涉密無線網(wǎng)絡(luò)安全接入體系結(jié)構(gòu)研究

0 引言

隨著我國信息化建設(shè)的不斷推進，安全穩(wěn)定的信息網(wǎng)絡(luò)發(fā)揮著越來越重要的作用。無線網(wǎng)絡(luò)（Wireless Network）是采用無線通信技術(shù)實現(xiàn)的網(wǎng)絡(luò)，具有簡單快捷、低成本、高速率、高靈活性等特點，極大地方便了終端接入。但無線網(wǎng)絡(luò)的所有數(shù)據(jù)都在空氣中傳輸，其傳輸信道無法隔離和切割，受到電磁干擾、無線竊聽、非法接入等問題的困擾，成為涉密無線網(wǎng)絡(luò)安全的制約瓶頸。

本文首先論述了無線網(wǎng)絡(luò)面臨的安全威脅，然后對現(xiàn)有技術(shù)及研究成果進行概述，然后針對這些威脅提出涉密無線網(wǎng)絡(luò)的安全建設(shè)目標(biāo)，最后設(shè)計了涉密無線網(wǎng)絡(luò)的安全接入體系結(jié)構(gòu)。

1 涉密無線網(wǎng)絡(luò)面臨的安全威脅

由于其信道的開放性，無線網(wǎng)絡(luò)在安全性上的缺陷是顯而易見的，很容易遭受外界非法接入、無線干擾、無線竊聽等網(wǎng)絡(luò)攻擊。總體來說，無線網(wǎng)絡(luò)面臨的安全威脅主要有以下幾個方面。

（1）非法接入。包含兩個方面，一是非法用戶連接無線接入設(shè)備，前提是該用戶破解了接入設(shè)備的身份認(rèn)證；二是非法接入設(shè)備通過偽裝誘騙用戶連接，在用戶不知情的情況下收集用戶信息，執(zhí)行釣魚攻擊。

（2）信道竊聽。由于信道的開放性以及無線設(shè)備的嚴(yán)重同質(zhì)化，攻擊者只需要一臺無線接收設(shè)備就可以很容易地掃描到無線信號，并利用無線抓包工具抓取數(shù)據(jù)包進而尋求破解，用戶甚至無法檢測自己發(fā)送和接收的數(shù)據(jù)是否曾被截獲，也難以探測竊聽者的存在。

（3）無線干擾。現(xiàn)有無線傳輸是利用紅外或射頻技術(shù)實現(xiàn)，工作頻率范圍有限，攻擊者可以架設(shè)無線發(fā)送設(shè)備，在無線網(wǎng)絡(luò)的工作頻段發(fā)送大量無用信號實施干擾，使正常設(shè)備無法使用。

（4）異構(gòu)移動設(shè)備引發(fā)的安全問題。現(xiàn)在移動終端類型越來越多，使得網(wǎng)絡(luò)越發(fā)復(fù)雜，難以實施統(tǒng)一有效的管理措施，進而對網(wǎng)絡(luò)安全造成一定沖擊。

總之，信道的開放性是無線網(wǎng)絡(luò)安全的根本缺陷，與其優(yōu)點是互斥的，無法徹底消除，只能利用其它手段加以彌補。

2 現(xiàn)有技術(shù)及研究成果

防范網(wǎng)絡(luò)攻擊的根本方法在于修補網(wǎng)絡(luò)本身脆弱性，提高攻擊防范能力。圍繞無線網(wǎng)絡(luò)的安全性改進，科學(xué)家進行了大量的研究。

（1）SSID隱藏技術(shù)。SSID（Service Set Identifier）是無線局域網(wǎng)的唯一標(biāo)識符，用于區(qū)分不同的網(wǎng)絡(luò)。通過SSID隱藏技術(shù)，可取消SSID廣播，攻擊者就不能直接獲取此網(wǎng)絡(luò)的相關(guān)必要信息。但現(xiàn)有技術(shù)通過簡單掃描就可以發(fā)現(xiàn)隱藏的 SSID，此技術(shù)的有效性已大大降低。

