無線局域網(wǎng)網(wǎng)絡(luò)安全問題研究

【 摘 要 】 經(jīng)過多年的發(fā)展，無線局域網(wǎng)己經(jīng)成為一種比較成熟的技術(shù)，應(yīng)用也越來越廣泛，是計算機有線網(wǎng)絡(luò)的一個必不可少的補充。無線局域網(wǎng)迅速發(fā)展的同時，對網(wǎng)絡(luò)的安全性也提出了更高的要求。文章研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題，并介紹了相應(yīng)的解決辦法。

【 關(guān)鍵詞 】 無線局域網(wǎng)；安全性；IEEE802.11

WirelessLANNetworkSecurityResearch

Meng Yan

（School of Computer Scince&Technology,SuZhou University Jiangsu Suzhou 215006）

【 Abstract 】 after years of development, the wireless local area network has become a relatively mature technology, is increasingly extensive application, computer cable network is an indispensable supplement. Wireless local area network rapid development at the same time, the network security has also put forward higher requirements, this paper studies the present wireless local area network the main security problems, and presents the corresponding solutions.

【 Keywords 】 wireless LAN; security; IEEE802.11

0 引言

無線局域網(wǎng)是在有線網(wǎng)絡(luò)上發(fā)展起來的，是無線傳輸技術(shù)在局域網(wǎng)技術(shù)上的運用，而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢，因此對無線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學者研究的熱點。無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進行傳播，因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計和實現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標準為IEEE802.11，但其存在設(shè)計缺陷，缺少密鑰管理，存在很多安全漏洞。本文針對IEEE802.11的安全性缺陷問題進行分析，并在此基礎(chǔ)上對無線局域網(wǎng)的安全研究做出分析。

1 無線局域網(wǎng)的結(jié)構(gòu)

根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同，無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互聯(lián)。常用的具體有如下幾種。

（1） 網(wǎng)橋連接型：不同的局域網(wǎng)之間互聯(lián)時，由于物理上的原因，若采取有線方式不方便，則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接，無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接，還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

（2） 基站接入型：當采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時，各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互聯(lián)的。各移動站不僅可以通過交換中心自行組網(wǎng)，還可以通過廣域網(wǎng)與遠地站點組建自己的工作網(wǎng)絡(luò)。

（3） Hub接入型：利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng)，具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的WLAN，可采用類似于交換型以太網(wǎng)的工作方式，要求Hub具有簡單的網(wǎng)內(nèi)交換功能。

（4） 無中心結(jié)構(gòu)：要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道，MAC層采用CSMA類型的多址接入?yún)f(xié)議。

無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線接入站（AP）、無線網(wǎng)橋、無線Modem及無線網(wǎng)卡等來實現(xiàn)，其中以無線網(wǎng)卡最為普遍，使用最多。

2 無線局域網(wǎng)安全研究的發(fā)展與研究必要性

無線局域網(wǎng)在帶來巨大應(yīng)用便利的同時，也存在許多安全上的問題。由于局域網(wǎng)通過開放性的無線傳輸線路傳輸高速數(shù)據(jù)，很多有線網(wǎng)絡(luò)中的安全策略在無線方式下不再適用，在無線發(fā)射裝置功率覆蓋的范圍內(nèi)任何接入用戶均可接收到數(shù)據(jù)信息，而將發(fā)射功率對準某一特定用戶在實際中難以實現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰(zhàn)。

IEEE標準化組織在發(fā)布802.11標準之后，也已經(jīng)意識到其固有的安全性缺陷，并針對性的提出了加密協(xié)議（如WEP）來實現(xiàn)對數(shù)據(jù)的加密和完整性保護。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對無線局域網(wǎng)的接入控制。但隨后的研究表明，WEP協(xié)議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷，IEEE802.11工作組提出了新的安全體系，并開發(fā)了新的安全標準IEEE802.11i，其針對WEP機密機制的各種缺陷作了多方面的改進，并定義了RSN（Robust Security Network）的概念，增強了無線局域網(wǎng)的數(shù)據(jù)加密和認證性能。IEEE802.11i建立了新的認證機制，重新規(guī)定了基于802.1x的認證機制，主要包括TKIP（Temporal Key Integrity Protoco1），CCMP（Counter CBCMAC Protoco1）和WRAP（Wireless RobustAuthenticated Protoco1）等3種加密機制，同時引入了新的密鑰管理機制，也提供了密鑰緩存、預(yù)認證機制來支持用戶的漫游功能，從而大幅度提升了網(wǎng)絡(luò)的安全性。

