淺談無線局域網的安全問題

潘　冰　張　宏

[摘要]隨著通信技術的發展，無線網將依靠其靈活性、可移動性越來越受到人們的歡迎，但由于無線網的開放性，網絡安全問題尤其嚴峻。根據無線局域網存在的安全隱患，分析各種安全缺陷，提出初步解決方案。

[關鍵詞]無線局域網 網絡安全

中圖分類號：TN92 文獻標識碼：A 文章編號：1671-7597（2009）0110060-01

一、引言

隨著信息技術的發展，人們對網絡通信的需求隨之提高，希望打破不同地域或其它條件的制約，可與世界各地的人都能進行網絡通信。目前，網絡主要通信方式還是有線方式（即用銅線或光纜等傳輸介質）實現數據通信；若在某些特殊地方，例如架線難度較大的山區或不愿遭到破壞的小區域內，也都希望隨時能在任何角落進行通信時，這就需用無線網絡完成通信。無線網絡采用無線鏈路實現數據的通信（即用電磁波、激光、紅外線等通信）[1]。

無線通信采用無線電波傳輸，具有移動性好、架設和維護容易等特點，還能支持移動計算，越來越成為室外通信的最佳方案。但是，相對于有線網絡，無線網絡為用戶提供便利性的同時，也為基于無線鏈路和智能移動終端的各種惡意行徑和行為提供了方便。因此無線網絡比有線網絡存在更多的安全隱患和威脅。再者，由于無線網絡本身體系結構復雜、傳輸速度較慢、信號易受干擾、安全隱患多、通信成本高等固有局限性。因此，目前網絡仍以有線網絡為主體，無線網絡只是有線網絡的一個補充[2]。

二、無線局域網中存在如下幾種安全隱患

（一）拒絕服務攻擊

無線局域網存在一種比較特殊的拒絕服務攻擊，攻擊者可以發送與無線局域網相同頻率的干擾信號來干擾網絡的正常運行，從而導致正常的用戶無法使用網絡。如果攻擊者有足夠功率的無線電收發器，就能夠很容易地產生干擾信號，以至于無線局域網無法使用這個無線電信道。

（二）無線竊聽

無線局域網中，網絡的安全問題尤其嚴峻，因為無線電信號可能傳播到辦公室外面，入侵者就可以在建筑物外面來訪問無線局域網，也就可以竊聽網絡中傳輸的數據。不過，入侵者需要獲得這個無線局域網的網絡訪問代碼。

（三）其他問題

在局域網中還有一種比較特別的置信攻擊，攻擊者可以將自己偽造成基站。因為移動設備通常將自己切換到信號最強的網絡，如果失敗則嘗試下一個網。如果攻擊者擁有一個很強的發送設備，就可以讓移動設備嘗試登錄到攻擊者的網絡，通過分析找出密鑰和口令。除此之外，無須局域網也很容易受到一些針對系統缺陷的攻擊，例如軟

件BNG、配置錯誤和硬件失敗等。

三、無線網絡安全性機制[3.4]

（一）無線網卡物理地址（MAC）過濾

每個無線工作站網卡都由唯一的物理地址標識，網絡管理員可在無線局域網訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現物理地址的訪問過濾。

（二）服務區標識符（SSID）匹配

無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，AP將會拒絕經本服務區上網。可以認為SSID是個簡單口令，提供口令認證機制，可實現一定的安全。

（三）有線等效保密（WEP）

有線等效保密（WEP）協議是由802.11標準定義的，用在無線局域網中保護鏈路層數據。WEP采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。WEP加密采用靜態保密密鑰，各WLAN終端使用相同密鑰訪問無線網絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點，以供認證比對，只有正確無誤，才能獲準存取網絡的資源。

（四）端口訪問控制技術（IEEE802.1x）和可擴展認證協議（EAP）

這是用于無線局域網的一種增強性網絡安全方案。當無線工作站與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網。現在，安全功能比較全的AP在支持IEEE 802.1x和Radius的集中認證時支持的可擴展認證協議類型有：EAP-MD5&TLS、TTLS和PEAP。

（五）VPN-Over-Wireless技術

它與IEEE802.11b標準所采用的安全技術不同，VPN主要采用DES、3DES等技術保障數據傳輸的安全。對于安全性要求更高的用戶，將現有的VPN安全技術與IEEE802.11b安全技術結合起來，是目前較為理想的無線局域網絡的安全方案之一。

四、無線局域網安全技術的發展方向

無線局域網總的發展方向是速度會越來越快，安全性會越來越高。當然無線局域網的各項技術均處在快速的發展過程當中，無線局域網規范IEEE 802.11n將是近期整個無線局域網業的熱點。新興的802.11n標準具有高達600Mbps的傳輸速率，可提供支持對帶寬極為敏感的應用所需的速率、范圍和可靠性。802.11n技術在應用上還喊出了取代有線的口號，而這與當初802.11a、802.11b、802.11g所倡導的“延伸有線網絡和補充有線網絡”截然不同。假以時日，802.11n在Wi-Fi技術市場一枝獨秀，成為Wi-Fi市場的主流技術已毋庸置疑。

五、總結

在無線局域網的未來發展中，安全問題仍將是一個最重要的、迫切需要解決的問題。IEEE 802.1x委員會一直致力于完善整個802標準體系的安全性能。802.1x的意旨在于為LAN端口提供一個普遍意義的訪問控制機制，不僅僅是局限于802.11，這種認證機制是基于RADIUS中的可擴展認證協議。RADIUS（遠程認證撥號用戶業務）是IETF提供認證業務的一個標準方法。可擴展認證協議（EAP）允許用戶和認證服務器協商認證協議。

參考文獻：

[1]孟凡華、孫志芳，淺談無線網絡安全及應對措施[J].電腦知識與技術，2006(11):1-63.

[2]羅榮桂，田逢春.無線網絡安全通信的一種方法[J].武漢理工大學學報，2004.24(6):1-5.

[3]彭新光、吳興興，計算機網絡安全技術與應用[M].北京科學出版社，2005.9:282-300.

[4]董妍汝，網絡安全[J].山西電子技術，2006(3):39-40.

作者簡介：

潘冰，男，漢，吉林省吉林市，哈爾濱理工大學，在讀碩士，研究方向：單片機。