摘要：無(wú)線局域網(wǎng)WLAN本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)，它是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。隨著互聯(lián)網(wǎng)的高速發(fā)展，無(wú)限網(wǎng)絡(luò)將是未來(lái)發(fā)展的趨勢(shì)。本文簡(jiǎn)要介紹了無(wú)限局域網(wǎng)的相關(guān)技術(shù)，分析了無(wú)限局域網(wǎng)面臨的若干安全威脅，并有針對(duì)性地提出了安全保障措施。

關(guān)鍵詞：無(wú)線局域網(wǎng)；網(wǎng)絡(luò)安全；措施

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1000-8136(2009)36-0154-02

無(wú)線局域網(wǎng)(Wireless Local Area Network，簡(jiǎn)稱為“WLAN”)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)，它是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。是通用無(wú)線接人的一個(gè)子集，可支持較高的傳輸速率(可達(dá)2Mbps～108Mbps)。利用射頻無(wú)線正交頻分復(fù)用(OFDM)，借助直接序列擴(kuò)頻(DSSS)或跳頻擴(kuò)頻(UWBT)技術(shù)，可實(shí)現(xiàn)固定的、半移動(dòng)的以及移動(dòng)的網(wǎng)絡(luò)終端對(duì)英特網(wǎng)進(jìn)行較遠(yuǎn)距離的高速連接訪問(wèn)。WLAN已廣泛應(yīng)用于各行各業(yè)中，受到人們的青睞，已成為無(wú)線通信與Internet技術(shù)相結(jié)合的新興WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅提高用戶訪問(wèn)信息的及時(shí)性和有效性，還可以克服有線限制引起的不便性。但因無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播的范圍較難控制，因此無(wú)線局域網(wǎng)將面臨非常嚴(yán)峻的安全問(wèn)題。

1 無(wú)線局域網(wǎng)安全發(fā)展概況

由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，因此對(duì)越權(quán)存取和竊聽(tīng)的行為也不容易防備。現(xiàn)在，大多數(shù)廠商生產(chǎn)的無(wú)線局域網(wǎng)產(chǎn)品都基于802.11b標(biāo)準(zhǔn)，802.11b標(biāo)準(zhǔn)在公布之后就成為事實(shí)標(biāo)準(zhǔn)，但其安全協(xié)議WEP一直受到人們的質(zhì)疑。如今，能夠截獲無(wú)線傳輸數(shù)據(jù)的硬件設(shè)備已經(jīng)能夠在市場(chǎng)上買(mǎi)到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在Internet上下載。無(wú)線局域網(wǎng)安全問(wèn)題已越發(fā)引起人們的重視，新的增強(qiáng)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)正在不斷研發(fā)中。

我國(guó)現(xiàn)已制定了無(wú)線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書(shū)，以期完成雙向認(rèn)證、接入控制、會(huì)話密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元3部分組成，類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。了解無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展，使我們能夠更加清楚地認(rèn)識(shí)到無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面.有利于無(wú)線局域網(wǎng)安全技術(shù)的研究。

2 無(wú)線局域網(wǎng)安全技術(shù)研究的必要性

由于WLAN通過(guò)無(wú)線電波在空中傳輸數(shù)據(jù)，不能采用類似有線網(wǎng)絡(luò)那樣通過(guò)保護(hù)通信線路的方式來(lái)保護(hù)通信安全，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過(guò)無(wú)線電波進(jìn)行的網(wǎng)絡(luò)通訊無(wú)法起作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，無(wú)線網(wǎng)絡(luò)給網(wǎng)絡(luò)用戶帶來(lái)了自由，同時(shí)帶來(lái)了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。

無(wú)線局域網(wǎng)必須考慮的安全要素有3個(gè)：信息保密、身份驗(yàn)證和訪問(wèn)控制。如果這3個(gè)要素都沒(méi)有問(wèn)題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。

3 無(wú)線局域網(wǎng)面臨的安全威脅分析

3.1 IEEE 802.11標(biāo)準(zhǔn)本身的安全問(wèn)題

無(wú)線局域網(wǎng)具有接人速率高、傳輸移動(dòng)數(shù)據(jù)方便、組網(wǎng)靈活等優(yōu)點(diǎn)，因此發(fā)展迅速。但由于無(wú)線局域網(wǎng)是基于空間進(jìn)行傳播，因此傳播方式具有開(kāi)放性，這使無(wú)線局域網(wǎng)的安全設(shè)計(jì)方案與有線網(wǎng)絡(luò)相比有很大不同。無(wú)線網(wǎng)絡(luò)不但要受到基于傳統(tǒng)TCP/IP架構(gòu)的有線網(wǎng)絡(luò)方式的攻擊，而且因?yàn)闊o(wú)線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE 802.11，其本身設(shè)計(jì)方面也存在缺陷，安全漏洞很多，并且缺少密鑰管理的方案，所以通過(guò)IEEE 802.11標(biāo)準(zhǔn)本身的漏洞也能夠?qū)o(wú)線局域網(wǎng)進(jìn)行攻擊。

