周源 李恩芳

1. 云南電網(wǎng)有限責(zé)任公司臨滄供電局 云南 臨滄 677000；

2. 云南電網(wǎng)有限責(zé)任公司臨滄雙江供電局 云南 臨滄 677000

引言

在當(dāng)前社會(huì)下，無線網(wǎng)絡(luò)系統(tǒng)給人們帶來生活便捷的同時(shí)，也被不法分子盯上，通過攻擊對(duì)于無線網(wǎng)絡(luò)通信傳輸?shù)囊恍┟舾行畔⑦M(jìn)行竊取。而隨著無線網(wǎng)絡(luò)通信技術(shù)的普及，對(duì)于無線網(wǎng)絡(luò)的攻擊頻率也不斷增加，這給無線通信網(wǎng)絡(luò)安全帶來了巨大壓力。無線通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)測是一種無線網(wǎng)絡(luò)安全技術(shù)，具體分析無線網(wǎng)絡(luò)安全的狀態(tài)，是目前關(guān)于無線網(wǎng)絡(luò)安全研究中的重要環(huán)節(jié)之一。

1 WLAN簡介

WLAN是不使用任何有線媒介或其他傳輸媒介連接的局域網(wǎng)，而是利用無線電波作為介質(zhì)傳送數(shù)據(jù)，傳送距離一般只有幾十米，網(wǎng)絡(luò)組建與移動(dòng)智能終端接入相對(duì)比較靈活。用戶通過一個(gè)或多個(gè)無線接入設(shè)備接入WLAN。WLAN現(xiàn)在已廣泛地應(yīng)用在商務(wù)樓宇，校園，高鐵站，及其他公共場所，無線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE定義的802.11系列標(biāo)準(zhǔn)[1]。

2 WLAN網(wǎng)絡(luò)安全－威脅分析

目前WLAN網(wǎng)的威脅主要由兩個(gè)方面組成：一種是攻擊硬件設(shè)備，另一種攻擊使用者。主要防范措施如下：①攻擊硬件設(shè)備。a.利用DDOS攻擊硬件設(shè)備，存在的攻擊方式有：耗盡資源攻擊和流量攻擊。AP可以采用WAPI證書驗(yàn)證模式可以防止耗盡資源攻擊，AC支持限速功能可以減少流量攻擊。b.利用同頻干擾AP攻擊，AP需要實(shí)現(xiàn)同頻檢測，利用AC動(dòng)態(tài)分配頻段可以減少此類的攻擊。②攻擊使用者。a.偽造AP進(jìn)行攻擊。AP可以采用WAPI證書驗(yàn)證模式可以防止偽造AP攻擊。b.采用無線Sniffer攻擊，主要通過抓包與偵聽軟件獲取數(shù)據(jù)包進(jìn)行的攻擊，采用SIM-WLAN方式上網(wǎng)，可以隱藏上網(wǎng)的密碼，但無法避免Sniffer攻擊。AP可以采用WAPI證書驗(yàn)證模式可以防止無線Sniffer攻擊[2]。

3 無線網(wǎng)絡(luò)主要信息安全技術(shù)

針對(duì)無線網(wǎng)絡(luò)的安全缺陷和技術(shù)短板問題，在實(shí)際應(yīng)用中常需采取必要的手段，進(jìn)行必要的防范。

3.1 用戶認(rèn)證和口令控制

無線局域網(wǎng)中的身份認(rèn)證和口令控制等安全防護(hù)措施已普遍應(yīng)用。由于WLAN的用戶不是固定不動(dòng)的，終端經(jīng)常變換接入點(diǎn)位置（WLAN支持移動(dòng)設(shè)備的漫游用戶），通常采用在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼技術(shù)，通過了密碼和身份認(rèn)證的用戶方可接入網(wǎng)絡(luò)，因此，嚴(yán)格的口令控制和身份認(rèn)證手段變得尤其重要。

3.2 無線有線一體化關(guān)聯(lián)分析技術(shù)

