無(wú)線局域網(wǎng)安全問(wèn)題分析及安全體制研究

摘要：如今無(wú)線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN）經(jīng)過(guò)多年發(fā)展，己越來(lái)越成熟，應(yīng)用也越來(lái)越廣泛和深入，由于網(wǎng)絡(luò)及WLAN自身特點(diǎn)，使用WI-FI（WirelessFidelity）技術(shù)的無(wú)線局域網(wǎng)絡(luò)安全問(wèn)題備受關(guān)注。本文在對(duì)WLAN相關(guān)技術(shù)分析基礎(chǔ)上，探討了幾種常用的安全保障策略與機(jī)制。

關(guān)鍵詞：無(wú)線局域網(wǎng)；安全機(jī)制；；IEEE802.11

中圖分類號(hào)：TN925 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712（2012）20-0028-01

一、無(wú)線局域網(wǎng)接入技術(shù)

WLAN是一種寬帶無(wú)線接入技術(shù)，是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)結(jié)合的產(chǎn)物。以無(wú)線多址信道作為傳輸媒介，利用電磁波完成數(shù)據(jù)交互，實(shí)現(xiàn)傳統(tǒng)有線局域網(wǎng)的功能。

（一）無(wú)線局域網(wǎng)特點(diǎn)和標(biāo)準(zhǔn)

具有如下特點(diǎn)：易安裝，免去大量布線工作；高可移動(dòng)性，無(wú)線訪問(wèn)點(diǎn)（AccessPoint，AP）支持范圍10～300m；易擴(kuò)展與維護(hù)，多種配置方式，每個(gè)AP支持5～30多個(gè)用戶接入；可靠性，使用與以太網(wǎng)類似的連接協(xié)議和數(shù)據(jù)包形式傳送數(shù)據(jù)。

無(wú)線局域網(wǎng)使用的標(biāo)準(zhǔn)是IEEE802.11系列，主要包括21個(gè)標(biāo)準(zhǔn)。常用的有：IEEE802.11，無(wú)線局域網(wǎng)物理層和介質(zhì)訪問(wèn)控制層規(guī)范；IEEE802.11b，無(wú)線局域網(wǎng)物理層和介質(zhì)訪問(wèn)控制層規(guī)范—2.4GHz頻段高速物理層擴(kuò)展；IEEE802.11g，2.4GHz頻段高速物理層擴(kuò)展；IEEE802.11i，無(wú)線局域網(wǎng)介質(zhì)訪問(wèn)控制層安全性增強(qiáng)規(guī)范等。

（二）無(wú)線局域網(wǎng)的結(jié)構(gòu)

無(wú)線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過(guò)無(wú)線Hub、無(wú)線接入站（AP）、無(wú)線網(wǎng)橋、無(wú)線Modem及無(wú)線網(wǎng)卡等來(lái)實(shí)現(xiàn)，其中以無(wú)線網(wǎng)卡最為普遍，使用最多。一般來(lái)說(shuō)，WLAN由兩部分組成：從無(wú)線網(wǎng)卡到接入點(diǎn)、從接入點(diǎn)到局域網(wǎng)。

WLAN的拓?fù)浣Y(jié)構(gòu)可分為兩種方式：無(wú)中心拓?fù)渚W(wǎng)絡(luò)，終端數(shù)相對(duì)較少；有中心拓?fù)渚W(wǎng)絡(luò)，終端數(shù)相對(duì)較多。

二、WLAN中存在的安全問(wèn)題分析

無(wú)線網(wǎng)絡(luò)不但要受到基于傳統(tǒng)TCP/IP架構(gòu)的有線網(wǎng)絡(luò)方式的攻擊，由于其自身特點(diǎn)存在的安全問(wèn)題有，一般分為兩大類，一類是關(guān)于網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)進(jìn)行的攻擊。這類攻擊在有線環(huán)境下也會(huì)發(fā)生。另一類則是由無(wú)線介質(zhì)本身的特性決定的，基于無(wú)線通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。總體來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)在以下幾個(gè)方面：

（一）網(wǎng)絡(luò)易被竊聽(tīng)

無(wú)線局域網(wǎng)絡(luò)主要采用無(wú)線通信方式，其數(shù)據(jù)包更容易被截獲。

（二）IEEE802.11系列標(biāo)準(zhǔn)本身的安全問(wèn)題

802.11b標(biāo)準(zhǔn)里定義的協(xié)議WEP，靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲(chǔ)器中，因此當(dāng)適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問(wèn)網(wǎng)絡(luò)。

（三）網(wǎng)絡(luò)易受干擾問(wèn)題

由于WLAN使用的時(shí)公共頻段，因此，相鄰WLAN之間或其他電子產(chǎn)品也都可能使用這個(gè)波段，從而存在潛在干擾問(wèn)題且不易被查明來(lái)源。

