無線網(wǎng)絡(luò)安全問題分析及防御對策研究

潘仰峰

(中國移動通信集團江蘇有限公司 鹽城分公司，江蘇 鹽城 224000)

一 無線網(wǎng)絡(luò)存在的安全問題

(一)非法竊聽

無線網(wǎng)絡(luò)通信中，全部數(shù)據(jù)信息都是通過無線信道完成傳輸?shù)模绻欠ǚ肿泳哂辛己玫臒o線設(shè)備，可以輕松竊聽到無線信道的數(shù)據(jù)信息。而且，無線局域網(wǎng)中傳輸?shù)臄?shù)據(jù)信息更容易被非法竊聽，雖然無線局域網(wǎng)的通信設(shè)備傳輸距離有限、發(fā)射頻率較低，但是，非法分子仍然可以利用高增益天線越過傳輸距離進(jìn)行非法竊聽。

(二)假冒攻擊

假冒攻擊指的是一個實體假裝成另外一個實體對無線網(wǎng)絡(luò)發(fā)起訪問，這是對安全防線發(fā)起入侵的普遍方法。無線網(wǎng)絡(luò)通信中的移動站、控制中心和其他移動站之間沒有任何物理連接，移動站的身份信息只能通過無線信道傳輸，傳輸?shù)倪^程中極有可能遭到竊聽，當(dāng)非法入侵者竊聽到一個合法用戶的身份信息時，就可以假冒該合法用戶對網(wǎng)絡(luò)進(jìn)行攻擊。

(三)信息篡改

信息篡改指的是非法入侵者將獲取到的數(shù)據(jù)信息進(jìn)行修改，再將數(shù)據(jù)信息傳送到接收端，一是對合法身份用戶的通信數(shù)據(jù)進(jìn)行惡意破壞，使得合法用戶之間無法建立網(wǎng)絡(luò)連接;二是將篡改后的數(shù)據(jù)信息傳輸給接收端，使得接收者相信并使用篡改后的數(shù)據(jù)信息，這對信令傳輸將造成極大威脅。

(四)重傳攻擊

重傳攻擊指的是非法入侵者將獲取到的數(shù)據(jù)信息放置一段時間之后重新傳輸給接收者，目的是將數(shù)據(jù)信息在已經(jīng)發(fā)送變化的環(huán)境下仍然具有有效的功能。而且，無線網(wǎng)絡(luò)通信設(shè)備的失竊風(fēng)險比較嚴(yán)重，設(shè)備不僅僅作為一個通信工具，還存儲著大量的用戶隱私信息，因此，對于無線網(wǎng)絡(luò)通信設(shè)備的失竊保護(hù)也非常重要。

二 無線網(wǎng)絡(luò)的安全保障機制

(一)數(shù)據(jù)加密機制

當(dāng)數(shù)據(jù)加密密鑰與解密密鑰不相同時，說明每一個用戶同時擁有公開密鑰和秘密密鑰兩個密鑰，則其成為非對稱密碼系統(tǒng)。任意人員都可以使用一個用戶的公開密鑰，將數(shù)據(jù)信息進(jìn)行加密之后在發(fā)送給該用戶，但是只要該用戶能夠使用自己的秘密密鑰對數(shù)據(jù)信息進(jìn)行解密，沒有秘密密鑰的人員無法對數(shù)據(jù)信息解密。公鑰密碼的算法非常復(fù)雜，不適用于無線網(wǎng)絡(luò)的通信傳輸，否則會耗費大量的系統(tǒng)資源。

(二)身份認(rèn)證機制

身份認(rèn)證機制需要提供雙方的身份信息，防止非法人員假冒合法用戶身份。身份認(rèn)證在密碼學(xué)中主要是檢驗證明一方是否能夠提供秘密答案，例如提供證明一方和驗證一方共有的秘密密鑰等等。由于身份認(rèn)證方案是在運算簡單的算法基礎(chǔ)之上，因此適用于無線網(wǎng)絡(luò)通信中的用戶身份認(rèn)證。

