袁林英

（山东省电子信息产品检验院中国赛宝（山东）实验室 山东省济南市 250014）

现阶段，在网络技术不断发展与成熟的背景下，无线网络技术得到了迅猛发展。伴随着无线网络的快速普及应用，人们越来越依赖于无线网络的重要优势。从特点上来看，无线网络具有可移动性、灵活性、开放性、安装方便等重要优势，同时也正是因为无线网络所具备的这些特性，使得在应用过程中经常出现各种各样的安全漏洞，比如静态密钥丢失、访问机制缺陷等等。现如今，这些无线网络安全问题已经成为我国无线网络技术发展与应用过程中的关键性问题，为进一步强化无线网络安全，就必须要强化无线网络监视、加强WEP 保护、MAC 地址过滤、更换服务集标识符。

1 无线网络安全方法与技术概述

1.1 无线网络安全技术分析

用户可以在无线网络应用过程中通过安全设置来有效提高无线网络安全性与稳定性，防范各种攻击的到来。加密处理无线网络数据可以有效降低无线网络运行风险，通过合理的加密方式可以有效拦截未被授权部分的数据攻击，防止因为攻击者的不断侵犯而导致出现数据丢失、数据损坏以及数据篡改等问题，当前应用更多的几种加密方式主要包括节点加密与链路加密。确保通信安全的重要措施就是安全认证，借助于实体认证或数据认证，能够避免伪装用户在网络当中进行非法访问，但是需要注意安全认证应用期间应当做好多种防范、双向认证的完善，从而防止安全认证过于单一。访问控制可以组织未被授权的用户对无线网络进行访问，并规范用户行为，使其只能够在权限以内进行活动。数据校验则能够有效确保无线网络数据的真实性与完整性，并利用保密协议避免出现数据被恶意截留的问题。

1.2 无线网络安全必要性

近些年来，我国在不同区域部署的Wi-Fi 无线网络数量逐渐增加，如表1 所示。相较于传统网络，无线网络为用户提供了更高的自由度，进一步扩展了用户空间，更便利了人们的使用。在此期间，无线网络也带来了全新的安全性问题，严重限制无线网络的发展与完善。因为Internet 本身就有着相对脆弱的安全机制，同时无线网络原本就具有一定的开放性与局限性，因此在无线网络运行期间，将会面对相较于传统网络更加复杂且严峻的安全威胁。无线网络借助于开放性的传输线路在针对高速数据进行传输过程中，往往会伴随着各种各样的安全问题，但是在传统网络当中所研究与掌握的防控策略，目前已经不再适用于无线网络的安全防护工作。由此可见，受无线网络开放性特点的影响，既为我们带来了较大便利，同时也是我们需要面对全新的挑战，所以研究无线网络安全方法与技术至关重要。

表1：无线网络部署区域及Wi-Fi 热点数量

2 常用无线网络安全方法

2.1 访问控制

所谓访问控制，就是指避免他人在未经授权的情况下访问网络资源，能够阻止非法用户闯入系统，也能够让合法用户随意进出并根据自身权限来活动。这种安全方法能够为无线网络提供更好的扩展性，用户必须通过识别认证才能够访问端口。

2.2 数据加密

这是无线网络提高安全性的基础所在，加密传输数据是为了避免在没有授权的前提下出现数据泄露、篡改或者破坏等问题，也能够避免攻击者拦截分析数据。一般来说，数据加密还可以细分为链路加密、端到端加密以及节点解密。

2.3 安全认证

安全认证能够确保通信方身份，防止非法用户随意介入并访问网络。认证一般分为实体认证与数据认证。单一的认证方式无法起到良好效果，一般需要结合两种一起应用，且都具有单向与双向两种认证模式。

2.4 不可否认

不可否认指的就是用户无法否认自己应用的网络资源，相关服务网络也不能够对接入凭证进行伪造，双方在发生纠纷时，可通过第三方仲裁。

2.5 数据校验

校验能够确保数据完整性，借助于保密协议，避免数据传输期间被非法拦截并恶意篡改。

3 无线网络安全的主要威胁因素分析

3.1 网络监视与劫持

在有线网络当中，网络劫持属于十分常见的一种攻击方式，同时如果无线网络的安全防范不够完善，也可能导致网络监视与劫持的发生，从而实现分析无限数据包与监视广播包的效果。针对无线网络数据包开展分析一般需要十分熟练的掌握攻击技能，运用与有线网络技术相关的方式方法，实时捕获无线通信数据。现阶段劫持工具的发展呈现出了多样化特征，同时基本都可以对会话过程中产生的基础数据进行捕捉，这部分数据一般包括用户名、口令等信息，在获取的基础上，攻击者能够伪造出合法的凭证，而后执行一系列未经授权的指令。监视广播包主要通过集线器，一般不常应用。

