无线网络的安全与应用

第8章无线网络的安全与应用无线技术与网络技术的融合提供了即时通信、永久在线服务，其发展前景是无限的。但作为一种新型技术，新的标准和应用发展很快，安全问题却没有得到足够重视。无线通信中的信息安全问题更加突出。信息安全体系的三大目标：保密性-confidential、完整性-Integrity和可用性Availability（简称C.I.A)的要求同样适合于无线网络。随着无线技术的发展，其安全技术也得到发展。8．1无线广域网安全8.1.1无线广域网技术无线网络有无线局域网(WLAN)和无线广域网(WWAN)两种类型。

WWAN技术的主要用途是连接Internet和将分散在城市各处的用户点连接起来。可使常用的笔记本电脑或其他设备在蜂窝网络覆盖范围内的任何地方连接到Internet。

1．MMDS技术MMDS

(多信道多点分配业务)于20世纪80年代服务于无线电视用户。在电视系统中，基于MMDS技术的电缆公司向FCC(美国联邦通信委员会)请示分配更多的频道，发展成后来的频率分发技术。MMDS的部署相对便宜，很多公司还是支持MMDS应用于无线系统。ISP将连接接入Internet之前可以通过多个天线路由连接。这可使ISP通过设置连接多个天线形成骨干连接的方式以节省带宽投资。2．LMDS技术LMDS(本地多点分配业务)也是一种固定式无线技术。LMDS的服务范围比MMDS小，且比MMDS更易受天气和其他干扰的影响。LMDS的优势在于它部署的单个访问天线的价格较低，且使用频率较高，可允许供应商为每个客户提供更大的带宽。LMDS供应商可提供10Mbps的下载速率和2Mbps的上传速率。由于LMDS服务范围的限制及其所需的严格线路，LMDS适合在城市或商业区部署。3．扩频技术扩频技术(SST)是一种宽带无线电频率技术。在发送端，SST将窄频固定无线信号转化为宽频信号输出；在接收端无线数据终端系统接收宽频信号，并将其转变为窄频信号并对信息进行重组。扩频技术采用一种比窄带传输消耗更多带宽的传输模式，但却能够产生更强、更能被其他设备接收到的信号。因此，扩频技术牺牲了带宽，却带来安全性、信息完整性和传输可靠性方面的优势。扩频技术有跳频扩频、直接序列扩频和码分多址(CDMA)三种类型。CDMA主要应用于移动电话业务，且可通过更窄的波段来扩散信号。

4．无线应用协议(WAP)WAP是一组技术，它更适应小屏幕、资源有限的手持设备的应用。WAP的最新版本允许用户通过电话传输动画和声音等多媒体文件。WAP是一种无线应用通信协议，是一种向移动终端提供Internet内容和先进增值服务的全球统一的开放式协议标准，是简化了的无线Internet协议。它不依赖某种网络而存在，今天的WAP服务在3G普及后仍然可能继续存在，不过传输速率更快，协议标准也会随之升级。WAP的目标就是通过WAP技术将Internet的大量信息及各种各样的业务引入到移动电话、PALM等无线终端之中。无论用户在何时何地，只要需要信息，就可以打开自己的WAP手机上网。8.1.2无线设备与数据安全1．无线频率安全大多数形式的固定无线Internet访问通过无线频率频谱进行通信。常见的使用无线频率频谱的设备有移动电话、无绳电话、电视机、AM和FM收音机、微波炉等。由于无线传输是通过无线电波进行的，任何人不必经过物理连接到网络即可监控传输过程。拥有无线网卡和一些无线网络系统基本知识的攻击者即可监控所有通过网络的通信。因此要保证无线频率的安全。最常用的两种固定式无线Internet访问技术为MMDS和LMDS。2．物理位置安全无线网络设备的位置是很重要的，因为要考虑是信息的可到达性和设备的安全性。信息可到达性是固定式无线网络用户最关心的事，尤其是应用LMDS技术的用户。一般要求天线必须安装在无线网络设备所在的建筑物顶部或建筑物外的高塔上，这就可使信息有最大化的可到达性。为了保证设备的安全性，可将一些重要设备(如无线MODEM、路由设备)固定在安全的箱柜里。一些公司将MODEM放在天线附近，通常是放在屋顶，作为保持信号强度的方法。如果条件允许，可建筑一道篱笆围起MODEM和天线，确保这些重要物理设备的安全。