（四）MAC地址欺騙

在WLAN信號(hào)覆蓋范圍內(nèi)的任何無(wú)線設(shè)備都可以接收到WLAN的服務(wù)信號(hào)，所以攻擊者可輕松獲得合法站點(diǎn)的MAC地址，并編程實(shí)現(xiàn)偽裝一個(gè)有效地址寫到無(wú)線網(wǎng)卡中，從而越過(guò)訪問(wèn)控制。

（五）訪問(wèn)控制機(jī)制的安全缺陷

無(wú)線局域網(wǎng)的管理消息中都包含網(wǎng)絡(luò)名稱或服務(wù)設(shè)置標(biāo)志號(hào)（SSID），這些消息被接人點(diǎn)和用戶在網(wǎng)絡(luò)中不受到任何阻礙地廣播。結(jié)果是網(wǎng)絡(luò)名稱很容易被攻擊者嗅探和獲取，從而得到共享密鑰。非法連接到無(wú)線局域網(wǎng)絡(luò)中。

三、WLAN安全保障機(jī)制

（一）訪問(wèn)控制

如利用WLAN入侵檢測(cè)技術(shù)檢測(cè)MAC地址欺騙，靜態(tài)IP地址與MAC地址綁定。對(duì)于服務(wù)集標(biāo)識(shí)符（ServiceSetIdentifier，SSID）的使用，對(duì)于不相同的無(wú)線接入點(diǎn)設(shè)置不相同的SSID號(hào)，另外要求只有無(wú)線工作站出示正確的SSID號(hào)，才可以訪問(wèn)無(wú)線訪問(wèn)點(diǎn)。

（二）數(shù)據(jù)加密

由于WEP的脆弱性，目前采用的新標(biāo)準(zhǔn)有兩種，一種是Wi-Fi聯(lián)盟推出的基于IEEE802.11i標(biāo)準(zhǔn)的WPA2。這種方案支持更好的AES加密方式來(lái)解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。另一種是中國(guó)的WAPI（無(wú)限局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）無(wú)線標(biāo)準(zhǔn)。WAPI安全機(jī)制由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI兩部分組成，采用基于橢圓曲線的公鑰證書體制和對(duì)稱密碼算法進(jìn)行加密和解密算法分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和數(shù)據(jù)加密。

（三）運(yùn)用VPN技術(shù)

VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，是在現(xiàn)有的網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。適用于企業(yè)或單位內(nèi)部網(wǎng)絡(luò)。

（四）采用802.1x基于端口的認(rèn)證協(xié)議

其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成。802.1x不僅實(shí)現(xiàn)端口訪問(wèn)控制，還用于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，更適合公共無(wú)線網(wǎng)絡(luò)的接入。

（五）使用防火墻及病毒檢測(cè)系統(tǒng)

防火墻布置在局域網(wǎng)和外網(wǎng)的交界處，阻止外部的入侵，保障內(nèi)網(wǎng)安全。網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)過(guò)防火墻的掃描，可以過(guò)濾掉一些攻擊，以免在目標(biāo)計(jì)算機(jī)上執(zhí)行。病毒和木馬是竊取網(wǎng)絡(luò)個(gè)人信息的主要手段，為防止計(jì)算機(jī)病毒和木馬，要限制U盤、光盤的數(shù)據(jù)拷貝，用集中式防病毒管理模式，通過(guò)各種檢測(cè)方法對(duì)病毒進(jìn)行檢測(cè)，自動(dòng)進(jìn)行更新特征碼，實(shí)時(shí)清除病毒。

四、結(jié)束語(yǔ)

雖然針對(duì)WLAN的固有物理特性和組網(wǎng)結(jié)構(gòu)研究出了很多的安全技術(shù)與策略，然而安全沒(méi)有絕對(duì)的，只有相對(duì)的安全，對(duì)其技術(shù)的研究與安全機(jī)制的應(yīng)用也將是持久的。局域網(wǎng)的安全固然重要，但在一些公共場(chǎng)所應(yīng)該無(wú)償提供無(wú)線網(wǎng)絡(luò)，符合網(wǎng)絡(luò)的共享精神。

參考文獻(xiàn)：

[1]徐春橋.無(wú)線局域網(wǎng)安全及防護(hù)技術(shù)分析[J].計(jì)算機(jī)安全，2012，（5）：74-76.

[2]王穎天.淺談無(wú)線局域網(wǎng)安全解決方案[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，（2）：135-136.

[3]林烈青.無(wú)線局域網(wǎng)通信安全機(jī)制的研究[J].實(shí)驗(yàn)室研究與探索，2012，31（8）：257-284.

[4]郭淵博，楊奎武，張暢.無(wú)線局域網(wǎng)安全設(shè)計(jì)及實(shí)現(xiàn)[M].北京：國(guó)防工業(yè)出版社，2010.