一、无线网络的安全保障机制
(一)数据加密机制
当数据加密密钥与解密密钥不相同时,说明每一个用户同时拥有公开密钥和秘密密钥两个密钥,则其成为非对称密码系统。任意人员都可以使用一个用户的公开密钥,将数据信息进行加密之后在发送给该用户,但是只要该用户能够使用自己的秘密密钥对数据信息进行解密,没有秘密密钥的人员无法对数据信息解密。公钥密码的算法非常复杂,不适用于无线网络的通信传输,否则会耗费大量的系统资源。
(二)身份认证机制
身份认证机制需要提供双方的身份信息,防止非法人员假冒合法用户身份。身份认证在密码学中主要是检验证明一方是否能够提供秘密答案,例如提供证明一方和验证一方共有的秘密密钥等等。由于身份认证方案是在运算简单的算法基础之上,因此适用于无线网络通信中的用户身份认证。
(三)不可否认机制
数字签名技术的用于不可否认机制,目的是防止一方发生抵赖现象。数字签名技术具有以下几种优势:一是采用电子数据信息形式,适用于在网络中传输;只有掌握秘密密钥的人员才能生成数字签名,伪造数字签名现象得以遏制;完成对整个消息的数字签名后不可更改。
二、无线网络的安全问题防御对策
(一)防火墙系统
防火墙系统由软件部分和硬件部分共同构成,在两个网络之间进行设置进行隔离。防火墙系统的控制策略由使用人员自行配置,以此保证内网与外网之间的安全连接。防火墙系统的主要功能包括阻止和允许两种。通常情况下,防火墙系统的主要任务是阻止控制,防火墙系统的两个分组过滤路由器属于标准路由器,但同时能够对分组数据信息进行检查,一个路由器负责检查进入内网的分组数据,另一个路由器负责检查内网输出的分组数据,将符合安全条件的分组信息设置通过。
(二)虚拟专用网络
虚拟专用网络(VPN)在互联网传输的内部数据报是已经完成加密的,因此,虚拟专用网络在互联网上经过的路由器都无法掌握内部数据报的内容,例如:一个企业的部门A到部门B就是一条VPN隧道。VPN具有以下几个特点:一是能对两个网络节点或者两个网络之间的数据通信进行加密;二是VPN是基于软件实现的,能够提供不同级别的加密。因此,VPN的建立能够实现异地办公的网络通信安全。
(三)远程身份验证拨入用户服务
远程身份验证拨入用户服务(RADIUS)主要包括三种网络安全控制功能:一是身份认证,通过一个网络安全控制中心对任意一个远程用户的口令和密码进行验证,当确认用户用后合法身份时才能够对无线网络发起访问;二是用户授权,每一个新的连接都为远程无线局域网用户的访问点提供需要的信息。三是日志记录,能够记录远程无线局域网的连接信息,包括连接时间、用户身份等等。而且,RADIUS还可以实现双向用户身份认证,由此,非法入侵者就无法实现假冒合法用户身份对网络发起攻击。
三、结论
综上所述,无线网络通信与有线网络通信相比,不会受到网线接口、网络设备等物理区域的限制,数据传输更为简单快捷。随着笔记本电脑的普及,无线网络的应用也愈加广泛,无线网络的通信安全是网络安全领域的重点研究,本文提出的无线网络安全防御对策具有一定的理论指导意义。
作者:潘仰峰 单位:中国移动通信集团江苏有限公司 盐城分公司
