1.2 無線網(wǎng)絡(luò)安全概述

1.2.1 無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別

無線網(wǎng)絡(luò)提高了用戶訪問網(wǎng)絡(luò)的自由度，具有網(wǎng)絡(luò)容易安裝，增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)方便靈活、費用低廉，可以提供（無線覆蓋范圍內(nèi)的）移動接入服務等優(yōu)勢。然而，這種方便和自由也帶來了安全問題。由于無線網(wǎng)絡(luò)通過無線電波在空中傳輸數(shù)據(jù)，在信號傳遞區(qū)域內(nèi)的無線網(wǎng)絡(luò)用戶，只要具有相同接收頻率就可能獲取所傳遞的信息，要將無線網(wǎng)絡(luò)環(huán)境中傳遞的數(shù)據(jù)僅僅傳送給一個目標接收者是不可能的。另一方面，由于無線移動設(shè)備在存儲能力、計算能力和電源供電時間方面的局限性，使得原來在有線環(huán)境下的許多安全方案和安全技術(shù)不能直接應用于無線環(huán)境，例如防火墻對通過無線電波進行的網(wǎng)絡(luò)通信起不了作用，任何人在區(qū)域范圍之內(nèi)都可以截獲和插入數(shù)據(jù)；計算量大的加密/解密算法不適用于移動設(shè)備等。

與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴重。所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患通常都依然存在于無線網(wǎng)絡(luò)中，同時無線網(wǎng)絡(luò)傳輸?shù)男畔⒏菀妆桓`取、篡改和插入；無線網(wǎng)絡(luò)容易受到拒絕服務攻擊（Denail of Service，DoS）和干擾等。由于無線網(wǎng)絡(luò)在移動設(shè)備和傳輸介質(zhì)方面的特殊性，使得一些攻擊更容易實施，同時，解決無線網(wǎng)絡(luò)安全問題比有線網(wǎng)絡(luò)的限制更多、難度更大。

無線網(wǎng)絡(luò)在信息安全方面有著與有線網(wǎng)絡(luò)不同的特點，具體表現(xiàn)在以下幾個方面。

（1）無線網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)更容易受到惡意攻擊：無線鏈路使得網(wǎng)絡(luò)更容易受到被動竊聽或主動干擾的各種攻擊。有線網(wǎng)絡(luò)的網(wǎng)絡(luò)連接是相對固定的，具有確定的邊界，攻擊者必須物理接入網(wǎng)絡(luò)或經(jīng)過物理邊界（防線），如防火墻和網(wǎng)關(guān)，才能進入有線網(wǎng)絡(luò)。這樣通過對接入端口的管理可以有效地控制非法用戶的接入。而無線網(wǎng)絡(luò)則沒有一個明確的防御邊界，攻擊者可能來自四面八方和任意節(jié)點，每個節(jié)點必須面對攻擊者直接或間接的攻擊。無線網(wǎng)絡(luò)的這種開放性帶來了非法信息截取、未授權(quán)使用服務等一系列信息安全問題。

（2）無線網(wǎng)絡(luò)的移動性使得安全管理難度更大。有線網(wǎng)絡(luò)的用戶終端與接入設(shè)備之間通過線纜連接，終端不能在大范圍內(nèi)移動，對用戶的管理比較容易。而無線網(wǎng)絡(luò)終端不僅可以在較大范圍內(nèi)移動，而且還可以跨區(qū)域漫游，這意味著移動節(jié)點沒有足夠的物理防護，從而易被竊聽、破壞和劫持。攻擊者可能在任何位置通過移動設(shè)備實施攻擊，而在較大范圍內(nèi)跟蹤一個特定的移動節(jié)點是很難做到的；另一方面，通過網(wǎng)絡(luò)內(nèi)部已經(jīng)被入侵的節(jié)點（也稱為妥協(xié)節(jié)點、攻陷節(jié)點）實施攻擊而造成的破壞更大，更難檢測到。因此，對無線網(wǎng)絡(luò)移動終端的管理要困難得多。

