潘　冰　張　宏

[摘要]隨著通信技術(shù)的發(fā)展，無線網(wǎng)將依靠其靈活性、可移動(dòng)性越來越受到人們的歡迎，但由于無線網(wǎng)的開放性，網(wǎng)絡(luò)安全問題尤其嚴(yán)峻。根據(jù)無線局域網(wǎng)存在的安全隱患，分析各種安全缺陷，提出初步解決方案。

[關(guān)鍵詞]無線局域網(wǎng) 網(wǎng)絡(luò)安全

中圖分類號(hào)：TN92 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2009）0110060-01

一、引言

隨著信息技術(shù)的發(fā)展，人們對(duì)網(wǎng)絡(luò)通信的需求隨之提高，希望打破不同地域或其它條件的制約，可與世界各地的人都能進(jìn)行網(wǎng)絡(luò)通信。目前，網(wǎng)絡(luò)主要通信方式還是有線方式（即用銅線或光纜等傳輸介質(zhì)）實(shí)現(xiàn)數(shù)據(jù)通信；若在某些特殊地方，例如架線難度較大的山區(qū)或不愿遭到破壞的小區(qū)域內(nèi)，也都希望隨時(shí)能在任何角落進(jìn)行通信時(shí)，這就需用無線網(wǎng)絡(luò)完成通信。無線網(wǎng)絡(luò)采用無線鏈路實(shí)現(xiàn)數(shù)據(jù)的通信（即用電磁波、激光、紅外線等通信）[1]。

無線通信采用無線電波傳輸，具有移動(dòng)性好、架設(shè)和維護(hù)容易等特點(diǎn)，還能支持移動(dòng)計(jì)算，越來越成為室外通信的最佳方案。但是，相對(duì)于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)為用戶提供便利性的同時(shí)，也為基于無線鏈路和智能移動(dòng)終端的各種惡意行徑和行為提供了方便。因此無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)存在更多的安全隱患和威脅。再者，由于無線網(wǎng)絡(luò)本身體系結(jié)構(gòu)復(fù)雜、傳輸速度較慢、信號(hào)易受干擾、安全隱患多、通信成本高等固有局限性。因此，目前網(wǎng)絡(luò)仍以有線網(wǎng)絡(luò)為主體，無線網(wǎng)絡(luò)只是有線網(wǎng)絡(luò)的一個(gè)補(bǔ)充[2]。

二、無線局域網(wǎng)中存在如下幾種安全隱患

（一）拒絕服務(wù)攻擊

無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號(hào)來干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。如果攻擊者有足夠功率的無線電收發(fā)器，就能夠很容易地產(chǎn)生干擾信號(hào)，以至于無線局域網(wǎng)無法使用這個(gè)無線電信道。

（二）無線竊聽

無線局域網(wǎng)中，網(wǎng)絡(luò)的安全問題尤其嚴(yán)峻，因?yàn)闊o線電信號(hào)可能傳播到辦公室外面，入侵者就可以在建筑物外面來訪問無線局域網(wǎng)，也就可以竊聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。不過，入侵者需要獲得這個(gè)無線局域網(wǎng)的網(wǎng)絡(luò)訪問代碼。

（三）其他問題

在局域網(wǎng)中還有一種比較特別的置信攻擊，攻擊者可以將自己偽造成基站。因?yàn)橐苿?dòng)設(shè)備通常將自己切換到信號(hào)最強(qiáng)的網(wǎng)絡(luò)，如果失敗則嘗試下一個(gè)網(wǎng)。如果攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備，就可以讓移動(dòng)設(shè)備嘗試登錄到攻擊者的網(wǎng)絡(luò)，通過分析找出密鑰和口令。除此之外，無須局域網(wǎng)也很容易受到一些針對(duì)系統(tǒng)缺陷的攻擊，例如軟

件BNG、配置錯(cuò)誤和硬件失敗等。

三、無線網(wǎng)絡(luò)安全性機(jī)制[3.4]

（一）無線網(wǎng)卡物理地址（MAC）過濾

每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址標(biāo)識(shí)，網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點(diǎn)AP中手工維護(hù)一組允許訪問或不允許訪問的MAC地址列表，以實(shí)現(xiàn)物理地址的訪問過濾。

