移动数据的安全威胁和解决方案研究

金龙　邵彤

摘要：文章展示不同的移动数据可能在现实生活中发生的安全威胁，并提供了消除它们的解决方案。移动数据是分布式系统的一个特殊类。由于移动数据应用的分布式特性和移动设备的硬件约束对于安全是个挑战。文章涉及的安全主题包含4个方面，包括：移动硬件设备的安全性、移动设备上的操作系统的安全性、移动数据的安全性和移动网络的安全性。文章确定在移动数据上有一系列安全漏洞，并尝试运用适当的技术，以减少对移动数据安全方面的影响。对于移动硬件设备，文章将讨论影响移动数据的安全性的可能的解决方案，主要分为移动硬件设备、移动操作系统和移动网络的安全问题。最后，对于更多的安全，文章提供了可应用于分布式数据的全面解决方案。

关键词：移动数据；安全策略；移动网络

本文目的是给用户和组织提供移动数据全球互通的安全能力，并提供有效的移动数据技术建议确保被用户和组织使用。安全性支持对任何数据系统是必需的。对于移动数据系统，安全支持对于保护用户和设备以及数据更为重要。在移动通信中，由于无线介质是公开的，攻击者可以很容易地访问网络和数据，用户和分布数据的中央计算机变得更加脆弱。在已有的研究中，移动数据系统的安全问题的解决方案所缺乏的综合介绍，这对于移动数据的研究者和开发者是非常重要的。本文讨论移动数据系统和移动网络所有安全问题以及解决方案。此外，一个新的议案也是对某一个安全问题的建议。首先，安全问题主要分为4个重要领域：移动硬件设备、移动设备上的操作系统、移动数据和移动网络操作系统将是本文讨论安全问题的4个领域。集中概括的描述对于研究人员和开发者是比较重要的，能够帮助他们有效地理解问题域并可能在未来提出更多的安全机制。本文的主旨是开展对现有的安全机制的全面调查，并发现其中的安全缺陷。此外，还提供通用的安全问题的解决方案。本文的其余部分安排对分布式数据提供一个可能的解决方案和应用适当的技术来满足相应的安全要求。

1 移动设备和WM（windows moblie）设备的安全性

对于视WM设备的开发者来说，安全是一个重要课题。根据特定设备的安全性配置，应用程序可能需要与特权证书或非特权证书进行签名。除了签名应用程序，了解能够影响应用程序执行的安全设备的1层和2层同样重要。尤其是在2层的安全配置，非特权和未签名的应用程序已经是受限地访问设备资源。

WM设备的安全模型归纳如下：（1）程序运行的安全性：适用于代码执行。控制应用程序可以在设备上运行。控制应用程序可以做哪些。（2）设备配置的安全性：适用于设备管理的安全性；控制有权访问特定设备配置信息。控制访问设备配置信息的不同级别。（3）远程访问的安全性：通过ActiveSync远程API（RAPI）控制。控制设备上的桌面应用程序可以做什么。

1.1 应用程序执行权限

根据特定的WM设备的安全配置，在设备上应用程序可能被允许运行或可能被禁止运行。下面是为WM设备的应用程序定义执行权限：（1）特权：应用程序在设备上可以做任何事情，对系统文件和系统注册表具有完全写入权限，也允许安装证书，可能允许其他应用程序在特定的WM设备上运行。（2）正常：该应用程序被限制其执行。它不能调用可信的Win32 API，不能写入注册表的保护区，不能写入系统文件或安装证书。（3）阻止：将不允许应用程序执行。

不同的权限级别确定了一个未签名的应用程序在WM设备上被允许做什么。这些不同的访问级别称为层。特定设备的安全策略决定了特定的设备如何处理应用程序签名和权限问题。安全策略的第1部分是设备安全层，设备可以有1层或2层的安全性。

1层安全设备关注的只是应用程序是否已经被签名。在1层安全中没有权限限制的概念。在1层安全下，所有正在运行的应用程序都可以调用任何API，修改任何部分系统文件和修改注册表的任何部分。1层安全只限制应用程序的启动。签名的应用程序可以执行并且不进行进一步检查，未签名的应用程序需要后面的策略进行检查来确定它们是否可以执行。

2层安全限制应用程序启动和应用程序运行时的权限。在具有2层安全的设备上，签名的应用程序可以执行并进一步的检查，未签名应用需要后面的策略进一步检查，以确定它们是否可以运行。在运行时，2层安全根据已签名的证书关联的权限来限制应用程序访问API，注册表和系统文件的权限。用特权证书存储中的证书签名的应用程序将会拥有特权权限执行，其他所有应用程序将使用普通权限运行。