3 無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷

由于無線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權(quán)存取和竊聽的行為也更不容易防備。具體分析，無線局域網(wǎng)存在有兩種主要的安全性缺陷。

3.1 靜態(tài)密鑰的缺陷

靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時告知管理員，否則將產(chǎn)生嚴重的安全問題。及時的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題，但當用戶少時，管理員可以定期更新這個靜態(tài)配置的密鑰，而且工作量也不大。但是在用戶數(shù)量可觀時，即便可以通過某些方法對所有AP（接入點）上的密鑰一起更新以減輕管理員的配置任務(wù)，管理員及時更新這些密鑰的工作量也是難以想像的。

3.2 訪問控制機制的安全缺陷

1）封閉網(wǎng)絡(luò)訪問控制機制：幾個管理消息中都包括網(wǎng)絡(luò)名稱或SSID，并且這些消息被接入點和用戶在網(wǎng)絡(luò)中廣播，并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱，獲得共享密鑰，從而連接到“受保護”的網(wǎng)絡(luò)上。

2）以太網(wǎng)MAC地址訪問控制表：MAC地址很容易的就會被攻擊者嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個有效地址，越過訪問控制。

4 無線局域網(wǎng)安全保障策略

4.1 SSID訪問控制

通過對多個無線接人點AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權(quán)限進行區(qū)別限制。

4.2 MAC地址過濾

每個無線客戶端網(wǎng)卡都有唯一的一個物理地址，因此可以通過手工的方式在在AP中設(shè)置一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。

4.3 使用移動管理器

使用移動管理器可以用來增強無線局域網(wǎng)的安全性能，實現(xiàn)接入點的安全特性。移動管理器可以提高無線網(wǎng)絡(luò)的清晰度，當網(wǎng)絡(luò)出現(xiàn)問題時，它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險，網(wǎng)絡(luò)管理員設(shè)置一個網(wǎng)絡(luò)行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置，可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡(luò)上。

4.4 運用VPN技術(shù)

VPN技術(shù)的運用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三級安全保障：用戶認證、加密和數(shù)據(jù)認證來實現(xiàn)無線網(wǎng)絡(luò)的安全性保證。用戶認證確保只有已被授權(quán)的用戶才能夠進行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。數(shù)據(jù)認證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自已經(jīng)得到認證的設(shè)備。

4.5 采用802.1x 基于端口的認證協(xié)議

802.1x為接入控制搭建了一個新的框架，使得系統(tǒng)可以根據(jù)用戶的認證結(jié)果決定是否開放服務(wù)端口。基于802.1x認證體系結(jié)構(gòu)，其認證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認證服務(wù)器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS服務(wù)器之間的會話數(shù)據(jù)包。這種認證機制的好處是方便了管理，可以更容易地與現(xiàn)有的資源融合，802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，更適合公共無線接入解決方案。在采用802.1x的WLAN中，無線用戶端安裝802.1x客戶端軟件，無線AP內(nèi)嵌802.1x認證代理，同時它還作為RADIUS服務(wù)器的客戶端，負責用戶與RADIUS服務(wù)器之間認證信息的轉(zhuǎn)發(fā)。當無線客戶端登錄到無線訪問AP點后，是否可使用AP的服務(wù)取決于802.1x的認證結(jié)果。如果認證通過，則AP為客戶端打開這個邏輯端口，否則不允許用戶上網(wǎng)。

5 結(jié)論

無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢，但與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價格較高，因而它主要面向有特定需求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系，而不是競爭，目前還只是有線網(wǎng)絡(luò)的補充，而不是替換。但也應(yīng)該看到，近年來，無線局域網(wǎng)產(chǎn)品的價格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

參考文獻

[1] 張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學出版社，2004.

[2] 陳鶴,曹科.無線局域網(wǎng)技術(shù)研究與安全管理[J].現(xiàn)代機械, 2006,(04).

[3] 王茂才等.無線局域網(wǎng)的安全性研究[J].計算機應(yīng)用研究,2007 (1).

[4] 趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計算機信息,2007(21).

[5] 趙琴.淺談無線網(wǎng)絡(luò)的安全性研究[J].機械管理開發(fā),2008,(01).

作者簡介：

孟彥（1986-），男，漢族，無錫人，江蘇省蘇州市平江區(qū)平江路街道；關(guān)注領(lǐng)域和研究方向：智能化圖像分析、網(wǎng)絡(luò)安全。