李冬梅

（中國移動通信集團(tuán)廣東有限公司 清遠(yuǎn)分公司，北京　100000）

公共無線局域網(wǎng)安全認(rèn)證與管理技術(shù)研究

李冬梅

（中國移動通信集團(tuán)廣東有限公司 清遠(yuǎn)分公司，北京100000）

無線網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)相比，組網(wǎng)方式更靈活，不受環(huán)境限制，能有效節(jié)約線材，降低組網(wǎng)成本。但無線網(wǎng)絡(luò)應(yīng)用中，通信安全性與易破解問題不容忽視。無線網(wǎng)絡(luò)沒有物理訪問限制，安全是無線網(wǎng)絡(luò)應(yīng)用的前提。因此，要采取相應(yīng)安全認(rèn)證與管理技術(shù)，確保無線網(wǎng)絡(luò)安全，規(guī)避網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅，消除無線網(wǎng)絡(luò)中存在的信息安全隱患。文章將針對公共無線局域網(wǎng)安全認(rèn)證與管理技術(shù)展開研究和分析，確保信息安全。

無線網(wǎng)絡(luò)；局域網(wǎng)；安全認(rèn)證；安全技術(shù)；管理技術(shù)

21世紀(jì)是一個網(wǎng)絡(luò)時代，隨著移動設(shè)備和無線設(shè)備的普及，無線局域網(wǎng)應(yīng)用日益廣泛并得到空前發(fā)展，這也使得公共無線局域網(wǎng)安全問題受到關(guān)注。公共無線局域網(wǎng)不同于傳統(tǒng)有線網(wǎng)絡(luò)，傳播介質(zhì)和傳播機制不同，在無線網(wǎng)絡(luò)傳播中信號截取便可能導(dǎo)致泄密，網(wǎng)絡(luò)安全問題已成為阻礙公共無線局域網(wǎng)應(yīng)用和發(fā)展的阻礙。相關(guān)統(tǒng)計數(shù)據(jù)顯示，65%的公共無線局域網(wǎng)存在安全問題，面臨的網(wǎng)絡(luò)風(fēng)險大。因此，為確保公共無線局域網(wǎng)安全，避免數(shù)據(jù)信息的泄漏，影響網(wǎng)絡(luò)穩(wěn)定性，應(yīng)積極采取有效的加密技術(shù)與安全認(rèn)證技術(shù)，避免公共無線局域網(wǎng)遭受入侵和破壞。

1　公共無線局域網(wǎng)的特點

公共無線局域網(wǎng)是無線通信技術(shù)與計算機網(wǎng)絡(luò)系統(tǒng)的融入產(chǎn)物，不僅能提供傳統(tǒng)有線局域網(wǎng)的所有功能，而且比有線網(wǎng)絡(luò)結(jié)構(gòu)更具靈活性，網(wǎng)絡(luò)設(shè)備安裝限制小，信號覆蓋范圍內(nèi)終端用戶均可接入無線網(wǎng)絡(luò)中，并且網(wǎng)絡(luò)中的節(jié)點均可在移動中保持通信。此外，無線網(wǎng)絡(luò)減少了布線工作量，組網(wǎng)結(jié)構(gòu)調(diào)整與擴(kuò)展容易實現(xiàn)，無須重新布線，組網(wǎng)成本低［1］。另一方面，公共無線局域網(wǎng)故障問題通常是設(shè)備故障，故障定位容易。傳統(tǒng)有線網(wǎng)絡(luò)若出現(xiàn)物理故障發(fā)生網(wǎng)絡(luò)中斷，若是線路故障通常便難以查明，故障檢修耗時長。公共無線局域網(wǎng)的普及與應(yīng)用，給用戶帶來了極大便利。但由于公共無線局域網(wǎng)數(shù)據(jù)信息通過無線電波傳輸，信號截取或無線局域網(wǎng)（Wireless Local Area Networking，WLAN）安全漏洞入侵都可能對網(wǎng)絡(luò)安全造成威脅。

