随着无线网络成为普及的网络接入方式,人们享受网络服务的形式发生了很大的变化“随时随地”地接入网络开始成为可能,这给人们使用网络服务带来很大的方便,但同时因此带来的隐私与安全面临的形势也越来越严峻。由ACM举办的WiSec会议(Conference on Security and Privacy in Wireless and Mobile Networks,无线与移动网络中的隐私与安全会议)专注于讨论无线与移动网络中的漏洞、威胁与攻击,以及针对这些威胁的解决方法。WiSec涉及的主题不仅仅是大家常见的无线局域网和移动3 G / 4 G ,还包括了城域无线网(Metropolitan)、无线网状网(Mesh)、个人无线网(Personal Area Network)、车载无线网(Vehicular)、传感器网(Sensor)、卫星通讯(Satellite)、感知无线电(Cognitive Radio)、RFID、水下无线网(Underwater)等一切使用射频或非射频技术的无线通讯网络。
今年的WiSec会议在美国亚利桑那州的Tuscon市举行,一共录用了17篇文章,
涉及的主题包括:
无线系统的物理层安全
无线系统中的隐私
移动设备与应用安全
设备供应商与制造商安全
无线网络安全基础
下面分别介绍各主题下讨论的内容。
无线系统的物理层安全
由于无线通信的广播特性,使得只要能接收到信号的设备都能接收到一个无线设备发出的报文,因为无线系统的物理层安全也就格外重要。在传统的无线局域网领域相应的解决方案已经比较成熟,但是在一些新兴的无线领域,由于技术和设备的限制,对应的安全问题还很严峻。本次会议在无线物理安全的一个重点就是BAN(Body Area Network,人体无线网)的物理安全。BAN是个人无线网的一个分支,在生物和医学上有特殊的应用,通过在人体或人所穿着的衣服上部署无线传感器组成一个局部的无线网络,一个BAN会通过一个特殊的网关设备再和互联网相连接。既然是在人身上部署,受限于部署的条件,BAN的网络节点设备必然是微型而简单的,但是BAN所获取的信息确实人最隐私的信息—身体各部分的健康信息、人的踪迹信息等。本次会议的两篇文章《BANA: body area network authentication exploiting channel characteristics》与《Zero reconciliation secret key generation for body-worn health monitoring devices》分别从信道特性和BAN密钥产生算法讨论了如何加强BAN网络的安全性。
无线系统中的隐私
无线系统安全的一大隐患是隐私泄漏,但有时适当地对隐私数据进行处理不仅可以保护隐私,还能增进安全性。在这个主题中有两篇文章分别讨论了在RFID和传感器网络中如何合理地利用隐私信息来提供无线设备使用安全性。《Location-aware and safer cards: enhancing RFID security and privacyvia location sensing》一文提出在RFID设备(特别是各类交通卡、银行卡等交易设备)中加装微型GPS天线,在这些设备进行交易时,同时可以采集用户的位置信息,虽然位置信息是隐私信息,但同时也包含了用户的行为规律。在对位置信息进行隐私保护的处理后,交易方可以获取保护后的位置信息,从而可以对交易的风险进行评估,判断交易人是否是正常的用户本人,并决定是接受交易还是通知用户进行验证。文章还介绍了如何利用这种方法防止攻击者进行中继攻击。
移动设备与应用安全
移动设备与应用安全是本次会议的热点,因为目前大多数用户接触无线网络使用的都是移动设备,而其中的应用特别是Andriod平台的应用也是目前无线网络中最大的漏洞来源。《Unsafe exposure analysis of mobile in-app advertisements》对目前Andriod市场的应用程序中的广告插件进行了采集和分析,通过对10万个不同应用程序的分析,文章总结出了51个有代表性的广告插件软件,并且设计AdsRisk程序对不同的广告软件进行风险分析。结果表明所有的软件库都有搜索用户隐私数据的行为,比较规矩的只搜集用户的定位信息这样相对不敏感的数据,而很多的广告插件会搜集用户的电话记录、通信录、安装软件类表等非常敏感的信息。甚至有些广告软件会利用系统漏洞暗中下载第三方的代码。文章最后表示Andriod软件市场亟待规范的管理。除了Andriod平台的风险讨论,本专题还有一篇有趣的文章《Design of SMS commandedand-controlled and P2P-structured mobile botnets》讨论如何通过短信来实现一个移动平台上的僵尸网络控制系统,并且通过实验设计了一个优化的P2P通信控制模型。
供应链与制造商安全
这个专题其实讨论的是两个问题,制造商安全讨论的是无线设备的硬件后门,《Wireless security techniques for coordinated manufacturing and on-line hardware trojan detection》一文讨论了如何在无线设备的硬的某一环中混入正常的产品,《CHECKER:on-site checking in RFID-based supply chains》介绍了一种编码来完成上述的任务。
无线网络安全基础
本专题讨论了无线网络的一些理论问题,如无线网的编码问题以及传感器网络中的网络聚合问题。《Entropy attacks and countermeasures in wireless network coding》讨论了一个很有趣却很少有人了解的问题:针对网络编码的熵攻击。在多跳的无线网络中,为了提高网络传输的效率,需要对传输内容进行编码后再进行发送,为了干扰编码内容的发送,攻击者可以通过发送污染包或者旧包让内容的接收者无法正确的对内容进行解码,降低网络传输的效率。该文讨论了不同的熵攻击的方法,并对不同的防御方法进行了评估。
本文来源:博客 作者:佚名