無線網(wǎng)絡(luò)安全方法與技術(shù)研究

袁林英

（山東省電子信息產(chǎn)品檢驗(yàn)院中國賽寶（山東）實(shí)驗(yàn)室 山東省濟(jì)南市 250014）

現(xiàn)階段，在網(wǎng)絡(luò)技術(shù)不斷發(fā)展與成熟的背景下，無線網(wǎng)絡(luò)技術(shù)得到了迅猛發(fā)展。伴隨著無線網(wǎng)絡(luò)的快速普及應(yīng)用，人們越來越依賴于無線網(wǎng)絡(luò)的重要優(yōu)勢。從特點(diǎn)上來看，無線網(wǎng)絡(luò)具有可移動性、靈活性、開放性、安裝方便等重要優(yōu)勢，同時也正是因?yàn)闊o線網(wǎng)絡(luò)所具備的這些特性，使得在應(yīng)用過程中經(jīng)常出現(xiàn)各種各樣的安全漏洞，比如靜態(tài)密鑰丟失、訪問機(jī)制缺陷等等?，F(xiàn)如今，這些無線網(wǎng)絡(luò)安全問題已經(jīng)成為我國無線網(wǎng)絡(luò)技術(shù)發(fā)展與應(yīng)用過程中的關(guān)鍵性問題，為進(jìn)一步強(qiáng)化無線網(wǎng)絡(luò)安全，就必須要強(qiáng)化無線網(wǎng)絡(luò)監(jiān)視、加強(qiáng)WEP 保護(hù)、MAC 地址過濾、更換服務(wù)集標(biāo)識符。

1 無線網(wǎng)絡(luò)安全方法與技術(shù)概述

1.1 無線網(wǎng)絡(luò)安全技術(shù)分析

用戶可以在無線網(wǎng)絡(luò)應(yīng)用過程中通過安全設(shè)置來有效提高無線網(wǎng)絡(luò)安全性與穩(wěn)定性，防范各種攻擊的到來。加密處理無線網(wǎng)絡(luò)數(shù)據(jù)可以有效降低無線網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)，通過合理的加密方式可以有效攔截未被授權(quán)部分的數(shù)據(jù)攻擊，防止因?yàn)楣粽叩牟粩嗲址付鴮?dǎo)致出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)損壞以及數(shù)據(jù)篡改等問題，當(dāng)前應(yīng)用更多的幾種加密方式主要包括節(jié)點(diǎn)加密與鏈路加密。確保通信安全的重要措施就是安全認(rèn)證，借助于實(shí)體認(rèn)證或數(shù)據(jù)認(rèn)證，能夠避免偽裝用戶在網(wǎng)絡(luò)當(dāng)中進(jìn)行非法訪問，但是需要注意安全認(rèn)證應(yīng)用期間應(yīng)當(dāng)做好多種防范、雙向認(rèn)證的完善，從而防止安全認(rèn)證過于單一。訪問控制可以組織未被授權(quán)的用戶對無線網(wǎng)絡(luò)進(jìn)行訪問，并規(guī)范用戶行為，使其只能夠在權(quán)限以內(nèi)進(jìn)行活動。數(shù)據(jù)校驗(yàn)則能夠有效確保無線網(wǎng)絡(luò)數(shù)據(jù)的真實(shí)性與完整性，并利用保密協(xié)議避免出現(xiàn)數(shù)據(jù)被惡意截留的問題。

