陳瑞

（山西廣播電視大學(xué)，山西 太原 030027）

1 引言

縱觀無線網(wǎng)絡(luò)的整個發(fā)展歷程，其已從業(yè)務(wù)網(wǎng)絡(luò)轉(zhuǎn)化為涵蓋各種無線通信技術(shù)的智能化通信系統(tǒng)，提供了豐富多樣的業(yè)務(wù)。但是在此過程中，受多重因素影響，無線網(wǎng)絡(luò)所面臨的安全威脅問題日益嚴(yán)峻，包括非法侵入、拒絕服務(wù)、地址欺騙以及拓?fù)渥兓?，是限制其?yīng)用普及的重要因素。

2 無線網(wǎng)絡(luò)安全威脅

基于無線網(wǎng)絡(luò)應(yīng)用，各類信息傳播與交互更加便捷，但在電磁波覆蓋的范圍內(nèi)，任何接入的用戶都可能成為安全威脅因素。相較于有線信道，無線信道的帶寬較小，開放性更強(qiáng)，因而更容易遭受竊聽、干擾或篡改等攻擊。目前而言，無線網(wǎng)絡(luò)安全威脅主要表現(xiàn)在以下幾方面：

2.1 非法侵入

根據(jù)802.11標(biāo)準(zhǔn)規(guī)定，無線鏈路主要采用開放式系統(tǒng)與共享密鑰兩種身份認(rèn)證方式。其中，在開放式系統(tǒng)身份認(rèn)證的無線網(wǎng)絡(luò)環(huán)境下，任何在電磁波覆蓋范圍內(nèi)的用戶均可接入，并未有設(shè)置傳輸數(shù)據(jù)保護(hù)機(jī)制。相比之下，共享密鑰身份認(rèn)證的安全性體驗(yàn)更高，它是基于接入方與AP之間的密鑰共享，實(shí)現(xiàn)對接入方的身份認(rèn)證，但是由于其保密性較差，并不足以被完全信賴。在無線網(wǎng)絡(luò)應(yīng)用相當(dāng)普及的時代，黑客技術(shù)也在不斷更新發(fā)展，任何具有黑客知識的人，在少量裝備的加持下，如無線網(wǎng)卡、密碼破解軟件等，即可成功入侵網(wǎng)絡(luò)，甚至可能會獲取一定權(quán)限，進(jìn)而盜竊、篡改敏感信息，

給用戶信息安全造成威脅。時至今日，黑客攻擊已然成為無線網(wǎng)絡(luò)安全威脅的重要因素。

2.2 拒絕服務(wù)

所謂拒絕服務(wù)即是指惡性攻擊者通過占用大量無線網(wǎng)絡(luò)資源，導(dǎo)致合法用戶無法訪問網(wǎng)絡(luò)的現(xiàn)象。無線網(wǎng)絡(luò)是基于電磁波應(yīng)用的新型信息載體，其在運(yùn)行過程中，攻擊者與合法用戶同處于一個頻率的電磁波環(huán)境下，繼而干擾合法用戶的無線信號傳播，導(dǎo)致無法訪問網(wǎng)絡(luò)問題，甚至網(wǎng)絡(luò)癱瘓，給攻擊留有進(jìn)一步作用的空隙。同時，攻擊者還可通過向AP頻繁發(fā)送身份驗(yàn)證請求，導(dǎo)致其無法正常工作，未能及時處理正常數(shù)據(jù)包，即泛洪攻擊。另外，4G網(wǎng)絡(luò)應(yīng)用時代，攻擊者還可應(yīng)用移動模式，對無線網(wǎng)絡(luò)系統(tǒng)中的某個節(jié)點(diǎn)進(jìn)行集中攻擊，使之不停地轉(zhuǎn)發(fā)數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)傳輸速度緩慢或者停滯，被稱為消耗攻擊。拒絕服務(wù)是當(dāng)前無線網(wǎng)絡(luò)安全遭受最多的威脅之一。

2.3 地址欺騙

在無線網(wǎng)絡(luò)運(yùn)行系統(tǒng)中，接入站站點(diǎn)通過向接入點(diǎn)發(fā)起鏈路認(rèn)證的方式進(jìn)行安全防護(hù)，決定是否接受訪問，其憑據(jù)就是自身的MAC地址。但是，無線網(wǎng)絡(luò)接入站站點(diǎn)地址可以通過第三方應(yīng)用軟件進(jìn)行修改，使得接入點(diǎn)錯誤地認(rèn)為該鏈接是合法的，或者經(jīng)過網(wǎng)絡(luò)設(shè)備同意，進(jìn)而形成欺騙攻擊?，F(xiàn)階段而言，最容易達(dá)成欺騙攻擊目的的方法是，重新定義無線網(wǎng)絡(luò)MAC地址。以當(dāng)前的無線網(wǎng)絡(luò)發(fā)展來看，由于傳輸控制協(xié)議和網(wǎng)際協(xié)議設(shè)計缺陷，無法有效避免MAC地址欺騙，同時源于巨大的管理任務(wù)負(fù)擔(dān)，此種安全方案極少被采用。在此過程中，為了防護(hù)無線網(wǎng)絡(luò)安全，唯有通過智能事件記錄和監(jiān)控日志才能治理已經(jīng)發(fā)生的欺騙行為。事實(shí)上，單純地通過重新提交AP身份認(rèn)證，并非能發(fā)揮良好的無線網(wǎng)絡(luò)安全防護(hù)功能。

