無線網(wǎng)絡(luò)安全防護技術(shù)研究

李懷佳

【摘 要】應(yīng)用無線網(wǎng)絡(luò)進行信息通信已經(jīng)成為當前通信網(wǎng)絡(luò)的發(fā)展主流，但是在無線網(wǎng)絡(luò)的發(fā)展過程中所體現(xiàn)出來的安全問題也日益嚴重，如何采用有效的安全防護措施來增強用戶的通信安全是當前無線網(wǎng)絡(luò)發(fā)展中所需考慮的重點問題之一。

【關(guān)鍵詞】無線網(wǎng)絡(luò)；通信；安全

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0114-01

作為有線網(wǎng)絡(luò)的補充和擴展，無線網(wǎng)絡(luò)得到了廣泛的關(guān)注和應(yīng)用，尤其是近年來無線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使得無線傳輸速度和傳輸質(zhì)量與有線網(wǎng)絡(luò)的差距越來越小，而無線網(wǎng)絡(luò)在組網(wǎng)方面相較有線網(wǎng)絡(luò)更加靈活和便捷的特性使得無線網(wǎng)絡(luò)成為當前網(wǎng)絡(luò)部署的主要方式。但是無線網(wǎng)絡(luò)的這種特性也為網(wǎng)絡(luò)用戶帶來了比有線網(wǎng)絡(luò)更多的安全隱患和威脅，如何采取有效措施提高無線網(wǎng)絡(luò)的安全性能是無線網(wǎng)絡(luò)搭建和部署中必須考慮的重點問題之一。

1 無線網(wǎng)絡(luò)中存在的安全問題

由于接入方式與有線網(wǎng)絡(luò)不同，故只要終端設(shè)備在無線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)即可輕松接入網(wǎng)絡(luò)，獲得無線網(wǎng)絡(luò)服務(wù)，但是這種接入方式也為無線網(wǎng)絡(luò)的安全帶來了巨大的威脅。只要在無線覆蓋區(qū)域內(nèi)，任何人均有可能獲得和截取其他用戶的通信數(shù)據(jù)。相較于有線網(wǎng)絡(luò)而言，無線網(wǎng)絡(luò)無法使用物理手段來提升用戶的數(shù)據(jù)安全，因此只能通過安全接入機制來提升網(wǎng)絡(luò)的安全性能。

1.1 訪問控制

目前常用的基于無線網(wǎng)絡(luò)的訪問控制機制有三種形式，分別為MAC地址認證、802.1x認證以及共享密鑰認證。但是多數(shù)無線接入點為方便用戶接入，在上述三種認證機制方面沒有進行合理設(shè)置，這就容易造成非法用戶的惡意接入，非法獲取用戶的通信數(shù)據(jù)。

1.2 數(shù)據(jù)加密

由于無線網(wǎng)絡(luò)的數(shù)據(jù)使用公共信道進行傳輸，為保證某一用戶的通信數(shù)據(jù)不被其他用戶獲取必須設(shè)定必要的數(shù)據(jù)加密機制如WEP加密算法等，但是該算法的保密強度不高，易被破解。IEEE協(xié)會后續(xù)制定的數(shù)據(jù)加密算法雖然提高了數(shù)據(jù)的保密性但是在用戶應(yīng)用方面還沒有得到廣泛的重視。此在，在明文完整性校驗技術(shù)方面CRC校驗只能保證傳輸數(shù)據(jù)的正確性但是無法保證數(shù)據(jù)是加密的。

2 無線網(wǎng)絡(luò)中的安全防護技術(shù)

2.1 MAC過濾技術(shù)

該方式通過對無線AP進行設(shè)置，將允許接入網(wǎng)絡(luò)的無線網(wǎng)卡的物理地址列入接入白名單，在用戶進行通信或者網(wǎng)絡(luò)訪問時AP會對設(shè)備進行判斷，只有允許的設(shè)備才能夠接入網(wǎng)絡(luò)并進行通信。該技術(shù)可以有效的提高無線網(wǎng)絡(luò)的安全性能，這是因為每一設(shè)備的MAC地址是唯一的、不可更改的。但是該技術(shù)也存在不足之處，若接入網(wǎng)絡(luò)的設(shè)備非常多，使用該技術(shù)就必須對每一個MAC地址進行更新或者擴充，其可擴展性非常差，無法實現(xiàn)無線設(shè)備在不同AP之間的靈活漫游。此外，信息技術(shù)的發(fā)展使得盜取并偽造MAC地址接入無線網(wǎng)絡(luò)成為可能，單一采用該技術(shù)已經(jīng)無法有效保證網(wǎng)絡(luò)的安全。