下面的安全策略的2部分紧密联系在一起：未签名的应用程序是否能够执行以及未签名应用程序在运行前用户是否被提示。

3个安全设置创建4个共同的安全策略：（1）关闭安全性：在这个策略下，未签名的程序可以被运行并且不会提示用户。这个关闭安全性策略是默认配置。关闭安全性策略的设备是非常过时的做法，因为设备在不知情的情况下安装恶意程序并且毫无限制地控制设备。（2）1层策略提示：此策略允许签名的应用程序执行，未签名的应用程序在执行前设备会提示用户。应用程序一旦执行后，它对应用程序的权限是没有限制的。这就是签名程序和未签名程序的区别。（3）2层策略提示：此策略允许签名的应用程序执行，未签名的应用程序在运行前设备会提示用户。如果用户允许未签名的应用程序运行，该应用程序将获取普通权限来运行。签名应用程序将获得的是普通权限或特权权限运行。（4）锁定移动应用市场策略：应用程序经过签名才能执行，未签名程序运行将不会提示用户。这些未签名的应用根本无法执行。一旦申请执行，权限是由程序的签名证书决定的，签名证书存在于特权证书存储中的证书中或普通证书存储中的证书，则获取相应的权限。

安全策略设置被存储在设备注册表的安全部分。如果没有持久性存储，如果WM设备的电池用尽，设备再次通电启动后在ROM中的安全设置将会恢复到默认的安全设置。对于持久存储，如果WM设备的电池耗尽，安全设置将在设备再次通电启动后保持不变。当设备由用户手动冷重启后，持久存储和所有程序以及用户数据都会被擦除，恢复到当初烧录的状态。

1.2 设备上的安全策略

设备级的安全涉及谁有权访问设备及其数据，控制哪些应用程序可以在设备上运行，并建立数据如何从设备发送。用户访问通过PIN码或密码验证来管理。一个设备可以被设置成一段时间内不活动或者被关闭后自动锁定，用户如果再次使用则需要解锁设备才能继续。

1.3 在WM设备上的最佳安全实践

（1）无论有没有其他安全策略限制访问设备，设置RAPI策略限制模式。

（2）在运行普通的应用程序提示用户。微软强烈建议在所有的WP设备上运行未签名程序时保留用户提示模式的策略。

（3）用一个未认证用户的安全角色分配给未签名的主题。微软强烈建议您保留未签名主题策略的SECROLE_USERUNAUTH安全角色。这是默认设置

（4）保持你的蓝牙关闭。

（5）用户可以通过加密控制面板程序启用手机加密，在设置>安全。

（6）设备损坏时删除在记忆卡的信息，防止非法访问（见表1）。

2 移动数据库安全

2.1 分布式数据库

一个分布式数据库系统包括分布式数据库管理系统、一个分布式数据和一个互联网络。一个分布式数据库中数据是分布在多个数据库中的。在分布式数据库管理分布式数据库。分布式数据库系统的功能包括分布式查询管理、分布式事务处理和执行的安全性和完整性跨多个节点。数据库管理系统的要求是：（1）多级访问控制。（2）认证。（3）保密。（4）可靠性。（5）可用性。（6）可恢复。

移动数据库是一个专门类的分布式系统，其中一些节点可以从联合分布式操作系统中脱离，从一个工作站的子服务中转移到另一个工作站的子服务中的连续连接的操作成为可能。移动数据库可以在下面2种可能的场景中分布式：（1）整个数据库主要分布在有线组件中，有可能全部或部分复制。（2）数据库分布在有线和无线组件，数据管理负责基站和移动单元之间的共享。

2.2 移动数据库系统的问题、安全性挑战和解决方案

在分布式数据库系统中一些软件问题可能涉及数据管理、事务管理和数据库恢复。在移动计算中，这些问题更难，主要是因为无线通信是有限的、间断性的，有限的手机电源寿命和不断变化的网络结构。因此，在管理移动单元上的数据断开操作是有必要的。

在一个移动数据库应用程序是一个分布式数据库的情况下，存在由于应用和移动设备的硬件限制的分布式特性的安全挑战。分布式多级安全的主要问题是身份认证、数据保密、身份识别和执行适当的访问控制。

