随着以智能手机为代表的便携式无线上网设备的普及使用,相关的信息安全事故也开始频现于各类媒体报道中,当事人往往蒙受了经济、名誉等方面的沉重损失;给这种新兴应用的前景蒙上了阴影。本文根据当今信息安全研究的成果,对便携式无线上网设备可能存在的多方面安全隐患及体系进行简要分析,并提出相应的解决思考;希望借此提高信息使用者的安全意识,以及影响信息安全管理者和厂商对无线上网设备所应依靠的安全系统的全面、深入建设。
0引言
近年以来,以智能手机为代表的便携式无线上网设备(以下简称无线上网设备)普及到了大众生活之中,它们都具有利用wifi、3G、4G等无线信道接入互联网的能力,支持个人信息管理、出行订购、网络购物、手机聊天、手机银行等等许多应用,且方便、快捷;新近出现的可穿戴式设备本质上也是其中一种,还具有了个人健康监测管理、救急等更新型的综合应用,可见人们将是越来越离不开它们了。但是,关于无线上网设备的信息安全事故也开始频频现于各类媒体的报道中,当事人往往蒙受了较为沉重的经济、名誉等损失;给这种新兴应用的前景蒙上了阴影。人们不仅需要方便、更重要的是安全。但是,面对层出不穷、花样繁多的安全问题,我们该如何应对呢?显然,分析每个出现的安全问题,再进行安全修补,只能永远落在那些不怀好意的黑客们的后面。我们必须系统分析安全问题作在,进行系统性的规划和设计,才能从根本上极大地减少潜在的安全问题。此外,对于无线上网设备的大多数重要业务使用者,并不是信息安全领域的从业人士,对于信息安全的设置技巧很不熟悉、有些甚至连安全意识都没有,这样的话,也要求产品设计者在设计时能从操作上充分考虑到这些因素,在默认情况下就把许多安全措施做好。
本文依据现有信息系统安全领域的研究成果,从无线上网设备涉及到的主要安全方面依层次展开安全设计论述,力求从系统上提升便携式无线上网设备系统的安全。
1无线通讯系统的安全思考
便携式无线上网设备主要通过3G、4G、wifi等无线信道上网。这里面的安全问题主要存在于一是信道质量不好,或是被干扰,引发数据传输错误;二是数据传输过程中被不怀好意者窃听、篡改或冒充。三是设备对于信道的自动连接问题。
1.1信道质量问题。对于这个问题,可以通过在传输的数据中加入校验位或信息验证码,即可判断出传输到的数据中是否因信道问题出现错误。识别了错误,就不会让程序出现误判,也就不会对通讯安全造成什么威胁。
1.2防止窃听、篡改或冒充。第二个问题对于通讯安全的威胁很大,为了防止被不怀好意者入侵、窃取重要信息,主要的应对手段就是加密传输信息。目前,3G、4G、Wi-Fi、WAPI等主流无线信道都支持身份认证、数据加密传输等功能。3G、4G的智能手机等无线上网设备在其SIM卡里面预设有密钥,可用于加密通信;而对于目前应用非常广泛的Wi-Fi,则需要管理员在其AP设备中手工设置好密码,然后共享给许可接入的无线上网终端,再进行通信的加密传输。为了防止无线信号在传输中被自然干扰或人为篡改,在现有通信标准中,也包含了信息验证码(MAC)的生成和传输方法:发送端利用某个单向hash函数对整个信息计算出一个信息摘要,附加在信息后一起加密传输;而接收端接收并解密信息后,用同样的算法计算出信息的MAC值与发送端计算的MAC值对比,若一致,就可证明信息中途未被篡改、冒充等。
还有一种威胁就是恶意者冒充合法AP,意图收集、窃取合法用户的无线密码等关键信息。对于这种情况,就需要在认证过程中,不发送明文密钥,加密握手信息等一切信息,让恶意者只能得到密文,无法正确回复。当采用的加密算法没有被发现致命漏洞,密码被设置得足够强大,则可以打败冒充者的企图。
不过,目前很多用户对于信息安全的重要性并不敏锐,表现在设置密码过于简单、甚或不设密码。这就为信息的安全埋下了很大的隐患。虽然Wi-Fi等不设密码,还可以用其他ISO的高层安全协议来弥补,不过,做好每一个环节的安全,就能使得整个系统更安全。所以,在AP设备设计时应该默认是必须加上密码,而且用提示的方式保证密码设置有一定的复杂度要求,则可以大大减小普通用户因不了解密码规则重要性而导致的安全问题。