3．无线数据加密固定式无线传输通过使用扩频技术来保证其安全。由于无线连接通过特定频段传输(如FM信号)，所以某个拥有天线和类似网络设备的攻击者会很容易地嗅探到传输信息。保护传送数据安全的最好办法是对数据进行加密。使用一种基于电缆的安全标准DOCSIS+系统，ISP可以对用户MODEM和IWMTS(无线消息测试平台)之间的数据流进行强制加密。DOCSIS+系统支持多种类型的密钥体制(如RSA算法和TDES算法)。WMTS制定的加密策略，要求终端用户MODEM必须遵守，否则WMTS不接收数据。8.1.3无线蜂窝网络技术1．无线传输技术

第一代无线传输技术(1G)是基于模拟信号的，其传输速率为9.6Kbps或更低。第2代无线传输技术(2G)是基于数字信号的，其标准有美国的TDMA和CDMA，欧洲的GSM等。2G能够提供更高的传输速率和更好的安全性，其传输速率为9.6～14.4Kbps。第3代无线传输技术(3G)，如CDMA2000，其传输速率可达到14.4K～2Mbps。在2G与3G之间还存在着第2.5代(2.5G)，它属于第2代的功能提升及向第3代的过渡。第4代无线传输技术(4G)着眼于无线异步传输模式(WATM)的研究上，它能够提供10M～150Mbps的高质量、低差错率的服务，也就是真正的高速无线数据网络。2．时分多址(TDMA)时分多址(TimeDivisionMultipleAccess，TDMA)技术是美国电信产业协会(TIA)于1992年制定的数字标准，属于第2代无线传输技术。TDMA将分配给它的频宽划分成一系列的信道，每个信道划分为多个时段，信道中的每个会话被分配到这些时段里。许多电信运营商将其加入到以前的语音网络中，以提高它的安全性和功能。

3．GSMGSM(全球移动通信系统)是主要的蜂窝技术之一，它是基于窄带TDMA制式，允许在一个射频同时进行8组通话。GSM在20世纪80年代兴起于欧洲，1991年投入使用，到1997年底，已经在100多个国家运营，成为欧洲和亚洲实际上的标准，属于2G技术。随着GSM移动通信网络用户数量的迅速增长，为了满足GSM网络容量增长的需求，GSM在原有的900频段的基础上，又引入1800频段。采用GSM900/1800双频段操作，极大地缓解了GSM900的容量压力。4．码分多址(CDMA)CDMA

(码分多址)技术于1993年被电信产业协会(TIA)采用，其主要特点是高质量、小蜂窝半径、特殊编码方式和扩频技术。它是在扩频通信技术上发展起来的一种崭新而成熟的无线通信技术。CDMA技术的原理是基于扩频技术，即将需要传送的具有一定带宽的数据信号，用一个远大于此信号带宽的高速伪随机码进行调制，使原数据信号的带宽被扩展，再经载波调制并发送出去。接收端使用完全相同的伪随机码，与接收的带宽信号做相关处理，把宽带信号转换成原来的窄带信号(解扩)，以实现数据通信。

