萬(wàn)焱

摘要：隨著我國(guó)科學(xué)技術(shù)的飛速發(fā)展，無(wú)線網(wǎng)絡(luò)技術(shù)在人們生活和工作中也日益發(fā)揮著越來(lái)越重要的作用。近幾年，網(wǎng)絡(luò)安全問(wèn)題逐漸收到社會(huì)各界的關(guān)注。文章從宏觀的層面對(duì)無(wú)線網(wǎng)絡(luò)技術(shù)存在的威脅做了簡(jiǎn)要的述評(píng)，又在這個(gè)基礎(chǔ)之上分析了無(wú)線設(shè)備的安全性，著重介紹了無(wú)線網(wǎng)絡(luò)安全策略，在這個(gè)基礎(chǔ)之上提出了解決無(wú)線網(wǎng)絡(luò)安全的幾種方案，以供參考。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；安全；分析；探討

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）36-0007-02

隨著我國(guó)科學(xué)技術(shù)的飛速發(fā)展，無(wú)線網(wǎng)絡(luò)技術(shù)在人們生活和工作中也發(fā)揮著越來(lái)越重要的作用。相應(yīng)的，網(wǎng)絡(luò)安全問(wèn)題也逐漸收到社會(huì)各界的關(guān)注。與有限網(wǎng)絡(luò)相比，無(wú)線網(wǎng)絡(luò)可以隨時(shí)在網(wǎng)絡(luò)覆蓋的區(qū)域?qū)崿F(xiàn)網(wǎng)絡(luò)連接，比有限網(wǎng)絡(luò)更加的快捷方便，再加上近幾年筆記本電腦和智能手機(jī)的飛速發(fā)展及普及，無(wú)線網(wǎng)絡(luò)的應(yīng)用更加的普遍。但是，在無(wú)線網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，網(wǎng)絡(luò)的安全隱患也日益突出。

1 無(wú)線網(wǎng)絡(luò)存在的安全威脅

1.1 通訊的干擾

無(wú)線網(wǎng)絡(luò)的飛速發(fā)展和普及，給一些不法分子竊取客戶隱私信息提供了機(jī)會(huì)。這種干擾很有可能導(dǎo)致客戶信號(hào)中斷，使客戶無(wú)法正常訪問(wèn)應(yīng)用，一些更加高級(jí)的攻擊甚至還有可能中斷與真實(shí)基站的鏈接，在這個(gè)基礎(chǔ)之上連接到一些欺詐的站點(diǎn)，給客戶的日常生活和工作帶來(lái)了極大的安全隱患。此外，現(xiàn)在社會(huì)上，還有的不法分子在客戶現(xiàn)有的鏈接之上，惡意的添加數(shù)據(jù)，并且發(fā)送一些錯(cuò)誤的命令來(lái)誤導(dǎo)客戶。

1.2 對(duì)客戶的欺詐

這方面，大體上可以總結(jié)為以下四個(gè)方面：首先欺詐網(wǎng)絡(luò)接入點(diǎn)。攻擊者會(huì)試圖設(shè)置欺詐接入點(diǎn)冒充網(wǎng)絡(luò)資源，一旦攻擊者操作成功，其就會(huì)在客戶不知情的情況下竊取客戶的隱私，這給客戶的安全隱私造成了極大的威脅；其次，無(wú)線網(wǎng)絡(luò)的威脅還體現(xiàn)在它的匿名性上面，對(duì)于無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)，由于其沒(méi)有有效的網(wǎng)絡(luò)進(jìn)行定位，再加上定向設(shè)備的缺乏，一些不法分子會(huì)在匿名的情況下對(duì)客戶進(jìn)行攻擊，這給網(wǎng)絡(luò)犯罪案件的偵破造成了極大的難度；再次，就是客戶到客戶的攻擊。攻擊者一旦對(duì)一個(gè)客戶攻擊成功，其很可能就會(huì)進(jìn)一步訪問(wèn)公司或者是某個(gè)組織的網(wǎng)絡(luò)，由于大多數(shù)網(wǎng)絡(luò)管理員沒(méi)有對(duì)其自身的工作站進(jìn)行加固，不法分子對(duì)無(wú)線網(wǎng)絡(luò)連接成功的客戶再次進(jìn)行攻擊，危害性特別大。

2 無(wú)線網(wǎng)絡(luò)存在的安全技術(shù)

