淺析無線局域網(wǎng)的安全性

范娟

（四川工程職業(yè)技術(shù)學(xué)院，四川 德陽 618000）

引言

無線局域網(wǎng) (Wireless Local Area network，WLAN)具有可移動(dòng)性和高靈活性，作為傳統(tǒng)有線網(wǎng)絡(luò)的延伸，它以方便、快捷、廉價(jià)等優(yōu)勢漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分。在許多特殊領(lǐng)域得到了廣泛應(yīng)用。然而正是由于無線信道與生俱來的開放性，任何位于無線信號(hào)覆蓋范圍的接入站都可以接收到無線信號(hào)，這就給網(wǎng)絡(luò)入侵者提供了可乘之機(jī)，因此無線局域網(wǎng)的安全性問題就顯得尤為突出。

1 無線局域網(wǎng)相關(guān)概述

無線局域網(wǎng)協(xié)議標(biāo)準(zhǔn)目前主要有藍(lán)牙（Bluetooth） 標(biāo)準(zhǔn)、IEEE802.11 標(biāo)準(zhǔn)、HomeRF標(biāo)準(zhǔn)和HiperLAN2標(biāo)準(zhǔn)。

無線局域網(wǎng)是是實(shí)現(xiàn)移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)中移動(dòng)站的物理層與鏈路層功能，為移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)提供必要的物理接口的網(wǎng)絡(luò)。從專業(yè)角度講，無線局域網(wǎng)利用無線多址信道的一種有效方法來支持計(jì)算機(jī)之間的通信，并讓通信的移動(dòng)化、個(gè)性化和多媒體應(yīng)用得以實(shí)現(xiàn)。隨著應(yīng)用的進(jìn)一步發(fā)展，無線局域網(wǎng)正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為“公共無線局域網(wǎng)”，即成為城域網(wǎng)的寬帶接入手段，無線局域網(wǎng)應(yīng)用模式的這種改變使其成為一種可運(yùn)營的寬帶接入業(yè)務(wù)。

2 無線網(wǎng)絡(luò)的安全技術(shù)

在IEEE802.11b協(xié)議中包含了一些基本的安全措施以提高無線網(wǎng)絡(luò)的安全性。這些安全措施包括：無線網(wǎng)絡(luò)設(shè)備的服務(wù)區(qū)域認(rèn)證ID(ESSID)、MAC地址訪問控制以及WEP加密等技術(shù)。IEEE802.11b是利用設(shè)置無線終端訪問的ESSID來限制非法接入。在每一個(gè)AP內(nèi)都會(huì)設(shè)置一個(gè)服務(wù)區(qū)域認(rèn)證ID，每當(dāng)無線終端設(shè)備要連上AP時(shí)，AP會(huì)檢查其ESSID是否與自己的ID一致，只有當(dāng)AP和無線終端的ESSID相匹配時(shí)，AP才接受無線終端的訪問并提供網(wǎng)絡(luò)服務(wù)，如果不符就拒絕給予服務(wù)。利用ESSID，可以很好地進(jìn)行用戶群體分組，防止任意漫游帶來的安全和訪問性能的問題。

除此之外，另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經(jīng)過注冊(cè)的設(shè)備才可以接入無線網(wǎng)絡(luò)。因?yàn)闊o線網(wǎng)卡只具有唯一的MAC地址，在AP內(nèi)部可以建立一張“MAC地址控制表”（Access Control），只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡，否則將會(huì)被拒絕連接。MAC地址控制可以有效地防止未經(jīng)過授權(quán)的用戶侵入無線網(wǎng)絡(luò)。

另外，無線網(wǎng)絡(luò)安全性可以通過WEP(Wired E-quivalent Privacy)協(xié)議來保證。WEP是IEEE802.11協(xié)議中最基本的無線安全加密措施。WEP是所有經(jīng)過WiFiTM認(rèn)證的無線局域網(wǎng)絡(luò)產(chǎn)品所支持的一項(xiàng)標(biāo)準(zhǔn)功能，由國際電子與電氣工程師協(xié)會(huì)（IEEE）制定，其主要用途是：提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造；WEP加密算法對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。

3 無線局域網(wǎng)的安全威脅因素分析

無線局域網(wǎng)必須考慮的安全要素有很多，概括來說主要有三個(gè)，它們分別是:信息保密、訪問控制和身份驗(yàn)證。如果這三個(gè)要素都沒有問題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。具體而言，無線局域網(wǎng)的安全威脅有以下幾種:

