賴媛媛

沈陽醫(yī)學院，遼寧 沈陽 110034

現(xiàn)在所說的網(wǎng)絡互聯(lián)不是簡單地把機器進行連接，而是通過科學的規(guī)劃和合理的設計，從而完善和建立起來的一種新型網(wǎng)絡體系，依據(jù)現(xiàn)有的資源對所有的資源進行的一種整合和重組，這種體系是完全建立在可靠高效，還具備一定擴充性的網(wǎng)絡系統(tǒng)。隨著網(wǎng)絡技術的快速發(fā)展，無線網(wǎng)絡技術已經(jīng)走進了人們的視野，無線網(wǎng)絡憑借著它方便、快捷、簡單、高速的優(yōu)勢，正在一步步替代現(xiàn)有的有線網(wǎng)絡。無論是有線還是無線的網(wǎng)絡系統(tǒng)，只要成為一個傳輸?shù)妮d體或介質(zhì)，它必將承受一切來自外界的攻擊和威脅，無線網(wǎng)絡和有線的一樣，在安全上也存在著一定的安全與技術上的威脅。

1 保證無線網(wǎng)絡安全的機制

1.1 訪問控制

AAA服務器是用來實現(xiàn)所有網(wǎng)絡用戶的訪問控制，AAA服務器訪問控制能夠提供安全可靠的可擴展性，很多的訪問控制服務器會在802.1x的每一個安全端口上提供具體的機器認證，如果是這種情況，要進行端口訪問就必須要用戶成功地通過了802.1x規(guī)定端口的識別之后，才能實現(xiàn)訪問。不過我們還能利用MAC地址和SSID對其進行過濾。目前無線訪問點通常都是采用服務集標志符(SSID)的識別字符串，這種標志符都是由制造商所設定的，所有的標識符都有與之相對應的默認短語，因為各個無線工作站的網(wǎng)卡的物理地址都是固定的，因此每一個用戶都能根據(jù)自己的需要進行訪問點的設置，維護一組允許的MAC 地址列表，從而實現(xiàn)了物理地址的過濾。其缺點就在于AP 中的MAC 地址列表一定要保持實時更新，因為他的可擴展性比較差，所以很難實現(xiàn)機器在不兼容AP 之間的漫游，加上理論上MAC 地址是可以偽造的，所以，這就屬于最較低級的一種授權認證了。不過它屬于阻止非法訪問的無線網(wǎng)絡的最佳方式，所以可以有效地保護整個網(wǎng)絡的安全。

1.2 身份認證

無線網(wǎng)絡的認證一般分兩種，一種是基于設備的，一種是基于用戶的，前者通過對WEP密鑰的共享來實現(xiàn)，后者是采用Eap來實現(xiàn)，無線Eap認證通常還能用其他方式來，最常見的有Eap-Ttls、Eap-Tls、Peap 和 Leap。

1.3 完整性

通過對TKIP或WEP使用，無線網(wǎng)絡能夠完整地提供原始數(shù)據(jù)包。而有線等效保密協(xié)議則是通過802.11的標準所定義，主要是用在無線局域網(wǎng)的保護鏈路層數(shù)據(jù)。其實WEP同樣能夠提供認證的功能，在加密機制功能被啟用之后，當客戶端嘗試連接AP以后，AP 就能發(fā)出一個名為CHALLENGE PACKET的數(shù)據(jù)給客戶端，客戶端然后依據(jù)共享密鑰把這個進過加密之后再送回存取點，然后再進行具體的認證比對，在確認正確無誤之后，就可以的道道存取網(wǎng)絡的全部資源。事實上，在IEEE 802.11i規(guī)范之中，Tkip：TEMPORAL KEY INTEGRITY PROTOCOL主要是負責處理無線安全問題的具體加密部分。同時，也有在具體工作中采用IPSEC ESP去提供一個相對比較安全的VPN隧道。VPN其實就是在現(xiàn)有網(wǎng)絡上通過組建的一個加密、虛擬的網(wǎng)絡。通常情況下，VPN是依靠四項安全的保障技術去確保網(wǎng)絡的安全，這四項保障技術依次是密鑰管理技術、隧道技術、身份認證技術、訪問控制技術。

