[摘要]對無線局域網(wǎng)的安全研究進行分析，首先對安全性的問題作出簡介，并在接下來的內容中描述其研究的進展和研究的必要性。最后給對無線局域網(wǎng)的安全缺陷和相應的保障策略進行分析。

[關鍵詞]無線局域網(wǎng) 安全性 IEEE802.11

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2009）0110049-01

一、簡介

無線局域網(wǎng)[1]是在有線網(wǎng)絡上發(fā)展起來的，是無線傳輸技術在局域網(wǎng)技術上的運用，而其大部分應用也是有線局域網(wǎng)的體現(xiàn)。由于無線局域網(wǎng)在諸多領域體現(xiàn)出的巨大優(yōu)勢，因此對無線局域網(wǎng)絡技術的研究成為了廣大學者研究的熱點。無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進行傳播，因此傳播方式的開放性特性給無線局域網(wǎng)的安全設計和實現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標準為IEEE802.11，但其存在設計缺陷，缺少密鑰管理，存在很多安全漏洞。本文針對IEEE802.11的安全性缺陷問題進行分析，并在此基礎上對無線局域網(wǎng)的安全研究做出分析。

二、無線局域網(wǎng)安全研究的發(fā)展與研究必要性

無線局域網(wǎng)在帶來巨大應用便利的同時，也存在許多安全上的問題。由于局域網(wǎng)通過開放性的無線傳輸線路傳輸高速數(shù)據(jù)，很多有線網(wǎng)絡中的安全策略在無線方式下不再適用，在無線發(fā)射裝置功率覆蓋的范圍內任何接入用戶均可接收到數(shù)據(jù)信息，而將發(fā)射功率對準某一特定用戶在實際中難以實現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰(zhàn)[3]。

IEEE標準化組織在發(fā)布802.11標準之后，也已經(jīng)意識到其固有的安全性缺陷，并針對性的提出了加密協(xié)議（如WEP）來實現(xiàn)對數(shù)據(jù)的加密和完整性保護。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對無線局域網(wǎng)的接入控制。但隨后的研究表明，WEP協(xié)議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷，IEEE802.11工作組提出了新的安全體系，并開發(fā)了新的安全標準IEEE802.11i，其針對WEP機密機制的各種缺陷作了多方面的改進，并定義了RSN（Robust Security Network）的概念，增強了無線局域網(wǎng)的數(shù)據(jù)加密和認證性能。IEEE802.11i建立了新的認證機制，重新規(guī)定了基于802.1x的認證機制，主要包括TKIP（Temporal Key Integri

ty Protoco1），CCMP（Counter CBCMAC Protoco1）和WRAP（Wireless RobustAuthenticated Protoco1）等3種加密機制，同時引入了新的密鑰管理機制，也提供了密鑰緩存、預認證機制來支持用戶的漫游功能，從而大幅度提升了網(wǎng)絡的安全性。

三、無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷

由于無線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也更不容易防備。具體分析，無線局域網(wǎng)存在如下兩種主要的安全性缺陷[3]：

（一）靜態(tài)密鑰的缺陷

靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網(wǎng)絡。除非用戶及時告知管理員，否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題，但當用戶少時，管理員可以定期更新這個靜態(tài)配置的密鑰，而且工作量也不大。但是在用戶數(shù)量可觀時，即便可以通過某些方法對所有AP（接入點）上的密鑰一起更新以減輕管理員的配置任務，管理員及時更新這些密鑰的工作量也是難以想像的。

（二）訪問控制機制的安全缺陷

1．封閉網(wǎng)絡訪問控制機制：幾個管理消息中都包括網(wǎng)絡名稱或SSID，并且這些消息被接入點和用戶在網(wǎng)絡中廣播，并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網(wǎng)絡名稱，獲得共享密鑰，從而連接到“受保護”的網(wǎng)絡上。

2．以太網(wǎng)MAC地址訪問控制表：MAC地址很容易的就會被攻擊者嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個有效地址，越過訪問控制。

四、無線局域網(wǎng)安全保障策略

（一）SSID訪問控制

通過對多個無線接人點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權限進行區(qū)別限制。

（二）MAC地址過濾

每個無線客戶端網(wǎng)卡都有唯一的一個物理地址，因此可以通過手工的方式在在AP中設置一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。

（三）使用移動管理器

使用移動管理器可以用來增強無線局域網(wǎng)的安全性能，實現(xiàn)接入點的安全特性。移動管理器可以提高無線網(wǎng)絡的清晰度，當網(wǎng)絡出現(xiàn)問題時，它能產生告警信號通知網(wǎng)絡管理員，使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險，網(wǎng)絡管理員設置一個網(wǎng)絡行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置，可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡上。

（四）運用VPN技術

VPN技術的運用可以為無線網(wǎng)絡的安全性能提供保障。VPN技術通過三級安全保障：用戶認證、加密和數(shù)據(jù)認證來實現(xiàn)無線網(wǎng)絡的安全性保證。用戶認證確保只有已被授權的用戶才能夠進行無線網(wǎng)絡連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。數(shù)據(jù)認證確保在無線網(wǎng)絡上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務流都是來自已經(jīng)得到認證的設備。

五、結論

從本文的分析來看，在無線局域網(wǎng)的未來發(fā)展中，安全問題仍將是一個最重要的、迫切需要解決的問題。但這并不能限制無線局域網(wǎng)的迅猛發(fā)展。針對無線局域網(wǎng)的安全性研究仍將是一個熱點。我們有理由相信，隨著技術的成熟和無線網(wǎng)絡應用商業(yè)化進程的加快，工業(yè)界和研究者都將對無線局域網(wǎng)安全投入更多的關注，為用戶提供速率更快、安全性更高、應用更方便的無線局域網(wǎng)技術標準。

參考文獻：

[1]王慕東、宋承志,無線局域網(wǎng)的發(fā)展現(xiàn)狀及應用[J].中國現(xiàn)代教育裝備,2002,(12).

[2]陳鶴、曹科,無線局域網(wǎng)技術研究與安全管理[J].現(xiàn)代機械, 2006,(04).

[3]萬泉、冉春玉、祁明龍、陳建軍,無線局域網(wǎng)技術[J].國外建材科技,2002,(03).

[4]趙琴.淺談無線網(wǎng)絡的安全性研究[J].機械管理開發(fā),2008,(01).

[5]陳平、劉志勤,無線局域網(wǎng)的關鍵技術及其安全性分析[J].西南科技大學學報,2002,(04).

作者簡介：

崔仁杰，男，山西稷山人，西安工程大學現(xiàn)代教育技術中心工程師，研究方向為網(wǎng)絡建設與管理。