2017年3月下

无线网络安全面临的技术挑战及未来趋势

高春雪（运城职业技术学院，山西省运城市044000）

【摘要】由于广播的传播特质，无线空中接口对于任何用户均是开放的，这完全不同于有线网络，通信设备通过电缆进行物理上的连接，节点在没有直接关联的情况下是无法访问网络的。开放的通信环境使无线传输比有线通信更容易受到恶意攻击，包括被动窃听数据拦截和干扰合法传输。对此，本文讨论了无线网络的安全漏洞及相应的防御机制，并探讨了一系列在无线网络安全研究方面具有挑战性的问题。【关键词】无线网络；安全；防御机制；发展趋势【中图分类号】TP393.1【文献标识码】A【文章编号】1006-4222（2017）06-0083-02

1前言

在过去的几十年中，无线通信为满足用户迅速增长的要

求，其基础设施和服务出现一个激增的趋势，据统计，全球移

动户数量已达到68亿，其中有40%的用户使用互联网，与此

同时，越来越多的网络犯罪活动也呈上升趋势，给用户造成大

量的损失，因此，提高无线通信安全显得尤其重要。

无线网络一般采用OSI协议体系结构，包括应用层、传输

层、网络层，MAC层和物理层，与这些协议层相关联的安全威

胁和漏洞通常是在每个层单独保护，以满足安全要求，包括真

实性，保密性，完整性和可用性。在本文中，我们讨论了从物理

层到应用层不同的无线攻击及其相应的防御机制，并探讨了一

系列具有挑战性的开放性问题，对其未来发展趋势提出展望。2无线网络中的安全性能要求

在无线网络中，信息在被授权的用户之间交换，由于无线

介质的广播性质，该传播过程很容易受到各种恶意威胁。无线

网络的安全要求为保护无线传输与无线攻击而指定，如窃听

攻击、DoS攻击、数据篡改攻击，恶意节点的攻击，等等。一般

来说，无线通信的安全应满足真实性，保密性，完整性和可用

性的要求，详情如下：

（1）真实性：指确认网络节点的真实身份，以区分授权用

户和未经授权的用户。在无线网络中，一对通信节点在建立数

据传输的通信链路之前应首先进行相互认证。通常情况下，网

络节点配备了无线网络接口卡，并具有唯一的MAC地址，可用

于身份验证的目的；再次，除了MAC身份验证外，还有其他的

无线认证方法，包括网络层认证、传输层认证和应用层认证。

（2）保密性：指只限制预期用户的数据访问，同时防止信

息泄露给未经授权的实体。以对称密钥加密技术为例，源节点

首先加密原始数据（通常称为纯文本），使用一个仅与目的地

共享的加密算法和密钥；其次，加密的纯文本（称为密文）发送

到目的地，然后使用密钥接收文本，由于窃听者不知道密钥，

它是无法偷听的密文的明文的。

（3）完整性：指在整个生命周期中源信息未被未经授权的

用户进行任何修改和伪造。数据完整性可能遭受所谓的内部

攻击，例如，节点妥协攻击，更具体地说，一个节点被攻击时，

节点可能会因为恶意攻击包括消息注入、虚假报告、数据修改

等损害数据的完整性。一个有效的解决方案，通过利用自动代

码更新检测受损节点，以保证受损节点被定期检测到。

（4）可用性：指授权用户能够随时随地访问无线网络的要

求。违反可用性，称为拒绝服务，将导致授权用户成为无法访

问无线网络，这反过来又导致不满意的用户体验。

综上所述，无线网络的安全性能要求应该和有线网络一

样，包括真实性、保密性、完整性和可用性的要求。然而，由于

广播的广播传播的性质，实现这些无线网络中的安全要求比

有线网络更具挑战性。例如，无线网络的可用性是非常脆弱的，因为施加无线电信号的干扰攻击，可以很容易地破坏和阻

断无线物理层通信。因此，与有线网络相比，无线系统的安全

性能面临更高的要求。3无线网络的安全漏洞及挑战

无线网络和有线网络有相似之处，它们都采用OSI分层

协议的体系结构，在本节中，每一层都有自己独特的安全挑战

和问题，由于不同的层依赖于不同的协议，因而表现出不同的

安全漏洞。以下总结了无线攻击可能遇到的安全漏洞及挑战。3.1物理层攻击

物理层位于最底层，用于指定信号传输的物理特性，无线

通信的广播特性使其极易受到窃听和干扰。在无线网络中，只

要窃听者位于源节点的传输覆盖区域，会话极有可能被窃听。

为保证机密传输，采用加密技术，依靠秘密密钥，以防止窃听

