無線局域網的安全機制及安全措施

黃學良

摘?要：隨著我國科技水平不斷提升，無線局域網技術在我國應用范圍越來越廣，其主要是指采用無線傳輸媒介的計算機局域網，但是由于其以公共的電磁波作為載體，這也使得越權存取等行為更加不容易防范。整體來看，WLAN的安全問題已經嚴重束縛了WLAN技術的健康發展。基于此，該文嘗試對無線局域網的安全機制及安全措施進行了分析。

關鍵詞：無線局域網??安全機制??安全措施??研究

中圖分類號：?TP393????文獻標識碼：A???文章編號：1672-3791（2022）07（b）-0000-00

Security?Mechanism?and?Security?Measures?of?Wireless?LAN

HUANG?Xueliang

（Zhengzhou?Vocational?College?of?Information?Engineering，Zhengzhou，Henan?Province，450121?China）

Abstract：?With?the?continuous?improvement?of?China's?scientific?and?technological?level，?wireless?LAN?technology?is?more?and?more?widely?used?in?China.?It?mainly?refers?to?the?computer?LAN?using?wireless?transmission?media.?However，?due?to?its?public?electromagnetic?wave?as?the?carrier，?it?is?more?difficult?to prevent?unauthorized?access?and?other?behaviors.?On?the?whole，?the?security?problem?of?WLAN?has?seriously?constrained?the?healthy?development?of?WLAN?technology.?Based?on?this，?this?paper?attempts?to?analyze?the?security?mechanism?and?security?measures?of?WLAN.

Key?Words：?Wireless?LAN;?Security?mechanism;?Safety?measures;Research

當前，網絡系統的安全性主要表現為訪問控制以及數據加密兩個階段，對于無線局域網來說，將其與有線局域網進行比較之后可以發現，其安全問題更為突出，在對安全問題進行處理時，主要是應用了電磁波作為載體來進行數據信號的傳輸。雖然現階段我國在進行局域網建網時，所應用的技術以及涉及的環節越來越復雜，這也使得電磁輻射傳輸方式的安全保密問題成為了人們關注的重點問題之一，因此對相關安全措施進行針對性分析非常有必要。

1無線局域網現有安全機制特點分析

1.1物理地址過濾控制

對于物理地址（MAC）來說，其是每個無線網客戶端網卡的唯一物理標識，因此可以在手工維護單元確定一組答應訪問的MAC地址列表，通過物理地址對其進行過濾。由于物理地址過濾屬于硬件認證，而不是用戶認證，這就需要對AP中的MAC地址列表進行更新，當前來看，很多時候都是運用手動操作的方式，并且其擴展能力相對有限，因此只適合一些小型網絡。此外，很多非法用戶往往習慣于利用網絡偵聽手段來獲取合法的MAC地址，實際上MAC地址并不難修改，因此很多非法用戶都可以通過盜用的方式來實現非法接入[1]。因此，今后應該注意對物理地址的標識進行明確，提升對無線客戶信息的保密程度。

1.2有限對等保密機制

對于WEP認證來說，其主要是應用共享密鑰認證的方式來確定客戶接入點，從而實現命令與回應信息的有效交換，可以將命令文本明碼發到客戶端，客戶端則可以利用共享密鑰加密的方式來將其發揮到信息接入點。當前，RC4加密算法在我國無線網絡技術中有較為廣泛的應用，其屬于一種對稱的流密碼，支持長度可變的密鑰。但是從當前WEP認證方式應用的情況來看，尚且缺少完善的密鑰治理以及校檢計算體系，這也使得此種方式在實際應用過程中依然存在一定安全缺陷。

1.3無線保護訪問

對于無線保護訪問（WPA）形式來說，其屬于無線網絡系統推出的過渡性標準，需要對當前無線局域網發展現狀進行分析，為了可以兼容有限對等保密機制，應該注意應用AES與TKIP相結合的方式來進行加密處理。而后續的WPA2是WIFI聯盟出品的第二代標準，其是使用一種安全性更高的加密標準來進行操作，并且同樣具有兼容功能。上述兩種標準都是在802.11i基礎上發展而來的。

1.4虛擬專用網絡

對于虛擬專用網絡來說，其屬于一門網絡新技術，在對其進行應用時，應該注意運用網絡遠程訪問連接方式，通過強大的加密方式來保證數據傳輸的安全性，并且此項技術可以實現與其他無線安全技術的有效兼容。另一方面，虛擬專用網路技術的應用可以提供峰值負載分擔以及租用線備份，通過這種方式可以有效降低成本費用[2]。此外，此項技術還支持中央安全管理，但是也存在一定缺陷，主要體現為需要在客戶集中對數據進行加密以及解密，這也會在很大程度上增加系統的運行負擔，再加上無線局域網的運行環境較為復雜、脆弱，這也使得網絡擴展受到了諸多因素的限制。

