無線網(wǎng)絡(luò)的安全問題及應(yīng)對策略

【摘 要】無線網(wǎng)絡(luò)作為信息技術(shù)領(lǐng)域的新興技術(shù)，已經(jīng)進(jìn)入到人們生活的各個領(lǐng)域，然而，它所存在的安全問題卻不容忽視。本文簡要的就目前所存在的安全問題進(jìn)行了分析，同時，介紹了相關(guān)的安全技術(shù)，以提高人們對無線網(wǎng)絡(luò)安全問題的認(rèn)知。

【關(guān)鍵詞】無線網(wǎng)絡(luò)；安全；加密；認(rèn)證

近年來，隨著信息技術(shù)的迅猛發(fā)展，信息技術(shù)已經(jīng)逐步滲透到人們生活的方方面面，成為人們?nèi)粘Ｉ?、工作、學(xué)習(xí)不可或缺的重要組成部分。無線網(wǎng)絡(luò)作為一種與有線網(wǎng)絡(luò)功能用途極為相似，卻可以不受有線傳輸介質(zhì)約束的通信技術(shù)，使通信擺脫了時間、地點(diǎn)和對象的束縛，極大地方便了人們的生活。尤其是以無線局域網(wǎng)（WLAN）為代表的無線網(wǎng)絡(luò)的應(yīng)用，更是在社會各個領(lǐng)域得到了廣泛的應(yīng)用。然而，無線網(wǎng)絡(luò)也正是因?yàn)樗目梢苿有?、靈活性、可擴(kuò)展性等的一系列特點(diǎn)，在為人們工作生活帶來極大便利的同時，也為使用者埋下了安全的隱患。

一、無線網(wǎng)絡(luò)安全現(xiàn)狀

目前，無線網(wǎng)絡(luò)可以說遍布我們每個人的身邊，應(yīng)用無處不在，從公眾的internet接入服務(wù)，到移動警務(wù)，再到遠(yuǎn)程無線醫(yī)療等等?？梢哉f，無線網(wǎng)絡(luò)的安全問題涉及到我們每個人，因此，無線網(wǎng)絡(luò)的安全問題也顯得尤為重要。

與雙絞線和光纖等有線接入方式不同，只要處于無線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)，就可以接收到無線網(wǎng)絡(luò)信號，并且接入到無線網(wǎng)絡(luò)。因此，無線網(wǎng)絡(luò)的安全管理相對較為復(fù)雜。就現(xiàn)階段來看，無線網(wǎng)絡(luò)的安全問題主要表現(xiàn)在以下幾個方面：無線網(wǎng)絡(luò)的開放性使其更容易被發(fā)現(xiàn)，加之無線網(wǎng)絡(luò)設(shè)備使用者在使用過程中，缺乏必要的基礎(chǔ)知識，導(dǎo)致設(shè)備設(shè)置不合理，從而使非法入侵者有機(jī)可乘；無線網(wǎng)絡(luò)中身份認(rèn)證機(jī)制不明確，如果用戶在無線網(wǎng)絡(luò)內(nèi)私設(shè)無線AP、無線路由器以及無線交換機(jī)等設(shè)備，就使得非法用戶可隨意訪問網(wǎng)絡(luò)，造成數(shù)據(jù)和信息的丟失；忽視無線網(wǎng)絡(luò)的客戶端安全性配置，大多數(shù)用戶在使用無線網(wǎng)絡(luò)時均會使用設(shè)備的默認(rèn)配置，這給非法用戶帶來了極大的便利，可輕而易舉的獲得網(wǎng)絡(luò)使用權(quán)限；無線網(wǎng)絡(luò)自身的傳輸特點(diǎn)，使得所有在無線網(wǎng)絡(luò)節(jié)點(diǎn)覆蓋的區(qū)域內(nèi)的所有無線設(shè)備都可能接收到由微波輻射出來的傳輸數(shù)據(jù)，因此，無線網(wǎng)絡(luò)在安全性上相對于有線網(wǎng)絡(luò)要顯得弱些。

二、應(yīng)對策略

1.加密方式

（1）WEP加密：WEP（wired equivalent privacy）是最早出現(xiàn)的加密方式，它是一套安全服務(wù)，用來防止IEEE 802.11網(wǎng)絡(luò)受到非授權(quán)用戶的訪問。利用自動無線網(wǎng)絡(luò)配置，可以指定進(jìn)入網(wǎng)絡(luò)時用于身份認(rèn)證的網(wǎng)絡(luò)密鑰。也可以指定使用哪個網(wǎng)絡(luò)密碼來對通過該網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。啟用數(shù)據(jù)加密時，生成共享加密密鑰，并由源臺和目標(biāo)臺來改變幀位，因而可以避免泄漏給偷聽者。

（2）TKIP加密：TKIP（Temporal Key Integrity Protocol）是暫時密鑰集成協(xié)議，負(fù)責(zé)處理無線安全問題的加密部分。TKIP沿用了RC4算法，但它的密碼使用的密鑰長度由WEP的40位增加到128位，初始化向量IV的長度也由24位增加到48位。TKIP可以隨時變化每個數(shù)據(jù)包所使用的密鑰，密鑰通過多種因素混合在一起生成，包括基本密鑰（TKIP中的成對瞬時密鑰）、發(fā)射站的MAC地址以及數(shù)據(jù)包的序列號，這增加了密碼的破譯強(qiáng)度，使它不能被輕易破解。同時，以數(shù)據(jù)包的序列號作為初始化向量，確保了每個數(shù)據(jù)包所使用的密鑰不重復(fù)，這有效地解決了WEP所存在“碰撞攻擊”和“重放攻擊”問題。

