越來越多的惡意軟件以智能手機為攻擊目標,智能手機的安全是移動互聯(lián)網(wǎng)所面臨的重要問題之一。智能手機在運算能力、電量供應(yīng)等方面受限,難以運行復雜的安全軟件保障自身的安全,且統(tǒng)一威脅管理等安全設(shè)備的現(xiàn)有部署方法不適用于移動互聯(lián)網(wǎng)。文章提出將移動終端安全作為網(wǎng)絡(luò)的一項可定制的基礎(chǔ)服務(wù),設(shè)計了通行證式統(tǒng)一威脅管理架構(gòu)及對應(yīng)的通行證式統(tǒng)一威脅管理協(xié)議。在該架構(gòu)中,安全策略不再與網(wǎng)絡(luò)位置綁定,而是與用戶身份綁定,使得用戶移動到任何位置都可以獲得按需的、差異化的安全服務(wù)。性能分析和實驗表明,該架構(gòu)對現(xiàn)有網(wǎng)絡(luò)的改動小,具有良好的可擴展性;智能手機通信開銷小;網(wǎng)絡(luò)流量更加均衡,網(wǎng)絡(luò)整體吞吐量得到提高。 

【文章來源】：信息網(wǎng)絡(luò)安全. 2020,20(03)北大核心CSCD

【文章頁數(shù)】：11 頁

【部分圖文】：

網(wǎng)絡(luò)拓撲結(jié)構(gòu)和安全服務(wù)過程

通過使用通行證式統(tǒng)一威脅管理協(xié)議（TUP），智能手機上不需要運行復雜的安全檢查軟件，只需要對數(shù)字簽名進行簡單的驗證，如執(zhí)行MD5等Hash運算。這可以突破智能手機較弱的運算和存儲能力以及嚴苛的電量消耗的限制，還可以在一定程度上防御Do S攻擊。由于網(wǎng)絡(luò)攻擊者無法偽造或篡改合法的數(shù)字簽名（通行證和自證式簽名），因此可以保證移動終端不會收到未經(jīng)安全驗證的數(shù)據(jù)包，Sec Server也不會收到來自移動終端的偽造請求包。此外，通行證中包含時間戳和序列號，因此攻擊者不能實現(xiàn)對移動終端的重放攻擊。智能手機還可以按照各自的安全需求，甚至是不同時間、不同應(yīng)用的安全需求，來選擇和設(shè)定安全服務(wù)。對于低安全需求的應(yīng)用，如瀏覽新聞、瀏覽視頻，可以請求簡單的安全檢查服務(wù)，甚至不使用Sec Server。對于高安全需求的應(yīng)用，如下載軟件、網(wǎng)上購物，可以請求復雜的安全檢查服務(wù)，并且在移動終端和Sec Server之間通過IPsec進行安全通信。相較于在網(wǎng)關(guān)處設(shè)立Sec Server對所有途徑的數(shù)據(jù)包進行安全檢查，按需檢查的方法可以大大降低數(shù)據(jù)包的延時，緩解網(wǎng)絡(luò)擁堵，改善用戶體驗質(zhì)量。

TUP的安全策略協(xié)商過程

【參考文獻】：
期刊論文
[1]未來終端安全防護的發(fā)展方向[J]. 王慧,王銳,胡兆華.  通信技術(shù). 2019(02)
[2]基于移動核心網(wǎng)的手機信息安全系統(tǒng)實現(xiàn)[J]. 趙宇,張科程.  通信技術(shù). 2018(01)
[3]基于云計算的智能移動終端的數(shù)據(jù)安全性研究[J]. 蔣國清.  軟件工程師. 2015(11)
[4]云計算下手機人工免疫惡意代碼檢測模型[J]. 武斌,林幸,李衛(wèi)東,蘆天亮,張冬梅.  北京郵電大學學報. 2015(04)
[5]一種基于云—管—端的移動互聯(lián)網(wǎng)惡意程序管控方案研究[J]. 李俊.  電信科學. 2013(08)
[6]移動互聯(lián)網(wǎng):終端、網(wǎng)絡(luò)與服務(wù)[J]. 羅軍舟,吳文甲,楊明.  計算機學報. 2011(11)



本文編號：3556851