無(wú)線(xiàn)通信的安全機(jī)制

目前，利用安全漏洞犯罪的案件有很多。普華永道公司受英國(guó)貿(mào)易與工業(yè)部委托進(jìn)行的一項(xiàng)調(diào)查顯示，英國(guó)去年由于安全問(wèn)題而導(dǎo)致的損失達(dá)到了180億美元，比兩年前增加了約50%。越來(lái)越多的數(shù)據(jù)顯示，無(wú)線(xiàn)安全問(wèn)題造成的損失一直在增長(zhǎng)。越來(lái)越多的企業(yè)、用戶(hù)已經(jīng)意識(shí)到無(wú)線(xiàn)安全問(wèn)題的嚴(yán)重性。
 
在無(wú)線(xiàn)通信中，主要的安全技術(shù)有兩種，即信息加密技術(shù)和身份認(rèn)證技術(shù)。

由于無(wú)線(xiàn)信道是開(kāi)放的，所以不能依靠信道的安全來(lái)保護(hù)信息，必須假設(shè)入侵者可以獲得信道中傳輸?shù)膬?nèi)容，所以要通過(guò)加密技術(shù)對(duì)信息進(jìn)行保護(hù)。由于無(wú)線(xiàn)信道的開(kāi)放性，每個(gè)合法用戶(hù)與服務(wù)網(wǎng)絡(luò)之間沒(méi)有固定的線(xiàn)路連接，同時(shí)還要支持全球漫游，所以身份認(rèn)證是一項(xiàng)非常重要的工作。

主流無(wú)線(xiàn)技術(shù)的安全機(jī)制

短距離無(wú)線(xiàn)通信(包括UWB、藍(lán)牙、RFID等)、無(wú)線(xiàn)局域網(wǎng)(WLAN)、無(wú)線(xiàn)城域網(wǎng)(WiMAX)、無(wú)線(xiàn)廣域網(wǎng)(包括WCDMA、CDMA2000、TD-SCDMA等)的安全標(biāo)準(zhǔn)已陸續(xù)出臺(tái)。

無(wú)線(xiàn)射頻識(shí)別技術(shù)(RFID)又稱(chēng)為電子標(biāo)簽技術(shù)，是20世紀(jì)90年代興起的一項(xiàng)自動(dòng)識(shí)別技術(shù)。目前廣泛使用的無(wú)源RFID系統(tǒng)還沒(méi)有非常可靠的安全機(jī)制，無(wú)法對(duì)數(shù)據(jù)進(jìn)行很好的保密。RFID數(shù)據(jù)很容易受到攻擊，主要是因?yàn)镽FID芯片本身以及芯片在讀或?qū)憯?shù)據(jù)的過(guò)程中很容易被黑客利用。

藍(lán)牙技術(shù)是一種有關(guān)無(wú)線(xiàn)數(shù)據(jù)與語(yǔ)音通信的開(kāi)放性全球規(guī)范，以低成本的近距離無(wú)線(xiàn)連接為基礎(chǔ)，為固定與移動(dòng)設(shè)備通信環(huán)境建立一個(gè)特別的連接。藍(lán)牙采取的安全機(jī)制適用于對(duì)等通信，即雙方以相同方式實(shí)現(xiàn)認(rèn)證與加密規(guī)程。藍(lán)牙采用的跳頻技術(shù)在一定程度上提供了一道安全保障，同時(shí)，藍(lán)牙系統(tǒng)在應(yīng)用層和鏈路層還設(shè)置了較可靠的安全管理機(jī)制。例如，鏈路層使用4個(gè)實(shí)體提供安全性，包括一個(gè)公開(kāi)的長(zhǎng)度為48bit的藍(lán)牙設(shè)備地址、長(zhǎng)度為128bit的認(rèn)證密鑰、長(zhǎng)度為8bit~128bit的加密密鑰和長(zhǎng)度為128bit的隨機(jī)數(shù)。從這些密鑰的長(zhǎng)度可以看出，藍(lán)牙技術(shù)的安全性還是有保障的。