(三)不可否認(rèn)機制

數(shù)字簽名技術(shù)的用于不可否認(rèn)機制，目的是防止一方發(fā)生抵賴現(xiàn)象。數(shù)字簽名技術(shù)具有以下幾種優(yōu)勢：一是采用電子數(shù)據(jù)信息形式，適用于在網(wǎng)絡(luò)中傳輸;只有掌握秘密密鑰的人員才能生成數(shù)字簽名，偽造數(shù)字簽名現(xiàn)象得以遏制;完成對整個消息的數(shù)字簽名后不可更改。

三 無線網(wǎng)絡(luò)的安全問題防御對策

(一)防火墻系統(tǒng)

防火墻系統(tǒng)由軟件部分和硬件部分共同構(gòu)成，在兩個網(wǎng)絡(luò)之間進(jìn)行設(shè)置進(jìn)行隔離。防火墻系統(tǒng)的控制策略由使用人員自行配置，以此保證內(nèi)網(wǎng)與外網(wǎng)之間的安全連接。防火墻系統(tǒng)的主要功能包括阻止和允許兩種。通常情況下，防火墻系統(tǒng)的主要任務(wù)是阻止控制，防火墻系統(tǒng)的兩個分組過濾路由器屬于標(biāo)準(zhǔn)路由器，但同時能夠?qū)Ψ纸M數(shù)據(jù)信息進(jìn)行檢查，一個路由器負(fù)責(zé)檢查進(jìn)入內(nèi)網(wǎng)的分組數(shù)據(jù)，另一個路由器負(fù)責(zé)檢查內(nèi)網(wǎng)輸出的分組數(shù)據(jù)，將符合安全條件的分組信息設(shè)置通過。

(二)虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)(VPN)在互聯(lián)網(wǎng)傳輸?shù)膬?nèi)部數(shù)據(jù)報是已經(jīng)完成加密的，因此，虛擬專用網(wǎng)絡(luò)在互聯(lián)網(wǎng)上經(jīng)過的路由器都無法掌握內(nèi)部數(shù)據(jù)報的內(nèi)容，例如：一個企業(yè)的部門A到部門B就是一條VPN隧道。VPN具有以下幾個特點：一是能對兩個網(wǎng)絡(luò)節(jié)點或者兩個網(wǎng)絡(luò)之間的數(shù)據(jù)通信進(jìn)行加密;二是VPN是基于軟件實現(xiàn)的，能夠提供不同級別的加密。因此，VPN的建立能夠?qū)崿F(xiàn)異地辦公的網(wǎng)絡(luò)通信安全。

(三)遠(yuǎn)程身份驗證撥入用戶服務(wù)

遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)主要包括三種網(wǎng)絡(luò)安全控制功能：一是身份認(rèn)證，通過一個網(wǎng)絡(luò)安全控制中心對任意一個遠(yuǎn)程用戶的口令和密碼進(jìn)行驗證，當(dāng)確認(rèn)用戶用后合法身份時才能夠?qū)o線網(wǎng)絡(luò)發(fā)起訪問;二是用戶授權(quán)，每一個新的連接都為遠(yuǎn)程無線局域網(wǎng)用戶的訪問點提供需要的信息。三是日志記錄，能夠記錄遠(yuǎn)程無線局域網(wǎng)的連接信息，包括連接時間、用戶身份等等。而且，RADIUS還可以實現(xiàn)雙向用戶身份認(rèn)證，由此，非法入侵者就無法實現(xiàn)假冒合法用戶身份對網(wǎng)絡(luò)發(fā)起攻擊。

四 結(jié)論

綜上所述，無線網(wǎng)絡(luò)通信與有線網(wǎng)絡(luò)通信相比，不會受到網(wǎng)線接口、網(wǎng)絡(luò)設(shè)備等物理區(qū)域的限制，數(shù)據(jù)傳輸更為簡單快捷。隨著筆記本電腦的普及，無線網(wǎng)絡(luò)的應(yīng)用也愈加廣泛，無線網(wǎng)絡(luò)的通信安全是網(wǎng)絡(luò)安全領(lǐng)域的重點研究，本文提出的無線網(wǎng)絡(luò)安全防御對策具有一定的理論指導(dǎo)意義。

[1]池水明，孫斌.無線網(wǎng)絡(luò)安全風(fēng)險及防范技術(shù)芻議[J].信息網(wǎng)絡(luò)安全.2012(03)

[2]宋玲.淺議無線網(wǎng)絡(luò)的安全隱患與防范措施[J].科技信息.2012(10)