李 業(yè)

（1、北京交通大學(xué)，北京 100044 2、中國(guó)鐵通淮北分公司，安徽 淮北 235000）

1 無(wú)線網(wǎng)絡(luò)（WLAN）技術(shù)的特點(diǎn)

1.1 無(wú)線網(wǎng)絡(luò)的特點(diǎn)：無(wú)線網(wǎng)絡(luò)的出現(xiàn)使有線網(wǎng)絡(luò)所遇到的問(wèn)題迎刃而解，它可以使用戶任意對(duì)有線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和延伸。只是在有線網(wǎng)絡(luò)的基礎(chǔ)上通過(guò)無(wú)線接入器、無(wú)線網(wǎng)橋、無(wú)線網(wǎng)卡等無(wú)線設(shè)備使無(wú)線通信得以實(shí)現(xiàn)。在不進(jìn)行傳統(tǒng)的布線的同時(shí)，提供有線網(wǎng)絡(luò)的所有功能，并能夠隨著用戶的需要隨意的更改擴(kuò)展網(wǎng)絡(luò)，實(shí)現(xiàn)移動(dòng)應(yīng)用。無(wú)線網(wǎng)絡(luò)具有傳統(tǒng)有線網(wǎng)絡(luò)無(wú)法比擬的特點(diǎn)。

1.2 靈活性，不受線纜的限制，可以隨意增加和配置工作站；

低成本，無(wú)線網(wǎng)絡(luò)不再需要大量的工程布線，同時(shí)節(jié)省了線路維護(hù)的費(fèi)用；

1.3 移動(dòng)性，不受時(shí)間、空間的限制，用戶可在網(wǎng)絡(luò)中漫游；

1.4 易安裝，對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)的組建、配置和維護(hù)更為容易。

1.5 無(wú)線網(wǎng)絡(luò)應(yīng)用的環(huán)境：隨著這兩年WLAN不斷廣泛的應(yīng)用，無(wú)線網(wǎng)絡(luò)802.11x已經(jīng)不是原來(lái)的作為有線網(wǎng)絡(luò)的補(bǔ)充，而是以一種最后N*100米的高效的接入手段出現(xiàn)人們面前。WLAN無(wú)線應(yīng)用的特點(diǎn)使其可以廣泛使用。

2 無(wú)線網(wǎng)絡(luò)主要安全技術(shù)

2.1 擴(kuò)頻技術(shù)

擴(kuò)頻技術(shù)是軍方為了通訊安全而首先提出的。它從一開(kāi)始就被設(shè)計(jì)成為駐留在噪聲中，一直干擾和越權(quán)接收的。擴(kuò)頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無(wú)線電技術(shù)的集中所有能量在一個(gè)信號(hào)頻率中的方式進(jìn)行傳輸。

2.2 用戶驗(yàn)證:密碼控制

建議在無(wú)線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。 由于無(wú)線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶，所以精確的密碼策略是增加一個(gè)安全級(jí)別，這可以確保工作站只被授權(quán)人使用。

2.3 數(shù)據(jù)加密

對(duì)數(shù)據(jù)的安全要求極高的系統(tǒng)，例如金融或軍隊(duì)的網(wǎng)絡(luò)，需要一些特別的安全措施，這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件，數(shù)據(jù)包在被發(fā)送之前被加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。

如果要求整體的安全性，加密是最好的解決辦法。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還選擇低價(jià)格的第三方產(chǎn)品。

2.4 WEP（Wired Equivalent Privacy）加密配置

WEP加密配置是確保經(jīng)過(guò)授權(quán)的WLAN用戶不被竊聽(tīng)的驗(yàn)證算法，是IEEE協(xié)會(huì)為了解決無(wú)線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。

2.5 防止入侵者訪問(wèn)網(wǎng)絡(luò)資源

這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。

3 無(wú)線網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

安全風(fēng)險(xiǎn)是指無(wú)線網(wǎng)絡(luò)中的資源面臨的威脅。無(wú)線網(wǎng)絡(luò)的資源，包括了在無(wú)線信道上傳輸?shù)臄?shù)據(jù)和無(wú)線網(wǎng)絡(luò)中的主機(jī)。

3.1 無(wú)線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無(wú)線電波可以繞過(guò)障礙物向外傳播，因此，無(wú)線網(wǎng)絡(luò)中的信號(hào)是可以在一定覆蓋范圍內(nèi)接聽(tīng)到而不被察覺(jué)的。另外，只要按照無(wú)線網(wǎng)絡(luò)規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取，并且，如果使用一些信號(hào)截獲技術(shù)，還可以把某個(gè)數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺(jué)。

