無線局域網通信安全機制的研究

趙婉彤

[摘 要]無線局域網技術的普遍應用給人們帶來了諸多便利。本文首先介紹了無線局域網中的身份驗證等機制，然后分析了當前無線局域網通信中，由于傳播介質脆弱、WEP協議不完善、IPseC缺乏對鏈路層的保護等引起的安全隱患，最后提出利用VPN、IEEE802.1x協議、WAP協議等進行通信安全防護的措施。

[關鍵詞]無線局域網；通信安全；安全隱患

doi：10.3969/j.issn.1673 - 0194.2017.12.087

[中圖分類號]TN925.93 [文獻標識碼]A [文章編號]1673-0194（2017）12-0-02

當前，通信技術和網絡技術不斷提高，網絡對人們工作、生活、學習產生了巨大影響。近年來，各種智能移動設備的普及，使得通信技術和網絡技術逐步向移動化方向發展，人們對移動中接入互聯網的需求也越來越迫切。

無線局域網（WLAN）技術將無線通信技術和互聯網有機結合起來，使得無線網絡滿足了人們對移動中接入互聯網的現實需求。無線局域網具有接入速度快、性價比高且擴展性強等優點，因此得到了十分廣泛的應用。目前，連接無線網絡幾乎已經成為各種智能設備最基礎的功能之一，因此，無線局域網技術具有十分廣泛的發展和應用前景。

但是，由于無線局域網是開放的，其通信鏈路易被惡意攻擊者非法訪問，用戶利用無線局域網傳輸數據時，容易遭到非法竊聽。這些缺點導致無線局域網在應用方面受到一定制約，因此，開展無線局域網的安全防護研究具有十分重要的現實意義。

1 無線局域網的安全機制

在利用無線局域網進行信息傳輸時，應將信息安全可靠地發送到目的主機，且被接收后，僅有目標主機能夠對信息進行解碼。研究人員通過努力，提出了一系列保證信息安全傳送的安全機制，如身份驗證、數據加密、信息完整性驗證及秘鑰管理等。

1.1 身份驗證機制

無線局域網雖然是對外開放的，但并非所有人都能接入，必須是授權的用戶才可接入，因此，用戶請求連接時，無線局域網首先要對用戶的身份進行認證。無線局域網的身份認證機制能實現無線接入點和用戶終端相互之間的身份認證，根據驗證結果，決定用戶終端是否允許接入。

1.2 數據加密機制

無線局域網的開放性使傳輸的信息很容易被攻擊者截獲，如果傳輸的是明文數據，則攻擊者可獲得信息的真實內容，因此，必須對發送的信息進行加密。無線局域網的數據加密機制主要利用加密算法對將要傳輸的信息進行加密，然后將加密后的信息通過無線信道進行傳輸，合法用戶接收到信息后，利用秘鑰對加密信息進行解密后才能得到正確的明文信息。

1.3 信息完整性驗證機制

數據在無線局域網信道中傳輸的過程中存在以下兩個問題：第一，信道不穩定會導致信息丟失；第二，惡意攻擊者可能會對信息進行更改后轉發給目的主機，從而導致合法用戶接收到的信息存在錯誤或不完整。無線局域網的信息完整性驗證機制可對接收到的信息的完整性進行檢測和判斷，從而保證合法用戶能獲得完整、準確的信息。

1.4 秘鑰管理機制

對秘鑰的管理是否科學合理，關系著加密信息是否能安全傳送。無線局域網的秘鑰管理機制對秘鑰的生成、分配等各個環節進行管理，以避免秘鑰重用或網絡開銷較大等問題。

2 無線局域網存在的安全威脅

無線局域網采取了一系列安全機制來保證通信的安全性，但其自身固有的特點導致其仍存在很多安全隱患，主要表現在傳輸介質脆弱、保密協議不完善、Ipse安全性較弱等方面。

傳統的有線局域網在數據傳輸過程中經常利用安全設備或人為保護，以抵御一定的網絡攻擊，安全性較強，但無線局域網的傳輸易受環境因素的影響，且其開放性導致其容易受到惡意攻擊者的攻擊，因此需要進一步提高其數據傳輸過程中的安全性。

無線局域網通常是在有線等效保密協議（WEP）的基礎上構建起來的，但WEP往往無法對無線局域網中的信息傳輸進行有效保護，缺乏完整的認證校驗功能。因此，一旦WEP受到破壞，將嚴重威脅無線局域網的安全性。

IpseC是在Ipse-curitx的基礎上建立起來的，盡管可以提供身份認證、完整性認證等安全防護功能，但并非專門為無線局域網而設計的，僅能提供網絡層以上的安全防護，無法對鏈路層提供防護，因此難以保證無線局域網的安全性。

3 無線局域網安全防護措施

3.1 利用VPN進行通信

通過在公共網絡中建立加密隧道，對待傳輸的數據進行加密和協議封裝，并將新的協議頭嵌套進去之后再進行傳輸，從而實現遠程安全訪問內部網絡。利用VPN進行網絡通信，可將無線網絡當作Internet對待，將無線網絡通信封裝在防火墻內，每個用戶分別與一個VPN相對應，通過VPN與無線網絡相連，這種連接方式能將外來設備阻擋在無線網絡之外。

3.2 利用IEEE802.1x協議進行無線網絡安全通信

盡管IEEE802.1x最初的設計主要是針對有線網絡，但研究人員通過研究發現，該協議更適用于無線網絡。利用IEEE802.1x協議進行通信時，如果有設備請求接入中心點，則中心點會首先要求該設備提供相應的數字證書，待設備提交數字證書后，中心點再將該證書提交給用于認證的遠程撥號用戶服務器。上述過程被包含在EAP中，EAP作為IEEE802.1x中十分重要的功能，主要提供給用戶用于生成其自身的證書發放方式。

3.3 利用WAP協議進行安全通信

傳統WEP協議存在的隱患主要在于秘鑰的傳遞，因為秘鑰在傳遞過程中容易被截獲。WAP對WEP等原有協議進行了改進，將秘鑰用TKIP進行傳送，且在管理秘鑰的過程中，采用與RSA秘鑰管理類似的方式。TKIP協議利用初始化向量對數據包進行編號，使接收端能根據數據包的編號決定是否接收該數據包，從而避免重放攻擊；通過生成臨時秘鑰，降低秘鑰泄露風險；將消息完整性校驗碼封裝在數據包中一同發送，接收者通過對比MIC值判斷是否遭到篡改攻擊，從而采取相應處理措施

4 結 語

通信技術給人們工作、生活等各方面帶來了巨大便利。盡管無線局域網采用了身份驗證、數據加密等多種機制來加強通信的安全性，但仍存在傳輸介質脆弱等問題，因此在無線局域網發展的同時，對其存在的安全隱患也需要引起高度重視，必須采取相應的防護措施，確保無線網絡通信的安全性。

主要參考文獻

[1]馬志斌.無線局域網通信安全問題探討[J].工程技術：全文版，2016（7）.

[2]顧文琰.無線局域網安全機制研究[J].中國科技博覽，2014（40）.

[3]朱海波.無線局域網通信安全機制探究[J].移動信息，2015（3）.

[4]楊雪.無線局域網通信安全機制探究[J].電子世界，2013（19）.

[5]吳文臣.局域網安全及防范策略[J].中國新通信，2017（2）.

[6]王浩，贠永剛，張欣.無線局域網MAC層訪問方式分析[J].電腦迷，2014（1）.