無線網(wǎng)絡(luò)安全課件

1第一章無線網(wǎng)絡(luò)安全概述1第一章無線網(wǎng)絡(luò)安全概述2目錄無線網(wǎng)絡(luò)概述

無線網(wǎng)絡(luò)安全概述

2目錄無線網(wǎng)絡(luò)概述3無線網(wǎng)絡(luò)概述信息系統(tǒng)的基本概念由計算機和相關(guān)的配套設(shè)備設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)格對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。典型信息系統(tǒng)就是計算機網(wǎng)絡(luò)環(huán)境下運行的信息處理系統(tǒng)人機系統(tǒng)硬件系統(tǒng)與軟件系統(tǒng)3無線網(wǎng)絡(luò)概述信息系統(tǒng)的基本概念4無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)既包括允許用戶建立遠(yuǎn)距離無線連接的全球語音和數(shù)據(jù)網(wǎng)絡(luò)，也包括為近距離無線連接進行優(yōu)化的紅外線技術(shù)及射頻技術(shù)，與有線網(wǎng)絡(luò)的用途十分類似，最大的不同在于傳輸媒介的不同，利用無線電技術(shù)取代網(wǎng)線，可以和有線網(wǎng)絡(luò)互為備份。4無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)5無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）無線廣域網(wǎng)主要通過通信衛(wèi)星進行數(shù)據(jù)通信，覆蓋范圍最大。代表技術(shù)是3G（以及4G等），數(shù)據(jù)傳輸速率一般在2Mb/s以上。無線城域網(wǎng)主要通過移動電話或車載裝置進行移動數(shù)據(jù)通信，可覆蓋城市中的大部分地區(qū)。代表技術(shù)是IEEE802.20標(biāo)準(zhǔn)，主要針對移動寬帶無線接入。5無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）6無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）無線局域網(wǎng)覆蓋范圍較小。數(shù)據(jù)傳輸速率為11～56Mb/s之間（甚至更高）。無線連接距離在50～100m。代表技術(shù)是IEEE802.11系列，以及HomeRF技術(shù)。無線個域網(wǎng)通常指個人計算（PersonalComputing）中無線設(shè)備間的網(wǎng)絡(luò)。無線傳輸距離一般在10m左右，代表技術(shù)是IEEE802.15、Bluetooth、ZigBee技術(shù)，數(shù)據(jù)傳輸速率在10Mb/s以上。6無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）7無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）無線體域網(wǎng)以無線醫(yī)療監(jiān)控和娛樂、軍事應(yīng)用為代表，主要指附著在人體體表或植入人體內(nèi)的傳感器之間的無線通信。7無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)覆蓋范圍劃分）8基于傳輸距離的無線網(wǎng)絡(luò)分類8基于傳輸距離的無線網(wǎng)絡(luò)分類9無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分）有中心網(wǎng)絡(luò)其以蜂窩移動通信為代表，基站作為一個中央基礎(chǔ)設(shè)施，網(wǎng)絡(luò)中所有的終端要通信時，都要通過中央基礎(chǔ)設(shè)施進行轉(zhuǎn)發(fā)。無中心、自組織網(wǎng)絡(luò)其以移動自組織網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)、移動車載自組織網(wǎng)絡(luò)為代表，采用分布式、自組織的思想形成網(wǎng)絡(luò)，網(wǎng)絡(luò)中每個節(jié)點都兼具路由功能，可以隨時為其他節(jié)點的數(shù)據(jù)傳輸提供路由和中繼服務(wù)，而不僅僅依賴單獨的中心節(jié)點。缺乏路由、服務(wù)和安全三種中央基礎(chǔ)設(shè)施9無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)的分類（根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分）10基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的無線網(wǎng)絡(luò)分類10基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的無線網(wǎng)絡(luò)分類11無線網(wǎng)絡(luò)概述網(wǎng)絡(luò)終端設(shè)備按功能分為智能手機平板電腦（筆記本電腦）具有通信能力的傳感器節(jié)點RFID標(biāo)簽和讀卡器可穿戴計算機11無線網(wǎng)絡(luò)概述網(wǎng)絡(luò)終端設(shè)備按功能分為12無線網(wǎng)絡(luò)概述網(wǎng)絡(luò)節(jié)點設(shè)備的特點網(wǎng)絡(luò)終端設(shè)備的計算能力通常較弱（可能跟設(shè)備價格相關(guān)）。網(wǎng)絡(luò)終端設(shè)備的存儲空間可能是有限的。網(wǎng)絡(luò)終端設(shè)備的能源是由電池提供的，持續(xù)時間短。無線網(wǎng)絡(luò)終端設(shè)備與有線網(wǎng)絡(luò)設(shè)備相比更容易被竊、丟失、損壞等。12無線網(wǎng)絡(luò)概述網(wǎng)絡(luò)節(jié)點設(shè)備的特點13無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全威脅安全威脅是指某個人、物體或事件對某一資源的保密性、完整性、可用性或者合法使用性所造成的威脅。威脅的實施稱為攻擊。13無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全威脅14無線網(wǎng)絡(luò)安全概述四個方面的安全威脅

