目前�,利用安全漏洞犯罪的案件有很多��。普華永道公司受英國貿(mào)易與工業(yè)部委托進行的一項調(diào)查顯示��,英國去年由于安全問題而導致的損失達到了180億美元,比兩年前增加了約50%��。越來越多的數(shù)據(jù)顯示���,無線安全問題造成的損失一直在增長�。越來越多的企業(yè)��、用戶已經(jīng)意識到無線安全問題的嚴重性��。
在無線通信中���,主要的安全技術(shù)有兩種���,即信息加密技術(shù)和身份認證技術(shù)。
由于無線信道是開放的��,所以不能依靠信道的安全來保護信息�,必須假設(shè)入侵者可以獲得信道中傳輸?shù)膬?nèi)容,所以要通過加密技術(shù)對信息進行保護�。由于無線信道的開放性���,每個合法用戶與服務網(wǎng)絡(luò)之間沒有固定的線路連接�,同時還要支持全球漫游,所以身份認證是一項非常重要的工作�。
主流無線技術(shù)的安全機制
短距離無線通信(包括UWB、藍牙��、RFID等)���、無線局域網(wǎng)(WLAN)��、無線城域網(wǎng)(WiMAX)��、無線廣域網(wǎng)(包括WCDMA��、CDMA2000���、TD-SCDMA等)的安全標準已陸續(xù)出臺。
無線射頻識別技術(shù)(RFID)又稱為電子標簽技術(shù)���,是20世紀90年代興起的一項自動識別技術(shù)���。目前廣泛使用的無源RFID系統(tǒng)還沒有非常可靠的安全機制���,無法對數(shù)據(jù)進行很好的保密�。RFID數(shù)據(jù)很容易受到攻擊,主要是因為RFID芯片本身以及芯片在讀或?qū)憯?shù)據(jù)的過程中很容易被黑客利用���。
藍牙技術(shù)是一種有關(guān)無線數(shù)據(jù)與語音通信的開放性全球規(guī)范��,以低成本的近距離無線連接為基礎(chǔ)���,為固定與移動設(shè)備通信環(huán)境建立一個特別的連接。藍牙采取的安全機制適用于對等通信�,即雙方以相同方式實現(xiàn)認證與加密規(guī)程。藍牙采用的跳頻技術(shù)在一定程度上提供了一道安全保障��,同時��,藍牙系統(tǒng)在應用層和鏈路層還設(shè)置了較可靠的安全管理機制���。例如�,鏈路層使用4個實體提供安全性�,包括一個公開的長度為48bit的藍牙設(shè)備地址、長度為128bit的認證密鑰��、長度為8bit~128bit的加密密鑰和長度為128bit的隨機數(shù)���。從這些密鑰的長度可以看出���,藍牙技術(shù)的安全性還是有保障的。
但是���,現(xiàn)有藍牙安全機制也存在兩個主要問題:一是單元密鑰的使用問題��,在鑒權(quán)和加密過程中��,由于單元密鑰沒有改變�,第三方可利用此密鑰來竊取信息�;另一個是藍牙單元提供的個人識別碼(PIN碼)的不安全問題,由于大多數(shù)應用中PIN碼是由4位十進制數(shù)組成���,所以采用窮舉法很容易攻擊成功��。
WLAN采用無線通信技術(shù)代替?zhèn)鹘y(tǒng)電纜���,并提供傳統(tǒng)有線局域網(wǎng)能提供的功能。其安全機制主要包括以下幾方面�。
第一,使用MAC地址訪問列表�,每個無線工作站網(wǎng)卡都具有惟一的物理地址標識,因此可以通過手工維護AP(接入點)中的一組允許訪問或不允許訪問的MAC地址列表���,實現(xiàn)物理地址過濾�。物理地址過濾屬于硬件認證,不是用戶認證���,如果增加用戶��,就需要在MAC地址列表中手工添加用戶的MAC地址�。MAC地址列表需要隨時更新��,目前都是采用手工維護方式��。這種方式的擴展能力很差���,只適用于小型無線網(wǎng)絡(luò)�。
第二��,采用加密手段���。盡管WEP(有線等效加密)已被證明是比較脆弱的��,但是采用加密方式比明文傳播還是要安全一些�。另外,用戶也可以采用TKIP(臨時密鑰完整性協(xié)議)技術(shù)替代現(xiàn)有的簡單WEP加密技術(shù)�。這種方式的優(yōu)勢在于不需要更換全部硬件設(shè)備��,僅僅通過更新驅(qū)動程序和軟件就可以實現(xiàn)。此外��,對于有高安全性要求或大型的無線網(wǎng)絡(luò)���,VPN(虛擬專用網(wǎng)絡(luò))方案是一個更好的選擇。
WiMAX是基于IEEE 802.16系列寬頻無線標準的寬帶無線技術(shù)���,可以替代現(xiàn)有的有線和DSL連接方式��。