3.1 內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接或外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行非授權(quán)存取。

3.2 所有有線網(wǎng)絡(luò)存在的安全威脅或隱患。

3.3 無線局域網(wǎng)使用的是ISM公用頻段，使用無需申請(qǐng)，相鄰設(shè)備之間潛在著電磁破壞(干擾)問題。

3.4 無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾。

3.5 無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入。

3.6 無線局域網(wǎng)的無需連線便可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在。

4 無線局域網(wǎng)安全改進(jìn)措施

4.1 運(yùn)用VPN技術(shù)。VPN技術(shù)是目前應(yīng)用快速增長的一種網(wǎng)絡(luò)安全技術(shù)，用于在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立一個(gè)虛擬的專用通道，進(jìn)行安全的數(shù)據(jù)傳輸。VPN技術(shù)的運(yùn)用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三方面加強(qiáng)無線局域網(wǎng)安全保障:一是用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)；二是加密確保即使攻擊者攔截竊聽到傳輸信號(hào)，沒有充足的時(shí)間和精力他也不能將這些信息解密；三是數(shù)據(jù)認(rèn)證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自已經(jīng)得到認(rèn)證的設(shè)備。

4.2 MAC地址過濾。由于計(jì)算機(jī)的MAC具有唯一性特點(diǎn)，可以利用基于MAC地址防止未經(jīng)過注冊(cè)的設(shè)備進(jìn)入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，設(shè)置的障礙越多，越會(huì)使攻擊者知難以侵?jǐn)_網(wǎng)絡(luò)。

4.3 使用移動(dòng)管理器。使用移動(dòng)管理器可以用來增強(qiáng)無線局域網(wǎng)的安全性能，實(shí)現(xiàn)接入點(diǎn)的安全特性。移動(dòng)管理器可以提高無線網(wǎng)絡(luò)的清晰度，當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)，它能產(chǎn)生告警信號(hào)通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點(diǎn)的位置，而且能降低接入點(diǎn)受到DOS攻擊和竊聽的危險(xiǎn)，網(wǎng)絡(luò)管理員設(shè)置一個(gè)網(wǎng)絡(luò)行為的門限，這個(gè)門限在很大程度上減小了DOS攻擊的影響。通過控制接入點(diǎn)的配置，可以防止入侵者通過改變接入點(diǎn)配置而連接到網(wǎng)絡(luò)上。

4.4 雙因素身份認(rèn)證。雙因素認(rèn)證的一種形式是使用對(duì)稱密碼算法每分鐘生成一個(gè)新碼字，這個(gè)碼字和用戶個(gè)人識(shí)別碼搭配使用，且只能使用一次。雙因素認(rèn)證的另外一個(gè)形式是將用戶智能卡和個(gè)人識(shí)別號(hào)搭配使用。因此，雙因素認(rèn)證需要有智能卡閱讀機(jī)或個(gè)人識(shí)別號(hào)認(rèn)證服務(wù)器。

5 結(jié)語

隨著無線局域網(wǎng)的發(fā)展趨勢，安全問題仍將是一個(gè)最重要、最迫切并亟待解決的問題。然而這并不能阻礙無線局域網(wǎng)的迅猛發(fā)展。今后針對(duì)無線局域網(wǎng)的安全性研究仍將是熱點(diǎn)之一。隨著技術(shù)的進(jìn)步和無線網(wǎng)絡(luò)應(yīng)用進(jìn)程的加快，工業(yè)界和研究者都將對(duì)無線局域網(wǎng)安全投入更多的關(guān)注，為用戶提供安全性更高、速率更快、應(yīng)用更方便的無線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)。

[1]趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計(jì)算機(jī)信息，2007年21期

[2]尤華明無線局域網(wǎng)的安全技術(shù)研究[J]中國科技信息，2006，(15)

[3]王茂才等.無線局域網(wǎng)的安全性研究[J].計(jì)算機(jī)應(yīng)用研究，2007年01期

[4]王玲等.IEEE802.11無線局域網(wǎng)技術(shù)及安全性研究[J].電腦開發(fā)與應(yīng)用，2007年02期

[5]王秋華，章堅(jiān)武淺析無線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國科技信息，2005，(17):18