【摘 要】無線局域網(wǎng)結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)與無線通訊技術(shù)的優(yōu)勢(shì)，實(shí)現(xiàn)一定范圍內(nèi)的無線網(wǎng)絡(luò)通訊，得到了廣泛應(yīng)用。對(duì)于無線局域網(wǎng)，安全是一個(gè)重要的課題。在簡(jiǎn)單介紹無線局域網(wǎng)安全問題的基礎(chǔ)上，對(duì)加強(qiáng)其網(wǎng)絡(luò)安全的具體措施進(jìn)行重點(diǎn)分析。

【關(guān)鍵詞】無線局域網(wǎng) 網(wǎng)絡(luò)安全 訪問控制

無線局域網(wǎng)技術(shù)具有無縫覆蓋、可移動(dòng)通信等優(yōu)點(diǎn)，可與有線網(wǎng)絡(luò)互為補(bǔ)充，在很多領(lǐng)域都得到了廣泛的應(yīng)用。無線局域網(wǎng)的使用給人們提供便捷的交流和大量信息，為了確保人們?cè)谌粘Ｉa(chǎn)生活中的各項(xiàng)網(wǎng)絡(luò)工作都能夠順利進(jìn)行，進(jìn)行網(wǎng)絡(luò)系統(tǒng)的安全性維護(hù)至關(guān)重要。針對(duì)當(dāng)前無線局域網(wǎng)存在的一系列安全方面的隱患，只有及時(shí)且適當(dāng)?shù)靥岢鱿嚓P(guān)對(duì)策，加強(qiáng)技術(shù)保障，才能確保局域網(wǎng)絡(luò)的安全和高效運(yùn)行。

一、無線局域網(wǎng)的應(yīng)用簡(jiǎn)介

無線局域網(wǎng)，又稱WLAN，由無線網(wǎng)絡(luò)卡（NIC）、無線接點(diǎn)（AP ）、計(jì)算機(jī)和有關(guān)設(shè)備組成。無線網(wǎng)卡可以將PC機(jī)或其他設(shè)備與無線網(wǎng)絡(luò)進(jìn)行連接，而無線接入點(diǎn)是將多個(gè)無線的接入站聚合到有線的網(wǎng)絡(luò)上。無線局域網(wǎng)采用電磁波作為載體，無線局域網(wǎng)的終端用戶可通過無線網(wǎng)卡訪問是利用射頻發(fā)射的無線電波，取代雙絞銅線的一種新的網(wǎng)絡(luò)互連技術(shù)，相比較有線網(wǎng)絡(luò)，其優(yōu)點(diǎn)就是減少了對(duì)網(wǎng)線的設(shè)置和使用，上網(wǎng)更加靈活方便、易于移動(dòng)。這種開放性質(zhì)決定了它在提供了聯(lián)網(wǎng)的便利性的同時(shí)，也使得它難以限制網(wǎng)絡(luò)資源的物理訪問，所以它比有線網(wǎng)絡(luò)在安全性能上更加脆弱。其具有的移動(dòng)性，使得移動(dòng)網(wǎng)絡(luò)中的各節(jié)點(diǎn)沒有足夠的物理防護(hù)，攻擊者可能在任何位置通過移動(dòng)設(shè)備實(shí)施攻擊，安全管理難度大。

無線網(wǎng)絡(luò)技術(shù)的快速發(fā)展在促進(jìn)網(wǎng)絡(luò)進(jìn)步的同時(shí)，也為其安全性保障提出了更為嚴(yán)格的要求。基于用戶自身對(duì)信息和網(wǎng)絡(luò)使用的安全性要求，對(duì)無線局域網(wǎng)的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析和防范更具現(xiàn)實(shí)性和迫切性。

二、無線局域網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀分析

無線局域網(wǎng)存在的安全隱患問題主要是這些網(wǎng)絡(luò)都是開放式的，易于接入。由于WLAN是通過無線電波在空中傳輸數(shù)據(jù)的，所以在不能對(duì)通信線路進(jìn)行保護(hù)的前提下，WLAN的數(shù)據(jù)會(huì)在發(fā)射機(jī)所在的最大區(qū)域內(nèi)進(jìn)行傳遞，該區(qū)域內(nèi)凡是能收到WLAN信號(hào)的用戶，都能接觸到該數(shù)據(jù)。如果該系統(tǒng)漏洞被不法分子利用，他們就會(huì)對(duì)數(shù)據(jù)進(jìn)行中途截取，從而造成嚴(yán)重的網(wǎng)絡(luò)攻擊。總體來說，無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)在以下幾個(gè)方面：

