譚 荊

（重慶工商大學 計算機與信息工程學院，重慶 400023）

0 引言

無線局域網(wǎng)(WLAN)由無線網(wǎng)卡、無線接入點(AP)、計算機和有關設備組成。無線通信的傳輸媒體主要是廣播和無線電波，因此用無線局域網(wǎng)組網(wǎng)安裝簡單、易于移動、靈活、可擴展性強、便于維護和管理，而受到越來越多用戶的青睞。隨之而來是用戶對無線局域網(wǎng)的期望日益升高，同時其安全性也隨著應用的深入不斷的表露出來，并成為制約無線局域網(wǎng)不斷發(fā)展的瓶頸[1]。

1 無線局域網(wǎng)安全技術分析

眾所周知，無線局域網(wǎng)的數(shù)據(jù)是通過無線媒體在空中傳遞，通信保密能力有很高的要求。但是為了保證無線局域網(wǎng)的安全性，就必須在不同層次采取必要的措施。

①TKIP-臨時密鑰完整性協(xié)議。 TKIP由加密協(xié)議（WEP）使用的同樣的加密引擎和 RC4算法組成，可改變每個數(shù)據(jù)包所使用的密鑰。使其具有足夠的密碼強度，不能被輕易破譯。但只能作為一種臨時的過渡方案；

②物理地址(MAC地址)過濾。MAC地址是廠方出廠前設定，對每一塊無線網(wǎng)卡來說是唯一的。物理地址通過對AP的設定，將指定的無線網(wǎng)卡的MAC地址輸入到AP中來過濾。同時AP也要對收到的數(shù)據(jù)包做出準確的判斷，只有那些符合設定標準的數(shù)據(jù)包才能被轉發(fā)[2]。對小型無線局域網(wǎng)時，該方法簡單、快捷，十分經(jīng)濟有效。但不能支持大量的移動客戶端且很麻煩；

③無線局域網(wǎng)用戶的隔離技術。這種技術是將所有的無線客戶端設備完全隔離，使每個用戶端只能訪問固定的通信。通過這種方式，使用戶在公共區(qū)域使用無線局域網(wǎng)的安全性得到了大大的提高。

2 威脅無線局域網(wǎng)的因素

盡管使用上述安全技術手段，但無線局域網(wǎng)也有很多不足，仍然存在一些威脅因素。

①由于無線局域網(wǎng)是以無線電波作為傳輸媒介,因此無線局域網(wǎng)的通信也存在著難以限制通信的物理訪問,無線局域網(wǎng)通信的信號可以傳播到預期范圍以外的地域,無線局域網(wǎng)通信中每個AP的覆蓋范圍形成了通向每個用戶的一個新入口。無線傳輸?shù)倪@一特點,使得對無線局域網(wǎng)用戶端入口的管理不能像也不應該像傳統(tǒng)通信那樣。在這無線局域網(wǎng)通信在傳輸方式上和傳統(tǒng)的有些通信有區(qū)別，但是大體上還是相同的，所以傳統(tǒng)網(wǎng)絡中常規(guī)的安全風險如病毒，惡意攻擊等都是存在的；②電磁波是共享的，所以非法分子如果想竊取信號，并通過竊取信號進行解碼分析特別容易，特別是WLAN默認又是不設置加密的，任何能接受到信號的人，都可以進行竊聽。雖然WLAN使用了擴頻技術，但還是會受到一定的干擾。而且干擾源不是很容易就能查出來的。在無線局域網(wǎng)的信息傳輸中，通信需要發(fā)送有某種特定參數(shù)的信息幀，這樣也給非法分子提供了必要的通信信息。入侵者也可以利用兩個AP點對通信發(fā)起惡意攻擊而不需要任何其他方式的侵入。由于無線局域網(wǎng)對信息幀不能進行認證操作,非法分子可以通過欺騙信息幀去重新定向數(shù)據(jù)流，從而ARP表變得混亂。通過會話攔截實現(xiàn)的通信入侵就變得無法避免。因此,無線局域網(wǎng)中存在的安全問題威脅因素主要是:信息泄露、截取或者修改傳輸數(shù)據(jù)、拒絕服務、地址欺騙與會話攔截等等。

3 加強無線局域網(wǎng)安全的對策性措施

3.1 升級密鑰機制，防止惡意入侵

在無線局域網(wǎng)安全問題上，保護通信安全的一個最基本措施就是加密，而這一措施是比較簡單的，只需要設置 AP和無線網(wǎng)卡等設備，就可以對 WEP加密。筆者認為，用戶應經(jīng)常對密鑰進行更新，有必要時要啟用獨立的認證服務為WEP自動分配密鑰。鑒于目前IEEE 802.1x中公鑰密碼體制的缺陷，筆者建議考慮引入其他成熟的公鑰密碼體制來完善。