1.2 無線網(wǎng)絡(luò)安全必要性

近些年來，我國在不同區(qū)域部署的Wi-Fi 無線網(wǎng)絡(luò)數(shù)量逐漸增加，如表1 所示。相較于傳統(tǒng)網(wǎng)絡(luò)，無線網(wǎng)絡(luò)為用戶提供了更高的自由度，進(jìn)一步擴(kuò)展了用戶空間，更便利了人們的使用。在此期間，無線網(wǎng)絡(luò)也帶來了全新的安全性問題，嚴(yán)重限制無線網(wǎng)絡(luò)的發(fā)展與完善。因?yàn)镮nternet 本身就有著相對脆弱的安全機(jī)制，同時無線網(wǎng)絡(luò)原本就具有一定的開放性與局限性，因此在無線網(wǎng)絡(luò)運(yùn)行期間，將會面對相較于傳統(tǒng)網(wǎng)絡(luò)更加復(fù)雜且嚴(yán)峻的安全威脅。無線網(wǎng)絡(luò)借助于開放性的傳輸線路在針對高速數(shù)據(jù)進(jìn)行傳輸過程中，往往會伴隨著各種各樣的安全問題，但是在傳統(tǒng)網(wǎng)絡(luò)當(dāng)中所研究與掌握的防控策略，目前已經(jīng)不再適用于無線網(wǎng)絡(luò)的安全防護(hù)工作。由此可見，受無線網(wǎng)絡(luò)開放性特點(diǎn)的影響，既為我們帶來了較大便利，同時也是我們需要面對全新的挑戰(zhàn)，所以研究無線網(wǎng)絡(luò)安全方法與技術(shù)至關(guān)重要。

表1：無線網(wǎng)絡(luò)部署區(qū)域及Wi-Fi 熱點(diǎn)數(shù)量

2 常用無線網(wǎng)絡(luò)安全方法

2.1 訪問控制

所謂訪問控制，就是指避免他人在未經(jīng)授權(quán)的情況下訪問網(wǎng)絡(luò)資源，能夠阻止非法用戶闖入系統(tǒng)，也能夠讓合法用戶隨意進(jìn)出并根據(jù)自身權(quán)限來活動。這種安全方法能夠?yàn)闊o線網(wǎng)絡(luò)提供更好的擴(kuò)展性，用戶必須通過識別認(rèn)證才能夠訪問端口。

2.2 數(shù)據(jù)加密

這是無線網(wǎng)絡(luò)提高安全性的基礎(chǔ)所在，加密傳輸數(shù)據(jù)是為了避免在沒有授權(quán)的前提下出現(xiàn)數(shù)據(jù)泄露、篡改或者破壞等問題，也能夠避免攻擊者攔截分析數(shù)據(jù)。一般來說，數(shù)據(jù)加密還可以細(xì)分為鏈路加密、端到端加密以及節(jié)點(diǎn)解密。

2.3 安全認(rèn)證

安全認(rèn)證能夠確保通信方身份，防止非法用戶隨意介入并訪問網(wǎng)絡(luò)。認(rèn)證一般分為實(shí)體認(rèn)證與數(shù)據(jù)認(rèn)證。單一的認(rèn)證方式無法起到良好效果，一般需要結(jié)合兩種一起應(yīng)用，且都具有單向與雙向兩種認(rèn)證模式。

2.4 不可否認(rèn)

不可否認(rèn)指的就是用戶無法否認(rèn)自己應(yīng)用的網(wǎng)絡(luò)資源，相關(guān)服務(wù)網(wǎng)絡(luò)也不能夠?qū)尤霊{證進(jìn)行偽造，雙方在發(fā)生糾紛時，可通過第三方仲裁。

2.5 數(shù)據(jù)校驗(yàn)