2　公共無線局域網(wǎng)安全機制

相關(guān)調(diào)查研究數(shù)據(jù)顯示，65%的公共無線局域網(wǎng)毫無安全可言。通過前文分析可以知道，公共無線局域網(wǎng)只要信號覆蓋范圍內(nèi)，便可不受物理網(wǎng)絡(luò)資源限制接入無線網(wǎng)絡(luò)中，給入侵者可乘之機。當(dāng)前一些公共無線局域網(wǎng)中便出現(xiàn)了大量盜用資源和信息截取現(xiàn)象，造成計算機信息泄漏，網(wǎng)絡(luò)資源被占用，導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓，影響公共無線局域網(wǎng)正常通信。威脅公共無線局域網(wǎng)安全的主要攻擊方式有：網(wǎng)絡(luò)竊聽、置信攻擊、拒絕服務(wù)、數(shù)據(jù)篡改與截取等等。公共無線局域網(wǎng)安全認(rèn)證應(yīng)從：訪問控制、身份驗證、信息保密3個方面來考慮［2］。如這3方面沒有問題，不論網(wǎng)絡(luò)資源，還是網(wǎng)絡(luò)設(shè)備，或是傳輸中的信息都能確保安全。目前公共無線局域網(wǎng)應(yīng)用的逐漸安全認(rèn)證技術(shù)是有線等效保密（Wired Equivalent Privacy，WEP）和無線網(wǎng)絡(luò)安全接入（Wifi Protected Access，WPA）及WPA2。公共無線局域網(wǎng)單元結(jié)構(gòu)由許多單元組成，每個單位是由一個基本服務(wù)組接口（Basic Service Access，BSA）組成，這些單元通過接入點（Access Point，AP）與骨干網(wǎng)絡(luò)相連，基于802.11協(xié)議實現(xiàn)網(wǎng)絡(luò)接入。但現(xiàn)有安全機制，仍存在問題，應(yīng)加強安全技術(shù)改進(jìn)，進(jìn)一步提升網(wǎng)絡(luò)安全性。

3　公共無線局域網(wǎng)安全認(rèn)證與管理技術(shù)改進(jìn)策略

現(xiàn)階段主流安全認(rèn)證技術(shù)仍存在受到網(wǎng)絡(luò)攻擊的危險，為提供公共無線局域網(wǎng)安全性，規(guī)避網(wǎng)絡(luò)安全風(fēng)險，應(yīng)加強安全認(rèn)證與管理技術(shù)的改進(jìn)，彌補技術(shù)缺陷。文章通過幾點來分析公共無線局域網(wǎng)安全認(rèn)證與管理技術(shù)改進(jìn)策略。

3.1AP身份認(rèn)證

AP身份認(rèn)證能杜絕未授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，消除安全隱患。AP身份認(rèn)證在具體應(yīng)用中，采用驗收測試框架接入點（Framework of Integrate Test Access Point，F(xiàn)ITAP）組網(wǎng)技術(shù)，網(wǎng)絡(luò)穩(wěn)定性和可靠性強，通過無線控制器進(jìn)行網(wǎng)絡(luò)安全部署，并生成相應(yīng)AP序列號，對合法FITAP進(jìn)行授權(quán)，訪問者進(jìn)行訪問時，系統(tǒng)會驗證AP序列號信息，若授權(quán)信息合法則可進(jìn)入網(wǎng)絡(luò)，若FITAP非法則無法進(jìn)入網(wǎng)絡(luò)。

3.2多種用戶接入認(rèn)證

為提高身份認(rèn)證效率和水平，確保網(wǎng)絡(luò)安全，應(yīng)積極采用多種用戶接入認(rèn)證手段，例如：802.1x接入認(rèn)證、預(yù)共享密鑰（Pre-Shared Key，PSK）認(rèn)證、通過以太網(wǎng)傳輸點對點協(xié)議（Point-to-Point Protocol Over Ethernet，PPPOE）認(rèn)證等等。這種多元化的多種認(rèn)證模式，網(wǎng)絡(luò)系統(tǒng)靈活性更強，網(wǎng)絡(luò)兼容性更好，能夠為多種終端設(shè)備接入網(wǎng)絡(luò)提供便利條件。

3.3修改網(wǎng)絡(luò)名稱（Service Set Identifier，SSID）

在組網(wǎng)過程中為提高網(wǎng)絡(luò)穩(wěn)定性，要對AP默認(rèn)SSID名稱進(jìn)行修改，避免默認(rèn)SSID代碼泄漏WPS信息，防止非法端用戶利用初始SSID訪問網(wǎng)絡(luò)，占用網(wǎng)絡(luò)資源。另外，為進(jìn)一步提高安全性，降低網(wǎng)絡(luò)入侵概率，可選擇禁用SSID廣播。在禁用SSID廣播后，網(wǎng)絡(luò)信號便處于隱身狀態(tài)，信號信息不易被搜索到，便能有效防止非法入侵，避免不法分子對無線信號的捕捉。而局域網(wǎng)絡(luò)內(nèi)用戶則可通過手動輸入SSID的方式訪問網(wǎng)絡(luò)。

