無線網(wǎng)絡(luò)結(jié)構(gòu)分析與安全測試技術(shù)

宋長凱

武警某部通信站，新疆烏魯木齊 830063

0 引言

隨著無線網(wǎng)絡(luò)的不斷發(fā)展，越來越多的單位都構(gòu)建了無線網(wǎng)絡(luò)，因為無線網(wǎng)絡(luò)不僅接入速度較高，而且其在組網(wǎng)靈活性方面有著獨特的優(yōu)勢。但是，隨之也帶來了不少問題，尤其是無線網(wǎng)絡(luò)的安全性問題，主要體現(xiàn)在以下幾個方面：信道的開放性特點，給用戶便捷的同時也方便了一些非法接入以及竊聽的網(wǎng)絡(luò)攻擊行為；無線網(wǎng)絡(luò)是基于電磁波的，在其影響范圍內(nèi)，所有無線網(wǎng)絡(luò)的用戶都可以接收一些信息，這對于不想接收信息的用戶而言勢必會造成一定的干擾；無線電波會由于外界因素而導(dǎo)致不同程度的信號衰減，從而出現(xiàn)信號丟失的現(xiàn)象。可見，研究無線網(wǎng)絡(luò)的結(jié)構(gòu)，確保無線網(wǎng)絡(luò)的安全是極其重要的，這對于促進無線網(wǎng)絡(luò)的發(fā)展，為用戶提供更加優(yōu)質(zhì)的無線網(wǎng)絡(luò)服務(wù)起到了重要的作用。

1 無線網(wǎng)絡(luò)結(jié)構(gòu)的剖析

1.1 基本的結(jié)構(gòu)模式

無線網(wǎng)絡(luò)的基本結(jié)構(gòu)模式主要有兩種，分別是：存在基站的無線網(wǎng)絡(luò)；不存在基站的無線網(wǎng)絡(luò)。其中，存在基站的無線網(wǎng)絡(luò)也稱為Infrastructure結(jié)構(gòu)，該網(wǎng)絡(luò)中的通信都需要借助于基站才能完成，基站也可稱為接入點。而不存在基站的無線網(wǎng)絡(luò)是Ad Hoc結(jié)構(gòu)，無線網(wǎng)絡(luò)中的各終端是直接進行通信的，最終形成多單元的無線通信網(wǎng)絡(luò)。

1.2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

無線網(wǎng)絡(luò)中的拓撲結(jié)構(gòu)主要有3種，分別是：點對點、Hub型、無中心拓撲。其中，點對點主要是借助于點頻或者是擴頻微波電臺等方式進行網(wǎng)段連接，其結(jié)構(gòu)比較簡單，能夠獲取到中遠距離范圍的高速率鏈路。Hub型要求存在一個無線站點作為中心點，并控制該無線網(wǎng)段內(nèi)的所有站點，同時可以借助于蜂房技術(shù)實現(xiàn)空間以及頻率的復(fù)用，該拓撲結(jié)構(gòu)如圖1所示：

圖1 Hub型無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)

2 無線網(wǎng)絡(luò)的安全測試技術(shù)

2.1 基于訪問點的安全測試技術(shù)

要想提高無線網(wǎng)絡(luò)的安全性，管理員應(yīng)該意識到訪問點AP的重要性，因為AP是整個無線網(wǎng)絡(luò)的基礎(chǔ)，AP安全性有了保障，無線網(wǎng)絡(luò)的安全性將會大大提高。

1） WEP。WEP是安全保護協(xié)議，屬于802.11協(xié)議中的一部分，現(xiàn)大部分的商家都支持128位的密鑰，雖然WEP協(xié)議也存在一些安全隱患，但在無線網(wǎng)絡(luò)中引入WEP可以杜絕一些攻擊水平不太高的黑客，也能對安全起到一定的保障作用；2）MAC地址過濾。MAC地址是無線網(wǎng)絡(luò)中較為理想的一種訪問控制方式，但現(xiàn)有無線網(wǎng)絡(luò)中已出現(xiàn)能偽造合法MAC的軟件，但筆者認(rèn)為無線網(wǎng)絡(luò)中仍應(yīng)引入MAC地址過濾技術(shù)，這樣可以將一部分網(wǎng)絡(luò)入侵者過濾在外；3） DMZ非軍事區(qū)技術(shù)。DMZ是無線網(wǎng)絡(luò)中的一個特殊區(qū)域，如果AP點位于DMZ，就算該AP遭受到了攻擊，攻擊者也不能對無線網(wǎng)絡(luò)內(nèi)部信息進行竊取。但需要明確的一點是，DMZ可以保護無線網(wǎng)絡(luò)的內(nèi)部資源，但不能保護無線用戶。

