無線網(wǎng)絡(luò)安全的機制及相關(guān)技術(shù)措施

王雙劍，丁 輝

中原油田通信管理，河南濮陽 457001

無線局域網(wǎng)的基本工作原理是在企業(yè)（組織）內(nèi)部通過無線通訊技術(shù)連接單個計算機終端，將其組成可以相互通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線網(wǎng)絡(luò)的特點就是通過電磁波而不是有線電纜來實現(xiàn)信息傳輸，安裝簡單，不受地理位置和空間的限制，增強了電腦終端的移動能力。但同時正是由于無線網(wǎng)絡(luò)采用電磁波傳輸信息，使得其很難采用有線網(wǎng)絡(luò)的安全機制來保護信息安全，換言之，無線網(wǎng)絡(luò)安全保護難度較大。

1 無線網(wǎng)絡(luò)的安全隱患

1.1 不易管理

無線網(wǎng)絡(luò)安全保護面臨兩個主要問題。第一，市面上無線安全保護標準和方案太多，無法進行優(yōu)劣選擇；第二，如何避免網(wǎng)絡(luò)遭到入侵。無線網(wǎng)絡(luò)具有接入方便的特點，因此不能采用部署防火墻硬件安全設(shè)備來構(gòu)建安全機制。

1.2 易被發(fā)現(xiàn)，易受攻擊

無線網(wǎng)絡(luò)非常容易被發(fā)現(xiàn)，更容易受到攻擊。入侵者可以通過高靈敏度天線對網(wǎng)絡(luò)發(fā)起攻擊，不需要任何物理方式，因為任何人的計算機都可以通過購買AP連入網(wǎng)絡(luò)。很多部門沒有通過IT公司授權(quán)就建立無線局域網(wǎng)，用戶通過非法AP接入，給無線局域網(wǎng)安全帶來很大隱患。另外，大部分無線都沒有采取安全措施。

2 無線網(wǎng)絡(luò)安全的基本技術(shù)分析

2.1 擴頻技術(shù)

擴頻是將低能量在頻率中發(fā)送，常用的擴頻傳輸是跳頻擴頻和直序擴頻。無線電波將無線信號按順序發(fā)到每一個通道，停留固定時間，并且覆蓋所有通道。使用不同跳頻圖案、通道數(shù)量和駐留時間可以保護無線網(wǎng)絡(luò)的數(shù)據(jù)安全。

2.2 MAC過濾

每個無線網(wǎng)卡都有一個獨特的地址，也就是物理地址（MAC地址），該地址是出廠設(shè)置，無法修改，因此可以在AP內(nèi)部建立“MAC地址控制表”，只有在表中的MAC才是可以合法接入的無線網(wǎng)卡，手工維護一組允許訪問的介質(zhì)訪問控制（MAC）地址列表，不在其中的將會被拒絕連接，從而實現(xiàn)物理地址過濾。這要求AP中MAC地址列表隨時更新，因此可擴展性較差，無法實現(xiàn)不同AP之間的漫游。另外，MAC地址可以偽造，因此，這種方法是較低級別的授權(quán)認證。在鏈路層采用RC4對稱加密技術(shù)，保證用戶密鑰和AP密鑰相同，從而防止非授權(quán)用戶監(jiān)聽和訪問。雖然WEP（無線應(yīng)用協(xié)議）提供了64位和128位長度的密鑰機制，但是，一個服務(wù)區(qū)的所有用戶共享一個密鑰，只要一個用戶丟失密鑰，則整個網(wǎng)絡(luò)都變得不安全。另外WEP被發(fā)現(xiàn)有安全缺陷，能在幾個小時被破解。

2.3 VPN技術(shù)（虛擬專用網(wǎng)絡(luò)）

VPN是目前最安全的解決方案，指在一個公共IP網(wǎng)絡(luò)平臺上，通過加密技術(shù)和隧道保證專用數(shù)據(jù)的安全，阻止黑客截取信息。VPN不屬于802.11標準，用戶可以借助VPN抵抗無線網(wǎng)絡(luò)的不安全因素，同時提供基于Radius用戶認證、計費。

2.4 DSL技術(shù)（動態(tài)安全鏈路）

該技術(shù)采取128密鑰，且動態(tài)分配。采用動態(tài)安全鏈路技術(shù)時，DSL針對每一個會話都會自動生成一把鑰匙，用戶請求訪問網(wǎng)絡(luò)時，需要進行口令認證，只有認證通過，才能連接到無線網(wǎng)絡(luò)。需要注意的是DSL與WEP2不同，WEP2的鑰匙是手工輸入，DSL則是動態(tài)分配，即使在一個會話期間，每256個數(shù)據(jù)包，就會自動改變一次。

