（计算机科学与技术专业论文）移动互联网统一认证业务安全级别控制的研究与实现.pdf

c 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名：丝垫盘 本人承担一切相关责任。 日期： t o ；| r 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文注 释：本学位论文不属于保密范围，适用本授权书。 本人签名：丝垫赵 导师签名；去丕囊生一 1 7 t 期：竺! ：! ：! ! 日期：亟! = = ：至 f ， ， 移动互联网统一认证业务安全级别控制的研究与实现 摘要 移动互联网是标准互联网应用和移动环境服务的结合。移动互联网 中具体业务和业务组件的提供是由网络中的诸多设备和软件完成的，该 过程涉及到用户操作、协议交互、软件执行、数据访问、访问控制等多 个关键步骤，交互过程复杂。现有的信息安全和网络安全技术还是面向 整个网络的，而网络中的业务或应用没有被重点关注。但是，由于移动 互联网中业务的多样化，以及业务与提供业务的设备之间的松耦合，使 得业务的安全需求具有自身的特点，不同于网络的安全需求。这就需要 直接从业务的角度重新审视安全问题。 同时，统一认证服务体系正在成为移动互联网的发展趋势之一。目 前，统一认证技术已经相对成熟了，但是随着应用环境的改变，具体的 网络接入认证和业务使用认证还有很多问题值得进一步研究。作为移动 互联网中特殊的服务，其承载多个具有不同安全性的业务。如何在统一 认证服务平台上保障业务安全，研究移动互联网中业务安全级别控制具 有重要的意义。 本文首先介绍了移动互联网和统一认证服务的发展情况，并分析已 有信息安全评估标准的特点。随后在上述背景和对多个国际标准研究基 础上，分析并提出了移动互联网业务安全需求和框架，并基于该框架提 出统一认证服务中业务安全级别控制方法，主要包括级别定级、基于等 级的访问策略和用户可信度。其中，业务安全级别采用静态模糊综合评 判法实现，为统一认证服务平台的业务加入提供了简单有效的业务安全 级别定级。同时，对定级后的业务进行了有效的分级认证和级别切换管 理，并引入体现业务动态性的用户可信度计算。在统一认证过程中基于 上述等级和用户可信度进行用户身份认证。最后，本文详细给出了基于 上述方法，具有业务安全级别控制功能的统一认证服务平台的设计与实 现。 关键词：移动互联网统一认证服务业务安全级别控制分级用户 可信度 北京邮i u 人学帧l ：学位论文 一 ， t 北京邮l u 人学硕l ：学位论文 r e s e a r c ha n di m p l e m e n t a t i o no fs e r v i c e s e c u r i t yl e v e lc o n t r o ll nm o b i l ei n t e r n e t u n i f i e da u t h e n t i c a t i o n a b s t r a c t m o b i l ei n t e m e ti st h ec o m b i n a t i o no ft h es t a n d a r di n t e r n e ta p p l i c a t i o n a n dt h em o b i l ee n v i r o n m e n ts e r v i c e s t h es p e c i f i cs e r v i c ea n ds e r v i c e c o m p o n e n t si nm o b i l ei n t e m e ta r ep r o v i d e db ys e v e r a le q u i p m e n t sa n d s o f t w a r ei nt h en e t w o r k t h i sp r o c e s si n v o l v e st h eu s e ro p e r a t i o n ，p r o t o c o l i n t e r a c t i o n ，s o f t w a r ei m p l e m e n t a t i o n ，d a t aa c c e s s ，a c c e s sc o n t r o la n do t h e r k e ys t e p s i t s ac o m p l e xi n t e r a c t i o n e x i s t i n gi n f o r m a t i o ns e c u r i t ya n d n e t w o r ks e c u r i t ya s s e s s m e n tt e c h n i q u e sa r ef o rt h ew h o l en e t w o r k 、i l et h e n e t w o r ks e r v i c eo