無線網絡安全問題分析與探討

萬焱

摘要：隨著我國科學技術的飛速發展，無線網絡技術在人們生活和工作中也日益發揮著越來越重要的作用。近幾年，網絡安全問題逐漸收到社會各界的關注。文章從宏觀的層面對無線網絡技術存在的威脅做了簡要的述評，又在這個基礎之上分析了無線設備的安全性，著重介紹了無線網絡安全策略，在這個基礎之上提出了解決無線網絡安全的幾種方案，以供參考。

關鍵詞：無線網絡；安全；分析；探討

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2017）36-0007-02

隨著我國科學技術的飛速發展，無線網絡技術在人們生活和工作中也發揮著越來越重要的作用。相應的，網絡安全問題也逐漸收到社會各界的關注。與有限網絡相比，無線網絡可以隨時在網絡覆蓋的區域實現網絡連接，比有限網絡更加的快捷方便，再加上近幾年筆記本電腦和智能手機的飛速發展及普及，無線網絡的應用更加的普遍。但是，在無線網絡飛速發展的同時，網絡的安全隱患也日益突出。

1 無線網絡存在的安全威脅

1.1 通訊的干擾

無線網絡的飛速發展和普及，給一些不法分子竊取客戶隱私信息提供了機會。這種干擾很有可能導致客戶信號中斷，使客戶無法正常訪問應用，一些更加高級的攻擊甚至還有可能中斷與真實基站的鏈接，在這個基礎之上連接到一些欺詐的站點，給客戶的日常生活和工作帶來了極大的安全隱患。此外，現在社會上，還有的不法分子在客戶現有的鏈接之上，惡意的添加數據，并且發送一些錯誤的命令來誤導客戶。

1.2 對客戶的欺詐

這方面，大體上可以總結為以下四個方面：首先欺詐網絡接入點。攻擊者會試圖設置欺詐接入點冒充網絡資源，一旦攻擊者操作成功，其就會在客戶不知情的情況下竊取客戶的隱私，這給客戶的安全隱私造成了極大的威脅；其次，無線網絡的威脅還體現在它的匿名性上面，對于無線網絡來說，由于其沒有有效的網絡進行定位，再加上定向設備的缺乏，一些不法分子會在匿名的情況下對客戶進行攻擊，這給網絡犯罪案件的偵破造成了極大的難度；再次，就是客戶到客戶的攻擊。攻擊者一旦對一個客戶攻擊成功，其很可能就會進一步訪問公司或者是某個組織的網絡，由于大多數網絡管理員沒有對其自身的工作站進行加固，不法分子對無線網絡連接成功的客戶再次進行攻擊，危害性特別大。

2 無線網絡存在的安全技術

現代社會，無線技術應用的范圍相當廣泛，相應的無線網絡的安全問題也越受到社會各界的關注。從目前的情況來看，現階段無線網絡的安全性主要在用戶認證以及數據加密兩個方面體現。用戶認證方面主要是保證涉及到一些保密性的數據只有在授權的情況下允許被訪問，而數據加密則是保證目標數據被指定用戶進行讀取。由于無線網絡的無線傳輸是在空氣中進行輻射傳播，黑客極有可能在AP所覆蓋的位置設置攔截破壞用戶的數據通訊，所以說無線網絡的安全問題就顯得尤為重要。

2.1 傳統的無線網絡安全技術

傳統的無線網絡安全技術會利用IEEE802.11b來設置擴展服務區的標識符，以此來限制不法信號的接入。這種安全措施會在每個AP內部設置一個服務區域認證的ID，只有在AP和無線終端的ESSID匹配成功后，其才會接受無線終端的訪問，如果不匹配就拒絕服務，簡單的來說，就是ESSID提供了一個可以明確無線局域網邊界的方法，讓與其相同的無線設備同在一個無線網絡內部。但是，對于無線互聯網來說，ESSID并不是一個最好的安全性措施，這是因為大部分的AP通常在自己的信標中來對自己的ESSID進行播放，而有些技術比較先進的黑客也可以通過其他的手段實現，安全性也存在著一定的隱患。

