什么？黑莓亡了！（二）——大剖析！黑莓的独门秘籍：加密 ...

半毛钱

安全性：


上一篇的那个例子里，你就是发送数据的那一方，为了保证安全，BBM系统会获取你手机中SIM卡的PIN码（和网银U盾上的唯一标识码有些类似），作为你和你同学之间联系的私钥，然后根据你手机本身硬件的唯一串号——IMEI，生成一组公钥。


你公钥的内容是公开的，任何人都可以用你的公钥加密信息，然后把加密过的信息发送给你。

BBM系统的特色是，不但在你发送信息之前给你的信息用公钥加密，而且它还会帮你进一步压缩这段加密信息的体积，减轻了因信息体积挤占，信道的负担。

加密你发送的信息这一点还不够，BBM系统向BES总通讯平台发送加密信息的过程中，这段加密信息会被随机的分割成好几条细碎的片段，就像你在纸条上写下你和你同学约定好的，别人都不能猜解的暗语后，你会把这张纸条切成几张更小的纸条，然后分别揉成若干个纸团，分时发送。



这样，如果课堂上采用这种新手段传纸条的人多了起来，那些喜欢作死打报告的同学（中间人），可能第一秒收到的是A传给D加密信息的一个小分段，下一秒收到的是B传给C加密信息的一个小分段，况且这些小分段之间的信息已经被公钥加密过了，中间人没有正确的私钥，面对细碎的加密信息片段，他基本上是不可能靠监听截取，完全破译A与D、B与C之间的通信内容，更不可能假冒D或C之名，从中作梗，让A和B以为接收到的信息，是从D或C，其实是中间人发送来的了。

黑莓的技术人员宣称，他们使用了三重数据加密（DES）标准，或AES-256高级数据加密标准来保障用户的信息安全，这两种数据加密方式至今都没有有效的破解方法。

企业和政府用户可以向黑莓BES系统申请专门用于加密自己机构内部通信数据的安全口令，进一步增强内部人员用黑莓手机互发邮件、短信、通话的安全性。

加密信息和确认身份的问题解决了，通信通道这方面还有需要加强的空间。在同学座位上空抛纸条的方式实在有些过于显眼了，如果老师总是正对着全班同学的面，或是总有几个喜欢拦截掉你纸条的其他同学，会严重干扰你的通信效率。何不挖一条更安全的地道，比如穿过教室的地板，把你和你的同学连接起来？

So，黑莓手机能加入到「应急通道」的优势就显现出来了。这也是9·11时期，黑莓用户能够在灾区畅通拨打电话的关键。


黑莓BES和BIS（无加密版本的BES）服务架构图

在黑莓用户手机的APN设置里，有黑莓专门的BES服务连接方式。手机APN（Access Point
Name）是用来标识手机数据业务种类的一项参数，用户必须要正确配置这项参数才能上网。比如中国移动提供的两种接入方式分别是：CMWAP和CMNET。

中国联通提供的两种接入方式分别是：3GNET和UNINET。

打开你的手机「设置」功能，再点进「移动网络」一栏，就能找到相关选项。



目前，几乎所有手机都能根据用户插入的SIM卡类型，自动地配置相应的APN接入参数。这意味着用户连接到的是运营商默认配置的无线接入点。

和电脑宽带拨号上网一样，所谓手机网络接入点，同样是要让手机在正确的连接互联网之后拥有一个IP地址，2G世代的GPRS/GPRS EDGE（2.5G，2G技术的演化升级版），是靠PPP（Point to Point Protocol 点对点）协议，来给手机分配IP地址上网的。

PPP协议不但能够适应众多物理层协议（手机、基站、短信中心等），还能提供用户认证、计费管理等功能，是一项生来就是为了让手机接入网络而开发的协议。





嗯，热爱Google的同学，你听说过VPN（知乎小管家别来骚扰我）吗？知道VPN是怎么一回事的，理解BES特殊的代理网络接入点机制就会容易多了。

VPN（Virtual Private Network 虚拟专用网），是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法，它利用因特网里现有的网络协议来传输数据。但它有自己的一套加密通道协议，来提供身份验证、信息加密、信息准确性等功能。



你可以把它想象成一个：靠同一套加密通道协议组成的VPN网络，不论组成这个网络的各个设备遍布在全世界何处，它们都能组成一个信息传输足够安全的私有局域网里。

看到这里可能会有同学说：哦，是不是黑莓的BES系统给手机提供了一套可持续连接的，类似加密VPN的服务，来确保通讯信息的准确有效接收呢？

嗯，这说对了一部分。黑莓的BES连接比需要建立在宽带商上建立连接的VPN更高级，黑莓为自己的用户单独搭建了一条私有通道，这条私有通道是独立于运营商的通信通道而存在的。



这就意味着黑莓需要部署一套私有的、庞大的移动通信网络，专门为黑莓手机用户提供信息连接服务，这套私有网络是不对外开放的，而且更安全，为黑莓用户之间的联系提供了有效保障。