現(xiàn)代社會(huì)，無(wú)線技術(shù)應(yīng)用的范圍相當(dāng)廣泛，相應(yīng)的無(wú)線網(wǎng)絡(luò)的安全問(wèn)題也越受到社會(huì)各界的關(guān)注。從目前的情況來(lái)看，現(xiàn)階段無(wú)線網(wǎng)絡(luò)的安全性主要在用戶認(rèn)證以及數(shù)據(jù)加密兩個(gè)方面體現(xiàn)。用戶認(rèn)證方面主要是保證涉及到一些保密性的數(shù)據(jù)只有在授權(quán)的情況下允許被訪問(wèn)，而數(shù)據(jù)加密則是保證目標(biāo)數(shù)據(jù)被指定用戶進(jìn)行讀取。由于無(wú)線網(wǎng)絡(luò)的無(wú)線傳輸是在空氣中進(jìn)行輻射傳播，黑客極有可能在AP所覆蓋的位置設(shè)置攔截破壞用戶的數(shù)據(jù)通訊，所以說(shuō)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題就顯得尤為重要。

2.1 傳統(tǒng)的無(wú)線網(wǎng)絡(luò)安全技術(shù)

傳統(tǒng)的無(wú)線網(wǎng)絡(luò)安全技術(shù)會(huì)利用IEEE802.11b來(lái)設(shè)置擴(kuò)展服務(wù)區(qū)的標(biāo)識(shí)符，以此來(lái)限制不法信號(hào)的接入。這種安全措施會(huì)在每個(gè)AP內(nèi)部設(shè)置一個(gè)服務(wù)區(qū)域認(rèn)證的ID，只有在AP和無(wú)線終端的ESSID匹配成功后，其才會(huì)接受無(wú)線終端的訪問(wèn)，如果不匹配就拒絕服務(wù)，簡(jiǎn)單的來(lái)說(shuō)，就是ESSID提供了一個(gè)可以明確無(wú)線局域網(wǎng)邊界的方法，讓與其相同的無(wú)線設(shè)備同在一個(gè)無(wú)線網(wǎng)絡(luò)內(nèi)部。但是，對(duì)于無(wú)線互聯(lián)網(wǎng)來(lái)說(shuō)，ESSID并不是一個(gè)最好的安全性措施，這是因?yàn)榇蟛糠值腁P通常在自己的信標(biāo)中來(lái)對(duì)自己的ESSID進(jìn)行播放，而有些技術(shù)比較先進(jìn)的黑客也可以通過(guò)其他的手段實(shí)現(xiàn)，安全性也存在著一定的隱患。

2.2 WEB的安全解決方案

無(wú)線網(wǎng)絡(luò)安全的另外一個(gè)實(shí)現(xiàn)手段就是可以通過(guò)WEP協(xié)議來(lái)對(duì)數(shù)據(jù)進(jìn)行加密?？梢哉f(shuō)，WEP是經(jīng)過(guò)WIFi認(rèn)證的無(wú)線局域網(wǎng)所支持的意向最基本的功能，也是IEEE802.11b協(xié)議中最基本的安全保障措施，這項(xiàng)技術(shù)是國(guó)際電子與電氣工程師協(xié)會(huì)制定的，它的主要功能是防止未經(jīng)授權(quán)的用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，而WEP主要是對(duì)數(shù)據(jù)進(jìn)行加密，以此來(lái)防止不法分子對(duì)用戶信息的竊聽(tīng)和盜取。從本質(zhì)上來(lái)說(shuō)，WEP就是對(duì)一個(gè)對(duì)稱(chēng)性的方案進(jìn)行利用，其在數(shù)據(jù)加密以及解密的過(guò)程中使用的是相同的算法和秘鑰，然后通過(guò)秘鑰的限制功能把一些非法的訪問(wèn)排除在外，以此來(lái)實(shí)現(xiàn)對(duì)訪問(wèn)權(quán)的控制，從而保證數(shù)據(jù)的保密性和安全性。

通過(guò)秘鑰的方式來(lái)對(duì)數(shù)據(jù)進(jìn)行保護(hù)，其關(guān)鍵點(diǎn)在于對(duì)算法和密鑰長(zhǎng)度的加密。在這方面，WEP采用的是64位的靜態(tài)密鑰，這種加密方法比較容易被黑客破解，而且一般情況下WEP密鑰一般在客戶機(jī)中進(jìn)行鎖定，如果客戶機(jī)丟失的話，其也有被暴露的風(fēng)險(xiǎn)。而且如果密鑰被分配的越廣泛，其被泄露的可能性就越大。

