移动互联网络安全认证关键技术探讨
2018-04-16杨秀爽
杨秀爽
(唐山市公安局,河北唐山,063000)
1 移动互联网络安全认证
移动互联网络安全认证是网络通信安全体系的重要组成部分,是保证用户进行正常的身份验证和限制非法访问网络资源的主要手段之一。移动互联网络安全认证针对的网络安全问题主要有两种,分别是用户身份伪装和网络重放攻击。其中用户身份伪装是指通过窃取或破解用户身份认证信息后进行非法获取登录权限的行为;重放攻击则是指将非法程序段伪装在发送给移动互联网用户的文件包中,以达到欺骗认证系统的目的。无论是身份伪装还是重放攻击,对于移动互联网络用户的安全认证都造成了极大威胁,这就需要用户要有足够的安全防护意识,尽量避免网络安全问题的发生。
2 移动互联网络存在的安全问题
移动互联网络存在的安全问题,一方面是网络自身软硬件环境存在漏洞,被不法之徒利用来非法获取认证信息,另一方面是由于用户的疏于防范,误操作造成认证信息的泄露,还有就是恶意的病毒、木马和恶意软件攻击也会造成的网络安全隐患。
为了更加有针对性的解决移动互联网络安全问题,首先要对安全问题产生的动机、主体、资源和危害性进行分类和描述,对主要问题和主观威胁重点监控,对间接攻击和偶尔发生的威胁进行规律分析,力求找到最优的解决方案。一般来说,网络安全问题产生的主体因素可以分为人为因素和环境因素两类,其中人为因素可以分为安全防范意识淡薄、操作失误、恶意攻击等,环境因素则可以分为不可抗自然因素、技术因素、客观环境因素等。从攻击的危害性方面可以分为完整性损失、可用性损失和机密性损失几类。在信息时代,网络的互联互通已经成为主流趋势,部分移动网络运营商过分追求经济效益,进行无限制的网络设备升级和异构环境建设,但网络安全基础建设和安全策略配置又相对滞后,这就造成了网络边界攻击频发等问题的出现。移动互联网的基础设备包括交换机、业务服务器、数据库、web服务器等,出于兼容性和成本的考虑,往往对安全防护设备的重视程度不足,造成了移动互联网的安全问题难以得到有效监控和管理。有关部门应尽快制定关于网络设备最低安全配置参数的法律法规,并对配置的内容、产品类型、配置方法和检测方法标准进行定量描述,保证在设备采购、入网部署、工程验收和日常维护中的安全问题得到有效监控和管理。
3 移动互联网络安全认证关键技术
3.1 数据可靠性保护
移动互联网安全认证数据主要包括用户身份信息、个人文档和其他隐私信息,这些数据直接影响着安全认证的可靠性。数据可靠性保护的主要技术手段包括信息加密、可靠性认证技术、访问权限控制以及数据传输通道等。
3.2 移动签名服务
移动签名又称电子签名,是通过移动设备终端的专用安全模块来实现用户身份认证的一种技术手段。移动签名可以有效防止由于个人信息泄露或被篡改盗取而造成的安全认证问题。在移动签名服务中,用户身份信息、移动终端设备和应用安全信息得到有效整合,身份认证过程会对上述各类信息进行一一校验通过后才能完成最终的登陆操作。移动签名服务中涉及的实体包括用户、应用提供者、证书认证机构以及移动签名服务供应商,各个业务实体共同作用来保证移动互联网安全认证的顺利进行。
3.3 供应商安全管理体系
如今移动互联网增值服务市场较为混乱,各类安全问题也大多是由于供应商对增值服务的管理不善造成的,如垃圾短信、欺诈电话和不安全的链接等。这类问题的根本原因在于供应商安全管理体系的不健全,造成虚拟身份的认证得不到有效管理。不同运营商之间的合作交流较少,网络中的虚拟身份认证系统没有统一的标准,就会造成很多技术漏洞被不法之徒利用,从而导致移动互联网的各类安全隐患出现。运营商应尽快建立虚拟身份认证的联盟机制,通过构建供应商安全管理体系来对增值服务漏洞进行有效监控和管理。
3.4 云计算安全风险管控技术
云计算是一种基于互联网技术构建的计算资源共享池,可以帮助人们快速获取网络资源和服务,包括存储、计算、应用软件和网络服务等。在移动互联网的安全认证体系中引入云计算技术,可以对互联网结构进行有效划分,对安全认证的风险进行有效管控,从而加强互联网安全认证的可靠性。云计算首先可以借助云端超高的计算能力来对整个网络结构进行分析,对安全认证的风险进行评估,找到突出的安全隐患进行重点预防,并在日常维护中不断优化网络结构来提高安全抵御能力;其次,云计算的存储能力超群,针对各类用户认证信息进行有效分类和加密存储,保证了认证数据的可靠性;最后,云计算为用户提供的应用服务完全依赖于网络,避免了由于硬件设备受到攻击而造成的安全认证隐患。
4 结语
移动互联网络安全认证是解决网络欺诈行为和个人隐私泄露等问题的有效途径,需要得到全社会的共同关注和支持。对个人用户而言,要提高安全防护意识,在操作过程中尽量避免误操作和访问不熟悉的网页和应用软件;对网络运营商而言,要提高安全防护基础设施的建设力度,对安全策略进行有效配置,构建供应商安全管理体系,优化移动互联网网络环境;对相关管理部门而言,要加大安全认证技术研究的投入力度,制定行之有效的安全认证管理行业规范。总之,要用最先进的技术和管理制度从源头上解决网络安全问题。