3 無線網(wǎng)絡(luò)安全技術(shù)的改進措施

隨著筆記本電腦的普及，無線網(wǎng)卡成了標準配置，通過組建無線網(wǎng)絡(luò)來進行網(wǎng)絡(luò)訪問成為一個趨勢，無線網(wǎng)絡(luò)的安全越來越受到關(guān)注。通常情況下，保護無線網(wǎng)絡(luò)安全可以通過身份認證與訪問控制、安全內(nèi)核和入侵檢測技術(shù)兩方面來進行改進。

3.1 身份認證與訪問控制

無線網(wǎng)絡(luò)的認證可以是基于設(shè)備的，也可以是基于用戶的。無線網(wǎng)中常采用的認證方式有：PPPoE（最早、最成熟）、8021X認證和WEB認證（無需安裝客戶端認證軟件）、WEP、EAP。在無線網(wǎng)絡(luò)中，為了最大限度確保網(wǎng)絡(luò)安全，設(shè)備認證和用戶認證兩種形式都應(yīng)實施。

3.2 安全內(nèi)核與入侵檢測

這主要是指在操作系統(tǒng)的層次上增強安全性。通過對操作系統(tǒng)內(nèi)核改造、裁剪、加固，刪除內(nèi)核中可能影響安全性的部分，大大增強系統(tǒng)內(nèi)部抗攻擊能力和安全性。計算機的系統(tǒng)安全取決于軟硬件設(shè)置，實際系統(tǒng)安全取決于設(shè)備使用，在用戶操作過程中，最能影響系統(tǒng)安全性的是系統(tǒng)或用戶的工作參數(shù)設(shè)置。對系統(tǒng)特性的錯誤使用是系統(tǒng)遭受入侵的主要原因，這也是無線網(wǎng)絡(luò)最容易發(fā)生安全問題的原因。利用安全漏洞掃描對系統(tǒng)進行分析掃描，找出異常系統(tǒng)配置進行改進。入侵檢測是機器（檢測工具）與人（入侵人員）對抗的分析過程。入侵檢測是基于用戶當前操作，根據(jù)用戶歷史行為，完成攻擊并留下證據(jù)，根據(jù)知識的智能推理，為數(shù)據(jù)回復(fù)和事故處理提供依據(jù)，分為實時入侵檢測和事后入侵檢測。

3.3 通過SSID和MAC進行地址雙重過濾

SSID是目前無線訪問點采用的識別字符串，標志符由設(shè)備制造商設(shè)定，采用如101代表3COM設(shè)備的默認短語。當黑客得知該口令短語時，很容易在不經(jīng)授權(quán)的情況下進入該無線服務(wù)。設(shè)置無線訪問點應(yīng)該選一個獨特的很難被猜中的SSID，并且禁止向外界廣播該SSID。由于無線工作站的網(wǎng)卡有唯一的物理地址，用戶可以設(shè)置訪問點，同時限制MAC地址，實現(xiàn)雙重過濾。

3.4 關(guān)閉DHCP服務(wù)器

DHCP服務(wù)器自動配給計算機IP地址。對于規(guī)模不大的網(wǎng)絡(luò)，保護信息安全可以采用關(guān)閉無線AP或者DHCP功能，采用靜態(tài)IP地址，以此保護無線網(wǎng)絡(luò)的安全。

4 結(jié)論

維護無線網(wǎng)絡(luò)的安全是一個綜合性工作，對于無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)處于起步階段，隨著無線網(wǎng)絡(luò)的普及和應(yīng)用，對無線網(wǎng)絡(luò)安全機制和技術(shù)提供了更高的要求，未來無線網(wǎng)絡(luò)的安全面臨更大的機遇和挑戰(zhàn)。

[1]楊光.無線網(wǎng)絡(luò)安全性的研究和探討[J].機械管理開發(fā)，2011，3.

[2]劉強.無線網(wǎng)絡(luò)安全的機制與技術(shù)措施探究[J].無線互聯(lián)科技，2010，11.

[3]鄭宇洲.無線網(wǎng)絡(luò)安全的機制與技術(shù)措施[J].信息系統(tǒng)工程，2011，6.

[4]李媛.淺談無線網(wǎng)絡(luò)安全[J].計算機與網(wǎng)絡(luò)，2008，7.