（3）AES加密：Advanced Encryption Standard（高級加密標(biāo)準(zhǔn)），是美國國家標(biāo)準(zhǔn)與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范，該算法匯聚了設(shè)計簡單、密鑰安裝快、需要的內(nèi)存空間少、在所有的平臺上運(yùn)行良好、支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點(diǎn)。AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192和256位密鑰，并且用128位（16字節(jié)）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換（permutations）和替換（substitutions）輸入數(shù)據(jù)。

2.認(rèn)證方式

IEEE802.1X是實(shí)現(xiàn)無線網(wǎng)絡(luò)認(rèn)證的最佳手段之一。IEEE802.1X依賴于RADIUS（遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)）網(wǎng)絡(luò)身份驗(yàn)證和授權(quán)服務(wù)來驗(yàn)證網(wǎng)絡(luò)客戶端的憑據(jù)。802.1X使用EAP來打包解決方案不同組件間的身份驗(yàn)證會話，并生成保護(hù)客戶端與網(wǎng)絡(luò)訪問硬件暢通的密鑰。部署RADIUS并不困難。如果用戶采用Microsoft產(chǎn)品，那么可以利用Internet認(rèn)證服務(wù)器（IAS）來幫助部署RADIUS。

對于小型網(wǎng)絡(luò)來說，首先，可以設(shè)置客戶端以便使用PEAP，然后選一臺計算機(jī)設(shè)置好身份驗(yàn)證服務(wù)（IAS），IAS服務(wù)將提供RADIUS連接性。每個IAS服務(wù)都必須擁有一個由自己簽署或從第三方證書頒發(fā)機(jī)構(gòu)購買的數(shù)字證書。

對于大型企業(yè)網(wǎng)絡(luò)來說，可以設(shè)置一個更為靈活的802.1x基礎(chǔ)構(gòu)架。首先，為客戶端獲得數(shù)字證書。在域網(wǎng)絡(luò)中，可以很方便地通過創(chuàng)建組策略來獲得這些證書，組策略能夠自動地為域中的計算機(jī)請求機(jī)器證書。然后，部署所需基礎(chǔ)結(jié)構(gòu)（包括IAS）的剩余部分，將無線AP配置為使用RADIUS來與IAS服務(wù)器進(jìn)行通信。

在認(rèn)證過程中，四次握手協(xié)議是其必要的密鑰管理協(xié)議，它負(fù)責(zé)臨時密鑰的分配和管理，保證了認(rèn)證協(xié)議中密鑰的安全性。其通信過程如下：首先，認(rèn)證者發(fā)送EAPOL-Key消息，此消息中包含ANonce；申請者由ANonce和SNonce產(chǎn)生臨時會話密鑰PTK，發(fā)送EAPOL-Key消息，此時消息中包含SNonce和MIC；然后，認(rèn)證者由ANonce和SNonce產(chǎn)生PTK，并對MIC進(jìn)行校驗(yàn)，發(fā)送EAPOL-Key消息和經(jīng)過加密的GTK；最后，申請者再次發(fā)送EAPOL-Key消息，以確認(rèn)密鑰已經(jīng)安裝。至此，四次握手過程完成。

在四次握手過程中，申請者和認(rèn)證者均基于事先雙方共有的PMK和握手過程中的參數(shù)等，通過函數(shù)分別在各自一端生成PTK，PTK并沒有在雙方之間進(jìn)行傳輸，所以其密鑰的安全性得到了很好的保障。在握手過程完成后，雙方利用PTK中的TK加密通信數(shù)據(jù)信息，使數(shù)據(jù)在傳輸過程中的安全性得以保障。同時，PTK僅在一次會話過程中使用，當(dāng)需要新的會話時，則需要重新建立新的PTK，這種動態(tài)密鑰的建立與管理方式加強(qiáng)了WLAN的安全性能。

當(dāng)然，任何一種安全技術(shù)都存在被破解的可能，就目前所使用的無線網(wǎng)絡(luò)安全技術(shù)來說，它自身的算法和加密過程也同樣存在著不可避免的缺陷，因此在使用過程中，我們?nèi)匀灰⒁庖恍┗镜陌踩渲?，比如：修改admin密碼，修改SSID標(biāo)識，禁止SSID廣播，禁用DHCP服務(wù)等等，同時加強(qiáng)我們自身的安全防范意識，將安全用網(wǎng)進(jìn)行到底。

參考文獻(xiàn)：

[1]劉曉輝.網(wǎng)管天下——網(wǎng)絡(luò)安全管理實(shí)踐[M].電子工業(yè)出版社，2007.

[2]金秀.基于狀態(tài)模型的四次揚(yáng)協(xié)議驗(yàn)證[J].現(xiàn)代計算機(jī)（專業(yè)版），2009（05）.

[3]盛仲飆.WIFI無線網(wǎng)絡(luò)技術(shù)及安全性研究[J].電子設(shè)計工程，2012，16.