2.3 新一代的無(wú)線安全技術(shù)

新一代的無(wú)線安全技術(shù)主要指的是IEEE802.Lli，其采用的是動(dòng)態(tài)密鑰的方式，當(dāng)無(wú)線客戶端對(duì)接入點(diǎn)設(shè)備完成第一次回話后，其就會(huì)自動(dòng)生成下一次對(duì)話的128位新密鑰，所以，從這個(gè)層面上來(lái)講，這種密鑰對(duì)每次的網(wǎng)絡(luò)對(duì)話都具有唯一性，這種動(dòng)態(tài)的密鑰比靜態(tài)的密鑰安全性更高，而且可以幫助用戶從手動(dòng)輸入的繁雜工作中解脫出來(lái)，提升了用戶的體驗(yàn)感，也確保每個(gè)用戶都能擁有一個(gè)持續(xù)變更的密鑰來(lái)防止黑客的入侵，從這個(gè)層面上來(lái)說(shuō)，動(dòng)態(tài)的密鑰大大提升了網(wǎng)絡(luò)的整體安全性。

2.4 802.1x的解決方案

關(guān)于802.1x的解決方案，其是通過(guò)以下過(guò)程來(lái)實(shí)現(xiàn)的：其第一步要在一個(gè)WLAN中對(duì)接入點(diǎn)與客戶機(jī)的通訊請(qǐng)求進(jìn)行滿足，然后利用客戶機(jī)提供的用戶名和口令，在802.1x和EAP構(gòu)架系統(tǒng)的基礎(chǔ)上對(duì)客戶機(jī)進(jìn)行驗(yàn)證，而且這種驗(yàn)證是雙向的。在這方面，我們可以以Cisco公司提供的方法為參考：客戶機(jī)會(huì)收到一個(gè)由RADIUS發(fā)送的詢(xún)問(wèn)驗(yàn)證，客戶機(jī)在對(duì)單向口令記性散列信息。這個(gè)時(shí)候， RADIUS服務(wù)器也會(huì)產(chǎn)生一個(gè)響應(yīng)，然后將這兩個(gè)響應(yīng)進(jìn)行對(duì)比，而RADIUS則會(huì)對(duì)客戶機(jī)進(jìn)行驗(yàn)證，整個(gè)過(guò)程其會(huì)自動(dòng)的進(jìn)行逆向的重復(fù)，在這個(gè)過(guò)程中，會(huì)實(shí)現(xiàn)對(duì)客戶機(jī)介入點(diǎn)的身份驗(yàn)證。身份驗(yàn)證完之后，RADIUS服務(wù)器會(huì)和客戶機(jī)確定一個(gè)新的密鑰，而這個(gè)密鑰跟別的客戶機(jī)是不一樣的，整個(gè)過(guò)程在實(shí)現(xiàn)之后，客戶會(huì)得到一個(gè)合適的網(wǎng)絡(luò)權(quán)限，這個(gè)訪問(wèn)權(quán)限的安全性與LAN是非常相似的。取得這個(gè)權(quán)限之后，客戶機(jī)就會(huì)實(shí)現(xiàn)對(duì)密鑰的加載。第三步，RADIUS服務(wù)器會(huì)通過(guò)有限的LAN發(fā)送一個(gè)會(huì)話密鑰給節(jié)瑞安，這個(gè)時(shí)候，廣播密鑰就會(huì)被接入點(diǎn)進(jìn)行加密，在這一切結(jié)束之后其才會(huì)發(fā)送給客戶機(jī)，這個(gè)時(shí)候客戶機(jī)會(huì)對(duì)會(huì)話密鑰進(jìn)行再次解密。待這一切都完成之后，客戶機(jī)和接入點(diǎn)則會(huì)對(duì)WEP進(jìn)行解密，整個(gè)使用的過(guò)程中，用戶的信息都會(huì)得到有效的保護(hù)，而且可以避免用戶的信息被不法用戶所竊聽(tīng)?？梢哉f(shuō)，這也是保證無(wú)線網(wǎng)絡(luò)安全的一種比較有效的方式

2.5 虛擬的專(zhuān)用網(wǎng)絡(luò)

