無線網(wǎng)絡通信協(xié)議中的安全問題及對策

中國電子科技集團公司第五十四研究所 高鵬浩

信息時代的到來使得無線網(wǎng)絡通信技術在我國的廣泛應用，大數(shù)據(jù)時代的逐步到來使得無線網(wǎng)絡通信技術已經(jīng)不可或缺，因此安全問題得到人們的重視。無線網(wǎng)絡通信技術開放性、自由性、全球性的特點既是其優(yōu)勢，也給國家、社會、個人的安全帶來了極大的隱患。因此，本文介紹新時期無線網(wǎng)絡安全問題的出現(xiàn)類型并根據(jù)存在的問題提出相應的解決措施以保證網(wǎng)絡用戶始終體驗安全有效率的網(wǎng)絡服務。

1 無線系統(tǒng)的安全性

無線通信系統(tǒng)的發(fā)展歷時短暫，但是每個階段都是歷史性的跨越，其發(fā)展歷程經(jīng)歷了第一代頻分多址系統(tǒng)、第二代時分多址系統(tǒng)和碼分多址系統(tǒng)。其發(fā)展歷程是逐步推進的，并且都是各自獨立組網(wǎng)，從而形成了強大的無線網(wǎng)絡。如今，以語音等業(yè)務為核心的通信網(wǎng)絡系統(tǒng)成為目前和未來發(fā)展的主要趨勢。

近些年網(wǎng)絡技術和無線通信技術的快速發(fā)展使得目前的無線通信技術系統(tǒng)包括了第二代系統(tǒng)的GPRS系統(tǒng)、GSM系統(tǒng)以及CDMA系統(tǒng)，其中CDMA系統(tǒng)以IS-41等為標準。雖然上述系統(tǒng)均能夠劃歸到第二代無線通信系統(tǒng)中，然而以Is-2000和WCDMA等為標準的CDMA 2000系統(tǒng)屬于比較常用的第三代無線通信。雖然已經(jīng)發(fā)展到第三代，解決了以往存在的一些問題，但是其發(fā)展仍然面臨著安全問題，并且隨著系統(tǒng)的進步，安全問題變得更加多樣、難以預測、隱蔽性強等。與有限通信技術（如傳統(tǒng)的PSTN網(wǎng)絡）相比，無線網(wǎng)絡通信技術不僅具有傳統(tǒng)的無線通信網(wǎng)絡中存在的一些安全問題，而且優(yōu)于其開放性的特點從而導致無線空中接口存在比較明顯的安全隱患，因此需要采取措施對其給予高度重視[1]。

2 無線應用協(xié)議的安全性

通常情況下，無線應用協(xié)議（簡稱WAP）一般是指無線數(shù)據(jù)、互聯(lián)網(wǎng)和電話相結(jié)合的產(chǎn)物，其主要目標是定義一個聯(lián)系緊密，但進行分層的可擴展網(wǎng)絡模型。實際上，基于WAP構(gòu)建的模型中各層具有相對比較集中的功能，這就使得各層均可以實現(xiàn)集中擴展和表述；同時各層與其相鄰層又存在相輔相成、互相聯(lián)系的關系，因此其整體的功能都能夠發(fā)揮出來。WAP系統(tǒng)包括了WAP客戶端、WAP應用服務器和WAP代理等實體部分，此外還包括了有線網(wǎng)絡與無線網(wǎng)絡間的連接。其中WAP代理即所謂的WAP網(wǎng)關，其一般是負責實現(xiàn)有線域和無線域的連接，同時也包括了用戶代理結(jié)構(gòu)管理、轉(zhuǎn)化編譯器功能、緩存代理和無線協(xié)議等。無線網(wǎng)絡主要涵蓋了WAP網(wǎng)關到基站的無線部分、基站到移動臺的空中接口部分；有線網(wǎng)絡通常是指互聯(lián)網(wǎng)。

