由于無(wú)線(xiàn)局域網(wǎng)使用的傳輸媒介主要是電磁波，在一定的范圍內(nèi)可被任何人所接收，所以無(wú)線(xiàn)局域網(wǎng)通信安全問(wèn)題也越來(lái)越多，也越來(lái)越受到用戶(hù)的關(guān)注。如何保證無(wú)線(xiàn)局域網(wǎng)的安全，已成為人們研究的重點(diǎn)。本篇論文討論了無(wú)線(xiàn)局域網(wǎng)的通信安全問(wèn)題和一些有效的解決方案，以確保無(wú)線(xiàn)局域網(wǎng)的安全及正常運(yùn)行。

1.引言

近年來(lái)，無(wú)線(xiàn)局域網(wǎng)（WLAN）的市場(chǎng)、應(yīng)用和服務(wù)快速發(fā)展，規(guī)模不斷擴(kuò)大，但是由于WLAN無(wú)線(xiàn)信號(hào)的開(kāi)放性和IEEE 802.11協(xié)議自身固有的脆弱性，出現(xiàn)了大量針對(duì)WLAN的攻擊手段，非法用戶(hù)在能夠接收到無(wú)線(xiàn)信號(hào)的任何地方都可以發(fā)起對(duì)WLAN的攻擊，基于WLAN的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊事件不斷增多，導(dǎo)致WLAN的安全無(wú)法得到保障，禁止使用WLAN的企業(yè)和組織也在逐漸增多，WLAN的安全問(wèn)題也正變得越來(lái)越突出。

2.無(wú)線(xiàn)局域網(wǎng)的安全機(jī)制

網(wǎng)絡(luò)通信的目標(biāo)是數(shù)據(jù)能在傳輸信道中安全可靠地到達(dá)目的主機(jī)，并只有目標(biāo)用戶(hù)能接收和理解。WLAN安全通信需求主要體現(xiàn)在身份驗(yàn)證機(jī)制、數(shù)據(jù)加密機(jī)制、信息完整性認(rèn)證機(jī)制、密鑰管理機(jī)制等方面。

（1）身份驗(yàn)證機(jī)制

為了防止未授權(quán)的無(wú)線(xiàn)用戶(hù)在無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋范圍內(nèi)非法登錄，WLAN首先需要身份驗(yàn)證機(jī)制來(lái)限制非法連接。身份驗(yàn)證主要是實(shí)現(xiàn)無(wú)線(xiàn)用戶(hù)終端與無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)（AccessPoint,AP）相互驗(yàn)證身份，只有當(dāng)雙方均成功通過(guò)驗(yàn)證后，無(wú)線(xiàn)用戶(hù)終端才能連接網(wǎng)絡(luò)。

（2）數(shù)據(jù)加密機(jī)制

為保證傳輸?shù)臄?shù)據(jù)只被合法用戶(hù)接收和讀取，應(yīng)采用足夠強(qiáng)度的加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密，合法用戶(hù)接收數(shù)據(jù)后使用密鑰解密才能讀取正確的明文信息。網(wǎng)絡(luò)攻擊者既使截獲了密文，但由于沒(méi)有密鑰也無(wú)法解密成明文，從而保證了信息的安全。

（3）信息完整性驗(yàn)證機(jī)制

WLAN的數(shù)據(jù)信息在傳輸過(guò)程中有可能丟失或被惡意修改后轉(zhuǎn)發(fā)，為保證合法用戶(hù)得到正確、完整的信息，因此需要對(duì)接收到的數(shù)據(jù)進(jìn)行完整性及正確性的驗(yàn)證，即信息完整性驗(yàn)證。

（4）密鑰管理機(jī)制

密鑰是數(shù)據(jù)加密和解密的根本，需要合理的密鑰管理機(jī)制來(lái)保證系統(tǒng)的安全。根據(jù)WLAN通信特點(diǎn)，應(yīng)從密鑰生成、分配、失效、更新等全過(guò)程合理設(shè)計(jì)，避免密鑰重用并盡量減少網(wǎng)絡(luò)開(kāi)銷(xiāo)。

3.無(wú)線(xiàn)局域網(wǎng)存在的安全隱患

盡管無(wú)線(xiàn)局域網(wǎng)是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個(gè)方面：

（1）無(wú)線(xiàn)局域網(wǎng)傳輸介質(zhì)比較脆弱。在過(guò)去的有線(xiàn)局域網(wǎng)中，一般采取的是無(wú)源集線(xiàn)器和銅線(xiàn)作為傳輸媒介，它們?cè)诎踩贤嫱媸盏揭欢ǖ陌踩O(shè)備或者安全人員的保護(hù)，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強(qiáng)的安全性，而無(wú)線(xiàn)局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理?xiàng)l件的干擾較大，同時(shí)也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

