李冬梅

（中國移動通信集團廣東有限公司 清遠分公司，北京　100000）

公共無線局域網(wǎng)安全認證與管理技術研究

李冬梅

（中國移動通信集團廣東有限公司 清遠分公司，北京100000）

無線網(wǎng)絡與傳統(tǒng)有線網(wǎng)絡相比，組網(wǎng)方式更靈活，不受環(huán)境限制，能有效節(jié)約線材，降低組網(wǎng)成本。但無線網(wǎng)絡應用中，通信安全性與易破解問題不容忽視。無線網(wǎng)絡沒有物理訪問限制，安全是無線網(wǎng)絡應用的前提。因此，要采取相應安全認證與管理技術，確保無線網(wǎng)絡安全，規(guī)避網(wǎng)絡攻擊和網(wǎng)絡威脅，消除無線網(wǎng)絡中存在的信息安全隱患。文章將針對公共無線局域網(wǎng)安全認證與管理技術展開研究和分析，確保信息安全。

無線網(wǎng)絡；局域網(wǎng)；安全認證；安全技術；管理技術

21世紀是一個網(wǎng)絡時代，隨著移動設備和無線設備的普及，無線局域網(wǎng)應用日益廣泛并得到空前發(fā)展，這也使得公共無線局域網(wǎng)安全問題受到關注。公共無線局域網(wǎng)不同于傳統(tǒng)有線網(wǎng)絡，傳播介質和傳播機制不同，在無線網(wǎng)絡傳播中信號截取便可能導致泄密，網(wǎng)絡安全問題已成為阻礙公共無線局域網(wǎng)應用和發(fā)展的阻礙。相關統(tǒng)計數(shù)據(jù)顯示，65%的公共無線局域網(wǎng)存在安全問題，面臨的網(wǎng)絡風險大。因此，為確保公共無線局域網(wǎng)安全，避免數(shù)據(jù)信息的泄漏，影響網(wǎng)絡穩(wěn)定性，應積極采取有效的加密技術與安全認證技術，避免公共無線局域網(wǎng)遭受入侵和破壞。

1　公共無線局域網(wǎng)的特點

公共無線局域網(wǎng)是無線通信技術與計算機網(wǎng)絡系統(tǒng)的融入產物，不僅能提供傳統(tǒng)有線局域網(wǎng)的所有功能，而且比有線網(wǎng)絡結構更具靈活性，網(wǎng)絡設備安裝限制小，信號覆蓋范圍內終端用戶均可接入無線網(wǎng)絡中，并且網(wǎng)絡中的節(jié)點均可在移動中保持通信。此外，無線網(wǎng)絡減少了布線工作量，組網(wǎng)結構調整與擴展容易實現(xiàn)，無須重新布線，組網(wǎng)成本低［1］。另一方面，公共無線局域網(wǎng)故障問題通常是設備故障，故障定位容易。傳統(tǒng)有線網(wǎng)絡若出現(xiàn)物理故障發(fā)生網(wǎng)絡中斷，若是線路故障通常便難以查明，故障檢修耗時長。公共無線局域網(wǎng)的普及與應用，給用戶帶來了極大便利。但由于公共無線局域網(wǎng)數(shù)據(jù)信息通過無線電波傳輸，信號截取或無線局域網(wǎng)（Wireless Local Area Networking，WLAN）安全漏洞入侵都可能對網(wǎng)絡安全造成威脅。

2　公共無線局域網(wǎng)安全機制

相關調查研究數(shù)據(jù)顯示，65%的公共無線局域網(wǎng)毫無安全可言。通過前文分析可以知道，公共無線局域網(wǎng)只要信號覆蓋范圍內，便可不受物理網(wǎng)絡資源限制接入無線網(wǎng)絡中，給入侵者可乘之機。當前一些公共無線局域網(wǎng)中便出現(xiàn)了大量盜用資源和信息截取現(xiàn)象，造成計算機信息泄漏，網(wǎng)絡資源被占用，導致網(wǎng)絡設備癱瘓，影響公共無線局域網(wǎng)正常通信。威脅公共無線局域網(wǎng)安全的主要攻擊方式有：網(wǎng)絡竊聽、置信攻擊、拒絕服務、數(shù)據(jù)篡改與截取等等。公共無線局域網(wǎng)安全認證應從：訪問控制、身份驗證、信息保密3個方面來考慮［2］。如這3方面沒有問題，不論網(wǎng)絡資源，還是網(wǎng)絡設備，或是傳輸中的信息都能確保安全。目前公共無線局域網(wǎng)應用的逐漸安全認證技術是有線等效保密（Wired Equivalent Privacy，WEP）和無線網(wǎng)絡安全接入（Wifi Protected Access，WPA）及WPA2。公共無線局域網(wǎng)單元結構由許多單元組成，每個單位是由一個基本服務組接口（Basic Service Access，BSA）組成，這些單元通過接入點（Access Point，AP）與骨干網(wǎng)絡相連，基于802.11協(xié)議實現(xiàn)網(wǎng)絡接入。但現(xiàn)有安全機制，仍存在問題，應加強安全技術改進，進一步提升網(wǎng)絡安全性。

3　公共無線局域網(wǎng)安全認證與管理技術改進策略

現(xiàn)階段主流安全認證技術仍存在受到網(wǎng)絡攻擊的危險，為提供公共無線局域網(wǎng)安全性，規(guī)避網(wǎng)絡安全風險，應加強安全認證與管理技術的改進，彌補技術缺陷。文章通過幾點來分析公共無線局域網(wǎng)安全認證與管理技術改進策略。