目前��,IEEE 802.16存在著巨大的安全隱患��。WiMAX只能提供單向認證��,而且密鑰的質(zhì)量不高���,還可能產(chǎn)生漏洞。另外���,WiMAX還存在管理協(xié)商漏洞��,即管理幀協(xié)商交互過程的安全性不夠��。
WCDMA���、CDMA200以及TD-SCDMA是第三代移動通信系統(tǒng)的主流技術(shù)���。其中,WCDMA和TD-SCDMA的安全規(guī)范由3GPP組織制定�。CDMA2000的安全規(guī)范由以北美為首的3GPP2組織制定。從算法角度看���,3GPP和3GPP2允許將比較弱的加密算法標準化���。
在3G中引入無線公鑰基礎(chǔ)設(shè)施(WPKI)標準,其內(nèi)容涉及WPKI的運作方式��、WPKI如何與現(xiàn)行的公鑰基礎(chǔ)設(shè)施(PKI)服務相結(jié)合等���。WPKI中定義了三種不同的通信安全模式��。在證書編碼方面��,WPKI證書格式盡量減少常規(guī)證書所需的存儲量��。
證書編碼的機制有兩種:一是重新定義一種證書格式��,以減少X.509證書的尺寸�;二是采用橢圓曲線(ECC)算法,減少證書的尺寸�。在相同安全強度下,ECC密鑰的長度比其他算法的密鑰要短得多��。WPKI還在工程任務組(IETF)公鑰基礎(chǔ)設(shè)施X.509證書(PKIX)中限制了一個數(shù)據(jù)區(qū)的尺寸��。由于WPKI證書是PKIX證書的一個分支�,因此還要考慮與PKI之間的互通性��。
但是�,3G網(wǎng)絡(luò)在安全性方面仍然不夠完善,如不能防止用戶或網(wǎng)絡(luò)否認曾進行過的行為��,入侵者通過對網(wǎng)絡(luò)服務的干擾或濫用��,可導致系統(tǒng)拒絕服務或系統(tǒng)服務質(zhì)量降低等��。
安全決定商業(yè)化
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,無線網(wǎng)絡(luò)也在向著多樣化、寬帶化、智能化和安全化的方向發(fā)展���。其中�,安全問題成了無線通信網(wǎng)絡(luò)能否大規(guī)模商業(yè)化的關(guān)鍵點�。基于上面的分析可以看出�,無線技術(shù)在安全問題上或多或少都存在一些缺陷或漏洞,這使得研究未來無線通信中的安全機制顯得特別重要���。
隨著科技的發(fā)展���,攻擊與安全機制的改進幾乎是同步的。為了保證用戶傳輸信息的保密性�、完整性、可用性���、可控性和不可否認性��,要求未來移動通信安全機制向著健壯化��、透明化���、科學化和個性化方向發(fā)展。
幾種無線技術(shù)的安全機制比較
鏈 接:無線通信安全機制的發(fā)展方向
由私鑰密碼體制向混合密碼體制轉(zhuǎn)變是未來無線通信安全機制的發(fā)展方向之一���。
未來的移動通信系統(tǒng)將針對不同的安全特征和服務���,采用私鑰密碼體制和公鑰密碼體制相混合的體制,充分利用這兩種體制的優(yōu)點���。
3G的整個安全體系仍是建立在假定網(wǎng)絡(luò)內(nèi)部絕對安全的基礎(chǔ)之上��,當用戶漫游時��,核心網(wǎng)絡(luò)之間假定相互信任,鑒權(quán)中心依附于交換子系統(tǒng)�。
隨著移動通信標準化的發(fā)展,終端在不同運營商甚至異種網(wǎng)絡(luò)之間的漫游也會成為可能��,因此應增加核心網(wǎng)之間的安全認證機制�。隨著移動電子商務的廣泛應用,更應盡量減少或避免網(wǎng)絡(luò)內(nèi)部人員的干預�。未來的安全中心應能獨立于系統(tǒng)設(shè)備,具有開放的接口,能獨立地完成雙向鑒權(quán)���、端到端數(shù)據(jù)加密等功能�。
隨著密碼學的發(fā)展以及移動終端處理能力的提高,新的密碼技術(shù)�,如量子密碼、橢圓曲線密碼以及生物識別等技術(shù)將在移動通信系統(tǒng)中獲得廣泛應用�。
加密算法和認證算法自身的抗攻擊能力更強大,可以保證傳輸信息的保密性�、完整性、可用性�、可控性和不可否認性。移動通信網(wǎng)絡(luò)的安全要體現(xiàn)面向用戶的理念���。用戶能自己選擇所要的保密級別��,安全參數(shù)既可由網(wǎng)絡(luò)默認���,也可由用戶設(shè)定。