但是，現(xiàn)有藍(lán)牙安全機(jī)制也存在兩個(gè)主要問(wèn)題：一是單元密鑰的使用問(wèn)題，在鑒權(quán)和加密過(guò)程中，由于單元密鑰沒(méi)有改變，第三方可利用此密鑰來(lái)竊取信息；另一個(gè)是藍(lán)牙單元提供的個(gè)人識(shí)別碼(PIN碼)的不安全問(wèn)題，由于大多數(shù)應(yīng)用中PIN碼是由4位十進(jìn)制數(shù)組成，所以采用窮舉法很容易攻擊成功。

WLAN采用無(wú)線(xiàn)通信技術(shù)代替?zhèn)鹘y(tǒng)電纜，并提供傳統(tǒng)有線(xiàn)局域網(wǎng)能提供的功能。其安全機(jī)制主要包括以下幾方面。

第一，使用MAC地址訪(fǎng)問(wèn)列表，每個(gè)無(wú)線(xiàn)工作站網(wǎng)卡都具有惟一的物理地址標(biāo)識(shí)，因此可以通過(guò)手工維護(hù)AP(接入點(diǎn))中的一組允許訪(fǎng)問(wèn)或不允許訪(fǎng)問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。物理地址過(guò)濾屬于硬件認(rèn)證，不是用戶(hù)認(rèn)證，如果增加用戶(hù)，就需要在MAC地址列表中手工添加用戶(hù)的MAC地址。MAC地址列表需要隨時(shí)更新，目前都是采用手工維護(hù)方式。這種方式的擴(kuò)展能力很差，只適用于小型無(wú)線(xiàn)網(wǎng)絡(luò)。

第二，采用加密手段。盡管WEP(有線(xiàn)等效加密)已被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。另外，用戶(hù)也可以采用TKIP(臨時(shí)密鑰完整性協(xié)議)技術(shù)替代現(xiàn)有的簡(jiǎn)單WEP加密技術(shù)。這種方式的優(yōu)勢(shì)在于不需要更換全部硬件設(shè)備，僅僅通過(guò)更新驅(qū)動(dòng)程序和軟件就可以實(shí)現(xiàn)。此外，對(duì)于有高安全性要求或大型的無(wú)線(xiàn)網(wǎng)絡(luò)，VPN(虛擬專(zhuān)用網(wǎng)絡(luò))方案是一個(gè)更好的選擇。

WiMAX是基于IEEE 802.16系列寬頻無(wú)線(xiàn)標(biāo)準(zhǔn)的寬帶無(wú)線(xiàn)技術(shù)，可以替代現(xiàn)有的有線(xiàn)和DSL連接方式。

目前，IEEE 802.16存在著巨大的安全隱患。WiMAX只能提供單向認(rèn)證，而且密鑰的質(zhì)量不高，還可能產(chǎn)生漏洞。另外，WiMAX還存在管理協(xié)商漏洞，即管理幀協(xié)商交互過(guò)程的安全性不夠。

WCDMA、CDMA200以及TD-SCDMA是第三代移動(dòng)通信系統(tǒng)的主流技術(shù)。其中，WCDMA和TD-SCDMA的安全規(guī)范由3GPP組織制定。CDMA2000的安全規(guī)范由以北美為首的3GPP2組織制定。從算法角度看，3GPP和3GPP2允許將比較弱的加密算法標(biāo)準(zhǔn)化。

在3G中引入無(wú)線(xiàn)公鑰基礎(chǔ)設(shè)施(WPKI)標(biāo)準(zhǔn)，其內(nèi)容涉及WPKI的運(yùn)作方式、WPKI如何與現(xiàn)行的公鑰基礎(chǔ)設(shè)施(PKI)服務(wù)相結(jié)合等。WPKI中定義了三種不同的通信安全模式。在證書(shū)編碼方面，WPKI證書(shū)格式盡量減少常規(guī)證書(shū)所需的存儲(chǔ)量。

證書(shū)編碼的機(jī)制有兩種：一是重新定義一種證書(shū)格式，以減少X.509證書(shū)的尺寸；二是采用橢圓曲線(xiàn)(ECC)算法，減少證書(shū)的尺寸。在相同安全強(qiáng)度下，ECC密鑰的長(zhǎng)度比其他算法的密鑰要短得多。WPKI還在工程任務(wù)組(IETF)公鑰基礎(chǔ)設(shè)施X.509證書(shū)(PKIX)中限制了一個(gè)數(shù)據(jù)區(qū)的尺寸。由于WPKI證書(shū)是PKIX證書(shū)的一個(gè)分支，因此還要考慮與PKI之間的互通性。

