無線網(wǎng)絡(luò)安全問題分析與探討

萬焱

摘要：隨著我國科學(xué)技術(shù)的飛速發(fā)展，無線網(wǎng)絡(luò)技術(shù)在人們生活和工作中也日益發(fā)揮著越來越重要的作用。近幾年，網(wǎng)絡(luò)安全問題逐漸收到社會各界的關(guān)注。文章從宏觀的層面對無線網(wǎng)絡(luò)技術(shù)存在的威脅做了簡要的述評，又在這個基礎(chǔ)之上分析了無線設(shè)備的安全性，著重介紹了無線網(wǎng)絡(luò)安全策略，在這個基礎(chǔ)之上提出了解決無線網(wǎng)絡(luò)安全的幾種方案，以供參考。

關(guān)鍵詞：無線網(wǎng)絡(luò)；安全；分析；探討

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）36-0007-02

隨著我國科學(xué)技術(shù)的飛速發(fā)展，無線網(wǎng)絡(luò)技術(shù)在人們生活和工作中也發(fā)揮著越來越重要的作用。相應(yīng)的，網(wǎng)絡(luò)安全問題也逐漸收到社會各界的關(guān)注。與有限網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)可以隨時在網(wǎng)絡(luò)覆蓋的區(qū)域?qū)崿F(xiàn)網(wǎng)絡(luò)連接，比有限網(wǎng)絡(luò)更加的快捷方便，再加上近幾年筆記本電腦和智能手機(jī)的飛速發(fā)展及普及，無線網(wǎng)絡(luò)的應(yīng)用更加的普遍。但是，在無線網(wǎng)絡(luò)飛速發(fā)展的同時，網(wǎng)絡(luò)的安全隱患也日益突出。

1 無線網(wǎng)絡(luò)存在的安全威脅

1.1 通訊的干擾

無線網(wǎng)絡(luò)的飛速發(fā)展和普及，給一些不法分子竊取客戶隱私信息提供了機(jī)會。這種干擾很有可能導(dǎo)致客戶信號中斷，使客戶無法正常訪問應(yīng)用，一些更加高級的攻擊甚至還有可能中斷與真實基站的鏈接，在這個基礎(chǔ)之上連接到一些欺詐的站點，給客戶的日常生活和工作帶來了極大的安全隱患。此外，現(xiàn)在社會上，還有的不法分子在客戶現(xiàn)有的鏈接之上，惡意的添加數(shù)據(jù)，并且發(fā)送一些錯誤的命令來誤導(dǎo)客戶。

1.2 對客戶的欺詐

這方面，大體上可以總結(jié)為以下四個方面：首先欺詐網(wǎng)絡(luò)接入點。攻擊者會試圖設(shè)置欺詐接入點冒充網(wǎng)絡(luò)資源，一旦攻擊者操作成功，其就會在客戶不知情的情況下竊取客戶的隱私，這給客戶的安全隱私造成了極大的威脅；其次，無線網(wǎng)絡(luò)的威脅還體現(xiàn)在它的匿名性上面，對于無線網(wǎng)絡(luò)來說，由于其沒有有效的網(wǎng)絡(luò)進(jìn)行定位，再加上定向設(shè)備的缺乏，一些不法分子會在匿名的情況下對客戶進(jìn)行攻擊，這給網(wǎng)絡(luò)犯罪案件的偵破造成了極大的難度；再次，就是客戶到客戶的攻擊。攻擊者一旦對一個客戶攻擊成功，其很可能就會進(jìn)一步訪問公司或者是某個組織的網(wǎng)絡(luò)，由于大多數(shù)網(wǎng)絡(luò)管理員沒有對其自身的工作站進(jìn)行加固，不法分子對無線網(wǎng)絡(luò)連接成功的客戶再次進(jìn)行攻擊，危害性特別大。

2 無線網(wǎng)絡(luò)存在的安全技術(shù)

現(xiàn)代社會，無線技術(shù)應(yīng)用的范圍相當(dāng)廣泛，相應(yīng)的無線網(wǎng)絡(luò)的安全問題也越受到社會各界的關(guān)注。從目前的情況來看，現(xiàn)階段無線網(wǎng)絡(luò)的安全性主要在用戶認(rèn)證以及數(shù)據(jù)加密兩個方面體現(xiàn)。用戶認(rèn)證方面主要是保證涉及到一些保密性的數(shù)據(jù)只有在授權(quán)的情況下允許被訪問，而數(shù)據(jù)加密則是保證目標(biāo)數(shù)據(jù)被指定用戶進(jìn)行讀取。由于無線網(wǎng)絡(luò)的無線傳輸是在空氣中進(jìn)行輻射傳播，黑客極有可能在AP所覆蓋的位置設(shè)置攔截破壞用戶的數(shù)據(jù)通訊，所以說無線網(wǎng)絡(luò)的安全問題就顯得尤為重要。