上訴的802.1x基本上還是屬于第二層的曲線網(wǎng)絡(luò)安全技術(shù)，在網(wǎng)路的第三層其則會(huì)提供更高強(qiáng)度的機(jī)密算法——VPN，即虛擬專(zhuān)網(wǎng)，這項(xiàng)技術(shù)是一種更為理想的WLAN安全解決方案。通俗的來(lái)講，虛擬專(zhuān)用網(wǎng)指的是一個(gè)建立在公共的IP網(wǎng)絡(luò)平臺(tái)上，通過(guò)隧道以及加密的技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)及網(wǎng)絡(luò)安全性的一項(xiàng)技術(shù)，簡(jiǎn)單的來(lái)說(shuō)，VPN在公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中部署的一種網(wǎng)絡(luò)，其安全性可以與專(zhuān)用網(wǎng)絡(luò)相媲美，而且可管理性比較高，如果對(duì)VPN進(jìn)行一句話概括的話，其就是將一條128位的動(dòng)態(tài)密碼建立在客戶端以及企業(yè)LAN之間，而且還支持用戶身份驗(yàn)證，其安全級(jí)別更高。具體的來(lái)說(shuō)，VPN協(xié)議主要包括第二層協(xié)議和第三層協(xié)議，Ipsec是標(biāo)準(zhǔn)的第三層協(xié)議，其主要作用是對(duì)IP數(shù)據(jù)或者上層數(shù)據(jù)進(jìn)行保護(hù)，與其他技術(shù)相比，其具有自定義的功能，可以實(shí)現(xiàn)對(duì)部分?jǐn)?shù)據(jù)的保護(hù)，并選擇合適的保護(hù)措施。嚴(yán)格意義上來(lái)講，VPN技術(shù)是不屬于802.11的標(biāo)準(zhǔn)定義的，與其相比，VPN技術(shù)的功能更加的強(qiáng)大，其加密的方法也更加的可靠，傳輸?shù)募夹g(shù)也更加的安全，從使用的層面來(lái)講，其可以與WEP技術(shù)實(shí)現(xiàn)互補(bǔ)。但是VPN技術(shù)只適用于具有Radius服務(wù)器的情況，而且需要提供經(jīng)過(guò)安全認(rèn)證和擊飛的網(wǎng)絡(luò)環(huán)境，所以成本較其他技術(shù)比較高，從目前的情況來(lái)看，其使用的范圍主要集中在大型企業(yè)以及對(duì)網(wǎng)絡(luò)安全性要求較高的組織場(chǎng)所。

以上就是現(xiàn)階段主要的用于保證無(wú)線網(wǎng)絡(luò)安全的技術(shù)手段，隨著無(wú)線技術(shù)的發(fā)展其對(duì)人類(lèi)生活的影響也會(huì)越來(lái)越大，網(wǎng)絡(luò)安全也會(huì)更加受到大眾的關(guān)注，隨著科學(xué)技術(shù)的發(fā)展，相信會(huì)有更加成熟的技術(shù)來(lái)對(duì)無(wú)線網(wǎng)絡(luò)的安全進(jìn)行保證。

