無(wú)線(xiàn)網(wǎng)絡(luò )的安全通信探索

[論文關(guān)鍵詞]無(wú)線(xiàn)網(wǎng)絡(luò ) 安全通信 手段 對比

[論文摘要]探討無(wú)線(xiàn)網(wǎng)絡(luò )中實(shí)現安全通信的若干手段，并對比它們之間的差異，供同行參考。

一、引言

無(wú)線(xiàn)通信采用無(wú)線(xiàn)電波傳輸，具有保密性強、移動(dòng)性高、抗干擾性好、架設與維護容易等特點(diǎn)，還能支持移動(dòng)計算，越來(lái)越成為室外通信的最佳方案。目前無(wú)線(xiàn)通信可以實(shí)現計算機局域網(wǎng)、無(wú)線(xiàn)接入、網(wǎng)際互聯(lián)、圖文傳真、電子郵件、互聯(lián)網(wǎng)瀏覽、數據采集和遙測遙控等，已經(jīng)成為現代通信手段的重要組成部分。因此，無(wú)線(xiàn)網(wǎng)絡(luò )的安全通信技術(shù)成為業(yè)界的研究熱點(diǎn)。

二、無(wú)線(xiàn)網(wǎng)絡(luò )的安全通信措施

（一）WLAN的安全保障

雖然目前廣泛使用的跳頻擴頻技術(shù)可以讓人難于截取，但也只是對普通人難而已，隨著(zhù)通信技術(shù)的飛速發(fā)展，相信很快就會(huì )普及起來(lái)。

IEEE802.11標準制定了如下3種方法來(lái)為WLAN的數據通信提供安全保障：

1．使用802.11的服務(wù)群標識符SSID。但是，在一個(gè)中等規模的WLAN上，即使每年只進(jìn)行兩次基本群標識符的人工修改，也足以證明這是一個(gè)低效的不可靠的安全措施。

2．使用設備的MAC地址來(lái)提供安全防范，顯然這也是一個(gè)低水平的防護手段。

3．安全機制相比前兩種效果要好得多，即WEP(Wired Equivalent Privacy)。它是采用RC4算法來(lái)加密傳輸的網(wǎng)絡(luò )分組，通過(guò)WEP協(xié)議來(lái)保護進(jìn)入無(wú)線(xiàn)網(wǎng)的身份驗證過(guò)程。但從有線(xiàn)網(wǎng)連接到無(wú)線(xiàn)網(wǎng)是通過(guò)使用某些網(wǎng)絡(luò )設備進(jìn)行連接（即網(wǎng)絡(luò )適配器驗證，而不是利用網(wǎng)絡(luò )資源進(jìn)行加密的），還有其他的一些不可靠問(wèn)題，人們在重要點(diǎn)的加密場(chǎng)合，都不使用WEP安全協(xié)議。

（二）VPN與IPSec的作用

VPN首先是用于在Internet上擴展一個(gè)公司的網(wǎng)絡(luò )當然公司的部門(mén)或子公司在地理上位于不同的地域，甚至在不同的國家。VPN是一個(gè)加密了的隧道，在隧道中它對IP中的所有數據進(jìn)行封裝。在VPN中最常用的兩種隧道協(xié)議是，點(diǎn)對點(diǎn)隧道協(xié)議PPTP和第二層隧道化協(xié)議LTP，它們分別是由微軟和Cisco公司開(kāi)發(fā)的。還有一種現在也在VPN中廣泛使用的有隧道功能的協(xié)議即IPSec，它還是一個(gè)IETF建議IP層安全標準。IPSec首先是作為IPv4的附加系統實(shí)現的，而IPv6則將該協(xié)議功能作為強制配置了。

（三）IPSec協(xié)議及其實(shí)施

IPSec協(xié)議包括如下：驗證頭AH(Authentication)，封裝安全載荷ESP(Encapsulation Security Payload)，Internet密鑰交換IKE(Internet Key Exchange)，Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP(Internet Security Association and Key Management Protocol)及轉碼。IPSec體系定義了主機和網(wǎng)關(guān)應該提供的各科能力，討論了協(xié)議的語(yǔ)義，以及牽涉到IPSec協(xié)議同TCP/IP協(xié)議套件剩余部分如何進(jìn)行溝通的問(wèn)題。封裝安全載荷和驗證頭文檔定義了協(xié)議、載荷頭的格式以及它們提供的服務(wù)，還定義了包的處理規則。轉碼方式定義了如何對數據進(jìn)行轉換，以保證其安全。這些內容包括：算法、密鑰大小、轉碼程序和算法專(zhuān)用信息。IKE可以為IPSec協(xié)議生成密鑰。還有一個(gè)安全策略的問(wèn)題，它決定了兩個(gè)實(shí)體間是否能夠通信，采取哪一種轉碼方式等。

