潘仰峰

(中國移動通信集團江蘇有限公司 鹽城分公司，江蘇 鹽城 224000)

一 無線網絡存在的安全問題

(一)非法竊聽

無線網絡通信中，全部數(shù)據(jù)信息都是通過無線信道完成傳輸?shù)?，如果非法分子具有良好的無線設備，可以輕松竊聽到無線信道的數(shù)據(jù)信息。而且，無線局域網中傳輸?shù)臄?shù)據(jù)信息更容易被非法竊聽，雖然無線局域網的通信設備傳輸距離有限、發(fā)射頻率較低，但是，非法分子仍然可以利用高增益天線越過傳輸距離進行非法竊聽。

(二)假冒攻擊

假冒攻擊指的是一個實體假裝成另外一個實體對無線網絡發(fā)起訪問，這是對安全防線發(fā)起入侵的普遍方法。無線網絡通信中的移動站、控制中心和其他移動站之間沒有任何物理連接，移動站的身份信息只能通過無線信道傳輸，傳輸?shù)倪^程中極有可能遭到竊聽，當非法入侵者竊聽到一個合法用戶的身份信息時，就可以假冒該合法用戶對網絡進行攻擊。

(三)信息篡改

信息篡改指的是非法入侵者將獲取到的數(shù)據(jù)信息進行修改，再將數(shù)據(jù)信息傳送到接收端，一是對合法身份用戶的通信數(shù)據(jù)進行惡意破壞，使得合法用戶之間無法建立網絡連接;二是將篡改后的數(shù)據(jù)信息傳輸給接收端，使得接收者相信并使用篡改后的數(shù)據(jù)信息，這對信令傳輸將造成極大威脅。

(四)重傳攻擊

重傳攻擊指的是非法入侵者將獲取到的數(shù)據(jù)信息放置一段時間之后重新傳輸給接收者，目的是將數(shù)據(jù)信息在已經發(fā)送變化的環(huán)境下仍然具有有效的功能。而且，無線網絡通信設備的失竊風險比較嚴重，設備不僅僅作為一個通信工具，還存儲著大量的用戶隱私信息，因此，對于無線網絡通信設備的失竊保護也非常重要。

二 無線網絡的安全保障機制

(一)數(shù)據(jù)加密機制

當數(shù)據(jù)加密密鑰與解密密鑰不相同時，說明每一個用戶同時擁有公開密鑰和秘密密鑰兩個密鑰，則其成為非對稱密碼系統(tǒng)。任意人員都可以使用一個用戶的公開密鑰，將數(shù)據(jù)信息進行加密之后在發(fā)送給該用戶，但是只要該用戶能夠使用自己的秘密密鑰對數(shù)據(jù)信息進行解密，沒有秘密密鑰的人員無法對數(shù)據(jù)信息解密。公鑰密碼的算法非常復雜，不適用于無線網絡的通信傳輸，否則會耗費大量的系統(tǒng)資源。

(二)身份認證機制

身份認證機制需要提供雙方的身份信息，防止非法人員假冒合法用戶身份。身份認證在密碼學中主要是檢驗證明一方是否能夠提供秘密答案，例如提供證明一方和驗證一方共有的秘密密鑰等等。由于身份認證方案是在運算簡單的算法基礎之上，因此適用于無線網絡通信中的用戶身份認證。

(三)不可否認機制

數(shù)字簽名技術的用于不可否認機制，目的是防止一方發(fā)生抵賴現(xiàn)象。數(shù)字簽名技術具有以下幾種優(yōu)勢：一是采用電子數(shù)據(jù)信息形式，適用于在網絡中傳輸;只有掌握秘密密鑰的人員才能生成數(shù)字簽名，偽造數(shù)字簽名現(xiàn)象得以遏制;完成對整個消息的數(shù)字簽名后不可更改。

三 無線網絡的安全問題防御對策

(一)防火墻系統(tǒng)

防火墻系統(tǒng)由軟件部分和硬件部分共同構成，在兩個網絡之間進行設置進行隔離。防火墻系統(tǒng)的控制策略由使用人員自行配置，以此保證內網與外網之間的安全連接。防火墻系統(tǒng)的主要功能包括阻止和允許兩種。通常情況下，防火墻系統(tǒng)的主要任務是阻止控制，防火墻系統(tǒng)的兩個分組過濾路由器屬于標準路由器，但同時能夠對分組數(shù)據(jù)信息進行檢查，一個路由器負責檢查進入內網的分組數(shù)據(jù)，另一個路由器負責檢查內網輸出的分組數(shù)據(jù)，將符合安全條件的分組信息設置通過。

(二)虛擬專用網絡

虛擬專用網絡(VPN)在互聯(lián)網傳輸?shù)膬炔繑?shù)據(jù)報是已經完成加密的，因此，虛擬專用網絡在互聯(lián)網上經過的路由器都無法掌握內部數(shù)據(jù)報的內容，例如：一個企業(yè)的部門A到部門B就是一條VPN隧道。VPN具有以下幾個特點：一是能對兩個網絡節(jié)點或者兩個網絡之間的數(shù)據(jù)通信進行加密;二是VPN是基于軟件實現(xiàn)的，能夠提供不同級別的加密。因此，VPN的建立能夠實現(xiàn)異地辦公的網絡通信安全。

(三)遠程身份驗證撥入用戶服務

遠程身份驗證撥入用戶服務(RADIUS)主要包括三種網絡安全控制功能：一是身份認證，通過一個網絡安全控制中心對任意一個遠程用戶的口令和密碼進行驗證，當確認用戶用后合法身份時才能夠對無線網絡發(fā)起訪問;二是用戶授權，每一個新的連接都為遠程無線局域網用戶的訪問點提供需要的信息。三是日志記錄，能夠記錄遠程無線局域網的連接信息，包括連接時間、用戶身份等等。而且，RADIUS還可以實現(xiàn)雙向用戶身份認證，由此，非法入侵者就無法實現(xiàn)假冒合法用戶身份對網絡發(fā)起攻擊。

四 結論

綜上所述，無線網絡通信與有線網絡通信相比，不會受到網線接口、網絡設備等物理區(qū)域的限制，數(shù)據(jù)傳輸更為簡單快捷。隨著筆記本電腦的普及，無線網絡的應用也愈加廣泛，無線網絡的通信安全是網絡安全領域的重點研究，本文提出的無線網絡安全防御對策具有一定的理論指導意義。

[1]池水明，孫斌.無線網絡安全風險及防范技術芻議[J].信息網絡安全.2012(03)

[2]宋玲.淺議無線網絡的安全隱患與防范措施[J].科技信息.2012(10)