由于無線局域網(wǎng)使用的傳輸媒介主要是電磁波，在一定的范圍內(nèi)可被任何人所接收，所以無線局域網(wǎng)通信安全問題也越來越多，也越來越受到用戶的關(guān)注。如何保證無線局域網(wǎng)的安全，已成為人們研究的重點。本篇論文討論了無線局域網(wǎng)的通信安全問題和一些有效的解決方案，以確保無線局域網(wǎng)的安全及正常運行。

1.引言

近年來，無線局域網(wǎng)（WLAN）的市場、應(yīng)用和服務(wù)快速發(fā)展，規(guī)模不斷擴大，但是由于WLAN無線信號的開放性和IEEE 802.11協(xié)議自身固有的脆弱性，出現(xiàn)了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發(fā)起對WLAN的攻擊，基于WLAN的安全漏洞進行網(wǎng)絡(luò)攻擊事件不斷增多，導(dǎo)致WLAN的安全無法得到保障，禁止使用WLAN的企業(yè)和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

2.無線局域網(wǎng)的安全機制

網(wǎng)絡(luò)通信的目標(biāo)是數(shù)據(jù)能在傳輸信道中安全可靠地到達(dá)目的主機，并只有目標(biāo)用戶能接收和理解。WLAN安全通信需求主要體現(xiàn)在身份驗證機制、數(shù)據(jù)加密機制、信息完整性認(rèn)證機制、密鑰管理機制等方面。

（1）身份驗證機制

為了防止未授權(quán)的無線用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)非法登錄，WLAN首先需要身份驗證機制來限制非法連接。身份驗證主要是實現(xiàn)無線用戶終端與無線訪問點（AccessPoint,AP）相互驗證身份，只有當(dāng)雙方均成功通過驗證后，無線用戶終端才能連接網(wǎng)絡(luò)。

（2）數(shù)據(jù)加密機制

為保證傳輸?shù)臄?shù)據(jù)只被合法用戶接收和讀取，應(yīng)采用足夠強度的加密算法對傳輸數(shù)據(jù)進行加密，合法用戶接收數(shù)據(jù)后使用密鑰解密才能讀取正確的明文信息。網(wǎng)絡(luò)攻擊者既使截獲了密文，但由于沒有密鑰也無法解密成明文，從而保證了信息的安全。

（3）信息完整性驗證機制

WLAN的數(shù)據(jù)信息在傳輸過程中有可能丟失或被惡意修改后轉(zhuǎn)發(fā)，為保證合法用戶得到正確、完整的信息，因此需要對接收到的數(shù)據(jù)進行完整性及正確性的驗證，即信息完整性驗證。

（4）密鑰管理機制

密鑰是數(shù)據(jù)加密和解密的根本，需要合理的密鑰管理機制來保證系統(tǒng)的安全。根據(jù)WLAN通信特點，應(yīng)從密鑰生成、分配、失效、更新等全過程合理設(shè)計，避免密鑰重用并盡量減少網(wǎng)絡(luò)開銷。

3.無線局域網(wǎng)存在的安全隱患

盡管無線局域網(wǎng)是隨著計算機網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個方面：

（1）無線局域網(wǎng)傳輸介質(zhì)比較脆弱。在過去的有線局域網(wǎng)中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上玩玩收到一定的安全設(shè)備或者安全人員的保護，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強的安全性，而無線局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理條件的干擾較大，同時也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

（2）有線等效保密協(xié)議（WEP）并不能有效保護無線局域網(wǎng)加密傳輸?shù)倪M行，其并不存在完整的全面的訪問控制盒認(rèn)證校驗功能。可是，無線局域網(wǎng)都是在WEP的基礎(chǔ)上建立起來的，如果WEP受到了嚴(yán)重影響甚至發(fā)生了破壞，那么無線局域網(wǎng)的安全性將無法得到保障。