3.2 非法接入無(wú)線局域網(wǎng)導(dǎo)致的安全問(wèn)題

公共的電磁波是無(wú)線局域網(wǎng)傳播的載體，而電磁波能夠穿越玻璃、墻、天花板等物體，因此在一個(gè)無(wú)線接入點(diǎn)(Access Point，簡(jiǎn)稱AP)所覆蓋的區(qū)域中，包括未授權(quán)的客戶端都可以接收到此AP的電磁波信號(hào)。所以必須在無(wú)線局域網(wǎng)引人全面的安全措施，才能夠阻止這些非授權(quán)用戶訪問(wèn)無(wú)線局域網(wǎng)絡(luò)。

3.3 數(shù)據(jù)傳輸?shù)陌踩詥?wèn)題

由于公共的電磁波是無(wú)線局域網(wǎng)傳播的載體，在傳輸信息的覆蓋區(qū)域中，其覆蓋范圍并不確定，因此對(duì)竊聽(tīng)和干擾等行為很難控制。具體分析，無(wú)線局域網(wǎng)數(shù)據(jù)傳輸存在以下兩種主要的安全性缺陷：一是靜態(tài)WEP密鑰的安全缺陷。適配卡中的非易失性存儲(chǔ)器是靜態(tài)分配的WEP密鑰一般保存場(chǎng)所，因此非法用戶可以通過(guò)盜取適配卡，然后利用此卡非法訪問(wèn)網(wǎng)絡(luò)。如果用戶丟失適配卡后沒(méi)有及時(shí)告知管理員，將產(chǎn)生嚴(yán)重的安全問(wèn)題。二是訪問(wèn)控制機(jī)制的安全缺陷。無(wú)線局域網(wǎng)的管理消息中都包含網(wǎng)絡(luò)名稱或服務(wù)設(shè)置標(biāo)志號(hào)(SSID)，這些消息被接人點(diǎn)和用戶在網(wǎng)絡(luò)中不受到任何阻礙地廣播。結(jié)果是網(wǎng)絡(luò)名稱很容易被攻擊者嗅探和獲取，從而得到共享密鑰。非法連接到無(wú)線局域網(wǎng)絡(luò)中。

4 無(wú)線局域網(wǎng)安全保障措施

4.1 防止非法用戶接入的保障措施

對(duì)不同的AP設(shè)置不同的SSID，只有無(wú)線工作站通過(guò)正確的SSID才能訪問(wèn)對(duì)應(yīng)的AP，這樣不同的用戶組可以設(shè)置不同的權(quán)限，并對(duì)用戶所訪問(wèn)的資源也可以設(shè)置不同的權(quán)限加以限制。

另外，每個(gè)無(wú)線客戶端的網(wǎng)卡都有唯一的MAC地址，可以在AP中設(shè)置一組允許訪問(wèn)的MAC地址列表，這個(gè)過(guò)程可以通過(guò)手工的方式來(lái)實(shí)現(xiàn)物理地址過(guò)濾。加入RADIUS認(rèn)證服務(wù)器可以解決網(wǎng)絡(luò)中AP數(shù)量太多的問(wèn)題，通過(guò)使用802.1x端口認(rèn)證技術(shù)對(duì)所有接入無(wú)線網(wǎng)絡(luò)的用戶進(jìn)行嚴(yán)格的身份認(rèn)證，防止未經(jīng)授權(quán)用戶接入網(wǎng)絡(luò)，非法使用或者破壞數(shù)據(jù)。

4.2 防止非法AP接入的保障措施

上面的討論只能防止非法用戶接人無(wú)線局域網(wǎng)，但如果不限制非法AP，任何人都可以通過(guò)非法AP不經(jīng)過(guò)授權(quán)而連人無(wú)線網(wǎng)絡(luò)。防止非法AP的接入有以下一些措施：

