白潔仙

(山西工商學(xué)院 山西太原212000)

管理與創(chuàng)新

無(wú)線網(wǎng)絡(luò)安全策略研究

白潔仙

(山西工商學(xué)院 山西太原212000)

探討了無(wú)線網(wǎng)絡(luò)的具體分類，無(wú)線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的具體差別包括：無(wú)線網(wǎng)絡(luò)的開(kāi)放性、移動(dòng)性、拓?fù)浣Y(jié)構(gòu)缺陷，并在此基礎(chǔ)上提出了相應(yīng)的無(wú)線網(wǎng)絡(luò)安全策略。安全策略包括：對(duì)系統(tǒng)的約定和假設(shè)進(jìn)行分析，對(duì)無(wú)線網(wǎng)絡(luò)的體系結(jié)構(gòu)進(jìn)行分析，分析無(wú)線網(wǎng)絡(luò)的業(yè)務(wù)構(gòu)成，分析網(wǎng)絡(luò)和系統(tǒng)中的信任模型，對(duì)攻擊系統(tǒng)和網(wǎng)絡(luò)的攻擊敵手模型進(jìn)行分析，對(duì)已經(jīng)存在的安全隱患進(jìn)行歸納等，以期為相關(guān)的研究提供一定的借鑒。

無(wú)線網(wǎng)絡(luò) 安全 策略

0 引 言

無(wú)線網(wǎng)絡(luò)技術(shù)的本質(zhì)是通過(guò)無(wú)線通信技術(shù)構(gòu)架成的網(wǎng)絡(luò)，通常情況下，無(wú)線網(wǎng)絡(luò)允許其使用者建立遠(yuǎn)距離的無(wú)線連接，并完成網(wǎng)絡(luò)內(nèi)部的語(yǔ)音和數(shù)據(jù)交換。無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)在功能上十分相似，其主要區(qū)別在于傳輸媒介的差別。一般而言，無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間可以起到互為備份的作用。

目前我國(guó)較為主流的無(wú)線網(wǎng)絡(luò)為小范圍的無(wú)線局域網(wǎng)絡(luò)和通過(guò)公眾移動(dòng)通信實(shí)現(xiàn)的無(wú)線網(wǎng)絡(luò)。隨著無(wú)線網(wǎng)絡(luò)使用的日益廣泛，其安全性受到人們的重視。本文主要介紹無(wú)線網(wǎng)絡(luò)的具體分類，無(wú)線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的具體差別，并在此基礎(chǔ)上提出了相應(yīng)的無(wú)線網(wǎng)絡(luò)安全策略，以期為相關(guān)的研究提供一定的借鑒。

1 無(wú)線網(wǎng)絡(luò)的分類

一般而言，無(wú)線網(wǎng)絡(luò)根據(jù)其用途、覆蓋范圍和傳輸速率的差別大致分為無(wú)線廣域網(wǎng)、無(wú)線局域網(wǎng)、無(wú)線城域網(wǎng)、無(wú)線體域網(wǎng)和無(wú)線個(gè)域網(wǎng)，由于最后兩種無(wú)線網(wǎng)絡(luò)普及率相對(duì)較低，本文重點(diǎn)介紹前3種無(wú)線網(wǎng)絡(luò)。

1.1 無(wú)線廣域網(wǎng)

無(wú)線廣域網(wǎng)主要通過(guò)衛(wèi)星進(jìn)行數(shù)據(jù)交換，其最大的特點(diǎn)是覆蓋范圍較廣，目前流行的3G、4G技術(shù)，都是以無(wú)線廣域網(wǎng)為基礎(chǔ)進(jìn)行數(shù)據(jù)交換的，其中，4G網(wǎng)絡(luò)傳輸?shù)乃俣纫话阍?,Mb/s左右。隨著3G和4G技術(shù)的普及，一些國(guó)家標(biāo)準(zhǔn)化組織開(kāi)始著手研發(fā)推廣具有更高傳輸速率的新一代移動(dòng)通信技術(shù)。

1.2 無(wú)線城域網(wǎng)

無(wú)線城域網(wǎng)主要是通過(guò)車載裝置移動(dòng)通信設(shè)備完成數(shù)據(jù)交換的，無(wú)線城域網(wǎng)一般可以覆蓋城區(qū)內(nèi)的絕大部分區(qū)域，其技術(shù)核心為移動(dòng)寬帶無(wú)線接入技術(shù)(MBWA)。無(wú)線城域網(wǎng)更加注重終端設(shè)備的移動(dòng)性，通常要求在時(shí)速高達(dá)250,km的條件下，仍然可以保證網(wǎng)絡(luò)暢通，無(wú)線城域網(wǎng)的前身為 IEEE 802.16 寬帶無(wú)線接入技術(shù)。

