由于無線局域網(wǎng)使用的傳輸媒介主要是電磁波，在一定的范圍內(nèi)可被任何人所接收，所以無線局域網(wǎng)通信安全問題也越來越多，也越來越受到用戶的關(guān)注。如何保證無線局域網(wǎng)的安全，已成為人們研究的重點(diǎn)。本篇論文討論了無線局域網(wǎng)的通信安全問題和一些有效的解決方案，以確保無線局域網(wǎng)的安全及正常運(yùn)行。

1.引言

近年來，無線局域網(wǎng)（WLAN）的市場、應(yīng)用和服務(wù)快速發(fā)展，規(guī)模不斷擴(kuò)大，但是由于WLAN無線信號的開放性和IEEE 802.11協(xié)議自身固有的脆弱性，出現(xiàn)了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發(fā)起對WLAN的攻擊，基于WLAN的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊事件不斷增多，導(dǎo)致WLAN的安全無法得到保障，禁止使用WLAN的企業(yè)和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

2.無線局域網(wǎng)的安全機(jī)制

網(wǎng)絡(luò)通信的目標(biāo)是數(shù)據(jù)能在傳輸信道中安全可靠地到達(dá)目的主機(jī)，并只有目標(biāo)用戶能接收和理解。WLAN安全通信需求主要體現(xiàn)在身份驗(yàn)證機(jī)制、數(shù)據(jù)加密機(jī)制、信息完整性認(rèn)證機(jī)制、密鑰管理機(jī)制等方面。

（1）身份驗(yàn)證機(jī)制

為了防止未授權(quán)的無線用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)非法登錄，WLAN首先需要身份驗(yàn)證機(jī)制來限制非法連接。身份驗(yàn)證主要是實(shí)現(xiàn)無線用戶終端與無線訪問點(diǎn)（AccessPoint,AP）相互驗(yàn)證身份，只有當(dāng)雙方均成功通過驗(yàn)證后，無線用戶終端才能連接網(wǎng)絡(luò)。

（2）數(shù)據(jù)加密機(jī)制

為保證傳輸?shù)臄?shù)據(jù)只被合法用戶接收和讀取，應(yīng)采用足夠強(qiáng)度的加密算法對傳輸數(shù)據(jù)進(jìn)行加密，合法用戶接收數(shù)據(jù)后使用密鑰解密才能讀取正確的明文信息。網(wǎng)絡(luò)攻擊者既使截獲了密文，但由于沒有密鑰也無法解密成明文，從而保證了信息的安全。

（3）信息完整性驗(yàn)證機(jī)制

WLAN的數(shù)據(jù)信息在傳輸過程中有可能丟失或被惡意修改后轉(zhuǎn)發(fā)，為保證合法用戶得到正確、完整的信息，因此需要對接收到的數(shù)據(jù)進(jìn)行完整性及正確性的驗(yàn)證，即信息完整性驗(yàn)證。

（4）密鑰管理機(jī)制

密鑰是數(shù)據(jù)加密和解密的根本，需要合理的密鑰管理機(jī)制來保證系統(tǒng)的安全。根據(jù)WLAN通信特點(diǎn)，應(yīng)從密鑰生成、分配、失效、更新等全過程合理設(shè)計(jì)，避免密鑰重用并盡量減少網(wǎng)絡(luò)開銷。

3.無線局域網(wǎng)存在的安全隱患

盡管無線局域網(wǎng)是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個(gè)方面：

（1）無線局域網(wǎng)傳輸介質(zhì)比較脆弱。在過去的有線局域網(wǎng)中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上玩玩收到一定的安全設(shè)備或者安全人員的保護(hù)，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強(qiáng)的安全性，而無線局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理?xiàng)l件的干擾較大，同時(shí)也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

（2）有線等效保密協(xié)議（WEP）并不能有效保護(hù)無線局域網(wǎng)加密傳輸?shù)倪M(jìn)行，其并不存在完整的全面的訪問控制盒認(rèn)證校驗(yàn)功能?？墒?，無線局域網(wǎng)都是在WEP的基礎(chǔ)上建立起來的，如果WEP受到了嚴(yán)重影響甚至發(fā)生了破壞，那么無線局域網(wǎng)的安全性將無法得到保障。

