随着蓝牙、WLAN等一系列新兴无线技术的蓬勃发展与不断完善,无线应用越来越贴近我们的生活。但你是否注意到,作为“无限自由”的孪生产物,安全隐患也同时来到我们身边。有专家指出“下一代无线产品的换代将不是因为速度,而是因为安全。”为了获得对无线安全更进一步的认识,记者走访了致力于无线通信技术产品和信息安全产品开发、生产和销售的北京密安蓝牙通讯技术有限责任公司总裁韩永飞博士。
未雨绸缪还是亡羊补牢?
无线安全问题最早出现于军队和政府机要部门。二战后网际网络大规模兴起,由于最初的设计者只注重互联互通的需求,而没有考虑到安全问题,几年后大量安全漏洞被逐一发现,并由此造成严重的损失。
走向民间的无线通信也面临相同的问题,由于起步较晚,安全问题还没引起广泛而足够的重视。在世界范围内,人们对无线安全的重视与认知程度都远不如对互联网安全深刻。其实我们已经或多或少受到了一定程度的危害——手机病毒、信号干扰、信息窃听……不知不觉中危机已然来临。
实际上无线通信存在的安全威胁要比互联网的更大更严重,韩永飞博士分析了其主要原因:由于采用无线电波的传播方式,信息的截取在移动通信网上比互联网容易;移动终端的计算和存贮能力相对于计算机比较弱小;移动终端访问控制机制不如计算机完善;对移动通信的干扰和屏蔽可以阻碍通信;认证方式不完备。
以民用无线通信的代表——移动通信来分析,无线安全大致经历了三代:
第一代以TACS、AMS和NMT为代表,无线通信技术几乎没有安全机制;最早的模拟蜂窝移动通信(即大哥大)中,用户的信息是以明文传送的,在无线链路中被窃听非常容易,移动用户的身份鉴别过程也非常简单。
第二代以GSM、CDMA、DAMPS和PDS为代表;与模拟蜂窝移动通信相比,GSM在安全性方面有了较大的改进,通过加密方式来传递用户信息,对手机使用者的SIM卡的身份认证也采用了询问——响应认证协议,但仍存在很多安全漏洞。因为其认证机制是单方面的,即只考虑了网络对用户的认证,而没有考虑用户对网络的识别。由此带来的问题是,黑客可以通过伪装成网络成员对用户进行攻击。另外其加密机制是基于基站的,只有在无线接入部分信息被加密,而在网络内的传输链路和网间链路上仍然使用明文传送。同时,对语言的加密算法也很容易被破解并复制。
第三代以3G、WLAN, Bluetooth等为代表,具有较全的安全机制,第三代移动通信(3G)的安全以第二代的安全为基础,保留了在2G中被证明是必要和强大的安全功能,克服了2G中的一些安全问题,并且对2G中的弱点做了很大的改进,同时也考虑了安全的扩展性及同2G的兼容。3G按标准定义了许多安全措施,在密钥的长度、算法的选定、鉴别的机制和数据保密的完整性上,3G的安全性能远远优于GSM。但这并不代表充分的安全。韩博士以蓝牙为例说:“蓝牙系统使用的算法在制造生产中有些漏洞,但也无需刻意解决,因为在加密的过程中算法是重要的,更重要的是密钥.就像锁的坚固本身并非最重要,而钥匙的安全保管有时则显得至关重要。蓝牙的安全弱点主要在于其‘钥匙’很容易被找到。”目前一致被业界看好的无线局域网(WLAN)也存在安全隐患,密钥很容易被找到,有报道称,其密钥的破译法已于去年被找到。同时,WLAN通信受周边环境的影响比较严重,电磁波干扰、建筑物的结构等都有可能影响微波传输的质量和速度。“总之,事物总是处在不断的发展变化中” ,韩博士补充:“安全与威胁是矛和盾的关系,今天制定的防御措施可能明天就会不适用,总有更锐利的矛去刺穿它。”
俗话说“亡羊补牢”,只有经历了切肤之痛才能深刻体会到防御的重要性。然而,安全漏洞带来的损失往往难以估计。难道我们非要等到损失惨重发生之后,才来防漏补缺么?防患于未然,业界需要从现在开始着手解决无线安全的问题,正如韩博士所说:“安全本身是个基础设施,在构造一个系统或网络时,一开始就该考虑到,否则后来的问题就很难从根本上解决。”
核心仍是密码技术
现有的无线通信安全措施,侧重点一般都在身份认证,而对传输过程中信息的保密程度重视不够,然而大多数用户真正的安全要求却在于后者。没有人愿意自己的一些私密谈话被他人尽数听去,更没有人愿意自己用蓝牙或PDA技术传输的文件、数据被人中途任意截取,且被人直接以明文形式阅读,韩博士指出,在信息安全中,最重要的还是密码技术,它能保证数据万一被窃取时不被使用,“当然其它的措施也会起到自己的作用,但核心和最后的一道防线仍是密码技术,在其它技术还没有完善和成型之前,密码技术还担负着重要和核心的任务。”
在谈到技术上的困难时,韩博士说:“虽然当前我国无线安全水平处于比较初级的阶段,这并非意味着的学术研究和技术水平‘一塌糊涂’,其中有许多有特色的东西,只不过在普及和应用层的操作上存在一些麻烦,我们要避免重复建设。现有的技术解决当前问题的能力是很充足的。”然而安全是没有硝烟的战场,对立形势和战争中的攻防差不多,防御装备和防御技术总是落后于进攻技术。随着安全威胁的不断增多,必须不断发展技术,否则安全保证将会处于被动的局势 。
