關(guān)于無(wú)線網(wǎng)絡(luò)安全應(yīng)用的探析

賴媛媛

沈陽(yáng)醫(yī)學(xué)院，遼寧 沈陽(yáng) 110034

現(xiàn)在所說(shuō)的網(wǎng)絡(luò)互聯(lián)不是簡(jiǎn)單地把機(jī)器進(jìn)行連接，而是通過(guò)科學(xué)的規(guī)劃和合理的設(shè)計(jì)，從而完善和建立起來(lái)的一種新型網(wǎng)絡(luò)體系，依據(jù)現(xiàn)有的資源對(duì)所有的資源進(jìn)行的一種整合和重組，這種體系是完全建立在可靠高效，還具備一定擴(kuò)充性的網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，無(wú)線網(wǎng)絡(luò)技術(shù)已經(jīng)走進(jìn)了人們的視野，無(wú)線網(wǎng)絡(luò)憑借著它方便、快捷、簡(jiǎn)單、高速的優(yōu)勢(shì)，正在一步步替代現(xiàn)有的有線網(wǎng)絡(luò)。無(wú)論是有線還是無(wú)線的網(wǎng)絡(luò)系統(tǒng)，只要成為一個(gè)傳輸?shù)妮d體或介質(zhì)，它必將承受一切來(lái)自外界的攻擊和威脅，無(wú)線網(wǎng)絡(luò)和有線的一樣，在安全上也存在著一定的安全與技術(shù)上的威脅。

1 保證無(wú)線網(wǎng)絡(luò)安全的機(jī)制

1.1 訪問(wèn)控制

AAA服務(wù)器是用來(lái)實(shí)現(xiàn)所有網(wǎng)絡(luò)用戶的訪問(wèn)控制，AAA服務(wù)器訪問(wèn)控制能夠提供安全可靠的可擴(kuò)展性，很多的訪問(wèn)控制服務(wù)器會(huì)在802.1x的每一個(gè)安全端口上提供具體的機(jī)器認(rèn)證，如果是這種情況，要進(jìn)行端口訪問(wèn)就必須要用戶成功地通過(guò)了802.1x規(guī)定端口的識(shí)別之后，才能實(shí)現(xiàn)訪問(wèn)。不過(guò)我們還能利用MAC地址和SSID對(duì)其進(jìn)行過(guò)濾。目前無(wú)線訪問(wèn)點(diǎn)通常都是采用服務(wù)集標(biāo)志符(SSID)的識(shí)別字符串，這種標(biāo)志符都是由制造商所設(shè)定的，所有的標(biāo)識(shí)符都有與之相對(duì)應(yīng)的默認(rèn)短語(yǔ)，因?yàn)楦鱾€(gè)無(wú)線工作站的網(wǎng)卡的物理地址都是固定的，因此每一個(gè)用戶都能根據(jù)自己的需要進(jìn)行訪問(wèn)點(diǎn)的設(shè)置，維護(hù)一組允許的MAC 地址列表，從而實(shí)現(xiàn)了物理地址的過(guò)濾。其缺點(diǎn)就在于AP 中的MAC 地址列表一定要保持實(shí)時(shí)更新，因?yàn)樗目蓴U(kuò)展性比較差，所以很難實(shí)現(xiàn)機(jī)器在不兼容AP 之間的漫游，加上理論上MAC 地址是可以偽造的，所以，這就屬于最較低級(jí)的一種授權(quán)認(rèn)證了。不過(guò)它屬于阻止非法訪問(wèn)的無(wú)線網(wǎng)絡(luò)的最佳方式，所以可以有效地保護(hù)整個(gè)網(wǎng)絡(luò)的安全。

1.2 身份認(rèn)證

無(wú)線網(wǎng)絡(luò)的認(rèn)證一般分兩種，一種是基于設(shè)備的，一種是基于用戶的，前者通過(guò)對(duì)WEP密鑰的共享來(lái)實(shí)現(xiàn)，后者是采用Eap來(lái)實(shí)現(xiàn)，無(wú)線Eap認(rèn)證通常還能用其他方式來(lái)，最常見(jiàn)的有Eap-Ttls、Eap-Tls、Peap 和 Leap。

1.3 完整性

通過(guò)對(duì)TKIP或WEP使用，無(wú)線網(wǎng)絡(luò)能夠完整地提供原始數(shù)據(jù)包。而有線等效保密協(xié)議則是通過(guò)802.11的標(biāo)準(zhǔn)所定義，主要是用在無(wú)線局域網(wǎng)的保護(hù)鏈路層數(shù)據(jù)。其實(shí)WEP同樣能夠提供認(rèn)證的功能，在加密機(jī)制功能被啟用之后，當(dāng)客戶端嘗試連接AP以后，AP 就能發(fā)出一個(gè)名為CHALLENGE PACKET的數(shù)據(jù)給客戶端，客戶端然后依據(jù)共享密鑰把這個(gè)進(jìn)過(guò)加密之后再送回存取點(diǎn)，然后再進(jìn)行具體的認(rèn)證比對(duì)，在確認(rèn)正確無(wú)誤之后，就可以的道道存取網(wǎng)絡(luò)的全部資源。事實(shí)上，在IEEE 802.11i規(guī)范之中，Tkip：TEMPORAL KEY INTEGRITY PROTOCOL主要是負(fù)責(zé)處理無(wú)線安全問(wèn)題的具體加密部分。同時(shí)，也有在具體工作中采用IPSEC ESP去提供一個(gè)相對(duì)比較安全的VPN隧道。VPN其實(shí)就是在現(xiàn)有網(wǎng)絡(luò)上通過(guò)組建的一個(gè)加密、虛擬的網(wǎng)絡(luò)。通常情況下，VPN是依靠四項(xiàng)安全的保障技術(shù)去確保網(wǎng)絡(luò)的安全，這四項(xiàng)保障技術(shù)依次是密鑰管理技術(shù)、隧道技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)。