1.3 無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)最大的特點(diǎn)是覆蓋范圍小、傳輸速率高，無(wú)線局域網(wǎng)的覆蓋范圍一般不超過(guò)直徑50～100,m，其傳輸速率一般可以達(dá)到11～56,m/s。無(wú)線局域網(wǎng)絡(luò)的技術(shù)核心為IEEE802.11 系列和HomeRF技術(shù)。IEEE802.11 標(biāo)準(zhǔn)系列包含 802.11,b/a/g 3個(gè)WLAN 標(biāo)準(zhǔn)，該技術(shù)主要是為了解決校園局域網(wǎng)絡(luò)或辦公室局域網(wǎng)絡(luò)接入的需求，IEEE802.11/b技術(shù)的工作頻段一般在2.4,GHz左右，其數(shù)據(jù)交換速度一般可以達(dá)到11,Mb/s，802.11,a的工作頻段為5.15～5.825,GHz，數(shù)據(jù)傳輸速率可達(dá)到54,Mb/s，但由于該項(xiàng)技術(shù)的成本較高，因而推廣率較低。

2 無(wú)線網(wǎng)絡(luò)安全問(wèn)題

一般來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)安全問(wèn)題是相對(duì)于有線網(wǎng)絡(luò)而言的，無(wú)線網(wǎng)絡(luò)的開(kāi)放性、移動(dòng)性、拓?fù)浣Y(jié)構(gòu)、信號(hào)傳輸?shù)牟环€(wěn)定性、終端設(shè)備的差異性都是其容易受到網(wǎng)絡(luò)攻擊的原因。

2.1 無(wú)線網(wǎng)絡(luò)的開(kāi)放性

開(kāi)放性是無(wú)線網(wǎng)絡(luò)最為重要的特點(diǎn)之一，也是其容易受到網(wǎng)絡(luò)攻擊的重要原因之一，只要是在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)的終端設(shè)備，都可以通過(guò)各種方式接入無(wú)線網(wǎng)絡(luò)，而有線網(wǎng)絡(luò)較之無(wú)線網(wǎng)絡(luò)則具有相對(duì)明確的物理邊界。網(wǎng)絡(luò)攻擊者在攻擊有線網(wǎng)絡(luò)時(shí)，必須先通過(guò)接入有線網(wǎng)絡(luò)，并通過(guò)網(wǎng)關(guān)和防火墻才可以實(shí)施攻擊，而由于無(wú)線網(wǎng)絡(luò)的開(kāi)放性，為攻擊者在信息截取、惡意注入信息、未授權(quán)使用服務(wù)等方面帶來(lái)極大的便利。目前，DDoS 攻擊現(xiàn)象在無(wú)線網(wǎng)絡(luò)中十分普遍。

2.2 無(wú)線網(wǎng)絡(luò)的移動(dòng)性

無(wú)線網(wǎng)絡(luò)的移動(dòng)性是無(wú)線網(wǎng)絡(luò)安全管理難度增加的主要原因，由于有限網(wǎng)絡(luò)有光纜等連接媒介的限制，因而無(wú)法在較大范圍內(nèi)移動(dòng)，無(wú)形中降低了管理的難度。而無(wú)線網(wǎng)絡(luò)終端設(shè)備則可以在較大范圍內(nèi)自由移動(dòng)甚至可以做到跨區(qū)域漫游，這極大地增加了對(duì)接入點(diǎn)認(rèn)證的難度，同時(shí)移動(dòng)設(shè)備終端幾乎不存在有效的物理防護(hù)，這為攻擊者的劫持破壞和竊聽(tīng)提供了極大的便利。攻擊者可以在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)的任意區(qū)域?qū)o(wú)線網(wǎng)絡(luò)發(fā)動(dòng)攻擊，而管理人員對(duì)于攻擊者的追蹤則變得十分困難，同時(shí)，移動(dòng)性在VANET 中會(huì)產(chǎn)生位置隱私保護(hù)問(wèn)題。

2.3 無(wú)線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)缺陷

無(wú)線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是動(dòng)態(tài)變化的，這為網(wǎng)絡(luò)安全方案的實(shí)施造成了極大的困難。一般而言，有線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是固定的，為有線網(wǎng)絡(luò)的安全方案及安全技術(shù)的部署提供了便利。而無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)性、變化性的特點(diǎn)則存在極大的安全隱患，例如，WSN 中的密鑰管理問(wèn)題、MANET 中的信任管理問(wèn)題。另一方面，無(wú)線網(wǎng)絡(luò)環(huán)境中做出的許多決策是分散的，許多網(wǎng)絡(luò)算法(如路由算法、定位算法等)必須依賴大量節(jié)點(diǎn)的共同參與和協(xié)作來(lái)完成，如 MANET中的安全路由問(wèn)題。攻擊者可能實(shí)施新的攻擊來(lái)破壞協(xié)作機(jī)制(于是基于博弈論的方法在無(wú)線網(wǎng)絡(luò)安全中成為一個(gè)熱點(diǎn))。

