4.4窃听
UMA需要使用IPsec协议去保护移动终端和UNC之间的通信,这将阻止那些有能力篡改自己的终端协议栈的用户去窃听其他用户的通信内容。在IPsec通道中使用未加密的数据可能会在UMA的规范中记录,这种通信只被用在那些高信誉度的用户之间,例如UMA的管理员和接入网络供应商。这种不加密的通信方式是基于危险假设协议中的特例,因为使用这种通信方式的用户去接入到WLAN中时,就会被在WLAN覆盖范围内的攻击者窃听到通信的内容。为了对用户以前的WLAN设备进行支持,UMA规范没有在WLAN设备的安全能力方面制定标准。另外,由于管理员不必控制用户的WLAN设备,因此就不能保证用户去履行所规定的安全策略。最后,在规范中傀儡使用危害终端的操作并不会被协议所保护,因为在操作执行的时候一个未加密的通信内容拷贝将会发送给攻击者。
4.5位置欺骗
当电话和UNC之间的连接被建立起来,电话将把现在或者最近的GSM蜂窝单元的位置和接入点的WLAN/BLUETOOTH的MAC地址发送给UNC,这个数据将被管理员用在很多的地方。
l管理员能够阻止UMA的用户去漫游或者限制在一些地方的接入(比如在其他用户的房子里)。
l连接能够被重定向到其他的UNC。例如,根据用户和管理员所签定的漫游协议,如果用户超出了管理员所控制的范围,漫游地的UNC也能够被用户使用。但这也意味着在漫游期间更高的费用。
l基于用户不同的位置提供不同的服务,而且能够在一些特定的位置进行连接限制。
l基于用户的位置进行法律允许的窃听。
因为这个数据是由终端独立提供的,所以一个简单的操作就能发送错误的数据。这种做法能够被用来绕开使用限制,例如避免漫游费用或者误导基于位置的服务。这种行为应该被重视因为即使没有恶意的用户也可能使用去绕开一些限制。
5.防御攻击的方式
在之前的部分潜在的攻击被识别并被归纳成两类:攻击者修改自己的终端去发送恶意的输入;攻击者通过病毒或木马去危害傀儡的终端安全。潜在的反攻击策略包括以下的几种:
l保护没有恶意用户的终端
l从技术上阻止未被识别终端的接入
l从法律上阻止未被识别终端的接入
l检测和阻止恶意的终端
l增强核心网络抗攻击的能力
5.1保护没有恶意用户的终端
现在大多数的智能手机支持安装第三方的软件,而这些软件多数是由JAVA语言编写的。JAVA语言可以阻止程序接入到手机的敏感部分,比如SIM卡或者内在的GSM协议栈。但是现在一些用户直接下载一些二进制的代码到手机上,使得他们可以避开限制机制而去使用特权。幸运的是这些手机并没有被大范围的推广,而且制造商也介绍更强的安全机制也在制定中以防止用户去下灾恶意的程序如木马等。
在计算机平台上,下载的二进制代码能够跟其它大多数程序一样运行,安全问题的关键在于检测恶意软件而不是限制破坏。跟计算机类似,当单独使用防御机制不足以保护手机的安全时,使用反病毒或反间谍软件被证明是一种有效的手段。不管怎样,我们的目的是明确的,那就是不断加强终端的安全性,同时允许用户下载和运行有用的程序和合法的去接入敏感的资源。一些人可能对这种做法表示出担心,但是我们不能因噎废食,就像如果只在计算机上运行Windows而不使用其它软件一样是不可想象的。
5.2从技术上阻止未被识别终端的接入
一个有效防御潜在攻击的方法是只允许那些通过管理员识别的用户接入到网络中去,就像第2部分描述的那样。现在的IMEI机制并没有想象的那么安全,因为它盲目的假设终端发送的都是正确的IMEI。一种可能的改进方案被提出,那就是把一个安全密钥植入防篡改的硬件中,但这种方案还没有形成最终的书面规范。因为一旦引入这个防篡改机制,那么和现在那些基于IMEI的基础终端认证机制设备的兼容就成为一个难题。
就UMA而言,由于现在市面上的UMA终端还很少,因此有可能要求所有接入网络的终端执行更严格的安全机制,使得管理员可以核实终端的身份并阻止那些具有潜在威胁性的终端接入网络。当一个安全设备的识别依赖防篡改硬件时,它并不是牢不可破的,因为攻击者会试图获得终端的安全密钥,并把它用在恶意软件的执行上。当然,如果这种行为一旦被发现,那么这个IMEI将会被放到黑名单中。但是攻击者可以使用一个新的终端去重复上面的攻击,只要他认为值得。
5.3从法律上阻止未被识别终端的接入
现在非法的终端也可以使用合法的方式去接入网络,法律并不能阻止恶意的个人和组织为了利益去制造终端,但是至少可以限制他们通过合法的渠道进行商业推广。
5.4检测和阻止恶意的终端
在处理恶意输入上,UMA网络比互联网有一个先天的优势。因为UMA网络在认证之前只会产生少量的数据交流,因此类似于搜寻漏洞这种攻击或者可疑的操作都能被找到个人标识。这就允许管理员去终止这个标识的所有操作,并能够保留攻击者的标识以便于以后追究责任。这也是3GPP正在开发的一种功能,有选择性的使那些恶意操作的用户失去部分功能而不是完全断开这个用户的连接。这种功能对那些危及网络安全但又不是真正攻击者的用户特别有效。但是什么样的操作才算恶意操作现在并没有被精确定义,因为这部分的标准根据国家的不同而有所差异。一种普遍的非法操作就是用户通过发送恶意输入试图找到可用的漏洞。
5.5增强核心网络抗攻击的能力
增强核心网络抗攻击的能力是一件困难的事情,因为我们不能假设这些努力最后都会成功。因此,网络元件不得不准备去应对恶意输入和客户端不遵守协议规范。大致上,我们只能按照众所周知的方法去编制安全软件。另外,网络元件必须能够应付潜在的拒绝服务攻击。着就意味着用户在认证之前只能使用尽可能少的资源,即使在认证完成后,一个用户也只能占用有限的资源。例如,IPsec通道具有流量整形的作用,在使用语音呼叫的时候,一个用户最多占用50kbps的带宽。在认证期间处理拒绝服务攻击非常困难,因为IKEv2包含了“cookies”,这使得试图用假的IP地址去欺骗拒绝服务攻击变得困难。一旦资源的IP地址被确认,UNC会断掉一些特殊IP的连接尝试,这样的话在防止拒绝服务攻击时进行EAP-SIM认证和归属位置登记就更困难了。发表论文。 3/4 首页 上一页 1 2 3 4 下一页 尾页 |