2當前無線局域網具體存在的安全威脅

2.1接入點的安全威脅

對于無線局域網來說，接入點的安全威脅非常嚴重，由于無線局域網接入點具有價格低、安裝方便以及結構緊湊等特點，這也使得其應用范圍不斷擴展。而對于非法無線局域網來說，其是在用戶不知情的情況下對無線網絡進行非法惡意訪問，只需要將無線局域網連接到AP網絡內部便可以實現與網絡端口的有效連接，從而盜取用戶重要信息[3]。

2.2安全功能設置不當

無線局域網的安全功能設置不當也已經成為了影響系統穩定運行的關鍵問題，在多數情況下，合法的網絡管理者并沒有專門設置相應的AP安全系統，更多時候則是保持默認設置，這也導致了AP一直處于不加密或者弱加密的環境中，也正是因為這些情況的存在，使得很多客戶端在在用戶訪問時經常會受到未知風險因素的影響，同時也使得整個企業的網絡都會在沒有任何密碼的情況下建立無線網絡系統，進而使得數據傳遞安全無法得到保證。

2.3連接不當

在進行客戶端連接操作時，經常會出現連接不當的現象，也正是因為這種情況的存在，使得一個合法的用戶在企業內部與AP進行連接時，可以建立起與外界的連接網絡，如果這時候外部的接入點是安全性未知的，則很可能置企業網路系統于危險之中，容易導致企業網絡信息暴露等情況出現[4]。

3無線局域網的安全措施分析

3.1對無線網絡進行加密處理

對于無線網路系統來說，在對其進行加密處理時，應該對加密方法進行科學選擇，從當前常見的安全類型來看，其主要包括WEP、WPA等。其中，WEP是一種運用傳統無線網絡進行加密計算的處理方法，在對此種方法進行應用時，非法入侵者很容易利用無線嗅探器來讀取數據，通過這種方式來可以使數據獲取更為及時[5]。如果采用128位的WEP來進行加密操作，入侵者想要破除此類密碼存在較大難度，同時還應該注意對密鑰進行定期更換，始終保證系統運轉安全性。此外，還應該考慮應用動態的WEP進行加密操作，這就需要系統本身有較為完善的數據體系對其進行支持，進而確定認證服務存在的風險性，可以應用TKIP或者AES的方式對其進行加密處理。

3.2運用靜態IP地址

對于一般的無線路由器來說，在對其進行應用時，主要是應用其DHCP功能，并且要動態分配IP地址，如果通過入侵者找到無線網絡，便可以及時獲取一個合法、合規的IP地址，這樣也使得無線網絡的安全隱患問題變得更為嚴重。因此，在對互聯網設備進行應用時，應該保證其處在一個相對固定的環境中，進而通過這種方式來保證每一個設備都可以設置一個固定的靜態IP地址，將這些靜態IP地址添加到無線路由器上之后，可以確定允許接入的IP值，這樣可以明顯縮小可接入的IP地址范圍。同時，還可以嘗試將靜態IP與相對應的MAC地址同步綁定，這樣一來，即使入侵者獲取了合法IP地址，依然需要驗證保定MAC地址，這也使得網絡系統的安全性明顯提升[6]。

3.3設置了MAC地址過濾

對于MAC地址過濾模式來說，在對其進行應用時，應該意識到其屬于獨一無二的設備標識，想要使其在實際應用的過程中發揮出理想效果，應該保證標示的唯一性。由于無線路由器具有可追蹤的功能，因此在對數據包源MAC地址進行追蹤時，應該確定其所具備的過濾功能，通過這種方式來建立起可以訪問路由器的MAC的地址列表，同時也可以有效達到防止非法設備接入網絡系統的作用。

3.4運用無線入侵檢測系統

對于無線入侵檢測系統（IDS）來說，將其與傳統的入侵檢測系統進行對比之后可以發現，其主要增加了對無線局域網的檢測以及對破壞系統反應特征的描述等功能。對于無線入侵檢測系統來說，可以通過分析網絡中的傳輸數據來判斷當前破壞系統與入侵事件之間是否存在必然聯系，從而確定與之相對應的解決方式[7]。在無線局域網絡運行過程中，無線入侵檢測系統的主要功能體現為以下幾個方面：首先，監視并且分析當前用戶的活動狀態，通過這種方式可以對其存在的非法網絡行為進行檢測，一旦發現與之相關的入侵類型，則可以及時借助網絡流量的方式來進行預警，進而保證黑客行為的具體地理信息更為明確，提高了無線局域網絡系統的安全性。在進行檢測操作時，應該對那些未經識別的標準數據流量進行明確，通過順序分析的方式來對MAC地址進行檢測，從而找到偽裝WAP的無線上網用戶。對于那些無線入侵檢測系統來說，其屬于一門新技術，其具有多種優勢，主要表現為靈敏度高、工作效率高等結果方面，但也存在一些缺陷，例如：檢測結果可能存在偏差。無線入侵檢測系統在我國尚且處于研發階段，隨著我國相關行業發展規模不斷壯大，技術水平不斷提升，此項技術存在的缺陷也勢必會被逐一解決[8]。

