無線局域網安全技術與安全策略

摘 要

知識經濟時代，人們對信息數據傳輸的便捷性、實效性要求越來越高。隨著計算機網絡的發展，無線局域網以其方便快捷、靈活廉價等特性，被廣泛應用于各個領域，加速了社會信息化發展。但是，無線局域網由于傳輸介質高度的開放性，較之有線網絡應用環境更加復雜，面臨著嚴重的安全威脅。現階段，關于無線局域網安全方面的研究備受關注。本文在對無線局域網安全技術相關作出簡介的基礎上，探析了無線局域網面臨的安全威脅因素，并就提高無線局域網安全性能的策略進行了研究。

【關鍵詞】無線局域網 安全威脅 安全技術 安全策略

無線局域網作為一種無線接入技術，通過無線信號進行近距離通信，實現了人們的移動通信夢想，是現代信息化社會的重要標識。在這個信息主流的時代，無線寬帶猶如異軍突起，一經投入市場立即引起了廣大用戶的強烈反響，并逐漸成為現代生活中不可或缺的一部分。但是，隨之而來的無線局域網安全問題時刻困擾著廣大用戶，嚴重影響了他們的網絡服務體驗，已然發展成時代性課題。

1 無線局域網安全技術相關簡介

無線局域網作為信息化技術發展的產物，滿足了人們愈加復雜化和多樣化的通信需求，與有線網絡相搭配，為用戶提供了更加便捷的信息服務體驗。在這樣的環境下，無線局域網技術逐步邁入了快速發展軌道。

1.1 技術發展背景

信息化時代背景下，隨著電子政務及電子商務的快速發展，越來越多的人選擇網絡傳輸和處理數據信息。在此過程中，無線局域網安全問題不斷暴露出來，安全技術成為了無線局域網發展的關鍵因素。與有線網絡傳輸相同的是，安全性能亦是廣大用戶對無線局域網效果的最高追求，而且緣于其本身特性，它還面臨著更大、更多的安全風險。例如，有線網絡的線纜作為一種物理防御屏障，當攻擊者無法連接網絡線路時，則切斷了其竊取網絡信息的路徑。然而，無線局域網則有所不同，它是通過無線電波實現信息傳播的，任何人都可能成為攻擊者。除此之外，一般連接無線局域網的設備計算能力、存儲能力以及蓄電能力等都較弱，容易造成數據傳輸中斷或丟失，因而無線局域網的安全問題具有很強的特殊性和復雜性。在現實生活中，人們為了追求信息數據傳輸便利，對無線局域網的依賴性越來越高，同時也面臨著嚴重的安全威脅。因此，無線局域網安全技術發展備受社會各界關注，同時面臨著機遇和挑戰。

1.2 接入認證技術

在無線局域網的應用過程中，合法用戶可以通過無線連接的方式共享計算機資源信息。因此，如何確認合法用戶身份，是保證無線局域網安全的重要基礎。以IEEE 802.11標準支撐的無線局域網系統，可支持對用戶開放式以及共享密鑰的認證服務。其中，開放式認證技術只要求用戶提供正確的SSID，但是根據系統默認值設置，該SSID會在AP信標力廣播，即使面臨關閉的情況，黑客或入侵者依然可以探測到SSID的相關信息，從而危險無線局網安全。相比于前者，共享密鑰認證技術的應用較為安全，用戶需要正確使用AP發送的challenge包，并返回給AP，進而進入無線局域網絡，但這種雖然操作較為復雜，但依然存在黑客攻擊的危險。在此基礎上，EAP認證技術在一定程度上彌補了上述認證技術的不足，并由此衍生出的SIM、AKA等認證協議滿足了3G、4G互通的需求，在無線局域網領域的應用更為廣泛。

1.3 密鑰管理技術

認證技術確認安全后就會產生密鑰并對密鑰進行管理，無線數據傳輸保密工作因為密鑰管理的參與將會更加安全。密鑰管理最初是建立在靜態WEP密鑰基礎之上的，靜態WEP密鑰是所有的設備擁有一樣的WEP密鑰，這不僅需要管理員耗時耗力地將WEP密鑰輸入到每一個設備中，而且如果帶有WEP密鑰的設備丟失或者被盜時，黑客可能會通過這個設備侵入無線局域網，這時管理員是很難發現的。即使管理員發現了并想要阻止，就需要具有一樣的WEP密鑰設備并對WEP密鑰進行更新。在面對龐大數量的用戶時，這項工作將是對管理員工作的嚴重考驗。而且如果黑客解密出一個新的靜態WEP密鑰，管理員也毫不知情。在現行更安全的方案中采取的是動態密鑰，動態密鑰是在EAP認證時，RADIUS服務器將與客戶生成會話密鑰并將密鑰發送給AP，客戶和AP同時激活密鑰開始會話直到超時，超時后將會重新發送認證生成新的會話密鑰。