2.2 修改服務(wù)標識符

服務(wù)標識符（SSID）可以對網(wǎng)絡(luò)進行區(qū)分，其有效支持網(wǎng)絡(luò)名稱長度為32個字符。對于無線AP的制造商而言，其推出的設(shè)備具有相同的初始SSID，若非法用戶利用這些初始SSID進行網(wǎng)絡(luò)接入則非常容易與無線網(wǎng)絡(luò)之間建立一條數(shù)據(jù)傳輸通道，為無線網(wǎng)絡(luò)帶來安全威脅。因此對無線AP的SSID進行設(shè)置可以有效改善AP存在初始SSID的缺陷。

2.3 提高接入訪問機制

鑒于WEP接入控制方案的安全性能不高，IEEE提出了WPA認證技術(shù)。該技術(shù)在用戶接入網(wǎng)絡(luò)進行網(wǎng)絡(luò)通信時會不斷的更新WEP密鑰，其更新頻率非常高，使得非法用戶在破解密碼時無法在限定時間內(nèi)完成，從而提高了無線網(wǎng)絡(luò)的安全性能。

2.4 虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)即VPN技術(shù)是保護網(wǎng)絡(luò)后門安全的關(guān)鍵。相較于WEP接入認證方式而言，VPN技術(shù)建立了一條用戶與網(wǎng)絡(luò)之間的安全隧道連接，用戶使用該專用隧道進行數(shù)據(jù)通信。VPN技術(shù)非常適用于非有好網(wǎng)絡(luò)中的數(shù)據(jù)安全保護。此外，VPN采用軟件加密對數(shù)據(jù)進行保護，相較于硬件加密而言，軟件加密更易實現(xiàn)。

2.5 無線入侵檢測系統(tǒng)

無線入侵檢測系統(tǒng)的實現(xiàn)類似于傳統(tǒng)的入侵檢測系統(tǒng)，但是其加入了對無線局域網(wǎng)的檢測技術(shù)和對破壞系統(tǒng)行為的反應(yīng)技術(shù)。通過該系統(tǒng)可以對接入無線網(wǎng)絡(luò)的用戶的用戶行為進行監(jiān)聽，實時判斷該行為是否為非法網(wǎng)絡(luò)行為，若判定為非法行為則對該異常流量進行報警，同時對非法用戶進行檢測，保證無線網(wǎng)絡(luò)的安全。除了上述功能外，無線入侵檢測系統(tǒng)還能夠?qū)粽叩男袨?、未加密?02.11標準的數(shù)據(jù)流量、MAC地址欺騙、偽裝WAP無線上網(wǎng)等行為進行檢測，其性能非常強大。

2.6 用戶身份認證和授權(quán)

由于MAC地址認證、更改SSID接入、使用WEP對網(wǎng)絡(luò)加密等方法都存在一定的技術(shù)缺陷，很容易被非法用戶利用多種偽裝或者欺騙手段繞過，實現(xiàn)對網(wǎng)絡(luò)的訪問。為提高網(wǎng)絡(luò)的安全性能可以在用戶與網(wǎng)絡(luò)建立關(guān)聯(lián)之前對用戶進行身份認證。常用的身份認證和授權(quán)機制有三種，分別為開放身份驗證、共享機密身份驗證以及其他身份驗證或授權(quán)機制。

開放身份驗證機制要求用戶向AP提供正確的SSID或WEP密鑰才能進行網(wǎng)絡(luò)接入；共享機密身份驗證機制則是利用STA向AP發(fā)送申請，在接收到AP的回復后利用回復口令實現(xiàn)網(wǎng)絡(luò)的訪問接入；其他技術(shù)如身份證書驗證的可以有效阻止非法用戶的網(wǎng)絡(luò)訪問權(quán)限。

總結(jié)

未來的通信網(wǎng)絡(luò)終端必然會向無線網(wǎng)絡(luò)發(fā)展，研究和應(yīng)用具有更高安全性能的無線網(wǎng)絡(luò)安全防護機制可以有效保證用戶的通信信息不被非法獲取和利用，讓用戶安全可靠的使用無線網(wǎng)絡(luò)進行學習、辦公和生活。

參考文獻

[1] 常偉鵬.校園無線網(wǎng)絡(luò)安全防護研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（7）

[2] 楊梅.校園無線網(wǎng)絡(luò)的安全與技術(shù)防護[J].河北能源職業(yè)技術(shù)學院學報，2011，11（2）

[3] 張洪.義無線網(wǎng)絡(luò)的安全問題探討[J].計算機光盤軟件與應(yīng)用，2011（1）

[4] 李園，王燕鴻，張鉞偉，顧偉偉.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對措施[J].現(xiàn)代電子技術(shù)，2007，30（5）