2.1 傳統(tǒng)的無線網(wǎng)絡(luò)安全技術(shù)

傳統(tǒng)的無線網(wǎng)絡(luò)安全技術(shù)會利用IEEE802.11b來設(shè)置擴(kuò)展服務(wù)區(qū)的標(biāo)識符，以此來限制不法信號的接入。這種安全措施會在每個AP內(nèi)部設(shè)置一個服務(wù)區(qū)域認(rèn)證的ID，只有在AP和無線終端的ESSID匹配成功后，其才會接受無線終端的訪問，如果不匹配就拒絕服務(wù)，簡單的來說，就是ESSID提供了一個可以明確無線局域網(wǎng)邊界的方法，讓與其相同的無線設(shè)備同在一個無線網(wǎng)絡(luò)內(nèi)部。但是，對于無線互聯(lián)網(wǎng)來說，ESSID并不是一個最好的安全性措施，這是因為大部分的AP通常在自己的信標(biāo)中來對自己的ESSID進(jìn)行播放，而有些技術(shù)比較先進(jìn)的黑客也可以通過其他的手段實現(xiàn)，安全性也存在著一定的隱患。

2.2 WEB的安全解決方案

無線網(wǎng)絡(luò)安全的另外一個實現(xiàn)手段就是可以通過WEP協(xié)議來對數(shù)據(jù)進(jìn)行加密?？梢哉f，WEP是經(jīng)過WIFi認(rèn)證的無線局域網(wǎng)所支持的意向最基本的功能，也是IEEE802.11b協(xié)議中最基本的安全保障措施，這項技術(shù)是國際電子與電氣工程師協(xié)會制定的，它的主要功能是防止未經(jīng)授權(quán)的用戶對網(wǎng)絡(luò)進(jìn)行訪問，而WEP主要是對數(shù)據(jù)進(jìn)行加密，以此來防止不法分子對用戶信息的竊聽和盜取。從本質(zhì)上來說，WEP就是對一個對稱性的方案進(jìn)行利用，其在數(shù)據(jù)加密以及解密的過程中使用的是相同的算法和秘鑰，然后通過秘鑰的限制功能把一些非法的訪問排除在外，以此來實現(xiàn)對訪問權(quán)的控制，從而保證數(shù)據(jù)的保密性和安全性。

通過秘鑰的方式來對數(shù)據(jù)進(jìn)行保護(hù)，其關(guān)鍵點在于對算法和密鑰長度的加密。在這方面，WEP采用的是64位的靜態(tài)密鑰，這種加密方法比較容易被黑客破解，而且一般情況下WEP密鑰一般在客戶機(jī)中進(jìn)行鎖定，如果客戶機(jī)丟失的話，其也有被暴露的風(fēng)險。而且如果密鑰被分配的越廣泛，其被泄露的可能性就越大。

2.3 新一代的無線安全技術(shù)

新一代的無線安全技術(shù)主要指的是IEEE802.Lli，其采用的是動態(tài)密鑰的方式，當(dāng)無線客戶端對接入點設(shè)備完成第一次回話后，其就會自動生成下一次對話的128位新密鑰，所以，從這個層面上來講，這種密鑰對每次的網(wǎng)絡(luò)對話都具有唯一性，這種動態(tài)的密鑰比靜態(tài)的密鑰安全性更高，而且可以幫助用戶從手動輸入的繁雜工作中解脫出來，提升了用戶的體驗感，也確保每個用戶都能擁有一個持續(xù)變更的密鑰來防止黑客的入侵，從這個層面上來說，動態(tài)的密鑰大大提升了網(wǎng)絡(luò)的整體安全性。

