淺談數(shù)據(jù)傳輸安全技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用

郭　娜　趙思成

[摘要]與有線局域網(wǎng)網(wǎng)絡(luò)明顯不同的是，無線局域網(wǎng)網(wǎng)絡(luò)是通過微波進(jìn)行傳播信號(hào)的，這個(gè)東西摸不著、看不見，所以無線局域網(wǎng)的信號(hào)傳輸安全性讓很多無線上網(wǎng)用戶有點(diǎn)擔(dān)心，其實(shí)只要熟悉無線網(wǎng)絡(luò)的信號(hào)傳輸機(jī)制，并能夠有的放矢地使用一些安全防護(hù)辦法，就一定能夠讓無線局域網(wǎng)安全工作到底。描述無線網(wǎng)絡(luò)中現(xiàn)有的安全機(jī)制,提出一個(gè)比較全面的信息安全保護(hù)解決方案。

[關(guān)鍵詞]網(wǎng)絡(luò) 數(shù)據(jù)傳輸 安全

中圖分類號(hào)：TN92文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2009）0110068-01

隨著筆記本計(jì)算機(jī)的普及和信息技術(shù)的飛速發(fā)展,人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高,希望不論在何時(shí)、何地、與任何人都能夠進(jìn)行包括數(shù)據(jù)、語音、圖像等內(nèi)容的通信。無線網(wǎng)絡(luò)是實(shí)現(xiàn)移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一。在無線網(wǎng)絡(luò)傳輸時(shí)為了保護(hù)用戶的敏感信息，就必須對(duì)給定信道中信令消息的某些字段進(jìn)行加密，而且要求在執(zhí)行鑒權(quán)后才對(duì)消息進(jìn)行加密。具體實(shí)現(xiàn)在每個(gè)反向業(yè)務(wù)信道的消息中包含一個(gè)字段，作為消息激活時(shí)需要的加密模式。

一、鑒權(quán)過程

無線網(wǎng)絡(luò)傳輸?shù)蔫b權(quán)過程是通過交換移動(dòng)臺(tái)和基站之間的信息達(dá)到確認(rèn)移動(dòng)臺(tái)身份的目的。在鑒權(quán)過程中，最重要的是密鑰生成技術(shù)和鑒權(quán)算法。在計(jì)算機(jī)網(wǎng)絡(luò)中，對(duì)通信雙方實(shí)體的身份認(rèn)證，常規(guī)作法是采用加密鑒權(quán)協(xié)議，如單向Hash函數(shù)等來實(shí)現(xiàn)。在CDMA中，為了驗(yàn)證移動(dòng)臺(tái)的身份，移動(dòng)臺(tái)必須與基站協(xié)同操作，雙方通過交換信息來確認(rèn)移動(dòng)臺(tái)的真實(shí)身份。在移動(dòng)通信中，常用對(duì)稱分給密碼算法（如DES等）來具體計(jì)算18bits Hash散列值。一般認(rèn)為，只要分組密碼算法是安全的，則單向Hash函數(shù)也是安全的。鑒權(quán)算法分為兩個(gè)部分：密鑰生成技術(shù)和鑒權(quán)AUTHR計(jì)算。其基本原理是，首先把152bits的消息塊M輸入到鑒權(quán)算法設(shè)備中，將152bits長度的消息填充40bits后，擴(kuò)展成192bits消息，M被分成3個(gè)64bits長度的數(shù)據(jù)塊，Mi=64bits，i=1，2，3，分別為M1，M2，M3。其中第一個(gè)消息塊M1變成密鑰使用，其他作鑒權(quán)使用。

二、密鑰生成技術(shù)

密鑰生成可以有很多方法來實(shí)現(xiàn)，例如可以選用基于DES的密鑰生成方案。為了生成48bits的加密密鑰，必須對(duì)M1=48/64bits的數(shù)據(jù)進(jìn)行Hash變換，直接利用第一個(gè)消息塊M1變成DES密鑰，可以根據(jù)DES密鑰的特點(diǎn)。

假定M1，M2，M3分別是176bits分解后得到的M1=48bits，M2=64bits，M3=64bits，176bits值由152bits長的消息和24bits的填充值組成。直接利用M1=48bits作為密鑰生成方案的輸入，并排列成6×8的陣列，二進(jìn)制序列串的每位按順序轉(zhuǎn)換輸出，結(jié)果就能方便獲取密鑰結(jié)果。

假定從Hash變換后的176/192bits已填充消息中能夠獲取18bits的AUTHR計(jì)算消息摘要的結(jié)果，則其具體實(shí)現(xiàn)過程如下（已填充消息）：176bits=152bits消息＋24bits填充值：192bits=152bits消息＋40bits填充值。如果已知輸入?yún)?shù)M1（48bits）=16c27a415f39，M2（64bits）=17b439a12f51c5a8，M3（64bits）=51cb36af4300000，則根據(jù)上面的解釋說明，若令密鑰生成技術(shù)直接采用其結(jié)果，則有K=01959d7857e4。接著可以有兩種沒的填充消息計(jì)算AUTHR(18)值。

三、消息加密處理

無線網(wǎng)絡(luò)傳輸時(shí)為了保護(hù)用戶的敏感信息，必須對(duì)給定信道中信令消息的某些字段進(jìn)行加密，而且要求在執(zhí)行鑒權(quán)后才對(duì)消息進(jìn)行加密。具體實(shí)現(xiàn)可在每個(gè)反向業(yè)務(wù)信道的消息中包含一個(gè)字段，作為樗消息激活時(shí)需要的加密模式。也就是說，如果基站支持移動(dòng)臺(tái)鑒權(quán)，一般也支持消息加密，通過發(fā)送加密控制消息來執(zhí)行加密和解密的操作實(shí)現(xiàn)。

