無線局域網安全問題分析及安全體制研究

摘要：如今無線局域網（WirelessLocalAreaNetwork，WLAN）經過多年發展，己越來越成熟，應用也越來越廣泛和深入，由于網絡及WLAN自身特點，使用WI-FI（WirelessFidelity）技術的無線局域網絡安全問題備受關注。本文在對WLAN相關技術分析基礎上，探討了幾種常用的安全保障策略與機制。

關鍵詞：無線局域網；安全機制；；IEEE802.11

中圖分類號：TN925 文獻標識碼：A 文章編號：1674-7712（2012）20-0028-01

一、無線局域網接入技術

WLAN是一種寬帶無線接入技術，是計算機網絡與無線通信技術結合的產物。以無線多址信道作為傳輸媒介，利用電磁波完成數據交互，實現傳統有線局域網的功能。

（一）無線局域網特點和標準

具有如下特點：易安裝，免去大量布線工作；高可移動性，無線訪問點（AccessPoint，AP）支持范圍10～300m；易擴展與維護，多種配置方式，每個AP支持5～30多個用戶接入；可靠性，使用與以太網類似的連接協議和數據包形式傳送數據。

無線局域網使用的標準是IEEE802.11系列，主要包括21個標準。常用的有：IEEE802.11，無線局域網物理層和介質訪問控制層規范；IEEE802.11b，無線局域網物理層和介質訪問控制層規范—2.4GHz頻段高速物理層擴展；IEEE802.11g，2.4GHz頻段高速物理層擴展；IEEE802.11i，無線局域網介質訪問控制層安全性增強規范等。

（二）無線局域網的結構

無線局域網可以在普通局域網基礎上通過無線Hub、無線接入站（AP）、無線網橋、無線Modem及無線網卡等來實現，其中以無線網卡最為普遍，使用最多。一般來說，WLAN由兩部分組成：從無線網卡到接入點、從接入點到局域網。

WLAN的拓撲結構可分為兩種方式：無中心拓撲網絡，終端數相對較少；有中心拓撲網絡，終端數相對較多。

二、WLAN中存在的安全問題分析

無線網絡不但要受到基于傳統TCP/IP架構的有線網絡方式的攻擊，由于其自身特點存在的安全問題有，一般分為兩大類，一類是關于網絡訪問控制、數據機密性保護和數據完整性保護進行的攻擊。這類攻擊在有線環境下也會發生。另一類則是由無線介質本身的特性決定的，基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。總體來說，無線網絡所面臨的威脅主要表現在以下幾個方面：

（一）網絡易被竊聽

無線局域網絡主要采用無線通信方式，其數據包更容易被截獲。

（二）IEEE802.11系列標準本身的安全問題

802.11b標準里定義的協議WEP，靜態分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網絡。

（三）網絡易受干擾問題

由于WLAN使用的時公共頻段，因此，相鄰WLAN之間或其他電子產品也都可能使用這個波段，從而存在潛在干擾問題且不易被查明來源。

（四）MAC地址欺騙

在WLAN信號覆蓋范圍內的任何無線設備都可以接收到WLAN的服務信號，所以攻擊者可輕松獲得合法站點的MAC地址，并編程實現偽裝一個有效地址寫到無線網卡中，從而越過訪問控制。

（五）訪問控制機制的安全缺陷

無線局域網的管理消息中都包含網絡名稱或服務設置標志號（SSID），這些消息被接人點和用戶在網絡中不受到任何阻礙地廣播。結果是網絡名稱很容易被攻擊者嗅探和獲取，從而得到共享密鑰。非法連接到無線局域網絡中。

三、WLAN安全保障機制

（一）訪問控制

如利用WLAN入侵檢測技術檢測MAC地址欺騙，靜態IP地址與MAC地址綁定。對于服務集標識符（ServiceSetIdentifier，SSID）的使用，對于不相同的無線接入點設置不相同的SSID號，另外要求只有無線工作站出示正確的SSID號，才可以訪問無線訪問點。

（二）數據加密

由于WEP的脆弱性，目前采用的新標準有兩種，一種是Wi-Fi聯盟推出的基于IEEE802.11i標準的WPA2。這種方案支持更好的AES加密方式來解決無線網絡的安全問題。另一種是中國的WAPI（無限局域網鑒別和保密基礎結構）無線標準。WAPI安全機制由無線局域網鑒別基礎結構WAI和無線局域網保密基礎結構WPI兩部分組成，采用基于橢圓曲線的公鑰證書體制和對稱密碼算法進行加密和解密算法分別實現對用戶身份的鑒別和數據加密。

（三）運用VPN技術

VPN（VirtualPrivateNetwork，虛擬專用網絡）是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，是在現有的網絡上組建的虛擬的、加密的網絡。適用于企業或單位內部網絡。

（四）采用802.1x基于端口的認證協議

其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。802.1x不僅實現端口訪問控制，還用于用戶的認證系統及計費，更適合公共無線網絡的接入。

（五）使用防火墻及病毒檢測系統

防火墻布置在局域網和外網的交界處，阻止外部的入侵，保障內網安全。網絡數據流經過防火墻的掃描，可以過濾掉一些攻擊，以免在目標計算機上執行。病毒和木馬是竊取網絡個人信息的主要手段，為防止計算機病毒和木馬，要限制U盤、光盤的數據拷貝，用集中式防病毒管理模式，通過各種檢測方法對病毒進行檢測，自動進行更新特征碼，實時清除病毒。

四、結束語

雖然針對WLAN的固有物理特性和組網結構研究出了很多的安全技術與策略，然而安全沒有絕對的，只有相對的安全，對其技術的研究與安全機制的應用也將是持久的。局域網的安全固然重要，但在一些公共場所應該無償提供無線網絡，符合網絡的共享精神。

參考文獻：

[1]徐春橋.無線局域網安全及防護技術分析[J].計算機安全，2012，（5）：74-76.

[2]王穎天.淺談無線局域網安全解決方案[J].計算機光盤軟件與應用，2012，（2）：135-136.

[3]林烈青.無線局域網通信安全機制的研究[J].實驗室研究與探索，2012，31（8）：257-284.

[4]郭淵博，楊奎武，張暢.無線局域網安全設計及實現[M].北京：國防工業出版社，2010.