3.4鎖定MAC地址

通過對媒體接入控制（Media Access Control，MAC）地址的鎖定，能夠過濾一部分非法MAC地址，防止未授權(quán)用戶接入網(wǎng)絡(luò)。公共無線局域網(wǎng)能夠自動拒絕被過濾MAC地址的接入。因此，在組網(wǎng)中應(yīng)對無線網(wǎng)卡的MAC地址訪問控制列表進(jìn)行設(shè)置更新，禁止列表外的MAC地址，使列表外終端用戶不能獲取IP，無法對無線網(wǎng)絡(luò)進(jìn)行正常訪問。這種安全認(rèn)證方式，安全防護(hù)效果好。但有新增終端用戶，則需要進(jìn)行手動操作，所以對于用戶量大或流動量大的無線局域網(wǎng)不適用。3.5 禁用DHCP服務(wù)

開啟DHCP服務(wù)后，公共無線局域網(wǎng)便會處于動態(tài)分配IP地址狀態(tài)，所以用戶獲取網(wǎng)絡(luò)信息簡單，不法用戶能夠很容易獲取合法IP，占用大量網(wǎng)絡(luò)資源，破壞網(wǎng)絡(luò)安全，導(dǎo)致網(wǎng)絡(luò)癱瘓［3］。而動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）服務(wù)被禁止后，不法用戶若想入侵網(wǎng)絡(luò)，獲得合法認(rèn)證，必須要先破譯IP地質(zhì)、子網(wǎng)掩碼及TCP/IP參數(shù)，所以入侵難度便被大大提升。

3.6改變加密算法

傳統(tǒng)的WEP算法非常容易被字典解密攻擊破譯，導(dǎo)致網(wǎng)絡(luò)被入侵，而且WEP算法加密程度短，不包含密鑰管理協(xié)定，不強制使用，利用普通破解工具3分鐘之內(nèi)即可破解。因此，在組網(wǎng)中應(yīng)選擇新型加密算法，例如：WAP2和WAP。WAP技術(shù)將XHTML和CSS（層疊樣式表）作為WML2.0的一部分，安全性大大提升，而且數(shù)據(jù)傳輸效率更高。

4　結(jié)語

網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)的應(yīng)用，公共無線局域網(wǎng)由于沒有物理訪問限制，信號容易被獲取，所以易被解密，導(dǎo)致網(wǎng)絡(luò)資源被占用，發(fā)生信息泄密現(xiàn)象。因此，在公共無線局域網(wǎng)組網(wǎng)中，必須采取有效的安全認(rèn)證技術(shù)，提高網(wǎng)絡(luò)安全性，避免網(wǎng)絡(luò)入侵。

［1］賴積保.無線局域網(wǎng)安全與認(rèn)證的研究和公用WLAN應(yīng)用［D］.哈爾濱：哈爾濱工程大學(xué)，2013.

［2］程文聰.無線局域網(wǎng)安全中關(guān)鍵技術(shù)的研究—802.1X認(rèn)證協(xié)議的研究與實現(xiàn)［D］.長沙：國防科學(xué)技術(shù)大學(xué)，2014.

［3］姚東.基于IEEE80211系列標(biāo)準(zhǔn)的無線局域網(wǎng)安全性研究［D］.鄭州：解放軍信息工程大學(xué)，2013.

［4］王雪.基于EAP/TLS的無線局域網(wǎng)安全認(rèn)證系統(tǒng)的研究與實現(xiàn)［D］.北京：北京郵電大學(xué)，2015.

Research on security authentication and management technology of public wireless local area network

Li Dongmei
（Qingyuan Branch of China Mobile Communications Group Guangdong Co.， Ltd.， Beijing 100000， China）

Compared with the traditional wired network， the wireless network is more flexible and not limited by the environment， which can effectively save the wire and reduce the cost of the network. But in the application of wireless network， communication security and the problem easy to break can not be ignored. Wireless network is not limited to physical access， security is the premise of the application of wireless network. Therefore，the corresponding security authentication and management technology should be taken to ensure the security of wireless network， avoid the network attacks and network threats， and eliminate the information security hidden danger in the wireless network. In this paper， the security authentication and management technology of public wireless local area will be studied and analyzed to ensure the security of information.

wireless network； local area network； security authentication； security technology； management technology

李冬梅（1981— ），女，廣東清遠(yuǎn)，碩士，工程師；研究方向：通信網(wǎng)絡(luò)運維。