3 關(guān)于無(wú)線網(wǎng)絡(luò)的安全措施選擇

要想解決網(wǎng)絡(luò)安全中存在的問(wèn)題，我們可以從以下幾個(gè)方面進(jìn)行考慮：

3.1 對(duì)訪問(wèn)端進(jìn)行控制

這種控制方法從實(shí)質(zhì)上來(lái)說(shuō)就是依據(jù)用戶的身份，或者是其所歸屬的某一種屬性的限定來(lái)實(shí)現(xiàn)對(duì)用戶的限制，這種限制可以是某些信息的限制也可以是對(duì)某些功能的限制。一般情況下，訪問(wèn)控制分為以下兩種，一種是服務(wù)區(qū)域認(rèn)證ID技術(shù)，一種是MAC地址。MAC地址過(guò)濾方面，其實(shí)現(xiàn)的功能簡(jiǎn)單的說(shuō)就是其路由器只允許某些MAC地址的網(wǎng)絡(luò)設(shè)備進(jìn)行通訊。每個(gè)無(wú)線工作站的網(wǎng)卡在其出廠的時(shí)候就已經(jīng)被設(shè)定了，這個(gè)時(shí)候它就具備了唯一性，這個(gè)時(shí)候，我們就可以利用他的唯一性來(lái)實(shí)現(xiàn)對(duì)物理地址的過(guò)濾。然而，這種方案存在著一定的缺陷，這個(gè)缺陷就是MAC地址缺陷，在這個(gè)方案中，MAC地址有可能會(huì)被偽造，而且，其在不同的AP間也無(wú)法實(shí)現(xiàn)漫游，十分的不方便。實(shí)質(zhì)上來(lái)說(shuō)，這種授權(quán)方式屬于比較低級(jí)的授權(quán)方式，理想狀態(tài)下，其可以防止一些不發(fā)用戶對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊，在一定程度上可以減少某些不法用戶對(duì)對(duì)無(wú)線網(wǎng)路造成的威脅，對(duì)無(wú)線網(wǎng)絡(luò)的安全具有一定的保護(hù)作用；而服務(wù)區(qū)域認(rèn)證ID技術(shù)，也就是我們通常所說(shuō)的SSID，其則是根據(jù)單個(gè)內(nèi)具體的AP內(nèi)部，對(duì)區(qū)域認(rèn)證ID進(jìn)行對(duì)應(yīng)的設(shè)置，只有當(dāng)SSID與自身的ID一致的時(shí)候，其才會(huì)允許無(wú)線終端設(shè)備進(jìn)行鏈接，在一致的情況下，AP才會(huì)接受相應(yīng)的訪問(wèn)，并為其進(jìn)行網(wǎng)絡(luò)服務(wù)，這一方案同樣也存在著一定的缺陷，也有被竊取信息的隱患存在，其網(wǎng)絡(luò)安全性也一般。

3.2 對(duì)數(shù)據(jù)進(jìn)行加密

根據(jù)之前所述，最開(kāi)始的數(shù)據(jù)加密方式是從WEB加密開(kāi)始的，后來(lái)又發(fā)展到WPA階段，到后來(lái)的WPA2協(xié)議，可以說(shuō)，其安全防范的效果隨著科學(xué)技術(shù)的進(jìn)步越來(lái)越好，效果也越來(lái)越佳，這個(gè)時(shí)候最基本的保密方式WEP就顯得有點(diǎn)脆弱了。具體到我國(guó)的實(shí)際情況來(lái)說(shuō)，關(guān)于無(wú)線的安全標(biāo)準(zhǔn)一般是由WAI和WPI兩部分組成，這兩部分的功能分別是實(shí)現(xiàn)用戶身份的鑒別以及數(shù)據(jù)加密功能，前半部分采用的是公鑰證書(shū)的體制，后半部分則是采用對(duì)稱(chēng)密碼算法進(jìn)行加密和解密，可以說(shuō)，這種方案也是較為安全的一種保障方式。

3.3 關(guān)于動(dòng)態(tài)安全鏈路技術(shù)

如上所述，WEP和WEP2兩種技術(shù)對(duì)于實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全，都存在著不同程度的缺陷。在這個(gè)基礎(chǔ)之上，著名的3COM公司在原有的基礎(chǔ)上，對(duì)WEP進(jìn)行了擴(kuò)展，其現(xiàn)在提供的是市場(chǎng)上級(jí)別比較高的第二層安全。另一方面，與WEP2不一樣的是，動(dòng)態(tài)安全鏈路技術(shù)采用的鑰匙是采用的是動(dòng)態(tài)分配的方式，WEP2則是純手動(dòng)的。具體的來(lái)說(shuō)，動(dòng)態(tài)安全鏈路會(huì)針對(duì)每一個(gè)Session生成一把鑰匙，在同一個(gè)會(huì)話期間，鑰匙的改變次數(shù)也只有一次。所以，跟其他 的技術(shù)比起來(lái)，動(dòng)態(tài)鏈接的技術(shù)在安全性上還是比較好的。

參考文獻(xiàn)：

[1] MUIRURI JEFF. 基于Metasploit滲透攻擊的無(wú)線網(wǎng)絡(luò)安全研究[D].蘭州理工大學(xué)，2016.

[2] 王亞超. 基于層次分析的無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法[D].中國(guó)民航大學(xué)，2015.

[3] 雒慧霞. 基于加密算法和動(dòng)態(tài)模型的無(wú)線網(wǎng)絡(luò)安全技術(shù)研究[D].蘭州大學(xué)，2015.

[4] PHILAVANH PHONVIPHONE. 基于無(wú)線網(wǎng)絡(luò)安全協(xié)議驗(yàn)證方法的研究[D].蘭州交通大學(xué)，2015.