淺析WLAN及WLAN網(wǎng)絡(luò)安全問題

劉蕙

摘 要：WLAN技術(shù)是現(xiàn)今備受關(guān)注也備受爭議的熱門話題，WLAN的廣泛運(yùn)用極大的方便了人們的聯(lián)系與溝通，但由于網(wǎng)絡(luò)的開放性和信息的社會性，安全問題也成為現(xiàn)今的爭議源頭。以下將會從網(wǎng)絡(luò)的安全性對WLAN和WLAN網(wǎng)絡(luò)方面的問題進(jìn)行論述。

關(guān)鍵詞：WLAN；網(wǎng)絡(luò)；安全

前言

WLAN的釋義是無線局域網(wǎng)，是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。

從專業(yè)角度講，無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機(jī)之間的通信，并為通信的移動化、個性化和多媒體應(yīng)用提供了可能。通俗地說，無線局域網(wǎng)就是在不采用傳統(tǒng)纜線的同時，提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。WLAN利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無需線纜介質(zhì)。WLAN 的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到11Mbps以上，傳輸距離可遠(yuǎn)至20km以上。

1 WLAN 的優(yōu)勢

WLAN是資源共享和通訊的介質(zhì)，它能把數(shù)公里以內(nèi)的數(shù)臺計算器鏈接在一起，使之互通有無并進(jìn)行交流。計算機(jī)網(wǎng)絡(luò)時下組要以兩種媒介進(jìn)行傳輸，一是光纜銅纜進(jìn)行連接，但這種傳輸局限性較大，受控于線路布置，線路保質(zhì)期，線路安全性，以及安裝、修改難度大及費(fèi)用高等各種問題，所以依賴線路連接的網(wǎng)絡(luò)已經(jīng)無法滿足人們?nèi)找嬖龃蟮木W(wǎng)絡(luò)通訊要求。而另外一種介質(zhì)WLAN應(yīng)運(yùn)而生，無線網(wǎng)絡(luò)摒棄了有線網(wǎng)絡(luò)的安裝使用的局限性，變的可移動，靈活方便，解決了有線網(wǎng)絡(luò)的多種弊端，其具體優(yōu)勢如下：

（1）便于安裝：有線網(wǎng)絡(luò)最困難的地方莫過于安裝網(wǎng)線的時候?qū)χ苓叚h(huán)境的影響了，由于有線網(wǎng)絡(luò)安裝網(wǎng)線數(shù)量較多，距離較大，范圍較廣，并會產(chǎn)生和原有建筑物之間的沖突，因此安裝所占用的時間、空間、人力、物力、財力都是巨大的。無線網(wǎng)絡(luò)幾乎就完全克服了以上缺點，無線網(wǎng)絡(luò)只需要安裝幾個接入點就能完全取代有線網(wǎng)絡(luò)冗長復(fù)雜的安裝線路工作，而且無線網(wǎng)絡(luò)的可覆蓋范圍較廣，一個或者幾個接入點就能覆蓋一個整個區(qū)域，其優(yōu)勢顯而易見。

（2）便于使用：安裝了有線網(wǎng)絡(luò)的地方也只能在連接網(wǎng)線連接設(shè)備的地方使用，不便與移動使用，而無線網(wǎng)絡(luò)一旦建立之后，其所覆蓋的區(qū)域的所有位置都可以接收到網(wǎng)絡(luò)信號并可以通過設(shè)備進(jìn)行通訊行為。

（3）節(jié)省經(jīng)濟(jì)資源：有線網(wǎng)絡(luò)依賴于龐大的線路體系，建立線路體系耗資巨大移動更改線路也會是一筆不小的費(fèi)用，再者基于線路建立的長遠(yuǎn)性考慮，預(yù)期線路也會列入安裝過程中，當(dāng)預(yù)期不能如期發(fā)生時就產(chǎn)生了大量的預(yù)期線路浪費(fèi)。無線網(wǎng)絡(luò)就沒有線路改遷或者預(yù)期設(shè)點的問題，因此單從耗資方面來說無線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)優(yōu)于有線網(wǎng)絡(luò)。

2 WLAN 網(wǎng)絡(luò)的安全問題

2.1 設(shè)備安全

可運(yùn)營WLAN網(wǎng)絡(luò)安全方案中應(yīng)該考慮到設(shè)備級安全，包括電信設(shè)備的物理環(huán)境安全和主機(jī)安全。網(wǎng)絡(luò)設(shè)備應(yīng)具備設(shè)備防盜、設(shè)備防毀、防止電磁信息泄露、抗電磁干擾、電源保護(hù)、受災(zāi)防護(hù)、區(qū)域防護(hù)等特性。作為可運(yùn)營WLAN網(wǎng)絡(luò)的WLAN標(biāo)準(zhǔn)網(wǎng)元設(shè)備必須基于電信級設(shè)計，具體包括室外型AP應(yīng)該具有防水、防雷、防火和防盜（3）經(jīng)濟(jì)節(jié)約：有線網(wǎng)絡(luò)的設(shè)立及更改移動都將消耗大量資金，并且基于線路建立的長遠(yuǎn)性考慮，有線網(wǎng)絡(luò)的預(yù)期線路也會列入安裝過程中，當(dāng)預(yù)期不能如期發(fā)生時就產(chǎn)生了大量的預(yù)期線路浪費(fèi)。而無線網(wǎng)絡(luò)基本可以避免這些問題的發(fā)生。