2.4 802.1x的解決方案

關(guān)于802.1x的解決方案，其是通過以下過程來實現(xiàn)的：其第一步要在一個WLAN中對接入點與客戶機(jī)的通訊請求進(jìn)行滿足，然后利用客戶機(jī)提供的用戶名和口令，在802.1x和EAP構(gòu)架系統(tǒng)的基礎(chǔ)上對客戶機(jī)進(jìn)行驗證，而且這種驗證是雙向的。在這方面，我們可以以Cisco公司提供的方法為參考：客戶機(jī)會收到一個由RADIUS發(fā)送的詢問驗證，客戶機(jī)在對單向口令記性散列信息。這個時候， RADIUS服務(wù)器也會產(chǎn)生一個響應(yīng)，然后將這兩個響應(yīng)進(jìn)行對比，而RADIUS則會對客戶機(jī)進(jìn)行驗證，整個過程其會自動的進(jìn)行逆向的重復(fù)，在這個過程中，會實現(xiàn)對客戶機(jī)介入點的身份驗證。身份驗證完之后，RADIUS服務(wù)器會和客戶機(jī)確定一個新的密鑰，而這個密鑰跟別的客戶機(jī)是不一樣的，整個過程在實現(xiàn)之后，客戶會得到一個合適的網(wǎng)絡(luò)權(quán)限，這個訪問權(quán)限的安全性與LAN是非常相似的。取得這個權(quán)限之后，客戶機(jī)就會實現(xiàn)對密鑰的加載。第三步，RADIUS服務(wù)器會通過有限的LAN發(fā)送一個會話密鑰給節(jié)瑞安，這個時候，廣播密鑰就會被接入點進(jìn)行加密，在這一切結(jié)束之后其才會發(fā)送給客戶機(jī)，這個時候客戶機(jī)會對會話密鑰進(jìn)行再次解密。待這一切都完成之后，客戶機(jī)和接入點則會對WEP進(jìn)行解密，整個使用的過程中，用戶的信息都會得到有效的保護(hù)，而且可以避免用戶的信息被不法用戶所竊聽?？梢哉f，這也是保證無線網(wǎng)絡(luò)安全的一種比較有效的方式

2.5 虛擬的專用網(wǎng)絡(luò)

上訴的802.1x基本上還是屬于第二層的曲線網(wǎng)絡(luò)安全技術(shù)，在網(wǎng)路的第三層其則會提供更高強(qiáng)度的機(jī)密算法——VPN，即虛擬專網(wǎng)，這項技術(shù)是一種更為理想的WLAN安全解決方案。通俗的來講，虛擬專用網(wǎng)指的是一個建立在公共的IP網(wǎng)絡(luò)平臺上，通過隧道以及加密的技術(shù)來實現(xiàn)數(shù)據(jù)及網(wǎng)絡(luò)安全性的一項技術(shù)，簡單的來說，VPN在公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中部署的一種網(wǎng)絡(luò)，其安全性可以與專用網(wǎng)絡(luò)相媲美，而且可管理性比較高，如果對VPN進(jìn)行一句話概括的話，其就是將一條128位的動態(tài)密碼建立在客戶端以及企業(yè)LAN之間，而且還支持用戶身份驗證，其安全級別更高。具體的來說，VPN協(xié)議主要包括第二層協(xié)議和第三層協(xié)議，Ipsec是標(biāo)準(zhǔn)的第三層協(xié)議，其主要作用是對IP數(shù)據(jù)或者上層數(shù)據(jù)進(jìn)行保護(hù)，與其他技術(shù)相比，其具有自定義的功能，可以實現(xiàn)對部分?jǐn)?shù)據(jù)的保護(hù)，并選擇合適的保護(hù)措施。嚴(yán)格意義上來講，VPN技術(shù)是不屬于802.11的標(biāo)準(zhǔn)定義的，與其相比，VPN技術(shù)的功能更加的強(qiáng)大，其加密的方法也更加的可靠，傳輸?shù)募夹g(shù)也更加的安全，從使用的層面來講，其可以與WEP技術(shù)實現(xiàn)互補(bǔ)。但是VPN技術(shù)只適用于具有Radius服務(wù)器的情況，而且需要提供經(jīng)過安全認(rèn)證和擊飛的網(wǎng)絡(luò)環(huán)境，所以成本較其他技術(shù)比較高，從目前的情況來看，其使用的范圍主要集中在大型企業(yè)以及對網(wǎng)絡(luò)安全性要求較高的組織場所。

以上就是現(xiàn)階段主要的用于保證無線網(wǎng)絡(luò)安全的技術(shù)手段，隨著無線技術(shù)的發(fā)展其對人類生活的影響也會越來越大，網(wǎng)絡(luò)安全也會更加受到大眾的關(guān)注，隨著科學(xué)技術(shù)的發(fā)展，相信會有更加成熟的技術(shù)來對無線網(wǎng)絡(luò)的安全進(jìn)行保證。

