論無線局域網的安全技術

摘要: 本文結合無線局域網發展的背景，從物理安全、存在的威脅兩方面分析了無線局域網的安全問題，并介紹了解決問題的幾種無線局域網安全技術。

關鍵詞: 無線;局域網;安全技術

一、引言

近年來，無線網在全世界取得了較大發展，無線局域網(WLAN，wIreland1ess Local Area Network)應用也越來越多，它將擴展有線局域網或在某些情況下取而代之。可以預見，未來無線局域網將依靠其無法比擬的靈活性、可移動性和極強的擴容性，使人們真正享受到簡單、方便、快捷的連接。但是，與有線網絡一樣，無線局域網正受到眾多安全問題的困擾，其中包括來自網絡用戶的攻擊、未認證的用戶獲得存取權和來自公司或工作組外部的竊聽。由于無線媒體的開放性，竊聽是無線通信常見的問題，使得無線網絡的安全性比有線網絡更受關注。

二、 無線局域網的安全問題

目前，困擾無線局域網發展的因素己不是速度，而是安全、應用和互聯互通方面的問題，其中安全己成為制約無線局域網發展的重要因素。調查顯示，在所有不愿采用無線局域網的用戶中，有40%的原因來自安全問題。可見，安全問題不解決，無線局域網的應用前景必將大受影響。與有線網絡相比較，無線局域網的安全問題主要有兩個方面。

(一)物理安全

無線設備包括站點(STA，Station)和接入點(AP，Access Point)。站點通常由一臺PC或筆記本電腦加上一塊無線網絡接口卡構成:接入點通常由一個無線輸出口和一個有線網絡接口構成，其作用是提供無線和有線網絡之間的橋接。物理安全是關于這些無線設各自身的安全問題。首先，無線設備存在許多的限制，這將對存儲在這些設備的數據和設備問建立的通信鏈路安全產生潛在的影響。與個人計算機相比，無線設備如個人數字助理(PDA，Personal Digital Assistant)和移動電話等，存在電池壽命短、顯示器小、有限的或不同的輸入方法、通信鏈路帶寬窄、內存容量小、CPU處理速度小等缺陷。其次，無線設備雖有一定的保護措施，但是這些保護措施總是基于最小信息保護需求的。如果存儲重要信息的無線設備被盜，那么小偷就可能無限期地對設備擁有惟一的訪問權，不斷地獲取受保護的數據。因此，有必要加強無線設備的各種防護措施。

(二)存在的威脅

1、修改替換。在無線局域網中，通過增加功率或定向天線可以很容易使菜一結點的功率高于另一結點。這樣，較強結點可以屏蔽較弱結點，用自己的數據取代，甚至會代替其他結點做出的反應。

2、傳遞信任。當內部網包括一部分無線局域網時，就會為攻擊者提供一個不需要物理安裝的接口用于網絡入侵。但在無線網絡環境下，受攻擊卻不能通過一條確定的路徑找到這個接口，這使得有效認證機制顯得特別重要。在所有的情況下，參與通信的雙方都應該能相互認證。

3、基礎結構攻擊。基礎結構攻擊是基于系統中存在的漏洞，如軟件臭蟲、錯誤配置、硬件故障等。這種攻擊也會出現在無線局域網中。但是針對這種攻擊進行的保護幾乎是不可能的，除非發生了，否則不可能知道臭蟲的存在。所能做的就是盡可能地降低破壞所造成的損失。

4、拒絕服務。無線局域網存在一種比較特殊的拒絕服務攻擊，攻擊者可以發送與無線局域網相同頻率的干擾信號來干擾網絡的正常運行，從而導致正常的用戶無法使用網絡。如果攻擊者有足夠功率的無線電收發器，就能容易地產生干擾信號，以至于無線局域網無法使用這個無線電通道。

