1.2 无线网络安全概述

1.2.1 无线网络安全与有线网络安全的区别

无线网络提高了用户访问网络的自由度，具有网络容易安装，增加用户或更改网络结构方便灵活、费用低廉，可以提供（无线覆盖范围内的）移动接入服务等优势。然而，这种方便和自由也带来了安全问题。由于无线网络通过无线电波在空中传输数据，在信号传递区域内的无线网络用户，只要具有相同接收频率就可能获取所传递的信息，要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面，由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性，使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境，例如防火墙对通过无线电波进行的网络通信起不了作用，任何人在区域范围之内都可以截获和插入数据；计算量大的加密/解密算法不适用于移动设备等。

与有线网络相比，无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患通常都依然存在于无线网络中，同时无线网络传输的信息更容易被窃取、篡改和插入；无线网络容易受到拒绝服务攻击（Denail of Service，DoS）和干扰等。由于无线网络在移动设备和传输介质方面的特殊性，使得一些攻击更容易实施，同时，解决无线网络安全问题比有线网络的限制更多、难度更大。

无线网络在信息安全方面有着与有线网络不同的特点，具体表现在以下几个方面。

（1）无线网络的开放性使得网络更容易受到恶意攻击：无线链路使得网络更容易受到被动窃听或主动干扰的各种攻击。有线网络的网络连接是相对固定的，具有确定的边界，攻击者必须物理接入网络或经过物理边界（防线），如防火墙和网关，才能进入有线网络。这样通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界，攻击者可能来自四面八方和任意节点，每个节点必须面对攻击者直接或间接的攻击。无线网络的这种开放性带来了非法信息截取、未授权使用服务等一系列信息安全问题。

（2）无线网络的移动性使得安全管理难度更大。有线网络的用户终端与接入设备之间通过线缆连接，终端不能在大范围内移动，对用户的管理比较容易。而无线网络终端不仅可以在较大范围内移动，而且还可以跨区域漫游，这意味着移动节点没有足够的物理防护，从而易被窃听、破坏和劫持。攻击者可能在任何位置通过移动设备实施攻击，而在较大范围内跟踪一个特定的移动节点是很难做到的；另一方面，通过网络内部已经被入侵的节点（也称为妥协节点、攻陷节点）实施攻击而造成的破坏更大，更难检测到。因此，对无线网络移动终端的管理要困难得多。

（3）无线网络动态变化的拓扑结构使得安全方案的实施难度更大。有线网络具有固定的拓扑结构，安全技术和方案容易实现；而在无线网络环境中，动态的、变化的拓扑结构缺乏集中管理机制，使得安全技术更加复杂。另一方面，无线网络环境中做出的许多决策是分散的，而许多网络算法必须依赖所有节点的共同参与和协作。缺乏集中管理机制意味着攻击者可能利用这一弱点实施新的攻击来破坏协作机制。

（4）无线网络传输信号的不稳定性带来无线通信网络的鲁棒性问题。有线网络的传输环境是确定的，信号质量稳定，而无线网络随着用户的移动其信道特性是变化的，会受到干扰、衰落、多径、多普勒频移等多方面的影响，造成信号质量波动较大，甚至无法进行通信。因此，无线网络传输信道的不稳定性产生了无线通信网络的鲁棒性问题。

此外，移动计算引入了新的计算和通信行为，这些行为在固定或有线网络中很少出现。例如，节点间的协作、数据包的转发、节点间的信任和协作机制、贪心节点的可能性与不合作行为、节点因缺电造成的系统可靠性问题等。因此，有线网络中的安全措施不能应对新的攻击，需要重新审视无线网络的安全威胁及其对策。

总之，无线网络的脆弱性是由于其传输介质的开放性、终端的移动性、动态变化的网络拓扑结构、传输信号的不稳定性、缺乏集中的监视和管理点及没有明确的网络边界防线造成的。因此，在无线网络环境中，在设计实现一个完善的无线网络系统时，必须首先分析网络中存在的各种安全威胁。针对这些威胁提炼必需的安全需求，从而设计相应的安全方案，通常包括用户接入控制设计、用户身份认证方案设计、密钥协商及密钥管理方案的设计等。其中通信的保密性和认证技术是无线网络安全的需求解决的首要问题。

1.2.2 无线网络安全威胁与对策

1.安全威胁及其具体表现

从信息安全角度来说，安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用性所造成的危险。安全威胁可以分为故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。偶然的威胁通常从可靠性、容错性、鲁棒性角度进行分析；故意的威胁通常是安全分析中的主要内容。被动威胁包括只对信息进行监听，而不对其进行修改。主动威胁包括对信息进行故意的篡改（包含插入、删减、添加）、伪造虚假信息等。对每一种可能的攻击行为都要从攻击方法、攻击可能导致的后果、攻击者的数量和实施这种攻击的可能性4个方面进行分析，以便采取相应的安全对策。

通常，无线网络环境中安全威胁的具体表现主要有以下3个方面。

（1）无线（含有线）链路上存在的安全威胁：通常在制定无线网络安全方案时，无线链路的安全威胁都需要得到充分的考虑，此外，与无线链路相连的有线链路也需要同时加以考虑（由于先前一些无线网络的有线链路部分可视为不开放的独立网络，其安全隐患往往被忽视，但随着无线网络的不断发展和互连，先前的有线网络不再是孤立和封闭的，有线链路受到的威胁也越来越大），具体表现如下。

