什麼？黑莓亡了！（二）——大剖析！黑莓的獨門秘籍：加密通信

安全性：

上一篇的那個例子里，你就是發送數據的那一方，為了保證安全，BBM系統會獲取你手機中SIM卡的PIN碼（和網銀U盾上的唯一標識碼有些類似），作為你和你同學之間聯繫的私鑰，然後根據你手機本身硬體的唯一串號——IMEI，生成一組公鑰。

你公鑰的內容是公開的，任何人都可以用你的公鑰加密信息，然後把加密過的信息發送給你。

BBM系統的特色是，不但在你發送信息之前給你的信息用公鑰加密，而且它還會幫你進一步壓縮這段加密信息的體積，減輕了因信息體積擠占，信道的負擔。

加密你發送的信息這一點還不夠，BBM系統向BES總通訊平台發送加密信息的過程中，這段加密信息會被隨機的分割成好幾條細碎的片段，就像你在紙條上寫下你和你同學約定好的，別人都不能猜解的暗語後，你會把這張紙條切成幾張更小的紙條，然後分別揉成若干個紙團，分時發送。

這樣，如果課堂上採用這種新手段傳紙條的人多了起來，那些喜歡作死打報告的同學（中間人），可能第一秒收到的是A傳給D加密信息的一個小分段，下一秒收到的是B傳給C加密信息的一個小分段，況且這些小分段之間的信息已經被公鑰加密過了，中間人沒有正確的私鑰，面對細碎的加密信息片段，他基本上是不可能靠監聽截取，完全破譯A與D、B與C之間的通信內容，更不可能假冒D或C之名，從中作梗，讓A和B以為接收到的信息，是從D或C，其實是中間人發送來的了。

黑莓的技術人員宣稱，他們使用了三重數據加密（DES）標準，或AES-256高級數據加密標準來保障用戶的信息安全，這兩種數據加密方式至今都沒有有效的破解方法。

企業和政府用戶可以向黑莓BES系統申請專門用於加密自己機構內部通信數據的安全口令，進一步增強內部人員用黑莓手機互發郵件、簡訊、通話的安全性。

加密信息和確認身份的問題解決了，通信通道這方面還有需要加強的空間。在同學座位上空拋紙條的方式實在有些過於顯眼了，如果老師總是正對著全班同學的面，或是總有幾個喜歡攔截掉你紙條的其他同學，會嚴重干擾你的通信效率。何不挖一條更安全的地道，比如穿過教室的地板，把你和你的同學連接起來？

So，黑莓手機能加入到「應急通道」的優勢就顯現出來了。這也是9·11時期，黑莓用戶能夠在災區暢通撥打電話的關鍵。

黑莓BES和BIS（無加密版本的BES）服務架構圖

在黑莓用戶手機的APN設置里，有黑莓專門的BES服務連接方式。手機APN（Access Point

中國聯通提供的兩種接入方式分別是：3GNET和UNINET。

打開你的手機「設置」功能，再點進「移動網路」一欄，就能找到相關選項。

目前，幾乎所有手機都能根據用戶插入的SIM卡類型，自動地配置相應的APN接入參數。這意味著用戶連接到的是運營商默認配置的無線接入點。

和電腦寬頻撥號上網一樣，所謂手機網路接入點，同樣是要讓手機在正確的連接互聯網之後擁有一個IP地址，2G世代的GPRS/GPRS EDGE（2.5G，2G技術的演化升級版），是靠PPP（Point to Point Protocol 點對點）協議，來給手機分配IP地址上網的。

PPP協議不但能夠適應眾多物理層協議（手機、基站、簡訊中心等），還能提供用戶認證、計費管理等功能，是一項生來就是為了讓手機接入網路而開發的協議。

嗯，熱愛Google的同學，你聽說過VPN（知乎小管家別來騷擾我）嗎？知道VPN是怎麼一回事的，理解BES特殊的代理網路接入點機制就會容易多了。

VPN（Virtual Private Network 虛擬專用網），是一種常用於連接中、大型企業或團體與團體間的私人網路的通訊方法，它利用網際網路里現有的網路協議來傳輸數據。但它有自己的一套加密通道協議，來提供身份驗證、信息加密、信息準確性等功能。

你可以把它想像成一個：靠同一套加密通道協議組成的VPN網路，不論組成這個網路的各個設備遍布在全世界何處，它們都能組成一個信息傳輸足夠安全的私有區域網里。

看到這裡可能會有同學說：哦，是不是黑莓的BES系統給手機提供了一套可持續連接的，類似加密VPN的服務，來確保通訊信息的準確有效接收呢？

嗯，這說對了一部分。黑莓的BES連接比需要建立在寬頻商上建立連接的VPN更高級，黑莓為自己的用戶單獨搭建了一條私有通道，這條私有通道是獨立於運營商的通信通道而存在的。