（3）無線網(wǎng)絡(luò)動態(tài)變化的拓撲結(jié)構(gòu)使得安全方案的實施難度更大。有線網(wǎng)絡(luò)具有固定的拓撲結(jié)構(gòu)，安全技術(shù)和方案容易實現(xiàn)；而在無線網(wǎng)絡(luò)環(huán)境中，動態(tài)的、變化的拓撲結(jié)構(gòu)缺乏集中管理機制，使得安全技術(shù)更加復雜。另一方面，無線網(wǎng)絡(luò)環(huán)境中做出的許多決策是分散的，而許多網(wǎng)絡(luò)算法必須依賴所有節(jié)點的共同參與和協(xié)作。缺乏集中管理機制意味著攻擊者可能利用這一弱點實施新的攻擊來破壞協(xié)作機制。

（4）無線網(wǎng)絡(luò)傳輸信號的不穩(wěn)定性帶來無線通信網(wǎng)絡(luò)的魯棒性問題。有線網(wǎng)絡(luò)的傳輸環(huán)境是確定的，信號質(zhì)量穩(wěn)定，而無線網(wǎng)絡(luò)隨著用戶的移動其信道特性是變化的，會受到干擾、衰落、多徑、多普勒頻移等多方面的影響，造成信號質(zhì)量波動較大，甚至無法進行通信。因此，無線網(wǎng)絡(luò)傳輸信道的不穩(wěn)定性產(chǎn)生了無線通信網(wǎng)絡(luò)的魯棒性問題。

此外，移動計算引入了新的計算和通信行為，這些行為在固定或有線網(wǎng)絡(luò)中很少出現(xiàn)。例如，節(jié)點間的協(xié)作、數(shù)據(jù)包的轉(zhuǎn)發(fā)、節(jié)點間的信任和協(xié)作機制、貪心節(jié)點的可能性與不合作行為、節(jié)點因缺電造成的系統(tǒng)可靠性問題等。因此，有線網(wǎng)絡(luò)中的安全措施不能應對新的攻擊，需要重新審視無線網(wǎng)絡(luò)的安全威脅及其對策。

總之，無線網(wǎng)絡(luò)的脆弱性是由于其傳輸介質(zhì)的開放性、終端的移動性、動態(tài)變化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、傳輸信號的不穩(wěn)定性、缺乏集中的監(jiān)視和管理點及沒有明確的網(wǎng)絡(luò)邊界防線造成的。因此，在無線網(wǎng)絡(luò)環(huán)境中，在設(shè)計實現(xiàn)一個完善的無線網(wǎng)絡(luò)系統(tǒng)時，必須首先分析網(wǎng)絡(luò)中存在的各種安全威脅。針對這些威脅提煉必需的安全需求，從而設(shè)計相應的安全方案，通常包括用戶接入控制設(shè)計、用戶身份認證方案設(shè)計、密鑰協(xié)商及密鑰管理方案的設(shè)計等。其中通信的保密性和認證技術(shù)是無線網(wǎng)絡(luò)安全的需求解決的首要問題。

1.2.2 無線網(wǎng)絡(luò)安全威脅與對策

1.安全威脅及其具體表現(xiàn)

從信息安全角度來說，安全威脅是指某個人、物或事件對某一資源的保密性、完整性、可用性或合法使用性所造成的危險。安全威脅可以分為故意的和偶然的，故意的威脅又可以進一步分為主動的和被動的。偶然的威脅通常從可靠性、容錯性、魯棒性角度進行分析；故意的威脅通常是安全分析中的主要內(nèi)容。被動威脅包括只對信息進行監(jiān)聽，而不對其進行修改。主動威脅包括對信息進行故意的篡改（包含插入、刪減、添加）、偽造虛假信息等。對每一種可能的攻擊行為都要從攻擊方法、攻擊可能導致的后果、攻擊者的數(shù)量和實施這種攻擊的可能性4個方面進行分析，以便采取相應的安全對策。

通常，無線網(wǎng)絡(luò)環(huán)境中安全威脅的具體表現(xiàn)主要有以下3個方面。

（1）無線（含有線）鏈路上存在的安全威脅：通常在制定無線網(wǎng)絡(luò)安全方案時，無線鏈路的安全威脅都需要得到充分的考慮，此外，與無線鏈路相連的有線鏈路也需要同時加以考慮（由于先前一些無線網(wǎng)絡(luò)的有線鏈路部分可視為不開放的獨立網(wǎng)絡(luò)，其安全隱患往往被忽視，但隨著無線網(wǎng)絡(luò)的不斷發(fā)展和互連，先前的有線網(wǎng)絡(luò)不再是孤立和封閉的，有線鏈路受到的威脅也越來越大），具體表現(xiàn)如下。