ra p p li c a t i o n sa r en o tf o c u s e d h o w e v e r , d u et ot h e d i v e r s i f i c a t i o no fm o b i l ei n t e m e ts e r v i c e s ，t h el o o s ec o u p l i n gb e t w e e ns e r v i c e a n ds e r v i c ee q u i p m e n t s t h e yb r o u g h tt h ep r o b l e mt h a tt h es e c u r i t yn e e d so f t h es e r v i c eh a v et h e i ro w nc h a r a c t e r i s t i c sa n da r ed i f f e r e n tf r o mt h en e t w o r k s oi tn e e d st or e - e x a m i n et h es e c u r i t yi s s u e sf r o mas e r v i c ep o i n td i r e c t l y a tt h es a m et i m e ，u n i f i e da u t h e n t i c a t i o ns e r v i c es y s t e mi sb e c o m i n go n e o ft h em o b i l ei n t e m e td e v e l o p m e n tt r e n d u n i f i e da u t h e n t i c a t i o ni sa l r e a d y r e l a t i v e l ym a t u r en o w b u tw h e nt h ea p p l i c a t i o ne n v i r o n m e n tc h a n g e s ，t h e r e a r em a n yp r o b l e m si nt h ea u t h e n t i c a t i o no fn e t w o r ka c c e s sa n dt h eb u s i n e s s i t sat o p i cn e e d sf o rf u r t h e rs t u d y a sas p e c i a ls e r v i c ei nt h em o b i l ei n t e m e t ， u n i f i e da u t h e n t i c a t i o nh o s t san u m b e ro fs e r v i c e sw i t hd if f e r e n ts e c u r i t y h o w t op r o t e c ts e r v i c es e c u r i t yo nu n if i e da u t h e n t i c a t i o ns e r v i c ep l a t f o r mi so f g r e a ts i g n i f i c a n c et os t u d yt h es e r v i c es e c u r i t y l e v e lc o n t r o li nm o b i l e i n t e m e t t h i sp a p e ri n t r o d u c e st h ed e v e l o p m e n to fm o b i l ei n t e m e ta n du n i f i e d a u t h e n t i c a t i o ns e r v i c e f i r s t ，a n da n a l y z e s t h ec h a r a c t e r so fe x i s t i n g i n f o r m a t i o ns e c u r i t ya s s e s s m e n ts t a n d a r d f o l l o w e db yt h ea b o v e m e n t i o n e d b a c k g r o u n da n do nan u m b e ro fi n t e r n a t i o n a ls t a n d a r d s ，t h i sp a p e ra n a l y z e s a n dp r o p o s e st h es e c u r i t yr e q u i r e m e n t sa n ds e c u r i t yf r a m e w o r ko ft h em o b i l e l 北京邮i u 人学硕i ：学位论文 i n t e r n e t a n dp u t sf o r w a r das e r v i c es e c u r i t yl e v e lc o n t r o lm e t h o di nu n i f i e d a u t h e n t i c a t i o ns e r v i c eb a s e do nt h ef r a m e w o r k m a i n l yi n c l u d i n gt h el e v e l a s s e s s m e n t 1 e v e l b a s e da c c e s sp o l i c ya n du s e rc o n f i d e n c e t h es e r v i c e s e c u r i t yl e v e lu s e st h es t a t i cf u z z yc o m p r e h e n s i v ee v a l u a t i o nm e t h o dt o r e a l i z e i tp r o v i d e sas i m p l ea n de f f e c t i v es e c u r i t yl e v e lc l a s s i f i c a t i o nf o r s e r v i c e st oj o i ni nt h eu n i f i e da u t h e n t i c a t i o ns e r v i c ep l a t f o r i l l a tt h es a m e t i m e ，t h i sp a p e rp r o v i d e sc l a s s i f i c a t i o na u t h e n t i c a t i o ns t r a t e g y ，l e v e ls w i t c h c o n t r o lf o rt h es e r v i c e sa n db r i n g si nt h ec o n c e p to fu s e rc o n f i d e n c e c o m p u t i n g t or e f l e c tt h ed y n a m i co fs e r v i c e i nu n i f i e da u t h e n t i c a t i o np r o c e s s ， t a k eu s e ra u t h e n t i c a t i o nb a s e do nt h el e v e la n du s e rc o n f i d e n c e f i n a l l y , b a s e d o nt h ea b o v em e t h o d s ，t h e p a p e rg i v e s d e t a i l so ft h e d e s i g n a n d i m p l e m e n t a t i o no ft h eu n i f i e da u t h e n t i c a t i o ns e r v i c ep l a t f o r mw i t hs e r v i c e s e c u r i t yl e v e lc o n t r o lf u n c t i o n k e yw o r d s ：m o b i l ei n t e m e tu n i f i e da u t h e n t i c a t i o ns e r v i c e s e r v i c e s e c u r i t yl e v e lc o n t r o l c l a s s i f i c a t i o nu s e rc o n f i d e n c e 第一章 1 1 1 2 1 3 1 4 第二章 2 1 2 2 2 3 第三章 3 1 3 2 3 3 3 4 3 5 3 6 第四章 4 1 4 2 4 4 4 5 第五章 5 1 目 3 3 2 4 1 2 4 1 3 4 2 2 4 2 3 4 2 4 4 2 5 v 北京t l i g , 1 j 人学颂l j 学位论文 1 5 1 1 系统功能需求4 6 5 1 2 系统体系结构一4 7 5 13系统功能架构4 8 5 1 4 业务控制相关系统协作流程5 0 5 2 模块设计一5 3 5 2 1 模块类图5 3 5 2 2 消息交互图。5 5 5 3 业务级别切换相关数据库表5 8 5 4 系统实现一6 l 5 4 1 模拟业务6 l 5 4 2 u a s p 页面6 3 5 5 本章小结。