3.5在無線網絡中應用VPN技術

從當前我國無線網絡技術體系發展情況來看，對于工作站的維護以及AP地址列表設置等工作來說，其工作任務往往較為繁重。而對于VPN技術來說，其在無線網絡中應用可以使其成為當今WEP機制的最佳代替者。同時，VPN在客戶端以及各級組織中的運用可以建立起一條動態化的加密隧道，通過這種方式可以實現對當前用戶身份的有效驗證，進而保證數據信息的獲取以及傳遞安全。在進行VPN協議設定時，其中包括了數據加密標準以及168位三重數據加密標準，可以通過數字驗證的方式來確定相應的公鑰。對于無線局域網絡系統來說，在對其進行應用時，應該確定系統中的重點環節，應用無線加密技術時，可以達到雙重加密保護的效果，這也在很大程度上提高了無線局域網絡的整體安全性能。

3.6運用身份驗證以及授權模式

對于網絡入侵者來說，其可以通過一定途徑了解到當前網絡系統的SSID地址以及WEP密鑰等信息，通過對這些信息數據的有效利用能夠與AP構建起緊密聯系，這也使得無線網絡的安全性得到了保證。對于網絡用戶來說，在進行無線網絡體系構建時，應該確定與之相應的身份驗證方式，從而使得身份驗證成為重要的安全措施。如果我們在進行開放性身份驗證的過程中為AP提供了正確的WEP密鑰，便可以實現對獲悉每一位已知用戶的網絡SSID以及MAC地址，這也使得相關用的信息處于完全開放的狀態，其風險可想而知。在確定共享機密身份驗證時，應該確定“口令”，以此為基礎來實現對身份的有效驗證，這也使得其共享機制的完善程度明顯提升。但是對于上述方法來說，也存在一定缺陷，主要因為口令是直接通過明文的方式來傳遞給STA，這也使得人們在對口令進行截取時，很難實現對口令以及加密方式的及時響應。因此，要在此基礎上配置相應的共享密鑰，通過這種方式來保證機密信息發送過程中的安全風險可以得到有效控制。當然，也可以嘗試應用其他身份來進行驗證以及授權操作，例如：可以運用802.1x來對無線網絡用戶進行身份驗證以及授權，通過這種方式來實現對入侵者訪問權限的有效管控，從而在整體上提高無線網絡的安全性能。

4結語

綜上所述，當前我國科技水平不斷提升，無線技術的應用范圍也越來越廣，這也使得線路應用安全問題受到了人們廣泛關注，今后應該加大對網絡安全問題的處理力度。對于當前的網絡用戶來實現，要想使其信息安全性得到保證，應該對網絡用戶進行嚴格認證，明確數據傳輸加密功能，以此為基礎確定多重安全設施，將這些安全設施有效結合起來，這樣可以保證當前的無線網絡用戶信息數據傳輸的安全性以及保密性。整體來看，現階段我國在無線網絡系統安全機制建設方面尚且處于初級階段，還有很多方面完善程度不夠，雖然VPN技術以及有較為廣泛的應用，但是依然沒有體現出相對理想的保密性控制能力，在實際使用過程中依然存在一些網絡安全漏洞。

參考文獻

[1] 顏炳風.無線局域網的安全機制、漏洞破解以及解決方案——安全的無線局域網網絡?????????[J].科技信息，2010（27）：68-70，89.

[2] 郜東晨.一種安全的無線局域網無感知準入系統的設計與實現[D].北京：北京郵電大學，2019.

[3] 趙婉彤.無線局域網通信安全機制的研究[J].中國管理信息化，2017，20（12）：143-144.

[4] 劉錫華.邊緣計算環境下面向無線城域網的服務遷移關鍵技術研究[D].南京：南京信息工程大學，2021.

[5] 劉琦.基于無線局域網的智能家居監控系統設計[D].太原：太原理工大學，2020.

[6] 周小平.超高速無線局域網接收機算法研究及VLSI實現[D].北京：北京郵電大學，2021.

[7] 王華.基于無線傳感器網絡的智慧城市數據分析[J].信息記錄材料，2021，22（10）：130-131.

[8] 楊志軍，鄭皓元，丁洪偉.無線局域網多機器人系統輪詢MAC協議研究[J/OL].計算機應用研究：1-6[2022-01-12].?https：//kns.cnki.net/kcms/detail/detail.aspx？FileName=JSYJ202204037&DbName=CJFQTEMP.