淺談無線網絡中如何實現安全通信

中圖分類號：TN文獻標識碼：A文章編號：1008-925X(2011)09-0-01

摘要：無線網絡發展一個大的障礙是無線網絡的安全問題。隨著用戶對安全知識的了解及技術廠商對解決方案不斷的探索，無線網絡基本上具有全面的安全功能，如果得到正確的使用和妥善的保護，無論是普通用戶、企業還是政府都能夠放心享受無線網絡帶來的便利，在無線網絡上安全暢游。

關鍵詞：無線網絡 安全通信 對比

一、引 言

無線通信采用無線電波傳輸，具有保密性強、移動性高、抗干擾性好、架設與維護容易等特點，還能支持移動計算，越來越成為室外通信的最佳方案。目前無線通信可以實現計算機局域網、無線接入、網際互聯、圖文傳真、電子郵件、互聯網瀏覽、數據采集和遙測遙控等，已經成為現代通信手段的重要組成部分。因此，無線網絡的安全通信技術成為業界的研究熱點。

二、無線網絡的安全通信措施

（一）WLAN的安全保障

雖然目前廣泛使用的跳頻擴頻技術可以讓人難于截取，但也只是對普通人難而已，隨著通信技術的飛速發展，相信很快就會普及起來。

IEEE802.11標準制定了如下3種方法來為WLAN的數據通信提供安全保障：

1．使用802.11的服務群標識符SSID。但是，在一個中等規模的WLAN上，即使每年只進行兩次基本群標識符的人工修改，也足以證明這是一個低效的不可靠的安全措施。

2．使用設備的MAC地址來提供安全防范，顯然這也是一個低水平的防護手段。

3．安全機制相比前兩種效果要好得多，即WEP(Wired Equivalent Privacy)。它是采用RC4算法來加密傳輸的網絡分組，通過WEP協議來保護進入無線網的身份驗證過程。但從有線網連接到無線網是通過使用某些網絡設備進行連接（即網絡適配器驗證，而不是利用網絡資源進行加密的），還有其他的一些不可靠問題，人們在重要點的加密場合，都不使用WEP安全協議。

（二）VPN與IPSec的作用

VPN首先是用于在Internet上擴展一個公司的網絡當然公司的部門或子公司在地理上位于不同的地域，甚至在不同的國家。VPN是一個加密了的隧道，在隧道中它對IP中的所有數據進行封裝。在VPN中最常用的兩種隧道協議是，點對點隧道協議PPTP和第二層隧道化協議LTP，它們分別是由微軟和Cisco公司開發的。還有一種現在也在VPN中廣泛使用的有隧道功能的協議即IPSec，它還是一個IETF建議IP層安全標準。IPSec首先是作為IPv4的附加系統實現的，而IPv6則將該協議功能作為強制配置了。

（三）IPSec協議及其實施

IPSec協議包括如下：驗證頭AH(Authentication)，封裝安全載荷ESP(Encapsulation Security Payload)，Internet密鑰交換IKE(Internet Key Exchange)，Internet安全關聯和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol)及轉碼。IPSec體系定義了主機和網關應該提供的各科能力，討論了協議的語義，以及牽涉到IPSec協議同TCP/IP協議套件剩余部分如何進行溝通的問題。封裝安全載荷和驗證頭文檔定義了協議、載荷頭的格式以及它們提供的服務，還定義了包的處理規則。轉碼方式定義了如何對數據進行轉換，以保證其安全。這些內容包括：算法、密鑰大小、轉碼程序和算法專用信息。IKE可以為IPSec協議生成密鑰。還有一個安全策略的問題，它決定了兩個實體間是否能夠通信，采取哪一種轉碼方式等。

IPSec的工作模式有如下2種：

1．通道模式：這種模式特點是數據包的最終目的地不是安全終點。路由器為自己轉發的數據包提供安全服務時，也要選用通道模式。在通道模式中，IPSec模塊在一個正常的普通IP 數據包內封裝了IPSec頭，并增加了一個外部IP頭。

2．傳送模式：在傳送模式中，AH和ESP保護的是傳送頭，在這種模式中，AH和ESP會攔截從傳送層到網絡層的數據包，并根據具體情況提供保護。例如：A、B是兩個已配置好的主機，它們之間流通的數據包均應予以加密。在這種情況采用的是封裝安全載荷(ESP)的傳送模式。若只是為了對傳送層數據包進行驗證，則應采用“驗證頭(AH)”傳送模式。IPSec可以在終端主機、網關/路由器或兩者之間進行實施和配置。

（四）一個實現無線通信加密的方法

在給出下面加密方案之前，首先確定加密的位置：綜前所述，選擇在TCP/IP協議的IP層進行加密（當然也含了解密功能，下同）處理，可以達到既便利又滿足盡可能與上下游平臺無關性。

為了敘述方便，筆者定義一個抽象實體：加密模塊，當它是一臺PC或工控機時，它就是具備基本網絡協議解析與轉換功能的安全（加密）網關；當它是一個DSP或FPGA芯片時，它就是一個具備網絡協議功能的加密芯片；當它是一個與操作系統內核集成的軟件模塊時，它就是一個加密模塊。至此，就形成如下加密方案的雛形：

1．在無線網絡的橋路器或是無線Hub與有線LAN間置一加密模塊，這時可用一臺功能強勁的PC或是工控機（方便戶外攜帶使用），最好是雙CPU的，具備強大的數學運算能力，實現網絡層到鏈路層之間的功能和IP數據包的加解密功能。

2．Black Box：對FPGA(Field Programmable Gate Array)進行集群，初定為由3塊FPGA芯片構成，1塊加密，1塊解密，1塊進行協議處理。之所以要求集群，是基于這樣一個事實：由獨立的一塊100－1000MIPS的FPGA芯片完成協議處理和加解密這樣超強度的運算處理，缺乏可行性。

3．在購買第三方廠商的無線HUB及橋路器時，與廠商進行技術合作，要求他們在設備上提供FPGA的接口，邏輯上FPGA只完成IP包數據的加解密功能，不涉及協議處理（由廠商的軟硬件平臺完成）。但這涉及知識產權歸屬的問題，對廠商來說，由他們來實現這一點是非常容易的。

三、總 結

網絡協議是數據傳輸安全的基礎，加密技術是數據傳輸完全的核心技術，通訊傳輸機制是數據傳輸安全的實現方式，網絡管理是數據傳輸安全的保障，網絡數據的安全傳輸是在多方面機制的共同作用下實現的。因此，研究網絡安全機制也應從網絡協議、網絡管理、網絡傳輸、數據加密及安全認證機制等多方面進行探討，網絡的安全性應當在網絡運行機制中的各個環節中得到保障。

參考文獻：

[1]張東黎，無線網絡安全與認證[J].網絡安全技術與應用，2005.(04)

[2]黃晶，確保無線網絡安全 實現文件安全共享[J].微電腦世界，2002.(23).

[3]趙冬梅、徐寧、馬建峰，無線網絡安全的風險評估[J].網絡安全技術與應用，2006.(03).