6 5 第六章结束语6 6， 6 1 论文总结6 6 6 2 进一步的研究工作6 6 参考文献6 8 p 付录7 0 缩略语7 0 致谢7 2 攻读学位期间发表的学术论文目录一7 3 北京t l $ 1 1 1 人学硕l ：学位论义 第一章绪论 1 1 研究背景 第一章绪论 新技术的快速发展带来了对传统网络的诸多新问题的研究，移动互联网( m o b i l e i n t e r n e t ) 正在成为电信行业的发展趋势。移动互联网技术对电信网发展产生着重要的 影响，主要体现为对移动终端、移动增值业务、移动话音业务以及互联网数据中心 ( i d c ，i n t e m e td a t ac e n t e r ) 业务的影响。相比于互联网，电信网具有更高的可靠性、 可管理性和安全性。由于网络技术的丰富，融合后的核心网可以采用各种类型的网络 技术实现传输和控制，应用层的移动业务与网络层的关系将逐渐达到松耦合状态，而 移动业务的多样化和丰富性，将带来更多业务安全问题。 计算机网络和信息技术的迅速发展使得信息化的程度不断提高，在信息化过程中 越来越多的业务系统应运而生，提高了企业、个人的管理水平和运行效率。与此同时， 各个应用系统都有自己的认证体系。随着系统的增多，用户需要不断重复输入自己在 相应系统中的i d 和口令，在极不便利的同时也增加了出错的可能性。为避免上述问 题，用户一般会采用简化密码，或者在多个系统中使用相同口令，或者创建一个口令 列表，这些都将使登录信息受到非法截获和破坏的可能性增大，系统安全性也会相应 降低。为了避免这些安全风险对系统造成破坏，需要增加一些新的安全措施。但是， 增加这些安全措施的同时，系统的可用性将受到较大影响，同时也将增加系统管理的 复杂度。在上述背景下，信息资源的整合逐步提上日程，并在此基础上形成了各业务 系统的统一认证、单点登录( s s o ，s i n g l es i g no n ) 和信息综合展示的服务门户。统 一认证体系来源自目前盛行的通行证体系，各大门户、游戏都采用了通行证体系，并 且还可以实现在关联网站、门户的互通。统一认证体系已经成为传统互联网中的主流 认证体系之一，在未来移动互联网业务发展中，具有重要的发展潜力【l 】。 在移动互联网中不同的应用场景，每种业务都具有不同的安全要求，业务与业务 之间存在着安全性差异，用户需要不同的安全措施进行服务操作。针对具有安全差异 的业务，需要提供有效的业务安全级别定级方法和管理方法。统一认证服务中引入业 务安全级别的概念，能加强对安全级别需求高的业务进行有针对性的业务设计和管 理，保证业务间访问的安全性。 移动互联网中具体的业务和服务组件的提供由网络中的诸多设备和软件完成，这 个过程涉及到用户操作、协议交互、软件执行、数据访问、访问控制等部分，目前还 没有具体的安全分析和评价手段可以直接对一个业务所涉及的上述内容的执行的安 全影响和安全隐患进行分析和评价。安全体系建设的本质都是为业务服务的，而现有 1 北京邮i u 人学坝i j 学位论文 第一章绪论 的信息安全和网络安全评估技术还是面向整个网络的，而网络中的服务或应用没有被 关注。同时，由于业务的多样化，业务与提供服务的设备之问的松耦合，以及业务的 动态性都带来了业务的安全需求不同于网络的安全需求。这就需要直接从业务的角度 重新审视安全问题。所以在移动互联网中需要将业务作为独立的个体进行考虑，其安 全问题也具有与用户、数据、实现技术等方面的相关性特点，这些内容在传统的网络 安全领域是较少考虑的。 1 2 研究意义 目前，移动互联网的研究工作还刚刚起步，由于电信运营商、服务提供商( s e r v i c e p r o v i d e r ，s p ) 对其未来市场的强大信心，对移动互联网的技术、业务的研究将成为 未来通信和互联网领域的研究重点和热点之一。随着移动网络技术的不断成熟，无线 接入技术的变革带来的带宽不断增加，移动终端为互联网服务发展起到重要推动作 用。移动互联网除了可以将已有互联网业务进行延伸，发挥其动态性和移动性的特点， 还将根据自身的特点激发更多新业务的诞生。 同时，移动互联网技术的研究与当前s a a s ( s o f t w a r ea 8as e r v i c e ，软件即服务) 和云计算( c l o u dc o m p u t i n g ) 的趋势也是相辅相成的。作为在互联网和计算机研究领域 近期的关注热点，s a a s 和云计算通过可动态扩展的虚拟化的资源提供方式，屏蔽了 计算资源的细节，将计算所需的基础设施、平台、软件均作为服务对外提供，可以通 过浏览器进行上述各种业务的访问。其相应的安全问题将受到高度重视，也将成为影 响服务质量和服务提供商提供业务的可靠性保障。 因此，在未来移动互联网发展中，面向业务的安全方法和技术将带来重要的经济 价值。作为统一认证服务这一特殊业务，研究其承载的各项业务间安全认证和访问控 制问题，具有重要的意义。 1 3 项目背景 本论文研究内容基于北京邮电大学i b m 中国研究实验室联合开放课题：“移动 互联网中服务安全问题的研究”。