无线网络安全

1第一章无线网络安全概述2目录无线网络概述无线网络安全概述3无线网络概述信息系统的基本概念由计算机和相关的配套设备设施（含网络）构成的，按照一定的应用目标和规格对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型信息系统就是计算机网络环境下运行的信息处理系统人机系统硬件系统与软件系统4无线网络概述无线网络既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术，与有线网络的用途十分类似，最大的不同在于传输媒介的不同，利用无线电技术取代网线，可以和有线网络互为备份。5无线网络概述无线网络的分类（根据网络覆盖范围划分）无线广域网主要通过通信卫星进行数据通信，覆盖范围最大。代表技术是3G（以及4G等），数据传输速率一般在2Mb/s以上。无线城域网主要通过移动电话或车载装置进行移动数据通信，可覆盖城市中的大部分地区。代表技术是IEEE802.20标准，主要针对移动宽带无线接入。6无线网络概述无线网络的分类（根据网络覆盖范围划分）无线局域网覆盖范围较小。数据传输速率为11～56Mb/s之间（甚至更高）。无线连接距离在50～100m。代表技术是IEEE802.11系列，以及HomeRF技术。无线个域网通常指个人计算（PersonalComputing）中无线设备间的网络。无线传输距离一般在10m左右，代表技术是IEEE802.15、Bluetooth、ZigBee技术，数据传输速率在10Mb/s以上。7无线网络概述无线网络的分类（根据网络覆盖范围划分）无线体域网以无线医疗监控和娱乐、军事应用为代表，主要指附着在人体体表或植入人体内的传感器之间的无线通信。8WBANWPANRFIDUWB802.15.4ZigBeeBluetoothWLANWMANWWANWi-Fi802.11WiMAX802.16a802.16eWirelessMeshNetworksGSMCDMAGPRSEDGE3G4GLTE无线体域网覆盖2米无线个域网10米左右无线局域网50～100米MBWA802.20移动宽带接入无线城域网50公里无线广域网高速移动，蜂窝覆盖，无缝切换，全球覆盖基于传输距离的无线网络分类9无线网络概述无线网络的分类（根据网络拓扑结构划分）有中心网络其以蜂窝移动通信为代表，基站作为一个中央基础设施，网络中所有的终端要通信时，都要通过中央基础设施进行转发。无中心、自组织网络其以移动自组织网络、无线传感器网络、移动车载自组织网络为代表，采用分布式、自组织的思想形成网络，网络中每个节点都兼具路由功能，可以随时为其他节点的数据传输提供路由和中继服务，而不仅仅依赖单独的中心节点。缺乏路由、服务和安全三种中央基础设施10Ad-HocNetworksSingle-HopMulti-HopBluetooth802.11IBSSStaticDynamicWirelessMeshNetworksWirelessSensorNetworks其他VehicularAdHocNetworks(VANET)Infrastructure-basedNetworksWirelessNetworks2G/3GMobileAdHocNetworks(MANET)WiMAX基于网络拓扑结构的无线网络分类11无线网络概述网络终端设备按功能分为智能手机平板电脑（笔记本电脑）具有通信能力的传感器节点RFID标签和读卡器可穿戴计算机12无线网络概述网络节点设备的特点网络终端设备的计算能力通常较弱（可能跟设备价格相关）。网络终端设备的存储空间可能是有限的。网络终端设备的能源是由电池提供的，持续时间短。无线网络终端设备与有线网络设备相比更容易被窃、丢失、损坏等。13无线网络安全概述信息系统安全威胁安全威胁是指某个人、物体或事件对某一资源的保密性、完整性、可用性或者合法使用性所造成的威胁。威胁的实施称为攻击。14无线网络安全概述四个方面的安全威胁设信息是从源地址流向目的地址，那么正常的信息流向是：信息源信息目的地15中断威胁：使在用信息系统毁坏或不能使用的攻击，破坏可用性（availability）。如存储器的毁坏，通信线路的切断，文件管理系统的瘫痪等。信息源信息目的地16截获威胁：一个非授权方介入系统的攻击，使得信息在传输中被丢失或泄露的攻击，破坏保密性(confidentiality)。非授权方可以是一个人，一个程序，一台微机。这种攻击包括搭线窃听，文件或程序的不正当拷贝。信息源信息目的地17篡改威胁：以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信息内容等。信息源信息目的地18伪造威胁：一个非授权方将伪造的客体插入系统中，破坏信息真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。信息源信息目的地19无线网络安全概述安全问题的根源物理安全问题软件组件网络和通信协议人的因素20无线网络安全概述信息系统的安全需求信息系统的安全需求主要有：保密性、完整性、可用性、可控性、不可抵赖性和可存活性等。保密性(Confidentiality)：确保信息不暴露给未授权的实体或进程。加密机制。防泄密完整性(Integrity)：要求信息在存储或传输过程中保持不被修改、不被破坏和不丢失的特性。防篡改可用性(Availability)：信息可被合法用户访问并按要求的特性使用而不遭拒绝服务。防中断21无线网络安全概述信息系统的安全需求不可抵赖性(Non-repudiation)：不可抵赖性通常又称为不可否认性，是指信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。可控性(Controllability)：指对信息的内容及传播具有控制能力。可存活性(Survivability)：是指计算机系统的这样一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。