论文部分内容阅读
目前,利用安全漏洞犯罪的案件有很多。普华永道公司受英国贸易与工业部委托进行的一项调查显示,英国去年由于安全问题而导致的损失达到了180亿美元,比两年前增加了约50%。越来越多的数据显示,无线安全问题造成的损失一直在增长。越来越多的企业、用户已经意识到无线安全问题的严重性。
在无线通信中,主要的安全技术有两种,即信息加密技术和身份认证技术。
由于无线信道是开放的,所以不能依靠信道的安全来保护信息,必须假设入侵者可以获得信道中传输的内容,所以要通过加密技术对信息进行保护。由于无线信道的开放性,每个合法用户与服务网络之间没有固定的线路连接,同时还要支持全球漫游,所以身份认证是一项非常重要的工作。
主流无线技术的安全机制
短距离无线通信(包括UWB、蓝牙、RFID等)、无线局域网(WLAN)、无线城域网(WiMAX)、无线广域网(包括WCDMA、CDMA2000、TD-SCDMA等)的安全标准已陆续出台。
无线射频识别技术(RFID)又称为电子标签技术,是20世纪90年代兴起的一项自动识别技术。目前广泛使用的无源RFID系统还没有非常可靠的安全机制,无法对数据进行很好的保密。RFID数据很容易受到攻击,主要是因为RFID芯片本身以及芯片在读或写数据的过程中很容易被黑客利用。
蓝牙技术是一种有关无线数据与语音通信的开放性全球规范,以低成本的近距离无线连接为基础,为固定与移动设备通信环境建立一个特别的连接。蓝牙采取的安全机制适用于对等通信,即双方以相同方式实现认证与加密规程。蓝牙采用的跳频技术在一定程度上提供了一道安全保障,同时,蓝牙系统在应用层和链路层还设置了较可靠的安全管理机制。例如,链路层使用4个实体提供安全性,包括一个公开的长度为48bit的蓝牙设备地址、长度为128bit的认证密钥、长度为8bit~128bit的加密密钥和长度为128bit的随机数。从这些密钥的长度可以看出,蓝牙技术的安全性还是有保障的。
但是,现有蓝牙安全机制也存在两个主要问题:一是单元密钥的使用问题,在鉴权和加密过程中,由于单元密钥没有改变,第三方可利用此密钥来窃取信息;另一个是蓝牙单元提供的个人识别码(PIN码)的不安全问题,由于大多数应用中PIN码是由4位十进制数组成,所以采用穷举法很容易攻击成功。
WLAN采用无线通信技术代替传统电缆,并提供传统有线局域网能提供的功能。其安全机制主要包括以下几方面。
第一,使用MAC地址访问列表,每个无线工作站网卡都具有惟一的物理地址标识,因此可以通过手工维护AP(接入点)中的一组允许访问或不允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,不是用户认证,如果增加用户,就需要在MAC地址列表中手工添加用户的MAC地址。MAC地址列表需要随时更新,目前都是采用手工维护方式。这种方式的扩展能力很差,只适用于小型无线网络。
第二,采用加密手段。尽管WEP(有线等效加密)已被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。另外,用户也可以采用TKIP(临时密钥完整性协议)技术替代现有的简单WEP加密技术。这种方式的优势在于不需要更换全部硬件设备,仅仅通过更新驱动程序和软件就可以实现。此外,对于有高安全性要求或大型的无线网络,VPN(虚拟专用网络)方案是一个更好的选择。
WiMAX是基于IEEE 802.16系列宽频无线标准的宽带无线技术,可以替代现有的有线和DSL连接方式。
目前,IEEE 802.16存在着巨大的安全隐患。WiMAX只能提供单向认证,而且密钥的质量不高,还可能产生漏洞。另外,WiMAX还存在管理协商漏洞,即管理帧协商交互过程的安全性不够。
WCDMA、CDMA200以及TD-SCDMA是第三代移动通信系统的主流技术。其中,WCDMA和TD-SCDMA的安全规范由3GPP组织制定。CDMA2000的安全规范由以北美为首的3GPP2组织制定。从算法角度看,3GPP和3GPP2允许将比较弱的加密算法标准化。
在3G中引入无线公钥基础设施(WPKI)标准,其内容涉及WPKI的运作方式、WPKI如何与现行的公钥基础设施(PKI)服务相结合等。WPKI中定义了三种不同的通信安全模式。在证书编码方面,WPKI证书格式尽量减少常规证书所需的存储量。
