无线网络安全风险及防范技术探讨

陈卓民

（陕西警官职业学院，陕西 西安 710021）

无线网络安全风险及防范技术探讨

陈卓民

（陕西警官职业学院，陕西 西安 710021）

当前，伴随着互联网技术的快速发展，无线网络也得到了极大的发展与应用，人们的日常生活和工作当中都已经广泛应用，其普及程度越来越高。然而在无线网络给人们的生活、工作带来极大便利的同时，相关的安全风险也层出不穷。针对开放性所设计的无线网络信号，在传输过程之中的数据内容无法得到可靠的保障，因而也就使得传输的无线数据信息极易被人在中途截获，致使相关的机密信息被窃取。文章主要就目前无线网络所存在的安全风险予以简要的介绍，而后针对几类不同的加密模式进行对比探讨，最终针对无线网络安全风险，提出了一些具体的防范措施。

无线网络；安全风险；防范技术

伴随着无线网络普及率的不断提升，大量的个人、企业甚至是政府部门都应用无线网络进行信息的发送。而通过对于无线网络的应用也促使日常办公与信息传递更加高效，其所具备的便利性与实用性极大地推动了人类的发展。然而无线网络却在某种程度上存在着严重的安全隐患，这同其自身的开放性传播设计存在明显的相关性。无线网络信息在传输过程之中，对于所传输的数据内容难以做到有效的安全防护，以及导致数据内容的丢失。因而，怎样能够确保无线网络的安全性，应用更为高效的安全保护机制，已经日益成为目前无线网络所面临的重要难题之一。

1　应用无线网络防范技术的必要性

无线网络自身的物理构成结构直接决定了其在联网方面的便捷性，但是与此同时也使得自身对于网络资源的物理访问难以得到有效的控制。和传统的有线网络相对比而言，无线网络由于自身所具备的便捷、灵活、高效等显著优势极大地延伸了用户在应用网络时的自由性，促使人们的应用空间得到了极大地增长，给人们带来了极大的便利性。但是同时也应当认识到，这一技术所存在的安全隐患也是极大的，并且这一方面的问题现已成为限制无线网络实现更大范围普及应用的主要障碍难题。无线网络所具备的移动特性促使各个移动的节点不具备充足的物理防护，相关的网络攻击者极易借助于移动设备进行攻击，相应的安全管理难度较传统网络而言成倍增加。无线网络所较常遭受的攻击类型主要有搜索式供给、信息隐私泄露、非法访问、网络修改等。因而就这一技术的安全风险及防范技术展开相关的探究工作是十分必要的。

2　常用的无线网络加密技术

2.1 WEP技术

WEP全称为Wired Equivalent Privacy，是一类安全性相对较差的无线网络安全算法。WEP在最初是应用于IEEE 802.11当中的一部分内容，其主要的目的是为了实现无线网络数据在传输过程当中的保密性目的，从而满足或是接近传统网络的安全性准则。WEP是通过10个或是26个的十六进制数字串所构成，从而给予应用路由器配置工具的无限用户做出安全性的抉择。此项技术应用RC4串流加密技术来实现了对于数据保密性的要求，同时应用CRC-32进行验证对比来满足于资料准确性的要求。

WEP应用一项40位的密钥予以密码保护，同时应用RC4 与CRC-32进行对比验证，这是通过对于24位初始化向量予以衔接合并后所产生出的RC4密钥。一般情况下，一项64位制的WEP密钥在十六进制的条件下连续输入以10个字符串。其中每一个字符串分别表示4位数值，并且在此之中每一位乘10之后即为40位，再将之加入以24位之后便会形成完整的64WEP密钥。大部分的设备往往还支持用户采取5这一关键字进行ASCII字符串的输入，其中每一项字符串在被划分为8组之后于ASCII字符的字节值位开启。但是，此方面内容对于每一字节所印制出的ASCII字符作出了较大的限制性，其中只有很少的一部分存在有可能会被破解的危险，从而也就极大地降低了信息在传输过程当中出现被破解的可能性。

一般而言，一项128位进制的WEP密钥在十六进制的条件下输入了26项字符串，其中26项字符串当中的每四项数值即为104位；另外在应用了24位的IV之后将会生成128位的WEP密钥内容。在目前所应用的无线网络设备当中，普遍都允许用户可以输入13项ASCII字符串。