5．2.5G技术2.5G技术能够提供更高的带宽和更多的服务内容，可使网络运营商在投资到昂贵的3G技术之前就能给用户提供增强的服务。HSCSD(高速线路交换数据)是一个基于GSM的协议。它的速率能够达到38.4Kbps，是过渡到GPRS的中间技术。GPRS(通用分组无线业务)是基于GSM的分组交换技术，其速率能够达到144Kbps。GPRS设备一直和网络连接，提供即时通信功能。当有数据传输时，才需要占用网络带宽。EDGE(增强型数据速率GSM演进技术)是一种从GSM到3G的过渡技术，它能够提供384Kbps的速率，就能够支持无线多媒体应用。6．3G技术3G技术能够提供更高的速率。3G是第一个将宽带数据通信和语音通信放到同等位置的无线蜂窝技术。蓝牙技术规范也支持3G技术，将各种服务扩展到掌上电脑和PDA上。IMT-2000项目是为促进3G技术开发者之间的合作而设立的。UMTS(通用移动通信系统)是欧洲电信标准协会提出的项目。UMTS是下一代全球蜂窝系统，已投入使用。WCDMA(宽带CDMA)和TD-SCDMA(时分同步码分多址)技术同属3G技术。WCDMA是一种基于GSMMAP核心网、利用码分多址复用方法实现的宽带扩频的3G系统。TD-SCDMA是由中国提出的、是以中国知识产权为主的、被国际上广泛接受和认可的3G标准。8.1.4无线蜂窝网络的安全性1．GSM的安全性GSM的安全性基于对称密钥的加密体系。GSM主要使用了A3、A5和A8三种加密算法。A3是移动设备到GSM网络认证的算法，A5是认证成功后加密语音和数据的分组加密算法，A8是产生对称密钥的密钥生成算法。GSM安全架构中的第一步是认证，确认用户及其移动设备是授权访问GSM网络的。认证后，GSM网络要完成一个建立加密信道的过程。首先需要产生一个加密密钥，然后该加密密钥被用来加密整个通信过程。2．CDMA的安全性CDMA网络的安全性也建立在对称密钥体系上，其架构大致与GSM相同。CDMA手机使用64位对称密钥进行认证。购买手机时，这个密钥被程序输入至手机内，同时也由运营商保存。手机内的软件计算出一个校验值，确保密钥正确输入。当用手机打电话时，CDMA网络的VLR对用户进行认证。CDMA网络使用一种称为蜂窝认证的技术和语音加密(CAVE)的算法。CDMA采用与GSM类似的语音加密机制。虽然CDMA标准允许语音通信加密，但CDMA运营商并不总提供这种服务，因为CDMA采用的扩频技术和随机编码技术本身就比GSM采用的TDMA技术保密性好。

3.3G的安全特性3G是在2G基础上发展起来的，继承了2G系统的安全优点，同时针对3G系统的新特性，定义了更加完善的安全特征与安全服务。3G系统不仅支持传统的话音与数据业务，还支持交互式业务与分布式业务，从而提供了一个全新的业务环境。

8．2无线局域网安全无线局域网(WLAN)是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网LAN的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。利用WLAN，用户可以在建筑物内或大学校园里的任何地方使用笔记本电脑上网。当然，WLAN在给用户提供方便的同时成为攻击者侵入网络的捷径。攻击者往往选择WLAN作为攻击目标，是因为网络管理员配置时没有考虑安全隐患。

对于家庭用户、公共场景安全性要求不高的用户，使用VLAN(虚拟局域网)隔离、MAC地址过滤、服务区域认证ID、密码访问控制和有线等效保密(WEP)协议可以满足其安全性需求。对于公共场所中安全性要求较高的用户，仍然存在着安全隐患，需要将有线网络中的一些安全机制引进到WLAN中。在无线访问点(AP)实现复杂的加密解密算法，通过无线接入控制器，利用PPPoE或DHCPWeb认证方式对用户进行认证，对用户的业务流实行实时监控。

常见的WLAN连接标准是IEEE802.11协议。802.11规范仅仅定义了无线以太网的物理层和MAC地址部分。802.11协议中包含了三个不同的物理层标准：802.11b、802.11a和802.11g。WLAN面临的基本安全问题与WWAN一样，攻击者发起攻击将不再受必须在建筑物内部连接网络端口等限制。无线攻击时也不受相应的物理限制，也不必设法绕过路由器、防火墙和服务器安全系统等网络边界安全措施。攻击者可在网络内部发起攻击，因为那里障碍较少，更易成功。

