無線網絡安全風險及防范技術探討

陳卓民

（陜西警官職業學院，陜西 西安 710021）

無線網絡安全風險及防范技術探討

陳卓民

（陜西警官職業學院，陜西 西安 710021）

當前，伴隨著互聯網技術的快速發展，無線網絡也得到了極大的發展與應用，人們的日常生活和工作當中都已經廣泛應用，其普及程度越來越高。然而在無線網絡給人們的生活、工作帶來極大便利的同時，相關的安全風險也層出不窮。針對開放性所設計的無線網絡信號，在傳輸過程之中的數據內容無法得到可靠的保障，因而也就使得傳輸的無線數據信息極易被人在中途截獲，致使相關的機密信息被竊取。文章主要就目前無線網絡所存在的安全風險予以簡要的介紹，而后針對幾類不同的加密模式進行對比探討，最終針對無線網絡安全風險，提出了一些具體的防范措施。

無線網絡；安全風險；防范技術

伴隨著無線網絡普及率的不斷提升，大量的個人、企業甚至是政府部門都應用無線網絡進行信息的發送。而通過對于無線網絡的應用也促使日常辦公與信息傳遞更加高效，其所具備的便利性與實用性極大地推動了人類的發展。然而無線網絡卻在某種程度上存在著嚴重的安全隱患，這同其自身的開放性傳播設計存在明顯的相關性。無線網絡信息在傳輸過程之中，對于所傳輸的數據內容難以做到有效的安全防護，以及導致數據內容的丟失。因而，怎樣能夠確保無線網絡的安全性，應用更為高效的安全保護機制，已經日益成為目前無線網絡所面臨的重要難題之一。

1　應用無線網絡防范技術的必要性

無線網絡自身的物理構成結構直接決定了其在聯網方面的便捷性，但是與此同時也使得自身對于網絡資源的物理訪問難以得到有效的控制。和傳統的有線網絡相對比而言，無線網絡由于自身所具備的便捷、靈活、高效等顯著優勢極大地延伸了用戶在應用網絡時的自由性，促使人們的應用空間得到了極大地增長，給人們帶來了極大的便利性。但是同時也應當認識到，這一技術所存在的安全隱患也是極大的，并且這一方面的問題現已成為限制無線網絡實現更大范圍普及應用的主要障礙難題。無線網絡所具備的移動特性促使各個移動的節點不具備充足的物理防護，相關的網絡攻擊者極易借助于移動設備進行攻擊，相應的安全管理難度較傳統網絡而言成倍增加。無線網絡所較常遭受的攻擊類型主要有搜索式供給、信息隱私泄露、非法訪問、網絡修改等。因而就這一技術的安全風險及防范技術展開相關的探究工作是十分必要的。

2　常用的無線網絡加密技術

2.1 WEP技術

WEP全稱為Wired Equivalent Privacy，是一類安全性相對較差的無線網絡安全算法。WEP在最初是應用于IEEE 802.11當中的一部分內容，其主要的目的是為了實現無線網絡數據在傳輸過程當中的保密性目的，從而滿足或是接近傳統網絡的安全性準則。WEP是通過10個或是26個的十六進制數字串所構成，從而給予應用路由器配置工具的無限用戶做出安全性的抉擇。此項技術應用RC4串流加密技術來實現了對于數據保密性的要求，同時應用CRC-32進行驗證對比來滿足于資料準確性的要求。

WEP應用一項40位的密鑰予以密碼保護，同時應用RC4 與CRC-32進行對比驗證，這是通過對于24位初始化向量予以銜接合并后所產生出的RC4密鑰。一般情況下，一項64位制的WEP密鑰在十六進制的條件下連續輸入以10個字符串。其中每一個字符串分別表示4位數值，并且在此之中每一位乘10之后即為40位，再將之加入以24位之后便會形成完整的64WEP密鑰。大部分的設備往往還支持用戶采取5這一關鍵字進行ASCII字符串的輸入，其中每一項字符串在被劃分為8組之后于ASCII字符的字節值位開啟。但是，此方面內容對于每一字節所印制出的ASCII字符作出了較大的限制性，其中只有很少的一部分存在有可能會被破解的危險，從而也就極大地降低了信息在傳輸過程當中出現被破解的可能性。

一般而言，一項128位進制的WEP密鑰在十六進制的條件下輸入了26項字符串，其中26項字符串當中的每四項數值即為104位；另外在應用了24位的IV之后將會生成128位的WEP密鑰內容。在目前所應用的無線網絡設備當中，普遍都允許用戶可以輸入13項ASCII字符串。