（3）IPse.在安全上比較脆弱。IPseC是IETFIPse.工作組所設(shè)計(jì)的，在IPse-curitx的基礎(chǔ)上發(fā)展起來的，其主要目標(biāo)就是利用一定安全機(jī)制，為網(wǎng)絡(luò)提供身份認(rèn)證、訪問控制、數(shù)據(jù)完整性和機(jī)密性等安全服務(wù)，以實(shí)現(xiàn)IP數(shù)據(jù)傳播的可靠性和安全性。但是，IPSeC并不是專門為無線局域網(wǎng)所設(shè)計(jì)的，其將至對網(wǎng)絡(luò)層及以上層次的協(xié)議提供保護(hù)，而對無線局域網(wǎng)中數(shù)據(jù)鏈路層卻并不提供。

4.解決無線局域網(wǎng)通信安全問題的有效途徑

（1）通過VPN實(shí)現(xiàn)無線網(wǎng)絡(luò)通信安全

自從對網(wǎng)絡(luò)安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式。在這種保護(hù)方式中，將無線網(wǎng)絡(luò)當(dāng)作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面。每一個(gè)用戶都對應(yīng)一個(gè)VPN用戶，使用VPN連接無線網(wǎng)絡(luò)。這種安全方式阻止了外來設(shè)備進(jìn)入無線網(wǎng)絡(luò)。但這種方式也并不是萬無一失。合法進(jìn)入網(wǎng)絡(luò)時(shí)需要用戶啟動(dòng)并獲得一個(gè)IP地址。一旦每個(gè)用戶都有了一個(gè)IP地址，用戶就可以開始網(wǎng)絡(luò)通信了。非法進(jìn)入用戶的過程是差不多的，只是不能通過認(rèn)證進(jìn)入網(wǎng)絡(luò)中。由于攻擊者也有一個(gè)給定的IP地址，所以就沒有什么辦法來阻止它和同一個(gè)防火墻內(nèi)的用戶進(jìn)行通信了。通過這種通信，攻擊者也可以侵入一個(gè)合法用戶，并借此進(jìn)入網(wǎng)絡(luò)中。

（2）通過IEEE802.1x協(xié)議實(shí)現(xiàn)無線網(wǎng)絡(luò)安全

IEEE802.1x最初是用來規(guī)范有線網(wǎng)絡(luò)安全接口，但后來發(fā)現(xiàn)對于無線網(wǎng)絡(luò)更為合適。IEEE802.1x協(xié)議屬于MAC層的安全協(xié)議，該協(xié)議只允許被授權(quán)用戶等級上的安全操作。通過IEEE802.1x協(xié)議，當(dāng)一個(gè)設(shè)備想要接入某個(gè)中心點(diǎn)的時(shí)候，則該中心點(diǎn)設(shè)備就要求請求設(shè)備提供一組證書，接入用戶所提供的數(shù)字證書將被中心設(shè)備提交給服務(wù)器進(jìn)行認(rèn)證。這臺(tái)服務(wù)器被稱為遠(yuǎn)程撥號用戶認(rèn)證服務(wù)器（RADIUS），該服務(wù)器通常是被用來實(shí)現(xiàn)對撥號用戶進(jìn)行認(rèn)證的。整個(gè)過程被包含在IEEE802.1x的標(biāo)準(zhǔn)擴(kuò)展認(rèn)證協(xié)議EAP中。EAP是一種認(rèn)證方式集合，可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式，EAP是IEEE802.1x最主要的安全功能。

（3）通過WAP協(xié)議實(shí)現(xiàn)無線網(wǎng)絡(luò)安全

從本質(zhì)來講，WEP加密方式本身并沒有問題，問題出在密鑰的傳遞過程中，密鑰本身容易被截獲。為了解決這個(gè)問題，WPA作為目前事實(shí)上的行業(yè)標(biāo)準(zhǔn)，改變了傳統(tǒng)密鑰的傳遞方式。WPA利用TKIP協(xié)議來傳遞密鑰，在密鑰管理上采用了類似于RSA的公鑰/私鑰的非行分類描述。