2.2 WEP以及WPA2技术

WPA（Wi-Fi Protected Access）包含了WPA与WPA2两项安全计算准则，其中WPA主要包涵了安全协议及认证内容，WPA协议能够满足于IEEE 802.11i之中的绝大多数内容。简单来说，即在一般的临时性密钥完整协议之中应用WPA准则。而WEP当中所较多应用40与128位加密密钥，对于所需接入的设备及接入点均采取人工手动录入到无线网络当中，且不会自主发生变化。TKIP应用一包一密的加密方法，即通过动态性的产生出一项128的新型密码计算方法，以实现对于每项关键数据内容的有效保护，进而避免其受到攻击威胁。此种技术手段是一类保护无线网络安全所较为可行的技术手段，针对这一手段的研究工作是基于上一代无线网络用户的实际需求所产生出的，WPA以及WPA2技术较为有效地改善了WEP加密方法当中所存在的几点不足之处。WPA是基于IEEE 802.11i的准则之上所产生出的代替WEP的一项过渡内容，WPA的设计工作可应用于大部分的无线网卡当中，然而却并不一定可以应用在第一代无线网络取用点当中。

WPA2是通过Wi-Fi联盟所检验证实的一种基于IEEE 802.11i准则的认证技术。WPA2有效地满足了IEEE 802.11i的强制性要求，尤其是Michael算法应用被更为安全的CCMP信息认证码所替代，但同时AES也替代了RC4。然而应当引起注意的是WPA2其本身也存在有一些显著的不足之处，比如无法应用到一些相对较为陈旧的网卡设备当中。

WPA相较于WEP而言具备更为良好的数据加密性能。WEP所应用的加密与解密方法是一致的并且是静态性的密钥，即永不过期；而WPA则是利用一项安全密钥机制针对数据予以保护处理，此机制可利用临时密钥的完整性协议予以满足，这同时也是无线加密技术当中的一项重大进步。此系统借助于每一特定时间量来针对数据传输过程之中的密钥予以修改，从而可有效地规避攻击者针对数据的破坏及窃取行为。

WPA在数据的完整性方面的控制性要明显优于WEP，能够避免黑客对目前所现存的数据信息予以修改，而后重新再将数据信息传输至接入点当中。

3　WEP存在的安全隐患问题

如下列公式1所示，假定IV随机关键部分是24位字段，在IEEE 802.11i的技术条件之下实行AP11Mbps传输，能够于5小时当中基本耗尽IV部分。

IEEE 802.11i的接入点会生成一项最大值11Mbps的数据内容，但是一般系统所给予的开销无法满足于此类传输要求，因为开销和数据包之间的冲突性，便能够增多一项IV在重新被应用前的时间段。无论在何种状况之下，在相对较为有限的IV空间之中其所能够应用的时间不足1.5d，并且还存在有一项关键密钥流被重新应用的可能性。在此相对较为有限的时间区间当中，网络攻击者在获取到两项加密之后的密文数据信息以及密钥流后，便能够实现统一攻击以及明文的复原。若网络攻击者对明文内容进行恢复处理，或是采取其它手段方法来获取关键信息，便能够获取到其他的相关密文信息。因而，较易受到窃听者的攻击，以及遭受非法阻截与破解。

若攻击者明确掌握相应的明文与密钥流之时，便能够分析出相应的关键密钥流。获取上述信息内容之后，便可建立其相应的虚假信息内容，并对CRC-32数值予以计算，同时通过对于异常操作的执行来获得相关的密钥流来实现对于密文数据信息的解密，这一数据密文内容还有可能会被发送到攻击者的无线网络服务器当中。

一般情况下在网络攻击者所捕获到的数据包当中仅含有50000字节内容之时，要想破解一项104位制的WEP概率为60%；在所捕获到的数据包当中若含有的字节数超过70000字节是，破解一项104位制的WEP概率为80%左右；在所捕获到的数据包当中若系统被含有的字节数超过80000字节是破解一项104位制的WEP概率为90%左右。假定Active系统被deauth与ARP等程序所攻击，在还有50000字节内容时相关的数据包便会在不到1分钟之内被破解。此外，同样的攻击若对于位数较低的密钥，将会具备更为明显的攻击成功率。