（2）有線(xiàn)等效保密協(xié)議（WEP）并不能有效保護(hù)無(wú)線(xiàn)局域網(wǎng)加密傳輸?shù)倪M(jìn)行，其并不存在完整的全面的訪(fǎng)問(wèn)控制盒認(rèn)證校驗(yàn)功能?？墒?，無(wú)線(xiàn)局域網(wǎng)都是在WEP的基礎(chǔ)上建立起來(lái)的，如果WEP受到了嚴(yán)重影響甚至發(fā)生了破壞，那么無(wú)線(xiàn)局域網(wǎng)的安全性將無(wú)法得到保障。

（3）IPse.在安全上比較脆弱。IPseC是IETFIPse.工作組所設(shè)計(jì)的，在IPse-curitx的基礎(chǔ)上發(fā)展起來(lái)的，其主要目標(biāo)就是利用一定安全機(jī)制，為網(wǎng)絡(luò)提供身份認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)完整性和機(jī)密性等安全服務(wù)，以實(shí)現(xiàn)IP數(shù)據(jù)傳播的可靠性和安全性。但是，IPSeC并不是專(zhuān)門(mén)為無(wú)線(xiàn)局域網(wǎng)所設(shè)計(jì)的，其將至對(duì)網(wǎng)絡(luò)層及以上層次的協(xié)議提供保護(hù)，而對(duì)無(wú)線(xiàn)局域網(wǎng)中數(shù)據(jù)鏈路層卻并不提供。

4.解決無(wú)線(xiàn)局域網(wǎng)通信安全問(wèn)題的有效途徑

（1）通過(guò)VPN實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)通信安全

自從對(duì)網(wǎng)絡(luò)安全概念有了一定了解以來(lái)，人們一直都將VPN作為無(wú)線(xiàn)安全的一種解決方式。在這種保護(hù)方式中，將無(wú)線(xiàn)網(wǎng)絡(luò)當(dāng)作Internet一樣對(duì)待。在VPN方案中，所有的無(wú)線(xiàn)通信都被封在了防火墻的后面。每一個(gè)用戶(hù)都對(duì)應(yīng)一個(gè)VPN用戶(hù)，使用VPN連接無(wú)線(xiàn)網(wǎng)絡(luò)。這種安全方式阻止了外來(lái)設(shè)備進(jìn)入無(wú)線(xiàn)網(wǎng)絡(luò)。但這種方式也并不是萬(wàn)無(wú)一失。合法進(jìn)入網(wǎng)絡(luò)時(shí)需要用戶(hù)啟動(dòng)并獲得一個(gè)IP地址。一旦每個(gè)用戶(hù)都有了一個(gè)IP地址，用戶(hù)就可以開(kāi)始網(wǎng)絡(luò)通信了。非法進(jìn)入用戶(hù)的過(guò)程是差不多的，只是不能通過(guò)認(rèn)證進(jìn)入網(wǎng)絡(luò)中。由于攻擊者也有一個(gè)給定的IP地址，所以就沒(méi)有什么辦法來(lái)阻止它和同一個(gè)防火墻內(nèi)的用戶(hù)進(jìn)行通信了。通過(guò)這種通信，攻擊者也可以侵入一個(gè)合法用戶(hù)，并借此進(jìn)入網(wǎng)絡(luò)中。

（2）通過(guò)IEEE802.1x協(xié)議實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)安全

IEEE802.1x最初是用來(lái)規(guī)范有線(xiàn)網(wǎng)絡(luò)安全接口，但后來(lái)發(fā)現(xiàn)對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)更為合適。IEEE802.1x協(xié)議屬于MAC層的安全協(xié)議，該協(xié)議只允許被授權(quán)用戶(hù)等級(jí)上的安全操作。通過(guò)IEEE802.1x協(xié)議，當(dāng)一個(gè)設(shè)備想要接入某個(gè)中心點(diǎn)的時(shí)候，則該中心點(diǎn)設(shè)備就要求請(qǐng)求設(shè)備提供一組證書(shū)，接入用戶(hù)所提供的數(shù)字證書(shū)將被中心設(shè)備提交給服務(wù)器進(jìn)行認(rèn)證。這臺(tái)服務(wù)器被稱(chēng)為遠(yuǎn)程撥號(hào)用戶(hù)認(rèn)證服務(wù)器（RADIUS），該服務(wù)器通常是被用來(lái)實(shí)現(xiàn)對(duì)撥號(hào)用戶(hù)進(jìn)行認(rèn)證的。整個(gè)過(guò)程被包含在IEEE802.1x的標(biāo)準(zhǔn)擴(kuò)展認(rèn)證協(xié)議EAP中。EAP是一種認(rèn)證方式集合，可以讓開(kāi)發(fā)者以各種方式生成他們自己的證書(shū)發(fā)放方式，EAP是IEEE802.1x最主要的安全功能。