2.2.1 身份认证

用户认证是保护移动设备和手持设备的主线路。认证确定并验证在系统中一个用户的身份，类似提供一个问题的答案。传统的认证机制依赖于维护用户身份的集中式数据库，使得在不同的管理域用户身份很难验证。在移动设备中使用这种安全机制，为每个系统提供安全访问重要的、私密的信息或者个性化服务是非常困难的。这里的问题是认证机制应该是分布的，认证一个用户时，认证的各个部件需要相互通信。在集成环境中，认证需要具有所有系统用户的信息。有3种基本的身份验证手段，其中个别可以验证自己的身份。

（1）一些个人数据（例如，一个口令、个人身份号码（PIN）、组合、个人背景数据集）。（2）一些个人拥有（例如，令牌或卡片、物理钥匙锁）。（3）一些个人特征（中间系统）（例如，个人特征或“生物体”诸如指纹或语音模式），这种技术原理基于指纹，由此，当用户的指纹被识别认证即被授权可以访问这个手机。

移动设备用户只需要在他第一次使用设备时验证，当用户通过设备验证后就可以访问通过该认证的其他任意设备数据。该方案要求所有网络上的设备都能够可靠地处理此认证数据。标准化工作，如开放系统环境（OSE），便携式操作系统界面（POSIX）和政府开放系统互连配置（GOSIP）可以促进跨网络透明的认证这一目标。

本文通过符号来描述3个基本的身份验证，基于PIN的身份验证是用于验证设备实际用户身份的方法，但这种方法有很大的缺点，因为PIN或密码可以很容易被猜到。为了防止密码被猜解，用户必须设置一个复杂的密码，它往往很难记住。在手持设备上为了解决此问题，已经开发了比较安全实用的、基于图形的或生物验证的、令人难忘的认证方案，例如指纹、语音识别、虹膜扫描和面部识别。这种方法的主要缺点是，这样的系统可能是昂贵的，并且识别过程可能是缓慢的和不稳定的。

2.2.2 数据保密性

通常情况下，移动用户与企业数据库的连接在不断增长，使移动用户的个人数据的隐私和保密性面临新的威胁。C-SDA（芯片级担保数据访问）是解决方案，它允许查询加密的数据，同时可以控制用户特权。C-SDA是作为客户端（手机）和加密的数据库之间基于客户端的安全组件。这个组件被嵌入到智能卡，以防止在客户端上发生篡改。这是比较好地嵌入用户的机密数据到自己的移动设备里的方案。除了它们在存储容量方面的限制，即使是这些设备不能完全信任的，如被盗、遗失或损毁（他们的主机数据必须在网络上保存副本，以保证数据的恢复能力）。另一种方式是通过加密以提供机密性，或者使用接收的主体公共密钥，或使用组合密钥和公钥方法。例如，代理可以使用对称密钥，并使用它来接收要保护的主体公钥。加密通常用于保护在不安全的网络或存储设备上的数据。

2.2.3 鉴别

验证用户身份的方法，通常被称为用户识别和认证。密码是用于验证用户的常用方法，但名字信息（例如，第一个或最后一个）或密码，电子邮件地址不能确保身份，当使用认证作为授权的手段时为了防止未经授权访问计算机资源，一些用户开始使用生物识别技术作为用户识别方法。

如果使用密码作为安全认证的方式，就必须管理密码使密码周期变化，它依赖于数据的复杂度，在口令中使用故意拼错的单词，2个或多个单词组合在一起，或包括数字和标点，以防止密码的猜测。身份必须是唯一的，这样系统可以区分不同的用户。身份也应该是不可伪造的。识别和认证之间的一个重要区别是，身份是公开的，而认证信息是保密的，由一个人证明他确实是他声称的自己。此外，身份识别和认证为未来提供了访问控制的基础。

2.2.4 访问控制

访问控制保护数据的完整性限制可以更改数据的用户。访问控制规则在分布式环境实施中可以被分布、集中或复制。如果规则是集中的，那么中央服务器需要检查所有的数据库访问。如果规则是分布的，那么规则能被适当的定位和特权执行。特定的数据库通常与相关联的规则可以被存储在同一部位。如果规则可以被复制，那么每个节点都要有可以检查自己所管理的数据的访问权限。关系数据库系统使用SQL语言实现访问控制，使用GRANT和REVOKE命令。GRANT命令用来给用户提供特权。它的语法如下：

GRANT privileges ON object TO users [WITH GRANTOPTION]