2.2 WEP以及WPA2技術

WPA（Wi-Fi Protected Access）包含了WPA與WPA2兩項安全計算準則，其中WPA主要包涵了安全協議及認證內容，WPA協議能夠滿足于IEEE 802.11i之中的絕大多數內容。簡單來說，即在一般的臨時性密鑰完整協議之中應用WPA準則。而WEP當中所較多應用40與128位加密密鑰，對于所需接入的設備及接入點均采取人工手動錄入到無線網絡當中，且不會自主發生變化。TKIP應用一包一密的加密方法，即通過動態性的產生出一項128的新型密碼計算方法，以實現對于每項關鍵數據內容的有效保護，進而避免其受到攻擊威脅。此種技術手段是一類保護無線網絡安全所較為可行的技術手段，針對這一手段的研究工作是基于上一代無線網絡用戶的實際需求所產生出的，WPA以及WPA2技術較為有效地改善了WEP加密方法當中所存在的幾點不足之處。WPA是基于IEEE 802.11i的準則之上所產生出的代替WEP的一項過渡內容，WPA的設計工作可應用于大部分的無線網卡當中，然而卻并不一定可以應用在第一代無線網絡取用點當中。

WPA2是通過Wi-Fi聯盟所檢驗證實的一種基于IEEE 802.11i準則的認證技術。WPA2有效地滿足了IEEE 802.11i的強制性要求，尤其是Michael算法應用被更為安全的CCMP信息認證碼所替代，但同時AES也替代了RC4。然而應當引起注意的是WPA2其本身也存在有一些顯著的不足之處，比如無法應用到一些相對較為陳舊的網卡設備當中。

WPA相較于WEP而言具備更為良好的數據加密性能。WEP所應用的加密與解密方法是一致的并且是靜態性的密鑰，即永不過期；而WPA則是利用一項安全密鑰機制針對數據予以保護處理，此機制可利用臨時密鑰的完整性協議予以滿足，這同時也是無線加密技術當中的一項重大進步。此系統借助于每一特定時間量來針對數據傳輸過程之中的密鑰予以修改，從而可有效地規避攻擊者針對數據的破壞及竊取行為。

WPA在數據的完整性方面的控制性要明顯優于WEP，能夠避免黑客對目前所現存的數據信息予以修改，而后重新再將數據信息傳輸至接入點當中。

3　WEP存在的安全隱患問題

如下列公式1所示，假定IV隨機關鍵部分是24位字段，在IEEE 802.11i的技術條件之下實行AP11Mbps傳輸，能夠于5小時當中基本耗盡IV部分。

IEEE 802.11i的接入點會生成一項最大值11Mbps的數據內容，但是一般系統所給予的開銷無法滿足于此類傳輸要求，因為開銷和數據包之間的沖突性，便能夠增多一項IV在重新被應用前的時間段。無論在何種狀況之下，在相對較為有限的IV空間之中其所能夠應用的時間不足1.5d，并且還存在有一項關鍵密鑰流被重新應用的可能性。在此相對較為有限的時間區間當中，網絡攻擊者在獲取到兩項加密之后的密文數據信息以及密鑰流后，便能夠實現統一攻擊以及明文的復原。若網絡攻擊者對明文內容進行恢復處理，或是采取其它手段方法來獲取關鍵信息，便能夠獲取到其他的相關密文信息。因而，較易受到竊聽者的攻擊，以及遭受非法阻截與破解。

若攻擊者明確掌握相應的明文與密鑰流之時，便能夠分析出相應的關鍵密鑰流。獲取上述信息內容之后，便可建立其相應的虛假信息內容，并對CRC-32數值予以計算，同時通過對于異常操作的執行來獲得相關的密鑰流來實現對于密文數據信息的解密，這一數據密文內容還有可能會被發送到攻擊者的無線網絡服務器當中。

一般情況下在網絡攻擊者所捕獲到的數據包當中僅含有50000字節內容之時，要想破解一項104位制的WEP概率為60%；在所捕獲到的數據包當中若含有的字節數超過70000字節是，破解一項104位制的WEP概率為80%左右；在所捕獲到的數據包當中若系統被含有的字節數超過80000字節是破解一項104位制的WEP概率為90%左右。假定Active系統被deauth與ARP等程序所攻擊，在還有50000字節內容時相關的數據包便會在不到1分鐘之內被破解。此外，同樣的攻擊若對于位數較低的密鑰，將會具備更為明顯的攻擊成功率。