（3）通過(guò)WAP協(xié)議實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)安全

從本質(zhì)來(lái)講，WEP加密方式本身并沒(méi)有問(wèn)題，問(wèn)題出在密鑰的傳遞過(guò)程中，密鑰本身容易被截獲。為了解決這個(gè)問(wèn)題，WPA作為目前事實(shí)上的行業(yè)標(biāo)準(zhǔn)，改變了傳統(tǒng)密鑰的傳遞方式。WPA利用TKIP協(xié)議來(lái)傳遞密鑰，在密鑰管理上采用了類(lèi)似于RSA的公鑰/私鑰的非行分類(lèi)描述。

1）設(shè)備物理安全風(fēng)險(xiǎn)分析。設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全的風(fēng)險(xiǎn)主要有：

①雷擊等環(huán)境事故造成設(shè)備的硬件損傷。

②斷電、電壓不穩(wěn)等原因造成設(shè)備非正常重啟，造成斷網(wǎng)。

③硬件設(shè)備老化、器件故障造成系統(tǒng)崩潰或各種網(wǎng)絡(luò)傳輸異?，F(xiàn)象。

2）網(wǎng)絡(luò)基本功能安全風(fēng)險(xiǎn)分析。

網(wǎng)絡(luò)的基本功能就是網(wǎng)絡(luò)設(shè)備最基本的二層轉(zhuǎn)發(fā)、三層轉(zhuǎn)發(fā)及其相關(guān)的協(xié)議的安全運(yùn)轉(zhuǎn)。二層轉(zhuǎn)發(fā)相關(guān)協(xié)議一般包括ARP、DHCP、STP、Dot1x等。三層轉(zhuǎn)發(fā)的相關(guān)協(xié)議一般包括路由協(xié)議、組播路由協(xié)議等。

（4）網(wǎng)絡(luò)應(yīng)用功能安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)搭建好后會(huì)在上面運(yùn)行很多應(yīng)用，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等。

針對(duì)這些服務(wù)器有多種網(wǎng)絡(luò)攻擊，比如Dos攻擊。同時(shí)，網(wǎng)絡(luò)上充斥這各種病毒，一個(gè)PC染毒就會(huì)迅速的傳染到整個(gè)網(wǎng)絡(luò)中，病毒傳播將大量占用網(wǎng)絡(luò)帶寬，同時(shí)對(duì)PC造成極大威脅。占用PC資源，竊取個(gè)人資料和各種重要密碼，甚至對(duì)硬件造成破壞。當(dāng)前網(wǎng)絡(luò)中P2P應(yīng)用越來(lái)越多，BT、電驢等等工具被大量使用，這些應(yīng)用雖然不像病毒一樣對(duì)網(wǎng)絡(luò)進(jìn)行惡意侵害，但其大量消耗共享網(wǎng)絡(luò)帶寬，也使很多正常的網(wǎng)絡(luò)應(yīng)用受到影響。

（5）網(wǎng)絡(luò)安全聯(lián)動(dòng)的需求

網(wǎng)絡(luò)本身是動(dòng)態(tài)的，所以網(wǎng)絡(luò)的安全程度也是動(dòng)態(tài)變化的。各種安全事件如果完全讓網(wǎng)管員去處理，那無(wú)疑是一個(gè)巨大的工作量，而且這樣很可能由于反應(yīng)不及時(shí)，使網(wǎng)絡(luò)安全威脅最終造成嚴(yán)重惡果。如果能讓網(wǎng)管員制定一些策略原則，相關(guān)網(wǎng)絡(luò)設(shè)備之間在此原則下進(jìn)行自動(dòng)聯(lián)動(dòng)，快速的處理發(fā)現(xiàn)的安全威脅，這樣將更加保障網(wǎng)絡(luò)的安全運(yùn)行。

5.結(jié)語(yǔ)

綜上所述，隨著通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，無(wú)線(xiàn)局域網(wǎng)也得到了蓬勃發(fā)展和廣泛應(yīng)用。但是在無(wú)線(xiàn)局域網(wǎng)快速發(fā)展的同時(shí)，其還存在的一定的安全問(wèn)題。因此必須加強(qiáng)無(wú)線(xiàn)局域網(wǎng)安全機(jī)制的建立，提升其身份驗(yàn)證技術(shù)、數(shù)據(jù)加密技術(shù)、信息完整性驗(yàn)證技術(shù)和密鑰管理技術(shù)。促使無(wú)線(xiàn)局域網(wǎng)能安全穩(wěn)定可靠的發(fā)展下去，使數(shù)據(jù)傳輸環(huán)境和諧可靠。總之，加強(qiáng)無(wú)線(xiàn)局域網(wǎng)通信安全機(jī)制的建設(shè)已經(jīng)迫在眉睫，無(wú)線(xiàn)局域網(wǎng)安全機(jī)制的建設(shè)也就等于現(xiàn)代社會(huì)互聯(lián)網(wǎng)社區(qū)的安全秩序建設(shè)。（作者：楊雪）