4G網絡環境下移動終端安全威脅及防護研究

李 陽 李 峰 郭慶瑞 李明軒

（國網新疆電力公司電力科學研究院 新疆 830011）

0 引言

4G是第四代移動通信及其技術的簡稱。在4G系統中各種針對不同業務的接入系統通過多媒體接入系統連接到基于Ipv6的核心網，形成一個公共的、靈活的、可擴展的平臺。4G網絡的開放性、無線傳播性以及高帶寬性，使得移動終端安全威脅逐漸增多，移動終端安全防護問題也成為一個關系到個人信息安全的主要問題。

1 傳統移動終端的安全威脅

1.1 短信彩信類威脅

在 2G時代，手機作為移動終端的主要產品類型之一，通信手段單一，帶寬受到嚴格的限制，短信成為移動終端受到的主要威脅來源之一。如 MTK系統中的短信振鈴漏洞，發送者可以通過特定短信編碼使接收者的手機不停振鈴。

1.2 紅外設備威脅

早期移動設備由于通信方式單一，移動設備之間多采用紅外裝置進行數據傳輸，如早期Windows CE大多數支持紅外線傳輸。通過紅外接口，各類移動設備可以自由進行數據交換。紅外設備可以不經過授權傳輸通訊錄等內容，給用戶隱私造成較大威脅。

2 4G網絡環境下的新增威脅

2.1 數據流量威脅

4G網絡設備的理論下行速度達到了100Mbps，而上行速度達到了 50Mbps，實際下行速度按照我國北京地區實測為33Mbps，上行速度為 16Mbps。依據下行速度計算，如果移動終端被安裝惡意下載程序或者惡意連接網絡程序，移動終端在4G網絡條件下月流量可以達到：

30Mbps*60秒*60分*24小時*30天/1024/1024=74.6Tb

按照運營商資費標準，普通用戶無法承受如此數據流量的巨額費用。數據流量可能給用戶帶來巨大經濟損失。

2.2 聯網破解密碼成為現實

4G網絡的帶寬提升巨大，使得移動終端設備的聯網數據傳輸速率超過了普通辦公網絡的數據傳輸速度，個人辦公計算機所面臨的威脅也隨之遷移到了移動終端設備上。移動設備身份認證暴力破解也伴隨網絡帶寬提升而成為主要威脅之一。

2.3 部分身份驗證模式漏洞

很多移動終端設備采用了多種身份認證模式，但是部分身份認證模式本身設計及應用存在漏洞。如指紋身份認證模式，部分移動終端設備外殼易沾染指紋，可以簡單通過指紋采樣獲取用戶指紋，從而冒用用戶身份進入設備。

2.4 設備及網絡性能提升使病毒程序功能擴展

隨著科技進步及移動終端設備的普及應用，移動終端設備的性能有了較大幅度提高，主流移動終端設備在運行內存、設備存儲、設備處理性能、設備網絡性能上全面超過了普通辦公計算機設備，4G網絡應用使得針對移動終端的復雜網絡病毒程序可以運行。

2.5 移動終端中涉及金錢軟件增加

隨著科技進步及移動終端設備普及應用及 4G網絡使用，移動終端中功能完善的手機銀行程序、網絡購物程序、股票交易程序增加。此類程序均涉及金錢交易，并且程序安裝文件app無法獲得正確認證。用戶在安裝程序時，無法確認程序是否為正版程序還是病毒木馬程序。

2.6 新型病毒

4G網絡為用戶提供了前所未有的移動網絡帶寬，移動終端從網絡獲取圖片的速度極大提高，從而帶動了二維碼等軟件的極大發展和普及。二維碼病毒，指的是有不法分子將二維碼病毒鏈接隱藏在打折促銷的二維碼廣告中，騙取用戶話費。