三、無線局域網安全技術

(一)服務集標識符

服務集標識符(SSID，Service Set Identifier)技術將一個無線局域網分為幾個需要不同身份驗證的子網，每一個子網都需要獨立的身份驗證，只有通過身份驗證的用戶才能進入相應的子網，防止未被授權的用戶進入本網絡，同時對資源的訪問權限進行區別限制。SSID是相鄰的無線接入點(AP)區分的標志，無線接入用戶必須設定SSID才能和AP通信。通常，SSID須事先設置于所有使用者的無線網卡及AP中。嘗試連接到無線網絡的系統在被允許進入之前必須提供SSID，這是惟一標識網絡的字符串。

但是，SSID對于網絡中所有用戶都是相同的字符串，其安全性能差，人們可以輕易地從每個信息包的明文里竊取到它。一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易泄露給非法用戶。SSID實際是一個簡單口令，可以提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。

(二)媒體訪問控制

由于每個無線工作站的網卡都有惟一的物理地址，應用媒體訪問控制(MAC，Media Access Control)技術，可在無線局域網的每一個AP設置一個允許接入用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。但因為MAC地址在網上是以明碼模式傳送的，所以只要監聽網絡便可從中截取或盜用該MAC地址，進而偽裝使用者進入內部網絡偷取機密資料。其次，部分無線網卡允許通過軟件來更改其MAC地址，通過編程將想用的地址寫入網卡就可以冒充這個合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護網絡的權限。另外，媒體訪問控制屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新，由于目前都是手工操作，當用戶增加時，MAC地址擴展困難，因此媒體訪問控制只適合于小型網絡規模。

(三)Wi—Fi保護性接入

Wi—Fi保護性接入(WPA，wi—Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。其原理為根據通用密鑰，配合表示計算機MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。這樣，無論收集到多少這樣的數據，要想破解出原始的通用密鑰幾乎是不可能的。WPA還具有防止數據中途被篡改的功能和認證功能。

WPA標準采用了TKIP(Temporal Key Integrity Protoc0l)、EAP和802.1x等技術，在保持Wi—Fi認證產品硬件可用性的基礎上，解決802.11在數據加密、接入認證和密鑰管理等方面存在的缺陷。因此，WPA在提高數據加密能力、增強網絡安全性能和接入控制能力方面具有重要意義。WPA是一種比WEP更為強大的加密方法。作為802.11i標準的子集，WPA包含了認證、加密和數據完整性校驗三個組成都分，是一個完整的安全性方案。

(四)國家標準WAPI

國家標準WAPI (WAPI，WLAN Authentication and Privacy infrastructure)，即無線局域網鑒別與保密基礎結構，是針對IEEE802.11中WEP協議的安全問題，在中國無線局域網國家標準GBl5629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。

WAPI的主要特點是采用基于公鑰密碼體系的證書機制，真正實現了移動終端(MT，Movable Terminator)與無線接入點(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區漫游，方便用戶使用。另外，它充分考慮了市場應用，從應用模式上可分為單點式和集中式兩種。單點式主要用于家庭和小型公司的小范圍應用，集中式主要用于熱點地區和大型企業，可以和運營商的管理系統結合起來，共同搭建安全的無線應用平臺。采用WAPI能夠徹底扭轉目前WLAN多種安全機制并存且互不兼容的現狀，從而從根本上解決安全和兼容性問題。

四、結語

無線局域網具有隨時連線、成本低廉、速度快、部署簡易、美觀和機動性強等優勢。但容易遭竊聽或干擾，同樣面臨安全問題。常用的安全技術有服務集標識符等技術。隨著網絡技術的發展，新的安全認證與識別技術也會不斷涌。

參考文獻:

[1]王惠勇. 無線局域網及其安全技術[J]. 電腦與電信， 2009，(02) .

[2]楊改貞. 無線局域網中的安全及WPA加密技術研究[J]. 電腦應用技術， 2006，(03) .

[3]劉國強. 無線局域網技術概述[J]. 科學大眾， 2009，(04) .

[4]伍向陽. 無線局域網安全解決方案淺析[J]. 中國科教創新導刊， 2009，(08) .