tombkeeper2015-06-20 18:34Open options咱们在硬件和无线上还处于主要跟洋人学的阶段,技术披露对社区建设的重要性不言而喻。就技术本身争论,甚至争一争到底谁更厉害,都无害。但争高低也是要基于各显身手,所以千万别被人带到沟里,把早有共识的“是否应披露安全问题”再拿出来争。这是 THC 在 4 年前公开的文档:网页链接。 详情
tombkeeper2015-06-20 17:36Open options回复@熊猫阿B0: 从实际可能的危害看,Karma 早已被黑产用于偷信用卡,而 Femtocell 受制于局端,滥用行为易发现易抓人,所以虽然国外提出相关思路已有 7 年,THC 公布具体细节到现在也有 4 年,却没见到商业级滥用案例。tombkeeper2015-06-20 08:20被tk转发2次Open optionsFemtocell 的问题,理论上,是不是可以对每台 FAP 的 FEID 绑定几个家庭成员的 IMSI,在 Femto-AAA 上检查 IMSI-FEID 是否匹配,如果不是则令鉴权失败?如考虑访客的接入需求,可在绑定的 IMSI 基础上加一个每 FAP 每天接入 IMSI 总数的限额。这样至少可避免商业级别的滥用。 详情
tombkeeper2015-06-20 10:44Open options回复@熊猫阿B0: 运营商的技术规范有相关功能描述。所以,除做好设备侧安全以实现纵深防御,安全的核心还是在局端,所以实际不太可能像 2G 伪基站那样用于大规模群发短信滥用,主要威胁还是有目标攻击,公开相关研究并不比公开 Karma 技术更不负责任,对吧?tombkeeper2015-06-20 08:20被tk转发2次Open optionsFemtocell 的问题,理论上,是不是可以对每台 FAP 的 FEID 绑定几个家庭成员的 IMSI,在 Femto-AAA 上检查 IMSI-FEID 是否匹配,如果不是则令鉴权失败?如考虑访客的接入需求,可在绑定的 IMSI 基础上加一个每 FAP 每天接入 IMSI 总数的限额。这样至少可避免商业级别的滥用。 详情