3 4G網絡環境下的終端安全防護策略

3.1 流量管控與軟件識別

流量管控是基于網絡的流量現狀和流量管控策略，對數據流進行識別分類，并實施流量控制、優化和對關鍵應用進行保障的相關技術。流量管控技術可以使得應用軟件或者惡意軟件網絡流量進行準確分析，明確軟件網絡訪問的行為，對惡意網絡訪問軟件和大網絡流量軟件進行流量封鎖或限制；同時對月度流量閾值進行管理，超過閾值后，禁止移動終端聯網。此類管控軟件可以明確網絡訪問行為的惡意軟件，進行清除，以保障4G網絡環境下移動終端流量安全。

3.2 增強型身份認證

身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法。當前的身份認證方法可以分為：基于信息秘密的身份認證；基于信任物體的身份認證；基于生物特征的身份認證。常用的移動終端身份認證方法如靜態密碼、智能卡、短信密碼、動態口令、數字簽名、生物識別等方法在 4G網絡環境下都存在被破解或者冒用的風險，因此采用增強型身份認證對 4G網絡環境下移動終端身份認證有著重要意義。如采用雙因子認證方式，可以有效的防止用戶身份被破解后口令丟失，采用動態口令和靜態密碼結合的方法，可以有效的防止銀行類應用的盜取和偽造交易行為發生。

3.3 新密碼技術應用

密碼學包括密碼編碼學和密碼分析學。密碼體制設計是密碼編碼學的主要內容，密碼體制的破譯是密碼分析學的主要內容，密碼編碼技術和密碼分析技術是相互依相互支持、密不可分的兩個方面。密碼體制有對稱密鑰密碼體制和非對稱密鑰密碼體制。對稱密鑰密碼體制要求加密解密雙方擁有相同的密鑰。而非對稱密鑰密碼體制是加密解密雙方擁有不相同的密鑰，在不知道陷門信息的情況下，加密密鑰和解密密鑰是不能相互算出的。然而密碼學不僅僅只包含編碼與破譯，而且包括安全管理、安全協議設計、散列函數等內容。不僅如此，密碼學的進一步發展，涌現了大量的新技術和新概念，如零知識證明技術、盲簽名、量子密碼技術、混沌密碼等。新的密碼技術可以明顯增強密碼防破解強度，使4G網絡環境下分布式破解時間增長，有效防止移動設備終端密碼被破譯。

3.4 建立新的移動終端安全模型

4G網絡具有以往數據網絡所不具有的高速傳輸、多平臺接入、高兼容的能力，因此需要建立適合 4G網絡環境下移動終端的新安全結構模型。新的安全模型應增強數據通信中數據校驗和數據管控能力，增強身份認證結構的層次，強制多因子身份認證模式；增加安全的可見性和自動配置性；增強無線鏈路的防攻擊能力；增加用戶和移動設備接入網絡的雙向認證，提高網絡的安全級別，重要用戶端引入可信移動終端。

3.5 服務商CA中心的建立

4G網絡中針對不同的安全特征和服務，將會采用公鑰密碼和私鑰密碼體制混合的體制。建立移動服務商CA中心，主要包括統一用戶管理、身份認證、授權管理和訪問控制等幾大主要功能，實現對用戶、用戶身份認證、用戶權限等的有效管理，從而提高對網絡資源等安全性和保密性的保護。

4 結束語

4G網絡因其高速度、多平臺接入、高兼容性給移動終端安全防護帶來以往網絡所不具有的挑戰，當前針對移動終端的病毒的盛行及病毒的復雜化全面化就是一個典型的威脅體現。因此建立完善的移動終端安全防護機制，多層次防御，移動終端用戶和移動服務提供商共同防御，同時做好未現威脅的跟蹤，才能為移動終端提供較為完善的信息安全防護能力。

[1]吳新民，熊暉.安全問題防范與對策的研究[J]通信技術.2009（4）：148-150.

[2]蘇洪斌.技術下的移動通信網絡安全[J].信息安全與通信保密.2006（6）：103-105.

[3]Suk Y.H，Kai H.Y.Challengges in the migration to 4G mobile systems[J].IEEE Communications Magazine，2003，41（3）：54-59.