設(shè)信息是從源地址流向目的地址，那么正常的信息流向是：信息源信息目的地14無線網(wǎng)絡(luò)安全概述四個方面的安全威脅信息源信息目的地15中斷威脅：使在用信息系統(tǒng)毀壞或不能使用的攻擊，破壞可用性（availability）。

如存儲器的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等。信息源信息目的地15中斷威脅：使在用信息系統(tǒng)毀壞或不能使用的攻擊，破壞可用性16截獲威脅：一個非授權(quán)方介入系統(tǒng)的攻擊，使得信息在傳輸中被丟失或泄露的攻擊，破壞保密性(confidentiality)。非授權(quán)方可以是一個人，一個程序，一臺微機。這種攻擊包括搭線竊聽，文件或程序的不正當(dāng)拷貝。信息源信息目的地16截獲威脅：一個非授權(quán)方介入系統(tǒng)的攻擊，使得信息在傳輸中被17篡改威脅：以非法手段竊得對信息的管理權(quán)，通過未授權(quán)的創(chuàng)建、修改、刪除和重放等操作而使信息的完整性(Integrity)受到破壞。

這些攻擊包括改變數(shù)據(jù)文件，改變程序使之不能正確執(zhí)行，修改信息內(nèi)容等。信息源信息目的地17篡改威脅：以非法手段竊得對信息的管理權(quán)，通過未授權(quán)的創(chuàng)建18偽造威脅：一個非授權(quán)方將偽造的客體插入系統(tǒng)中，破壞信息真實性（authenticity）的攻擊。

包括網(wǎng)絡(luò)中插入假信件，或者在文件中追加記錄等。信息源信息目的地18偽造威脅：一個非授權(quán)方將偽造的客體插入系統(tǒng)中，破壞信息真19無線網(wǎng)絡(luò)安全概述安全問題的根源物理安全問題軟件組件網(wǎng)絡(luò)和通信協(xié)議人的因素

19無線網(wǎng)絡(luò)安全概述安全問題的根源20無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求信息系統(tǒng)的安全需求主要有：保密性、完整性、可用性、可控性、不可抵賴性和可存活性等。保密性(Confidentiality)：確保信息不暴露給未授權(quán)的實體或進程。加密機制。防泄密完整性(Integrity)：要求信息在存儲或傳輸過程中保持不被修改、不被破壞和不丟失的特性。防篡改可用性(Availability)：信息可被合法用戶訪問并按要求的特性使用而不遭拒絕服務(wù)。防中斷

20無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求21無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求不可抵賴性(Non-repudiation)：不可抵賴性通常又稱為不可否認(rèn)性，是指信息的發(fā)送者無法否認(rèn)已發(fā)出的信息，信息的接收者無法否認(rèn)已經(jīng)接收的信息?？煽匦?Controllability)：指對信息的內(nèi)容及傳播具有控制能力?？纱婊钚?Survivability)：是指計算機系統(tǒng)的這樣一種能力：它能在面對各種攻擊或錯誤的情況下繼續(xù)提供核心的服務(wù)，而且能夠及時地恢復(fù)全部的服務(wù)。

