【摘 要】無線連接和無線設(shè)備的管理比有線網(wǎng)絡(luò)系統(tǒng)更為復(fù)雜，無線安全問題更值得我們關(guān)注，稍有不慎，攻擊者就輕而易舉地進(jìn)入網(wǎng)絡(luò)內(nèi)部進(jìn)行大肆破壞。作為管理者和用戶必須引起高度重視，這意味著無線安全防范已經(jīng)成為信息安全領(lǐng)域的重要課題，因此無線網(wǎng)絡(luò)加密技術(shù)對(duì)于部署一個(gè)安全的無線網(wǎng)絡(luò)是非常重要的。

【關(guān)鍵詞】無線網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 加密技術(shù)

引言

在現(xiàn)今的網(wǎng)絡(luò)時(shí)代中，無線網(wǎng)絡(luò)的應(yīng)用無處不在，廣泛應(yīng)用在單位、商場(chǎng)、酒店及家庭等。如果能深入了解各種無線網(wǎng)絡(luò)的加密技術(shù)并加以對(duì)應(yīng)的安全措施，就能自由無慮地在網(wǎng)上暢游，也不怕黑客的攻擊或非法闖入者的騷擾了。以下就目前最流行的幾種無線網(wǎng)絡(luò)加密技術(shù)和安全防范技術(shù)進(jìn)行分析。

一、無線網(wǎng)絡(luò)的加密技術(shù)

無線傳輸?shù)陌踩愃朴谝粋€(gè)書面信息，有各種各樣的方法來發(fā)送一個(gè)書面信息。每一種方法都提供一種增強(qiáng)水平的安全性和保護(hù)這個(gè)信息的完整性。你可以發(fā)送一張明信片，這個(gè)信息對(duì)于看到它的每一個(gè)人都是公開的。你可以把這個(gè)信息放在信封里，防止他人隨意看到它。如果你確實(shí)要保證只有收件人才能夠看到這個(gè)信息，你就需要給這個(gè)信息加密并且保證收件人知道這個(gè)信息的解碼方式，無線數(shù)據(jù)傳輸也是如此。如果沒有加密的無線數(shù)據(jù)在空中傳輸，任何在附近的無線設(shè)備都有可能截獲這些數(shù)據(jù)。使用有線等效協(xié)議（WEP）加密你的無線網(wǎng)絡(luò)可提供最低限度的安全，因?yàn)檫@種加密是很容易破解的。如果你確實(shí)要保護(hù)你的無線數(shù)據(jù)，你需要使用WPA（Wi-Fi 保護(hù)接入）等更安全的加密方式。

（一）有線等效協(xié)議（WEP）

WEP即Wired Equivalent Privacy，是一種基于40bit共享密鑰編碼的數(shù)據(jù)加密裝置，因?yàn)椴豢勺儞Q，所以非常容易入侵。

這里需要提醒WEP只是讓你的網(wǎng)絡(luò)更難讓黑客入侵。WEP加密并不在IEEE 802.11標(biāo)準(zhǔn)中，這表示有許多種WEP加密方式，但不完全，例如MAC地址部分就沒有被加密。因此，這個(gè)協(xié)議后來發(fā)現(xiàn)存在一些漏洞，甚至一個(gè)初入道的攻擊者也能夠利用這個(gè)協(xié)議中的安全漏洞。

（二）Wi-Fi 保護(hù)接入（WPA）

WPA加密即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵，所以如果對(duì)數(shù)據(jù)安全性有很高要求，那就必須選用WPA加密方式了（Windows XP SP2已經(jīng)支持WPA加密方式）。WPA是目前最好的無限安全加密系統(tǒng)，它包含兩種方式：Pre-shared密鑰和Radius密鑰，以下簡(jiǎn)單介紹一下：