第一，使用、監(jiān)聽、攔截或修改傳輸數(shù)據(jù)：非法用戶通過掃描軟件查找那些開放式的沒有加密功能的無線局域網(wǎng)的接入點(diǎn)，通過它非法訪問互聯(lián)網(wǎng)， 進(jìn)行攻擊；或利用一些網(wǎng)絡(luò)工具來監(jiān)聽和截取無線信號(hào)，分析獲取相關(guān)用戶信息，惡意修改或延遲數(shù)據(jù)通信，合法用戶造成損失。

第二，利用安全協(xié)議脆弱進(jìn)行網(wǎng)絡(luò)攻擊：有線等效保密（Wired Equivalent Privacy）簡(jiǎn)稱WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位數(shù)太短、初始化的復(fù)位設(shè)計(jì)等。

一些網(wǎng)絡(luò)的部署者在選擇上更偏向與缺省的WEP密匙，而且不改變他的配置選項(xiàng)，這就導(dǎo)致了黑客在破解密匙的時(shí)候，只需要收集足夠的WEP弱密匙加密包就可以了，從而使整個(gè)網(wǎng)絡(luò)缺乏安全性，給整個(gè)網(wǎng)絡(luò)帶來危害。

第三，地址欺騙攻擊：802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀是不進(jìn)行認(rèn)證操作的，所以一些非法用戶可以通過簡(jiǎn)單的方法獲取網(wǎng)絡(luò)中的站點(diǎn)地址，通過ARP的變動(dòng)進(jìn)行身份認(rèn)證，在未經(jīng)授權(quán)的情況下使用網(wǎng)絡(luò)資源。

三、加強(qiáng)無線局域網(wǎng)網(wǎng)絡(luò)安全的具體措施

網(wǎng)絡(luò)安全問題是整個(gè)信息化發(fā)展必須要解決和考慮的問題，但是網(wǎng)絡(luò)的絕對(duì)安全性是不可以實(shí)現(xiàn)，只能說在原有的基礎(chǔ)上加強(qiáng)對(duì)網(wǎng)絡(luò)各個(gè)方面的管理，依靠現(xiàn)有的技術(shù)改善網(wǎng)絡(luò)環(huán)境，進(jìn)一步保障網(wǎng)絡(luò)的安全性。具有可以實(shí)現(xiàn)以下幾點(diǎn)：

（一）使用無線局域網(wǎng)的基本安全技術(shù)。利用服務(wù)集標(biāo)識(shí)符（SSID） 和MAC 地址過濾技術(shù)來加強(qiáng)訪問控制。

確定無線客戶端網(wǎng)卡的唯一物理地址的標(biāo)示，使用戶在滿足客戶機(jī)地址與合法地址相匹配的前提下滿足用戶的使用，這樣就在一定程度上有利于維護(hù)無線網(wǎng)絡(luò)的安全，防止其它用戶在未經(jīng)授權(quán)的條件下非法使用網(wǎng)絡(luò)資源。

（二）提高身份驗(yàn)證方法，不使用產(chǎn)商自帶的WEP秘鑰

WEP的身份確認(rèn)方式有兩種，一種是默認(rèn)的認(rèn)證方式，另一種是使用共享秘鑰。共享秘鑰在對(duì)用戶進(jìn)行身份確認(rèn)時(shí)，要向工作站點(diǎn)發(fā)送請(qǐng)求信號(hào)，工作站點(diǎn)在接收到后，會(huì)向用戶發(fā)送一個(gè)詢問信息，用戶在對(duì)詢問信息進(jìn)行確認(rèn)后，也就完成了相應(yīng)的身份確認(rèn)。但是在這個(gè)過程中，如果網(wǎng)絡(luò)攻擊者對(duì)截取了這兩則信息，就會(huì)對(duì)無線局域網(wǎng)造成威脅。

針對(duì)這方面所采取的具體措施是，不使用產(chǎn)商自帶的秘鑰，自己運(yùn)用計(jì)算機(jī)采用手工方法選擇合適的加密秘鑰，比如數(shù)字和英文字母的混合組合等。其具體的操作流程是，打開瀏覽器輸入無線節(jié)點(diǎn)設(shè)備默認(rèn)的后臺(tái)管理地址，打開該地址后，選擇“無線網(wǎng)絡(luò)”和“安全方式”的選項(xiàng)，然后找出WEP加密協(xié)議。在這里，用戶就可以自己選擇和設(shè)置“共享秘鑰”的驗(yàn)證方式和密碼。這樣就完成了用戶對(duì)自己的安全密鑰的設(shè)置。