3 關(guān)于無線網(wǎng)絡(luò)的安全措施選擇

要想解決網(wǎng)絡(luò)安全中存在的問題，我們可以從以下幾個方面進(jìn)行考慮：

3.1 對訪問端進(jìn)行控制

這種控制方法從實質(zhì)上來說就是依據(jù)用戶的身份，或者是其所歸屬的某一種屬性的限定來實現(xiàn)對用戶的限制，這種限制可以是某些信息的限制也可以是對某些功能的限制。一般情況下，訪問控制分為以下兩種，一種是服務(wù)區(qū)域認(rèn)證ID技術(shù)，一種是MAC地址。MAC地址過濾方面，其實現(xiàn)的功能簡單的說就是其路由器只允許某些MAC地址的網(wǎng)絡(luò)設(shè)備進(jìn)行通訊。每個無線工作站的網(wǎng)卡在其出廠的時候就已經(jīng)被設(shè)定了，這個時候它就具備了唯一性，這個時候，我們就可以利用他的唯一性來實現(xiàn)對物理地址的過濾。然而，這種方案存在著一定的缺陷，這個缺陷就是MAC地址缺陷，在這個方案中，MAC地址有可能會被偽造，而且，其在不同的AP間也無法實現(xiàn)漫游，十分的不方便。實質(zhì)上來說，這種授權(quán)方式屬于比較低級的授權(quán)方式，理想狀態(tài)下，其可以防止一些不發(fā)用戶對無線網(wǎng)絡(luò)進(jìn)行攻擊，在一定程度上可以減少某些不法用戶對對無線網(wǎng)路造成的威脅，對無線網(wǎng)絡(luò)的安全具有一定的保護(hù)作用；而服務(wù)區(qū)域認(rèn)證ID技術(shù)，也就是我們通常所說的SSID，其則是根據(jù)單個內(nèi)具體的AP內(nèi)部，對區(qū)域認(rèn)證ID進(jìn)行對應(yīng)的設(shè)置，只有當(dāng)SSID與自身的ID一致的時候，其才會允許無線終端設(shè)備進(jìn)行鏈接，在一致的情況下，AP才會接受相應(yīng)的訪問，并為其進(jìn)行網(wǎng)絡(luò)服務(wù)，這一方案同樣也存在著一定的缺陷，也有被竊取信息的隱患存在，其網(wǎng)絡(luò)安全性也一般。

3.2 對數(shù)據(jù)進(jìn)行加密

根據(jù)之前所述，最開始的數(shù)據(jù)加密方式是從WEB加密開始的，后來又發(fā)展到WPA階段，到后來的WPA2協(xié)議，可以說，其安全防范的效果隨著科學(xué)技術(shù)的進(jìn)步越來越好，效果也越來越佳，這個時候最基本的保密方式WEP就顯得有點脆弱了。具體到我國的實際情況來說，關(guān)于無線的安全標(biāo)準(zhǔn)一般是由WAI和WPI兩部分組成，這兩部分的功能分別是實現(xiàn)用戶身份的鑒別以及數(shù)據(jù)加密功能，前半部分采用的是公鑰證書的體制，后半部分則是采用對稱密碼算法進(jìn)行加密和解密，可以說，這種方案也是較為安全的一種保障方式。

3.3 關(guān)于動態(tài)安全鏈路技術(shù)

如上所述，WEP和WEP2兩種技術(shù)對于實現(xiàn)無線網(wǎng)絡(luò)的安全，都存在著不同程度的缺陷。在這個基礎(chǔ)之上，著名的3COM公司在原有的基礎(chǔ)上，對WEP進(jìn)行了擴(kuò)展，其現(xiàn)在提供的是市場上級別比較高的第二層安全。另一方面，與WEP2不一樣的是，動態(tài)安全鏈路技術(shù)采用的鑰匙是采用的是動態(tài)分配的方式，WEP2則是純手動的。具體的來說，動態(tài)安全鏈路會針對每一個Session生成一把鑰匙，在同一個會話期間，鑰匙的改變次數(shù)也只有一次。所以，跟其他 的技術(shù)比起來，動態(tài)鏈接的技術(shù)在安全性上還是比較好的。

參考文獻(xiàn)：

[1] MUIRURI JEFF. 基于Metasploit滲透攻擊的無線網(wǎng)絡(luò)安全研究[D].蘭州理工大學(xué)，2016.

[2] 王亞超. 基于層次分析的無線網(wǎng)絡(luò)安全風(fēng)險評估方法[D].中國民航大學(xué)，2015.

[3] 雒慧霞. 基于加密算法和動態(tài)模型的無線網(wǎng)絡(luò)安全技術(shù)研究[D].蘭州大學(xué)，2015.

[4] PHILAVANH PHONVIPHONE. 基于無線網(wǎng)絡(luò)安全協(xié)議驗證方法的研究[D].蘭州交通大學(xué)，2015.