王麗

【摘 要】無線網(wǎng)絡(luò)在各行各業(yè)應(yīng)用越來越廣泛，但是隨之帶來的無線網(wǎng)絡(luò)安全問題也越來越多，因此無線網(wǎng)絡(luò)的通信安全性也越來越收用戶的關(guān)注。對于有線網(wǎng)絡(luò)而言，都存在著許多安全問題，更何況通過無線介質(zhì)進(jìn)行傳輸?shù)臒o線網(wǎng)絡(luò)的安全性就可想而知了。然而現(xiàn)有的無線網(wǎng)絡(luò)安全機(jī)制已無法滿足人用戶對通信安全的需求，確保無線網(wǎng)絡(luò)安全是非常必要的。本文對無線網(wǎng)絡(luò)的安全隱患進(jìn)行了分析，并對無線網(wǎng)絡(luò)安全技術(shù)進(jìn)行了研究。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;無線加密;網(wǎng)絡(luò)技術(shù)

1 無線網(wǎng)絡(luò)的安全隱患

無線網(wǎng)絡(luò)存在著很多安全隱患，以下介紹幾種安全隱患。

1.1 未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)

無線局域網(wǎng)采用開放式訪問，非法用戶在未經(jīng)授權(quán)的情況下私自使用無線局域網(wǎng)資源，非法用戶占用寶貴的無線信道資源，這樣的非法行為不僅影響合法用戶正常使用無線局域網(wǎng)，如果非法用戶在沒有遵守?zé)o線局域網(wǎng)的使用規(guī)則，則有可能引起許多糾紛。

1.2 地址欺騙和會(huì)話攔截

在無線局域網(wǎng)的環(huán)境中，未經(jīng)允許的用戶通過竊聽等手段竊取無線網(wǎng)絡(luò)中合法用戶的 MAC 地址，非法用戶竊取合法用戶的物理地址后便可以對無線網(wǎng)絡(luò)中的用戶進(jìn)行惡意攻擊。IEEE802.11不會(huì)對AP身份進(jìn)行認(rèn)證，未經(jīng)允許的用戶輕易就會(huì)偽裝成接入點(diǎn)連入網(wǎng)絡(luò)，從而獲取合法用戶的鑒別身份信息，非法用戶便可通過攔截會(huì)話實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。

1.3 高級入侵

攻擊者進(jìn)入WLAN，將會(huì)進(jìn)一步入侵其他系統(tǒng)， 無線局域網(wǎng)布局在防火墻之后，非法用戶攻破無線網(wǎng)絡(luò)存在的安全漏洞，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)都會(huì)被入侵者掌控。

1.4 重傳攻擊

重傳攻擊是指有效信息被攻擊者竊聽到，并改變有效信息，在利用適當(dāng)?shù)臅r(shí)機(jī)，再重傳給信息的接受者[1]。

1.5 無線網(wǎng)絡(luò)設(shè)備易失竊

由于無線設(shè)備的功能不斷增強(qiáng)，它不僅是一個(gè)通信工具，還存儲(chǔ)著一些用戶信息，不法分子可以盜取無線移動(dòng)設(shè)備，從而達(dá)到不法的目的，因此確保無線設(shè)備不被盜取也是很重要的。

2 無線網(wǎng)絡(luò)安全技術(shù)

2.1 物理地址（MAC）過濾

MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部[2]。無線網(wǎng)卡都有唯一MAC標(biāo)識(shí)，在無線路由設(shè)備中可以手動(dòng)設(shè)置一些MAC 地址，從而達(dá)到物理地址過濾。但是這種方法也有弊端，如果隨著接入用戶的增加，過濾的MAC地址是有限的，還有非法用戶也可以通過網(wǎng)絡(luò)竊聽合法的MAC地址表，加之物理地址并非不可修改，不法用戶竊取合法用戶的物理地址是完全可能的。由此可見，物理地址過濾可以起到一定的安

全作用，但并不是一種非常有效的無線安全身份認(rèn)證技術(shù)。

2.2 服務(wù)區(qū)標(biāo)識(shí)符 （ SSID ） 匹配

SSID（Service Set Identifier）也作ESSID，直譯為“服務(wù)區(qū)識(shí)別碼”或“服務(wù)區(qū)標(biāo)識(shí)符”，可以簡單把它理解成網(wǎng)絡(luò)中“工作組”的概念，它主要用來區(qū)分不同網(wǎng)絡(luò)，最多可以有32個(gè)字符組成[3]。在相同的無線局域網(wǎng)中無線設(shè)備的SSID需要設(shè)置相同，才可相互通信。在無線網(wǎng)卡中，通過設(shè)置不同SSID，可以進(jìn)入不同無線網(wǎng)絡(luò)。SSID還具備一定的安全機(jī)制，如果用戶在無線接入點(diǎn)上設(shè)置了接入密碼，那么無線客戶端與無線接入點(diǎn)需要正常連接就需要輸入正確的密碼，才可以接入無線網(wǎng)絡(luò)。AP將SSID廣播出來，用戶便可通過操作系統(tǒng)自帶的掃描功能掃描出在該區(qū)域的SSID。