2.2 網(wǎng)絡(luò)安全

可運(yùn)營網(wǎng)絡(luò)在設(shè)計上應(yīng)考慮到多層面的安全機(jī)制，針對WLAN應(yīng)包括無線鏈路層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全。鏈路層安全主要是通過網(wǎng)絡(luò)的鏈路層的安全協(xié)議來保證，其中無線鏈路層的安全主要由802.11協(xié)議定義。

鏈路層的安全機(jī)制主要包括：無線網(wǎng)絡(luò)設(shè)備的服務(wù)區(qū)域認(rèn)證ID（ESSID） ；Opensystem和Sharekey認(rèn)證；MAC地址訪問控制；基于 MAC地址的訪問控制列表（ACL）。網(wǎng)絡(luò)層安全是由IP層協(xié)議保證網(wǎng)絡(luò)的安全，主要包括網(wǎng)絡(luò)邊界控制和管理，加強(qiáng)對外部攻擊和內(nèi)部信息泄露的防范，網(wǎng)絡(luò)層的安全機(jī)制主要如下：基于五元組的訪問控制列表（ACL） ；NAT/PAT功能；逆向檢測（RPD），防止IP地址欺騙；動態(tài)路由協(xié)議（RIP、OSPF、BGP）防欺騙 ；應(yīng)用層加密的支持，為關(guān)鍵應(yīng)用提供應(yīng)用加密或隧道（IPSec）。

2.3 解決方案級安全

由于無線網(wǎng)絡(luò)的開放性強(qiáng)于有線網(wǎng)絡(luò)，其覆蓋區(qū)域內(nèi)的任何角落都能接收到網(wǎng)絡(luò)信號，因此無線網(wǎng)絡(luò)的安全性是需要注意的，但現(xiàn)今的無線網(wǎng)絡(luò)安全問題已經(jīng)得到了絕大部分程度的解決，其安全性能基本能夠滿足家庭及辦公場所的需求。需要考慮的是開放的公共運(yùn)營網(wǎng)絡(luò)，由于開放性更強(qiáng)，服務(wù)范圍更廣其安全和隱蔽性會相對較低，因此需要對其進(jìn)行更多保護(hù)和驗證措施，包括入網(wǎng)驗證，安全策劃等方面進(jìn)行改進(jìn)，提高技術(shù)含量創(chuàng)造更加安全便捷的網(wǎng)絡(luò)環(huán)境。

2.4 WLAN 的方案級安全策略

無線網(wǎng)絡(luò)安全方面的主要威脅有：非法接入、惡意欺騙、信息外泄、篡改信息、網(wǎng)絡(luò)和通訊業(yè)務(wù)遭受攻擊。具體到WLAN的方案級安全策略主要包括用戶認(rèn)證、用戶隔離、用戶綁定、用戶數(shù)據(jù)加密等幾個方面。

2.4.1 用戶認(rèn)證

為了保障用戶使用信息安全，在用戶使用過程中進(jìn)行身份認(rèn)證，自主設(shè)置設(shè)備密碼。目前為止無線網(wǎng)絡(luò)所使用的身份認(rèn)證方法主要有：PPPOE、WEB、802.1x；這三種認(rèn)證方法都是進(jìn)行了加密處理的。

2.4.2 用戶綁定

已經(jīng)通過技術(shù)認(rèn)證后再進(jìn)行用戶的綁定，使得每一個用戶使用唯一的標(biāo)識，并確認(rèn)用戶帶寬等問題。這樣就能夠進(jìn)一步的防止盜用網(wǎng)絡(luò)盜用IP地址，和對服務(wù)器的攻擊。

2.4.3 隔離用戶

從網(wǎng)絡(luò)意義而言每一個網(wǎng)絡(luò)用戶都是單獨(dú)的個體，可以進(jìn)行信息的傳遞但不允許進(jìn)行信息的窺探竊取和攻擊。AP內(nèi)部采用MAC互訪控制原理隔離用記。確保同一AP下的用戶不能二層相通，只能與上行口相通。AP之間采用MAC地址訪問控制或組網(wǎng)匯聚設(shè)備二層隔離技術(shù)如VLAN/PVLAN/PVC進(jìn)行隔離，保證不同AP下的用戶不能直接相通。AC通過UCL（用戶ACL）用戶的三層互控訪問，所有用戶只有通過AC認(rèn)證后才能進(jìn)行三層受控互通。

2.4.4 用戶數(shù)據(jù)加密

通過加密保障用戶信息的安全性：無線鏈路層的加密：在用戶終端（STA）和AP之間進(jìn)行信息的加密和解密，保證空口的信息傳送的安全性；網(wǎng)絡(luò)層的加密：主要用于實現(xiàn) VPDN 業(yè)務(wù)。在用戶終端（STA）和 VPN網(wǎng)關(guān)之間對信息進(jìn)行加密和解密，保證STA和VPN網(wǎng)關(guān)之間信息傳送的安全性。

3 結(jié)束語

WLAN的出現(xiàn)是網(wǎng)絡(luò)時代的飛躍，較于有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)有靈活方便，耗資小，覆蓋范圍廣等多種優(yōu)勢。而WLAN高于有線網(wǎng)絡(luò)的開放性也導(dǎo)致了無線網(wǎng)絡(luò)的安全性隱患，尤其是WLAN的空中接口所導(dǎo)致的信息開放性使得隱私信息出現(xiàn)被竊取的危險性，然而隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展802.11i、Wi-FiWPA技術(shù)的不斷完善，無線網(wǎng)絡(luò)的安全問題也將得到進(jìn)一步的解決，使之成為更加符合網(wǎng)絡(luò)發(fā)展需求的可靠介質(zhì)。endprint