21無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求22無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求當(dāng)前在已有信息系統(tǒng)安全需求的基礎(chǔ)上增加了真實性(Authenticity)、實用性(Utility)、占有性(Possession)等。真實性：是指信息的可信度，主要是指信息的完整性、準(zhǔn)確性和對信息所有者或發(fā)送者身份的確認(rèn)。實用性

：是指信息加密密鑰不可丟失(不是泄密)，丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾。

22無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求23無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求

如果存儲信息的節(jié)點等信息載體被盜用，就導(dǎo)致對信息的占用權(quán)的喪失。保護信息占有性的方法有使用版權(quán)、專利，提供物理和邏輯的存取限制方法，維護和檢查有關(guān)盜竊文件的審計記錄、使用標(biāo)簽等。

23無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全需求24無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全目標(biāo)信息系統(tǒng)安全的最終目標(biāo)集中體現(xiàn)為系統(tǒng)保護和信息保護兩大目標(biāo)。系統(tǒng)保護：保護實現(xiàn)各項功能的技術(shù)系統(tǒng)的可靠性、完整性和可用性等。信息保護

：保護系統(tǒng)運行中有關(guān)敏感信息的保密性、完整性、可用性和可控性。

24無線網(wǎng)絡(luò)安全概述信息系統(tǒng)的安全目標(biāo)25無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展信息安全的最根本屬性是防御性的，主要目的是防止己方信息的完整性、保密性與可用性遭到破壞。

信息安全的概念與技術(shù)是隨著人們的需求、隨著計算機、通信與網(wǎng)絡(luò)等信息技術(shù)的發(fā)展而不斷發(fā)展的。

25無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展26無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段：

幾千年前，人類就會使用加密的辦法傳遞信息；信息保密技術(shù)的研究成果主要有兩類：

1)發(fā)展各種密碼算法及其應(yīng)用，

2)信息安全理論、安全模型和安全評價準(zhǔn)則。

26無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展27無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段主要開發(fā)的密碼算法有：1）DES：1977年美國國家標(biāo)準(zhǔn)局采納的分組加密算法DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES是密碼學(xué)歷史上的一個創(chuàng)舉，也是運用最廣泛的一種算法。2）IDEA：國際數(shù)據(jù)加密算法，是對DES的改進算法27無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展28無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段主要開發(fā)的密碼算法有：3）RSA：雙密鑰的公開密鑰體制，該體制是根據(jù)1976年Diffie，Hellman在“密碼學(xué)新方向”開創(chuàng)性論文中提出來的思想由Rivest，Shamir，Adleman三個人創(chuàng)造的。4）1985年N.koblitz和V.Miller提出了橢圓曲線離散對數(shù)密碼體制（ECC）。該體制的優(yōu)點是可以利用更小規(guī)模的軟件、硬件實現(xiàn)有限域上同類體制的相同安全性。28無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展29無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段主要開發(fā)的密碼算法有：5）Hash函數(shù)：出現(xiàn)了一批用于實現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名的雜湊函數(shù)。如，數(shù)字指紋、消息摘要（MD）、安全雜湊算法（SHA——用于數(shù)字簽名的標(biāo)準(zhǔn)算法）等，當(dāng)然，其中有的算法是90年代中提出的29無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展30無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段安全理論有：三大控制理論1）訪問控制：基于訪問矩陣與訪問監(jiān)控器2）信息流控制：基于數(shù)學(xué)的格理論3）推理控制：基于邏輯推理，防數(shù)據(jù)泄漏30無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展31無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段安全模型有：信息流多級安全模型1）保密性模型（BLP模型）2）完整性模型（Biba模型）3）軍用安全模型：適用于軍事部門與政府部門31無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展32無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展早期信息保密階段安全性評價準(zhǔn)則1985年美國開發(fā)了可信信息系統(tǒng)評估準(zhǔn)則（TCSEC）把信息系統(tǒng)安全劃分為7個等級：