WAP系統(tǒng)對TCP/IP協(xié)議的分層思想進行了借鑒，并對各層中的安全通信的要求和每一層的功能、應用等給予綜合考慮，并且隨著技術的發(fā)展時期安全規(guī)范得到了有效拓展和增強。例如，已發(fā)布的WAP2.0技術涉及到無線標記語言腳本密碼、匯集（簡稱WMLSCrypto）、無線傳輸層安全（簡稱WTLS）、WAP身份模塊（簡稱WJM）和WAP公鑰基礎設施（簡稱WPKI）等四個方面的安全規(guī)范。

3 目前存在的無線網(wǎng)絡技術安全隱患

3.1 無線竊聽技術

目前由于技術受限，無線竊聽技術非常容易被攻破，其作為無線通信技術中比較常見的安全侵犯，因此要對其給予高度重視。一旦應用無線竊聽技術，不但會對個人的經(jīng)濟安全、社會的穩(wěn)定等造成極大的破壞，更有甚者會嚴重破壞國際交往、國家的安全和世界的和平與穩(wěn)定。例如，借助無線竊聽技術可以對用戶私人信息進行獲取，如用戶個人的信息、家庭成員的信息、銀行的賬戶及其密碼、聊天記錄等，非常容易導致犯罪，并且會造成極大的損失。作為開放渠道的無線通信，其覆蓋范圍包括所有人群，因此所有無線通信的用戶及其周邊人群的信息都處于半透明狀態(tài)，非常容易發(fā)生數(shù)據(jù)流失、信息被竊取、隱私不存在等現(xiàn)象。如果不能及時解決無線竊聽技術帶來的一系列問題會嚴重破壞無線網(wǎng)絡技術的相關用戶的信息，帶來極大范圍的客戶流失，并在一定程度上對國家的安全、社會的穩(wěn)定帶來致命打擊[2]。

3.2 身份假冒攻擊

極致的數(shù)據(jù)化使得所有用戶的各種信息都能夠通過網(wǎng)絡進行更改、應用，而身份假冒攻擊帶來破壞更是非常巨大的，會大面積地引起用戶的恐慌進而導致客戶流失。身份假冒一般是指黑客借助正當或不正當手段，來對用戶個人身份數(shù)據(jù)信息進行收集，主要是通過登錄互聯(lián)網(wǎng)上的網(wǎng)站來非法獲利活動或轉(zhuǎn)走用戶個人的錢財?shù)龋Ｒ姷挠欣糜脩舻膫€人信息進行非法網(wǎng)貸、利用用戶的信息對其親朋好友詐騙等。

共享的網(wǎng)絡時代使得身份確認十分重要，關系到用戶與服務商、用戶與用戶間隱私安全。在無線局域網(wǎng)中，更容易發(fā)生客戶個人信息被泄露情況，進而被竊取，攻擊者所付出的代價相對較小、盈利空間又是巨大的，更容易吸引大量的不法分子盯住這個獨特的領域。只要攻擊者掌握一定的軟件，通過網(wǎng)絡數(shù)據(jù)能夠?qū)W(wǎng)絡安全防護進行攻擊，并查看和獲取該網(wǎng)絡覆蓋范圍內(nèi)每一位用戶的基本信息，利用該信息謀取非法利益，給用戶帶來嚴重的損失。

3.3 服務交易后未給予相應報酬

我國的網(wǎng)上交易目前已經(jīng)是世界上最完善的、最先進的、最全面的交易市場和平臺，但是仍然會因為不法分子在服務交易后不予服務方應得的報酬，使得當前的網(wǎng)絡安全中有潛在的極大隱患，并對受害者造成巨大的損失。隨著我國網(wǎng)絡平臺與第三方服務商之間的密切交流，大多數(shù)服務商都會選擇加強對網(wǎng)絡服務的投入，但是許多不法分子進一步看到其中巨大的利潤空間，并且由于目前對其防范不夠、規(guī)章制度等不夠完善其非常容易被鉆空子。例如，部分不法分子會嘗試假冒普通用戶來向網(wǎng)絡服務商提出相關要求，并借助各種理由逃脫或拖延對服務商付費，但是大多數(shù)理由服務商很難給予滿足，進而服務商的利益受損害后也難以向獲得法律維護。在網(wǎng)絡發(fā)展過程中，這種現(xiàn)象時有發(fā)生，不僅會導致電商行業(yè)的正常運轉(zhuǎn)遭受破壞，給電商經(jīng)營者帶來巨大的利益損失，還會使得無線網(wǎng)絡技術的信譽度降低，對整個無線技術的應用和電商運營造成難以恢復的打擊。