2 無線局域網面臨的安全威脅因素

由于傳輸介質的開放性，無線局域網本身就具有更大的脆弱性，同時還侵受著外部的惡意威脅。從某種意義上而言，無線局域網面臨的安全威脅取決于其承載的信息資產價值，大致可以分為以下幾種因素，具體表述如下：

2.1 非法介入

對于廣大用戶而言，內部無線局域網上流轉的數據包含著十分寶貴的信息資產，關系到自己的切身利益，一旦泄露或被竊勢必會造成物質或精神上的損傷。對于電信通訊來說，無線局域網非法介入可能會導致客戶信息泄露，有損自身品牌信譽，同時還給客戶帶來了不可挽回的經濟損失。近年來，關于電信詐騙的案件報道比比皆是，為社會大眾所恐慌。以現有的技術條件和水平，無線局域網的電磁輻射還很難精準地控制在某一范圍之內，攻擊者只需架設一座天線即可截獲部分數據信息，而且用戶很難發現。在現實生活中，某些惡作劇者常常熱衷于尋找“免費”無線網絡資源，并通過帶有無線網卡的筆記本將這些信息在網上公開。在帶寬有限的無線局域網上，所有AP用戶共享，攻擊者可產生大量數據包，從而耗盡網絡資源，導致網絡中斷或癱瘓，影響了合法用戶的正常網絡體驗。此外，與有線網絡相比，無線局域網還容易受到IP重定向及TCP響應等攻擊。

2.2 偽造網絡

在無線局域網中偽造的AP和網絡帶來的威脅非常嚴重，攻擊者可能會通過在計算機上安裝Sniffer、ethereal等軟件捕獲顯示網絡上的數據包對合法用戶的數據進行竊聽。其主要是竊聽合法用戶的業務數據。無線局域網其傳輸介質是共享的這一原因造成無線局域網上面收發的數據很容易被竊聽。另外，攻擊者往往利用這些假冒的網絡誘使合法的用戶進入訪問，進而騙取合法用戶的賬號口令對其平時工作用到的業務數據進行篡改造成合法用戶的困擾或者將一些合法網絡的數據加以篡改以達到欺騙合法用戶的目的。甚至利用偽造或者篡改的數據造成系統或者設備無法正常運轉或者癱瘓。偽造的AP和網絡還可能讓攻擊者偽造一些網絡設備如（DNS或DHCP服務器）引導用戶進入到其不想進入的網絡，比如一些收費網站或者色情網站等從而對合法用戶造成一定的損失或者影響。

2.3 拒絕服務

拒絕服務攻擊又被成為Dos攻擊，與其他形式的攻擊差異體現為，它的目的在于破壞計算機或無線局域網絡正常服務。目前，802.11b已經成為了無線局域網市場的主流標準，在各類用戶中的應用十分廣泛，適用于家庭、車站、辦公等多個場所。但是，這種無線局域網絡安全技術也存在一定的弊端，即它與微波爐、無線電話和藍牙芯片等都使用2.4GHz的ISM開放頻段，而且沒有限制授權，因而很容易受其他生活設備的干擾，其中存在很大的潛在威脅。在合適的設備和工具支持下，攻擊者完全可以對無線局域網發起flooding攻擊，實現非法業務在無線網絡有效頻段上的覆蓋，進而阻止用戶正常接收合法業務數據，最終導致整個網絡系統癱瘓。在實際的運行系統中，拒絕服務攻擊是最難做好預控和處理的，既要求全面考慮設計構成要素，又要有針對性地采取科學的本地策略。

3 提高無線局域網安全性能的策略

時至今日，無線局域網安全關乎國計民生，是和諧社會主義構建的重要歷程。作者結合上文的分析，有針對性地提出了以下幾種提高無線局域網安全性能的策略，以供參考和借鑒。

3.1 資源保護

在無線局域網應用中，兩個及以上的設備可以實現多種方式的數據通信，可以通過對鏈路層加密的方法提高無線局域網安全性能。雖然無線信號還存在被竊聽的危險，但是如果把無線信號承載的數據信息轉化成密文，并且保證其強度夠高的情況下，這種安全威脅發生的幾率則會大大降低。除卻這些，無線局域網還時刻面臨著傳輸信號被偽造或篡改的安全隱患。對此，用戶可以在無線局域網承載的數據中，融入部分只有內部人員才得以掌握的冗余數據，從而精準地檢測這些數據是否被更改，在這種情況下基本可以確定無線信號的安全性。同時，值得肯定的是獨有秘密勢必會降低偽造數據被認為合法的可能性，為無線局域網提供了類似于有線網絡物理安全的保護屏障。

