什麼?黑莓亡了!(二)——大剖析!黑莓的獨門秘籍:加密通信

安全性:

上一篇的那個例子里,你就是發送數據的那一方,為了保證安全,BBM系統會獲取你手機中SIM卡的PIN碼(和網銀U盾上的唯一標識碼有些類似),作為你和你同學之間聯繫的私鑰,然後根據你手機本身硬體的唯一串號——IMEI,生成一組公鑰。

你公鑰的內容是公開的,任何人都可以用你的公鑰加密信息,然後把加密過的信息發送給你。

BBM系統的特色是,不但在你發送信息之前給你的信息用公鑰加密,而且它還會幫你進一步壓縮這段加密信息的體積,減輕了因信息體積擠占,信道的負擔。

加密你發送的信息這一點還不夠,BBM系統向BES總通訊平台發送加密信息的過程中,這段加密信息會被隨機的分割成好幾條細碎的片段,就像你在紙條上寫下你和你同學約定好的,別人都不能猜解的暗語後,你會把這張紙條切成幾張更小的紙條,然後分別揉成若干個紙團,分時發送。

這樣,如果課堂上採用這種新手段傳紙條的人多了起來,那些喜歡作死打報告的同學(中間人),可能第一秒收到的是A傳給D加密信息的一個小分段,下一秒收到的是B傳給C加密信息的一個小分段,況且這些小分段之間的信息已經被公鑰加密過了,中間人沒有正確的私鑰,面對細碎的加密信息片段,他基本上是不可能靠監聽截取,完全破譯A與D、B與C之間的通信內容,更不可能假冒D或C之名,從中作梗,讓A和B以為接收到的信息,是從D或C,其實是中間人發送來的了。

黑莓的技術人員宣稱,他們使用了三重數據加密(DES)標準,或AES-256高級數據加密標準來保障用戶的信息安全,這兩種數據加密方式至今都沒有有效的破解方法。

企業和政府用戶可以向黑莓BES系統申請專門用於加密自己機構內部通信數據的安全口令,進一步增強內部人員用黑莓手機互發郵件、簡訊、通話的安全性。

加密信息和確認身份的問題解決了,通信通道這方面還有需要加強的空間。在同學座位上空拋紙條的方式實在有些過於顯眼了,如果老師總是正對著全班同學的面,或是總有幾個喜歡攔截掉你紙條的其他同學,會嚴重干擾你的通信效率。何不挖一條更安全的地道,比如穿過教室的地板,把你和你的同學連接起來?

So,黑莓手機能加入到「應急通道」的優勢就顯現出來了。這也是9·11時期,黑莓用戶能夠在災區暢通撥打電話的關鍵。

黑莓BES和BIS(無加密版本的BES)服務架構圖

在黑莓用戶手機的APN設置里,有黑莓專門的BES服務連接方式。手機APN(Access Point

Name)是用來標識手機數據業務種類的一項參數,用戶必須要正確配置這項參數才能上網。比如中國移動提供的兩種接入方式分別是:CMWAP和CMNET。

中國聯通提供的兩種接入方式分別是:3GNET和UNINET。

打開你的手機「設置」功能,再點進「移動網路」一欄,就能找到相關選項。

目前,幾乎所有手機都能根據用戶插入的SIM卡類型,自動地配置相應的APN接入參數。這意味著用戶連接到的是運營商默認配置的無線接入點。

和電腦寬頻撥號上網一樣,所謂手機網路接入點,同樣是要讓手機在正確的連接互聯網之後擁有一個IP地址,2G世代的GPRS/GPRS EDGE(2.5G,2G技術的演化升級版),是靠PPP(Point to Point Protocol 點對點)協議,來給手機分配IP地址上網的。

PPP協議不但能夠適應眾多物理層協議(手機、基站、簡訊中心等),還能提供用戶認證、計費管理等功能,是一項生來就是為了讓手機接入網路而開發的協議。

嗯,熱愛Google的同學,你聽說過VPN(知乎小管家別來騷擾我)嗎?知道VPN是怎麼一回事的,理解BES特殊的代理網路接入點機制就會容易多了。

VPN(Virtual Private Network 虛擬專用網),是一種常用於連接中、大型企業或團體與團體間的私人網路的通訊方法,它利用網際網路里現有的網路協議來傳輸數據。但它有自己的一套加密通道協議,來提供身份驗證、信息加密、信息準確性等功能。

你可以把它想像成一個:靠同一套加密通道協議組成的VPN網路,不論組成這個網路的各個設備遍布在全世界何處,它們都能組成一個信息傳輸足夠安全的私有區域網里。

看到這裡可能會有同學說:哦,是不是黑莓的BES系統給手機提供了一套可持續連接的,類似加密VPN的服務,來確保通訊信息的準確有效接收呢?