1.3设备对于信道的自动连接问题。目前对于无线上网设备而言,若无线AP不设置密码的话,则立即连上,并不提供任何用户确认界面,已有报道黑客可借此入侵有安全漏洞的用户设备系统。若是用户失误,开了wi-fi功能而忘了关闭,则可能因移动中不知不觉连入恶意者精心设计的Wi-Fi接入点电而遭到入侵。所以,对于无线上网设备,应该加入用户对AP连接的确认功能,用户确认要连接这个AP后,设备才能与AP连接;避免在用户不知的情况下无线上网设备主动寻找连接的安全隐患。
2无线上网设备基础软件系统的安全
目前,对于智能手机上的操作系统,主要的有安卓、iOS这两种,分别为谷歌公司和苹果公司所有;对于以后流行的各类便携式无线上网设备,也会采用大厂商的成熟或优秀的产品。但事实证明,没有不存在漏洞的操作系统,惟有不断的推出补丁程序包和升级了安全机制的新版本,才能最大可能的保护设备的安全性。作为开发的局外人来说,我们相信这些大公司为了自己的商业利益和法律责任问题,不会放任安全漏洞的存在;不过,我们关心的是如何安全而方便的进行操作系统的更新,以及操作系统被恶意软件修改后,如何侦测并安全而方便地恢复的问题。
2.1操作系统的安全升级。对于安全升级的问题,首先要考虑的是如何判断升级包的真实性和完整性。对于这个问题,可以借助非对称密钥认证机制及软件数字签名的方式解决。设计思路是:1、无线上网设备出厂时,根据选定的操作系统,将其厂商发布的公钥内置入底层芯片中。2、升级包由厂商用私钥签名,签名中包含软件完整性的hash校验码。3、当有升级包时,无线上网设备系统自动提示并下载。4、设备利用内置公钥解密升级包,计算升级包的hash值,若与签名中的hash值一致,则安装升级包。若不一致,则重新下载。
2.2受损系统的恢复。当然,还有可能就是无线上网设备已被植入恶意软件,它可能干扰系统的升级。对于这种情况,现在的无线上网设备上一般都固化有基本的恢复系统,一般的中毒可以通过设备的“设置”功能中的“自行恢复出厂设置”来清除。若是因为自行root刷机或严重安全漏洞等致使操作系统出现故障,此时要么设备不能使用,要么升级不能成功。对此,现在一般的设备设计上考虑如此的恢复过程:1、先从可信的电脑上下载官方的与这个设备相应的固件包,并将其通过读卡器等拷贝到SD卡中,2、将SD卡装入设备中,启动设备。3、此时设备内固化的恢复系统启动,然后根据提示找到SD卡中的这个固件包,接着启动恢复进程恢复。4、为了安全起见,这个固件包应该有厂商的数字签名,用户再利用芯片中的公钥验证固件包的官方发布身份和包的完整性。
此外,对于应用软件,一般最好使用厂商认证的软件,但是,用户几乎不可能完全只使用电子市场上经过认证的软件。因此,对于未曾认证的应用软件,操作系统应该设计有足够的安全机制,让这些软件只在“沙箱”里运行,不让其调用系统底层函数,禁止其修改基础软件级的底层程序和数据。
3将无线上网设备打造成可信设备
对于第2点里面提到的基础软件系统安全的问题,还存在一个疑问,用户如何鉴定手机操作系统在能使用的情况下是否已被植入了恶意代码呢?对于这个问题,我们应该考虑在无线上网设备中引入可信计算的技术。可信计算技术虽然发展时间不长,尚未有完善的理论体系,不过方兴未艾,现阶段若加上其他的技术和法律保证,就能成为一个非常有效的技术。无线上网设备发展历史不长,体系更改在产业上更为可行,易于与可信计算技术结合。
3.1可信设备的基本概念。可信计算设备在启动时,是由一个很小的固件设备可信度量根(CRTM)首先启动,检测并启动可信计算平台模块(TPM),由TPM验证下一步将获得设备控制权的BIOS的完整性;若设备BIOS被验证是完整的,则将控制权交给BIOS,初始化系统;接着BIOS再配合TPM验证引导加载程序的完整性并将控制权交给它。以此类推,引导加载程序验证并启动操作系统,操作系统还可进一步验证重要软件的可信度。如下图所示:
这种链式的信任扩展设计,可以确保原有软件在启动时的完整,确信手机系统未被恶意软件所修改劫持,从而确保重要应用启动时的原始环境安全。而基本软件系统和重要应用系统本身的漏洞问题则是由相应的专业厂商负责研发、修补。当用户的无线上网设备在混杂使用各类应用时,则可大大减小其中重要应用的安全风险。
