1.2 無線網絡安全概述

1.2.1 無線網絡安全與有線網絡安全的區別

無線網絡提高了用戶訪問網絡的自由度，具有網絡容易安裝，增加用戶或更改網絡結構方便靈活、費用低廉，可以提供（無線覆蓋范圍內的）移動接入服務等優勢。然而，這種方便和自由也帶來了安全問題。由于無線網絡通過無線電波在空中傳輸數據，在信號傳遞區域內的無線網絡用戶，只要具有相同接收頻率就可能獲取所傳遞的信息，要將無線網絡環境中傳遞的數據僅僅傳送給一個目標接收者是不可能的。另一方面，由于無線移動設備在存儲能力、計算能力和電源供電時間方面的局限性，使得原來在有線環境下的許多安全方案和安全技術不能直接應用于無線環境，例如防火墻對通過無線電波進行的網絡通信起不了作用，任何人在區域范圍之內都可以截獲和插入數據；計算量大的加密/解密算法不適用于移動設備等。

與有線網絡相比，無線網絡所面臨的安全威脅更加嚴重。所有常規有線網絡中存在的安全威脅和隱患通常都依然存在于無線網絡中，同時無線網絡傳輸的信息更容易被竊取、篡改和插入；無線網絡容易受到拒絕服務攻擊（Denail of Service，DoS）和干擾等。由于無線網絡在移動設備和傳輸介質方面的特殊性，使得一些攻擊更容易實施，同時，解決無線網絡安全問題比有線網絡的限制更多、難度更大。

無線網絡在信息安全方面有著與有線網絡不同的特點，具體表現在以下幾個方面。

（1）無線網絡的開放性使得網絡更容易受到惡意攻擊：無線鏈路使得網絡更容易受到被動竊聽或主動干擾的各種攻擊。有線網絡的網絡連接是相對固定的，具有確定的邊界，攻擊者必須物理接入網絡或經過物理邊界（防線），如防火墻和網關，才能進入有線網絡。這樣通過對接入端口的管理可以有效地控制非法用戶的接入。而無線網絡則沒有一個明確的防御邊界，攻擊者可能來自四面八方和任意節點，每個節點必須面對攻擊者直接或間接的攻擊。無線網絡的這種開放性帶來了非法信息截取、未授權使用服務等一系列信息安全問題。

（2）無線網絡的移動性使得安全管理難度更大。有線網絡的用戶終端與接入設備之間通過線纜連接，終端不能在大范圍內移動，對用戶的管理比較容易。而無線網絡終端不僅可以在較大范圍內移動，而且還可以跨區域漫游，這意味著移動節點沒有足夠的物理防護，從而易被竊聽、破壞和劫持。攻擊者可能在任何位置通過移動設備實施攻擊，而在較大范圍內跟蹤一個特定的移動節點是很難做到的；另一方面，通過網絡內部已經被入侵的節點（也稱為妥協節點、攻陷節點）實施攻擊而造成的破壞更大，更難檢測到。因此，對無線網絡移動終端的管理要困難得多。

（3）無線網絡動態變化的拓撲結構使得安全方案的實施難度更大。有線網絡具有固定的拓撲結構，安全技術和方案容易實現；而在無線網絡環境中，動態的、變化的拓撲結構缺乏集中管理機制，使得安全技術更加復雜。另一方面，無線網絡環境中做出的許多決策是分散的，而許多網絡算法必須依賴所有節點的共同參與和協作。缺乏集中管理機制意味著攻擊者可能利用這一弱點實施新的攻擊來破壞協作機制。

（4）無線網絡傳輸信號的不穩定性帶來無線通信網絡的魯棒性問題。有線網絡的傳輸環境是確定的，信號質量穩定，而無線網絡隨著用戶的移動其信道特性是變化的，會受到干擾、衰落、多徑、多普勒頻移等多方面的影響，造成信號質量波動較大，甚至無法進行通信。因此，無線網絡傳輸信道的不穩定性產生了無線通信網絡的魯棒性問題。

此外，移動計算引入了新的計算和通信行為，這些行為在固定或有線網絡中很少出現。例如，節點間的協作、數據包的轉發、節點間的信任和協作機制、貪心節點的可能性與不合作行為、節點因缺電造成的系統可靠性問題等。因此，有線網絡中的安全措施不能應對新的攻擊，需要重新審視無線網絡的安全威脅及其對策。