2.4 拓?fù)渥兓?/h3>

基于無線網(wǎng)絡(luò)管理理念導(dǎo)向，可對不同用戶群體的訪問權(quán)限進(jìn)行審查和限制，可起到一定的安全防護(hù)作用。在有線網(wǎng)絡(luò)應(yīng)用環(huán)境下，可通過虛擬局域網(wǎng)和網(wǎng)絡(luò)訪問控制列表的雙重作用，實(shí)現(xiàn)對安全威脅的避除。而在無線網(wǎng)絡(luò)應(yīng)用環(huán)境下，客戶端的移動性特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)拓?fù)渥兓喈?dāng)頻繁，甚至每時每刻都在發(fā)生，一定程度上增加了網(wǎng)絡(luò)管理的難度。相比較而言，對不同無線網(wǎng)絡(luò)用戶群體進(jìn)行差異化訪問權(quán)限應(yīng)用實(shí)非易事。在這種情況下，為了維護(hù)無線網(wǎng)絡(luò)安全及穩(wěn)定，管理者需要耗費(fèi)大量時間和精力，同時，由于地理位置變化而造成的身份重新認(rèn)證，亦影響了用戶服務(wù)體驗(yàn)。因此，拓?fù)渥兓療o疑給無線網(wǎng)絡(luò)安全造成了威脅，稍有處置不當(dāng)，可能會增加用戶信息泄露風(fēng)險。

3 無線網(wǎng)絡(luò)安全威脅的應(yīng)對措施

在現(xiàn)代化創(chuàng)新科技發(fā)展背景下，解決問題的辦法永遠(yuǎn)比問題多，這亦是社會進(jìn)步的根本意義。人們在享受無線網(wǎng)絡(luò)帶來的便捷性服務(wù)的同時，也面臨著比有線網(wǎng)絡(luò)更加復(fù)雜的安全風(fēng)險，直接損害了其自身利益?；谏鲜龇治觯Y(jié)合實(shí)際情況，針對性地提出了以下幾種無線網(wǎng)絡(luò)安全威脅應(yīng)對措施：

3.1 端口訪問控制

基于802.1x端口訪問控制技術(shù)，集合了RADIUS認(rèn)證和MAC地址認(rèn)證的雙重優(yōu)勢特點(diǎn)，是一種有效增強(qiáng)無線網(wǎng)絡(luò)安全性能的解決方案。在該運(yùn)行系統(tǒng)中，申請者、認(rèn)證者和認(rèn)證服務(wù)器共同組成一個新的架構(gòu)，由申請者發(fā)起身份認(rèn)證，并通過認(rèn)證服務(wù)器對密鑰加密轉(zhuǎn)換后發(fā)給申請者，在確認(rèn)合法之后可成功接入無線網(wǎng)絡(luò)。當(dāng)無線網(wǎng)絡(luò)用戶與AP關(guān)聯(lián)后，由802.1x認(rèn)證結(jié)果決定是否可以使用AP服務(wù)，如果通過，則可向申請者打開AP服務(wù)端口，如若不然則會禁止用戶上網(wǎng)，最終實(shí)現(xiàn)高效的安全防護(hù)功能。同時，基于802.1x端口訪問控制技術(shù)，還能夠提供安全防護(hù)之外的計費(fèi)服務(wù)。時至今日，端口訪問控制已然成為有效應(yīng)對無線網(wǎng)絡(luò)安全威脅的重要措施。

3.2 使用WPA2算法加密

無線加密協(xié)議WEP是保護(hù)無線網(wǎng)絡(luò)信息安全的體制，在傳統(tǒng)規(guī)制下，其密鑰多采用16或32位的加密方式，雖在一定時期內(nèi)發(fā)揮了重要的安全防護(hù)功能，但是很容易被當(dāng)下網(wǎng)絡(luò)上的非法軟件破譯，并且用時非常短。對此，建議采用128位的WPA2密鑰認(rèn)證方案，WPA2是在原有WEP算法的基礎(chǔ)上發(fā)展而來，其通過技術(shù)改進(jìn)很好地消除了原有WEP算法在安全性能等方面存在的不足與缺陷，對于網(wǎng)絡(luò)安全的保護(hù)而言至關(guān)重要。具體來講，在密鑰的選擇上，WPA2算法使用了最為先進(jìn)的動態(tài)密鑰管理辦法，在系統(tǒng)升級的過程中會自動對密鑰進(jìn)行動態(tài)更新。在具體的操作過程中，還需在每一幀中加入校驗(yàn)和，以保證信息數(shù)據(jù)完整性，有效防止數(shù)據(jù)流中插入已知文本進(jìn)而破解密鑰的攻擊行為。這些措施的實(shí)施都有效保障了無線網(wǎng)絡(luò)的信息安全，使得不法分子對于無線網(wǎng)絡(luò)的攻擊無從下手，降低了無線網(wǎng)絡(luò)安全威脅事件的發(fā)生率。