3.2 插入攻击

插入攻击一般会造成更大的危害，同时要求反制技术的水平也应当较高。插入攻击主要产生作用的方式就是构建一个全新的无线网络，也有少部分攻击者会通过未经授权的装置对无线网络进行攻击，而这部分装置与网络大多没有通过合法协议当中的相关标准。通常情况下，无线网络都会设置一个接口指令从而有效提高防护效果，但是一旦在此期间用户不具备较强的防护意识，在使用无线网络过程中没有按照规定设置严密的输入口令，就会导致攻击者通过无线客户端将攻击直接连接至用户正常的无线网络当中，进而导致无线网络安全受到严重的不良影响。

3.3 双面恶魔攻击

所谓双面恶魔攻击，指的就是我们之前常见的“无线钓鱼”，从本质上来看，这种攻击方式就是在无线网络用户所应用的网络周围，构建起一个具有隐蔽名称的全新无线网络，从而达到欺诈性接入的目的。双面恶魔攻击在威胁网络安全过程中具有明显的被动性特点，在威胁过程中需要等待用户将无线网络接入已经构建完成的但却错误的接入点当中，而后才可以完成窃取、盗用或者直接攻击无线网络。

3.4 占用网络资源

占用网络资源的问题在现阶段的无线网络应用过程中十分常见，尤其是伴随着智能手机、智能手表以及平板电脑等诸多移动设备的快速普及，“蹭网”这种问题已经成为当前我国无线网络发展过程中一种十分“流行”且又难以解决的网络安全威胁。尽管这种问题目前不具备较强的攻击性，攻击恶意也不够大，但是一旦出现也必定会导致网络宽带被大量占用，这就无线网络的构建者而言是一种极大的损失。因此解决网络资源占用问题，也是无线网络安全当中一个细小且又十分重要的问题。

4 无线网络安全技术分析与应用

4.1 AAA技术

AAA 技术的合理运用能够有效确保网络安全。AAA 技术指的就是认证、计费以及授权三大技术的统称。能够更有利于用户访问控制。针对无线网络来说，必须确认用户身份，系统才可以结合用户认证期间申请到的实际服务类别，授予用户相关网络访问的具体权限，而后以此来明确无线网络具体的服务对象，从而启用相关设备对用户无线网络资源的利用现状进行统计，同时授权给用户相应费用。在诸多AAA 技术当中，以IP 网为基础的技术包括RADIUS、DIAMETER等等。AAA技术得以实现主要依赖于AAA协议，现阶段最常见的AAA 协议有RADIUS 以及TACACS。

4.2 WPA技术

WPA 技术主要实现的功能就是完成数据加密。为有效解决或者改善WEP 当中存在的漏洞与缺陷，即密钥属于静态而不属于非动态，WPA 应运而生，通过WPA 技术能够实现密钥的不断转换。WPA 技术一般采取科学的密钥分发机制，能够同时跨越各种无线网卡完成应用。WPA 机制主要有两种，即TKIP 与802.1。二者可以一同为用户机器提供动态化的密钥加密，以及相互认证等服务。WPA 还能够通过两种机制当中具备的认证服务器连接功能，从而完成更加有效认证与信息系统集成等关键性功能。

4.3 VPN技术

所谓VPN 技术，指的就是借助于公用网络构建起一个临时且十分安全的连接，这属于一条公用的网络隧道，具有安全且稳定穿越混乱网络环境的优势。利用VPN 技术能够有效确保无线网络运行过程中的安全性。VPN 技术借助于加密、用户认证、数据认证等，确保无线网络运行过程中的安全性。其中用户认证的主要目的就是确保用户在得到授权之后可以完成对无线网络当中数据的实时接收与发送；数据认证的主要目的就是保障数据传输过程中的完整性，同时能够确保数据的来源认证设备更加明确；加密的主要目的就是保障即便是数据被攻击者所拦截，也需要较长时间才能够完成解密。VPN 技术应用原理如图1 所示。

图1：VPN 技术应用原理

4.4 启用MAC

MAC 指的就是介质访问具体的控制地址，属于无线网卡当中的地址，针对各个设备而言都属于唯一地址，这个地址既对计算机之间存在的网络连接有着一定的定义作用，还能够在网卡硬件电路当中将其记录。因为不同无线网卡所具备的物理地址是唯一的，所以可以借助于手动方式在AP 当中设置一组访问权限更高的MAC 地址列表，从而完成过滤物理地址的目的。通过这种方式，一般需要AP 当中的MAC 地址列表可以具备实时更新的功能，一旦没有较强的可扩展性，就会导致不同AP 之间存在的漫游无法实现；MAC 地址还可以有效防止黑客入侵无线网络，从而进一步确保网络安全。