（2）無線加密技術(shù)。802.11標(biāo)準(zhǔn)描述了WLAN和WMAN的MAC層和物理層的規(guī)范，并引入了WEP（Wired Equivalent Privacy）加密技術(shù)，但密碼分析專家現(xiàn)已發(fā)現(xiàn)WEP存在嚴(yán)重弱點；WPA（Wi-FiProtectedAccess）技術(shù)是WEP的改進型，是802.11i完備之前的過渡方案安全性已有較大提高；WPA2是WPA的升級版，它實現(xiàn)了802.11i的全部規(guī)范，其安全性大大增強，從2006年3月起，WPA2已成為企業(yè)的強制性標(biāo)準(zhǔn)。

（3）身份認(rèn)證技術(shù)。802.1x協(xié)議是基于 Client/Server的訪問控制和認(rèn)證協(xié)議，它可以限制未經(jīng)授權(quán)的用戶、設(shè)備接入網(wǎng)絡(luò)；EAP是擴展驗證協(xié)議，它提供了強大的身份驗證機制和動態(tài)密鑰分發(fā)功能，同時還提供進行雙向身份驗證的一種方式。兩種技術(shù)相結(jié)合，具有簡潔高效、安全可靠、靈活方便、低成本、易管理的特點，成為當(dāng)前流行的身份認(rèn)證技術(shù)。

（4）IPsec技術(shù)。IPsec（Internet Protocol Security）是網(wǎng)絡(luò)安全的長期方向，通過端對端的安全性來防止來自內(nèi)外網(wǎng)的攻擊。IPsec擁有不可否認(rèn)性、完整性、認(rèn)證等安全特性。

3 涉密無線網(wǎng)絡(luò)安全建設(shè)目標(biāo)

涉密無線網(wǎng)絡(luò)主要應(yīng)用于國家政府機關(guān)、企業(yè)內(nèi)部、野外作業(yè)等場景，對數(shù)據(jù)保密性、時效性、完整性、可靠性的要求非常高，總的來說，主要有以下幾個方面。

（1）高健壯性。即在復(fù)雜惡劣環(huán)境或設(shè)備遭到不可抗力催毀的情況下，保證網(wǎng)絡(luò)服務(wù)不間斷。目前采用蜂窩式ad-hoc組網(wǎng)方式可較好地解決這方面問題。

（2）抗干擾。復(fù)雜電磁環(huán)境下，無線網(wǎng)絡(luò)的通信受到很大干擾，無線通信必須具備強大的抗干擾、反干擾能力。

（3）高保密。安全保密是涉密網(wǎng)絡(luò)建設(shè)的首要原則，采用必要的安全措施防止失密、泄密，是無線網(wǎng)絡(luò)建設(shè)的首要目標(biāo)。

（4）高可靠。涉密網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)必須是可靠的、完整的，若存在虛假信息、非法信息，將嚴(yán)重影響用戶判斷，造成重大損失。

4 涉密無線網(wǎng)絡(luò)安全接入體系結(jié)構(gòu)

安全可靠的網(wǎng)絡(luò)系統(tǒng)需要結(jié)合網(wǎng)絡(luò)架構(gòu)、安防手段、安防策略等多方面綜合設(shè)計，下面從涉密無線網(wǎng)絡(luò)的安全建設(shè)目標(biāo)入手，分別從這三個方面講述安全無線網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計。

4.1 網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)設(shè)計如圖1所示，無線終端通過無線發(fā)射點（AP）接入網(wǎng)絡(luò)，網(wǎng)絡(luò)配置內(nèi)外防火墻、入侵檢測、認(rèn)證服務(wù)器、加解密網(wǎng)關(guān)等安防設(shè)備，從結(jié)構(gòu)上看，外部無線設(shè)備要訪問內(nèi)部服務(wù)，需要經(jīng)過AP認(rèn)證、認(rèn)證服務(wù)器認(rèn)證、加解密、入侵檢測、外防火墻、內(nèi)防火墻等六道防線，確保內(nèi)部數(shù)據(jù)的穩(wěn)定安全。

圖1 涉密無線網(wǎng)絡(luò)安全接入體系結(jié)構(gòu)

