賴媛媛

沈陽醫(yī)學(xué)院，遼寧 沈陽 110034

現(xiàn)在所說的網(wǎng)絡(luò)互聯(lián)不是簡單地把機(jī)器進(jìn)行連接，而是通過科學(xué)的規(guī)劃和合理的設(shè)計，從而完善和建立起來的一種新型網(wǎng)絡(luò)體系，依據(jù)現(xiàn)有的資源對所有的資源進(jìn)行的一種整合和重組，這種體系是完全建立在可靠高效，還具備一定擴(kuò)充性的網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，無線網(wǎng)絡(luò)技術(shù)已經(jīng)走進(jìn)了人們的視野，無線網(wǎng)絡(luò)憑借著它方便、快捷、簡單、高速的優(yōu)勢，正在一步步替代現(xiàn)有的有線網(wǎng)絡(luò)。無論是有線還是無線的網(wǎng)絡(luò)系統(tǒng)，只要成為一個傳輸?shù)妮d體或介質(zhì)，它必將承受一切來自外界的攻擊和威脅，無線網(wǎng)絡(luò)和有線的一樣，在安全上也存在著一定的安全與技術(shù)上的威脅。

1 保證無線網(wǎng)絡(luò)安全的機(jī)制

1.1 訪問控制

AAA服務(wù)器是用來實現(xiàn)所有網(wǎng)絡(luò)用戶的訪問控制，AAA服務(wù)器訪問控制能夠提供安全可靠的可擴(kuò)展性，很多的訪問控制服務(wù)器會在802.1x的每一個安全端口上提供具體的機(jī)器認(rèn)證，如果是這種情況，要進(jìn)行端口訪問就必須要用戶成功地通過了802.1x規(guī)定端口的識別之后，才能實現(xiàn)訪問。不過我們還能利用MAC地址和SSID對其進(jìn)行過濾。目前無線訪問點通常都是采用服務(wù)集標(biāo)志符(SSID)的識別字符串，這種標(biāo)志符都是由制造商所設(shè)定的，所有的標(biāo)識符都有與之相對應(yīng)的默認(rèn)短語，因為各個無線工作站的網(wǎng)卡的物理地址都是固定的，因此每一個用戶都能根據(jù)自己的需要進(jìn)行訪問點的設(shè)置，維護(hù)一組允許的MAC 地址列表，從而實現(xiàn)了物理地址的過濾。其缺點就在于AP 中的MAC 地址列表一定要保持實時更新，因為他的可擴(kuò)展性比較差，所以很難實現(xiàn)機(jī)器在不兼容AP 之間的漫游，加上理論上MAC 地址是可以偽造的，所以，這就屬于最較低級的一種授權(quán)認(rèn)證了。不過它屬于阻止非法訪問的無線網(wǎng)絡(luò)的最佳方式，所以可以有效地保護(hù)整個網(wǎng)絡(luò)的安全。

1.2 身份認(rèn)證

無線網(wǎng)絡(luò)的認(rèn)證一般分兩種，一種是基于設(shè)備的，一種是基于用戶的，前者通過對WEP密鑰的共享來實現(xiàn)，后者是采用Eap來實現(xiàn)，無線Eap認(rèn)證通常還能用其他方式來，最常見的有Eap-Ttls、Eap-Tls、Peap 和 Leap。

1.3 完整性

通過對TKIP或WEP使用，無線網(wǎng)絡(luò)能夠完整地提供原始數(shù)據(jù)包。而有線等效保密協(xié)議則是通過802.11的標(biāo)準(zhǔn)所定義，主要是用在無線局域網(wǎng)的保護(hù)鏈路層數(shù)據(jù)。其實WEP同樣能夠提供認(rèn)證的功能，在加密機(jī)制功能被啟用之后，當(dāng)客戶端嘗試連接AP以后，AP 就能發(fā)出一個名為CHALLENGE PACKET的數(shù)據(jù)給客戶端，客戶端然后依據(jù)共享密鑰把這個進(jìn)過加密之后再送回存取點，然后再進(jìn)行具體的認(rèn)證比對，在確認(rèn)正確無誤之后，就可以的道道存取網(wǎng)絡(luò)的全部資源。事實上，在IEEE 802.11i規(guī)范之中，Tkip：TEMPORAL KEY INTEGRITY PROTOCOL主要是負(fù)責(zé)處理無線安全問題的具體加密部分。同時，也有在具體工作中采用IPSEC ESP去提供一個相對比較安全的VPN隧道。VPN其實就是在現(xiàn)有網(wǎng)絡(luò)上通過組建的一個加密、虛擬的網(wǎng)絡(luò)。通常情況下，VPN是依靠四項安全的保障技術(shù)去確保網(wǎng)絡(luò)的安全，這四項保障技術(shù)依次是密鑰管理技術(shù)、隧道技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)。