3 無(wú)線網(wǎng)絡(luò)安全策略

圖1 無(wú)線網(wǎng)絡(luò)安全問(wèn)題解決思路Fig.1 Solution for wireless network security

一般而言，在遇到無(wú)線網(wǎng)絡(luò)攻擊時(shí)，基本解決思路如圖1所示，第一步對(duì)系統(tǒng)的約定和假設(shè)進(jìn)行分析，通常應(yīng)該包含網(wǎng)絡(luò)中各個(gè)相關(guān)節(jié)點(diǎn)的計(jì)算和對(duì)電源、通信、存儲(chǔ)等能力的基本假設(shè)；第二步，對(duì)無(wú)線網(wǎng)絡(luò)的體系結(jié)構(gòu)進(jìn)行分析，重點(diǎn)明確無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模、拓?fù)浣Y(jié)構(gòu)及其變化規(guī)律，節(jié)點(diǎn)移動(dòng)速度、鏈路特征參數(shù)、網(wǎng)絡(luò)異構(gòu)特征；第三步，分析無(wú)線網(wǎng)絡(luò)的業(yè)務(wù)構(gòu)成(操作過(guò)程、工作流程)所涉及的所有相關(guān)實(shí)體以及業(yè)務(wù)通信的基本內(nèi)容，分析其可能遭遇的安全威脅；第四步，分析網(wǎng)絡(luò)和系統(tǒng)中的信任模型，明確方案涉及的相關(guān)實(shí)體和通信鏈路的信任程度，即通信鏈路或者實(shí)體是可信、半可信還是不可信的，思考并確定安全的邊界；第五步，對(duì)攻擊系統(tǒng)和網(wǎng)絡(luò)的攻擊敵手模型進(jìn)行分析，主要分析攻擊來(lái)自于系統(tǒng)內(nèi)部還是外部，攻擊屬于主動(dòng)攻擊還是被動(dòng)攻擊，同時(shí)計(jì)算這些攻擊可能導(dǎo)致的安全后果；第六步，對(duì)已經(jīng)存在的安全隱患進(jìn)行歸納，分析出無(wú)線網(wǎng)絡(luò)共性的安全需求，包括無(wú)線網(wǎng)絡(luò)的可用性、健壯性、保密性、完整性、認(rèn)證性、信任管理、隱私保護(hù)等；第七步，則是在前面步驟的基礎(chǔ)上設(shè)定無(wú)線網(wǎng)絡(luò)的安全目標(biāo)，以及實(shí)現(xiàn)這個(gè)目標(biāo)需要滿足的特征；第八步，根據(jù)安全目標(biāo)和特性、網(wǎng)絡(luò)體系結(jié)構(gòu)、系統(tǒng)假設(shè)等最后確定安全體系或方案。

［1］ 任偉. 無(wú)線網(wǎng)絡(luò)安全[M]. 北京：電子工業(yè)出版社，2011：1-10.

［2］ 朱建明. 無(wú)線網(wǎng)絡(luò)安全方法與技術(shù)研究[D]. 西安：西安電子科技大學(xué)，2004.

［3］ 張帆. 無(wú)線網(wǎng)絡(luò)安全協(xié)議的形式化分析方法[D]. 西安：西安電子科技大學(xué)，2007.

［4］ Lotz A D. The promotional role of the network upfront presentations in the production of culture [J]. Television&New Media，2009(2)：3-24.

［5］ Robinson L. The cyber self：the self-ing project goes online，symbolic interaction in the digital age [J]. New Media&Society，2009(2)：93-110.

［6］ Klastrup L. Book review：media，technology and everyday life in Europe：from information to communication [J]. New Media&Society，2007(2)：177-180.

［7］ Langdale J. Competition in Telecommunications [M]. Cambridge：MIT Press，2000.

On Wireless Network Security Strategies

BAI Jiexian
(Shanxi Technology and Business University，Taiyuan 212000，Shanxi Province，China)

This paper mainly discusses the classification of wireless network and the difference between wireless network security and wired network security，including the openness of wireless network，the mobility of wireless network and wireless network topological defect.Then，it proposes corresponding wireless network security strategies.The security policies include analyses of agreements and assumptions of the system，system structure of wireless network，composition of wireless network businesses，trust model of the network and the system，network and system adversary model，as well as a summary of existing safety loopholes，wishing to provide certain reference to relevant studies.

wireless network；security；strategy

TP3I9.3

：A

：1006-8945(2016)09-0013-02

2016-08-31