無線網(wǎng)絡信息安全技術(shù)及風險分析

李 業(yè)

（1、北京交通大學，北京 100044 2、中國鐵通淮北分公司，安徽 淮北 235000）

1 無線網(wǎng)絡（WLAN）技術(shù)的特點

1.1 無線網(wǎng)絡的特點：無線網(wǎng)絡的出現(xiàn)使有線網(wǎng)絡所遇到的問題迎刃而解，它可以使用戶任意對有線網(wǎng)絡進行擴展和延伸。只是在有線網(wǎng)絡的基礎上通過無線接入器、無線網(wǎng)橋、無線網(wǎng)卡等無線設備使無線通信得以實現(xiàn)。在不進行傳統(tǒng)的布線的同時，提供有線網(wǎng)絡的所有功能，并能夠隨著用戶的需要隨意的更改擴展網(wǎng)絡，實現(xiàn)移動應用。無線網(wǎng)絡具有傳統(tǒng)有線網(wǎng)絡無法比擬的特點。

1.2 靈活性，不受線纜的限制，可以隨意增加和配置工作站；

低成本，無線網(wǎng)絡不再需要大量的工程布線，同時節(jié)省了線路維護的費用；

1.3 移動性，不受時間、空間的限制，用戶可在網(wǎng)絡中漫游；

1.4 易安裝，對于有線網(wǎng)絡來說，無線網(wǎng)絡的組建、配置和維護更為容易。

1.5 無線網(wǎng)絡應用的環(huán)境：隨著這兩年WLAN不斷廣泛的應用，無線網(wǎng)絡802.11x已經(jīng)不是原來的作為有線網(wǎng)絡的補充，而是以一種最后N*100米的高效的接入手段出現(xiàn)人們面前。WLAN無線應用的特點使其可以廣泛使用。

2 無線網(wǎng)絡主要安全技術(shù)

2.1 擴頻技術(shù)

擴頻技術(shù)是軍方為了通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中，一直干擾和越權(quán)接收的。擴頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無線電技術(shù)的集中所有能量在一個信號頻率中的方式進行傳輸。

2.2 用戶驗證:密碼控制

建議在無線網(wǎng)絡的適配器端使用網(wǎng)絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。 由于無線網(wǎng)絡支持使用筆記本或其他移動設備的漫游用戶，所以精確的密碼策略是增加一個安全級別，這可以確保工作站只被授權(quán)人使用。

2.3 數(shù)據(jù)加密

對數(shù)據(jù)的安全要求極高的系統(tǒng)，例如金融或軍隊的網(wǎng)絡，需要一些特別的安全措施，這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件，數(shù)據(jù)包在被發(fā)送之前被加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。

如果要求整體的安全性，加密是最好的解決辦法。這種解決方案通常包括在有線網(wǎng)絡操作系統(tǒng)中或無線局域網(wǎng)設備的硬件或軟件的可選件中，由制造商提供，另外還選擇低價格的第三方產(chǎn)品。

2.4 WEP（Wired Equivalent Privacy）加密配置

WEP加密配置是確保經(jīng)過授權(quán)的WLAN用戶不被竊聽的驗證算法，是IEEE協(xié)會為了解決無線網(wǎng)絡的安全性而在802.11中提出的解決辦法。

2.5 防止入侵者訪問網(wǎng)絡資源

這是用一個驗證算法來實現(xiàn)的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

3 無線網(wǎng)絡信息安全風險分析

安全風險是指無線網(wǎng)絡中的資源面臨的威脅。無線網(wǎng)絡的資源，包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線網(wǎng)絡中的主機。

3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無線電波可以繞過障礙物向外傳播，因此，無線網(wǎng)絡中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。另外，只要按照無線網(wǎng)絡規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡上發(fā)送時也可以被其它的設備讀取，并且，如果使用一些信號截獲技術(shù)，還可以把某個數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺。

因此，無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造，對無線網(wǎng)絡的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟損失。

3.2 無線網(wǎng)絡中主機面臨的威脅

無線網(wǎng)絡是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡。對于主機的攻擊可能會以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡上流行的病毒之外，還可能會出現(xiàn)專門針對無線網(wǎng)絡移動設備。當無線網(wǎng)絡與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后，無線病毒的威脅可能會加劇。

對于無線網(wǎng)絡中的接入設備，可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務攻擊。當無線網(wǎng)絡和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務，造成網(wǎng)絡癱瘓。無線網(wǎng)絡中的用戶設備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效，同時硬件設備中的所有數(shù)據(jù)都可能會泄漏。

這樣，無線網(wǎng)絡中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設備面臨著拒絕服務攻擊的威脅，用戶設備則要考慮丟失的后果。

4 無線網(wǎng)絡信息安全解決措施

無線局域網(wǎng)完整的安全方案以IEEE802.11b為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是：

擴展認證協(xié)議（Extensible Authentication Protocol，EAP），是遠程認證撥入用戶服務（RA－DIUS）的擴展?？梢允篃o線客戶適配器與RADIUS服務器通信。

當無線局域網(wǎng)執(zhí)行安全保密方案時，在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合。當站點在網(wǎng)絡登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時，客戶端和RADIUS服務器（或其它認證服務器）進行雙向認證，客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認證的過程是：一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡，否則接入點將禁止站點使用網(wǎng)絡資源。用戶在網(wǎng)絡登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802.lx協(xié)議，站點和RADIUS服務器在有線局域網(wǎng)上通過接入點進行雙向認證?？梢允褂脦讉€認證方法中的一個。

相互認證成功完成后，RADIUS服務器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當?shù)燃壍木W(wǎng)絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。

RADIUS服務器發(fā)送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信。

網(wǎng)絡安全性指的是防止信息和資源的丟失、破壞和不適當?shù)氖褂?。無論有線絡還是無線網(wǎng)絡都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部（合法用戶）的攻擊。

無線網(wǎng)絡傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無線網(wǎng)絡具有各種內(nèi)在的安全機制，其代碼清理和模式跳躍是隨機的。在整個傳輸過程中，頻率波段和調(diào)制不斷變化，計時和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運算法則和IEEE802.11的規(guī)定要求無線網(wǎng)絡至少要和有線網(wǎng)絡（不使用加密技術(shù)）一樣安全。其中，認證提供接入控制，減少網(wǎng)絡的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現(xiàn)和發(fā)展之中。

[1]譚潤芳.無線網(wǎng)絡安全性探討[J].信息科技,2008,37(6):24-26.

[2]劉元安，《寬帶無線接入和無線局域網(wǎng)》，北京郵電大學出版社，2000.

[3]牛偉，郭世澤，吳志軍等，《無線局域網(wǎng)》，人民郵電出版社，2003.