嗯,這說對了一部分。黑莓的BES連接比需要建立在寬頻商上建立連接的VPN更高級,黑莓為自己的用戶單獨搭建了一條私有通道,這條私有通道是獨立於運營商的通信通道而存在的。

這就意味著黑莓需要部署一套私有的、龐大的移動通信網路,專門為黑莓手機用戶提供信息連接服務,這套私有網路是不對外開放的,而且更安全,為黑莓用戶之間的聯繫提供了有效保障。

具體而言,以中國移動用戶的CMWAP和CMNET上網模式為例,談談黑莓BES系統的獨特的通道模式:

CMWAP和CMNET的「CM」前綴均指「China Mobile(中國移動)」,那麼我們要探討的其實就是WAP和NET這兩種接入模式。移動人為的將GPRS應用模式分割成WAP和NET,事實上,WAP模式和NET模式是同一種接入GPRS網路的方式。

WAP應用模式是專為手機接入GPRS上網而設計的,它更像是NET模式的閹割版。WAP採用的是「終端(手機)——WAP網關——WAP伺服器」模式。

一般在電腦上可以用http協議訪問的網站都會有支持WAP協議訪問的伺服器,並且存放在WAP伺服器里的網站會針對手機顯示效果做出改版,縮減頁面文件、優化頁面布局,以適應手機訪問。

在中國移動的網路里,WAP網關是由中國移動搭建並運營的,它的IP地址是10.0.0.172,相比區域網網關,WAP做了大幅精簡,只提供http代理的功能,不提供路由、NAT等高級功能。

下面簡短解釋下路由和NAT的概念:

路由功能就是指連接各個終端(A、B、C……)的網關,在A終端發起和B終端通信時,為A終端提供一條連接B終端最短捷徑的功能。

NAT又指IP掩蔽,可以將區域網里的一組IP地址池和公網的IP地址池做轉換。它的高級版本:網路地址埠轉換(NAPT),可以將同一個公網IP地址中不同的埠,映射到區域網的一系列IP地址中,NAPT有效解決了國內公網IPV4地址資源枯竭的問題。

WAP模式只允許用戶訪問GPRS網路內的IP(10.X.X.X系列),用戶不能通過路由功能訪問到網路,用戶訪問網路的方式只有直連GPRS內的網路,或是經過WAP網關代理的http網站。該模式下你如果直接用「ping」命令去ping搜狐、網易等網站,是ping不通的。

WAP應用模式會對用戶使用非http協議的通訊軟體有限制,比如MSN、QQ等。

NET連接模式是專為PC、筆記本電腦、平板電腦設計的連接模式,使上述設備可以通過GPRS連接到網路,NET模式擁有完整的Internet協議支持功能,是WAP模式的滿血版。

CMWAP模式和CMNET模式的資費有所區別,在套餐里有不同的規定。

黑莓提供的私有通道從設計上來說,和NET有些類似,因為黑莓的手機需要完整的支持各種互聯網連接協議,尤其是和郵件客戶端有關的POP3、IMAP協議,功能殘缺的WAP模式是不能滿足其需要的。

還記得NAT和NAPT功能的特點吧,其實黑莓需要解決的,不只是萬物互聯後,IPV4地址分配不夠的問題。而且通過NAT和NAPT上網的設備,和直接獲得一個公網地址,訪問網路的設備之間的區別是:

  • 有公網IP,並和互聯網裡其他設備(B)保持連接的設備(A),不但能訪問對方(B),也能被互聯網中的其他設備(B)訪問。
  • 通過NAT或NAPT地址轉換,訪問互聯網的設備(A),其他設備(B)只能追溯到為這台設備(A)提供網路地址轉換服務的網關(C),(B)沒有辦法繼續解析到(A)的地址,即互聯網上的其他電腦是無法直接訪問到這部黑莓手機的。

綜上所述,黑莓採用的這些技術,想做得不安全都很難了:

1. 黑莓是借著運營商的信息通道,為黑莓用戶建立的一條私有的網路接入通道,只要用戶選擇用黑莓私有的接入點,那麼數據會直接傳送到黑莓BES的IP地址,再由黑莓BES轉遞給其他黑莓用戶。

除了借用了合作運營商的帶寬和部分網路通信資源外,運營商是無權干涉、監聽、竊取黑莓用戶(A)——黑莓BES——黑莓用戶(B)之間,任何一條通道的通信內容的。

2. 黑莓選擇了功能更加完整的NET傳輸模式,為滿足用戶通過各種傳送協議收發消息的需求,提供了強有力的保障。加入了網路地址轉換技術,外網黑客很難直接攻擊到接入網路的黑莓設備,配合極難被破解的數字加密標準和數據壓縮、分包傳輸等技術,發生在黑莓手機上的通訊泄露的事件,似乎從未出現過。


推薦閱讀:

See you again,Blackberry!
黑莓BlackBerry_Bold9000標本製作
小米能否避開死亡螺旋?

TAG:Blackberry黑莓 | 加密 | 计算机网络 |