该课题目的在于研究移动互联网环境下的服务安全， 提出基于移动终端特性的安全认证问题，以及安全级别的评估与控制方法。本论文所 讨论的移动互联网业务安全框架和统一认证业务安全级别控制方法就是在该课题研 究过程中完成的。 2 北京邮电人学硕 ：学位论文 第一章绪论 1 4 论文组织结构 本文主要工作分析了现有移动互联网中业务的安全威胁，并基于已有网络安全框 架标准提出针对移动互联网的业务安全需求和框架。以该框架为研究基础，从业务安 全级别评估、基于等级的访问策略、用户可信度三个部分，研究移动互联网统一认证 服务中业务安全级别的管理和认证问题，并基于研究成果设计并实现统一认证服务中 相关认证流程和业务安全级别管理模块。本文总共六章，除去结束语部分之外，其余 各章的主要内容如下： 第一章，绪论。简单介绍论文的研究背景、意义以及组织结构。 第二章，相关技术介绍。这一章概括介绍了移动互联网以及统一认证服务的概念、 特点和发展现状。并对目前信息安全相关的标准和技术进行了介绍，分析了各标准的 特点。 第三章，移动互联网业务安全需求和框架。这一章首先分析了移动互联网业务面 临的安全威胁，然后从业务的角度分别提出组成安全框架的十个安全需求、两个安全 层次和四个安全结构域。 第四章，统一认证业务安全级别控制方法。本章主要描述了统一认证服务中业务 安全级别的控制方法一基于等级的多因素动态认证方法，分析了业务间切换控制的 安全需求，并对提出的方法进行了分析。之后，从业务安全级别定级、基于等级的访 问策略以及用户可信度三个部分，对安全级别控制方法进行了详细的描述。 第五章，统一认证服务业务控制部分的设计与实现。本章首先介绍了移动互联网 统一认证服务平台的系统架构，以及安全级别控制模块在其中的位置；然后具体介绍 了安全级别控制模块和认证流程的设计，着重描述功能模块的作用；然后从动态角度 对模块内交互进行了描述。实现的静态视图给出模块内的核心类图和主要数据结构的 定义；动态视图描述了在具体的数据处理的实现中，各个子模块之间的协作关系。最 后，为实现统一认证服务平台业务控制功能，设计并实现了几个模拟业务进行业务安 全级别控制过程的模拟。 - i e ! ； ( 1 1 1 1 1m l l 人学顺ij 学位论文第_ 二章相关技术介绍 2 1 移动互联网概述 第二章相关技术介绍 在近几年中，移动通信和互联网成为当今世界发展最快、市场潜力最大、前景最 诱人的两大业务，它们的增长速度都是任何预测家未曾预料到的。截至2 0 0 9 年8 月 底，国内手机用户数量已超过7 1 亿，手机网民占到总体使用人数3 4 2 ，总规模达 到1 8 亿【2 】。移动与互联网相结合的趋势是历史的必然。目前，移动互联网正逐渐渗 透到人们生活、工作中的各个领域，即时消息、图铃下载、移动音乐、手机游戏、视 频应用、手机支付、位嚣服务等丰富多彩的移动互联网应用迅猛发展，正在深刻改变 信息时代的社会生活p j 。 移动互联网是标准互联网应用和移动环境服务的结合【4 】。移动互联网采用2 g ( s e c o n dg e n e r a t i o n ，第二代移动通信技术) 、3 g ( 3 r dg e n e r a t i o n ，第三代移动 通信技术) 等移动通信网作为接入手段，并以w a p ( w i r e l e s s a p p l i c a t i o np r o t o c o l ， 无线应用通信协议) 以及w e b 等方式为用户提供公众互联网服务。其网络结构如图 2 1 所示。 图2 - 1m o b i l ei n t e m e t 网络通用结构 移动互联网的结构，是研究移动互联网服务安全的基础，所有移动互联网服务都 是架构于该网络结构基础之上的。移动互联网以宽带i p 为技术核心的，可同时提供 话音、传真、数据、图像、多媒体等高品质电信服务。其采用先进移动信息技术，整 合了互联网与移动通信技术，将各类网站及企业的大量信息及各种各样的业务引入到 4 北京邮i i 人学颂i j 学位论文第_ 二章相关技术介绍 移动互联网之中，为企业搭建了一个适合业务和管理需要的移动信息化应用平台，提 供了全方位、标准化、站式的企业移动商务服务和电子商务解决方案。 移动互联网的结构包含了以下特点： 基于无线通信：无线通信相对有线网不稳定，移动用户通信期间移动增加了 不稳定性； 移动终端一般属于小型终端：数据输入输出的困难性、相对桌面个人电脑处 理能力较弱、通信应用容量受限( 内存、电源供应等) ； 移动终端随身性：移动用户随身携带。 服务是具有无形特征却可给人带来某种利益或满足感的可供有偿转让的一种或 一系列活动。移动互联网作为移动网络与互联相网结合的产物，其业务提供的服务具 有多样化和丰富性的特点。 狭义来讲，移动互联网业务安全即服务平台上所提供的业务的安全问题，即用户 获得的服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响。