校驗(yàn)?zāi)軌虼_保數(shù)據(jù)完整性，借助于保密協(xié)議，避免數(shù)據(jù)傳輸期間被非法攔截并惡意篡改。

3 無線網(wǎng)絡(luò)安全的主要威脅因素分析

3.1 網(wǎng)絡(luò)監(jiān)視與劫持

在有線網(wǎng)絡(luò)當(dāng)中，網(wǎng)絡(luò)劫持屬于十分常見的一種攻擊方式，同時如果無線網(wǎng)絡(luò)的安全防范不夠完善，也可能導(dǎo)致網(wǎng)絡(luò)監(jiān)視與劫持的發(fā)生，從而實(shí)現(xiàn)分析無限數(shù)據(jù)包與監(jiān)視廣播包的效果。針對無線網(wǎng)絡(luò)數(shù)據(jù)包開展分析一般需要十分熟練的掌握攻擊技能，運(yùn)用與有線網(wǎng)絡(luò)技術(shù)相關(guān)的方式方法，實(shí)時捕獲無線通信數(shù)據(jù)。現(xiàn)階段劫持工具的發(fā)展呈現(xiàn)出了多樣化特征，同時基本都可以對會話過程中產(chǎn)生的基礎(chǔ)數(shù)據(jù)進(jìn)行捕捉，這部分?jǐn)?shù)據(jù)一般包括用戶名、口令等信息，在獲取的基礎(chǔ)上，攻擊者能夠偽造出合法的憑證，而后執(zhí)行一系列未經(jīng)授權(quán)的指令。監(jiān)視廣播包主要通過集線器，一般不常應(yīng)用。

3.2 插入攻擊

插入攻擊一般會造成更大的危害，同時要求反制技術(shù)的水平也應(yīng)當(dāng)較高。插入攻擊主要產(chǎn)生作用的方式就是構(gòu)建一個全新的無線網(wǎng)絡(luò)，也有少部分攻擊者會通過未經(jīng)授權(quán)的裝置對無線網(wǎng)絡(luò)進(jìn)行攻擊，而這部分裝置與網(wǎng)絡(luò)大多沒有通過合法協(xié)議當(dāng)中的相關(guān)標(biāo)準(zhǔn)。通常情況下，無線網(wǎng)絡(luò)都會設(shè)置一個接口指令從而有效提高防護(hù)效果，但是一旦在此期間用戶不具備較強(qiáng)的防護(hù)意識，在使用無線網(wǎng)絡(luò)過程中沒有按照規(guī)定設(shè)置嚴(yán)密的輸入口令，就會導(dǎo)致攻擊者通過無線客戶端將攻擊直接連接至用戶正常的無線網(wǎng)絡(luò)當(dāng)中，進(jìn)而導(dǎo)致無線網(wǎng)絡(luò)安全受到嚴(yán)重的不良影響。

3.3 雙面惡魔攻擊

所謂雙面惡魔攻擊，指的就是我們之前常見的“無線釣魚”，從本質(zhì)上來看，這種攻擊方式就是在無線網(wǎng)絡(luò)用戶所應(yīng)用的網(wǎng)絡(luò)周圍，構(gòu)建起一個具有隱蔽名稱的全新無線網(wǎng)絡(luò)，從而達(dá)到欺詐性接入的目的。雙面惡魔攻擊在威脅網(wǎng)絡(luò)安全過程中具有明顯的被動性特點(diǎn)，在威脅過程中需要等待用戶將無線網(wǎng)絡(luò)接入已經(jīng)構(gòu)建完成的但卻錯誤的接入點(diǎn)當(dāng)中，而后才可以完成竊取、盜用或者直接攻擊無線網(wǎng)絡(luò)。

3.4 占用網(wǎng)絡(luò)資源

占用網(wǎng)絡(luò)資源的問題在現(xiàn)階段的無線網(wǎng)絡(luò)應(yīng)用過程中十分常見，尤其是伴隨著智能手機(jī)、智能手表以及平板電腦等諸多移動設(shè)備的快速普及，“蹭網(wǎng)”這種問題已經(jīng)成為當(dāng)前我國無線網(wǎng)絡(luò)發(fā)展過程中一種十分“流行”且又難以解決的網(wǎng)絡(luò)安全威脅。盡管這種問題目前不具備較強(qiáng)的攻擊性，攻擊惡意也不夠大，但是一旦出現(xiàn)也必定會導(dǎo)致網(wǎng)絡(luò)寬帶被大量占用，這就無線網(wǎng)絡(luò)的構(gòu)建者而言是一種極大的損失。因此解決網(wǎng)絡(luò)資源占用問題，也是無線網(wǎng)絡(luò)安全當(dāng)中一個細(xì)小且又十分重要的問題。