在SQL中，对象可以是表或视图或列名的列表。该权限包括SELECT，允许读取访问指定表的指定列，以及INSERT，UPDATE，DELETE。参数users可以指单个用户或一组用户。

REVOKE命令是用于删除以前授予的权限。

多级安全数据库管理系统（MLS/DBMS），明确用户在不同安全级别的访问权限和在不同的安全级别不违反安全策略共享数据，并且基于分布式数据和分布控制，所有在数据库中的数据必须接收一个访问级别和用户以较低的分级水平将不知道存在于一个更高的分类级别的数据。从MLS/DBMS中的观点和安全政策的设计上来看，权限控制系统可分为自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。

这3个安全访问模型，RBAC执行最差。它缺乏必要的细粒度控制强制用户访问规则或防止外部行为者非法进入。基于角色的访问控制（RBAC）技术吸引了越来越多的关注，特别是对商业应用，因为它有可能用于减少在大网络应用的访问控制信息和安全管理成本的复杂性。

3 移动网络的安全性

移动运营商的3G网络不仅暴露了病毒，同样针对手机的特定病毒和木马以及直接攻击，例如黑客和犯罪组织在他们的网络上的拒绝服务（DOS）攻击。对于这种类型的攻击，有线互联网服务供应商已经花了长期时间处理。这些攻击根据3G网络的结构和3G数据网络中使用的协议弱点也有相应的变异。为了保护网络和用户，移动运营商需要：（1）以整体架构的实施方式为网络出安全解决方案，单点解决方案是不行的。（2）在网络中部署各种安全产品，如防火墙、入侵检测与防护（IDP）和虚拟专用网络（VPN）。（3）制作客户端防病毒、防火墙软件，随时提供给使用终端设备的用户。（4）提高警惕，使用适当的安全策略反映出3G网络中的威胁。这是广泛的使用无线网络和基于IP多媒体系统（IMS）标准的网络总体发展的额外结果。（5）网络的安全在于最薄弱的环境。移动运营商、ISP社区和其他电信运营商需要相互合作来确保安全性。（6）大力保护信令，信令通过IP迁移创造了新的风险。移动运营商比有限运行商需要更多的信令流量，业务通信的关键是信令。

本文接下来将探讨以下主题：（1）为什么3G无线网络是脆弱的，这些脆弱性在什么地方。（2）针对这些网络可以做哪些类型的攻击。（3）部署什么样的产品可以帮助保护3G网络。（4）移动运营商将来的威胁，特别是关于目前正部署在世界各地固定的和移动的IMS。

最后，本文还提出了一些移动运营商可以采取的步骤，以尽量减少网络和用户的风险。蜂窝数据网络是脆弱的有以下几个原因：（1）移动运营商正在构建是基于因特网协议（IP）高速无线网络，其允许用户在联网时可以做更多。（2）移动运营商已经向公众互联网和其他数据网络开放了他们的网络，这样使他们的3G网络更容易受到攻击。（3）移动运营商把网络不断发展成IMS，使得所有在IP协议上网络都能相互连通。

具体的攻击移动网络的类型如表2所示。这里的安全含义是，很多用户设备通过多样化的网络访问内容和相互通信，在蜂窝网络中产生很多流量。这意味着，从任何目的源发生攻击的可能性很高。例如，许多复杂的攻击会伪装在自己的数据会话和端口流量中，与很多的正常流量在一起，就越难识别威胁。

4 保护移动网络的解决方案

对于移动运营商，第一步在自己的网络中击败攻击。这意味着实现网络的分层防御：（1）改变安全政策和做法，以更好地反映新的威胁。（2）专注。只要有可能，无线数据服务到数据中心的数据压缩到一个更小的数字。在欧洲的许多移动运营商已经采取这类措施来保护其核心网络。（3）在网络中通过技术和设备保护终端用户。例如，抗病毒、防火墙、内容扫描。（4）部署安全产品，如防火墙、虚拟专用网（VPN）和入侵检测与防护（IDP）。（5）提供数据包级、会话级和应用级的保护移动网络。

5 结语

分布式数据库安全在分布式数据库的设计和功能中是不可或缺的。分布式数据库的安全性有3个重要的部分：物理、用户和网络。这一系列策略、标准和程序要协同工作。策略支持目标方向。上述解决方案的目标必须放到一个分布式数据库上。此外，在该系统中不应该忽略人的因素和特点。因为使用该系统的用户，将会被认为是安全的有效因子。当然，我们也强调，只集中审查的项目是不够的，更高的安全性需要在实施过程中考虑一个合适的架构。