無線網絡信息安全技術及風險分析

李 業

（1、北京交通大學，北京 100044 2、中國鐵通淮北分公司，安徽 淮北 235000）

1 無線網絡（WLAN）技術的特點

1.1 無線網絡的特點：無線網絡的出現使有線網絡所遇到的問題迎刃而解，它可以使用戶任意對有線網絡進行擴展和延伸。只是在有線網絡的基礎上通過無線接入器、無線網橋、無線網卡等無線設備使無線通信得以實現。在不進行傳統的布線的同時，提供有線網絡的所有功能，并能夠隨著用戶的需要隨意的更改擴展網絡，實現移動應用。無線網絡具有傳統有線網絡無法比擬的特點。

1.2 靈活性，不受線纜的限制，可以隨意增加和配置工作站；

低成本，無線網絡不再需要大量的工程布線，同時節省了線路維護的費用；

1.3 移動性，不受時間、空間的限制，用戶可在網絡中漫游；

1.4 易安裝，對于有線網絡來說，無線網絡的組建、配置和維護更為容易。

1.5 無線網絡應用的環境：隨著這兩年WLAN不斷廣泛的應用，無線網絡802.11x已經不是原來的作為有線網絡的補充，而是以一種最后N*100米的高效的接入手段出現人們面前。WLAN無線應用的特點使其可以廣泛使用。

2 無線網絡主要安全技術

2.1 擴頻技術

擴頻技術是軍方為了通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中，一直干擾和越權接收的。擴頻傳輸是將非常低的能量在一系列的頻率范圍中發送，明顯地區別于窄帶的無線電技術的集中所有能量在一個信號頻率中的方式進行傳輸。

2.2 用戶驗證:密碼控制

建議在無線網絡的適配器端使用網絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。 由于無線網絡支持使用筆記本或其他移動設備的漫游用戶，所以精確的密碼策略是增加一個安全級別，這可以確保工作站只被授權人使用。

2.3 數據加密

對數據的安全要求極高的系統，例如金融或軍隊的網絡，需要一些特別的安全措施，這就要用到數據加密的技術。借助于硬件或軟件，數據包在被發送之前被加密，只有擁有正確密鑰的工作站才能解密并讀出數據。

如果要求整體的安全性，加密是最好的解決辦法。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由制造商提供，另外還選擇低價格的第三方產品。

2.4 WEP（Wired Equivalent Privacy）加密配置

WEP加密配置是確保經過授權的WLAN用戶不被竊聽的驗證算法，是IEEE協會為了解決無線網絡的安全性而在802.11中提出的解決辦法。

2.5 防止入侵者訪問網絡資源

這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

3 無線網絡信息安全風險分析

安全風險是指無線網絡中的資源面臨的威脅。無線網絡的資源，包括了在無線信道上傳輸的數據和無線網絡中的主機。

3.1 無線信道上傳輸的數據所面臨的威脅

由于無線電波可以繞過障礙物向外傳播，因此，無線網絡中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。另外，只要按照無線網絡規定的格式封裝數據包，把數據放到網絡上發送時也可以被其它的設備讀取，并且，如果使用一些信號截獲技術，還可以把某個數據包攔截、修改，然后重新發送，而數據包的接收者并不能察覺。

因此，無線信道上傳輸的數據可能會被偵聽、修改、偽造，對無線網絡的正常通信產生了極大的干擾，并有可能造成經濟損失。

3.2 無線網絡中主機面臨的威脅

無線網絡是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現，除了目前有線網絡上流行的病毒之外，還可能會出現專門針對無線網絡移動設備。當無線網絡與無線廣域網或者有線的國際互聯網連接之后，無線病毒的威脅可能會加劇。

對于無線網絡中的接入設備，可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線網絡和外部網接通后，如果把IP地址直接暴露給外部網，那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務，造成網絡癱瘓。無線網絡中的用戶設備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效，同時硬件設備中的所有數據都可能會泄漏。

這樣，無線網絡中主機的操作系統面臨著病毒的挑戰，接入設備面臨著拒絕服務攻擊的威脅，用戶設備則要考慮丟失的后果。

4 無線網絡信息安全解決措施

無線局域網完整的安全方案以IEEE802.11b為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是：

擴展認證協議（Extensible Authentication Protocol，EAP），是遠程認證撥入用戶服務（RA－DIUS）的擴展。可以使無線客戶適配器與RADIUS服務器通信。

當無線局域網執行安全保密方案時，在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時，客戶端和RADIUS服務器（或其它認證服務器）進行雙向認證，客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認證的過程是：一個站點要與一個接入點連接。除非站點成功登錄到網絡，否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802.lx協議，站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。

相互認證成功完成后，RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。

RADIUS服務器發送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內用時期密鑰和廣播密鑰通信。

網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部（合法用戶）的攻擊。

無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域，這樣就存在電子破壞（或干擾）的可能性。無線網絡具有各種內在的安全機制，其代碼清理和模式跳躍是隨機的。在整個傳輸過程中，頻率波段和調制不斷變化，計時和解碼采用不規則技術。

正是可選擇的加密運算法則和IEEE802.11的規定要求無線網絡至少要和有線網絡（不使用加密技術）一樣安全。其中，認證提供接入控制，減少網絡的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現和發展之中。

[1]譚潤芳.無線網絡安全性探討[J].信息科技,2008,37(6):24-26.

[2]劉元安，《寬帶無線接入和無線局域網》，北京郵電大學出版社，2000.

[3]牛偉，郭世澤，吳志軍等，《無線局域網》，人民郵電出版社，2003.