4 無線網(wǎng)絡(luò)安全技術(shù)分析與應(yīng)用

4.1 AAA技術(shù)

AAA 技術(shù)的合理運(yùn)用能夠有效確保網(wǎng)絡(luò)安全。AAA 技術(shù)指的就是認(rèn)證、計(jì)費(fèi)以及授權(quán)三大技術(shù)的統(tǒng)稱。能夠更有利于用戶訪問控制。針對無線網(wǎng)絡(luò)來說，必須確認(rèn)用戶身份，系統(tǒng)才可以結(jié)合用戶認(rèn)證期間申請到的實(shí)際服務(wù)類別，授予用戶相關(guān)網(wǎng)絡(luò)訪問的具體權(quán)限，而后以此來明確無線網(wǎng)絡(luò)具體的服務(wù)對象，從而啟用相關(guān)設(shè)備對用戶無線網(wǎng)絡(luò)資源的利用現(xiàn)狀進(jìn)行統(tǒng)計(jì)，同時授權(quán)給用戶相應(yīng)費(fèi)用。在諸多AAA 技術(shù)當(dāng)中，以IP 網(wǎng)為基礎(chǔ)的技術(shù)包括RADIUS、DIAMETER等等。AAA技術(shù)得以實(shí)現(xiàn)主要依賴于AAA協(xié)議，現(xiàn)階段最常見的AAA 協(xié)議有RADIUS 以及TACACS。

4.2 WPA技術(shù)

WPA 技術(shù)主要實(shí)現(xiàn)的功能就是完成數(shù)據(jù)加密。為有效解決或者改善WEP 當(dāng)中存在的漏洞與缺陷，即密鑰屬于靜態(tài)而不屬于非動態(tài)，WPA 應(yīng)運(yùn)而生，通過WPA 技術(shù)能夠?qū)崿F(xiàn)密鑰的不斷轉(zhuǎn)換。WPA 技術(shù)一般采取科學(xué)的密鑰分發(fā)機(jī)制，能夠同時跨越各種無線網(wǎng)卡完成應(yīng)用。WPA 機(jī)制主要有兩種，即TKIP 與802.1。二者可以一同為用戶機(jī)器提供動態(tài)化的密鑰加密，以及相互認(rèn)證等服務(wù)。WPA 還能夠通過兩種機(jī)制當(dāng)中具備的認(rèn)證服務(wù)器連接功能，從而完成更加有效認(rèn)證與信息系統(tǒng)集成等關(guān)鍵性功能。

4.3 VPN技術(shù)

所謂VPN 技術(shù)，指的就是借助于公用網(wǎng)絡(luò)構(gòu)建起一個臨時且十分安全的連接，這屬于一條公用的網(wǎng)絡(luò)隧道，具有安全且穩(wěn)定穿越混亂網(wǎng)絡(luò)環(huán)境的優(yōu)勢。利用VPN 技術(shù)能夠有效確保無線網(wǎng)絡(luò)運(yùn)行過程中的安全性。VPN 技術(shù)借助于加密、用戶認(rèn)證、數(shù)據(jù)認(rèn)證等，確保無線網(wǎng)絡(luò)運(yùn)行過程中的安全性。其中用戶認(rèn)證的主要目的就是確保用戶在得到授權(quán)之后可以完成對無線網(wǎng)絡(luò)當(dāng)中數(shù)據(jù)的實(shí)時接收與發(fā)送；數(shù)據(jù)認(rèn)證的主要目的就是保障數(shù)據(jù)傳輸過程中的完整性，同時能夠確保數(shù)據(jù)的來源認(rèn)證設(shè)備更加明確；加密的主要目的就是保障即便是數(shù)據(jù)被攻擊者所攔截，也需要較長時間才能夠完成解密。VPN 技術(shù)應(yīng)用原理如圖1 所示。