4 目前無線網(wǎng)絡常見的安全漏洞攻擊

4.1 阻礙無線設備通信

對于有線網(wǎng)絡而言，其大多數(shù)域均借助硬件訪問控制器來給予有效處理，所以不能明顯攻擊到頭部，但是一旦頭部被攻擊后就會阻礙無線設備的通信。攻擊進來的設備一般是對控制器中的域值進行重新設定，且將其滲透到其他傳輸設備中，避免系統(tǒng)的防備，會使得更多的設備出現(xiàn)故障進而難以連入到無線網(wǎng)絡中，使得網(wǎng)絡訪問事故頻頻發(fā)生，因此網(wǎng)絡訪問事故會頻頻發(fā)生。因為無線傳輸憑借的是信號的傳遞，而如何有效的、有選擇的、自動的攔截傳輸信號是難以做到的，因此目前對于這種攻擊還沒有比較有效的處理方法[3]。

4.2 發(fā)送數(shù)據(jù)包

在進行無線數(shù)據(jù)傳輸階段，以太網(wǎng)一般表現(xiàn)為比較復雜的運行狀態(tài)，此時攻擊者只需要將部分數(shù)據(jù)包傳輸至介質(zhì)中就可以實現(xiàn)對協(xié)議的有效攻擊，此時的需要在硬件訪問控制器中來保證協(xié)議的有效實現(xiàn)，致使無法在協(xié)議上實施反攻擊。此時，可以通過廣播與SSID進行連接，以此將訪問接入點的位置進行變動，實現(xiàn)在協(xié)議的基礎上實現(xiàn)訪問接入點的位置與存在的攻擊性動作。通過無線訪問點借助SSID來大大廣播的目的，并借助無線訪問控制器來實現(xiàn)對信號的有效獲取，以實現(xiàn)對主機和設備的有效訪問。

4.3 無線網(wǎng)的驗證

無線網(wǎng)的驗證與身份假冒攻擊密切相連，其中無線網(wǎng)絡的驗證一般是指通過無線訪問接入點驗證和設備驗證來達到有效驗證的目的，避免攻擊者對用戶的信息進行竊取。而無線訪問接入點驗證主要是按照要求對無線設備進行驗證。設備驗證則是指對任意一臺無線設備中正在進行連接的點進行有效分析。

實際上，訪問的接入點驗證一般是指攻擊者通過檢修該接入點是否開展過與安全相關的檢測來實現(xiàn)對其想要訪問的特定接口進行有效訪問。在訪問接入點驗證時，設備驗證和無線網(wǎng)驗證所面臨的攻擊類型存在相似性，然而其目的存在比較大的差異，主要是有效的客戶在對無線訪問接入點進行安裝后但是其不明白接入了什么單位，此時的接入點卻錯誤的認為其對接入點實施了惡意的訪問而遭受一定的攻擊，另一個則是用戶本身是清楚的。因此，兩者一種是不清楚的、無意識的；另一種的清楚的、有意識的。

5 無線網(wǎng)絡安全問題的解決措施

5.1 信息安全認證技術

目前的信息安全認證技術主要是要求用戶按照要求錄入個人密碼，或以郵件、手機驗證碼等方式來一對一的加密信息。該加密方式即所謂的完整性檢測技術，如今在網(wǎng)絡客戶端信息防護中得到了廣泛應用，具有操作簡單、隨機性強、安全性高、上手容易等優(yōu)勢，且密碼不易被竊取或丟失。在信息發(fā)送過程中，即使不法分子竊取或截獲該信息，也會由于該信息只能夠被服務端和用戶所知而得到應有的保護，不會被困擾到，能夠最大程度上保護雙方的隱私。