總之，無線網絡的脆弱性是由于其傳輸介質的開放性、終端的移動性、動態變化的網絡拓撲結構、傳輸信號的不穩定性、缺乏集中的監視和管理點及沒有明確的網絡邊界防線造成的。因此，在無線網絡環境中，在設計實現一個完善的無線網絡系統時，必須首先分析網絡中存在的各種安全威脅。針對這些威脅提煉必需的安全需求，從而設計相應的安全方案，通常包括用戶接入控制設計、用戶身份認證方案設計、密鑰協商及密鑰管理方案的設計等。其中通信的保密性和認證技術是無線網絡安全的需求解決的首要問題。

1.2.2 無線網絡安全威脅與對策

1.安全威脅及其具體表現

從信息安全角度來說，安全威脅是指某個人、物或事件對某一資源的保密性、完整性、可用性或合法使用性所造成的危險。安全威脅可以分為故意的和偶然的，故意的威脅又可以進一步分為主動的和被動的。偶然的威脅通常從可靠性、容錯性、魯棒性角度進行分析；故意的威脅通常是安全分析中的主要內容。被動威脅包括只對信息進行監聽，而不對其進行修改。主動威脅包括對信息進行故意的篡改（包含插入、刪減、添加）、偽造虛假信息等。對每一種可能的攻擊行為都要從攻擊方法、攻擊可能導致的后果、攻擊者的數量和實施這種攻擊的可能性4個方面進行分析，以便采取相應的安全對策。

通常，無線網絡環境中安全威脅的具體表現主要有以下3個方面。

（1）無線（含有線）鏈路上存在的安全威脅：通常在制定無線網絡安全方案時，無線鏈路的安全威脅都需要得到充分的考慮，此外，與無線鏈路相連的有線鏈路也需要同時加以考慮（由于先前一些無線網絡的有線鏈路部分可視為不開放的獨立網絡，其安全隱患往往被忽視，但隨著無線網絡的不斷發展和互連，先前的有線網絡不再是孤立和封閉的，有線鏈路受到的威脅也越來越大），具體表現如下。

① 攻擊者被動竊聽鏈路上的未加密信息，收集并分析使用弱的密碼體制加密的信息。

② 攻擊者篡改、插入、添加或刪除鏈路上的數據。

③ 攻擊者重放截獲的信息已達到欺騙的目的。

④ 因鏈路被干擾或攻擊而導致移動終端和無線網絡的信息不同步或者服務中斷。

⑤ 攻擊者從鏈路上非法獲取用戶的隱私，包括追蹤合法用戶的位置、記錄用戶使用的服務等。

（2）網絡實體上存在的安全威脅：包括如下5種。

① 攻擊者偽裝成合法用戶使用網絡服務。

② 攻擊者偽裝成合法網絡實體欺騙用戶接入，或者與其他網絡實體進行通信，從而獲取有效的用戶信息，從而開展進一步的攻擊。

③ 合法用戶越權使用網絡服務。

④ 攻擊者針對無線網絡實施阻塞式攻擊。由于無線網絡接入信道的數量和帶寬較有線網絡要小得多，因此在無線網絡安全的威脅中，該種攻擊成功的可能性是非常大的。

⑤ 用戶否認其使用的服務或資源。

（3）移動終端中存在的安全隱患和威脅：包括移動終端由于丟失或被竊取而造成其中的機密信息泄漏；現有移動終端的操作系統并不安全，缺乏完整性保護和完善的訪問控制策略，容易被病毒、木馬或惡意代碼所侵蝕，從而造成用戶的機密信息被泄漏或篡改。

從信息安全的4個基本安全目標（機密性、完整性、認證性及可用性）的角度來看，可將安全威脅相應地分成四大類基本威脅：信息泄露、完整性破壞、非授權使用資源和拒絕服務攻擊。圍繞著這四大類主要威脅，在無線網絡環境下，可實現的各種主要的具體威脅有無授權訪問、竊聽、偽裝、篡改、重放、重發路由信息、錯誤路由信息、刪除應轉發消息、網絡泛洪（flooding）等。表1.1所示給出了具體的安全威脅。