（二）服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配

無線工作站必須出示正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，AP將會(huì)拒絕經(jīng)本服務(wù)區(qū)上網(wǎng)?？梢哉J(rèn)為SSID是個(gè)簡單口令，提供口令認(rèn)證機(jī)制，可實(shí)現(xiàn)一定的安全。

（三）有線等效保密（WEP）

有線等效保密（WEP）協(xié)議是由802.11標(biāo)準(zhǔn)定義的，用在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)保密密鑰，各WLAN終端使用相同密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)，以供認(rèn)證比對(duì)，只有正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。

（四）端口訪問控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）

這是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全方案。當(dāng)無線工作站與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為無線工作站打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)?，F(xiàn)在，安全功能比較全的AP在支持IEEE 802.1x和Radius的集中認(rèn)證時(shí)支持的可擴(kuò)展認(rèn)證協(xié)議類型有：EAP-MD5&TLS、TTLS和PEAP。

（五）VPN-Over-Wireless技術(shù)

它與IEEE802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同，VPN主要采用DES、3DES等技術(shù)保障數(shù)據(jù)傳輸?shù)陌踩?。?duì)于安全性要求更高的用戶，將現(xiàn)有的VPN安全技術(shù)與IEEE802.11b安全技術(shù)結(jié)合起來，是目前較為理想的無線局域網(wǎng)絡(luò)的安全方案之一。

四、無線局域網(wǎng)安全技術(shù)的發(fā)展方向

無線局域網(wǎng)總的發(fā)展方向是速度會(huì)越來越快，安全性會(huì)越來越高。當(dāng)然無線局域網(wǎng)的各項(xiàng)技術(shù)均處在快速的發(fā)展過程當(dāng)中，無線局域網(wǎng)規(guī)范IEEE 802.11n將是近期整個(gè)無線局域網(wǎng)業(yè)的熱點(diǎn)。新興的802.11n標(biāo)準(zhǔn)具有高達(dá)600Mbps的傳輸速率，可提供支持對(duì)帶寬極為敏感的應(yīng)用所需的速率、范圍和可靠性。802.11n技術(shù)在應(yīng)用上還喊出了取代有線的口號(hào)，而這與當(dāng)初802.11a、802.11b、802.11g所倡導(dǎo)的“延伸有線網(wǎng)絡(luò)和補(bǔ)充有線網(wǎng)絡(luò)”截然不同。假以時(shí)日，802.11n在Wi-Fi技術(shù)市場一枝獨(dú)秀，成為Wi-Fi市場的主流技術(shù)已毋庸置疑。

五、總結(jié)

在無線局域網(wǎng)的未來發(fā)展中，安全問題仍將是一個(gè)最重要的、迫切需要解決的問題。IEEE 802.1x委員會(huì)一直致力于完善整個(gè)802標(biāo)準(zhǔn)體系的安全性能。802.1x的意旨在于為LAN端口提供一個(gè)普遍意義的訪問控制機(jī)制，不僅僅是局限于802.11，這種認(rèn)證機(jī)制是基于RADIUS中的可擴(kuò)展認(rèn)證協(xié)議。RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶業(yè)務(wù)）是IETF提供認(rèn)證業(yè)務(wù)的一個(gè)標(biāo)準(zhǔn)方法?？蓴U(kuò)展認(rèn)證協(xié)議（EAP）允許用戶和認(rèn)證服務(wù)器協(xié)商認(rèn)證協(xié)議。

參考文獻(xiàn)：

[1]孟凡華、孫志芳，淺談無線網(wǎng)絡(luò)安全及應(yīng)對(duì)措施[J].電腦知識(shí)與技術(shù)，2006(11):1-63.

[2]羅榮桂，田逢春.無線網(wǎng)絡(luò)安全通信的一種方法[J].武漢理工大學(xué)學(xué)報(bào)，2004.24(6):1-5.

[3]彭新光、吳興興，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京科學(xué)出版社，2005.9:282-300.

[4]董妍汝，網(wǎng)絡(luò)安全[J].山西電子技術(shù)，2006(3):39-40.

作者簡介：

潘冰，男，漢，吉林省吉林市，哈爾濱理工大學(xué)，在讀碩士，研究方向：單片機(jī)。