為充分保證整體安全，無線、有線安全需要聯(lián)合起來，為實(shí)現(xiàn)一體化防御，就需要無線安全與傳統(tǒng)有線安全結(jié)合起來，如防護(hù)墻、IDS、IPS、審計(jì)產(chǎn)品等。關(guān)于無線網(wǎng)絡(luò)安全威脅的分析，需要對(duì)無線網(wǎng)絡(luò)部分、無線局域網(wǎng)最后落地的有線網(wǎng)絡(luò)進(jìn)行充分的考慮，通過一體化關(guān)聯(lián)分析工作的開展，對(duì)無線網(wǎng)絡(luò)安全威脅進(jìn)行準(zhǔn)確的定位。在具體分析過程中需要認(rèn)真掃描、探測無線、有線網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)中的攻擊特征進(jìn)行持續(xù)的偵聽，對(duì)無線、有線網(wǎng)絡(luò)的攻擊特性與設(shè)備屬性進(jìn)行匯總分析。

3.3 數(shù)據(jù)加密技術(shù)

由于對(duì)數(shù)據(jù)安全有較高要求的網(wǎng)絡(luò)用戶需要更加特別的安全技術(shù)，這就要求對(duì)傳輸中的信息數(shù)據(jù)作加密處理。數(shù)據(jù)在發(fā)送之前被加密，接收到數(shù)據(jù)信息后，只有擁有正確密鑰的用戶才能解析出信息數(shù)據(jù)。①WEP加密技術(shù)：WEP的加密算法為RC4，其擁有開放系統(tǒng)和共享密鑰兩種身份驗(yàn)證方式。但由于WEP的密鑰固定，初始化向量過短僅為24位，密鑰管理過于簡單、算法強(qiáng)度并不算強(qiáng)，非常容易被破解，對(duì)信息完整性不能提供有效保護(hù)，存在一定的安全缺陷，會(huì)令安全性要求高的網(wǎng)絡(luò)用戶存在竊密隱患。②WPA-PSK加密技術(shù)：WPA使用TKIP（臨時(shí)性密鑰協(xié)議），盡管其加密算法還是RC4，但是WPA改進(jìn)了WEP的密鑰生成方式，加強(qiáng)了認(rèn)證措施和密鑰算法，并且通過動(dòng)態(tài)地方法來獲取更高的安全性。對(duì)于網(wǎng)絡(luò)安全有特殊要求的用戶，一般會(huì)舍棄WEP技術(shù)而選擇WPA技術(shù)，使用WEP技術(shù)的網(wǎng)絡(luò)用戶逐漸減少。③WPA2-PSK加密技術(shù)：WPA2支持更加高級(jí)的加密算法，其加密項(xiàng)目里還規(guī)范了兩個(gè)安全加密協(xié)定：TKIP與CCMP，TKIP針對(duì)WEP的弱點(diǎn)做了重大的改良，但由于保留了RC4算法和基本架構(gòu)，因此也存在RC4自身的弱點(diǎn)。故又制定了安全性更強(qiáng)的加密協(xié)定CCMP。目前，無線網(wǎng)絡(luò)中最廣泛使用的就是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。

3.4 隱藏SSID

SSID是服務(wù)標(biāo)識(shí)符，它被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)志，一個(gè)SSID最多可以有32個(gè)字符，我們最好設(shè)置一些復(fù)雜的字符串，以避免其他人破解，主要用來區(qū)分不同的網(wǎng)絡(luò)。如果不知道無線網(wǎng)絡(luò)的SSID，那么也是無法接入的。當(dāng)計(jì)算機(jī)接入了某一個(gè)SSID之后，便不能與另一個(gè)網(wǎng)絡(luò)進(jìn)行交流。如果SSID顯示出來，那么其他的設(shè)備就可以通過掃描發(fā)現(xiàn)SSID。因此，對(duì)SSID進(jìn)行隱藏可以很大程度上減少網(wǎng)絡(luò)安全隱患[3]。

4 結(jié)束語

綜上所述，WLAN中新技術(shù)的發(fā)展，也代表了社會(huì)科學(xué)技術(shù)的快速發(fā)展。新的WiFi6技術(shù)在WLAN的組網(wǎng)中將發(fā)揮重要的作用，以現(xiàn)有5G網(wǎng)絡(luò)建設(shè)為契機(jī)，WiFi6技術(shù)應(yīng)用投資少于5G網(wǎng)絡(luò)，將會(huì)在特殊的場景使用成為5G網(wǎng)絡(luò)的補(bǔ)充。無線網(wǎng)絡(luò)因其架構(gòu)容易、使用方便及擴(kuò)展性強(qiáng)、組網(wǎng)方便靈活等特點(diǎn)，有其獨(dú)特的戰(zhàn)斗力保障優(yōu)勢，克服短板和漏洞，無線網(wǎng)絡(luò)定能在未來戰(zhàn)場上發(fā)揮更大作用。