① 攻击者被动窃听链路上的未加密信息，收集并分析使用弱的密码体制加密的信息。

② 攻击者篡改、插入、添加或删除链路上的数据。

③ 攻击者重放截获的信息已达到欺骗的目的。

④ 因链路被干扰或攻击而导致移动终端和无线网络的信息不同步或者服务中断。

⑤ 攻击者从链路上非法获取用户的隐私，包括追踪合法用户的位置、记录用户使用的服务等。

（2）网络实体上存在的安全威胁：包括如下5种。

① 攻击者伪装成合法用户使用网络服务。

② 攻击者伪装成合法网络实体欺骗用户接入，或者与其他网络实体进行通信，从而获取有效的用户信息，从而开展进一步的攻击。

③ 合法用户越权使用网络服务。

④ 攻击者针对无线网络实施阻塞式攻击。由于无线网络接入信道的数量和带宽较有线网络要小得多，因此在无线网络安全的威胁中，该种攻击成功的可能性是非常大的。

⑤ 用户否认其使用的服务或资源。

（3）移动终端中存在的安全隐患和威胁：包括移动终端由于丢失或被窃取而造成其中的机密信息泄漏；现有移动终端的操作系统并不安全，缺乏完整性保护和完善的访问控制策略，容易被病毒、木马或恶意代码所侵蚀，从而造成用户的机密信息被泄漏或篡改。

从信息安全的4个基本安全目标（机密性、完整性、认证性及可用性）的角度来看，可将安全威胁相应地分成四大类基本威胁：信息泄露、完整性破坏、非授权使用资源和拒绝服务攻击。围绕着这四大类主要威胁，在无线网络环境下，可实现的各种主要的具体威胁有无授权访问、窃听、伪装、篡改、重放、重发路由信息、错误路由信息、删除应转发消息、网络泛洪（flooding）等。表1.1所示给出了具体的安全威胁。

表1.1 具体安全威胁与基本威胁的对应关系

从网络通信服务的角度而言，主要的安全防护措施称为安全业务。有5种通用的安全业务，即认证业务、访问控制业务、保密业务、数据完整性业务和不可否认业务。具体而言，在无线网络环境下，具体的安全业务可以分为访问控制、实体认证、数据来源认证、数据完整性、数据机密性、不可否认（Non-Repudiation）、安全报警、安全响应和安全性审计等，如表1.2所示。

表1.2 与安全威胁相对应的安全业务

表1.2的分类主要从信息安全中的密码学角度，如果从计算机网络安全角度则还包括安全报警、安全响应和安全性审计等安全服务。

2.保密性和认证需求

保密性和认证性是无线网络安全的基本安全业务。无线网络环境中的保密性包括移动用户位置的机密性、用户身份的机密性、传输数据的机密性和完整性。位置和身份的机密性能够阻止非授权实体获取有关通信方的位置信息，数据或内容的机密性能够阻止非授权用户暴露存储或传输中的数据。机密性又可以分为链路到链路（hop-to-hop）或端到端（end-to-end）的两种情形。链路层的机密性在数据链路层提供，对用户是不可见的。

认证性通过可靠的实体认证或者身份识别来保证通信方的身份，其目的是阻止伪装、防止非法用户的接入与访问。认证可以进一步分为实体认证和数据源认证。实体认证的目的是证实一个用户、系统或应用所声称的身份是否属实。数据源认证，也称为消息认证，是验证通信数据的来源是否为所声称的来源。实体认证包括单向认证和双向认证。单向认证由验证者认证通信方的身份，而双向认证中通信的双方都要进行认证。在实际应用中，往往通过安全协议来完成实体间的认证、在实体间安全地分配密钥（以达到进一步的保密通信）、确认发送和接收的消息的不可否认性等。由于实体认证成功之后紧接着是密钥协商，通常把该过程称为认证的密钥协商（Authenticated Key Agreement，AKA）。在无线网络环境中，安全的接入网络并在两个实体之间安全地建立会话密钥以提供后续的数据机密性这一问题是认证协议所要解决的核心问题，是后续安全通信的基础，同时也是无线网络安全与有线网络安全区别最大的问题之一。

1.2.3 解决无线网络安全问题的一般思路

在具体分析无线网络的安全问题时，一般的思路如下（如图1.3所示）。

（1）分析对系统的假设和约定，包括对网络中节点的计算、通信、存储能力的假设，这些是设计安全方案的约束条件。

（2）分析网络的体系结构，明确网络的拓扑结构（星形、网状、分层树状、单跳还是多跳网络、拓扑结构是否变化、节点是否移动）、通信类型（单播、组播、广播等）、链路参数（带宽、吞吐率、延迟）、网络规模（节点数量、网络覆盖面积）等。

（3）分析网络的业务构成，涉及的实体（角色）、业务通信的基本内容等，思考这些实体和通信内容可能面临的安全威胁。

（4）分析网络和系统中的信任模型，明确方案涉及的相关实体和通信链路的信任程度，即通信链路或者实体是可信、半可信还是非安全的，思考安全边界。

（5）分析攻击网络和系统的敌手模型：是内部还是外部攻击，是主动还是被动攻击，思考对敌手能力的设定，给出一些典型的攻击场景。根据网络的特征分析可能存在的特有的安全威胁，防御这些威胁时通用的网络安全措施可能不能奏效。

（6）从存在的威胁中归纳出共性的安全需求，特别是从信息安全基本安全需求的角度分析，包括私密性、认证性、完整性、可用性、健壮性（容侵、容错）、隐私保护、信任管理。思考安全防御的一般思路，如是采用密码学的方法，还是采用网络和计算机相关的方法。

（7）根据安全需求、网络体系结构、系统假设确定安全目标和特性，即在满足网络体系结构和系统假想条件下如何满足完全需求。

（8）根据安全目标和特性、网络体系结构、系统假设、安全策略和机制最后确定安全体系或方案。