4　无线网络安全风险防范措施

4.1 隐藏SSID

SSID（Service Set Identifier）这一服务性标识一般是针对不同的网络体系予以区分，基本等同于有线网络环境当中的VLAN，在终端接入了任一SSID的网络之后便无法再同其他的SSID予以信息互通。从安全角度出发，无线设备的厂家设计出了能够使SSID予以隐藏的功能。这一技术手段，能够有效地避免未经授权许可的非法入侵者截获到隐藏SSID设备的禁用接入点名称。这主要是由于接入一段无法通过系统自带的功能来扫描到此真实存在的无线网络地址，但同时也应当对专业破解无线网络的工具进行一定的预防，以避免其分析SSID。

4.2 设置白名单

Mac地址过滤是在有线网络环境之下应用较为普遍的一类安全技术手段。此种技术手段同样也能够在无线网络的环境之下发挥出同等价值的效用。无线网络当中的Mac地址过滤其实际的操作方法与有线网络当中的Mac地址过滤几乎一致。在将终端网卡的合法Mac地址录入到无线控制设备的白名单之中，相应的不存在于白名单当中的Mac地址所进行的一切访问均会被拒绝。

4.3 应用WPA以及WPA2技术

为了应对WEP所存在的安全漏洞，一般建议应用WPA 与WPA2加密模式，其能够给予的系统安全性相较于WEP更为可靠，安全保密的等级更为严格。此外，还要针对非法入侵对于WPA与WPA的非法暴力接触采取相应的预防措施，并且定期针对WPA与WPA2的密钥进行修改。

4.4 DOS攻击防范

开启DOS攻击防范功能，在一定的时间区间之内针对数据内容采取统计处理，若经过统计后所得到的数据信息，例如ICMP，UDP，TCP-SYN等内容满足了所预先设定出的阀值时，系统则默认DOS攻击行为已经产生，相应的路由器便会停止再接收此类型的数据内容，进而也就能够实现对于攻击性行为的预防作用。此外，还应当开启“禁止来自LAN口的Ping包通过路由器”这一功能，便能够十分有效地避免在短时间内对于主机传送过量的Ping包从而使得网络资源发生阻塞，或者是主机资源被过量损耗。

4.5 应用端口访问控制技术

此项技术一般也是对于无线网络的一种增强性网络解决措施。在无线工作站和无线路由相关联以后，能否应用无线路由器所提供的服务则主要由8021.x认证结果所决定。若

认证通过，无线路由设备则开启此逻辑端口，反之则拒绝。8021.x在对端口访问提供控制作用之外，还提供用户认证系统，能够促使相应的网络管理人员更加方便地控制网络接入。

5　结语

无线网络正在以难以置信的速度席卷全球，但与此同时相伴而生的各类安全风险问题也日渐增多，在本次研究中主要就针对无线网络当中的几类主要安全技术，采取了对比性的分析探讨，以希望能为用户在安全保护方法的选择上提供以必要的帮助，另外，在无线网络技术还未取得较大突破时，应用传统有线网络当中相对更加成熟的安全保护措施，来对无线网络安全技术的缺陷予以适当的补充，不失为一种可行的应用策略。

［1］郭显，冯涛，袁占亭，等.由编码感知多跳无线网络安全路协议［J］.通信学报，2012（6）：133-141.

［2］冯涛，马建峰.无线传感器网络密钥种子管理和分配模型及应用［J］.计算机研究与发展，2008（1）：146-153.

［3］冯涛，马建峰.防御无线传感器网络Sybil攻击的新方法［J］.通信学报，2013（6）：13-19.

［4］李之棠，武洋.一种基于无线网络的动态加密方法［J］.大连理工大学学报，2015（z1）：180-184.

［5］唐炼，王小龙.基于模式匹配的无线网络安全配置核查工具［J］.计算机与现代化，2015（10）：98-102.

Discussion on Wireless Network Security Risk and Prevention Technology

Chen Zhuomin
（Shanxi Police Vocational College， Xi'an 710021， China）

At present， with the rapid development of Internet technology， wireless network has also been great development and application， which is also widely used in people's daily life and work， and become more and more popular. However， while giving great convenience to people's life， the the security risks associated to wireless network also emerge in endlessly. Infinite network signal for the open design， in the transmission process of data content can not be reliable protected， and thus makes the transmission of wireless data information very easy to be intercepted， resulting in the confidential information from being stolen. This article gives a brief introduction to the current wireless network existing safety risk ， and then discusses on several classes of different encryption mode for comparison，and ultimately for the wireless network security risks.

wireless network； security risk； prevention technology

陈卓民（1980— ），男，甘肃酒泉。