① 攻擊者被動竊聽鏈路上的未加密信息，收集并分析使用弱的密碼體制加密的信息。

② 攻擊者篡改、插入、添加或刪除鏈路上的數(shù)據(jù)。

③ 攻擊者重放截獲的信息已達到欺騙的目的。

④ 因鏈路被干擾或攻擊而導致移動終端和無線網(wǎng)絡(luò)的信息不同步或者服務中斷。

⑤ 攻擊者從鏈路上非法獲取用戶的隱私，包括追蹤合法用戶的位置、記錄用戶使用的服務等。

（2）網(wǎng)絡(luò)實體上存在的安全威脅：包括如下5種。

① 攻擊者偽裝成合法用戶使用網(wǎng)絡(luò)服務。

② 攻擊者偽裝成合法網(wǎng)絡(luò)實體欺騙用戶接入，或者與其他網(wǎng)絡(luò)實體進行通信，從而獲取有效的用戶信息，從而開展進一步的攻擊。

③ 合法用戶越權(quán)使用網(wǎng)絡(luò)服務。

④ 攻擊者針對無線網(wǎng)絡(luò)實施阻塞式攻擊。由于無線網(wǎng)絡(luò)接入信道的數(shù)量和帶寬較有線網(wǎng)絡(luò)要小得多，因此在無線網(wǎng)絡(luò)安全的威脅中，該種攻擊成功的可能性是非常大的。

⑤ 用戶否認其使用的服務或資源。

（3）移動終端中存在的安全隱患和威脅：包括移動終端由于丟失或被竊取而造成其中的機密信息泄漏；現(xiàn)有移動終端的操作系統(tǒng)并不安全，缺乏完整性保護和完善的訪問控制策略，容易被病毒、木馬或惡意代碼所侵蝕，從而造成用戶的機密信息被泄漏或篡改。

從信息安全的4個基本安全目標（機密性、完整性、認證性及可用性）的角度來看，可將安全威脅相應地分成四大類基本威脅：信息泄露、完整性破壞、非授權(quán)使用資源和拒絕服務攻擊。圍繞著這四大類主要威脅，在無線網(wǎng)絡(luò)環(huán)境下，可實現(xiàn)的各種主要的具體威脅有無授權(quán)訪問、竊聽、偽裝、篡改、重放、重發(fā)路由信息、錯誤路由信息、刪除應轉(zhuǎn)發(fā)消息、網(wǎng)絡(luò)泛洪（flooding）等。表1.1所示給出了具體的安全威脅。

表1.1 具體安全威脅與基本威脅的對應關(guān)系

從網(wǎng)絡(luò)通信服務的角度而言，主要的安全防護措施稱為安全業(yè)務。有5種通用的安全業(yè)務，即認證業(yè)務、訪問控制業(yè)務、保密業(yè)務、數(shù)據(jù)完整性業(yè)務和不可否認業(yè)務。具體而言，在無線網(wǎng)絡(luò)環(huán)境下，具體的安全業(yè)務可以分為訪問控制、實體認證、數(shù)據(jù)來源認證、數(shù)據(jù)完整性、數(shù)據(jù)機密性、不可否認（Non-Repudiation）、安全報警、安全響應和安全性審計等，如表1.2所示。

表1.2 與安全威脅相對應的安全業(yè)務

表1.2的分類主要從信息安全中的密碼學角度，如果從計算機網(wǎng)絡(luò)安全角度則還包括安全報警、安全響應和安全性審計等安全服務。

2.保密性和認證需求

保密性和認證性是無線網(wǎng)絡(luò)安全的基本安全業(yè)務。無線網(wǎng)絡(luò)環(huán)境中的保密性包括移動用戶位置的機密性、用戶身份的機密性、傳輸數(shù)據(jù)的機密性和完整性。位置和身份的機密性能夠阻止非授權(quán)實體獲取有關(guān)通信方的位置信息，數(shù)據(jù)或內(nèi)容的機密性能夠阻止非授權(quán)用戶暴露存儲或傳輸中的數(shù)據(jù)。機密性又可以分為鏈路到鏈路（hop-to-hop）或端到端（end-to-end）的兩種情形。鏈路層的機密性在數(shù)據(jù)鏈路層提供，對用戶是不可見的。