具体而言，以中国移动用户的CMWAP和CMNET上网模式为例，谈谈黑莓BES系统的独特的通道模式：

CMWAP和CMNET的「CM」前缀均指「China Mobile（中国移动）」，那么我们要探讨的其实就是WAP和NET这两种接入模式。移动人为的将GPRS应用模式分割成WAP和NET，事实上，WAP模式和NET模式是同一种接入GPRS网络的方式。

WAP应用模式是专为手机接入GPRS上网而设计的，它更像是NET模式的阉割版。WAP采用的是「终端（手机）——WAP网关——WAP服务器」模式。



一般在电脑上可以用http协议访问的网站都会有支持WAP协议访问的服务器，并且存放在WAP服务器里的网站会针对手机显示效果做出改版，缩减页面文件、优化页面布局，以适应手机访问。

在中国移动的网络里，WAP网关是由中国移动搭建并运营的，它的IP地址是10.0.0.172，相比局域网网关，WAP做了大幅精简，只提供http代理的功能，不提供路由、NAT等高级功能。



下面简短解释下路由和NAT的概念：

路由功能就是指连接各个终端（A、B、C……）的网关，在A终端发起和B终端通信时，为A终端提供一条连接B终端最短捷径的功能。



NAT又指IP掩蔽，可以将局域网里的一组IP地址池和公网的IP地址池做转换。它的高级版本：网络地址端口转换（NAPT），可以将同一个公网IP地址中不同的端口，映射到局域网的一系列IP地址中，NAPT有效解决了国内公网IPV4地址资源枯竭的问题。


WAP模式只允许用户访问GPRS网络内的IP（10.X.X.X系列），用户不能通过路由功能访问到网络，用户访问网络的方式只有直连GPRS内的网络，或是经过WAP网关代理的http网站。该模式下你如果直接用「ping」命令去ping搜狐、网易等网站，是ping不通的。

WAP应用模式会对用户使用非http协议的通讯软件有限制，比如MSN、QQ等。

NET连接模式是专为PC、笔记本电脑、平板电脑设计的连接模式，使上述设备可以通过GPRS连接到网络，NET模式拥有完整的Internet协议支持功能，是WAP模式的满血版。



CMWAP模式和CMNET模式的资费有所区别，在套餐里有不同的规定。

黑莓提供的私有通道从设计上来说，和NET有些类似，因为黑莓的手机需要完整的支持各种互联网连接协议，尤其是和邮件客户端有关的POP3、IMAP协议，功能残缺的WAP模式是不能满足其需要的。

还记得NAT和NAPT功能的特点吧，其实黑莓需要解决的，不只是万物互联后，IPV4地址分配不够的问题。而且通过NAT和NAPT上网的设备，和直接获得一个公网地址，访问网络的设备之间的区别是：

• 有公网IP，并和互联网里其他设备（B）保持连接的设备（A），不但能访问对方（B），也能被互联网中的其他设备（B）访问。
  

• 通过NAT或NAPT地址转换，访问互联网的设备（A），其他设备（B）只能追溯到为这台设备（A）提供网络地址转换服务的网关（C），（B）没有办法继续解析到（A）的地址，即互联网上的其他电脑是无法直接访问到这部黑莓手机的。
  

综上所述，黑莓采用的这些技术，想做得不安全都很难了：

1. 黑莓是借着运营商的信息通道，为黑莓用户建立的一条私有的网络接入通道，只要用户选择用黑莓私有的接入点，那么数据会直接传送到黑莓BES的IP地址，再由黑莓BES转递给其他黑莓用户。

除了借用了合作运营商的带宽和部分网络通信资源外，运营商是无权干涉、监听、窃取黑莓用户（A）——黑莓BES——黑莓用户（B）之间，任何一条通道的通信内容的。



2. 黑莓选择了功能更加完整的NET传输模式，为满足用户通过各种传送协议收发消息的需求，提供了强有力的保障。加入了网络地址转换技术，外网黑客很难直接攻击到接入网络的黑莓设备，配合极难被破解的数字加密标准和数据压缩、分包传输等技术，发生在黑莓手机上的通讯泄露的事件，似乎从未出现过。

爱夜星空

首赞(*σ´∀`)σ上一篇都是干货呀

大眼明明

passport用户前来支持

宿迁名人健身

以前上课密码学老师说，DES现在已经很容易被破译了呢。我们还动手用c++做过des的加密程序

中国我爱你

关键时效问题，你要做到在这条信息没失效前才有用

鱼尾文

干货。

张书丰

干货满满啊，之前一直都是略有了解，今天弄清楚了

翼展

看来丢在抽屉的passport又能继续用了

谁把我网名改了

那黑莓出的安卓系统的有没有这种话加密功能呢

好几度

所以用的是三重des，这个是目前还没破解的