3.2 密鑰管理

密碼是接入無線局域網的重要屏障，通常可由數字、字母及特殊符號共同組成。在無線局域網的應用中，密碼設置強度一般分為三個等級，并且保證在八個字符以上。根據無線局域網密碼破解測試結果顯示，用戶應適當提高密碼破解難度，如增加字符長度或增加特殊字符等，并按照需求定時進行更換。關于無線局域網密鑰管理，現行的還有一種WEP標準方法，通過動態變化來避免密鑰重用。但是，WEP本身對無線局域網的加密保護作用是非常脆弱的，很容易被黑客攻擊和破解，基于此Wi-Fi聯盟開發了WPA新加密標準。根據用戶需求的不同，WAP又分為個人版、企業版，它采用TKIP協議，使用預共享密鑰，解決了小型無線局域網環境安全威脅。與之相對應的，WAP/WAP2-Enterprise則更加適用于大型無線局域網環境。

3.3 地址綁定

用來定義網絡設備位置的MAC地址，存在于每一臺主機當中，它是一種采用十六進制數標示，由六個48位字節構成的物理地址，例如00-28-4E-DA-FC-6A。在OSI模型中，數據鏈路層負責MAC地址，第三層網絡層則負責IP地址。為了進一步提高無線局域網的安全性能，可以在接入設備中進行MAC地址過濾設置，只準許特定合法MAC地址接入無線局域網，從而防護攻擊者的非法侵入。現階段，地址綁定已然成為了無線局域網常用的安全策略之一。此外，在每一個無線局域網創建中，都存在專屬的服務集標識符即SSID，它是幫助區分不同無線局域網的重要手段。為了防止黑客攻擊，應將SSID修改成難以被外人辨識的字符串，同時對其進行隱藏處理，降低被黑客檢測到的幾率，保護無線局域網安全。

3.4 安裝軟件

隨著無線局域網安全技術的進步與發展，市場上流通的很多軟件都可以實現對無線局域網一定程度的安全防護。因此，用戶可以在主機系統上加裝合適的查殺軟件或病毒卡，實時檢測系統異常，并對木馬數據及非法AP等進行清理，以免給自身造成更大的經濟損害。對于拒絕服務攻擊，用戶可以在無線局域網運行的系統上增加一個網關，使用數據包過濾或其他路由設置有效攔截惡意數據，隱藏無線局域網接入設備IP地址，降低安全風險。事實表明，無線局域網安全威脅不僅僅存于外界，還可能受到內部攻擊，針對此類狀況，應加強審計分析，通過有效安全檢測手段確定內部攻擊來源，并輔以其他管理機制，防治無線局域網安全。此外，對于硬件丟失威脅，應基于用戶身份完成認證，并通過某種生物或秘密特征將硬件設備與用戶緊密聯系在一起。

4 結語

總而言之，無線局域網安全技術發展勢在必行。由于個人能力有限，加之無線局域網環境復雜多變，本文作出的相關研究可能存在不足之處。因此，作者希望業界更多學者和專家持續關注無線局域網技術發展，全面解析無線局域網應用中存在的安全隱患，并充分利用無線局域網安全技術，有針對性地提出更多提高無線局域網安全性能的策略，從而凈化無線局域網應用環境，為廣大用戶提供更加方便快捷、安全高效的網絡服務體驗。

參考文獻

[1]原錦明.無線局域網常見漏洞及安全策略[J].電腦編程技巧與維護，2014（02）：68-69.

[2]郭建峰.無線局域網安全技術研究[J].科技風，2014（15）：190.

[3]顏軍，田祎.探析無線局域網的安全技術及應用[J].福建電腦，2013（01）：36-37.

[4]劉艷麗.無線局域網安全技術及標準發展探究[J].電腦迷，2016（04）：35.

[5]黃祖海.無線局域網安全分析與入侵檢測技術研究[J].科技經濟導刊，2016（12）：27-28.

作者簡介

張烜（1987-），男，湖南省寧鄉縣人。碩士學位。研究方向為網絡技術、網絡安全、信息安全技術。

作者單位

中國南方電網有限責任公司超高壓輸電公司 廣東省廣州市 510700