2.2 WEB的安全解決方案

無線網絡安全的另外一個實現手段就是可以通過WEP協議來對數據進行加密。可以說，WEP是經過WIFi認證的無線局域網所支持的意向最基本的功能，也是IEEE802.11b協議中最基本的安全保障措施，這項技術是國際電子與電氣工程師協會制定的，它的主要功能是防止未經授權的用戶對網絡進行訪問，而WEP主要是對數據進行加密，以此來防止不法分子對用戶信息的竊聽和盜取。從本質上來說，WEP就是對一個對稱性的方案進行利用，其在數據加密以及解密的過程中使用的是相同的算法和秘鑰，然后通過秘鑰的限制功能把一些非法的訪問排除在外，以此來實現對訪問權的控制，從而保證數據的保密性和安全性。

通過秘鑰的方式來對數據進行保護，其關鍵點在于對算法和密鑰長度的加密。在這方面，WEP采用的是64位的靜態密鑰，這種加密方法比較容易被黑客破解，而且一般情況下WEP密鑰一般在客戶機中進行鎖定，如果客戶機丟失的話，其也有被暴露的風險。而且如果密鑰被分配的越廣泛，其被泄露的可能性就越大。

2.3 新一代的無線安全技術

新一代的無線安全技術主要指的是IEEE802.Lli，其采用的是動態密鑰的方式，當無線客戶端對接入點設備完成第一次回話后，其就會自動生成下一次對話的128位新密鑰，所以，從這個層面上來講，這種密鑰對每次的網絡對話都具有唯一性，這種動態的密鑰比靜態的密鑰安全性更高，而且可以幫助用戶從手動輸入的繁雜工作中解脫出來，提升了用戶的體驗感，也確保每個用戶都能擁有一個持續變更的密鑰來防止黑客的入侵，從這個層面上來說，動態的密鑰大大提升了網絡的整體安全性。

2.4 802.1x的解決方案

關于802.1x的解決方案，其是通過以下過程來實現的：其第一步要在一個WLAN中對接入點與客戶機的通訊請求進行滿足，然后利用客戶機提供的用戶名和口令，在802.1x和EAP構架系統的基礎上對客戶機進行驗證，而且這種驗證是雙向的。在這方面，我們可以以Cisco公司提供的方法為參考：客戶機會收到一個由RADIUS發送的詢問驗證，客戶機在對單向口令記性散列信息。這個時候， RADIUS服務器也會產生一個響應，然后將這兩個響應進行對比，而RADIUS則會對客戶機進行驗證，整個過程其會自動的進行逆向的重復，在這個過程中，會實現對客戶機介入點的身份驗證。身份驗證完之后，RADIUS服務器會和客戶機確定一個新的密鑰，而這個密鑰跟別的客戶機是不一樣的，整個過程在實現之后，客戶會得到一個合適的網絡權限，這個訪問權限的安全性與LAN是非常相似的。取得這個權限之后，客戶機就會實現對密鑰的加載。第三步，RADIUS服務器會通過有限的LAN發送一個會話密鑰給節瑞安，這個時候，廣播密鑰就會被接入點進行加密，在這一切結束之后其才會發送給客戶機，這個時候客戶機會對會話密鑰進行再次解密。待這一切都完成之后，客戶機和接入點則會對WEP進行解密，整個使用的過程中，用戶的信息都會得到有效的保護，而且可以避免用戶的信息被不法用戶所竊聽。可以說，這也是保證無線網絡安全的一種比較有效的方式

2.5 虛擬的專用網絡

上訴的802.1x基本上還是屬于第二層的曲線網絡安全技術，在網路的第三層其則會提供更高強度的機密算法——VPN，即虛擬專網，這項技術是一種更為理想的WLAN安全解決方案。通俗的來講，虛擬專用網指的是一個建立在公共的IP網絡平臺上，通過隧道以及加密的技術來實現數據及網絡安全性的一項技術，簡單的來說，VPN在公共網絡的基礎設施中部署的一種網絡，其安全性可以與專用網絡相媲美，而且可管理性比較高，如果對VPN進行一句話概括的話，其就是將一條128位的動態密碼建立在客戶端以及企業LAN之間，而且還支持用戶身份驗證，其安全級別更高。具體的來說，VPN協議主要包括第二層協議和第三層協議，Ipsec是標準的第三層協議，其主要作用是對IP數據或者上層數據進行保護，與其他技術相比，其具有自定義的功能，可以實現對部分數據的保護，并選擇合適的保護措施。嚴格意義上來講，VPN技術是不屬于802.11的標準定義的，與其相比，VPN技術的功能更加的強大，其加密的方法也更加的可靠，傳輸的技術也更加的安全，從使用的層面來講，其可以與WEP技術實現互補。但是VPN技術只適用于具有Radius服務器的情況，而且需要提供經過安全認證和擊飛的網絡環境，所以成本較其他技術比較高，從目前的情況來看，其使用的范圍主要集中在大型企業以及對網絡安全性要求較高的組織場所。

