宋長(zhǎng)凱

武警某部通信站，新疆烏魯木齊 830063

0 引言

隨著無(wú)線網(wǎng)絡(luò)的不斷發(fā)展，越來(lái)越多的單位都構(gòu)建了無(wú)線網(wǎng)絡(luò)，因?yàn)闊o(wú)線網(wǎng)絡(luò)不僅接入速度較高，而且其在組網(wǎng)靈活性方面有著獨(dú)特的優(yōu)勢(shì)。但是，隨之也帶來(lái)了不少問(wèn)題，尤其是無(wú)線網(wǎng)絡(luò)的安全性問(wèn)題，主要體現(xiàn)在以下幾個(gè)方面：信道的開放性特點(diǎn)，給用戶便捷的同時(shí)也方便了一些非法接入以及竊聽的網(wǎng)絡(luò)攻擊行為；無(wú)線網(wǎng)絡(luò)是基于電磁波的，在其影響范圍內(nèi)，所有無(wú)線網(wǎng)絡(luò)的用戶都可以接收一些信息，這對(duì)于不想接收信息的用戶而言勢(shì)必會(huì)造成一定的干擾；無(wú)線電波會(huì)由于外界因素而導(dǎo)致不同程度的信號(hào)衰減，從而出現(xiàn)信號(hào)丟失的現(xiàn)象?？梢?，研究無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)，確保無(wú)線網(wǎng)絡(luò)的安全是極其重要的，這對(duì)于促進(jìn)無(wú)線網(wǎng)絡(luò)的發(fā)展，為用戶提供更加優(yōu)質(zhì)的無(wú)線網(wǎng)絡(luò)服務(wù)起到了重要的作用。

1 無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)的剖析

1.1 基本的結(jié)構(gòu)模式

無(wú)線網(wǎng)絡(luò)的基本結(jié)構(gòu)模式主要有兩種，分別是：存在基站的無(wú)線網(wǎng)絡(luò)；不存在基站的無(wú)線網(wǎng)絡(luò)。其中，存在基站的無(wú)線網(wǎng)絡(luò)也稱為Infrastructure結(jié)構(gòu)，該網(wǎng)絡(luò)中的通信都需要借助于基站才能完成，基站也可稱為接入點(diǎn)。而不存在基站的無(wú)線網(wǎng)絡(luò)是Ad Hoc結(jié)構(gòu)，無(wú)線網(wǎng)絡(luò)中的各終端是直接進(jìn)行通信的，最終形成多單元的無(wú)線通信網(wǎng)絡(luò)。

1.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

無(wú)線網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)主要有3種，分別是：點(diǎn)對(duì)點(diǎn)、Hub型、無(wú)中心拓?fù)?。其中，點(diǎn)對(duì)點(diǎn)主要是借助于點(diǎn)頻或者是擴(kuò)頻微波電臺(tái)等方式進(jìn)行網(wǎng)段連接，其結(jié)構(gòu)比較簡(jiǎn)單，能夠獲取到中遠(yuǎn)距離范圍的高速率鏈路。Hub型要求存在一個(gè)無(wú)線站點(diǎn)作為中心點(diǎn)，并控制該無(wú)線網(wǎng)段內(nèi)的所有站點(diǎn)，同時(shí)可以借助于蜂房技術(shù)實(shí)現(xiàn)空間以及頻率的復(fù)用，該拓?fù)浣Y(jié)構(gòu)如圖1所示：

圖1 Hub型無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2 無(wú)線網(wǎng)絡(luò)的安全測(cè)試技術(shù)

2.1 基于訪問(wèn)點(diǎn)的安全測(cè)試技術(shù)

要想提高無(wú)線網(wǎng)絡(luò)的安全性，管理員應(yīng)該意識(shí)到訪問(wèn)點(diǎn)AP的重要性，因?yàn)锳P是整個(gè)無(wú)線網(wǎng)絡(luò)的基礎(chǔ)，AP安全性有了保障，無(wú)線網(wǎng)絡(luò)的安全性將會(huì)大大提高。

1） WEP。WEP是安全保護(hù)協(xié)議，屬于802.11協(xié)議中的一部分，現(xiàn)大部分的商家都支持128位的密鑰，雖然WEP協(xié)議也存在一些安全隱患，但在無(wú)線網(wǎng)絡(luò)中引入WEP可以杜絕一些攻擊水平不太高的黑客，也能對(duì)安全起到一定的保障作用；2）MAC地址過(guò)濾。MAC地址是無(wú)線網(wǎng)絡(luò)中較為理想的一種訪問(wèn)控制方式，但現(xiàn)有無(wú)線網(wǎng)絡(luò)中已出現(xiàn)能偽造合法MAC的軟件，但筆者認(rèn)為無(wú)線網(wǎng)絡(luò)中仍應(yīng)引入MAC地址過(guò)濾技術(shù)，這樣可以將一部分網(wǎng)絡(luò)入侵者過(guò)濾在外；3） DMZ非軍事區(qū)技術(shù)。DMZ是無(wú)線網(wǎng)絡(luò)中的一個(gè)特殊區(qū)域，如果AP點(diǎn)位于DMZ，就算該AP遭受到了攻擊，攻擊者也不能對(duì)無(wú)線網(wǎng)絡(luò)內(nèi)部信息進(jìn)行竊取。但需要明確的一點(diǎn)是，DMZ可以保護(hù)無(wú)線網(wǎng)絡(luò)的內(nèi)部資源，但不能保護(hù)無(wú)線用戶。