接入點(diǎn)或無線路由器的SSID如果采用廠家在出廠時(shí)對該產(chǎn)品SSID的設(shè)置，則可能會(huì)發(fā)生因網(wǎng)絡(luò)中存在多臺(tái)相同型號的AP或無線路由器，SSID號相同而導(dǎo)致無線網(wǎng)絡(luò)沖突的問題。還有，AP和無線路由器采用默認(rèn)設(shè)置下開啟“允許SSID廣播”功能，這樣的功能可將SSID號廣播到整個(gè)WLAN內(nèi)的所有終端。這種方式雖然方便用戶中終端無線網(wǎng)卡自動(dòng)接收廣播的SSID，但也為非法用戶輕易接入無線網(wǎng)絡(luò)提供了方便。

針對上面的問題，利用SSID設(shè)置可以很好地進(jìn)行用戶群體分組，設(shè)置隱藏接入點(diǎn)AP及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的。SSID可以通過設(shè)置準(zhǔn)許進(jìn)入密碼從而實(shí)現(xiàn)一定的安全，但密碼是認(rèn)為設(shè)置的，現(xiàn)在存在很多解密軟件，因此用戶的口令復(fù)雜程度也在一定程度上決定這種安全機(jī)制的安全程度。

2.3 WEP加密機(jī)制

WEP加密機(jī)制作為IEEE 802.11安全核心，WEP 采用對稱性加密算法，在加密器中通過加密密鑰進(jìn)行加密，再進(jìn)行信息傳送，再在解密器中通過解密密鑰進(jìn)行解密，在加密和解密的過程中均使用同一把密鑰。這把密鑰將會(huì)被輸入每一個(gè)客戶端以及存取點(diǎn)之中，而所有資料的傳送與接收，不管在客戶端或存取端，都使用這把共享密鑰（Share Key）來做加密與解密。WEP也提供客戶端使用者的認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上存取點(diǎn)時(shí)，客戶端利用共享密鑰進(jìn)行認(rèn)證，確保正確后方能進(jìn)入無線網(wǎng)絡(luò)。

2.4 WPA加密機(jī)制

在802.11中，WPA加密機(jī)制相比WEP加密機(jī)制的安全性更高，這種機(jī)制要求用戶必須提供某種形式的憑據(jù)，以此說明本用戶是合法的。某些無線資源對合法用戶是有權(quán)限要求的。

WPA有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，它比WEP更有優(yōu)勢。在保證信息的完整性方面，WPA機(jī)制使用了稱為“Michael”的更安全的訊息認(rèn)證碼（在WPA中叫做訊息完整性查核，MIC），WPA使用的 MIC包含了幀計(jì)數(shù)器，可以避免針對WPE的回放攻擊[4]。WPA2是WPA的改進(jìn)，在WPA2中，WPA中的"Michael"算法由更加安全的認(rèn)證碼所取代，而WPE的加密算法也被WPA中的AES加密算法取代。

3 結(jié)束語

由于無線網(wǎng)絡(luò)是通過無線介質(zhì)的傳輸，相對于有線網(wǎng)絡(luò)而言，WLAN更需要安全保障。在現(xiàn)有的條件下，保障無線網(wǎng)絡(luò)安全技術(shù)已有很多。但是，要保障無線網(wǎng)絡(luò)的安全，還需針對不斷改變的無線網(wǎng)絡(luò)安全問題而相應(yīng)的增強(qiáng)和改進(jìn)現(xiàn)有的安全技術(shù)，以此來保障無線網(wǎng)絡(luò)安全。

【參考文獻(xiàn)】

[1]謝俊漢.淺析計(jì)算機(jī)無線網(wǎng)絡(luò)技術(shù)及其應(yīng)用[J].中國教育技術(shù)裝備，2007.

[2]劉劍.無線網(wǎng)通信原理與應(yīng)用[M].清華大學(xué)出版社，2002，11，01.

[3]袁超偉，張金波，姚建波.三網(wǎng)融合的現(xiàn)狀與發(fā)展[J].北京郵電大學(xué)學(xué)報(bào)，2010（6）

[4]張中奎.接入網(wǎng)技術(shù)[M].人民郵電出版社，2003.

[責(zé)任編輯：張濤]