這就意味著黑莓需要部署一套私有的、龐大的移動通信網路，專門為黑莓手機用戶提供信息連接服務，這套私有網路是不對外開放的，而且更安全，為黑莓用戶之間的聯繫提供了有效保障。

具體而言，以中國移動用戶的CMWAP和CMNET上網模式為例，談談黑莓BES系統的獨特的通道模式：

CMWAP和CMNET的「CM」前綴均指「China Mobile（中國移動）」，那麼我們要探討的其實就是WAP和NET這兩種接入模式。移動人為的將GPRS應用模式分割成WAP和NET，事實上，WAP模式和NET模式是同一種接入GPRS網路的方式。

WAP應用模式是專為手機接入GPRS上網而設計的，它更像是NET模式的閹割版。WAP採用的是「終端（手機）——WAP網關——WAP伺服器」模式。

一般在電腦上可以用http協議訪問的網站都會有支持WAP協議訪問的伺服器，並且存放在WAP伺服器里的網站會針對手機顯示效果做出改版，縮減頁面文件、優化頁面布局，以適應手機訪問。

在中國移動的網路里，WAP網關是由中國移動搭建並運營的，它的IP地址是10.0.0.172，相比區域網網關，WAP做了大幅精簡，只提供http代理的功能，不提供路由、NAT等高級功能。

下面簡短解釋下路由和NAT的概念：

路由功能就是指連接各個終端（A、B、C……）的網關，在A終端發起和B終端通信時，為A終端提供一條連接B終端最短捷徑的功能。

NAT又指IP掩蔽，可以將區域網里的一組IP地址池和公網的IP地址池做轉換。它的高級版本：網路地址埠轉換（NAPT），可以將同一個公網IP地址中不同的埠，映射到區域網的一系列IP地址中，NAPT有效解決了國內公網IPV4地址資源枯竭的問題。

WAP模式只允許用戶訪問GPRS網路內的IP（10.X.X.X系列），用戶不能通過路由功能訪問到網路，用戶訪問網路的方式只有直連GPRS內的網路，或是經過WAP網關代理的http網站。該模式下你如果直接用「ping」命令去ping搜狐、網易等網站，是ping不通的。

WAP應用模式會對用戶使用非http協議的通訊軟體有限制，比如MSN、QQ等。

NET連接模式是專為PC、筆記本電腦、平板電腦設計的連接模式，使上述設備可以通過GPRS連接到網路，NET模式擁有完整的Internet協議支持功能，是WAP模式的滿血版。

CMWAP模式和CMNET模式的資費有所區別，在套餐里有不同的規定。

黑莓提供的私有通道從設計上來說，和NET有些類似，因為黑莓的手機需要完整的支持各種互聯網連接協議，尤其是和郵件客戶端有關的POP3、IMAP協議，功能殘缺的WAP模式是不能滿足其需要的。

還記得NAT和NAPT功能的特點吧，其實黑莓需要解決的，不只是萬物互聯後，IPV4地址分配不夠的問題。而且通過NAT和NAPT上網的設備，和直接獲得一個公網地址，訪問網路的設備之間的區別是：

• 有公網IP，並和互聯網裡其他設備（B）保持連接的設備（A），不但能訪問對方（B），也能被互聯網中的其他設備（B）訪問。

• 通過NAT或NAPT地址轉換，訪問互聯網的設備（A），其他設備（B）只能追溯到為這台設備（A）提供網路地址轉換服務的網關（C），（B）沒有辦法繼續解析到（A）的地址，即互聯網上的其他電腦是無法直接訪問到這部黑莓手機的。

綜上所述，黑莓採用的這些技術，想做得不安全都很難了：

1. 黑莓是借著運營商的信息通道，為黑莓用戶建立的一條私有的網路接入通道，只要用戶選擇用黑莓私有的接入點，那麼數據會直接傳送到黑莓BES的IP地址，再由黑莓BES轉遞給其他黑莓用戶。

除了借用了合作運營商的帶寬和部分網路通信資源外，運營商是無權干涉、監聽、竊取黑莓用戶（A）——黑莓BES——黑莓用戶（B）之間，任何一條通道的通信內容的。

2. 黑莓選擇了功能更加完整的NET傳輸模式，為滿足用戶通過各種傳送協議收發消息的需求，提供了強有力的保障。加入了網路地址轉換技術，外網黑客很難直接攻擊到接入網路的黑莓設備，配合極難被破解的數字加密標準和數據壓縮、分包傳輸等技術，發生在黑莓手機上的通訊泄露的事件，似乎從未出現過。