（三）采用TKIP協(xié)議

TKIP算法相比較WEP的一個(gè)最大優(yōu)點(diǎn)就在于，增強(qiáng)了校對(duì)的完整性。這一目標(biāo)的實(shí)現(xiàn)，主要在于TKIP中擁有包序列計(jì)數(shù)器，它能做到每一個(gè)MAC層的協(xié)議數(shù)據(jù)單元都有唯一的數(shù)據(jù)加密秘鑰與之相對(duì)應(yīng)，這就實(shí)現(xiàn)了完整性校對(duì)的過程。

TKIP在對(duì)無線局域網(wǎng)實(shí)現(xiàn)校對(duì)時(shí)采用的包序列計(jì)數(shù)器能實(shí)現(xiàn)對(duì)身份校對(duì)的防重放攻擊。也就是說，TKIP接受包序列計(jì)數(shù)器的條件就是計(jì)數(shù)器必須要大于重放窗口的計(jì)數(shù)值。如果該包序列計(jì)數(shù)器是經(jīng)過改動(dòng)的，那么，TKIP就會(huì)自動(dòng)檢測(cè)出不正確的解密秘鑰，就會(huì)顯示包序列計(jì)數(shù)器出錯(cuò)。所以，TKIP防重放攻擊的采用，極大地減少了網(wǎng)絡(luò)攻擊者對(duì)驗(yàn)證信息進(jìn)行截取的幾率。

（四）減少或禁止點(diǎn)對(duì)點(diǎn)工作模式的使用

該對(duì)策的提出主要是基于無線局域網(wǎng)工作站的兩種基本傳輸模式所存在的缺陷，其傳輸模式主要包括，基礎(chǔ)架構(gòu)模式和點(diǎn)對(duì)點(diǎn)工作模式。前者的工作流程是，局域網(wǎng)內(nèi)的所有無線工作的實(shí)現(xiàn)都必須經(jīng)過路由器的信號(hào)處理。后者的工作流程是不采用路由器設(shè)備，直接將工作站和工作站相連，這樣的模式能加速網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)乃俣?，但同時(shí)也為無線局域網(wǎng)附近的非法用戶提供了非法獲取和訪問信息的空當(dāng)，使局域網(wǎng)的安全受到很大威脅，所以，必須減少或禁止點(diǎn)對(duì)點(diǎn)工作模式的使用。

四、結(jié)束語：

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)攻擊問題已成為現(xiàn)實(shí)社會(huì)一個(gè)迫切需要遏止的網(wǎng)絡(luò)安全問題。無線局域網(wǎng)的網(wǎng)絡(luò)安全是一個(gè)巨大的系統(tǒng)工程問題，要想實(shí)現(xiàn)這方面的安全問題，必須從無線局域網(wǎng)設(shè)置的各個(gè)環(huán)節(jié)出發(fā)，無論是從源頭對(duì)無線信號(hào)加以保護(hù)，還是對(duì)運(yùn)行中的客戶認(rèn)證進(jìn)行檢測(cè)，亦或是對(duì)工作站工作模式的改變，所有這些都應(yīng)該建立在用戶對(duì)無線局域網(wǎng)網(wǎng)絡(luò)安全問題高度警惕的基礎(chǔ)之上。隨著無線局域網(wǎng)應(yīng)用的日益廣泛，對(duì)其網(wǎng)絡(luò)安全的研究將更加系統(tǒng)。

參考文獻(xiàn)：

[1] 連一峰，王航.網(wǎng)絡(luò)攻擊原理與技術(shù)[M].北京：科學(xué)出版社，2009：25-27.

[2] 張友純.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].武漢：華中科技大學(xué)出版社，2010：14-15.

[3] 徐超漢，柯宗貴.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京：電子工業(yè)出版社，2009：121-123.

[4] 李勤，張浩軍等.無線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2005，25（1）：160-162.

[5] 譚潤(rùn)芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技， 2008，37（6）：24-26.

作者簡(jiǎn)介：

杜衛(wèi)華（1980.7--）男、籍貫湖北省天門市、2003年畢業(yè)于華中師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，現(xiàn)供職中國(guó)科學(xué)院植物研究所工程師、學(xué)位本科、研究方向網(wǎng)絡(luò)管理。