IPSec的工作模式有如下2種：

1．通道模式：這種模式特點(diǎn)是數據包的最終目的地不是安全終點(diǎn)。路由器為自己轉發(fā)的數據包提供安全服務(wù)時(shí)，也要選用通道模式。在通道模式中，IPSec模塊在一個(gè)正常的普通IP 數據包內封裝了IPSec頭，并增加了一個(gè)外部IP頭。

2．傳送模式：在傳送模式中，AH和ESP保護的是傳送頭，在這種模式中，AH和ESP會(huì )攔截從傳送層到網(wǎng)絡(luò )層的數據包，并根據具體情況提供保護。例如：A、B是兩個(gè)已配置好的主機，它們之間流通的數據包均應予以加密。在這種情況采用的是封裝安全載荷(ESP)的傳送模式。若只是為了對傳送層數據包進(jìn)行驗證，則應采用“驗證頭(AH)”傳送模式。IPSec可以在終端主機、網(wǎng)關(guān)/路由器或兩者之間進(jìn)行實(shí)施和配置。

（四）一個(gè)實(shí)現無(wú)線(xiàn)通信加密的方法

在給出下面加密方案之前，首先確定加密的位置：綜前所述，選擇在TCP/IP協(xié)議的IP層進(jìn)行加密（當然也含了解密功能，下同）處理，可以達到既便利又滿(mǎn)足盡可能與上下游平臺無(wú)關(guān)性。 為了敘述方便，筆者定義一個(gè)抽象實(shí)體：加密模塊，當它是一臺PC或工控機時(shí)，它就是具備基本網(wǎng)絡(luò )協(xié)議解析與轉換功能的安全（加密）網(wǎng)關(guān)；當它是一個(gè)DSP或FPGA芯片時(shí)，它就是一個(gè)具備網(wǎng)絡(luò )協(xié)議功能的加密芯片；當它是一個(gè)與操作系統內核集成的軟件模塊時(shí)，它就是一個(gè)加密模塊。至此，就形成如下加密方案的雛形：

1．在無(wú)線(xiàn)網(wǎng)絡(luò )的橋路器或是無(wú)線(xiàn)Hub與有線(xiàn)LAN間置一加密模塊，這時(shí)可用一臺功能強勁的PC或是工控機（方便戶(hù)外攜帶使用），最好是雙CPU的，具備強大的數學(xué)運算能力，實(shí)現網(wǎng)絡(luò )層到鏈路層之間的功能和IP數據包的加解密功能。

2．Black Box：對FPGA(Field Programmable Gate Array)進(jìn)行集群，初定為由3塊FPGA芯片構成，1塊加密，1塊解密，1塊進(jìn)行協(xié)議處理。之所以要求集群，是基于這樣一個(gè)事實(shí)：由獨立的一塊100－1000MIPS的FPGA芯片完成協(xié)議處理和加解密這樣超強度的運算處理，缺乏可行性。

3．在購買(mǎi)第三方廠(chǎng)商的無(wú)線(xiàn)HUB及橋路器時(shí)，與廠(chǎng)商進(jìn)行技術(shù)合作，要求他們在設備上提供FPGA的接口，邏輯上FPGA只完成IP包數據的加解密功能，不涉及協(xié)議處理（由廠(chǎng)商的軟硬件平臺完成）。但這涉及知識產(chǎn)權歸屬的問(wèn)題，對廠(chǎng)商來(lái)說(shuō)，由他們來(lái)實(shí)現這一點(diǎn)是非常容易的。

三、小結

網(wǎng)絡(luò )協(xié)議是數據傳輸安全的基礎，加密技術(shù)是數據傳輸完全的核心技術(shù)，通訊傳輸機制是數據傳輸安全的實(shí)現方式，網(wǎng)絡(luò )管理是數據傳輸安全的保障，網(wǎng)絡(luò )數據的安全傳輸是在多方面機制的共同作用下實(shí)現的。因此，研究網(wǎng)絡(luò )安全機制也應從網(wǎng)絡(luò )協(xié)議、網(wǎng)絡(luò )管理、網(wǎng)絡(luò )傳輸、數據加密及安全認證機制等多方面進(jìn)行探討，網(wǎng)絡(luò )的安全性應當在網(wǎng)絡(luò )運行機制中的各個(gè)環(huán)節中得到保障。

參考文獻：

[1]趙冬梅、徐寧、馬建峰，無(wú)線(xiàn)網(wǎng)絡(luò )安全的風(fēng)險評估[J].網(wǎng)絡(luò )安全技術(shù)與應用，2006.(03).

[2]張東黎，無(wú)線(xiàn)網(wǎng)絡(luò )安全與認證[J].網(wǎng)絡(luò )安全技術(shù)與應用，2005.(04).

[3]黃晶，確保無(wú)線(xiàn)網(wǎng)絡(luò )安全 實(shí)現文件安全共享[J].微電腦世界，2002.(23).

[4]張昕楠，消除無(wú)線(xiàn)網(wǎng)絡(luò )安全風(fēng)險[J].軟件世界，2006，(01).