，比较可靠，第二方面就是业务类型单一，主要是传统话音，第三方面就是网络的封闭性比较好，还有就是媒体面和控制面独立，终端非智能，目前为止智能化手机不断增长但是占的比例还不是很高，这样可用能力和安全隐患也是比较少，最后就是我们移动通信网络当中健全机制是非常严格，行为是可溯源，因为你标识不可篡改，用户行为都可以复员，所得网络安全系数得到非常大的提高，2G网络也有一些安全缺陷，比如说认证单向，加密密钥长度只有64位，还有只有加密没有完整性保护，3G阶段从标准体系设置已经对安全系数进行了进一步增强，进行了双向认证，密钥长度128位，增加完整性保护，增加序列号机制，防止重放。我们通过这个图可以看到，移动通信网络不断阶段的安全特点也是不同的。

　　在第一代不用讲，模拟电话的时候，健全加密等东西都是非常弱，基本不存在安全性考虑，二代讲过，安全性有所增强，满足了一般的要求。在GPRS危害还不到，3G时代有了非常大的变化，传输速率有大幅度提高，终端智能化这些都滋生了新的安全的隐患。这个是从移动通信网发展不同阶段看技术特点的变化，而导致的新的安全形势的变化和分析。

　　下面我们看一下互联网安全特点分析，互联网面临大量安全威胁和问题，现在所有用户感知到安全形势的恶化是由于互联网当中安全问题导致的，互联网为什么这么多安全问题呢，我们先看一下它和移动网做一个对比，来分析以下，这个是6个方面，移动通信网络安全性比较好的因素，这几项因素在互联网中是什么形成，终端接入类型单位，互联网多种多样能力不一，第二业务单一在互联网当中也是不成立，互联网也有非常丰富，有网上银行，购物，非常敏感的一些业务，第三网络封闭互联网完全不存在，终端非智能，我们PC机计算能力非常强，最后健全严格行为可溯源这一点在互联网当中也是不成立的，我们在互联网当中大量存在网吧，集体入网方式，没有实现严格对用户控制，也是导致安全问题频发重要原因，我们认为互联网还有这么几个方面原因导致的问题，一方面TCP/IP协议的脆弱性，终端漏洞比较多，访问对象没有经过认证，黑客盛行，恶意程序随处可得。

　　上面都是一些互联网安全存在问题的一些具体原因，归纳起来我们认为互联网安全的问题重要根源可以归纳为两方面，第一就是网络对用户透明，这个概念网络拓扑很容易被攻击者得到，通过扫描的一些方式很容易找到网络拓扑结构，网络对用户透明这个时非常重要的弱势，还有一点用户对网络是不透明的，由于健全不严格，大量用户没有经过严格控制，可以随时进入网络，我们对安全可以打一个比方，攻防双方，双方对质对我们有利是对方不了解我，而我非常了解对方这样安全模型是可靠的，现在正好相反，你对用户不了解，而用户对网络结构非常了解，这样导致你在用户和网络出现安全问题上两个完全不对等的对比。

　　相应我们觉得对应的改进思路也应该从这两个方面入手，第一是网络对用户不透明的建设，比如说使得用户拓扑和网络拓扑分离，网络拓扑对用户隐藏，网络节点用户不可达，同时加强健全认证机制，地址和身份绑定，事先溯源这个是从思路上讲我们认为是可以加强重视的思路。

　　我们认为在移动网络当中这方面是比较好的，所以在移动互联网发展当中这一点应该提供有意的借鉴，最后肯一下移动互联网安全融合安全形势的建议，我们有三方面的判断，移动互联网融合当中，传统移动网络安全性优势丧失殆尽。最后一点还是保留，应该移动互联网安全发展当中发挥重要作用，第二方面就是互联网其他安全问题全部继承。这些问题会是全部存在，第三方面就是在移动互联网的融合过程当中会凸现一些新的安全问题，从网络的角度来看，扁平化，分布式成为网络的演进方向，包括P2P等分布式技术，将被广泛应用在网络构建中，其安全问题需要深入研究，为支持巨大的移动互联网用户需求，IPV6将被部署，其引入中的安全问题需要重点关注，现在主流运营商都在对IPV6进行推进，将来在IPV6情况之下，每个用户将有一个固定的地址，每个用有一个固定的IP地址，还有一个重要特点移动互联网用户可以永久在线加上这一点，使得每一个用户被攻击可能性大大增加，这个是在将来新技术部署会出现安全新的情况。

　　在业务角度看，移动互联网环境之下，结合位置信息，彩信，短信等移动特色的各种互联网服务将不断涌现，其安全问题需要给予足够的重视。

　　针对这样的情况，从发挥移动网和互联网优势互补角度，我们提出四个方面应对措施建议，第一方面就是要价钱用户对网络透明力度，通过加强移动互联网鉴权严格，行为可追溯，IP网络和核心网络可溯源的机制，第二方面措施就是尽力实现网络自身安全，同时对用户不透明，主要通过对用户隐藏网络拓扑，使得用户无法对网络节点发起攻击，并加强网络自身构建机制的安全，对网络流量等进行监控，及时发现异常，重点关注问题，网络拓扑隐藏机制，网络鱼安全机制增强，网络异常流量监控及清洗方案。第三要保证终端安全保护，实现终端安全可信，重点对智能终端安全保护进行研究，其中主要就是对病毒防护，可信架构，以及操作系统多方面的研究。

　　第四方面就是对于业务和核心数据保护和监控，在移动互联网环境之下，通信对端更不可信，由此可能引发病毒感染，我们重点采取措施以用户为中心，订购关系管理等等。对于将来我们认为移动互联网安全发展一个未来目标应该是构建基于我可信网络安全架构，这个架构将以可信溯源能力可信接入控制，可信拓扑等为特点的可信网络安全架构，将成为未来移动互联网的重要基础设施之一。

　　最后，移动互联网将渗透社会生活方方面面，移动互联网安全将受到前所未有的重视，我们应该充分把握这样一个机遇，为未来达到一个安全可靠的移动互联网贡献力量我就讲到这儿谢谢大家。