郭瑞?李婷婷?龐靜超

摘 要：隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，無線網(wǎng)絡(luò)技術(shù)以獨特的優(yōu)點，被許多企業(yè)、政府、家庭所使用。與有線網(wǎng)絡(luò)相比較，WLAN難以采用隔離等物理手段來滿足網(wǎng)絡(luò)的安全要求，因此保護WLAN安全的難度要遠大于保護有線網(wǎng)絡(luò)。

關(guān)鍵字：無線網(wǎng)絡(luò)；安全；技術(shù)

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，無線網(wǎng)絡(luò)技術(shù)以獨特的優(yōu)點，被許多企業(yè)、政府、家庭所使用，由于無線網(wǎng)絡(luò)傳送的數(shù)據(jù)是利用電磁波在空中輻射傳播，而電磁波能夠穿越天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點（AP：Access Point）的服務(wù)區(qū)域中，任何一個無線客戶端都可以接收到此接入點的電磁波信號。這種傳播方式是發(fā)散的、開放的，這給數(shù)據(jù)安全帶來了諸多潛在的隱患。與有線網(wǎng)絡(luò)相比較，WLAN難以采用隔離等物理手段來滿足網(wǎng)絡(luò)的安全要求，因此保護WLAN安全的難度要遠大于保護有線網(wǎng)絡(luò)。而我們也已經(jīng)逐步意識到必須專門為WLAN設(shè)計安全防護機制，才能最大限度地保護數(shù)據(jù)在WLAN中傳輸?shù)陌踩?。因此，探討新形勢下無線網(wǎng)絡(luò)安全的應(yīng)對之策，對確保無線網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)運行質(zhì)量具有十分重要的意義。

1.無線網(wǎng)絡(luò)安全問題

無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線在合適的范圍內(nèi)對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大安全隱患。還有的部分設(shè)備、技術(shù)不完善，導致網(wǎng)絡(luò)安全性受到挑戰(zhàn)。

進行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。Netstumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動狀態(tài)，如果沒有關(guān)閉AP（無線基站）廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、SSID（安全集標識符）等可給黑客提供入侵的條件。同時，許多用戶由于安全意識淡薄，沒有改變?nèi)笔〉呐渲眠x項，而缺省的加密設(shè)置都是比較簡單或脆弱，容易遭受黑客攻擊。

除通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡(luò)。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術(shù)前，通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

目前無線網(wǎng)絡(luò)受到的主要威脅是：傳輸?shù)臄?shù)據(jù)被偷聽、傳輸?shù)臄?shù)據(jù)被中途截獲或修改、拒絕服務(wù)（DOS）、偶然威脅（合法訪問者可能在啟動便攜式計算機時無意間連接了我們的網(wǎng)絡(luò)，然后自動連接到單位的WLAN。

2.基于協(xié)議的無線網(wǎng)絡(luò)安全技術(shù)

MAC地址過濾：每個網(wǎng)絡(luò)適配器都有唯一的MAC地址，可以利用MAC地址過濾方式控制用戶終端的接入但IEEE 802.11x協(xié)議在數(shù)據(jù)鏈路層認證上的缺陷使MAC地址容易被獲取和偽造，這樣會給虛假AP和非法客戶終端提供可乘之機。MAC地址認證通常用在功能單一、硬件性能較差的的固定終端設(shè)備匕，例如攝像頭、打印機等。

AP隔離：主要采用數(shù)據(jù)報文傳送地址分析法，讓各個接入的無線客戶端之間相互保持隔離，被隔離用戶不能通過網(wǎng)巨鄰居互相訪問，類似有線網(wǎng)絡(luò)的VLAN技術(shù)，提供彼此間更加安全的接入。

WEP（有線等效加密）：主要在身份認證和數(shù)據(jù)傳輸時對信息進行加密，其數(shù)據(jù)校驗算法是CRC32，加密算法是RC4，可以生成長度為40bit的密鑰。但因為是靜態(tài)非交換式密鑰，各用戶終端使用的密鑰相同，會被快速破解。

在無線局域網(wǎng)中，如果使用了無線局域網(wǎng)接入點首先要啟用WEP功能，并記下密鑰，然后在每個無線客戶端啟用WEP，并輸入該密鑰，這樣就可以保證安全連接。在無線客戶端啟用的方法如下：在windowsXP中，首先，右鍵單擊任務(wù)欄無線網(wǎng)絡(luò)連接圖標，選擇“查看可用的無線連接”，在打開的窗口中單擊“高級”按鈕；接著，在打開的屬性窗口中選擇“無線網(wǎng)絡(luò)配置”選項卡，在“首選網(wǎng)絡(luò)”中選擇搜索到的無線網(wǎng)絡(luò)連接，單擊“屬性”按鈕。然后，在打開的屬性窗口中選中“數(shù)據(jù)加密（WEP啟用）”，去掉“自動為我提供此密鑰”，在“網(wǎng)絡(luò)密鑰”中輸入在無線AP中創(chuàng)建的一個密鑰。最后，單擊“確定”按鈕即可。

EAP（可擴展認證協(xié)議技術(shù)）：是執(zhí)行身份驗證的網(wǎng)絡(luò)工程任務(wù)小組（IETF）標準。它可用于多種基于密碼、公鑰許可證或其他憑據(jù)的不同身份驗證方法。因為EAP是一種可插入身份驗證方法，因此有多種不同的EAP類型。最佳的EAP類型實質(zhì)上使用加密來保護身份驗證會話，并能在過程中動態(tài)生成用于加密的密鑰。

WPA（Wi-Fi Protected Aecess，Wi-Fi安全存?。榱藦浹aWEP的缺陷，采用了暫時密鑰完整協(xié)議（TKIP），雖然加密算法仍是RC4，但是能生成128bit的動態(tài)密鑰。WPA數(shù)據(jù)校驗算法為Michael，IV長度也增加到48bit。另外還使用可擴展身份驗證協(xié)議（EAP），對用戶終端進行身份認證。所以，WPA包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分，整體安全性大大提高。

WPA用戶認證是使用802.1x和擴展認證協(xié)議來實現(xiàn)的。在802.11標準里，802.1x身份認證是可選項，在WPA里802.1x身份認證是必選項。對于加密，WPA使用臨時密鑰完整性協(xié)議TKIP的加密是必選項。TKIP使用了一個新的加密算法取代了WEP，比WEP的加密算法更強壯，同時還能使用現(xiàn)有的無線硬件上提供的計算工具去實行加密的操作。WPA標準里包括了下述的安全特性：WPA隊認證、WPA以加密密鑰管理、臨時密鑰完整性協(xié)議、Michael消息完整性編碼（MIC）、高級加密標準（AES）支持。

盡管有如此相對完善的安全策略，但是WLAN安全性仍是大多數(shù)單位采用無線局域網(wǎng)的大障礙。隨著科學技術(shù)的發(fā)展，無線網(wǎng)絡(luò)將會面臨更多的威脅，這需要我們不斷的發(fā)展完善無線網(wǎng)絡(luò)安全技術(shù)。

參考文獻

1.林敏，陳少涌.無線校園網(wǎng)安全和融合是關(guān)鍵.中國教育網(wǎng)絡(luò)，2011；

2.馮志勇.認知無線網(wǎng)絡(luò)理論與關(guān)鍵技術(shù).人民郵電出版社，2011；

3.張帆，趙德復.無線網(wǎng)絡(luò)安全探討.華南金融電腦，2009；