①APre-shared密鑰有兩種密碼方式：TKIP和AES。

②Radius密鑰利用Radius服務(wù)器認(rèn)證并可以動(dòng)態(tài)選擇TKIP、AES、WEP方式。

③臨時(shí)密鑰完整性協(xié)議（TKIP）

TKIP 是一種基礎(chǔ)性的技術(shù)，允許WPA 向下兼容WEP 協(xié)議和現(xiàn)有的無線硬件。TKIP 與WEP一起工作，組成了一個(gè)更長(zhǎng)的128 位密鑰，并根據(jù)每個(gè)數(shù)據(jù)包變換密鑰，使這個(gè)密鑰比單獨(dú)使用WEP 協(xié)議安全許多倍。

④可擴(kuò)展認(rèn)證協(xié)議（EAP）

有EAP的支持，WPA加密可提供與控制訪問無線網(wǎng)絡(luò)有關(guān)的更多功能。其方法不是根據(jù)可能被捕捉或者假冒的MAC地址過濾來控制無線網(wǎng)絡(luò)的訪問，而是根據(jù)公共密鑰基礎(chǔ)設(shè)施（PKI）來控制無線網(wǎng)絡(luò)的訪問。WPA協(xié)議給WEP 協(xié)議帶來了很大的改善，它比WEP 協(xié)議安全許多倍。

二、無線網(wǎng)絡(luò)用戶的安全應(yīng)對(duì)措施

無線網(wǎng)絡(luò)安全并不是一個(gè)獨(dú)立存在的問題，所有用戶必須認(rèn)識(shí)到這一事實(shí)，只有在共享的環(huán)境中同時(shí)在幾條戰(zhàn)線上對(duì)付攻擊者，才能確保無線網(wǎng)絡(luò)的安全。值得指出的是，有些威脅是無線網(wǎng)絡(luò)自身所帶有的，無線通訊最可靠的安全方式就是針對(duì)無線通訊數(shù)據(jù)進(jìn)行加密，加密方式種類也很多，從最基本的WEP加密到WPA加密。用戶在網(wǎng)絡(luò)間的相互訪問，其控制是通過AAA服務(wù)器來轉(zhuǎn)載的。這種傳輸方式為用戶提供更大更好的可擴(kuò)展性，為了安全訪問控制服務(wù)器，在802．1x的安全端口上提供了自定義的機(jī)器認(rèn)證號(hào)碼，在這一特定的環(huán)境中，只有使用者成功利用802.1x規(guī)定端口的識(shí)別碼后才能進(jìn)行端口訪問。另外，目前還有通過SSID和MAC地址過濾。SSID是當(dāng)前無線網(wǎng)絡(luò)訪問點(diǎn)所采用的識(shí)別字符串，它的特點(diǎn)是標(biāo)志符都是由設(shè)備制造商所制定的，每個(gè)標(biāo)識(shí)符都要通過默認(rèn)短語，因?yàn)樗械臒o線工作站的網(wǎng)卡都會(huì)配有自己獨(dú)特的物理地址，所以每個(gè)用戶可以根據(jù)自己的需要設(shè)置訪問點(diǎn)，設(shè)計(jì)一套允許的MAC地址列表，從而實(shí)現(xiàn)了物理地址過濾。需要指出的是，這要求AP中的MAC地址列表要隨時(shí)更新，其缺點(diǎn)就是可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游。同時(shí)，MAC的地址還可以用高科技技術(shù)來偽造，所以說，這種加密技術(shù)還是較為低級(jí)的授權(quán)認(rèn)證。它的優(yōu)點(diǎn)就是，他可以完全阻止非法訪問無線網(wǎng)絡(luò)，能有效保護(hù)網(wǎng)絡(luò)的安全。在實(shí)踐中很多用戶通過WEP或TKIP無線網(wǎng)絡(luò)提供原始完整性數(shù)據(jù)包。WEP加密技術(shù)也提供認(rèn)證功能，當(dāng)其加密機(jī)制功能開始啟用時(shí)，所有客戶則要在客戶端連接AP，連接成功后AP會(huì)發(fā)出一個(gè)Challenge Packet地址給客戶端，客戶端利用中間的共享密碼將此值加密，然后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，直到驗(yàn)證正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。在IEEE 802．11i規(guī)范中，TKIP Temoral Key Integrity Protocol負(fù)責(zé)處理無線安全問題的加密部分。就上述幾種加密技術(shù)的優(yōu)缺點(diǎn)，我們可以做好以下幾種措施：

