淺析無線網絡的幾種加密技術

【摘 要】無線連接和無線設備的管理比有線網絡系統更為復雜，無線安全問題更值得我們關注，稍有不慎，攻擊者就輕而易舉地進入網絡內部進行大肆破壞。作為管理者和用戶必須引起高度重視，這意味著無線安全防范已經成為信息安全領域的重要課題，因此無線網絡加密技術對于部署一個安全的無線網絡是非常重要的。

【關鍵詞】無線網絡 網絡安全 加密技術

引言

在現今的網絡時代中，無線網絡的應用無處不在，廣泛應用在單位、商場、酒店及家庭等。如果能深入了解各種無線網絡的加密技術并加以對應的安全措施，就能自由無慮地在網上暢游，也不怕黑客的攻擊或非法闖入者的騷擾了。以下就目前最流行的幾種無線網絡加密技術和安全防范技術進行分析。

一、無線網絡的加密技術

無線傳輸的安全類似于一個書面信息，有各種各樣的方法來發送一個書面信息。每一種方法都提供一種增強水平的安全性和保護這個信息的完整性。你可以發送一張明信片，這個信息對于看到它的每一個人都是公開的。你可以把這個信息放在信封里，防止他人隨意看到它。如果你確實要保證只有收件人才能夠看到這個信息，你就需要給這個信息加密并且保證收件人知道這個信息的解碼方式，無線數據傳輸也是如此。如果沒有加密的無線數據在空中傳輸，任何在附近的無線設備都有可能截獲這些數據。使用有線等效協議（WEP）加密你的無線網絡可提供最低限度的安全，因為這種加密是很容易破解的。如果你確實要保護你的無線數據，你需要使用WPA（Wi-Fi 保護接入）等更安全的加密方式。

（一）有線等效協議（WEP）

WEP即Wired Equivalent Privacy，是一種基于40bit共享密鑰編碼的數據加密裝置，因為不可變換，所以非常容易入侵。

這里需要提醒WEP只是讓你的網絡更難讓黑客入侵。WEP加密并不在IEEE 802.11標準中，這表示有許多種WEP加密方式，但不完全，例如MAC地址部分就沒有被加密。因此，這個協議后來發現存在一些漏洞，甚至一個初入道的攻擊者也能夠利用這個協議中的安全漏洞。

（二）Wi-Fi 保護接入（WPA）

WPA加密即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵，所以如果對數據安全性有很高要求，那就必須選用WPA加密方式了（Windows XP SP2已經支持WPA加密方式）。WPA是目前最好的無限安全加密系統，它包含兩種方式：Pre-shared密鑰和Radius密鑰，以下簡單介紹一下：

①APre-shared密鑰有兩種密碼方式：TKIP和AES。

②Radius密鑰利用Radius服務器認證并可以動態選擇TKIP、AES、WEP方式。

③臨時密鑰完整性協議（TKIP）

TKIP 是一種基礎性的技術，允許WPA 向下兼容WEP 協議和現有的無線硬件。TKIP 與WEP一起工作，組成了一個更長的128 位密鑰，并根據每個數據包變換密鑰，使這個密鑰比單獨使用WEP 協議安全許多倍。

④可擴展認證協議（EAP）

有EAP的支持，WPA加密可提供與控制訪問無線網絡有關的更多功能。其方法不是根據可能被捕捉或者假冒的MAC地址過濾來控制無線網絡的訪問，而是根據公共密鑰基礎設施（PKI）來控制無線網絡的訪問。WPA協議給WEP 協議帶來了很大的改善，它比WEP 協議安全許多倍。