4　無線網絡安全風險防范措施

4.1 隱藏SSID

SSID（Service Set Identifier）這一服務性標識一般是針對不同的網絡體系予以區分，基本等同于有線網絡環境當中的VLAN，在終端接入了任一SSID的網絡之后便無法再同其他的SSID予以信息互通。從安全角度出發，無線設備的廠家設計出了能夠使SSID予以隱藏的功能。這一技術手段，能夠有效地避免未經授權許可的非法入侵者截獲到隱藏SSID設備的禁用接入點名稱。這主要是由于接入一段無法通過系統自帶的功能來掃描到此真實存在的無線網絡地址，但同時也應當對專業破解無線網絡的工具進行一定的預防，以避免其分析SSID。

4.2 設置白名單

Mac地址過濾是在有線網絡環境之下應用較為普遍的一類安全技術手段。此種技術手段同樣也能夠在無線網絡的環境之下發揮出同等價值的效用。無線網絡當中的Mac地址過濾其實際的操作方法與有線網絡當中的Mac地址過濾幾乎一致。在將終端網卡的合法Mac地址錄入到無線控制設備的白名單之中，相應的不存在于白名單當中的Mac地址所進行的一切訪問均會被拒絕。

4.3 應用WPA以及WPA2技術

為了應對WEP所存在的安全漏洞，一般建議應用WPA 與WPA2加密模式，其能夠給予的系統安全性相較于WEP更為可靠，安全保密的等級更為嚴格。此外，還要針對非法入侵對于WPA與WPA的非法暴力接觸采取相應的預防措施，并且定期針對WPA與WPA2的密鑰進行修改。

4.4 DOS攻擊防范

開啟DOS攻擊防范功能，在一定的時間區間之內針對數據內容采取統計處理，若經過統計后所得到的數據信息，例如ICMP，UDP，TCP-SYN等內容滿足了所預先設定出的閥值時，系統則默認DOS攻擊行為已經產生，相應的路由器便會停止再接收此類型的數據內容，進而也就能夠實現對于攻擊性行為的預防作用。此外，還應當開啟“禁止來自LAN口的Ping包通過路由器”這一功能，便能夠十分有效地避免在短時間內對于主機傳送過量的Ping包從而使得網絡資源發生阻塞，或者是主機資源被過量損耗。

4.5 應用端口訪問控制技術

此項技術一般也是對于無線網絡的一種增強性網絡解決措施。在無線工作站和無線路由相關聯以后，能否應用無線路由器所提供的服務則主要由8021.x認證結果所決定。若

認證通過，無線路由設備則開啟此邏輯端口，反之則拒絕。8021.x在對端口訪問提供控制作用之外，還提供用戶認證系統，能夠促使相應的網絡管理人員更加方便地控制網絡接入。

5　結語

無線網絡正在以難以置信的速度席卷全球，但與此同時相伴而生的各類安全風險問題也日漸增多，在本次研究中主要就針對無線網絡當中的幾類主要安全技術，采取了對比性的分析探討，以希望能為用戶在安全保護方法的選擇上提供以必要的幫助，另外，在無線網絡技術還未取得較大突破時，應用傳統有線網絡當中相對更加成熟的安全保護措施，來對無線網絡安全技術的缺陷予以適當的補充，不失為一種可行的應用策略。

［1］郭顯，馮濤，袁占亭，等.由編碼感知多跳無線網絡安全路協議［J］.通信學報，2012（6）：133-141.

［2］馮濤，馬建峰.無線傳感器網絡密鑰種子管理和分配模型及應用［J］.計算機研究與發展，2008（1）：146-153.

［3］馮濤，馬建峰.防御無線傳感器網絡Sybil攻擊的新方法［J］.通信學報，2013（6）：13-19.

［4］李之棠，武洋.一種基于無線網絡的動態加密方法［J］.大連理工大學學報，2015（z1）：180-184.

［5］唐煉，王小龍.基于模式匹配的無線網絡安全配置核查工具［J］.計算機與現代化，2015（10）：98-102.

Discussion on Wireless Network Security Risk and Prevention Technology

Chen Zhuomin
（Shanxi Police Vocational College， Xi'an 710021， China）

At present， with the rapid development of Internet technology， wireless network has also been great development and application， which is also widely used in people's daily life and work， and become more and more popular. However， while giving great convenience to people's life， the the security risks associated to wireless network also emerge in endlessly. Infinite network signal for the open design， in the transmission process of data content can not be reliable protected， and thus makes the transmission of wireless data information very easy to be intercepted， resulting in the confidential information from being stolen. This article gives a brief introduction to the current wireless network existing safety risk ， and then discusses on several classes of different encryption mode for comparison，and ultimately for the wireless network security risks.

wireless network； security risk； prevention technology

陳卓民（1980— ），男，甘肅酒泉。