2 無(wú)線網(wǎng)絡(luò)技術(shù)加密方法的研究

目前，在無(wú)線節(jié)點(diǎn)的設(shè)備中最常使用的加密方法有兩種，第一種是Wpa的加密技術(shù)，第二種是Wep的加密技術(shù)。Wep技術(shù)通常也有叫做等保密技術(shù)的，他主要是用來(lái)提供加密中的最低限度安全，Wep技術(shù)通常都是在網(wǎng)絡(luò)鏈路層實(shí)現(xiàn)RC4的對(duì)稱加密過(guò)程，無(wú)線網(wǎng)絡(luò)的用戶密鑰相應(yīng)內(nèi)容必須要和無(wú)線節(jié)點(diǎn)的密鑰具體的內(nèi)容一樣，這樣才能確保能夠訪問(wèn)到網(wǎng)絡(luò)的具體內(nèi)容。 Wep的加密技術(shù)為無(wú)線網(wǎng)絡(luò)用戶提供了152位、128位，最短的也在40位長(zhǎng)度的不同密鑰算法的機(jī)制。如果當(dāng)無(wú)線上網(wǎng)的信號(hào)經(jīng)過(guò)了Wep的加密之后，如果本地的無(wú)線網(wǎng)絡(luò)附近有一些非法用戶，假設(shè)他們能夠通過(guò)相對(duì)專業(yè)的工具進(jìn)行竊網(wǎng)上的傳輸信號(hào)，因?yàn)閃ep的加密他們也是不能看到具體的內(nèi)容，所以說(shuō)，通過(guò)Wep的加密，數(shù)據(jù)在發(fā)送和傳遞中大大加強(qiáng)了安全性。加上Wep的加密所選用的位數(shù)比較高，所以很多的非法用戶是很難破解無(wú)線上網(wǎng)的信號(hào)的，Wep的加密的位數(shù)越高無(wú)線網(wǎng)絡(luò)的安全系數(shù)就會(huì)越大。

2.1 Wi-Fi保護(hù)接入（WPA）

利用Wi-Fi保護(hù)接入?yún)f(xié)議的目的就是為了替換或改善有漏洞的Wep加密方式。采用Wpa有效的密鑰分發(fā)機(jī)制，就能實(shí)現(xiàn)跨越不同廠商之間的無(wú)線網(wǎng)卡的應(yīng)用。Wpa使無(wú)線網(wǎng)絡(luò)在公共場(chǎng)所安全地部署變成現(xiàn)實(shí)。Wep的最大缺陷就是他的加密密鑰不是動(dòng)態(tài)而是靜態(tài)的，如果是Wpa就能實(shí)現(xiàn)隨時(shí)的轉(zhuǎn)換密鑰的功能。Wpa主要包含802.1x機(jī)制和暫時(shí)密鑰完整性協(xié)議Tkip。802.1x和Tkip同時(shí)為移動(dòng)的客戶機(jī)提供相互認(rèn)證和動(dòng)態(tài)密鑰加密的功能。Tkip為Wep引入了一種新的算法，這種新的算法涵蓋了信息完整性碼和數(shù)據(jù)包密鑰構(gòu)建、相關(guān)的序列規(guī)則、密鑰生成與分發(fā)功能和擴(kuò)展的48位初始向量。Wpa還能和802.1x及Eap的認(rèn)證服務(wù)器相互連接。這臺(tái)認(rèn)證服務(wù)器主要是用于對(duì)用戶證書的保存。這種功能能夠?qū)崿F(xiàn)有效的認(rèn)證控制和已有信息系統(tǒng)的進(jìn)一步的集成。Wpa彌補(bǔ)了Wep的安全問(wèn)題,但是不能解決拒絕服務(wù)(Dos)的攻擊。

2.2 臨時(shí)密鑰完整性協(xié)議（Tkip）

Tkip是針對(duì)無(wú)線 Lans安全的 Ieee 802.11i 加密標(biāo)準(zhǔn)的一部分。Tkip 利用帶有 128 密鑰的流密碼進(jìn)行加密和 64 位的流密碼進(jìn)行驗(yàn)證。Tkip是一種基礎(chǔ)性的技術(shù)，允許Wpa向下兼容Wep協(xié)議和現(xiàn)有的無(wú)線硬件。Tkip與WepP一起工作，組成了一個(gè)更長(zhǎng)的128位密鑰，并根據(jù)每個(gè)數(shù)據(jù)包變換密鑰，使這個(gè)密鑰比單獨(dú)使用Wep協(xié)議安全許多倍。

可擴(kuò)展認(rèn)證協(xié)議（Eap）。通過(guò)允許使用任意長(zhǎng)度的憑據(jù)和信息交換的任意身份驗(yàn)證方法，來(lái)擴(kuò)展點(diǎn)對(duì)點(diǎn)協(xié)議 （Ppp）。Eap 已被開(kāi)發(fā)以響應(yīng)身份驗(yàn)證方法的不斷增長(zhǎng)的需求。通過(guò)使用 Eap，可以支持其他身份驗(yàn)證方案，如令牌卡、一次性密碼、使用智能卡的公鑰身份驗(yàn)證以及證書等。有Eap的支持，Wpa加密可提供與控制訪問(wèn)無(wú)線網(wǎng)絡(luò)有關(guān)的更多的功能。

[1]瓦卡（Vacca,J.R.）.無(wú)線寬帶網(wǎng)絡(luò)技術(shù)指南[M].人民郵電出版社，2010，7.

[2]楊哲.無(wú)線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)[M].電子工業(yè)出版社，2008，11.