一是通過(guò)入侵檢測(cè)系統(tǒng)防止非法AP接入?？梢苑忠韵聝刹剑翰檎曳欠ˋP和消除非法AP。查找非法AP的方法是完成數(shù)據(jù)包的捕獲和解析，它是通過(guò)分布于網(wǎng)絡(luò)各處的探測(cè)器來(lái)完成的。這些探測(cè)器能準(zhǔn)確無(wú)誤地記錄所有無(wú)線設(shè)備的操作，并通知IDS系統(tǒng)或網(wǎng)絡(luò)管理員。找到AP后，如果AP合法，則該AP會(huì)出現(xiàn)在合法AP認(rèn)證列表(ACL)中，如果新檢測(cè)到的AP的相關(guān)參數(shù)沒(méi)有出現(xiàn)在列表中，那么再去識(shí)別這個(gè)AP的SSID和MAC地址、無(wú)線媒介類型、提供商以及信道。如果新檢測(cè)到的AP的SSID和MAC地址、無(wú)線媒介類型、提供商以及信道異常，就可以認(rèn)為它是非法AP。

二是通過(guò)檢測(cè)設(shè)備防止非法AP的接入。這種方法主要是在非法用戶使用無(wú)線網(wǎng)絡(luò)之前，就通過(guò)接收天線來(lái)查找非法AP的信號(hào)。對(duì)非法AP的監(jiān)測(cè)應(yīng)當(dāng)不間斷地反復(fù)進(jìn)行，不間斷的、反復(fù)的監(jiān)測(cè)可增加發(fā)現(xiàn)非法AP站點(diǎn)的概率。管理員可以手持小型的檢測(cè)設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)，如果發(fā)現(xiàn)非法接入的AP應(yīng)及時(shí)清除。

4.3 數(shù)據(jù)傳輸?shù)陌踩员ＷC

為了保障無(wú)線局域網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸，我們?cè)跓o(wú)線局域網(wǎng)中使用了數(shù)據(jù)訪問(wèn)控制技術(shù)和數(shù)據(jù)加密技術(shù)。數(shù)據(jù)訪問(wèn)控制技術(shù)的使用能夠?qū)?shù)據(jù)權(quán)限進(jìn)行控制，而數(shù)據(jù)加密技術(shù)的應(yīng)用使非法用戶即使竊取了無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)也無(wú)法使用。

IEEE 802.11標(biāo)準(zhǔn)定義了有線對(duì)等保密協(xié)議(WEP)。該協(xié)議在鏈路層加密數(shù)據(jù)，其目的是保護(hù)無(wú)線局域網(wǎng)中的鏈路層數(shù)據(jù)，WEP采用了RC4對(duì)稱加密算法，此算法由RSA開(kāi)發(fā)，密鑰長(zhǎng)度為40位。

4.4 數(shù)據(jù)訪問(wèn)控制的安全策略

訪問(wèn)控制的目的是防止合法資源在沒(méi)有授權(quán)的情況下進(jìn)行訪問(wèn)，即所謂非授權(quán)訪問(wèn)，包括未經(jīng)授權(quán)而泄露、使用、破壞、改動(dòng)和發(fā)布指令等。訪問(wèn)者需要通過(guò)認(rèn)證，但這并不能完全接入無(wú)線局域網(wǎng)，訪問(wèn)者還需要獲得訪問(wèn)控制權(quán)限，才能在獲得的權(quán)限范圍內(nèi)訪問(wèn)網(wǎng)絡(luò)資源，而獲得權(quán)限的過(guò)程就是由訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)的。

4.5 VDN技術(shù)的運(yùn)用

無(wú)線網(wǎng)絡(luò)安全性能保障的另一重要技術(shù)就是VPN技術(shù)。

VPN技術(shù)可以實(shí)現(xiàn)3個(gè)方面安全保障：用戶認(rèn)證、數(shù)據(jù)加密和數(shù)據(jù)認(rèn)證。用戶認(rèn)證是保障只有授權(quán)的合法用戶才能夠訪問(wèn)無(wú)線網(wǎng)絡(luò)。數(shù)據(jù)加密是非法用戶即使截獲了傳輸信號(hào)，沒(méi)有足夠的手段和技術(shù)也無(wú)法知道傳輸?shù)膬?nèi)容。數(shù)據(jù)認(rèn)證保證數(shù)據(jù)的權(quán)限，只有獲得權(quán)限的用戶才能夠訪問(wèn)相應(yīng)的資源。

5 結(jié)束語(yǔ)

雖然無(wú)線局域網(wǎng)存在比有線網(wǎng)絡(luò)更多的安全問(wèn)題，但這并不能限制無(wú)線局域網(wǎng)的迅猛發(fā)展。本文分析了無(wú)線局域網(wǎng)存在的安全問(wèn)題，并給出了相應(yīng)的解決措施，我們的最終目的是加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全防范，不斷更新安全解決方案，使無(wú)線網(wǎng)絡(luò)更好地為我們服務(wù)，讓我們的生活更加自由。