证书编码的机制有两种:一是重新定义一种证书格式,以减少X.509证书的尺寸;二是采用椭圆曲线(ECC)算法,减少证书的尺寸。在相同安全强度下,ECC密钥的长度比其他算法的密钥要短得多。WPKI还在工程任务组(IETF)公钥基础设施X.509证书(PKIX)中限制了一个数据区的尺寸。由于WPKI证书是PKIX证书的一个分支,因此还要考虑与PKI之间的互通性。
但是,3G网络在安全性方面仍然不够完善,如不能防止用户或网络否认曾进行过的行为,入侵者通过对网络服务的干扰或滥用,可导致系统拒绝服务或系统服务质量降低等。
安全决定商业化
随着网络技术的不断发展,无线网络也在向着多样化、宽带化、智能化和安全化的方向发展。其中,安全问题成了无线通信网络能否大规模商业化的关键点。基于上面的分析可以看出,无线技术在安全问题上或多或少都存在一些缺陷或漏洞,这使得研究未来无线通信中的安全机制显得特别重要。
随着科技的发展,攻击与安全机制的改进几乎是同步的。为了保证用户传输信息的保密性、完整性、可用性、可控性和不可否认性,要求未来移动通信安全机制向着健壮化、透明化、科学化和个性化方向发展。
链 接:无线通信安全机制的发展方向
由私钥密码体制向混合密码体制转变是未来无线通信安全机制的发展方向之一。
未来的移动通信系统将针对不同的安全特征和服务,采用私钥密码体制和公钥密码体制相混合的体制,充分利用这两种体制的优点。
3G的整个安全体系仍是建立在假定网络内部绝对安全的基础之上,当用户漫游时,核心网络之间假定相互信任,鉴权中心依附于交换子系统。
随着移动通信标准化的发展,终端在不同运营商甚至异种网络之间的漫游也会成为可能,因此应增加核心网之间的安全认证机制。随着移动电子商务的广泛应用,更应尽量减少或避免网络内部人员的干预。未来的安全中心应能独立于系统设备,具有开放的接口,能独立地完成双向鉴权、端到端数据加密等功能。
随着密码学的发展以及移动终端处理能力的提高,新的密码技术,如量子密码、椭圆曲线密码以及生物识别等技术将在移动通信系统中获得广泛应用。
加密算法和认证算法自身的抗攻击能力更强大,可以保证传输信息的保密性、完整性、可用性、可控性和不可否认性。移动通信网络的安全要体现面向用户的理念。用户能自己选择所要的保密级别,安全参数既可由网络默认,也可由用户设定。
在无线通信中,主要的安全技术有两种,即信息加密技术和身份认证技术。
由于无线信道是开放的,所以不能依靠信道的安全来保护信息,必须假设入侵者可以获得信道中传输的内容,所以要通过加密技术对信息进行保护。由于无线信道的开放性,每个合法用户与服务网络之间没有固定的线路连接,同时还要支持全球漫游,所以身份认证是一项非常重要的工作。
主流无线技术的安全机制
短距离无线通信(包括UWB、蓝牙、RFID等)、无线局域网(WLAN)、无线城域网(WiMAX)、无线广域网(包括WCDMA、CDMA2000、TD-SCDMA等)的安全标准已陆续出台。
无线射频识别技术(RFID)又称为电子标签技术,是20世纪90年代兴起的一项自动识别技术。目前广泛使用的无源RFID系统还没有非常可靠的安全机制,无法对数据进行很好的保密。RFID数据很容易受到攻击,主要是因为RFID芯片本身以及芯片在读或写数据的过程中很容易被黑客利用。
蓝牙技术是一种有关无线数据与语音通信的开放性全球规范,以低成本的近距离无线连接为基础,为固定与移动设备通信环境建立一个特别的连接。蓝牙采取的安全机制适用于对等通信,即双方以相同方式实现认证与加密规程。蓝牙采用的跳频技术在一定程度上提供了一道安全保障,同时,蓝牙系统在应用层和链路层还设置了较可靠的安全管理机制。例如,链路层使用4个实体提供安全性,包括一个公开的长度为48bit的蓝牙设备地址、长度为128bit的认证密钥、长度为8bit~128bit的加密密钥和长度为128bit的随机数。从这些密钥的长度可以看出,蓝牙技术的安全性还是有保障的。
但是,现有蓝牙安全机制也存在两个主要问题:一是单元密钥的使用问题,在鉴权和加密过程中,由于单元密钥没有改变,第三方可利用此密钥来窃取信息;另一个是蓝牙单元提供的个人识别码(PIN码)的不安全问题,由于大多数应用中PIN码是由4位十进制数组成,所以采用穷举法很容易攻击成功。