但是，3G網(wǎng)絡(luò)在安全性方面仍然不夠完善，如不能防止用戶(hù)或網(wǎng)絡(luò)否認(rèn)曾進(jìn)行過(guò)的行為，入侵者通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)的干擾或?yàn)E用，可導(dǎo)致系統(tǒng)拒絕服務(wù)或系統(tǒng)服務(wù)質(zhì)量降低等。

安全決定商業(yè)化

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)也在向著多樣化、寬帶化、智能化和安全化的方向發(fā)展。其中，安全問(wèn)題成了無(wú)線(xiàn)通信網(wǎng)絡(luò)能否大規(guī)模商業(yè)化的關(guān)鍵點(diǎn)?；谏厦娴姆治隹梢钥闯觯瑹o(wú)線(xiàn)技術(shù)在安全問(wèn)題上或多或少都存在一些缺陷或漏洞，這使得研究未來(lái)無(wú)線(xiàn)通信中的安全機(jī)制顯得特別重要。

隨著科技的發(fā)展，攻擊與安全機(jī)制的改進(jìn)幾乎是同步的。為了保證用戶(hù)傳輸信息的保密性、完整性、可用性、可控性和不可否認(rèn)性，要求未來(lái)移動(dòng)通信安全機(jī)制向著健壯化、透明化、科學(xué)化和個(gè)性化方向發(fā)展。　

                               幾種無(wú)線(xiàn)技術(shù)的安全機(jī)制比較

鏈 接:無(wú)線(xiàn)通信安全機(jī)制的發(fā)展方向

由私鑰密碼體制向混合密碼體制轉(zhuǎn)變是未來(lái)無(wú)線(xiàn)通信安全機(jī)制的發(fā)展方向之一。

未來(lái)的移動(dòng)通信系統(tǒng)將針對(duì)不同的安全特征和服務(wù)，采用私鑰密碼體制和公鑰密碼體制相混合的體制，充分利用這兩種體制的優(yōu)點(diǎn)。

3G的整個(gè)安全體系仍是建立在假定網(wǎng)絡(luò)內(nèi)部絕對(duì)安全的基礎(chǔ)之上，當(dāng)用戶(hù)漫游時(shí)，核心網(wǎng)絡(luò)之間假定相互信任，鑒權(quán)中心依附于交換子系統(tǒng)。

隨著移動(dòng)通信標(biāo)準(zhǔn)化的發(fā)展，終端在不同運(yùn)營(yíng)商甚至異種網(wǎng)絡(luò)之間的漫游也會(huì)成為可能，因此應(yīng)增加核心網(wǎng)之間的安全認(rèn)證機(jī)制。隨著移動(dòng)電子商務(wù)的廣泛應(yīng)用，更應(yīng)盡量減少或避免網(wǎng)絡(luò)內(nèi)部人員的干預(yù)。未來(lái)的安全中心應(yīng)能獨(dú)立于系統(tǒng)設(shè)備,具有開(kāi)放的接口，能獨(dú)立地完成雙向鑒權(quán)、端到端數(shù)據(jù)加密等功能。

隨著密碼學(xué)的發(fā)展以及移動(dòng)終端處理能力的提高，新的密碼技術(shù)，如量子密碼、橢圓曲線(xiàn)密碼以及生物識(shí)別等技術(shù)將在移動(dòng)通信系統(tǒng)中獲得廣泛應(yīng)用。

加密算法和認(rèn)證算法自身的抗攻擊能力更強(qiáng)大，可以保證傳輸信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。移動(dòng)通信網(wǎng)絡(luò)的安全要體現(xiàn)面向用戶(hù)的理念。用戶(hù)能自己選擇所要的保密級(jí)別，安全參數(shù)既可由網(wǎng)絡(luò)默認(rèn)，也可由用戶(hù)設(shè)定。