圖1：VPN 技術(shù)應(yīng)用原理

4.4 啟用MAC

MAC 指的就是介質(zhì)訪問具體的控制地址，屬于無線網(wǎng)卡當(dāng)中的地址，針對各個設(shè)備而言都屬于唯一地址，這個地址既對計(jì)算機(jī)之間存在的網(wǎng)絡(luò)連接有著一定的定義作用，還能夠在網(wǎng)卡硬件電路當(dāng)中將其記錄。因?yàn)椴煌瑹o線網(wǎng)卡所具備的物理地址是唯一的，所以可以借助于手動方式在AP 當(dāng)中設(shè)置一組訪問權(quán)限更高的MAC 地址列表，從而完成過濾物理地址的目的。通過這種方式，一般需要AP 當(dāng)中的MAC 地址列表可以具備實(shí)時更新的功能，一旦沒有較強(qiáng)的可擴(kuò)展性，就會導(dǎo)致不同AP 之間存在的漫游無法實(shí)現(xiàn)；MAC 地址還可以有效防止黑客入侵無線網(wǎng)絡(luò)，從而進(jìn)一步確保網(wǎng)絡(luò)安全。

4.5 IEEE802.11

IEEE802.11 對以端口為基礎(chǔ)的無線網(wǎng)絡(luò)當(dāng)中的訪問控制進(jìn)行了標(biāo)準(zhǔn)定義，一般更適用于完成了身份驗(yàn)證的網(wǎng)絡(luò)訪問當(dāng)中。以端口為基礎(chǔ)的無線網(wǎng)絡(luò)訪問控制，通過交換局域網(wǎng)絡(luò)基礎(chǔ)性結(jié)構(gòu)當(dāng)中的物理特性，從而驗(yàn)證交換機(jī)端口部位連接設(shè)備的身份。一旦在此期間身份驗(yàn)證失敗，那么發(fā)送與接收幀當(dāng)中的具體行為會直接被拒絕。應(yīng)用IEEE802.11 維護(hù)無線網(wǎng)絡(luò)安全過程中，AP 將嘗試連接過程中所用到的憑證轉(zhuǎn)發(fā)至另一個單獨(dú)服務(wù)器當(dāng)中進(jìn)行驗(yàn)證。一般來說，無限AP 會通過RADIUS 協(xié)議將這個嘗試連接的憑證發(fā)送至另一個RADIUS 服務(wù)器當(dāng)中。

5 強(qiáng)化無線網(wǎng)絡(luò)安全的主要措施分析

5.1 強(qiáng)化無線網(wǎng)絡(luò)監(jiān)視

加強(qiáng)對無線網(wǎng)絡(luò)的監(jiān)視，能夠針對攻擊者所進(jìn)行的連續(xù)性監(jiān)視可以盡可能實(shí)現(xiàn)攔截攻擊，避免發(fā)生嚴(yán)重的數(shù)據(jù)丟失以及惡意篡改等問題。在這一活動開展期間，為有效強(qiáng)化無線網(wǎng)絡(luò)監(jiān)視，需要強(qiáng)化培訓(xùn)與訓(xùn)練管理人員的網(wǎng)絡(luò)安全意識與能力，特別是針對黑客以及各種安全威脅的認(rèn)知與應(yīng)對能力。在日常的無線網(wǎng)絡(luò)管理過程中，管理人員需要有針對性的查找與收集掃描、訪問等企圖日志信息，借助于專業(yè)化的統(tǒng)計(jì)工具，將各類數(shù)據(jù)信息轉(zhuǎn)化為對自己工作有益的信息，從而及時發(fā)現(xiàn)攻擊者的入侵位置以及潛在的網(wǎng)絡(luò)安全威脅。

5.2 加強(qiáng)WEP保護(hù)

WEP 也可以稱之為無線加密協(xié)議，在無線網(wǎng)絡(luò)構(gòu)建過程中是一種常見的信息加密方式，同時也屬于一種保護(hù)措施，具有十分標(biāo)準(zhǔn)的執(zhí)行協(xié)議。因?yàn)闊o線網(wǎng)絡(luò)現(xiàn)階段的普及范圍越來越廣，所以大部分路由器都可以實(shí)現(xiàn)信息加密功能，同時具備許多選擇方式，加入用戶可以科學(xué)的應(yīng)用各種加密協(xié)議，就可以有效防止無線網(wǎng)絡(luò)在應(yīng)用過程中出現(xiàn)信息泄露的問題。除此之外，現(xiàn)階段我國在WIFI 訪問加密方面的技術(shù)水平相較于WEP 協(xié)議而言更加完善，比如WPA2 的應(yīng)用，所以必須要進(jìn)一步強(qiáng)化WEP 保護(hù)應(yīng)用，從而有效提高無線網(wǎng)絡(luò)運(yùn)行過程中的通信安全性與可靠性。