2.2 基于防火墻及RADIUS的安全測試技術(shù)

從本質(zhì)上而言，防火墻是由軟件以及硬件共同組成的一個系統(tǒng)，主要實現(xiàn)兩個網(wǎng)絡(luò)之間的接入控制。其控制策略則是由用戶自行在防火墻上進行設(shè)置的，其作用主要是為了實現(xiàn)有效的阻止以及允許。由防火墻連接的兩個無線網(wǎng)絡(luò)分組過濾路由器必須是支持標(biāo)準(zhǔn)格式的設(shè)備，這樣才能更好地實現(xiàn)分工檢測，一個負責(zé)進入無線網(wǎng)的分組檢查，另一個負責(zé)對無線網(wǎng)絡(luò)輸出的信息進行檢查。

而RADIUS（Remote Authentication Dial-In User Service）是遠程身份驗證的撥入用戶服務(wù)檢測技術(shù)，能夠?qū)崿F(xiàn)對無線網(wǎng)絡(luò)遠程鏈接用戶的身份驗證，并提供授權(quán)和相關(guān)的記錄日志。Radius除了用戶身份驗證，還可用于訪問點身份驗證，可實現(xiàn)雙向身份認(rèn)證，這樣，黑客就無法假冒訪問點對網(wǎng)絡(luò)進行攻擊。Radius可全面的控制訪問授權(quán)，如時間限制及密鑰重新生成周期。Radius服務(wù)器的典型設(shè)置如圖2所示：

圖2 Radius服務(wù)器的典型設(shè)置

2.3 基于公鑰體制身份認(rèn)證的安全檢測技術(shù)

無線網(wǎng)絡(luò)應(yīng)用基于公鑰體制身份認(rèn)證的安全檢測技術(shù)，能夠在很大程度保證無線網(wǎng)絡(luò)的安全。在公鑰體制中，私鑰和公鑰是不可以互推的，也正是因為這一點，保證了無線網(wǎng)絡(luò)良好的安全性。該安全檢測技術(shù)的實現(xiàn)分成以下兩大步驟：

首先，用戶UserA生成一個認(rèn)證請求，并將這個認(rèn)證請求發(fā)送給相應(yīng)的AP。當(dāng)AP接收到UserA發(fā)送的認(rèn)證請求后，AP就是檢驗相應(yīng)的Gid以確定該UserA是不是在其管理范圍內(nèi)，同時通過私鑰進行解密處理，并用UserA的公鑰檢驗解密簽名，以進一步驗證UserA是不是合法身份。

其次，AP對UserA認(rèn)證結(jié)束之后，就會自動生成一個反饋響應(yīng)。UserA接收到這個反饋響應(yīng)后就可以直接用自己的私鑰進行解密后獲取PK，并通過AP的公鑰對AP的身份進行驗證。

3 結(jié)論

無線網(wǎng)絡(luò)能得到越來越廣泛的應(yīng)用，主要原因在于無線網(wǎng)絡(luò)的靈活性以及開放性，為了確保無線網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)建設(shè)者應(yīng)該在物理層使用擴頻技術(shù)，在數(shù)據(jù)鏈路層使用WEP協(xié)議進行加密處理，在網(wǎng)絡(luò)層使用防火墻等技術(shù)進行信息過濾及驗證。

但這些無線網(wǎng)絡(luò)安全措施不能單獨應(yīng)用于無線網(wǎng)絡(luò)以保證安全性，只有進行安全測試技術(shù)的綜合運用才能大大提升無線網(wǎng)絡(luò)的安全性。

[1]Tara.Charles, Elden.Wireless Security and Privacy:Best Practices and Design Techniques[J].Addison Wesley，2011.

[2]劉乃安.無線局域網(wǎng)(WLAN)原理、技術(shù)與應(yīng)用[M].西安電子科技大學(xué)出版社，2010.

[3]Adam Stubblefield, John Ioannidis, Ariel D.Rubin.Using the Flusher, Mantin and Shamir Attack to Break WEP Revision 2, AT&T Labs Technical Report.2009.

[4]金純，鄭武，陳林星.無線網(wǎng)絡(luò)安全—技術(shù)與策略[M].電子工業(yè)出版社，2009.