业务安 全相对于信息安全而言，由对信息系统的静态保护过程转变为动态保护过程，更强调 业务服务过程中动态的安全属性。 移动互联网上的业务是一个复杂的交互过程，特别是业务中的应用服务需要基于 底层的基础服务来完成。一个完整的移动互联网业务需要在多方之间传输信息，通过 多个服务接口的协作，依赖多种底层设备和软件共同完成。同时，移动互联网业务涉 及到多方的交互过程，包括服务提供商、移动运营商、移动用户等。移动互联网业务 安全必须保证参与服务各方的隐私安全、数据安全以及访问安全等问题。因此，移动 互联网业务的安全，就必须考虑业务中采用的接口、协议以及加密算法等安全措施的 安全性。 业务的多样化、过程化，以及业务与提供服务的设备之间的松耦合也都带来了移 动互联网业务的安全需求不同于传统网络的安全需求。 2 2 统一认证服务 统一认证，也称单点登录、统一身份认证、统一登录认证，简单说就是在分布的、 多服务的网络环境中，通过用户的一次性鉴别登录，即可获得访问系统中所有服务的 合法性身份证明。网络用户可以基于最初访问网络时的一次身份验证，对所有被授权 的网络资源进行无缝的访问。从而提高网络用户的工作效率，降低网络操作的费用， 并提高网络的安全性。统一认证服务可用图2 2 表示： 5 北京邮l 【i 人学硕i j 学位论文第_ 二章相关技术介绍 统一认证服务 屉 ；。，= p 彳 ： 人 弱户 秒 业务矗用 图2 2 统一认证服务 目前，互联网领域的单点登录技术主要有两种：m i c r o s o f t n e tp a s s p o r t 和l i b e r t y a l l i a n c e 【。n e tp a s s p o r t 单点登录身份验证技术是作为m i c r o s o f t n e t 的一个重要组 成部分出现的。n e tp a s s p o r t 技术允许用户成功完成一次登录后，便可随意访问微软 及其合作伙伴的联盟网站，并订阅各种服务。l i b e r t y a l l i a n c e 是一个联盟机构的名称， 该联盟的宗旨是创建一个具有开放性的、联合的、单一签字身份识别的解决方案，该 机构的目标是为实现利用因特网进行交易时随时随地的单点登录认证，并且进行有关 标准的制讲5 1 。所有商业机构和非商业机构都可取得该机构的成员身份。目前l i b e r t y a l l i a n c e 由1 7 0 多家厂商组合，包括s u n 、n o k i a 、a m e r i c a ne x p r e s s 等，他们负责提 供技术规范与商业指南来当作跨企业的身份认证服务。l i b e r t y 本身并不产生应用， 这方面是由技术厂商来开发支持l i b e r t y 标准的兼容应用。l i b e r t ya l l i a n c e 规范可让 不同的服务供应商加入一个联邦式的信赖网络中。 根据上述两种方式，网络中统一认证服务的主要应用流程如图2 3 ： 该过程的流程描述如下： 图2 - 3 统一认证服务应用流程 6 北京邮i 【1 人学硕l j 学位论文第二章相关投术介绍 1 用户使用统一认证服务系统中注册的用户名密码登录统一认证服务。 2 统一认证服务将用户认证结果的认证凭证返回给用户； 3 用户访问某个加入统一认证服务系统的业务； 4 业务向统一认证服务系统查询用户身份有效性； 5 统一认证服务确认用户身份有效性； 6 业务系统接受访问，返回登录用户信息； 目前，统一认证的标准化的工作尚未启动，认证过程的设计缺少针对移动互联网 和业务的特性，在网络接入认证和业务使用认证还需要进一步研究。国内外在这方面 的实际应用大多局限于局部的领域，比如在业务领域的单点登录和限于插卡式的移动 终端的鉴权认证。 统一认证服务中如何保证其承载业务的安全性将是一个重要的研究问题。作为一 个多业务认证提供平台，保证不同业务访问控制和认证的安全性至关重要。对平台上 业务采用统一认证的方式，用户对所有业务均可通过安全性最低的某一业务的认证方 式登录，将降低业务认证安全，从而导致所有业务的安全性降低。如何从业务角度出 发考虑统一认证服务系统的安全性，对平台承载的业务进行安全级别界定，该问题目 前尚无标准或文献对其进行考虑和研究，具有重要研究价值和意义，将是本文研究的 重点。 2 3 信息安全评估 业务安全级别控制的基础是对业务的安全性进行定级，目前已有的信息安全评估 标准是分析业务安全问题，为业务安全级别定级的重要参考依据。 信息安全评估标准是对信息安全产品或系统进行安全水平测定、评估的一类标 准。目前世界上约有近3 0 0 个国际和区域性组织，制定标准或技术规则【6 j 。与信息安 全标准化有关的组织主要包括国际标准化组织( i s o ) 、国际电工委员会( i e c ) 、国 际电信联盟( i t u ) 、互联网工程任务组( i e t f ) 等。我国信息安全标准化工作自从 加入w t o 后，已制定了一批符合中国国情的信息安全标准，一些重点行业还颁布了 一批信息安全的行业标准，为我国信息安全技术的发展做出了很大的贡献。