無線網絡安全風險研究及關鍵技術應用

◆劉 庚

（中國人民大學信息學院 北京 100872）

無線網絡（Wireless Network）指的是任何形式的無線電計算機網絡，和電信網絡結合在一起，不需線纜即可在各網絡節點之間相互連接通信。根據網絡的覆蓋范圍，可以分為無線體域網、無線個人網、無線局域網、無線城域網、無線廣域網。在日常生活中接觸最多的是無線個人網和無線局域網，如藍牙設備等在小范圍內相互連接數個設備所形成的無線網絡都屬于無線個人網；通過無線AP設備所構成的一個區域內的，用于完成網絡節點間數據交換或訪問互聯網的無線網絡屬于無線局域網，本文主要研究對象是無線局域網。

由于無線網絡和移動設備的飛速發展與相互促進，在公共場所與企業辦公場所基本都已實現無線網絡的覆蓋。無線網絡的使用極大地提升了辦公和信息傳遞的效率，但同時由于無線網絡的開放性使得其安全性較為脆弱，容易受到監聽或攻擊。因此如何對無線網絡實施有效的安全保護機制，增強無線網絡的安全性，是當前無線網絡面臨的重要課題。

1 無線網絡安全問題分析

1.1 有線網絡與無線網絡安全性的差異

（1）有線網絡的網絡連接方式相對固定，網絡邊界清晰。入侵者必須實際訪問網絡或通過物理邊界才能真正訪問網絡。通過使用防火墻、網關等設備實現對接入端口進行管控，可以有效防范非法用戶的接入，而無線網絡卻沒有明確的網絡邊界，容易受到網絡攻擊。

（2）無線網絡中的終端設備的可移動性使無線網絡擁有較為靈活的特點，提升了信息傳輸的效率，但也增加了安全管理的難度。無線網絡中的終端設備可以在網絡信號范圍內隨意移動，也能夠跨區域漫游，增加了訪問節點認證的難度。大多數移動設備在網絡中沒有足夠的物理保護，容易遭受竊聽、劫持甚至破壞，從而可以被進行內部攻擊，造成更大的破壞。

（3）與有線網絡固定的拓撲結構不同，無線網絡的拓撲結構是動態的，缺少集中管理的機制，難以部署安全技術和方案。另一方面無線網絡環境中許多算法需要依賴大量節點的共同參與和協作來完成，這種協作機制同樣會成為入侵者的攻擊重點。

（4）無線網絡信號會受到多普勒平移、干擾、衰減等方面的影響，信號質量的波動以及無線制導競爭共享接入機制，都可能導致數據丟失。這些因素都對無線網絡的安全機制的魯棒性提出了更高的要求。

（5）無線網絡終端設備與有線網絡終端設備具有不同的特點，有線網絡設備不會被用戶或入侵者物理接觸，而無線網絡的實體設備，很可能被接觸到，因而可能會有入侵者部署假的AP。無線網絡終端設備的計算能力通常較弱，且相比有線網絡終端設備更容易丟失、損壞。

1.2 無線網絡的安全隱患

（1）非法用戶接入網絡。由于無線網絡的開放性，非法用戶可以未經授權接入網絡使用網絡資源，降低網絡服務質量，而且未經授權的用戶可能會導致法律糾紛。

（2）地址欺騙和會話攔截。入侵者很容易通過非法監控等手段截獲網絡中合法終端的MAC地址，并偽裝成合法MAC地址進行惡意攻擊。此外，由于IEEE 802.11中缺乏AP認證機制，入侵者常常偽裝成AP進入網絡，通過攔截會話來實現網絡攻擊。

（3）互聯網與大數據的飛速發展，使得大數據平臺和關鍵基礎設施成為網絡攻擊的新的焦點，同時由于基于互聯網的社交網絡中，用戶在安全意識方面嚴重不足，成為遭受網絡攻擊的重災區。攻擊者通過構建虛假的信任鏈，放大其掌握的攻擊資源，從而對網絡本身甚至各類社會公眾服務造成嚴重威脅。

（4）信息技術應用逐漸進入普惠計算時代，以主動式監聽技術為代表的復雜攻擊，正替代傳統的網絡監聽成為網絡攻擊的新方式。

（5）高級入侵和病毒。

一旦攻擊者進入無線網絡，就跳過了網絡中眾多的安全設備。許多網絡都會根據網絡的具體情況配置合適的安全設備作為網絡安全的屏障，用來防御入侵和攻擊，但是網絡內部卻非常脆弱，當攻擊者從內部發動攻擊，常規的安全設備無法發揮作用，后果將十分嚴重。無線網絡本身的開放性使得網絡邊界變得模糊，如果將網絡配置不當，就會將整個無線網絡暴露給攻擊者，網絡邊界的安全設備這時將形同虛設。

由于無線網絡也屬于符合相關網絡協議的計算機網絡，所以計算機病毒同樣也威脅著無線網絡內的所有設備節點，而無線網絡中的絕大多數移動節點防護能力較差，所以病毒在無線網絡中可能會產生比普通網絡更加嚴重的后果?，F在越來越多的攻擊者將攻擊重點放在了無線網絡上，甚至出現了只存在于無線網絡中的病毒，例如：變色龍病毒。