4.2 安防手段

（1）無線AP接入。無線AP需專門定制，具備體積小、重量輕、易攜帶、防摔防水等功能。開啟隱藏 SSID，盡可能減少網(wǎng)絡(luò)暴露的風(fēng)險；采用跳頻、擴頻等無線技術(shù)，抵抗一定規(guī)模的無線干擾；部署多個AP設(shè)備，使用ad-hoc方式組網(wǎng)，具備一定抗催毀能力；采用WPA2加密技術(shù)，設(shè)置足夠長的密碼，減少用戶非法接入風(fēng)險。

（2）802.11i認(rèn)證。802.11i標(biāo)準(zhǔn)在物理層與鏈路層定義了數(shù)據(jù)加密及雙向認(rèn)證等功能，可識別非法終端及非法 AP，極大地提高了系統(tǒng)安全性，有效防止了非法終端接入、非法AP釣魚等網(wǎng)絡(luò)攻擊。

（3）端對端加解密。由于身份認(rèn)證及數(shù)據(jù)傳輸使用同樣的通道，存在一定的安全隱患，因此引入加解密網(wǎng)關(guān)，對內(nèi)網(wǎng)進出的數(shù)據(jù)進行二次加密。加解密網(wǎng)關(guān)采用非對稱加密算法，此加解密網(wǎng)關(guān)在網(wǎng)絡(luò)層之上、傳輸層之下實現(xiàn)了數(shù)據(jù)的加解密傳遞，有效防止了非法竊聽、非法劫持等網(wǎng)絡(luò)攻擊。（4）入侵檢測、防火墻、訪問控制列表、防病毒系統(tǒng)、補丁分發(fā)系統(tǒng)等常規(guī)防護手段。入侵檢測系統(tǒng)用于檢測異常流量，配合防火墻聯(lián)動，可有效預(yù)防大規(guī)格DDoS攻擊；防火墻內(nèi)外配置嚴(yán)格的檢測措施，有效防止大部分非法網(wǎng)絡(luò)攻擊；防病毒系統(tǒng)和補丁分發(fā)系統(tǒng)能夠極大地提高網(wǎng)絡(luò)系統(tǒng)本身的健壯性，預(yù)防病毒、木馬等攻擊。

4.3 安防策略

（1）異構(gòu)計算機接入平臺。異構(gòu)計算機接入是防止大規(guī)模網(wǎng)絡(luò)入侵、病毒攻擊的有效手段。系統(tǒng)漏洞與系統(tǒng)版本是密切相關(guān)的，即同一系統(tǒng)的同一版本往往具有相同的漏洞，如果網(wǎng)絡(luò)中大量存在同構(gòu)（即同一版本系統(tǒng)）計算機系統(tǒng)，攻擊者如果攻陷一臺此類系統(tǒng)，就可以繼續(xù)攻擊同構(gòu)的所有系統(tǒng)；反之，在采用異構(gòu)系統(tǒng)的情況下，攻擊者即便攻陷了一臺計算機，也難以尋找更多具有同樣漏洞的計算機。

（2）采用自主研發(fā)設(shè)備。自主研發(fā)設(shè)備從研發(fā)、生產(chǎn)、裝備、使用等過程上都相對可靠，一是不存在故意設(shè)置的后門，二是采用了符合涉密條件的安全性更高的技術(shù)，三是技術(shù)服務(wù)保障更到位。

（3）安全審計。安全審計是指由專業(yè)審計人員對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證，并做出相應(yīng)評價，便于及時發(fā)現(xiàn)異常和做出應(yīng)對。

5 結(jié)語

安全保密是涉密無線網(wǎng)絡(luò)的重要原則，也是制約無線網(wǎng)絡(luò)在涉密通信領(lǐng)域拓展的瓶頸。本文針對無線網(wǎng)絡(luò)面臨的安全威脅，分析現(xiàn)有安全技術(shù)的利弊，提出了涉密無線網(wǎng)絡(luò)安全接入體系結(jié)構(gòu)，并配合相關(guān)安全手段和策略，實現(xiàn)無線網(wǎng)絡(luò)的安全接入，保障涉密數(shù)據(jù)安全。