以上就是現階段主要的用于保證無線網絡安全的技術手段，隨著無線技術的發展其對人類生活的影響也會越來越大，網絡安全也會更加受到大眾的關注，隨著科學技術的發展，相信會有更加成熟的技術來對無線網絡的安全進行保證。

3 關于無線網絡的安全措施選擇

要想解決網絡安全中存在的問題，我們可以從以下幾個方面進行考慮：

3.1 對訪問端進行控制

這種控制方法從實質上來說就是依據用戶的身份，或者是其所歸屬的某一種屬性的限定來實現對用戶的限制，這種限制可以是某些信息的限制也可以是對某些功能的限制。一般情況下，訪問控制分為以下兩種，一種是服務區域認證ID技術，一種是MAC地址。MAC地址過濾方面，其實現的功能簡單的說就是其路由器只允許某些MAC地址的網絡設備進行通訊。每個無線工作站的網卡在其出廠的時候就已經被設定了，這個時候它就具備了唯一性，這個時候，我們就可以利用他的唯一性來實現對物理地址的過濾。然而，這種方案存在著一定的缺陷，這個缺陷就是MAC地址缺陷，在這個方案中，MAC地址有可能會被偽造，而且，其在不同的AP間也無法實現漫游，十分的不方便。實質上來說，這種授權方式屬于比較低級的授權方式，理想狀態下，其可以防止一些不發用戶對無線網絡進行攻擊，在一定程度上可以減少某些不法用戶對對無線網路造成的威脅，對無線網絡的安全具有一定的保護作用；而服務區域認證ID技術，也就是我們通常所說的SSID，其則是根據單個內具體的AP內部，對區域認證ID進行對應的設置，只有當SSID與自身的ID一致的時候，其才會允許無線終端設備進行鏈接，在一致的情況下，AP才會接受相應的訪問，并為其進行網絡服務，這一方案同樣也存在著一定的缺陷，也有被竊取信息的隱患存在，其網絡安全性也一般。

3.2 對數據進行加密

根據之前所述，最開始的數據加密方式是從WEB加密開始的，后來又發展到WPA階段，到后來的WPA2協議，可以說，其安全防范的效果隨著科學技術的進步越來越好，效果也越來越佳，這個時候最基本的保密方式WEP就顯得有點脆弱了。具體到我國的實際情況來說，關于無線的安全標準一般是由WAI和WPI兩部分組成，這兩部分的功能分別是實現用戶身份的鑒別以及數據加密功能，前半部分采用的是公鑰證書的體制，后半部分則是采用對稱密碼算法進行加密和解密，可以說，這種方案也是較為安全的一種保障方式。

3.3 關于動態安全鏈路技術

如上所述，WEP和WEP2兩種技術對于實現無線網絡的安全，都存在著不同程度的缺陷。在這個基礎之上，著名的3COM公司在原有的基礎上，對WEP進行了擴展，其現在提供的是市場上級別比較高的第二層安全。另一方面，與WEP2不一樣的是，動態安全鏈路技術采用的鑰匙是采用的是動態分配的方式，WEP2則是純手動的。具體的來說，動態安全鏈路會針對每一個Session生成一把鑰匙，在同一個會話期間，鑰匙的改變次數也只有一次。所以，跟其他 的技術比起來，動態鏈接的技術在安全性上還是比較好的。

參考文獻：

[1] MUIRURI JEFF. 基于Metasploit滲透攻擊的無線網絡安全研究[D].蘭州理工大學，2016.

[2] 王亞超. 基于層次分析的無線網絡安全風險評估方法[D].中國民航大學，2015.

[3] 雒慧霞. 基于加密算法和動態模型的無線網絡安全技術研究[D].蘭州大學，2015.

[4] PHILAVANH PHONVIPHONE. 基于無線網絡安全協議驗證方法的研究[D].蘭州交通大學，2015.