受鑒權(quán)控制的影響，信令加密只能在鑒權(quán)執(zhí)行時(shí)才有效，信令消息加密是針對(duì)每個(gè)呼叫單獨(dú)進(jìn)行的。而對(duì)于CDMA系統(tǒng)中的話音保密，它是通過用于PN擴(kuò)展的私有長碼的掩碼來提供業(yè)務(wù)信道的呼叫保密。移動(dòng)臺(tái)用戶可以在呼叫設(shè)置過程使用呼叫源消息或?qū)ず繇憫?yīng)消息，或者在業(yè)務(wù)信道操作過程使用長碼轉(zhuǎn)換請(qǐng)求指令來要求話音保密。

（一）加密密鑰生成非線性組合方法。利用一個(gè)非線性函數(shù)結(jié)合若干個(gè)最大長度移位寄存器構(gòu)成的密鑰流發(fā)生器。真正由LFSR產(chǎn)生的PN序列結(jié)合非線性函數(shù)設(shè)計(jì)構(gòu)造的密鑰流發(fā)生器的目的是能經(jīng)得起任何密碼攻擊的。在CDMA移動(dòng)通信系統(tǒng)中，LFSR應(yīng)用了非線性慮波函數(shù)f(x)的32級(jí)LFSR，來設(shè)計(jì)構(gòu)造實(shí)用密鑰流發(fā)生器。

考慮到SSDA(64bits)用于鑒權(quán)，SSDB(64bits)用于CDMA消息保密。其中SSDB又分成兩半（各32bits），高位32bits分配給32級(jí)LFSR作為初始值；低位32bits作非線性函數(shù)使用。假設(shè)SSDB(64bits)=(30a7f41583c7519a)16，分成SSDBH(32)=(30a7f415)16，SSDBL(32)=(83c7519a)16。低位的32bits再平均分成四個(gè)8比特組，如SSDB1(32)=(83，c7，51，9a)16。其中的非線性函數(shù)應(yīng)用了一個(gè)k個(gè)變量乘積和的二進(jìn)制序列的非線性理論。令f(x)為變量x1 的任一非線性函數(shù)，1≤i≤n，則有

∫(x)=a1 + x1 + + x2 +…an xn+ a12 x1 x2+…an1.n xn1 xn+ a123 x1 x2 x3+…an2,n-1,n xn-2 xn-1 xn+…+ a12…n x1 x2…xn

這里，變量的一個(gè)乘積叫做第k階乘積乘積項(xiàng)中階數(shù)最大的為f(x)的階數(shù)。

（二）加密和消息安全。反向W-CDMA信道是指移動(dòng)臺(tái)到基站的通信鏈路。反向鏈路包括一個(gè)接入信道和一個(gè)業(yè)務(wù)信道，每個(gè)信道又包括一個(gè)反向?qū)ьl信道，反向業(yè)務(wù)信道還包括一個(gè)信令信道。每個(gè)移動(dòng)臺(tái)發(fā)送一個(gè)反向?qū)ьl信號(hào)，該信號(hào)與基礎(chǔ)站發(fā)送的導(dǎo)頻信號(hào)是同步的。

反向CDMA信道由接入信道和反向業(yè)務(wù)信道組成。其中，接入信道包括：反向?qū)ьl信道和反向接入信道；反向業(yè)務(wù)信道包括：反向?qū)ьl信道、反向信息信道和反向信令信道。

在反向業(yè)務(wù)信道上的數(shù)據(jù)，以及反向業(yè)務(wù)信道用于在呼叫期間向基站發(fā)送的用戶和信令信息用于在呼叫期間向基站發(fā)送的用戶和信令信息必須進(jìn)行加密。通常的消息加密有兩種方式：外部加密和內(nèi)部加密。

消息M先用生成的密鑰流K進(jìn)行加密，移動(dòng)臺(tái)先對(duì)反向業(yè)務(wù)信道上發(fā)送的加密后的數(shù)據(jù)序列進(jìn)行卷積編碼，然后再進(jìn)行塊交織，基中編碼用到的是(3，1，8)卷積編碼器。一般把這種加密方案稱為“外部加密”。其次是先編碼再加密，先解密后譯碼的加密方案，通常稱為“內(nèi)部加密”。內(nèi)部加密方案一般用96bits的消息幀進(jìn)行(3，1，8)卷積編碼，它可以輸出3倍長的輸入信號(hào)作為碼符號(hào)，再用密鑰序列進(jìn)行加密。

四、結(jié)束語

鑒權(quán)和消息加密僅僅是無線通信網(wǎng)絡(luò)中數(shù)據(jù)傳輸安全技術(shù)的一部分，除此以外，還需要考慮安全計(jì)費(fèi)和轉(zhuǎn)賬、跨地區(qū)漫游安全業(yè)務(wù)等保密措施?？傊踩珕栴}永遠(yuǎn)是無線網(wǎng)絡(luò)不可忽視的技術(shù)內(nèi)核。

參考文獻(xiàn)：

[1]周玉潔、馮登國，《公開密鑰密碼算法及其快速實(shí)現(xiàn)》[M].北京：國防工業(yè)出版社，2003.

[2]張紅旗，《信息網(wǎng)絡(luò)安全》[M].北京：清華大學(xué)出版社，2002.

[3]Dr. Cyrus Peikari，《無線網(wǎng)絡(luò)安全》[M].北京：電子工業(yè)出版社，2004.7.

[4]段鋼，《加密與解密》[M].北京：電子工業(yè)出版社，2003.6.