在信息安 全管理领域里，由于标准众多，对于标准的争论从未停息过，有i s o i e c 的国际标准 1 7 7 9 9 、1 3 3 3 5 ，有美国国家标准和技术委员会( n i s t ) 的特别出版物系列，英国标 准协会( b s i ) 的7 7 9 9 系列。在我国，也有一系列安全相关的风险管理、灾难恢复的 国家政策。 信息评估标准主要经历了t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) 、 i t s e c ( i n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a ) 、c p c p e c ( 加拿大计算 机产品评估准则) 、c c ( 通用准则) 、i s 0 1 5 4 0 8 这5 个发展阶段，关于各标准的分析 7 北京i i | i j l u 人学硕l j 学位论文 第一二章相关技术介绍 如表2 1 所示【7 1 。总体来说，各标准适用范围略有不同，各有优劣。 表2 - 1 信息安全标准分析 标准名称公布 标准 使用范围 安全定义安评估级别 时| j区域全 模 型 t c s e c 1 9 8 5 美国军用标机密性静四类八个级别 准、延至态 民用 i t s e c1 9 9 l 欧洲军用、政机密性、完整性和静评估级别 府用和商 可用性 态 e 1 e 6 用 c p c p e c1 9 9 2 北美政府机密性、完整性、静评估级别0 5 可用性、可控性态 级 c c1 9 9 6 北美军用、政机密性、完整性和动评估级别 和欧 府用和商可用性、可控性、态 e a l l e a l 7 盟用 责任可追查性 i s o1 5 4 0 81 9 9 9国际 军用、政 机密性、完整性和动评估级别 府用和商可用性、可控性、态 e a l l e a l 7 用责任可追查性 g b 厂r 2 0 0 1中国军用、政机密性、完整性和动5 个保护等级 1 8 3 3 6 2 0 0 l府用和商 可用性、可控性、态 用责任可追查性 目前，信息安全评估中风险分析方法包括定性分析、半定量分析和定量分析。现 有的信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件发 生的概率来计算风险。但在安全评估过程中，目前的信息安全评估标准无法很好地对 抽象的问题进行定性分析。一些研究人员正在探讨的“网络控制论、“自动化分析工 具 和“形式化分析方法”等新理论，新方法有可能为未来的风险评估和管理提供一 些新的、可借鉴的方法和工具。在没有统一的信息安全评估标准的情况下，各家专业 评估公司主要依靠各自积蓄的经验。目前，信息安全风险管理中存在的诸多问题也只 能在实践中、发展中加以解决。 8 北京邮l u 人学硕i j 学位论文 第二三章移动互联网业务安伞需求。j 框架 第三章移动互联网业务安全需求和框架 信息安全的需求是不断变化的，随着企业和用户对信息安全重视角度的变化，安 全保障的思路正在从面向信息安全向面向业务和服务安全转变。为合理分析移动互联 网中业务的安全问题，本章首先分析了移动互联网中存在的安全威胁。并进一步参考 i t u - t 的x 8 0 5 端到端的安全体系架构【引，x 11 2 1 移动端到端数据通信安全技术框架 【9 】，以及3 g p p 的t s 3 3 1 0 2 中的3 g 安全体系结构【1 0 】等通信、业务相关安全标准和文 献【1 1 l 【1 2 】【1 3 】【1 4 】【1 5 】【1 6 】【1 7 】【1 8 】【1 9 】【2 0 】【2 l 】，从安全需求、服务层次以及业务结构域三个方面提 出针对移动互联网业务的安全框架。该框架根据移动互联网业务的特点，描述了针对 业务安全问题的分析方法。 3 1 业务安全威胁 移动互联网中承载了多种业务系统，而且各种业务系统具有各自的特点，为移动 互联网带来了多样的安全威胁。同时，移动互联网业务的安全威胁不同于传统互联网， 其在传统互联网威胁基础之上，具有针对移动特性的安全威胁。在研究移动互联网业 务安全问题时，必须以移动互联网特性以及针对业务的安全威胁为重点。 借鉴多份相关标准和文章对网络中存在的安全威胁的划分方式【9 】【2 2 】【2 3 】【2 4 】，按照移 动互联网中针对业务的攻击手段和攻击对象，这里将安全威胁分为以下几类：未授权 业务数据访问、未授权业务数据操作、未授权业务访问、业务破坏、否认。每类安全 威胁拥有各自的实现手段，并且相互联系，一种威胁实现手段可能导致多种结果。 未授权业务数据访问是指未授权者对移动终端、服务器或传输网络上的业务 信息、用户数据等内容的非法获取。未授权业务信息访问包括窃听、肩窥、 伪装、病毒、泄露、流量分析、移动终端偷窃、用户信息诈骗等手段。 