8.2.1访问点安全WLAN的安全应从访问点着手，保护访问点要采取的措施是场地安全。访问点必须从物理上加以保护，使攻击者不能容易地访问。访问点应位于靠近建筑物的中心，这样当信号到达边界时就变得弱了。假设一个机构有多个建筑物，准备建立覆盖整个园区的WLAN，要把信号限制在建筑物的内部可能很困难，就要采取措施来确保园区自身的安全，阻止未经授权的用户进入该地区。

可能的情况下可在访问点上禁用HTTP、Telnet和SNMP功能，并使用其他的安全访问技术(如HTTPS或SSH)。通常，有线网络的安全措施可以阻止未经授权的访问点连接WLAN到网络。可以在配有802.11b局域网卡的手持设备上安装IBM的WirelessSecurityAuditor和NetaphorSoftware的PDAlert软件产品来监视网络活动。这些软件产品特别设计用来审计WLAN网络和警告管理员注意潜在的安全漏洞。

8.2.2无线局域网协议安全1．SSIDWLAN安全包括很多层次。有些层次是可选的，为保障WLAN的安全性，应实现尽可能多的安全保护层。第一个安全层是服务设置标识符(SSID)。SSID基本上是一个连接到访问点时客户端必须提交的口令。如果客户端传送的SSID能与访问点上的合法口令匹配，即可建立连接，开始通信。SSID也是分割无线网络的好方法。如果一个校园网设计成用户只能访问网络的特定部分，那么可以在不同的区域使用不同的SSID，以便限制用户对网络特定部分的访问。

2．WEPWEP协议是对在两台设备间无线传输的数据进行加密的技术，可用以防止非法用户窃听或侵入无线网络。对多数管理员来说，SSID本身没有提供足够的安全。为进一步保护WLAN，许多管理员会使用WEP协议。WEP是802.11标准的部分封装形式，它使用对称密钥加密体系来保护终端用户和访问点之间的数据。密钥在WLAN网卡和访问点上都有存储，且网卡和访问点之间传输的所有数据都用该密钥加密。802.11标准不提供密钥管理功能，所有的密钥都要人工管理。3．MAC地址过滤在WLAN上使用的另一个安全层是MAC地址过滤。管理员可以在WLAN网络上可以过滤MAC地址。在WLAN中，攻击者可以不经访问点验证就监视通信，即使是加密的数据，连接到网络机器的MAC地址也以明文发送。目前最好的方法就是联合使用非广播的SSID、WEP和MAC地址过滤方法来保护WLAN。即使这些措施不足以提供像有线网络那样的安全水平，但对小型WLAN来说，这些措施已足够了。

4．RADIUS验证配置访问点使用RADIUS对用户进行验证可增强无线网络的安全。RADIUS验证给管理员提供通过WLAN访问点访问网络的更多精细粒度的控制。RADIUS服务器迫使WLAN用户在获得网络访问前进行验证。用户连接到访问点，使用SSID、WEP或两者来进行网卡验证。访问点向RADIUS服务器提交RADIUS请求，RADIUS服务器验证现在能够传送网络通信的用户。RADIUS验证阻止未授权的用户通过WLAN访问网络。如果用户不能通过RADIUS服务器验证，就不允许访问网络。5．WLANVPN在WLAN中添加VPN隧道可以提供验证和加密。WLANVPN是通过在网络和访问点之间加装NAS服务器实现的。使用VPN保护WLAN，WLAN用户建立通向访问服务器的隧道，加密所有在用户和网络间传输的通信。WLAN用户连接访问点，请求转发给NAS。NAS处理数据加密和验证，并创建隧道。一旦用户成功地通过NAS服务器的验证，隧道就建立了，加密的数据就可以在用户和网络间自由地传输。但WLANVPN技术在NAS服务器和终端用户机器上都要建立隧道，需要额外的CPU开销；如果网络上没建立VPN，那么建立新的VPN还要花费很多时间和费用。

6．IEEE802.11i为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，IEEE802.11i工作组开发了作为新的安全标准IEEE802.11i，并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准中主要包含加密技术TKIP(TemporalKeyIntegrityProtocol，暂时密钥集成协议)、AES(AdvancedEncryptionStandard，高级加密标准)和认证协议IEEE802.1x。(1)TKIPTKIP