WLAN采用无线通信技术代替传统电缆,并提供传统有线局域网能提供的功能。其安全机制主要包括以下几方面。
第一,使用MAC地址访问列表,每个无线工作站网卡都具有惟一的物理地址标识,因此可以通过手工维护AP(接入点)中的一组允许访问或不允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,不是用户认证,如果增加用户,就需要在MAC地址列表中手工添加用户的MAC地址。MAC地址列表需要随时更新,目前都是采用手工维护方式。这种方式的扩展能力很差,只适用于小型无线网络。
第二,采用加密手段。尽管WEP(有线等效加密)已被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。另外,用户也可以采用TKIP(临时密钥完整性协议)技术替代现有的简单WEP加密技术。这种方式的优势在于不需要更换全部硬件设备,仅仅通过更新驱动程序和软件就可以实现。此外,对于有高安全性要求或大型的无线网络,VPN(虚拟专用网络)方案是一个更好的选择。
WiMAX是基于IEEE 802.16系列宽频无线标准的宽带无线技术,可以替代现有的有线和DSL连接方式。
目前,IEEE 802.16存在着巨大的安全隐患。WiMAX只能提供单向认证,而且密钥的质量不高,还可能产生漏洞。另外,WiMAX还存在管理协商漏洞,即管理帧协商交互过程的安全性不够。
WCDMA、CDMA200以及TD-SCDMA是第三代移动通信系统的主流技术。其中,WCDMA和TD-SCDMA的安全规范由3GPP组织制定。CDMA2000的安全规范由以北美为首的3GPP2组织制定。从算法角度看,3GPP和3GPP2允许将比较弱的加密算法标准化。
在3G中引入无线公钥基础设施(WPKI)标准,其内容涉及WPKI的运作方式、WPKI如何与现行的公钥基础设施(PKI)服务相结合等。WPKI中定义了三种不同的通信安全模式。在证书编码方面,WPKI证书格式尽量减少常规证书所需的存储量。
证书编码的机制有两种:一是重新定义一种证书格式,以减少X.509证书的尺寸;二是采用椭圆曲线(ECC)算法,减少证书的尺寸。在相同安全强度下,ECC密钥的长度比其他算法的密钥要短得多。WPKI还在工程任务组(IETF)公钥基础设施X.509证书(PKIX)中限制了一个数据区的尺寸。由于WPKI证书是PKIX证书的一个分支,因此还要考虑与PKI之间的互通性。
但是,3G网络在安全性方面仍然不够完善,如不能防止用户或网络否认曾进行过的行为,入侵者通过对网络服务的干扰或滥用,可导致系统拒绝服务或系统服务质量降低等。
安全决定商业化
随着网络技术的不断发展,无线网络也在向着多样化、宽带化、智能化和安全化的方向发展。其中,安全问题成了无线通信网络能否大规模商业化的关键点。基于上面的分析可以看出,无线技术在安全问题上或多或少都存在一些缺陷或漏洞,这使得研究未来无线通信中的安全机制显得特别重要。
随着科技的发展,攻击与安全机制的改进几乎是同步的。为了保证用户传输信息的保密性、完整性、可用性、可控性和不可否认性,要求未来移动通信安全机制向着健壮化、透明化、科学化和个性化方向发展。
链 接:无线通信安全机制的发展方向
由私钥密码体制向混合密码体制转变是未来无线通信安全机制的发展方向之一。
未来的移动通信系统将针对不同的安全特征和服务,采用私钥密码体制和公钥密码体制相混合的体制,充分利用这两种体制的优点。
3G的整个安全体系仍是建立在假定网络内部绝对安全的基础之上,当用户漫游时,核心网络之间假定相互信任,鉴权中心依附于交换子系统。
随着移动通信标准化的发展,终端在不同运营商甚至异种网络之间的漫游也会成为可能,因此应增加核心网之间的安全认证机制。随着移动电子商务的广泛应用,更应尽量减少或避免网络内部人员的干预。未来的安全中心应能独立于系统设备,具有开放的接口,能独立地完成双向鉴权、端到端数据加密等功能。
随着密码学的发展以及移动终端处理能力的提高,新的密码技术,如量子密码、椭圆曲线密码以及生物识别等技术将在移动通信系统中获得广泛应用。
加密算法和认证算法自身的抗攻击能力更强大,可以保证传输信息的保密性、完整性、可用性、可控性和不可否认性。移动通信网络的安全要体现面向用户的理念。用户能自己选择所要的保密级别,安全参数既可由网络默认,也可由用户设定。