無(wú)線網(wǎng)絡(luò)安全防護(hù)技術(shù)研究

李懷佳

【摘 要】應(yīng)用無(wú)線網(wǎng)絡(luò)進(jìn)行信息通信已經(jīng)成為當(dāng)前通信網(wǎng)絡(luò)的發(fā)展主流，但是在無(wú)線網(wǎng)絡(luò)的發(fā)展過(guò)程中所體現(xiàn)出來(lái)的安全問(wèn)題也日益嚴(yán)重，如何采用有效的安全防護(hù)措施來(lái)增強(qiáng)用戶(hù)的通信安全是當(dāng)前無(wú)線網(wǎng)絡(luò)發(fā)展中所需考慮的重點(diǎn)問(wèn)題之一。

【關(guān)鍵詞】無(wú)線網(wǎng)絡(luò)；通信；安全

【中圖分類(lèi)號(hào)】TP393 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）03-0114-01

作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，無(wú)線網(wǎng)絡(luò)得到了廣泛的關(guān)注和應(yīng)用，尤其是近年來(lái)無(wú)線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使得無(wú)線傳輸速度和傳輸質(zhì)量與有線網(wǎng)絡(luò)的差距越來(lái)越小，而無(wú)線網(wǎng)絡(luò)在組網(wǎng)方面相較有線網(wǎng)絡(luò)更加靈活和便捷的特性使得無(wú)線網(wǎng)絡(luò)成為當(dāng)前網(wǎng)絡(luò)部署的主要方式。但是無(wú)線網(wǎng)絡(luò)的這種特性也為網(wǎng)絡(luò)用戶(hù)帶來(lái)了比有線網(wǎng)絡(luò)更多的安全隱患和威脅，如何采取有效措施提高無(wú)線網(wǎng)絡(luò)的安全性能是無(wú)線網(wǎng)絡(luò)搭建和部署中必須考慮的重點(diǎn)問(wèn)題之一。

1 無(wú)線網(wǎng)絡(luò)中存在的安全問(wèn)題

由于接入方式與有線網(wǎng)絡(luò)不同，故只要終端設(shè)備在無(wú)線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)即可輕松接入網(wǎng)絡(luò)，獲得無(wú)線網(wǎng)絡(luò)服務(wù)，但是這種接入方式也為無(wú)線網(wǎng)絡(luò)的安全帶來(lái)了巨大的威脅。只要在無(wú)線覆蓋區(qū)域內(nèi)，任何人均有可能獲得和截取其他用戶(hù)的通信數(shù)據(jù)。相較于有線網(wǎng)絡(luò)而言，無(wú)線網(wǎng)絡(luò)無(wú)法使用物理手段來(lái)提升用戶(hù)的數(shù)據(jù)安全，因此只能通過(guò)安全接入機(jī)制來(lái)提升網(wǎng)絡(luò)的安全性能。

1.1 訪問(wèn)控制

目前常用的基于無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制機(jī)制有三種形式，分別為MAC地址認(rèn)證、802.1x認(rèn)證以及共享密鑰認(rèn)證。但是多數(shù)無(wú)線接入點(diǎn)為方便用戶(hù)接入，在上述三種認(rèn)證機(jī)制方面沒(méi)有進(jìn)行合理設(shè)置，這就容易造成非法用戶(hù)的惡意接入，非法獲取用戶(hù)的通信數(shù)據(jù)。

1.2 數(shù)據(jù)加密

由于無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)使用公共信道進(jìn)行傳輸，為保證某一用戶(hù)的通信數(shù)據(jù)不被其他用戶(hù)獲取必須設(shè)定必要的數(shù)據(jù)加密機(jī)制如WEP加密算法等，但是該算法的保密強(qiáng)度不高，易被破解。IEEE協(xié)會(huì)后續(xù)制定的數(shù)據(jù)加密算法雖然提高了數(shù)據(jù)的保密性但是在用戶(hù)應(yīng)用方面還沒(méi)有得到廣泛的重視。此在，在明文完整性校驗(yàn)技術(shù)方面CRC校驗(yàn)只能保證傳輸數(shù)據(jù)的正確性但是無(wú)法保證數(shù)據(jù)是加密的。

2 無(wú)線網(wǎng)絡(luò)中的安全防護(hù)技術(shù)

2.1 MAC過(guò)濾技術(shù)

該方式通過(guò)對(duì)無(wú)線AP進(jìn)行設(shè)置，將允許接入網(wǎng)絡(luò)的無(wú)線網(wǎng)卡的物理地址列入接入白名單，在用戶(hù)進(jìn)行通信或者網(wǎng)絡(luò)訪問(wèn)時(shí)AP會(huì)對(duì)設(shè)備進(jìn)行判斷，只有允許的設(shè)備才能夠接入網(wǎng)絡(luò)并進(jìn)行通信。該技術(shù)可以有效的提高無(wú)線網(wǎng)絡(luò)的安全性能，這是因?yàn)槊恳辉O(shè)備的MAC地址是唯一的、不可更改的。但是該技術(shù)也存在不足之處，若接入網(wǎng)絡(luò)的設(shè)備非常多，使用該技術(shù)就必須對(duì)每一個(gè)MAC地址進(jìn)行更新或者擴(kuò)充，其可擴(kuò)展性非常差，無(wú)法實(shí)現(xiàn)無(wú)線設(shè)備在不同AP之間的靈活漫游。此外，信息技術(shù)的發(fā)展使得盜取并偽造MAC地址接入無(wú)線網(wǎng)絡(luò)成為可能，單一采用該技術(shù)已經(jīng)無(wú)法有效保證網(wǎng)絡(luò)的安全。