攻击拦截数据传输，在这种情况下，即使窃听者窃听到会话，

因没有密钥而很难从密文中提取到信息。

此外，在无线网络中的恶意节点可以很容易地干扰正常

用户间的通信，这被称为干扰攻击（也称为DoS攻击），损害合

法用户的网络可用性。为此，扩频技术（将信号发射在比原来

频带较宽的光谱带宽上）被广泛认可为抵御DoS攻击的有效

手段。3.2MAC层攻击

在MAC层，CSMA/CA，CDMA，OFDMA智能信道接入控

制机制使多个网络节点访问共享介质。通常，每个网络节点配

备一个网卡和一个唯一的MAC地址用于用户认证。攻击者试

图用恶意更改其分配的MAC地址被称为MAC地址欺骗，这

是MAC攻击的主要技术。此外，MAC的攻击者通过窃听网络

流量，通过分析听到的流量窃听节点的MAC地址，这称为身

份盗窃攻击，攻击者试图通过身份盗窃假装是合法的网络节

点，并获得受害者节点的保密信息。

除了上述MAC欺骗和身份盗窃，MAC层的攻击类还包

括MITM攻击和网络注入。通常，一个MITM攻击是指攻击者

为了拦截一对合法通信节点的MAC地址首先“嗅”网络的通

信，然后模拟两个受害者并建立与他们的联系，这样，MITM攻

击者作为受害者使他们之间的中继觉得他们之间的沟通与对

方直接通过专用连接。在现实中，他们的会话被攻击者截获和

控制。相比之下，MITM攻击的目的是防止网络设备的运行，如

路由器，交换机等，通过注入伪造的网络重新配置命令，在这

种情况下，如果一个压倒性的伪造的网络命令开始，整个网络

可能会瘫痪，因此需要重新启动或重新编程的所有网络设备。3.3网络层的攻击

网络层攻击利用IP层的弱点，即所谓的Smurf攻击、IP

欺骗和劫持。具体说来，IP欺骗是攻击者复用一个伪造的IP

地址用于隐藏身份或冒充另一个网络节点进行非法活动。IP

劫持如果攻击者成功劫持到IP地址，就可以断开合法用户重通信设计与应用832017年3月下

新创建一个网络联接，从而获取机密信息。Smurf攻击是网络层DoS攻击，使用IP广播地址发送大

量的ICMP数据包（一个伪造的源IP地址）到一个或一组受害

节点，收到ICMP请求时，受害者需要发送ICMP应答，增加网

络负荷。在Smurf攻击发射数量足够高的ICMP请求时，网络将

不堪重负而瘫痪。防御Smurf攻击，一个可能的解决方案是确

保用户和路由器不会不断回应ICMP请求。我们也可以考虑使

用防火墙，它可以拒绝恶意数据包从伪造的源IP地址到达。3.4传输层的攻击

TCP攻击包括TCP泛洪攻击和序列号预测攻击。TCP泛

洪攻击指攻击者发送一个压倒性的ping请求数，如ICMP回

送请求受害者的节点，然后通过发送ping响应回复，如ICMP

回送答复。当ping请求的数量是足够高的，将会延迟受害节

点连接至目标网络。TCP序列预测攻击者首先猜测受害者的TCP序列索引，伪造数据包发送给受害者，破坏数据完整性。

此外，UDP也容易发生泛洪攻击。3.5应用层攻击

应用层支持HTTP的Web服务、FTP文件传输和SMTP

邮件传输，这些协议都容易出现安全攻击。例如HTTP是通过

网络交换超文本的协议，这是众多的安全威胁，主要包括恶意软件的攻击（例如，木马、病毒、蠕虫、后门程序、键盘记录器

等）、结构化查询语言（SQL）注入攻击和跨站脚本攻击等等。4总结

正如本文中所提到的，大量的研究工作一直致力于无线

网络安全这一主题，但无数的挑战和问题仍然存在，例如无线

网络中的混合攻击，网络中安全、可靠性和吞吐量的联合优

化，跨层无线安全设计与分析，对于新兴5G系统物理层安全

等等都亟待研究者一一解决，本文下一步工作也将在此方面

进行研究。

参考文献

[1]闫磊.信息安全技术标准分类体系研究[J].科协论坛（下半月），2012（04）.[2]张君毅.无线网络攻击建模与检测关键技术研究[D].北京邮电大学，2012.[3]冀文.WLAN安全机制[J].电信工程技术与标准化，2012（08）.[4]LIJianwu，FENGZebing，FENGZhiyong，ZHANGPing.ASurveyofSecurityIssuesinCognitiveRadioNetworks[J].中国通信，2015（03）.