3.2基础软件的可信升级。在无线上网设备基础软件需要升级时,如前所述,在设备可信启动到某个环节时(一般在操作系统启动之前),利用设备中固化的程序和存储的厂商公钥,验证升级包的真实性、完整性;接着进行升级、替换等操作;升级完成后,再由TPM重新计算新版基础软件(操作系统)的可信值并存储,完成下一次的可信启动准备,即可实现安全升级。安全升级有时会造成繁琐,但是值得。
4设备与数据加密
通讯数据可能被窃听,无线上网设备也可能因未知漏洞被入侵而造成数据失窃后等等;但若数据加密了,即使黑客得到了这些数据,在其有效期内无法破解,则依然保持了数据的安全。此外,设备本身的物理安全也是需要考虑的一环。
4.1数据在传输过程中的加密。数据的传输加密多种多样,像目前无线上网设备广为使用的Wi-Fi,主要采用wpa/wpa2加密标准。该标准中的个人版为许多小企业、家庭、小团体等公众用户广泛使用,其密码为通信双方预先共享,且只用于身份认证和首次协商等握手过程;在之后的通信中双方还会协商生成高强度共享随机密钥用于加密通信数据,且定期变换。所以,若设置好足够长度和强度的预设认证密码,现有的一些较新的加密方式能很好的保证传输数据的安全。
4.2数据的存储加密。数据的加密可以借助可靠的第三方软件,或是我们使用的重要软件在存储数据时就设计有加密存储功能。这种情况下,一般要求我们记住密钥,但很多人为了方便记忆,往往设置简易密码,这样就带来了安全上的问题——易被穷举法暴力破解。所以,安全起见,一般要求密码应该设置得长而且含有一些特殊字符,虽然这会给人们带来记忆上的麻烦。不过,当我们设计了可信无线上网设备后,则可直接借助手机内置的TPM等安全芯片实现存储数据的加密:1、在设备第一次被用户使用时,由TPM按照安全密钥生成规则产生只TPM内部存储的一对非对称密钥;同时提示用户输入一个强度较强的开机用的对称密钥,以及一对或多对应用使用的对称密钥,也存储于TPM内部。2、开机时,必须正确输入开机密码后,才能最终进入操作系统界面。3、当需要加密的数据被存储时,TPM截取到I/O请求后,先实时解密出选定的对称密钥,同时直接调用芯片中存储的加密算法,借助设备主CPU的计算资源,直接将数据加密写入存储卡。4、应用需要调用数据时,按第3条的流程反向操作即可。
4.3应用程序的加密。为了防止有人在设备开屏状态下非法使用设备上安装的应用app读取信息,我们还可对重要应用app加密,且可以设置输入错误三次锁定一段时间的机制。对于可信设备,采用TPM内部存储对称密钥加密;对于非可信手机,可引入可靠的第三方软件加密。
4.4设备安全。无线上网设备有从用户手中被盗、丢失的可能,为了保证设备的安全,目前,以智能手机为代表,较新的无线上网设备都能设置开机密码、锁屏密码等,保护失联的设备不被非法使用。由于之前设置了数据加密存储的功能,在能取走的存储卡中的数据是加密数据,也保证了数据的安全;当然,有些设备还安装、设置有远程连接销毁数据的功能,这也是可以考虑的功能。这些对于设备的安全都有非常重要的作用,应该综合使用。
5法律保障及用户安全意识培养
信息技术在不断发展,谁也不敢肯定的说现在乃至将来很长的一段时间内信息系统就是无懈可击的,可能有厂商设计的后门,或被黑客发现的漏洞。若是对于一些设计恶意的后门,或商业产品中有已知漏洞但久不修补等行为不予惩治的话,那整个系统的安全是不能保障的。所以,法律保障在整个安全系统中的作用非常重大,它可以弥补技术上、社会工程方面等等许许多多的“漏洞”,这是需要法律界人士和信息安全方面的人士共同合作努力的。
此外,实践表明,还有很多安全事故是用户对于安全设施的配置不当引起的,因此,国家、社会层面都应通过相对正式、方便的教育渠道,普及无线上网设备方面用户能做的安全设置知识;而从厂商角度,在设计上引入向导、提示性而又是强制性的安全配置手段,则是普及安全知识、做好安全防护的最有效手段。
6结语
信息系统安全是个古老而又非常新兴的学科,涉及面较广,为了整个体系的安全,每个环节都是非常重要的。为了提升安全可靠度,我们既要设计好整体联动的安全保障机制,又要考虑好每个环节的安全,以期建立多层次的、足够性价比的安全“防火墙”。便携式无线上网设备正在越来越广泛的进入普通大众的生活中,希望通过上述论述,能为大家安全享受信息服务做一点小小的贡献。
作者:刘培康 来源:商情 2015年37期