2.2 修改服務(wù)標(biāo)識(shí)符

服務(wù)標(biāo)識(shí)符（SSID）可以對(duì)網(wǎng)絡(luò)進(jìn)行區(qū)分，其有效支持網(wǎng)絡(luò)名稱(chēng)長(zhǎng)度為32個(gè)字符。對(duì)于無(wú)線AP的制造商而言，其推出的設(shè)備具有相同的初始SSID，若非法用戶(hù)利用這些初始SSID進(jìn)行網(wǎng)絡(luò)接入則非常容易與無(wú)線網(wǎng)絡(luò)之間建立一條數(shù)據(jù)傳輸通道，為無(wú)線網(wǎng)絡(luò)帶來(lái)安全威脅。因此對(duì)無(wú)線AP的SSID進(jìn)行設(shè)置可以有效改善AP存在初始SSID的缺陷。

2.3 提高接入訪問(wèn)機(jī)制

鑒于WEP接入控制方案的安全性能不高，IEEE提出了WPA認(rèn)證技術(shù)。該技術(shù)在用戶(hù)接入網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)通信時(shí)會(huì)不斷的更新WEP密鑰，其更新頻率非常高，使得非法用戶(hù)在破解密碼時(shí)無(wú)法在限定時(shí)間內(nèi)完成，從而提高了無(wú)線網(wǎng)絡(luò)的安全性能。

2.4 虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)即VPN技術(shù)是保護(hù)網(wǎng)絡(luò)后門(mén)安全的關(guān)鍵。相較于WEP接入認(rèn)證方式而言，VPN技術(shù)建立了一條用戶(hù)與網(wǎng)絡(luò)之間的安全隧道連接，用戶(hù)使用該專(zhuān)用隧道進(jìn)行數(shù)據(jù)通信。VPN技術(shù)非常適用于非有好網(wǎng)絡(luò)中的數(shù)據(jù)安全保護(hù)。此外，VPN采用軟件加密對(duì)數(shù)據(jù)進(jìn)行保護(hù)，相較于硬件加密而言，軟件加密更易實(shí)現(xiàn)。

2.5 無(wú)線入侵檢測(cè)系統(tǒng)

無(wú)線入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)類(lèi)似于傳統(tǒng)的入侵檢測(cè)系統(tǒng)，但是其加入了對(duì)無(wú)線局域網(wǎng)的檢測(cè)技術(shù)和對(duì)破壞系統(tǒng)行為的反應(yīng)技術(shù)。通過(guò)該系統(tǒng)可以對(duì)接入無(wú)線網(wǎng)絡(luò)的用戶(hù)的用戶(hù)行為進(jìn)行監(jiān)聽(tīng)，實(shí)時(shí)判斷該行為是否為非法網(wǎng)絡(luò)行為，若判定為非法行為則對(duì)該異常流量進(jìn)行報(bào)警，同時(shí)對(duì)非法用戶(hù)進(jìn)行檢測(cè)，保證無(wú)線網(wǎng)絡(luò)的安全。除了上述功能外，無(wú)線入侵檢測(cè)系統(tǒng)還能夠?qū)粽叩男袨椤⑽醇用艿?02.11標(biāo)準(zhǔn)的數(shù)據(jù)流量、MAC地址欺騙、偽裝WAP無(wú)線上網(wǎng)等行為進(jìn)行檢測(cè)，其性能非常強(qiáng)大。

2.6 用戶(hù)身份認(rèn)證和授權(quán)

由于MAC地址認(rèn)證、更改SSID接入、使用WEP對(duì)網(wǎng)絡(luò)加密等方法都存在一定的技術(shù)缺陷，很容易被非法用戶(hù)利用多種偽裝或者欺騙手段繞過(guò)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)。為提高網(wǎng)絡(luò)的安全性能可以在用戶(hù)與網(wǎng)絡(luò)建立關(guān)聯(lián)之前對(duì)用戶(hù)進(jìn)行身份認(rèn)證。常用的身份認(rèn)證和授權(quán)機(jī)制有三種，分別為開(kāi)放身份驗(yàn)證、共享機(jī)密身份驗(yàn)證以及其他身份驗(yàn)證或授權(quán)機(jī)制。

開(kāi)放身份驗(yàn)證機(jī)制要求用戶(hù)向AP提供正確的SSID或WEP密鑰才能進(jìn)行網(wǎng)絡(luò)接入；共享機(jī)密身份驗(yàn)證機(jī)制則是利用STA向AP發(fā)送申請(qǐng)，在接收到AP的回復(fù)后利用回復(fù)口令實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)接入；其他技術(shù)如身份證書(shū)驗(yàn)證的可以有效阻止非法用戶(hù)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

總結(jié)

未來(lái)的通信網(wǎng)絡(luò)終端必然會(huì)向無(wú)線網(wǎng)絡(luò)發(fā)展，研究和應(yīng)用具有更高安全性能的無(wú)線網(wǎng)絡(luò)安全防護(hù)機(jī)制可以有效保證用戶(hù)的通信信息不被非法獲取和利用，讓用戶(hù)安全可靠的使用無(wú)線網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)、辦公和生活。

參考文獻(xiàn)

[1] 常偉鵬.校園無(wú)線網(wǎng)絡(luò)安全防護(hù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（7）

[2] 楊梅.校園無(wú)線網(wǎng)絡(luò)的安全與技術(shù)防護(hù)[J].河北能源職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011，11（2）

[3] 張洪.義無(wú)線網(wǎng)絡(luò)的安全問(wèn)題探討[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011（1）

[4] 李園，王燕鴻，張鉞偉，顧偉偉.無(wú)線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù)，2007，30（5）