因此，無(wú)線信道上傳輸?shù)臄?shù)據(jù)可能會(huì)被偵聽(tīng)、修改、偽造，對(duì)無(wú)線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟(jì)損失。

3.2 無(wú)線網(wǎng)絡(luò)中主機(jī)面臨的威脅

無(wú)線網(wǎng)絡(luò)是用無(wú)線技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡(luò)上流行的病毒之外，還可能會(huì)出現(xiàn)專門針對(duì)無(wú)線網(wǎng)絡(luò)移動(dòng)設(shè)備。當(dāng)無(wú)線網(wǎng)絡(luò)與無(wú)線廣域網(wǎng)或者有線的國(guó)際互聯(lián)網(wǎng)連接之后，無(wú)線病毒的威脅可能會(huì)加劇。

對(duì)于無(wú)線網(wǎng)絡(luò)中的接入設(shè)備，可能會(huì)遭受來(lái)自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無(wú)線網(wǎng)絡(luò)和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對(duì)該IP的Dog或者DDoS會(huì)使得接入設(shè)備無(wú)法完成正常服務(wù)，造成網(wǎng)絡(luò)癱瘓。無(wú)線網(wǎng)絡(luò)中的用戶設(shè)備具有一定的可移動(dòng)性和通常比較高的價(jià)值，這造成的一個(gè)負(fù)面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會(huì)使得基于硬件的身份識(shí)別失效，同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會(huì)泄漏。

這樣，無(wú)線網(wǎng)絡(luò)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅，用戶設(shè)備則要考慮丟失的后果。

4 無(wú)線網(wǎng)絡(luò)信息安全解決措施

無(wú)線局域網(wǎng)完整的安全方案以IEEE802.11b為基礎(chǔ)，是一個(gè)標(biāo)準(zhǔn)的開(kāi)放式的安全方案，它能為用戶提供最強(qiáng)的安全保障，確保從控制中心進(jìn)行有效的集中管理。它的核心部分是：

擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP），是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)（RA－DIUS）的擴(kuò)展?？梢允篃o(wú)線客戶適配器與RADIUS服務(wù)器通信。

當(dāng)無(wú)線局域網(wǎng)執(zhí)行安全保密方案時(shí)，在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過(guò)認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話框或類似的東西內(nèi)輸入用戶名和密碼時(shí)，客戶端和RADIUS服務(wù)器（或其它認(rèn)證服務(wù)器）進(jìn)行雙向認(rèn)證，客戶通過(guò)提供用戶名和密碼來(lái)認(rèn)證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認(rèn)證的過(guò)程是：一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò)，否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對(duì)話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802.lx協(xié)議，站點(diǎn)和RADIUS服務(wù)器在有線局域網(wǎng)上通過(guò)接入點(diǎn)進(jìn)行雙向認(rèn)證?？梢允褂脦讉€(gè)認(rèn)證方法中的一個(gè)。

相互認(rèn)證成功完成后，RADIUS服務(wù)器和用戶確定一個(gè)WEP密鑰來(lái)區(qū)分用戶并提供給用戶適當(dāng)?shù)燃?jí)的網(wǎng)絡(luò)接入。以此給每一個(gè)用戶提供與有線交換幾乎相同的安全性。用戶加載這個(gè)密鑰并在該登錄期內(nèi)使用。

RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰，稱為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶，用戶用時(shí)期密鑰來(lái)解密。用戶和接入點(diǎn)激活WEP，在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。

網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂?。無(wú)論有線絡(luò)還是無(wú)線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽(tīng)、非法接入和各種內(nèi)部（合法用戶）的攻擊。

無(wú)線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無(wú)線網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制，其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過(guò)程中，頻率波段和調(diào)制不斷變化，計(jì)時(shí)和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運(yùn)算法則和IEEE802.11的規(guī)定要求無(wú)線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)（不使用加密技術(shù)）一樣安全。其中，認(rèn)證提供接入控制，減少網(wǎng)絡(luò)的非法使用，加密則可以減少破壞和竊聽(tīng)。目前，在基本的WEP安全機(jī)制之外，更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中。

[1]譚潤(rùn)芳.無(wú)線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.

[2]劉元安，《寬帶無(wú)線接入和無(wú)線局域網(wǎng)》，北京郵電大學(xué)出版社，2000.

[3]牛偉，郭世澤，吳志軍等，《無(wú)線局域網(wǎng)》，人民郵電出版社，2003.