未授权业务数据操作是指未授权者对移动终端、服务器或传输网络上的业务 信息、用户数据等内容的非法注入、修改及删除。其实现可通过非法入侵并 操作网络中的传输消息、用户终端或服务器上存储的数据实现。 未授权业务访问是指未授权者通过非法手段获得业务的使用权，其利用服务 系统本身的漏洞，伪装或窃取合法移动终端及用户信息以获得服务。 业务破坏是指对正常业务过程的破坏，包括拒绝服务攻击、服务滥用、误用、 毁坏硬件设备、切断通信电缆等影响业务j 下常进行的破坏事件。 否认是指合法用户对已使用业务内容、时间、流量等信息的否认。业务否认 破坏了服务提供商和运营商的正常工作机制，是业务安全中必须考虑的重要 9 北京邮i u 人学硕i j 学位论文 第三章移动互联网业务安伞需求1 j 框架 问题。 表3 1 对移动互联网中常见的安全威胁进行了简单归纳： 袁3 - 1 安全威胁 类型安全描述 威胁 未授窃听 未经许可对信息进行拦截，源于无线局域例的开放介质传输，攻击者 权业在无线传输范围内很容易就能监听到网络中传输的数据 务数肩窥使用直接的观察技术，如通过某人的肩膀来查看，来获取信息。在拥 据访 挤的地方，肩窥是获取信息的一种有效方法 问 伪装伪装成合法的服务提供商骗取用户的个人信息，或者伪装成合法的用 ， 户或网络设备获取应用服务或机密消息 病毒手机病毒是一种破坏性程序，和计算机病毒( 程序) 一样具有传染性、 破坏性。手机病毒可能会导致用户手机死机、关机、资料被删、向外 发送垃圾邮件、拨打电话等，甚至还会损毁s i m 卡、芯片等硬件。 流量入侵者对用户发送信息的时间、频率、长度、信息的来源和目的地进 分析 行监视并分析，从而获得用户的实际位置，并推断用户是否在进行商 业活动 移动入侵者在偷窃的移动终端系统中搜寻机密信息 终端 偷窃 泄露有合法权限的一方使用户隐私数据流出 推断 对目标系统发送试探性消息并接受系统的返回信息，通过监测时间、 频率、长度、信息的来源和目的地来对目标系统进行推测 未授中间攻击者先让合法客户机与攻击者的接入点连接，然后攻击者再接入有 权业人攻效的无线局域网接入点。这样一来，合法客户机与网络之间的所有通 务数击信就必须经由攻击者，攻击者同样可以修改、删除或者插入数据 据操 作 未授伪装通过伪装成合法用户或网络实体或者内部环境来获取服务，或者通过 权业 已有的部分授权，来通过非法手段获取其他的未授权服务；伪装成基 务访站，获取信任后绑架用户已被认证的服务连接；流氓接入点，流氓接 问入点是无线环境中特有的攻击行为，攻击者在无线局域网中安装未经 授权的接入点以提供对网络的无限制访问 业务干预入侵者通过干扰用户的信道、信号和控制数据来使用户不能正常接收 l o 北京邮i u 人学坝f j 学位论文第三章移动互联州业务安令需求j 框架 破坏服务 资源使服务器过载来阻止用户获取应用服务，如d o s 攻击等 耗尽 打断切断连接线路、破坏网络环境中的设备、破坏网络设备的管理系统 否认否认用户可以通过否认对某服务的试图访问或者否认已提供的服务来实 现攻击，否认需支付的费用。用户否认其发送或接收的通信流量也是 一种攻击方式 3 2 业务安全需求 业务安全需求用来衡量移动互联网业务在某一特殊方面的安全需要。通过对移动 互联网业务安全威胁的分析，本文提出访问控制、认证、不可否认、数据机密性、数 据完整性、通信安全、可用性、隐私、可控性及可监督性十个针对业务的安全需求。 这些安全需求的提出参考了i t u - t 的x 8 0 5 端到端的安全体系架构，并根据移动互联 网业务的特性，每个需求具有其新的内容。 访问控制 一 访问是使信息在主体和对象间流动的一种交互方式。访问控制是网络安全防范和 保护的核心策略，它的主要任务是保证网络资源不被非法使用和访问，这对业务安全 来说是通用的。该需求用于保证授权合法用户对网络资源所提供的服务的使用，以及 授权服务提供商对用户信息的获取，防止过失或恶意操作对业务造成不良影响。若访 问控制策略实施不当，攻击者可以利用这些缺陷来访问业务中的保密文件或使用未授 权的功能。 在移动互联网中，每个业务采用数据信息完成用户服务，作为业务的重要组成部 分，在数据的生命周期内必须采用数据管理来维护这些信息。在业务的初始化阶段， 就必须对其内部的数据等资源定义生命周期及访问控制权限，对合法用户及管理员提 供安全的服务访问接口。 同时，各网络体系之间的安全风险也随着网络互联互通的日益复杂而增加。一个 业务系统通常与其它业务系统、支撑系统或者第三方接入平台相关，业务系统之间互 联并未进行严格的访问控制，可能造成各业务平台之间的随意访问，影响业务平台安 全。而随着互联需求的增大，各类支撑系统与移动互联网的接口各自具有独立的安全 防护措施，使得各部分安全策略并不统一，从而导致安全建设投入和管理成本越来越 高。 随着虚拟云存储等服务的普及，如何保证在业务问松散耦合的前提下，存储在同 一服务器上多个业务的数据信息不受非法访问，访问控制将成为未来移动互联网中研 北京邮l 【1 人学颁l j 学位论义第二三章移动互联