2 無線網絡安全技術

為了應對無線網絡所面臨的各種安全威脅，我們有必要采用相應的無線網絡安全技術。無線網絡安全技術均是圍繞著網絡安全的認證性、加密性、完整性來加強無線網絡安全性，如物理地址過濾、訪問控制技術、加密技術等。

2.1 無線網絡物理地址過濾

MAC地址（Media Access Control Address）是一個用來確認網絡設備位置的位址，用于在網絡中標示一個網卡，具有唯一性。無線網絡物理地址過濾功能通過建立MAC地址列表，在無線網絡中允許或拒絕設備訪問網絡，控制用戶在無線網絡中訪問Internet。

看起來這個措施十分有效，然而，攻擊者可以通過工具進行檢測獲得一個合法的MAC地址表，從而輕松地將其MAC地址更改為合法地址，這是一個新手都可以完成的操作，甚至可以繞過這一機制。因此，物理地址過濾并不能讓網絡管理員高枕無憂，可以考慮設置多于16位密碼再加MAC過濾。

2.2 訪問控制技術

訪問控制是一類網絡安全技術，如禁用DHCP功能，關閉SSID廣播，無線VPN技術等。無線網絡物理地址過濾也屬于訪問控制技術。

（1）DHCP是動態主機分配協議，主要功能是為用戶隨機分配IP地址及其他聯網參數。禁用DHCP功能，能夠防止攻擊者輕易得到路由器的相關信息，減少地址欺騙及非授權用戶接入情況的發生。

（2）修改默認SSID、關閉SSID廣播

SSID（Service Set Identifier）用來區分不同的網絡，最多可以有32個字符，修改默認的SSID并關閉SSID廣播，用戶只能手工輸入SSID才能夠連接到網絡，可以大幅降低無線網絡的可見性和受到攻擊的可能性。

2.3 加密技術

無線網絡常用的加密方案有兩種：有線等效加密（WEP）、Wi-Fi保護接入（WPA/WPA2）。有線等效加密協議可以為無線網絡提供的安全性保障是非常有限的，因為這個協議存在一些容易被破解的重大漏洞，甚至一個初入道的入侵者，也有能力利用這個協議中的安全漏洞進行攻擊。

WPA和WPA2是Wi-Fi的兩個安全算法標準，統稱為Wi-Fi Protected Access即WPA。其加密特性決定了它比WEP更難以入侵。WPA算法標準可以兼容以前的WEP的加密方式，采用了TKIP算法和MIC算法，其中TKIP是一種為增強WEP加密機制而設計的過渡方案，實質上就是改良的RC4算法。而在WPA2中，實現了IEEE 802.11i的強制性元素，它使用的CCMP訊息認證碼是公認徹底安全的，同時使用AES替代了TKIP算法，使得WPA2成為現階段最強大的無線加密算法標準。

2.4 無線入侵檢測系統（WIDS）

入侵檢測系統（Intrusion Detection System，IDS）的作用是根據制定好的安全策略，對網絡系統進行監控，從網絡中的各種操作和行為中檢測違反安全策略的行為，并識別出威脅網絡安全的攻擊企圖、攻擊行為，并作出反應，如：預警、定位異常熱點或終端的位置、阻斷未授權的連接或熱點。

無線入侵檢測系統（Wireless Intrusion Detection System，WIDS）與傳統的入侵檢測系統有很大的差異，不能直接應用于無線網絡之中。無線入侵檢測系統在傳統的入侵檢測系統的基礎上增加了對無線網絡的檢測和對破壞系統響應的特點。無線入侵檢測系統可以分為集中式和分布式兩種，集中式無線入侵檢測系統通過部署許多探測器，將搜集到的數據發送到中央系統中進行存儲和處理，分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。前者可以選擇在無線基站上部署探測器，提高信號覆蓋范圍，更容易檢測到入侵行為并定位入侵者的地理位置，適用于大型無線網絡。后者投入少，易于管理，適用于小型無線網絡。

現在許多大型無線網絡都會使用無線入侵檢測系統，用于分析用戶的活動，判定入侵事件，檢測網絡中的用戶行為是否會威脅網絡安全，對異常網絡流量進行預警；無線入侵檢測系統通過對無線網絡內用戶身份的鑒別，不但能識別入侵者，同時能加強安全策略，提升無線網絡的安全性。

2.5 無線入侵防御系統（WIPS）

隨著網絡攻擊技術的不斷完善和網絡安全漏洞的發現，傳統的防火墻技術和傳統的WIDS技術，已經無法應對一些安全威脅。在這種情況下誕生了入侵防御系統（Wireless Intrusion Prevention System，WIPS）技術。WIPS技術可以對數據流進行深度感知和檢測，丟棄惡意消息從而阻斷攻擊，限制被濫用的消息流以保護網絡帶寬資源。