二、無線網絡用戶的安全應對措施

無線網絡安全并不是一個獨立存在的問題，所有用戶必須認識到這一事實，只有在共享的環境中同時在幾條戰線上對付攻擊者，才能確保無線網絡的安全。值得指出的是，有些威脅是無線網絡自身所帶有的，無線通訊最可靠的安全方式就是針對無線通訊數據進行加密，加密方式種類也很多，從最基本的WEP加密到WPA加密。用戶在網絡間的相互訪問，其控制是通過AAA服務器來轉載的。這種傳輸方式為用戶提供更大更好的可擴展性，為了安全訪問控制服務器，在802．1x的安全端口上提供了自定義的機器認證號碼，在這一特定的環境中，只有使用者成功利用802.1x規定端口的識別碼后才能進行端口訪問。另外，目前還有通過SSID和MAC地址過濾。SSID是當前無線網絡訪問點所采用的識別字符串，它的特點是標志符都是由設備制造商所制定的，每個標識符都要通過默認短語，因為所有的無線工作站的網卡都會配有自己獨特的物理地址，所以每個用戶可以根據自己的需要設置訪問點，設計一套允許的MAC地址列表，從而實現了物理地址過濾。需要指出的是，這要求AP中的MAC地址列表要隨時更新，其缺點就是可擴展性差，無法實現機器在不同AP之間的漫游。同時，MAC的地址還可以用高科技技術來偽造，所以說，這種加密技術還是較為低級的授權認證。它的優點就是，他可以完全阻止非法訪問無線網絡，能有效保護網絡的安全。在實踐中很多用戶通過WEP或TKIP無線網絡提供原始完整性數據包。WEP加密技術也提供認證功能，當其加密機制功能開始啟用時，所有客戶則要在客戶端連接AP，連接成功后AP會發出一個Challenge Packet地址給客戶端，客戶端利用中間的共享密碼將此值加密，然后送回存取點以進行認證比對，直到驗證正確無誤，才能獲準存取網絡的資源。在IEEE 802．11i規范中，TKIP Temoral Key Integrity Protocol負責處理無線安全問題的加密部分。就上述幾種加密技術的優缺點，我們可以做好以下幾種措施：

（一）正確設置網絡密鑰

在缺省狀態下，無線網絡節點生產商為方便初級用戶安裝無線網絡，特意將無線網絡節點的數據傳輸加密功能設置為“禁用”，這樣一來用戶初次接入進的網絡是不安全的，非法攻擊者很容易利用專業的嗅探工具，截獲到在無線網絡中傳輸的數據。為此當你在初次連接到無線局域網中時，必須記得設置好網絡密鑰，來對在無線網絡中傳輸的數據進行加密，以便有效抵御普通黑客的非法入侵。

（二）更改默認的SSID 設置

在默認狀態下，無線網絡節點的生產商會利用SSID（初始化字符串），來檢驗企圖登錄無線網絡節點的連接請求，一旦檢驗通過的話，就可能順利連接到無線網絡中。可是由于同一生產商推出的無線網絡節點都使用了相同的SSID 名稱，這給那些企圖非法連接到無線網絡中的攻擊者們，提供了入侵便利，一旦他們用通用的初始化字符串來連接無線網絡時，就很容易建成一條非授權鏈接，從而給無線網絡的安全帶來威脅。為此，在初次安裝好無線局域網時，你必須及時登錄到無線網絡節點的管理頁面中，打開SSID 設置選項，重新設置一下初始化字符串，最好讓人難于猜測。而且，為了更有效地避免非法鏈接，你最好在條件允許的前提下，取消SSID 的網絡廣播，這樣能將黑客入侵機會降到最低限度。

（三）做好其他防范工作

為了更好地保護無線網絡的安全，還可以根據無線網絡節點自身功能的不同，進行一些其他有效的安全防范措施。

結論

無線網絡安全是需要一個不斷改善和升級的過程，特別是無線技術迅猛發展的今天，就算是一項大家都認為是目前最完美的安全技術，當應用到實際中時還是漏洞百出，這就需要通過人們不斷的努力來完善它。只有認真了解各種加密技術和傳輸數據的加密方法，再加上相關的措施等方法結合起來， 才能構筑安全的無線局域網，這些都需要我們不斷地學習和探索。

【參考資料】

［1］韋安明，王洪坡，程時端，林宇．高速網絡中P2P流最檢測及控制方法[J].北京郵電大學學報，2007（5）.

［2］柳斌，李之棠，李佳．一種基于流特征的P2P流量實時識別方法[J]．廈門大學學報（自然科學版），2007（S2）.

［3］梁欣榮. 淺析大學校園網絡管理與維護[J]. 中國科技博覽，2010（14）.