表1.1 具體安全威脅與基本威脅的對應關系

從網絡通信服務的角度而言，主要的安全防護措施稱為安全業務。有5種通用的安全業務，即認證業務、訪問控制業務、保密業務、數據完整性業務和不可否認業務。具體而言，在無線網絡環境下，具體的安全業務可以分為訪問控制、實體認證、數據來源認證、數據完整性、數據機密性、不可否認（Non-Repudiation）、安全報警、安全響應和安全性審計等，如表1.2所示。

表1.2 與安全威脅相對應的安全業務

表1.2的分類主要從信息安全中的密碼學角度，如果從計算機網絡安全角度則還包括安全報警、安全響應和安全性審計等安全服務。

2.保密性和認證需求

保密性和認證性是無線網絡安全的基本安全業務。無線網絡環境中的保密性包括移動用戶位置的機密性、用戶身份的機密性、傳輸數據的機密性和完整性。位置和身份的機密性能夠阻止非授權實體獲取有關通信方的位置信息，數據或內容的機密性能夠阻止非授權用戶暴露存儲或傳輸中的數據。機密性又可以分為鏈路到鏈路（hop-to-hop）或端到端（end-to-end）的兩種情形。鏈路層的機密性在數據鏈路層提供，對用戶是不可見的。

認證性通過可靠的實體認證或者身份識別來保證通信方的身份，其目的是阻止偽裝、防止非法用戶的接入與訪問。認證可以進一步分為實體認證和數據源認證。實體認證的目的是證實一個用戶、系統或應用所聲稱的身份是否屬實。數據源認證，也稱為消息認證，是驗證通信數據的來源是否為所聲稱的來源。實體認證包括單向認證和雙向認證。單向認證由驗證者認證通信方的身份，而雙向認證中通信的雙方都要進行認證。在實際應用中，往往通過安全協議來完成實體間的認證、在實體間安全地分配密鑰（以達到進一步的保密通信）、確認發送和接收的消息的不可否認性等。由于實體認證成功之后緊接著是密鑰協商，通常把該過程稱為認證的密鑰協商（Authenticated Key Agreement，AKA）。在無線網絡環境中，安全的接入網絡并在兩個實體之間安全地建立會話密鑰以提供后續的數據機密性這一問題是認證協議所要解決的核心問題，是后續安全通信的基礎，同時也是無線網絡安全與有線網絡安全區別最大的問題之一。

1.2.3 解決無線網絡安全問題的一般思路

在具體分析無線網絡的安全問題時，一般的思路如下（如圖1.3所示）。

（1）分析對系統的假設和約定，包括對網絡中節點的計算、通信、存儲能力的假設，這些是設計安全方案的約束條件。

（2）分析網絡的體系結構，明確網絡的拓撲結構（星形、網狀、分層樹狀、單跳還是多跳網絡、拓撲結構是否變化、節點是否移動）、通信類型（單播、組播、廣播等）、鏈路參數（帶寬、吞吐率、延遲）、網絡規模（節點數量、網絡覆蓋面積）等。

（3）分析網絡的業務構成，涉及的實體（角色）、業務通信的基本內容等，思考這些實體和通信內容可能面臨的安全威脅。

（4）分析網絡和系統中的信任模型，明確方案涉及的相關實體和通信鏈路的信任程度，即通信鏈路或者實體是可信、半可信還是非安全的，思考安全邊界。

（5）分析攻擊網絡和系統的敵手模型：是內部還是外部攻擊，是主動還是被動攻擊，思考對敵手能力的設定，給出一些典型的攻擊場景。根據網絡的特征分析可能存在的特有的安全威脅，防御這些威脅時通用的網絡安全措施可能不能奏效。

（6）從存在的威脅中歸納出共性的安全需求，特別是從信息安全基本安全需求的角度分析，包括私密性、認證性、完整性、可用性、健壯性（容侵、容錯）、隱私保護、信任管理。思考安全防御的一般思路，如是采用密碼學的方法，還是采用網絡和計算機相關的方法。

（7）根據安全需求、網絡體系結構、系統假設確定安全目標和特性，即在滿足網絡體系結構和系統假想條件下如何滿足完全需求。

（8）根據安全目標和特性、網絡體系結構、系統假設、安全策略和機制最后確定安全體系或方案。