1）設(shè)備物理安全風(fēng)險(xiǎn)分析。設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全的風(fēng)險(xiǎn)主要有：

①雷擊等環(huán)境事故造成設(shè)備的硬件損傷。

②斷電、電壓不穩(wěn)等原因造成設(shè)備非正常重啟，造成斷網(wǎng)。

③硬件設(shè)備老化、器件故障造成系統(tǒng)崩潰或各種網(wǎng)絡(luò)傳輸異常現(xiàn)象。

2）網(wǎng)絡(luò)基本功能安全風(fēng)險(xiǎn)分析。

網(wǎng)絡(luò)的基本功能就是網(wǎng)絡(luò)設(shè)備最基本的二層轉(zhuǎn)發(fā)、三層轉(zhuǎn)發(fā)及其相關(guān)的協(xié)議的安全運(yùn)轉(zhuǎn)。二層轉(zhuǎn)發(fā)相關(guān)協(xié)議一般包括ARP、DHCP、STP、Dot1x等。三層轉(zhuǎn)發(fā)的相關(guān)協(xié)議一般包括路由協(xié)議、組播路由協(xié)議等。

（4）網(wǎng)絡(luò)應(yīng)用功能安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)搭建好后會(huì)在上面運(yùn)行很多應(yīng)用，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等。

針對這些服務(wù)器有多種網(wǎng)絡(luò)攻擊，比如Dos攻擊。同時(shí)，網(wǎng)絡(luò)上充斥這各種病毒，一個(gè)PC染毒就會(huì)迅速的傳染到整個(gè)網(wǎng)絡(luò)中，病毒傳播將大量占用網(wǎng)絡(luò)帶寬，同時(shí)對PC造成極大威脅。占用PC資源，竊取個(gè)人資料和各種重要密碼，甚至對硬件造成破壞。當(dāng)前網(wǎng)絡(luò)中P2P應(yīng)用越來越多，BT、電驢等等工具被大量使用，這些應(yīng)用雖然不像病毒一樣對網(wǎng)絡(luò)進(jìn)行惡意侵害，但其大量消耗共享網(wǎng)絡(luò)帶寬，也使很多正常的網(wǎng)絡(luò)應(yīng)用受到影響。

（5）網(wǎng)絡(luò)安全聯(lián)動(dòng)的需求

網(wǎng)絡(luò)本身是動(dòng)態(tài)的，所以網(wǎng)絡(luò)的安全程度也是動(dòng)態(tài)變化的。各種安全事件如果完全讓網(wǎng)管員去處理，那無疑是一個(gè)巨大的工作量，而且這樣很可能由于反應(yīng)不及時(shí)，使網(wǎng)絡(luò)安全威脅最終造成嚴(yán)重惡果。如果能讓網(wǎng)管員制定一些策略原則，相關(guān)網(wǎng)絡(luò)設(shè)備之間在此原則下進(jìn)行自動(dòng)聯(lián)動(dòng)，快速的處理發(fā)現(xiàn)的安全威脅，這樣將更加保障網(wǎng)絡(luò)的安全運(yùn)行。

5.結(jié)語

綜上所述，隨著通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，無線局域網(wǎng)也得到了蓬勃發(fā)展和廣泛應(yīng)用。但是在無線局域網(wǎng)快速發(fā)展的同時(shí)，其還存在的一定的安全問題。因此必須加強(qiáng)無線局域網(wǎng)安全機(jī)制的建立，提升其身份驗(yàn)證技術(shù)、數(shù)據(jù)加密技術(shù)、信息完整性驗(yàn)證技術(shù)和密鑰管理技術(shù)。促使無線局域網(wǎng)能安全穩(wěn)定可靠的發(fā)展下去，使數(shù)據(jù)傳輸環(huán)境和諧可靠?？傊?，加強(qiáng)無線局域網(wǎng)通信安全機(jī)制的建設(shè)已經(jīng)迫在眉睫，無線局域網(wǎng)安全機(jī)制的建設(shè)也就等于現(xiàn)代社會(huì)互聯(lián)網(wǎng)社區(qū)的安全秩序建設(shè)。（作者：楊雪）