D，C1，C2，B1，B2，B3，A1

為信息系統(tǒng)的安全性評價提供了概念、方法與思路，是開創(chuàng)性的。為后來的通用評估準(zhǔn)則（CC標(biāo)準(zhǔn)）打下基礎(chǔ)32無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展33無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展網(wǎng)絡(luò)信息安全階段

1988年11月3日莫里斯“蠕蟲”事件引起了人們對網(wǎng)絡(luò)信息安全的關(guān)注與研究，并與第二年成立了計算機緊急事件處理小組負(fù)責(zé)解決網(wǎng)絡(luò)的安全問題，從而開創(chuàng)了網(wǎng)絡(luò)信息安全的新階段。

在該階段中，除了采用和研究各種加密技術(shù)外，還

開發(fā)了許多針對網(wǎng)絡(luò)環(huán)境的信息安全與防護技術(shù)，這

些防護技術(shù)是以被動防御為特征的。33無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展34無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展網(wǎng)絡(luò)信息安全階段主要防護技術(shù)1）安全漏洞掃描器：用于檢測網(wǎng)絡(luò)信息系統(tǒng)存在的各種漏洞，并提供相應(yīng)的解決方案。2）安全路由器：在普通路由器的基礎(chǔ)上增加更強

的安全性過濾規(guī)則，增加認(rèn)證與防癱瘓性攻擊的各

種措施。安全路由器完成在網(wǎng)絡(luò)層與傳輸層的報文

過濾功能。34無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展35無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展網(wǎng)絡(luò)信息安全階段主要防護技術(shù)3）防火墻：在內(nèi)部網(wǎng)與外部網(wǎng)的入口處安裝的堡壘主機，在應(yīng)用層利用代理功能實現(xiàn)對信息流的過濾

功能。4）入侵檢測系統(tǒng)（IDS）：判斷網(wǎng)絡(luò)是否遭到入侵的

一類系統(tǒng)，IDS一般也同時具備告警、審計與簡單的

防御功能。35無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展36無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展網(wǎng)絡(luò)信息安全階段主要防護技術(shù)5）各種防攻擊技術(shù)：包括漏洞防堵、網(wǎng)絡(luò)防病毒、

防木馬、防口令破解、防非授權(quán)訪問等技術(shù)。6）網(wǎng)絡(luò)監(jiān)控與審計系統(tǒng)。監(jiān)控內(nèi)部網(wǎng)絡(luò)中的各種

訪問信息流，并對指定條件的事件做審計記錄。36無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展37無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展信息保障階段

信息保障（IA--InformationAssurace）這一概念最初是由美國國防部長辦公室提出來的，后被寫入命令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日以國防部的名義發(fā)表。

在這個命令中信息保障被定義為：通過確保信息和信息系統(tǒng)的可用性、完整性、可驗證性、保密性和不可抵賴性來保護信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護、探測和反應(yīng)能力以恢復(fù)系統(tǒng)的功能。37無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展38無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展信息保障階段

1998年1月30日美國防部批準(zhǔn)發(fā)布了《國防部信息保障綱要》（DIAP），并要求各單位對自己單位的DIAP活動負(fù)責(zé)。根據(jù)命令的精神，信息保障工作是持續(xù)不間斷的，它貫穿與平時、危機、沖突及戰(zhàn)爭期間的全時域。信息保障不僅能支持戰(zhàn)爭時期的國防信息攻防，而且能夠滿足和平時期國家信息的安全需求。38無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展39無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展信息保障階段1998年5月美國公布了由國家安全局NSA起草的1.0版本《信息保障技術(shù)框架》IATF，并要求全國以“信息保障”的要求衡量各項信息安全防護工作。1999.8.31發(fā)布了IATF2.0版本2000.9.22又推出了IATF3.0版本。

定義了對一個系統(tǒng)進行信息保障的過程以及系統(tǒng)中軟硬部件的安全需求。39無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展40無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展信息保障階段遵循這些原則，就可以對信息基礎(chǔ)設(shè)施做到多重保護,實施“縱深防衛(wèi)策略”DiD（Defense-in-DepthStrategy）”其內(nèi)涵已經(jīng)超出了被動的信息安全保密，而是保護（Protection）、檢測（Detection）、反應(yīng)（Reaction）、恢復(fù)（Restore）的有機結(jié)合，這就是所謂的PDRR模型PDRR模型具有信息安全主動防御的概念。40無線網(wǎng)絡(luò)安全概述信息系統(tǒng)安全的發(fā)展41

