范娟

（四川工程職業(yè)技術(shù)學(xué)院，四川 德陽 618000）

引言

無線局域網(wǎng) (Wireless Local Area network，WLAN)具有可移動性和高靈活性，作為傳統(tǒng)有線網(wǎng)絡(luò)的延伸，它以方便、快捷、廉價等優(yōu)勢漸漸成為計算機網(wǎng)絡(luò)的一個重要的組成部分。在許多特殊領(lǐng)域得到了廣泛應(yīng)用。然而正是由于無線信道與生俱來的開放性，任何位于無線信號覆蓋范圍的接入站都可以接收到無線信號，這就給網(wǎng)絡(luò)入侵者提供了可乘之機，因此無線局域網(wǎng)的安全性問題就顯得尤為突出。

1 無線局域網(wǎng)相關(guān)概述

無線局域網(wǎng)協(xié)議標準目前主要有藍牙（Bluetooth） 標準、IEEE802.11 標準、HomeRF標準和HiperLAN2標準。

無線局域網(wǎng)是是實現(xiàn)移動計算機網(wǎng)絡(luò)中移動站的物理層與鏈路層功能，為移動計算機網(wǎng)絡(luò)提供必要的物理接口的網(wǎng)絡(luò)。從專業(yè)角度講，無線局域網(wǎng)利用無線多址信道的一種有效方法來支持計算機之間的通信，并讓通信的移動化、個性化和多媒體應(yīng)用得以實現(xiàn)。隨著應(yīng)用的進一步發(fā)展，無線局域網(wǎng)正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為“公共無線局域網(wǎng)”，即成為城域網(wǎng)的寬帶接入手段，無線局域網(wǎng)應(yīng)用模式的這種改變使其成為一種可運營的寬帶接入業(yè)務(wù)。

2 無線網(wǎng)絡(luò)的安全技術(shù)

在IEEE802.11b協(xié)議中包含了一些基本的安全措施以提高無線網(wǎng)絡(luò)的安全性。這些安全措施包括：無線網(wǎng)絡(luò)設(shè)備的服務(wù)區(qū)域認證ID(ESSID)、MAC地址訪問控制以及WEP加密等技術(shù)。IEEE802.11b是利用設(shè)置無線終端訪問的ESSID來限制非法接入。在每一個AP內(nèi)都會設(shè)置一個服務(wù)區(qū)域認證ID，每當(dāng)無線終端設(shè)備要連上AP時，AP會檢查其ESSID是否與自己的ID一致，只有當(dāng)AP和無線終端的ESSID相匹配時，AP才接受無線終端的訪問并提供網(wǎng)絡(luò)服務(wù)，如果不符就拒絕給予服務(wù)。利用ESSID，可以很好地進行用戶群體分組，防止任意漫游帶來的安全和訪問性能的問題。

除此之外，另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經(jīng)過注冊的設(shè)備才可以接入無線網(wǎng)絡(luò)。因為無線網(wǎng)卡只具有唯一的MAC地址，在AP內(nèi)部可以建立一張“MAC地址控制表”（Access Control），只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡，否則將會被拒絕連接。MAC地址控制可以有效地防止未經(jīng)過授權(quán)的用戶侵入無線網(wǎng)絡(luò)。

另外，無線網(wǎng)絡(luò)安全性可以通過WEP(Wired E-quivalent Privacy)協(xié)議來保證。WEP是IEEE802.11協(xié)議中最基本的無線安全加密措施。WEP是所有經(jīng)過WiFiTM認證的無線局域網(wǎng)絡(luò)產(chǎn)品所支持的一項標準功能，由國際電子與電氣工程師協(xié)會（IEEE）制定，其主要用途是：提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò)；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造；WEP加密算法對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認證功能，當(dāng)加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。

3 無線局域網(wǎng)的安全威脅因素分析

無線局域網(wǎng)必須考慮的安全要素有很多，概括來說主要有三個，它們分別是:信息保密、訪問控制和身份驗證。如果這三個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害。具體而言，無線局域網(wǎng)的安全威脅有以下幾種:

3.1 內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接或外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對企業(yè)網(wǎng)絡(luò)進行非授權(quán)存取。

3.2 所有有線網(wǎng)絡(luò)存在的安全威脅或隱患。

3.3 無線局域網(wǎng)使用的是ISM公用頻段，使用無需申請，相鄰設(shè)備之間潛在著電磁破壞(干擾)問題。

3.4 無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾。

3.5 無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入。

3.6 無線局域網(wǎng)的無需連線便可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在。

4 無線局域網(wǎng)安全改進措施

4.1 運用VPN技術(shù)。VPN技術(shù)是目前應(yīng)用快速增長的一種網(wǎng)絡(luò)安全技術(shù)，用于在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立一個虛擬的專用通道，進行安全的數(shù)據(jù)傳輸。VPN技術(shù)的運用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三方面加強無線局域網(wǎng)安全保障:一是用戶認證確保只有已被授權(quán)的用戶才能夠進行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)；二是加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密；三是數(shù)據(jù)認證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自已經(jīng)得到認證的設(shè)備。

4.2 MAC地址過濾。由于計算機的MAC具有唯一性特點，可以利用基于MAC地址防止未經(jīng)過注冊的設(shè)備進入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，設(shè)置的障礙越多，越會使攻擊者知難以侵擾網(wǎng)絡(luò)。

4.3 使用移動管理器。使用移動管理器可以用來增強無線局域網(wǎng)的安全性能，實現(xiàn)接入點的安全特性。移動管理器可以提高無線網(wǎng)絡(luò)的清晰度，當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時，它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點的位置，而且能降低接入點受到DOS攻擊和竊聽的危險，網(wǎng)絡(luò)管理員設(shè)置一個網(wǎng)絡(luò)行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置，可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡(luò)上。

4.4 雙因素身份認證。雙因素認證的一種形式是使用對稱密碼算法每分鐘生成一個新碼字，這個碼字和用戶個人識別碼搭配使用，且只能使用一次。雙因素認證的另外一個形式是將用戶智能卡和個人識別號搭配使用。因此，雙因素認證需要有智能卡閱讀機或個人識別號認證服務(wù)器。

5 結(jié)語

隨著無線局域網(wǎng)的發(fā)展趨勢，安全問題仍將是一個最重要、最迫切并亟待解決的問題。然而這并不能阻礙無線局域網(wǎng)的迅猛發(fā)展。今后針對無線局域網(wǎng)的安全性研究仍將是熱點之一。隨著技術(shù)的進步和無線網(wǎng)絡(luò)應(yīng)用進程的加快，工業(yè)界和研究者都將對無線局域網(wǎng)安全投入更多的關(guān)注，為用戶提供安全性更高、速率更快、應(yīng)用更方便的無線局域網(wǎng)技術(shù)標準。

[1]趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計算機信息，2007年21期

[2]尤華明無線局域網(wǎng)的安全技術(shù)研究[J]中國科技信息，2006，(15)

[3]王茂才等.無線局域網(wǎng)的安全性研究[J].計算機應(yīng)用研究，2007年01期

[4]王玲等.IEEE802.11無線局域網(wǎng)技術(shù)及安全性研究[J].電腦開發(fā)與應(yīng)用，2007年02期

[5]王秋華，章堅武淺析無線網(wǎng)絡(luò)實施的安全措施[J].中國科技信息，2005，(17):18