22无线网络安全概述信息系统的安全需求当前在已有信息系统安全需求的基础上增加了真实性(Authenticity)、实用性(Utility)、占有性(Possession)等。真实性：是指信息的可信度，主要是指信息的完整性、准确性和对信息所有者或发送者身份的确认。实用性：是指信息加密密钥不可丢失(不是泄密)，丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。23无线网络安全概述信息系统的安全需求如果存储信息的节点等信息载体被盗用，就导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利，提供物理和逻辑的存取限制方法，维护和检查有关盗窃文件的审计记录、使用标签等。24无线网络安全概述信息系统的安全目标信息系统安全的最终目标集中体现为系统保护和信息保护两大目标。系统保护：保护实现各项功能的技术系统的可靠性、完整性和可用性等。信息保护：保护系统运行中有关敏感信息的保密性、完整性、可用性和可控性。25无线网络安全概述信息系统安全的发展信息安全的最根本属性是防御性的，主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。信息安全的概念与技术是随着人们的需求、随着计算机、通信与网络等信息技术的发展而不断发展的。26无线网络安全概述信息系统安全的发展早期信息保密阶段：几千年前，人类就会使用加密的办法传递信息；信息保密技术的研究成果主要有两类：1)发展各种密码算法及其应用，2)信息安全理论、安全模型和安全评价准则。27无线网络安全概述信息系统安全的发展早期信息保密阶段主要开发的密码算法有：1）DES：1977年美国国家标准局采纳的分组加密算法DES（数据加密标准）。DES是密码学历史上的一个创举，也是运用最广泛的一种算法。2）IDEA：国际数据加密算法，是对DES的改进算法28无线网络安全概述信息系统安全的发展早期信息保密阶段主要开发的密码算法有：3）RSA：双密钥的公开密钥体制，该体制是根据1976年Diffie，Hellman在“密码学新方向”开创性论文中提出来的思想由Rivest，Shamir，Adleman三个人创造的。4）1985年N.koblitz和V.Miller提出了椭圆曲线离散对数密码体制（ECC）。该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同安全性。29无线网络安全概述信息系统安全的发展早期信息保密阶段主要开发的密码算法有：5）Hash函数：出现了一批用于实现数据完整性和数字签名的杂凑函数。如，数字指纹、消息摘要（MD）、安全杂凑算法（SHA——用于数字签名的标准算法）等，当然，其中有的算法是90年代中提出的30无线网络安全概述信息系统安全的发展早期信息保密阶段安全理论有：三大控制理论1）访问控制：基于访问矩阵与访问监控器2）信息流控制：基于数学的格理论3）推理控制：基于逻辑推理，防数据泄漏31无线网络安全概述信息系统安全的发展早期信息保密阶段安全模型有：信息流多级安全模型1）保密性模型（BLP模型）2）完整性模型（Biba模型）3）军用安全模型：适用于军事部门与政府部门32无线网络安全概述信息系统安全的发展早期信息保密阶段安全性评价准则1985年美国开发了可信信息系统评估准则（TCSEC）把信息系统安全划分为7个等级：D，C1，C2，B1，B2，B3，A1为信息系统的安全性评价提供了概念、方法与思路，是开创性的。为后来的通用评估准则（CC标准）打下基础33无线网络安全概述信息系统安全的发展网络信息安全阶段1988年11月3日莫里斯“蠕虫”事件引起了人们对网络信息安全的关注与研究，并与第二年成立了计算机紧急事件处理小组负责解决网络的安全问题，从而开创了网络信息安全的新阶段。在该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术，这些防护技术是以被动防御为特征的。34无线网络安全概述信息系统安全的发展网络信息安全阶段主要防护技术1）安全漏洞扫描器：用于检测网络信息系统存在的各种漏洞，并提供相应的解决方案。2）安全路由器：在普通路由器的基础上增加更强的安全性过滤规则，增加认证与防瘫痪性攻击的各种措施。安全路由器完成在网络层与传输层的报文过滤功能。35无线网络安全概述信息系统安全的发展网络信息安全阶段主要防护技术3）防火墙：在内部网与外部网的入口处安装的堡垒主机，在应用层利用代理功能实现对信息流的过滤功能。4）入侵检测系统（IDS）：判断网络是否遭到入侵的一类系统，IDS一般也同时具备告警、审计与简单的防御功能。36无线网络安全概述信息系统安全的发展网络信息安全阶段主要防护技术5）各种防攻击技术：包括漏洞防堵、网络防病毒、防木马、防口令破解、防非授权访问等技术。6）网络监控与审计系统。监控内部网络中的各种访问信息流，并对指定条件的事件做审计记录。37无线网络安全概述信息系统安全的发展信息保障阶段信息保障（IA--InformationAssurace）这一概念最初是由美国国防部长办公室提出来的，后被写入命令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日以国防部的名义发表。在这个命令中信息保障被定义为：通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可抵赖性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。38无线网络安全概述信息系统安全的发展信息保障阶段1998年1月30日美国防部批准发布了《国防部信息保障纲要》（DIAP），并要求各单位对自己单位的DIAP活动负责。根据命令的精神，信息保障工作是持续不间断的，它贯穿与平时、危机、冲突及战争期间的全时域。信息保障不仅能支持战争时期的国防信息攻防，而且能够满足和平时期国