3.2 綁定靜態(tài)IP與MAC地址，加強網(wǎng)絡安全

眾所周知，通常AP或無線路由器在分配IP地址時,默認使用即動態(tài)IP地址分配,這樣分配出的地址不是隨機的，這樣非法分子就有機可乘，這對無線局域網(wǎng)的通信來說是具有很大的安全隱患。非法分子只要找到了無線通信的 IP,就可以通過動態(tài)IP地址分配而得到一個合法的IP地址,進入局域通信中，從而盜取信息和修個矮傳輸數(shù)據(jù)，地址欺騙和會話攔截等非法行為，這些會給無線局域網(wǎng)帶來很大的損失。綜合以上來看,只有通過關閉 DHCP服務,為每個用戶客戶端分配固定的靜態(tài) IP地址，再把這個地址與用戶電腦網(wǎng)卡的MAC地址進行綁定，非法分子就是得到了IP地址,還要驗證綁定的 MAC地址,相當于兩重關卡。這樣使非法分子難以攻破，就能大大提升通信的安全性。

3.3 安全應用VPN技術

在國際上，虛擬專用通信（VPN）是指在一個公共局域網(wǎng)通信平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的通信安全性。VPN技術是通過三級保障保證局域網(wǎng)的安全:用戶認證、加密和數(shù)據(jù)認證來實現(xiàn)無線通信的安全性保證[3]。用戶認證確保只有己被授權的用戶才能夠進行無線通信連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。數(shù)據(jù)認證確保在無線通信上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務流都是來自已經(jīng)得到認證的設備。由于在大型無線局域網(wǎng)通信中維護工作和AP的WEP加密密鑰以及IP的MAC地址列表都是難以實行的管理任務。因此對于高安全要求或大型的無線通信，VPN方案是一個更好的選擇。對于無線局域網(wǎng)商用通信，與WEP機制和MAC地址過濾接入不同，基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案具有較強的擴充能力、升級性能能力，所以大規(guī)模的無線通信應用是最合適的。VPN技術的運用可以為無線通信的安全性能提供保障。

3.4 加強無線局域網(wǎng)的入侵監(jiān)測系統(tǒng)

無線入侵檢測系統(tǒng)與傳統(tǒng)的入侵檢測系統(tǒng)相比，增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應的特性[4]。監(jiān)視分析無線局域網(wǎng)用戶的活動,進一步判斷入侵事件的形式和類型,最終檢測出非法的通信行為,并及時對異常的通信流量進行報警。無線入侵檢測系統(tǒng)不但能找出入侵者,還能加強策略，無線局域網(wǎng)檢測系統(tǒng)通過使用強有力的策略,使無線局域網(wǎng)更安全。在無線通信領域,對入侵監(jiān)測的研究已經(jīng)廣泛的展開并已經(jīng)設計出了一些有效的入侵監(jiān)測系統(tǒng),隨著無線通信入侵監(jiān)測技術迅速發(fā)展,必將進一步提高WLAN的安全性。

4 結語

綜述所述，隨著無線局域網(wǎng)的不斷發(fā)展，無線局域網(wǎng)的安全問題也越來越受到重視。立足于此，展開對無線局域網(wǎng)安全技術以及目前存在的安全威脅進行分析。筆者認為只要安全應用VPN技術，綁定靜態(tài)IP與MAC地址，加強網(wǎng)絡安，加強無線局域網(wǎng)的入侵監(jiān)測系統(tǒng)，不斷升級密鑰機制等措施，在一定程度上可以確保無線通信技術的安全問題。相信隨著 WLAN的迅速應用和安全技術的不斷完善，合理組合安全機制，制定規(guī)范和有效的管理措施，相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

[1] 李園,王燕鴻.無線通信安全性威脅及應對措施[J].現(xiàn)代電子技術,2007,(05):91-94.

[2] 周慶忠,趙海霞.無線局域網(wǎng)的安全性與改進方法研究[J].微計算機信息,2006(22):202-204.

[3] 褚麗莉.無線局域網(wǎng)安全分析[J].通信技術,2009,42(07):34-36.

[4] 張雙斌.淺談無線局域網(wǎng)通信安全及其防范對策[J].計算機安全,2008(08):82-85.