在攻擊擴散到網絡的其他部分之前，WIPS會阻斷惡意通信。而IDS只作為警報存在于網絡之外，而不是網絡前面的防御。IPS檢測攻擊的方法也與WIDS不同。WIPS檢查進入網絡的數據包，以確定它們的真正用途，然后決定是否允許它們進入您的網絡。

WIPS具備以下三個主要功能：

（1）檢測無線網絡中的典型攻擊行為并自動進行分類。異常報文攻擊如 Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop，地址欺騙攻擊如IP spoofing，掃描攻擊如IP地址攻擊、端口攻擊，異常流量攻擊如Ack Flood、DNS Flood、Fin Flood、HTTP Flood等；

（2）預測攻擊者的下一步攻擊行為并識別最終意圖；

（3）主動響應檢測或預測的攻擊行為并提供積極的防御。實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為。

2.6 建立認證、授權和審計服務器

構建安全無線局域網的最佳方法是通過認證、授權和審計服務器（AAA：Authentication、Authorization、Accounting），AAA服務器通常與網絡訪問控制、網關服務器、數據庫和用戶信息目錄一起工作。與AAA服務器一起工作的網絡連接服務器接口是遠程身份驗證撥號用戶服務（RADIUS）。認證、授權和審計功能可以很好解決訪問控制、安全審計、邊界完整性檢查和網絡設備防護方面的安全問題。

AAA服務器設計的目的并不是為了應用于無線網絡，在根據IEEE802.lx標準的端口訪問控制安全機制聯動起來后，RADIUS服務器可以為無線網絡提供較為理想的安全性。這是因為無線接入點作為端口提供給用戶系統，并試圖通過無線局域網標準連接到一個局域網。在無線局域網用戶和 RADIUS服務器之間進行證書交換的安全方式現在并沒有一個公認的標準，這種交換通常發生在一個擴展認證協議上，因此，證書信息無論通過何種無線傳輸方式都有被惡意企圖的人截獲的可能。LEAP（輕量級擴展身份認證協議），PEPA（保護可擴展身份驗證協議）和TTLS（隧道傳輸層安全協議）是三個最重要的協議。

3 設計無線網絡安全方案的思路

（1）分析網絡的體系結構與業務構成。明確網絡的拓撲結構，通信類型，鏈路特征，業務數據類型以及網絡的異構性，網絡的時效性，識別網絡中的實體和通信內容可能面臨的安全風險。

例如使用不同的身份認證協議對于無線網絡的安全性方面的作用是不同的，應該根據用戶的需求，從安全性、服務質量和能量消耗三個方面來進行身份認證協議的選擇；網絡的規模與性質，決定了密鑰管理的要求；與異構網絡進行通信，為了保證網絡開發性的要求，勢必會影響安全機制的設置與實施。網絡中涉及的業務流程決定了網絡中傳輸的各項通信內容所需要安全保護的強度，涉及的實體決定了協議設計中的交互方以及訪問控制對象。即通過對網絡拓撲結構、業務流程的分析，是確定網絡所面臨的具體的安全威脅和安全需求的基礎。

（2）明確網絡中的實體和通信鏈路的信任程度，并根據信任程度，確定網絡邊界。

某些攻擊者可能不按照所期望網絡協議的方式操作，這時需要借助非密碼學的方法，如入侵檢測、基于信任的管理等機制等。

（3）給出攻擊網絡和系統的假想模型。給出一些典型的攻擊場景和入侵者的攻擊手段，以及這些攻擊可能導致的后果。

根據網絡的特征來分析，容易發現網絡中存在的特有的安全威脅，對于這些威脅，需要根據對相關系統和體系結構的假設與約定，在滿足業務需求的前提下進行安全方案設計。

（4）歸納總結安全需求。

信息安全基本需求，包括保密性、認證性、完整性、可用性、健壯性、隱私保護、信任管理。無線網絡的移動性與其中的設備的不可靠性，使得健壯性（魯棒性、容錯等）和隱私保護是其中的重中之重。而安全需求應該能覆蓋所有預期的安全威脅以及部分未知的安全威脅。

（5）確定安全體系或方案。

重點是對安全標準技術的工程應用選擇、信息安全技術應用在實際場合的合理性、必要性、完備性，以及對遺留系統的兼容性，合適的安全方案的部署成本。安全策略和機制要從網絡管理和安全管理的角度考慮安全方案的實際性能和可用性。

4 結束語

現在無線網絡的覆蓋率呈現爆炸性的增長，人們越來越習慣于使用無線網絡，而無線網絡的各種安全威脅卻層出不窮。本文提到的無線網絡中的幾種安全技術手段的應用可以在一定程度上增強無線網絡的安全性，但安全威脅一直如影隨形，無線網絡安全技術還沒有重大突破，各項安全技術與標準的完善，不斷推動著無線網絡的應用，無線網絡安全不僅與認證、加密、訪問控制等技術有關，還需要入侵檢測系統、防火墻等技術和設備的配合，才能在最大程度上保證無線網絡的安全。