2 無線網(wǎng)絡技術加密方法的研究

目前，在無線節(jié)點的設備中最常使用的加密方法有兩種，第一種是Wpa的加密技術，第二種是Wep的加密技術。Wep技術通常也有叫做等保密技術的，他主要是用來提供加密中的最低限度安全，Wep技術通常都是在網(wǎng)絡鏈路層實現(xiàn)RC4的對稱加密過程，無線網(wǎng)絡的用戶密鑰相應內(nèi)容必須要和無線節(jié)點的密鑰具體的內(nèi)容一樣，這樣才能確保能夠訪問到網(wǎng)絡的具體內(nèi)容。 Wep的加密技術為無線網(wǎng)絡用戶提供了152位、128位，最短的也在40位長度的不同密鑰算法的機制。如果當無線上網(wǎng)的信號經(jīng)過了Wep的加密之后，如果本地的無線網(wǎng)絡附近有一些非法用戶，假設他們能夠通過相對專業(yè)的工具進行竊網(wǎng)上的傳輸信號，因為Wep的加密他們也是不能看到具體的內(nèi)容，所以說，通過Wep的加密，數(shù)據(jù)在發(fā)送和傳遞中大大加強了安全性。加上Wep的加密所選用的位數(shù)比較高，所以很多的非法用戶是很難破解無線上網(wǎng)的信號的，Wep的加密的位數(shù)越高無線網(wǎng)絡的安全系數(shù)就會越大。

2.1 Wi-Fi保護接入（WPA）

利用Wi-Fi保護接入?yún)f(xié)議的目的就是為了替換或改善有漏洞的Wep加密方式。采用Wpa有效的密鑰分發(fā)機制，就能實現(xiàn)跨越不同廠商之間的無線網(wǎng)卡的應用。Wpa使無線網(wǎng)絡在公共場所安全地部署變成現(xiàn)實。Wep的最大缺陷就是他的加密密鑰不是動態(tài)而是靜態(tài)的，如果是Wpa就能實現(xiàn)隨時的轉(zhuǎn)換密鑰的功能。Wpa主要包含802.1x機制和暫時密鑰完整性協(xié)議Tkip。802.1x和Tkip同時為移動的客戶機提供相互認證和動態(tài)密鑰加密的功能。Tkip為Wep引入了一種新的算法，這種新的算法涵蓋了信息完整性碼和數(shù)據(jù)包密鑰構(gòu)建、相關的序列規(guī)則、密鑰生成與分發(fā)功能和擴展的48位初始向量。Wpa還能和802.1x及Eap的認證服務器相互連接。這臺認證服務器主要是用于對用戶證書的保存。這種功能能夠?qū)崿F(xiàn)有效的認證控制和已有信息系統(tǒng)的進一步的集成。Wpa彌補了Wep的安全問題,但是不能解決拒絕服務(Dos)的攻擊。

2.2 臨時密鑰完整性協(xié)議（Tkip）

Tkip是針對無線 Lans安全的 Ieee 802.11i 加密標準的一部分。Tkip 利用帶有 128 密鑰的流密碼進行加密和 64 位的流密碼進行驗證。Tkip是一種基礎性的技術，允許Wpa向下兼容Wep協(xié)議和現(xiàn)有的無線硬件。Tkip與WepP一起工作，組成了一個更長的128位密鑰，并根據(jù)每個數(shù)據(jù)包變換密鑰，使這個密鑰比單獨使用Wep協(xié)議安全許多倍。

可擴展認證協(xié)議（Eap）。通過允許使用任意長度的憑據(jù)和信息交換的任意身份驗證方法，來擴展點對點協(xié)議 （Ppp）。Eap 已被開發(fā)以響應身份驗證方法的不斷增長的需求。通過使用 Eap，可以支持其他身份驗證方案，如令牌卡、一次性密碼、使用智能卡的公鑰身份驗證以及證書等。有Eap的支持，Wpa加密可提供與控制訪問無線網(wǎng)絡有關的更多的功能。

[1]瓦卡（Vacca,J.R.）.無線寬帶網(wǎng)絡技術指南[M].人民郵電出版社，2010，7.

[2]楊哲.無線網(wǎng)絡安全攻防實戰(zhàn)[M].電子工業(yè)出版社，2008，11.