4.5 IEEE802.11

IEEE802.11 对以端口为基础的无线网络当中的访问控制进行了标准定义，一般更适用于完成了身份验证的网络访问当中。以端口为基础的无线网络访问控制，通过交换局域网络基础性结构当中的物理特性，从而验证交换机端口部位连接设备的身份。一旦在此期间身份验证失败，那么发送与接收帧当中的具体行为会直接被拒绝。应用IEEE802.11 维护无线网络安全过程中，AP 将尝试连接过程中所用到的凭证转发至另一个单独服务器当中进行验证。一般来说，无限AP 会通过RADIUS 协议将这个尝试连接的凭证发送至另一个RADIUS 服务器当中。

5 强化无线网络安全的主要措施分析

5.1 强化无线网络监视

加强对无线网络的监视，能够针对攻击者所进行的连续性监视可以尽可能实现拦截攻击，避免发生严重的数据丢失以及恶意篡改等问题。在这一活动开展期间，为有效强化无线网络监视，需要强化培训与训练管理人员的网络安全意识与能力，特别是针对黑客以及各种安全威胁的认知与应对能力。在日常的无线网络管理过程中，管理人员需要有针对性的查找与收集扫描、访问等企图日志信息，借助于专业化的统计工具，将各类数据信息转化为对自己工作有益的信息，从而及时发现攻击者的入侵位置以及潜在的网络安全威胁。

5.2 加强WEP保护

WEP 也可以称之为无线加密协议，在无线网络构建过程中是一种常见的信息加密方式，同时也属于一种保护措施，具有十分标准的执行协议。因为无线网络现阶段的普及范围越来越广，所以大部分路由器都可以实现信息加密功能，同时具备许多选择方式，加入用户可以科学的应用各种加密协议，就可以有效防止无线网络在应用过程中出现信息泄露的问题。除此之外，现阶段我国在WIFI 访问加密方面的技术水平相较于WEP 协议而言更加完善，比如WPA2 的应用，所以必须要进一步强化WEP 保护应用，从而有效提高无线网络运行过程中的通信安全性与可靠性。

5.3 MAC地址过滤

MAC 地址过滤在完成之后可以避免未经授权的网络设备非法连接到无线网络当中，MAC 地址过滤作用的根本机制就是将路由器相连的MAC 地址与路由器当中所存储的MAC 地址之间进行有效的比对，而后借助于合法访问点的选择与应用来完成保护服务。但是从技术角度出发，一般来说路由器在研发出厂过程中并不会设置MAC 地址过滤这种功能，所以要求借助于用户进行设置并将其与无线网络相连，同时将无线网络用户的MAC 地址单独的进行设置，从而避免出现位置访问与盗用网络资源的问题出现，有效提高无线网络运行过程中的安全性。MAC 地址过滤原理图如图2 所示。

图2：MAC 地址过滤原理图

5.4 更换服务集标识符

SSID 属于无线网络与互联网连接的身份证明，也必须要借助于SSID 之后，才可以完成接入点与接入点之间的联系。无线设备在研发与出厂过程中大多具备独立的服务集标识符，同时生产厂家不同一般还会有差异性设置的缺省值。而攻击者往往十分容易获取这部分服务集标识符，所以也就导致占用网络资源的问题经常出现。为有效防止这些问题的发生，用户需要针对所有接入点当中的SSID 进行非常规设置，同时强化这部分服务集标识符当中的保密程度。除此之外，还需要尽可能减少SSID 广播，从而即便是无线网络进行自动屏蔽，也可以有效预防网络资源被盗的问题。

6 家庭常见无线网络安全设置方法应用实践

家庭网络最常用的加密技术就是WPA，假设无线主机由MW54R 路由器与REALTEK 8187 网线网卡组成，有限主机建设基于RETALTEK 8139 网卡，建立一个小型家庭网络。该家庭无线网络采取360 无限入侵防御系统，如图3所示。应用实践步骤如下：在设置无线网络安全之前，首先检查好连线；设定无线宽带路由器出厂时的IP 地址；将192.168.1.1 输入到IE 地址栏当中；在路由器当中设置“基本状态”与“无线参数”；借助于客户端应用程序连接来设置无线网络用户端；连接成功。

图3：无线网络防御系统

7 结束语

综上，借助于无限网络安全设置，能够有效避免非法用户入侵，确保用户网络信息安全，提高无线网络服务质量。