恢復(fù)

反應(yīng)

檢測

保護信息保障PDRR模型41恢復(fù)反應(yīng)檢測保護信息PDR42無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別無線網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)更易受到惡意攻擊無線鏈路使得網(wǎng)絡(luò)更容易受到被動竊聽或主動干擾等各種攻擊。有線網(wǎng)絡(luò)的網(wǎng)絡(luò)連接是相對固定的，具有確定的邊界，攻擊者必須物理地接入網(wǎng)絡(luò)或經(jīng)過物理邊界，如防火墻和網(wǎng)關(guān)，才能進入到有線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)則沒有一個明確的防御邊界，攻擊者可能來自四面八方和任意節(jié)點，每個節(jié)點必須面對攻擊者直接或間接的攻擊。無線網(wǎng)絡(luò)的這種開放性帶來了信息截取、未授權(quán)使用服務(wù)、惡意注入信息等一系列信息安全問題。42無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別43無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別無線網(wǎng)絡(luò)的移動性使得安全管理難度更大。有線網(wǎng)絡(luò)的用戶終端與接入設(shè)備之間通過線纜連接，終端不能在大范圍內(nèi)移動，對用戶的管理比較容易。而無線網(wǎng)絡(luò)終端不僅可以在較大范圍內(nèi)移動，而且還可以跨區(qū)域漫游，這增大了對接入節(jié)點的認(rèn)證難度，且移動節(jié)點沒有足夠的物理防護，從而易被竊聽、破壞和劫持。通過網(wǎng)絡(luò)內(nèi)部已經(jīng)被入侵的節(jié)點實施內(nèi)部攻擊造成的破壞更大，更難以檢測，且要求密碼安全算法能抗密鑰泄露，抗節(jié)點妥協(xié)。43無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別44無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別無線網(wǎng)絡(luò)動態(tài)變化的拓?fù)浣Y(jié)構(gòu)使得安全方案的實施難度更大。有線網(wǎng)絡(luò)具有固定的拓?fù)浣Y(jié)構(gòu)，安全技術(shù)和方案容易部署；而在無線網(wǎng)絡(luò)環(huán)境中，動態(tài)的、變化的拓?fù)浣Y(jié)構(gòu)缺乏集中管理機制，使得安全技術(shù)更加復(fù)雜。另一方面，無線網(wǎng)絡(luò)環(huán)境中做出的許多決策是分散的，許多網(wǎng)絡(luò)算法必須依賴大量節(jié)點的共同參與和協(xié)作來完成。攻擊者可能實施新的攻擊破壞來破壞協(xié)作機制。44無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別45無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別無線網(wǎng)絡(luò)傳輸信號的不穩(wěn)定性帶來無線通信網(wǎng)絡(luò)及其安全機制的魯棒性問題。有線網(wǎng)絡(luò)的傳輸環(huán)境是確定的，信號質(zhì)量穩(wěn)定，而無線網(wǎng)絡(luò)隨著用戶的移動其信道特性是變化的，會受到干擾、衰落、多徑、多普勒頻移等多方面的影響，造成信號質(zhì)量波動較大，甚至無法進行通信。無線信道的競爭共享訪問機制也可能導(dǎo)致數(shù)據(jù)丟失。因此，這對無線通信網(wǎng)絡(luò)安全機制的魯棒性提出了更高的要求。協(xié)作機制。45無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的區(qū)別46無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策安全威脅及其具體表現(xiàn)無線（以及有線）鏈路上存在的安全威脅攻擊者被動竊聽鏈路上的未加密信息，或者收集并分析使用弱密碼體制加密的信息。攻擊者篡改、插入、添加或刪除鏈路上的數(shù)據(jù)。攻擊者重放截獲的信息已達(dá)到欺騙的目的。因鏈路被干擾或攻擊而導(dǎo)致移動終端和無線網(wǎng)絡(luò)的信息不同步或者服務(wù)中斷。攻擊者從鏈路上非法獲取用戶的隱私，包括定位、追蹤合法用戶的位置、記錄用戶使用過的服務(wù)、根據(jù)鏈路流量特征推測用戶個人行為的隱私等。46無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策47無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策安全威脅及其具體表現(xiàn)網(wǎng)絡(luò)實體上存在的安全威脅，具體表現(xiàn)如下：攻擊者偽裝成合法用戶使用網(wǎng)絡(luò)服務(wù)。攻擊者偽裝成合法網(wǎng)絡(luò)實體欺騙用戶使其接入，或者與其他網(wǎng)絡(luò)實體進行通信，從而獲取有效的用戶信息，便于展開進一步攻擊。合法用戶超越原有權(quán)限使用網(wǎng)絡(luò)服務(wù)。攻擊者針對無線網(wǎng)絡(luò)實施阻塞、干擾等攻擊。用戶否認(rèn)其使用過某種服務(wù)、資源、或完成的某種行為。47無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策48無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策安全威脅及其具體表現(xiàn)移動終端上存在的安全威脅：包括移動終端由于丟失或被竊取而造成其中的機密信息泄漏；現(xiàn)有移動終端操作系統(tǒng)缺乏完整性保護和完善的訪問控制策略，容易被病毒或惡意代碼所侵入，造成用戶的機密信息被泄漏或篡改。另外需要注意，在某些網(wǎng)絡(luò)中（如MANET、WSN等）中，網(wǎng)絡(luò)實體和移動終端可能在物理上是等同的。48無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策49無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策安全威脅及其具體表現(xiàn)從信息安全的4個基本安全目標(biāo)（機密性、完整性、認(rèn)證性、以及可用性）的角度來看，可將安全威脅相應(yīng)地分成四大類基本威脅：信息泄露、完整性破壞、非授權(quán)使用資源和拒絕服務(wù)攻擊。圍繞著這四大類主要威脅，在無線網(wǎng)絡(luò)中具體的安全威脅主要有無授權(quán)訪問、竊聽、偽裝、篡改、重放、重發(fā)路由信息、錯誤路由信息、刪除應(yīng)轉(zhuǎn)發(fā)消息、網(wǎng)絡(luò)泛洪等。表1.1給出了具體的安全威脅。從網(wǎng)絡(luò)通信服務(wù)的角度來看，安全防護措施通常稱為安全業(yè)務(wù)，具體如表1.2所示。49無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策50表1.1