领跑无线安全产品前沿
为保障网间及网络和终端设备间数据的安全传输,密安推出了无线网关和无线PDA这两款极具特色的安全产品。前者能将用户身份认证及加密、数据保密、反攻击、反入侵的措施全部结合在内,安全实现各种信号从无线到有线的过程中的接收和转换;后者则使PDA在移动传输中的数据受到保护,从而实现安全的移动政务、电子商务。另外,密安还推出其最具代表性的蓝牙安全产品,增加了蓝牙设备的安全性,可解决PDA和PC间进行蓝牙传输通信的安全问题。
韩博士表示,目前国内生产蓝牙产品的公司主要有7家,而真正能够销售并且赢利的只有密安公司一家。问及成功的诀窍,韩博士说:“密安产品的成功,正是由密安技术的成功所决定的。密安具有优秀的技术开发队伍,产品拥有自主的知识产权,能够为中国企业提供更适合国情、更符合需求、性价比更好的产品解决方案。”
真正的信息安全产品必须要具备安全性、可靠性、稳定性、可用性等特点。在保证性能的同时,韩博士特别强调了产品的可用性:“为用户提供的安全产品不应仅仅是安全,还应使用方便,不能增加用户的困难,否则这个产品就没有了实际意义。”他坚持密安对无线安全系统的改造要做到对原系统的方便性无影响,让用户在感觉不到更改的同时享受有力的安全保障。
另外,韩永飞博士说:"目前密安的核心竞争力还在于通用信息安全产品,已经在向方案和服务的方向迈进。"他提出对密安的前景规划:以信息安全技术为核心,在电子政务、移动通信、数字视频三个领域应用安全技术,使产品面向用户最终需求。
产品先于市场
韩永飞的市场策略是“产品先于市场”。近几年IT行业流行“做市场”的概念,一些企业将市场炒作当成产品推广成功的唯一条件,把打价格战、打宣传战当作企业经营,特别是企业市场宣传推广的永恒策略,韩永飞认为,这是一种舍本逐末的做法,把手段当成原则,把方法当成了目的。他解释道:“信息安全行业其实主要是技术主导型行业。我们看看全球最有实力的IT 厂商,哪一家不拥有自己独到的技术和产品?如果只有市场推广的方法,没有技术,我们无法想象英特尔、微软以及IBM、康柏和惠普的成功。”韩博士认为,企业特别是所谓高科技企业,一定要以技术为基础,产品要有真正的含金量,真正让自己的技术给用户带来实实在在的利益。单纯的广告宣传战,单纯的价格战,绝不可能形成核心竞争力,只有扎扎实实的技术基础,才可能在市场中赢得成功。“高科技产品和日常消费品有些区别,日常消费品有时是市场要求技术,而高科技领域产品往往是技术引导市场。由确实有潜在需求的技术的出现带动市场。”韩博士同时指出,这个观点和当前的“应用引导市场”并不矛盾。在一新兴的领域,技术引导市场,市场推动和促进技术,二者相辅相成,而应用使技术得到更充分的发展,使用户得到更大利润。“技术的产生是第一步,至关重要。应用为第二步。技术本身是根本,没有技术便没有第二步的应用。在市场的反馈下对技术和应用作改造使其做得更好是第三步。”当然,选择一种技术时要充分考虑其使用价值,即技术的商用性,而不能只看该技术“领先与否”,这样才能引导市场,达到预期的效果。
目前无线安全产品的市场主要分布在对无线安全注重程度比较高的政要机关和安全部门,在民间商业、政府机构中所占份额还是非常小,主要原因还是在于重视程度的不同,可能也是因为没有身受其害。在这样一个认知不充分的情况下,做市场就有一定困难。韩博士认为,做好市场需要注意以下几点:一是政府适当调控:好在政要等主管部门对无线安全的认识已经较深刻了,与其它市场一样,通过政府适当的调控可影响市场正面发展;二是大量宣传:通过舆论,大量宣传普及无线网络安全的重要性,引起人们对其的充分重视;三是充分调动市场竞争:缺少了竞争,政府过多的调控将会成为包办,这对促进技术和市场的发展是有害无利的。
“虽然市场方面目前主要以国家主管单位和安全部门为主,接下来的几年,民用市场,企业市场、个人市场的需求将逐渐体现出来。手机防火墙、入侵检测技术也将有更大市场。”韩总补充。 由于新设备和新服务的不断亮相,无线领域用户层进一步扩大,处处充满新的机遇。而另一方面,对无线环境的安全性威胁也不断显现。牵一发而动全身,任何小的纰漏都有可能导致系统的颠覆性毁灭。意识到了这一点,怎能不马上采取行动来捍卫我们的无线网络安全?正如韩永飞一再强调的:“安全本身是一个基础设施,要与整个系统有天然的紧密结合,如修高速公路,两边的护栏必须同进构筑。信息建设也是,一开始就该有安全防护措施,否则后来就都得修修补补,很难从根本上得到改善!”。临渴掘井,不若未雨绸缪,这就是这位密码学博士的经验之谈。
韩永飞,伦敦大学密码学和信息安全博士。曾任德国马普科学院教授和法国Gemplus亚太区首席科学家,新加坡电子银行高级经理,Secure Eworld总裁和董事长。擅长企业管理、经营和协作,是国际知名的密码和信息安全专家。任亚洲密码指导委员会理事、国际信息和通讯安全学会执行副理事长。现任北京密安有限责任公司总裁和几个大学的教授。