2 無線網(wǎng)絡(luò)技術(shù)加密方法的研究

目前，在無線節(jié)點的設(shè)備中最常使用的加密方法有兩種，第一種是Wpa的加密技術(shù)，第二種是Wep的加密技術(shù)。Wep技術(shù)通常也有叫做等保密技術(shù)的，他主要是用來提供加密中的最低限度安全，Wep技術(shù)通常都是在網(wǎng)絡(luò)鏈路層實現(xiàn)RC4的對稱加密過程，無線網(wǎng)絡(luò)的用戶密鑰相應(yīng)內(nèi)容必須要和無線節(jié)點的密鑰具體的內(nèi)容一樣，這樣才能確保能夠訪問到網(wǎng)絡(luò)的具體內(nèi)容。 Wep的加密技術(shù)為無線網(wǎng)絡(luò)用戶提供了152位、128位，最短的也在40位長度的不同密鑰算法的機(jī)制。如果當(dāng)無線上網(wǎng)的信號經(jīng)過了Wep的加密之后，如果本地的無線網(wǎng)絡(luò)附近有一些非法用戶，假設(shè)他們能夠通過相對專業(yè)的工具進(jìn)行竊網(wǎng)上的傳輸信號，因為Wep的加密他們也是不能看到具體的內(nèi)容，所以說，通過Wep的加密，數(shù)據(jù)在發(fā)送和傳遞中大大加強(qiáng)了安全性。加上Wep的加密所選用的位數(shù)比較高，所以很多的非法用戶是很難破解無線上網(wǎng)的信號的，Wep的加密的位數(shù)越高無線網(wǎng)絡(luò)的安全系數(shù)就會越大。

2.1 Wi-Fi保護(hù)接入（WPA）

利用Wi-Fi保護(hù)接入?yún)f(xié)議的目的就是為了替換或改善有漏洞的Wep加密方式。采用Wpa有效的密鑰分發(fā)機(jī)制，就能實現(xiàn)跨越不同廠商之間的無線網(wǎng)卡的應(yīng)用。Wpa使無線網(wǎng)絡(luò)在公共場所安全地部署變成現(xiàn)實。Wep的最大缺陷就是他的加密密鑰不是動態(tài)而是靜態(tài)的，如果是Wpa就能實現(xiàn)隨時的轉(zhuǎn)換密鑰的功能。Wpa主要包含802.1x機(jī)制和暫時密鑰完整性協(xié)議Tkip。802.1x和Tkip同時為移動的客戶機(jī)提供相互認(rèn)證和動態(tài)密鑰加密的功能。Tkip為Wep引入了一種新的算法，這種新的算法涵蓋了信息完整性碼和數(shù)據(jù)包密鑰構(gòu)建、相關(guān)的序列規(guī)則、密鑰生成與分發(fā)功能和擴(kuò)展的48位初始向量。Wpa還能和802.1x及Eap的認(rèn)證服務(wù)器相互連接。這臺認(rèn)證服務(wù)器主要是用于對用戶證書的保存。這種功能能夠?qū)崿F(xiàn)有效的認(rèn)證控制和已有信息系統(tǒng)的進(jìn)一步的集成。Wpa彌補了Wep的安全問題,但是不能解決拒絕服務(wù)(Dos)的攻擊。

2.2 臨時密鑰完整性協(xié)議（Tkip）

Tkip是針對無線 Lans安全的 Ieee 802.11i 加密標(biāo)準(zhǔn)的一部分。Tkip 利用帶有 128 密鑰的流密碼進(jìn)行加密和 64 位的流密碼進(jìn)行驗證。Tkip是一種基礎(chǔ)性的技術(shù)，允許Wpa向下兼容Wep協(xié)議和現(xiàn)有的無線硬件。Tkip與WepP一起工作，組成了一個更長的128位密鑰，并根據(jù)每個數(shù)據(jù)包變換密鑰，使這個密鑰比單獨使用Wep協(xié)議安全許多倍。

可擴(kuò)展認(rèn)證協(xié)議（Eap）。通過允許使用任意長度的憑據(jù)和信息交換的任意身份驗證方法，來擴(kuò)展點對點協(xié)議 （Ppp）。Eap 已被開發(fā)以響應(yīng)身份驗證方法的不斷增長的需求。通過使用 Eap，可以支持其他身份驗證方案，如令牌卡、一次性密碼、使用智能卡的公鑰身份驗證以及證書等。有Eap的支持，Wpa加密可提供與控制訪問無線網(wǎng)絡(luò)有關(guān)的更多的功能。

[1]瓦卡（Vacca,J.R.）.無線寬帶網(wǎng)絡(luò)技術(shù)指南[M].人民郵電出版社，2010，7.

[2]楊哲.無線網(wǎng)絡(luò)安全攻防實戰(zhàn)[M].電子工業(yè)出版社，2008，11.