具體安全威脅與基本安全威脅的對應(yīng)關(guān)系具體安全威脅基本安全威脅信息泄露完整性破壞非授權(quán)使用資源拒絕服務(wù)攻擊非授權(quán)訪問√√√竊聽√偽裝√√√√篡改√√√重放√√重路由、錯誤路由、刪除信息√√√網(wǎng)絡(luò)泛洪√50表1.1具體安全威脅與基本安全威脅的對應(yīng)關(guān)系具體51表1.2

與安全威脅相對應(yīng)的安全業(yè)務(wù)安全威脅安全業(yè)務(wù)訪問控制實體認(rèn)證數(shù)據(jù)來源認(rèn)證數(shù)據(jù)完整性數(shù)據(jù)機密性不可否認(rèn)性非授權(quán)訪問√√√竊聽√偽裝√√√篡改√√重放√（時效性）重路由、錯誤路由、刪除信息√網(wǎng)絡(luò)泛洪√抵賴√51表1.2與安全威脅相對應(yīng)的安全業(yè)務(wù)安全威脅安52無線網(wǎng)絡(luò)安全概述無線網(wǎng)絡(luò)安全威脅與對策保密性和認(rèn)證需求保密性和認(rèn)證性是無線網(wǎng)絡(luò)安全的基本安全業(yè)務(wù)。無線網(wǎng)絡(luò)環(huán)境中的保密性包括移動用戶位置的機密性、用戶身份的機密性、傳輸數(shù)據(jù)的機密性和完整性。機密性又可以分為鏈路到鏈路和端到