2.2 基于防火墻及RADIUS的安全測(cè)試技術(shù)

從本質(zhì)上而言，防火墻是由軟件以及硬件共同組成的一個(gè)系統(tǒng)，主要實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的接入控制。其控制策略則是由用戶自行在防火墻上進(jìn)行設(shè)置的，其作用主要是為了實(shí)現(xiàn)有效的阻止以及允許。由防火墻連接的兩個(gè)無(wú)線網(wǎng)絡(luò)分組過(guò)濾路由器必須是支持標(biāo)準(zhǔn)格式的設(shè)備，這樣才能更好地實(shí)現(xiàn)分工檢測(cè)，一個(gè)負(fù)責(zé)進(jìn)入無(wú)線網(wǎng)的分組檢查，另一個(gè)負(fù)責(zé)對(duì)無(wú)線網(wǎng)絡(luò)輸出的信息進(jìn)行檢查。

而RADIUS（Remote Authentication Dial-In User Service）是遠(yuǎn)程身份驗(yàn)證的撥入用戶服務(wù)檢測(cè)技術(shù)，能夠?qū)崿F(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)遠(yuǎn)程鏈接用戶的身份驗(yàn)證，并提供授權(quán)和相關(guān)的記錄日志。Radius除了用戶身份驗(yàn)證，還可用于訪問(wèn)點(diǎn)身份驗(yàn)證，可實(shí)現(xiàn)雙向身份認(rèn)證，這樣，黑客就無(wú)法假冒訪問(wèn)點(diǎn)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。Radius可全面的控制訪問(wèn)授權(quán)，如時(shí)間限制及密鑰重新生成周期。Radius服務(wù)器的典型設(shè)置如圖2所示：

圖2 Radius服務(wù)器的典型設(shè)置

2.3 基于公鑰體制身份認(rèn)證的安全檢測(cè)技術(shù)

無(wú)線網(wǎng)絡(luò)應(yīng)用基于公鑰體制身份認(rèn)證的安全檢測(cè)技術(shù)，能夠在很大程度保證無(wú)線網(wǎng)絡(luò)的安全。在公鑰體制中，私鑰和公鑰是不可以互推的，也正是因?yàn)檫@一點(diǎn)，保證了無(wú)線網(wǎng)絡(luò)良好的安全性。該安全檢測(cè)技術(shù)的實(shí)現(xiàn)分成以下兩大步驟：

首先，用戶UserA生成一個(gè)認(rèn)證請(qǐng)求，并將這個(gè)認(rèn)證請(qǐng)求發(fā)送給相應(yīng)的AP。當(dāng)AP接收到UserA發(fā)送的認(rèn)證請(qǐng)求后，AP就是檢驗(yàn)相應(yīng)的Gid以確定該UserA是不是在其管理范圍內(nèi)，同時(shí)通過(guò)私鑰進(jìn)行解密處理，并用UserA的公鑰檢驗(yàn)解密簽名，以進(jìn)一步驗(yàn)證UserA是不是合法身份。

其次，AP對(duì)UserA認(rèn)證結(jié)束之后，就會(huì)自動(dòng)生成一個(gè)反饋?lái)憫?yīng)。UserA接收到這個(gè)反饋?lái)憫?yīng)后就可以直接用自己的私鑰進(jìn)行解密后獲取PK，并通過(guò)AP的公鑰對(duì)AP的身份進(jìn)行驗(yàn)證。

3 結(jié)論

無(wú)線網(wǎng)絡(luò)能得到越來(lái)越廣泛的應(yīng)用，主要原因在于無(wú)線網(wǎng)絡(luò)的靈活性以及開放性，為了確保無(wú)線網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)建設(shè)者應(yīng)該在物理層使用擴(kuò)頻技術(shù)，在數(shù)據(jù)鏈路層使用WEP協(xié)議進(jìn)行加密處理，在網(wǎng)絡(luò)層使用防火墻等技術(shù)進(jìn)行信息過(guò)濾及驗(yàn)證。

但這些無(wú)線網(wǎng)絡(luò)安全措施不能單獨(dú)應(yīng)用于無(wú)線網(wǎng)絡(luò)以保證安全性，只有進(jìn)行安全測(cè)試技術(shù)的綜合運(yùn)用才能大大提升無(wú)線網(wǎng)絡(luò)的安全性。

[1]Tara.Charles, Elden.Wireless Security and Privacy:Best Practices and Design Techniques[J].Addison Wesley，2011.

[2]劉乃安.無(wú)線局域網(wǎng)(WLAN)原理、技術(shù)與應(yīng)用[M].西安電子科技大學(xué)出版社，2010.

[3]Adam Stubblefield, John Ioannidis, Ariel D.Rubin.Using the Flusher, Mantin and Shamir Attack to Break WEP Revision 2, AT&T Labs Technical Report.2009.

[4]金純，鄭武，陳林星.無(wú)線網(wǎng)絡(luò)安全—技術(shù)與策略[M].電子工業(yè)出版社，2009.