收稿日期：2017-2-19!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!微信公众账号服务平台微服务的设计与研究

姚修杰（上海交通大学，上海200433）

【摘要】腾讯公司于2011年推出的一个为智能移动终端提供包括即时通讯服务在内的免费应用，随着微信公众平台的逐步开放，微信目前已成为移动互联网最具潜力的平台级软件。微信公众平台是微信的基础功能模块之一，不管是企业还是个人，都能通过其打造出一个属于自己的公众主页，与粉丝进行互动，并通过开发者模式提供一系列增值服务，提升个人乃至企业的形象及其影响力。本软件主要针对微信公众账号开发的个人、企业公共主页，通过本公共服务平台，不仅能更好的与粉丝群体进行多形式互动，建立起属于自己的微网站，更能为关注的粉丝提供住宿、出行、美食、健康状态等多种生活类查询服务，以及更多富有想象空间的增值服务。基于微信公众平台的开发者模式与J2EE架构，利用其微信消息API与第三方开放API，提供用户多种生活类查询服务以及更多增值服务。项目开发过程采用Scrum开发模式。【关键词】微信公众平台；开发模式；API；J2EE【中图分类号】G258.6【文献标识码】A【文章编号】1006-4222（2017）06-0084-02

如今的网络充斥着各种社交网络平台，如人人网、新浪微

博等，但我们对提供生活服务的公共主页却比较陌生，更少于

和自己喜爱的主页进行活动。基于微信公众平台，推出了生活

服务类公共主页交互平台，在该平台中，通过它，您能方便的与

您的粉丝进行互动，并同时提供更多富有想象空间的增值服务

本文将主要针对“微服务”这一模块进行设计、实现过程的分析

说明。“微服务”这一模块又分为几大子模块，分别为美食信息

查询、住宿信息查询、出行信息查询、健康系统。集成了微信发

送文本、语言、地理位置、图片等消息功能，同时针对不同用户

的信息及不同需求，加入搜索、地图定位等网络功能，对用户

的衣、食、住、行等方面都提供了智能、全面、便捷的服务功能。

微信平台接口提供了与用户进行一系列消息交互功能给

开发者。当公众号成功接入消息接口后，用户发消息（包括文

字、图片、语音等）至公众号时，服务器通过发送HTTP请求对

接入的URL进行消息推送，第三方服务器则发送响应包返回

个性的回复，于是回复消息的过程便完成了，说的更通俗些，

即公众号可以使用自己的程序实现与关注者对话。Scrum是一种同时具备计划性和灵活性的敏捷开发过程，

原意为橄榄球术语“带球过人”。橄榄球比赛中，在每一次冲刺前，都有一系列安排计划的过程，然而冲刺开始后队员则会在

原计划的基础之上随机应变。

瀑布模型将开发的整个过程划分为需求、设计、编码、测

试等阶段。与此不同敏捷开发模式则是将整个开发过程分为

多次迭代，过程大概持续2~3个星期。在敏捷开发过程中，成

员各自对自己负责的模块拥有决策权，对于别人负责的模块，

则只能起到辅助与提供建议的作用。Scrum开发办法主要通过迭代。在每一次迭代后都能交付

一个可使用、可部署的系统，通过不同测试用户体验该系统并

反馈意见与产品缺陷，随后的迭代周期这些意见与新的需求

的其他变化在项目中集成并实现。这样极大提高了项目的灵

活性与开发效率。

系统在结构上总共分为三层：手机客户端、后台服务器

端、后台管理平台端，其中手机客户端为微信平台，针对用户；

后台服务器端针对开发者与维护人员；后台管理平台针对系

统管理员。

以住宿查询为例，叙述微服务的架构搭建和方法接口等

研究。该模块分为按城市区域名称查询、按用户当前地理位置

查询（需用户移动设备支持GPS位功能）。按城市区域名称查通信设计与应用84