認證性通過可靠的實體認證或者身份識別來保證通信方的身份，其目的是阻止偽裝、防止非法用戶的接入與訪問。認證可以進一步分為實體認證和數(shù)據(jù)源認證。實體認證的目的是證實一個用戶、系統(tǒng)或應用所聲稱的身份是否屬實。數(shù)據(jù)源認證，也稱為消息認證，是驗證通信數(shù)據(jù)的來源是否為所聲稱的來源。實體認證包括單向認證和雙向認證。單向認證由驗證者認證通信方的身份，而雙向認證中通信的雙方都要進行認證。在實際應用中，往往通過安全協(xié)議來完成實體間的認證、在實體間安全地分配密鑰（以達到進一步的保密通信）、確認發(fā)送和接收的消息的不可否認性等。由于實體認證成功之后緊接著是密鑰協(xié)商，通常把該過程稱為認證的密鑰協(xié)商（Authenticated Key Agreement，AKA）。在無線網(wǎng)絡(luò)環(huán)境中，安全的接入網(wǎng)絡(luò)并在兩個實體之間安全地建立會話密鑰以提供后續(xù)的數(shù)據(jù)機密性這一問題是認證協(xié)議所要解決的核心問題，是后續(xù)安全通信的基礎(chǔ)，同時也是無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全區(qū)別最大的問題之一。

1.2.3 解決無線網(wǎng)絡(luò)安全問題的一般思路

在具體分析無線網(wǎng)絡(luò)的安全問題時，一般的思路如下（如圖1.3所示）。

（1）分析對系統(tǒng)的假設(shè)和約定，包括對網(wǎng)絡(luò)中節(jié)點的計算、通信、存儲能力的假設(shè)，這些是設(shè)計安全方案的約束條件。

（2）分析網(wǎng)絡(luò)的體系結(jié)構(gòu)，明確網(wǎng)絡(luò)的拓撲結(jié)構(gòu)（星形、網(wǎng)狀、分層樹狀、單跳還是多跳網(wǎng)絡(luò)、拓撲結(jié)構(gòu)是否變化、節(jié)點是否移動）、通信類型（單播、組播、廣播等）、鏈路參數(shù)（帶寬、吞吐率、延遲）、網(wǎng)絡(luò)規(guī)模（節(jié)點數(shù)量、網(wǎng)絡(luò)覆蓋面積）等。

（3）分析網(wǎng)絡(luò)的業(yè)務構(gòu)成，涉及的實體（角色）、業(yè)務通信的基本內(nèi)容等，思考這些實體和通信內(nèi)容可能面臨的安全威脅。

（4）分析網(wǎng)絡(luò)和系統(tǒng)中的信任模型，明確方案涉及的相關(guān)實體和通信鏈路的信任程度，即通信鏈路或者實體是可信、半可信還是非安全的，思考安全邊界。

（5）分析攻擊網(wǎng)絡(luò)和系統(tǒng)的敵手模型：是內(nèi)部還是外部攻擊，是主動還是被動攻擊，思考對敵手能力的設(shè)定，給出一些典型的攻擊場景。根據(jù)網(wǎng)絡(luò)的特征分析可能存在的特有的安全威脅，防御這些威脅時通用的網(wǎng)絡(luò)安全措施可能不能奏效。

（6）從存在的威脅中歸納出共性的安全需求，特別是從信息安全基本安全需求的角度分析，包括私密性、認證性、完整性、可用性、健壯性（容侵、容錯）、隱私保護、信任管理。思考安全防御的一般思路，如是采用密碼學的方法，還是采用網(wǎng)絡(luò)和計算機相關(guān)的方法。

（7）根據(jù)安全需求、網(wǎng)絡(luò)體系結(jié)構(gòu)、系統(tǒng)假設(shè)確定安全目標和特性，即在滿足網(wǎng)絡(luò)體系結(jié)構(gòu)和系統(tǒng)假想條件下如何滿足完全需求。

（8）根據(jù)安全目標和特性、網(wǎng)絡(luò)體系結(jié)構(gòu)、系統(tǒng)假設(shè)、安全策略和機制最后確定安全體系或方案。