3.1AP身份認證

AP身份認證能杜絕未授權用戶進入網(wǎng)絡，消除安全隱患。AP身份認證在具體應用中，采用驗收測試框架接入點（Framework of Integrate Test Access Point，F(xiàn)ITAP）組網(wǎng)技術，網(wǎng)絡穩(wěn)定性和可靠性強，通過無線控制器進行網(wǎng)絡安全部署，并生成相應AP序列號，對合法FITAP進行授權，訪問者進行訪問時，系統(tǒng)會驗證AP序列號信息，若授權信息合法則可進入網(wǎng)絡，若FITAP非法則無法進入網(wǎng)絡。

3.2多種用戶接入認證

為提高身份認證效率和水平，確保網(wǎng)絡安全，應積極采用多種用戶接入認證手段，例如：802.1x接入認證、預共享密鑰（Pre-Shared Key，PSK）認證、通過以太網(wǎng)傳輸點對點協(xié)議（Point-to-Point Protocol Over Ethernet，PPPOE）認證等等。這種多元化的多種認證模式，網(wǎng)絡系統(tǒng)靈活性更強，網(wǎng)絡兼容性更好，能夠為多種終端設備接入網(wǎng)絡提供便利條件。

3.3修改網(wǎng)絡名稱（Service Set Identifier，SSID）

在組網(wǎng)過程中為提高網(wǎng)絡穩(wěn)定性，要對AP默認SSID名稱進行修改，避免默認SSID代碼泄漏WPS信息，防止非法端用戶利用初始SSID訪問網(wǎng)絡，占用網(wǎng)絡資源。另外，為進一步提高安全性，降低網(wǎng)絡入侵概率，可選擇禁用SSID廣播。在禁用SSID廣播后，網(wǎng)絡信號便處于隱身狀態(tài)，信號信息不易被搜索到，便能有效防止非法入侵，避免不法分子對無線信號的捕捉。而局域網(wǎng)絡內用戶則可通過手動輸入SSID的方式訪問網(wǎng)絡。

3.4鎖定MAC地址

通過對媒體接入控制（Media Access Control，MAC）地址的鎖定，能夠過濾一部分非法MAC地址，防止未授權用戶接入網(wǎng)絡。公共無線局域網(wǎng)能夠自動拒絕被過濾MAC地址的接入。因此，在組網(wǎng)中應對無線網(wǎng)卡的MAC地址訪問控制列表進行設置更新，禁止列表外的MAC地址，使列表外終端用戶不能獲取IP，無法對無線網(wǎng)絡進行正常訪問。這種安全認證方式，安全防護效果好。但有新增終端用戶，則需要進行手動操作，所以對于用戶量大或流動量大的無線局域網(wǎng)不適用。3.5 禁用DHCP服務

開啟DHCP服務后，公共無線局域網(wǎng)便會處于動態(tài)分配IP地址狀態(tài)，所以用戶獲取網(wǎng)絡信息簡單，不法用戶能夠很容易獲取合法IP，占用大量網(wǎng)絡資源，破壞網(wǎng)絡安全，導致網(wǎng)絡癱瘓［3］。而動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）服務被禁止后，不法用戶若想入侵網(wǎng)絡，獲得合法認證，必須要先破譯IP地質、子網(wǎng)掩碼及TCP/IP參數(shù)，所以入侵難度便被大大提升。

3.6改變加密算法

傳統(tǒng)的WEP算法非常容易被字典解密攻擊破譯，導致網(wǎng)絡被入侵，而且WEP算法加密程度短，不包含密鑰管理協(xié)定，不強制使用，利用普通破解工具3分鐘之內即可破解。因此，在組網(wǎng)中應選擇新型加密算法，例如：WAP2和WAP。WAP技術將XHTML和CSS（層疊樣式表）作為WML2.0的一部分，安全性大大提升，而且數(shù)據(jù)傳輸效率更高。

4　結語

網(wǎng)絡安全威脅網(wǎng)絡的應用，公共無線局域網(wǎng)由于沒有物理訪問限制，信號容易被獲取，所以易被解密，導致網(wǎng)絡資源被占用，發(fā)生信息泄密現(xiàn)象。因此，在公共無線局域網(wǎng)組網(wǎng)中，必須采取有效的安全認證技術，提高網(wǎng)絡安全性，避免網(wǎng)絡入侵。

［1］賴積保.無線局域網(wǎng)安全與認證的研究和公用WLAN應用［D］.哈爾濱：哈爾濱工程大學，2013.

［2］程文聰.無線局域網(wǎng)安全中關鍵技術的研究—802.1X認證協(xié)議的研究與實現(xiàn)［D］.長沙：國防科學技術大學，2014.

［3］姚東.基于IEEE80211系列標準的無線局域網(wǎng)安全性研究［D］.鄭州：解放軍信息工程大學，2013.

［4］王雪.基于EAP/TLS的無線局域網(wǎng)安全認證系統(tǒng)的研究與實現(xiàn)［D］.北京：北京郵電大學，2015.

Research on security authentication and management technology of public wireless local area network

Li Dongmei
（Qingyuan Branch of China Mobile Communications Group Guangdong Co.， Ltd.， Beijing 100000， China）

Compared with the traditional wired network， the wireless network is more flexible and not limited by the environment， which can effectively save the wire and reduce the cost of the network. But in the application of wireless network， communication security and the problem easy to break can not be ignored. Wireless network is not limited to physical access， security is the premise of the application of wireless network. Therefore，the corresponding security authentication and management technology should be taken to ensure the security of wireless network， avoid the network attacks and network threats， and eliminate the information security hidden danger in the wireless network. In this paper， the security authentication and management technology of public wireless local area will be studied and analyzed to ensure the security of information.

wireless network； local area network； security authentication； security technology； management technology

李冬梅（1981— ），女，廣東清遠，碩士，工程師；研究方向：通信網(wǎng)絡運維。