基于IEEE802.11n的無線網絡及必要的安全控制

摘 要:本文簡述IEEE802.11n無線網絡工作機理，并從身份認證、MAC地址過濾、數據加密、網絡名稱保密等手段來進行網絡安全控制。

關鍵詞:無線網絡 安全控制

中圖分類號:TP393.18文獻標識碼:A文章編號:1674-098x(2012)03(a)-0049-01

1 無線網絡概述

首先介紹實現無線網絡通信連接的常用設備:無線AP、無線終端和天線。無線AP (Access Point)，是用來將各種無線終端設備的信號進行識別、控制并進入匯聚層傳輸的設備。天線(Antenna)作用是將源信號由天線傳送至遠處，具有兩個重要指標:傳送距離和傳送方向。在無線網絡中，一般使用全向性天線和無線AP構成網絡的接入層。配置無線網卡的終端設備簡稱為無線終端，必須是在天線覆蓋范圍之內，通過無線電波來完成數據信息的傳送。

另外，在無線網絡工程設計時要注意:AP應放在網絡機房中，與匯聚層交換機相連，和企業主干網進行通訊;另一個接口通過轉換器與天線連接，而天線一般放置在建筑物的頂部，要注意避雷措施和防護其他惡劣天氣。它們的連接方式如圖1所示。

2 通信工作機理

依據OSI七層網絡體系和IEEE802.11標準規定，可以明確無線網絡設備工作于網絡的最底層—— 物理層。

那么，無線信號如何在物理層進行數據傳輸？目前是在IEEE802.11n協議支持下，在2.4GHz和5GHz的兩個工作頻段，采用MIMO-OFDM技術，向下兼容IEEE802.11a/b/g三個標準的產品設備，完成數據傳輸的。它們的接入示意圖見右圖2示。

3 通信安全控制

3.1 IEEE 802.1x身份認證

必須強化無線環境中用戶身份認證，使用可擴展身份認證協議(EAP)子協議來增加客戶端和認證服務器之間身份認證信息交換，以及對這些信息進行加密。身份認證過程如圖3示:

1表示客戶端想通過最近的接入點和無線網絡建立聯系;2表示接入點完成與認證服務器的一次握手，說明有客戶想進入網絡;3表示認證服務器向請求者索要身份證明;4表示請求者用所指定的身份驗證方法響應要求;5表示認證服務器向請求者提供一個會話密鑰;6表示請求者通過身份認證，并能夠在無線網絡上通信。

3.2 MAC地址過濾

無線AP通過對比要連接至AP的無線設備MAC地址和AP允許連接的無線設備MAC地址，防止未知的無線設備連接到網絡。網絡管理人員必須在無線AP中，進行相關訪問列表設置，設定允許通過的無線終端MAC地址，這樣就限止了非法訪問的產生。

3.3 采用WPA(Wi-Fi Protected Access)加密技術進行數據加密

WPA包含了認證、加密和數據完整性校驗三個組成部分，可根據通用密鑰，配合MAC地址和分組信息順序號，分別為每個分組信息生成不同的密鑰，并用此密鑰對數據加密。

3.4 無線網絡名(SSID)不為外人知道

在配置無線網絡時，要更改SSID初始化字符串，改變SSID名，同時設置不進行SSID廣播，該網絡不會給黑客以可乘之機。

3.5 無線網絡管理人員應當設置日志服務器，定時收集有關掃描和訪問企圖的日志，發現確實有惡意活動發生時，能夠向管理員發送警告或電子郵件

4 結語

無線網絡安全運行最大的威脅是無線終端管理，在無線終端設備中要時時檢查如系統是否安裝了最新的反病毒軟件、是否打上了最新的補丁、是否安裝并啟用了客戶端防火墻軟件等防護措施，它們可以阻止惡意連接侵入你的無線網絡。

參考文獻

[1]譚潤芳.探討無線無線網絡安全[J].信息科技，2008(6).

①作者簡介:萬長征(1972-)，江西南昌人，副教授，從事于計算機應用、網絡工程等領域教學研究。魏洪昌(1977-)，江西南昌人，講師，從事于網絡應用、微芯片等領域教學研究。