5.3 MAC地址過濾

MAC 地址過濾在完成之后可以避免未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備非法連接到無線網(wǎng)絡(luò)當(dāng)中，MAC 地址過濾作用的根本機(jī)制就是將路由器相連的MAC 地址與路由器當(dāng)中所存儲的MAC 地址之間進(jìn)行有效的比對，而后借助于合法訪問點(diǎn)的選擇與應(yīng)用來完成保護(hù)服務(wù)。但是從技術(shù)角度出發(fā)，一般來說路由器在研發(fā)出廠過程中并不會設(shè)置MAC 地址過濾這種功能，所以要求借助于用戶進(jìn)行設(shè)置并將其與無線網(wǎng)絡(luò)相連，同時將無線網(wǎng)絡(luò)用戶的MAC 地址單獨(dú)的進(jìn)行設(shè)置，從而避免出現(xiàn)位置訪問與盜用網(wǎng)絡(luò)資源的問題出現(xiàn)，有效提高無線網(wǎng)絡(luò)運(yùn)行過程中的安全性。MAC 地址過濾原理圖如圖2 所示。

圖2：MAC 地址過濾原理圖

5.4 更換服務(wù)集標(biāo)識符

SSID 屬于無線網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的身份證明，也必須要借助于SSID 之后，才可以完成接入點(diǎn)與接入點(diǎn)之間的聯(lián)系。無線設(shè)備在研發(fā)與出廠過程中大多具備獨(dú)立的服務(wù)集標(biāo)識符，同時生產(chǎn)廠家不同一般還會有差異性設(shè)置的缺省值。而攻擊者往往十分容易獲取這部分服務(wù)集標(biāo)識符，所以也就導(dǎo)致占用網(wǎng)絡(luò)資源的問題經(jīng)常出現(xiàn)。為有效防止這些問題的發(fā)生，用戶需要針對所有接入點(diǎn)當(dāng)中的SSID 進(jìn)行非常規(guī)設(shè)置，同時強(qiáng)化這部分服務(wù)集標(biāo)識符當(dāng)中的保密程度。除此之外，還需要盡可能減少SSID 廣播，從而即便是無線網(wǎng)絡(luò)進(jìn)行自動屏蔽，也可以有效預(yù)防網(wǎng)絡(luò)資源被盜的問題。

6 家庭常見無線網(wǎng)絡(luò)安全設(shè)置方法應(yīng)用實(shí)踐

家庭網(wǎng)絡(luò)最常用的加密技術(shù)就是WPA，假設(shè)無線主機(jī)由MW54R 路由器與REALTEK 8187 網(wǎng)線網(wǎng)卡組成，有限主機(jī)建設(shè)基于RETALTEK 8139 網(wǎng)卡，建立一個小型家庭網(wǎng)絡(luò)。該家庭無線網(wǎng)絡(luò)采取360 無限入侵防御系統(tǒng)，如圖3所示。應(yīng)用實(shí)踐步驟如下：在設(shè)置無線網(wǎng)絡(luò)安全之前，首先檢查好連線；設(shè)定無線寬帶路由器出廠時的IP 地址；將192.168.1.1 輸入到IE 地址欄當(dāng)中；在路由器當(dāng)中設(shè)置“基本狀態(tài)”與“無線參數(shù)”；借助于客戶端應(yīng)用程序連接來設(shè)置無線網(wǎng)絡(luò)用戶端；連接成功。

圖3：無線網(wǎng)絡(luò)防御系統(tǒng)

7 結(jié)束語

綜上，借助于無限網(wǎng)絡(luò)安全設(shè)置，能夠有效避免非法用戶入侵，確保用戶網(wǎng)絡(luò)信息安全，提高無線網(wǎng)絡(luò)服務(wù)質(zhì)量。