并且因為其是隨時隨地進行更換的，即使不法分子能夠通過接口連接到用戶的輸入設備而操作用戶的設備，但是也難以及時獲取驗證信息。雖然其具有一系列的優(yōu)勢，但是其還有一些弊端。例如，用戶的驗證信息被同時更新到其他設備中，不法分子提前或同時與用戶進行操作，用戶的操作就會無效。另外，用戶的原有設備丟失，用戶便難以證實自身的身份，會給用戶帶來更多的麻煩。

因此，無線網(wǎng)絡通信技術服務商和相應的技術人員都要想辦法解決信息安全技術的弊端，盡量保證其優(yōu)勢。

5.2 身份認證技術

在互聯(lián)網(wǎng)快速發(fā)展過程中，無線網(wǎng)絡技術不僅可以為人們帶來便利，而且還可以提高用戶信息保護力度，多數(shù)的網(wǎng)絡運營商會通過身份認證保護客戶信息?，F(xiàn)在廣泛應用的有安保手機驗證、安保信息認證、個人的問題驗證等。身份認證技術主要是在相關法律法規(guī)的監(jiān)管之下，通過對用戶的信息和輸入的信息進行驗證來保護客戶的信息，一旦出現(xiàn)差錯，就會立即停止登錄。進而能夠避免用戶的信息泄露。

5.3 防止未授權服務的惡意捆綁

認可用戶發(fā)送的對應用的使用申請之后，網(wǎng)頁或客戶端將會把相關內(nèi)容面向有權限的客戶開放，一般用戶進行操作。但是，這種網(wǎng)頁端或客戶端認可與用戶發(fā)送申請存在的時間差將會被不法分子所利用，并借助網(wǎng)絡插件捆綁的方式來對網(wǎng)頁內(nèi)容進行更改，使得用戶在點擊網(wǎng)頁信息時誤點其他的信息，被惡意捆綁并使得用戶個人信息流失，甚至有損用戶與服務商雙方的利益，進而獲得非法收入。

除此之外，還有一些不法分子會通過不明的鏈接，并將鏈接偽裝成郵件、游戲等其他正常的鏈接來迷惑用戶，使得用戶誤以為錯誤鏈接為正確的鏈接并進入到非法的頁面，造成用戶的信息泄露。

5.4 連接到不同的端口

通常情況下，無線網(wǎng)絡通信協(xié)議可以實現(xiàn)交換機與設備端口的有效連接，以確保任意端口可以分配到一個VLAN，只有通過路由器才能實現(xiàn)二者的通信，因此分成兩個不同的網(wǎng)絡，而客戶只需要連接到兩個不同得端口就能有效避免一定的無線網(wǎng)絡通信中的安全隱患。

5.5 增加網(wǎng)絡訪問請求

無論是客戶端還是網(wǎng)頁端，都會向用戶發(fā)送增加網(wǎng)絡訪問的請求，通過請求能夠進一步確定是否是用戶進行的操作。在某種特定情況下，通過對設備信息給予科學、合理配置，來達到實時監(jiān)控設備的目的，以此來確保該設備是否需要存留在網(wǎng)絡中。因此，通過加強網(wǎng)絡訪問請求的頻率，提高用戶的安全防范意識。

6 結(jié)語

網(wǎng)絡的開放性和自由性極大地滿足了大多數(shù)用戶對網(wǎng)絡服務提出的要求，然而在網(wǎng)絡技術發(fā)展過程中，由于各方面因素的影響，導致無線網(wǎng)絡通信技術出現(xiàn)一系列的問題，需要人們加以重視。針對無線網(wǎng)絡的無限竊聽技術、身份假冒攻擊、服務交易后不予服務方應得的報酬等一系列問題，需要加強信息安全認證技術、身份認證技術、防止未授權服務的惡意捆綁等，同時用戶自身也要提高自身的網(wǎng)絡安全防范意識，并對無線網(wǎng)絡通信技術給予合理、合規(guī)應用，避免由于自身操作不當而出現(xiàn)數(shù)據(jù)流失及信息泄露現(xiàn)象。