3.3 實(shí)現(xiàn)地址過濾

常規(guī)來說，無線路由器或AP在進(jìn)行IP地址分配時，均是默認(rèn)選用動態(tài)IP地址分配，一旦不法分子找到了無線網(wǎng)絡(luò)，即可通過DHCP獲取合法的IP地址，增加了無線網(wǎng)絡(luò)的安全風(fēng)險。對此，可采用靜態(tài)IP與MAC地址綁定的方式，關(guān)閉DHCP服務(wù)，減少由此帶來的無線網(wǎng)絡(luò)安全風(fēng)險。在此過程中，可為局域網(wǎng)內(nèi)的每臺電腦分配固定IP地址，并確認(rèn)其合法，只準(zhǔn)許合法地址訪問無線網(wǎng)絡(luò)，達(dá)到安全防護(hù)的目的。同時，仔細(xì)辨別日志記錄中的錯誤，繼而斷定是否存在無線網(wǎng)絡(luò)安全隱患，針對性地采取有效應(yīng)對措施。目前，市面上的無線網(wǎng)絡(luò)入侵檢測系統(tǒng)越發(fā)專業(yè)，其功能設(shè)定使之能夠自行判斷、分析入侵行為，通過流量異常檢測其是否合法，一旦確認(rèn)非法入侵即會發(fā)出警報，并禁止用戶訪問網(wǎng)絡(luò)。

3.4 無線漫游技術(shù)

由于無線網(wǎng)絡(luò)終端的流動性特點(diǎn)，給管理者造成了極大的工作難度，傳統(tǒng)分層管理模式已然難以適應(yīng)現(xiàn)實(shí)需求。同時，無線應(yīng)用區(qū)域變化，需要用戶不斷刷新登錄新的AP，影響了他們的便捷性信息服務(wù)體驗(yàn)。而基于無線漫游技術(shù)的無線網(wǎng)絡(luò)系統(tǒng)，可以實(shí)現(xiàn)無論用戶處于哪個AP覆蓋范圍，皆可進(jìn)行網(wǎng)絡(luò)分組管理，很大程度上減輕了管理人員的工作負(fù)擔(dān)。同時，該種應(yīng)用模式下，用戶只需登錄一次，即可持續(xù)使用無線網(wǎng)絡(luò)，大大提升了其靈活性和安全性。

3.5 加強(qiáng)人才培育

知識經(jīng)濟(jì)時代，人才是推動社會可持續(xù)發(fā)展的核心資源和動力。在當(dāng)下的無線網(wǎng)絡(luò)應(yīng)用環(huán)境下，加強(qiáng)人才培育是改善安全環(huán)境的重要方式。在具體的過程中，各級應(yīng)用單位，如學(xué)校、企業(yè)等，應(yīng)完善內(nèi)部管理機(jī)制，禁止員工私自安裝AP和對外透露網(wǎng)絡(luò)設(shè)置信息，以免增加無線網(wǎng)絡(luò)的安全風(fēng)險。同時，應(yīng)用單位還需加強(qiáng)員工培訓(xùn)教育工作，宣傳無線網(wǎng)絡(luò)安全意識，及時更新他們的技術(shù)技能架構(gòu)，尤其對于網(wǎng)絡(luò)管理人員，更需加強(qiáng)其專業(yè)化水平建設(shè)，積極引入先進(jìn)科技裝備，并使之有效掌握和應(yīng)用。另外，國家應(yīng)從法制層面上規(guī)范網(wǎng)絡(luò)行為，堅(jiān)決打擊惡性攻擊，并采取必要的懲處手段，提高全民網(wǎng)絡(luò)安全建設(shè)意識，維護(hù)社會穩(wěn)定和諧。

4 結(jié)語

總而言之，無線網(wǎng)絡(luò)在為用戶帶來諸多便捷性信息服務(wù)體驗(yàn)的同時，亦增加了用戶信息安全威脅，因此，其有效應(yīng)對至關(guān)重要。隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展革新，需要結(jié)合實(shí)際情況，綜合分析無線網(wǎng)絡(luò)的安全威脅，并針對性地提出更多有效應(yīng)對措施。