（一）正確設(shè)置網(wǎng)絡(luò)密鑰

在缺省狀態(tài)下，無線網(wǎng)絡(luò)節(jié)點(diǎn)生產(chǎn)商為方便初級(jí)用戶安裝無線網(wǎng)絡(luò)，特意將無線網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)傳輸加密功能設(shè)置為“禁用”，這樣一來用戶初次接入進(jìn)的網(wǎng)絡(luò)是不安全的，非法攻擊者很容易利用專業(yè)的嗅探工具，截獲到在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。為此當(dāng)你在初次連接到無線局域網(wǎng)中時(shí)，必須記得設(shè)置好網(wǎng)絡(luò)密鑰，來對(duì)在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以便有效抵御普通黑客的非法入侵。

（二）更改默認(rèn)的SSID 設(shè)置

在默認(rèn)狀態(tài)下，無線網(wǎng)絡(luò)節(jié)點(diǎn)的生產(chǎn)商會(huì)利用SSID（初始化字符串），來檢驗(yàn)企圖登錄無線網(wǎng)絡(luò)節(jié)點(diǎn)的連接請(qǐng)求，一旦檢驗(yàn)通過的話，就可能順利連接到無線網(wǎng)絡(luò)中?？墒怯捎谕簧a(chǎn)商推出的無線網(wǎng)絡(luò)節(jié)點(diǎn)都使用了相同的SSID 名稱，這給那些企圖非法連接到無線網(wǎng)絡(luò)中的攻擊者們，提供了入侵便利，一旦他們用通用的初始化字符串來連接無線網(wǎng)絡(luò)時(shí)，就很容易建成一條非授權(quán)鏈接，從而給無線網(wǎng)絡(luò)的安全帶來威脅。為此，在初次安裝好無線局域網(wǎng)時(shí)，你必須及時(shí)登錄到無線網(wǎng)絡(luò)節(jié)點(diǎn)的管理頁面中，打開SSID 設(shè)置選項(xiàng)，重新設(shè)置一下初始化字符串，最好讓人難于猜測(cè)。而且，為了更有效地避免非法鏈接，你最好在條件允許的前提下，取消SSID 的網(wǎng)絡(luò)廣播，這樣能將黑客入侵機(jī)會(huì)降到最低限度。

（三）做好其他防范工作

為了更好地保護(hù)無線網(wǎng)絡(luò)的安全，還可以根據(jù)無線網(wǎng)絡(luò)節(jié)點(diǎn)自身功能的不同，進(jìn)行一些其他有效的安全防范措施。

結(jié)論

無線網(wǎng)絡(luò)安全是需要一個(gè)不斷改善和升級(jí)的過程，特別是無線技術(shù)迅猛發(fā)展的今天，就算是一項(xiàng)大家都認(rèn)為是目前最完美的安全技術(shù)，當(dāng)應(yīng)用到實(shí)際中時(shí)還是漏洞百出，這就需要通過人們不斷的努力來完善它。只有認(rèn)真了解各種加密技術(shù)和傳輸數(shù)據(jù)的加密方法，再加上相關(guān)的措施等方法結(jié)合起來， 才能構(gòu)筑安全的無線局域網(wǎng)，這些都需要我們不斷地學(xué)習(xí)和探索。

【參考資料】

［1］韋安明，王洪坡，程時(shí)端，林宇．高速網(wǎng)絡(luò)中P2P流最檢測(cè)及控制方法[J].北京郵電大學(xué)學(xué)報(bào)，2007（5）.

［2］柳斌，李之棠，李佳．一種基于流特征的P2P流量實(shí)時(shí)識(shí)別方法[J]．廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2007（S2）.

［3］梁欣榮. 淺析大學(xué)校園網(wǎng)絡(luò)管理與維護(hù)[J]. 中國(guó)科技博覽，2010（14）.