（3）IPse.在安全上比較脆弱。IPseC是IETFIPse.工作組所設(shè)計的，在IPse-curitx的基礎(chǔ)上發(fā)展起來的，其主要目標(biāo)就是利用一定安全機制，為網(wǎng)絡(luò)提供身份認(rèn)證、訪問控制、數(shù)據(jù)完整性和機密性等安全服務(wù)，以實現(xiàn)IP數(shù)據(jù)傳播的可靠性和安全性。但是，IPSeC并不是專門為無線局域網(wǎng)所設(shè)計的，其將至對網(wǎng)絡(luò)層及以上層次的協(xié)議提供保護，而對無線局域網(wǎng)中數(shù)據(jù)鏈路層卻并不提供。

4.解決無線局域網(wǎng)通信安全問題的有效途徑

（1）通過VPN實現(xiàn)無線網(wǎng)絡(luò)通信安全

自從對網(wǎng)絡(luò)安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式。在這種保護方式中，將無線網(wǎng)絡(luò)當(dāng)作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面。每一個用戶都對應(yīng)一個VPN用戶，使用VPN連接無線網(wǎng)絡(luò)。這種安全方式阻止了外來設(shè)備進入無線網(wǎng)絡(luò)。但這種方式也并不是萬無一失。合法進入網(wǎng)絡(luò)時需要用戶啟動并獲得一個IP地址。一旦每個用戶都有了一個IP地址，用戶就可以開始網(wǎng)絡(luò)通信了。非法進入用戶的過程是差不多的，只是不能通過認(rèn)證進入網(wǎng)絡(luò)中。由于攻擊者也有一個給定的IP地址，所以就沒有什么辦法來阻止它和同一個防火墻內(nèi)的用戶進行通信了。通過這種通信，攻擊者也可以侵入一個合法用戶，并借此進入網(wǎng)絡(luò)中。

（2）通過IEEE802.1x協(xié)議實現(xiàn)無線網(wǎng)絡(luò)安全

IEEE802.1x最初是用來規(guī)范有線網(wǎng)絡(luò)安全接口，但后來發(fā)現(xiàn)對于無線網(wǎng)絡(luò)更為合適。IEEE802.1x協(xié)議屬于MAC層的安全協(xié)議，該協(xié)議只允許被授權(quán)用戶等級上的安全操作。通過IEEE802.1x協(xié)議，當(dāng)一個設(shè)備想要接入某個中心點的時候，則該中心點設(shè)備就要求請求設(shè)備提供一組證書，接入用戶所提供的數(shù)字證書將被中心設(shè)備提交給服務(wù)器進行認(rèn)證。這臺服務(wù)器被稱為遠(yuǎn)程撥號用戶認(rèn)證服務(wù)器（RADIUS），該服務(wù)器通常是被用來實現(xiàn)對撥號用戶進行認(rèn)證的。整個過程被包含在IEEE802.1x的標(biāo)準(zhǔn)擴展認(rèn)證協(xié)議EAP中。EAP是一種認(rèn)證方式集合，可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式，EAP是IEEE802.1x最主要的安全功能。

（3）通過WAP協(xié)議實現(xiàn)無線網(wǎng)絡(luò)安全

從本質(zhì)來講，WEP加密方式本身并沒有問題，問題出在密鑰的傳遞過程中，密鑰本身容易被截獲。為了解決這個問題，WPA作為目前事實上的行業(yè)標(biāo)準(zhǔn)，改變了傳統(tǒng)密鑰的傳遞方式。WPA利用TKIP協(xié)議來傳遞密鑰，在密鑰管理上采用了類似于RSA的公鑰/私鑰的非行分類描述。

1）設(shè)備物理安全風(fēng)險分析。設(shè)備的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全的風(fēng)險主要有：

①雷擊等環(huán)境事故造成設(shè)備的硬件損傷。

②斷電、電壓不穩(wěn)等原因造成設(shè)備非正常重啟，造成斷網(wǎng)。

③硬件設(shè)備老化、器件故障造成系統(tǒng)崩潰或各種網(wǎng)絡(luò)傳輸異常現(xiàn)象。

2）網(wǎng)絡(luò)基本功能安全風(fēng)險分析。

網(wǎng)絡(luò)的基本功能就是網(wǎng)絡(luò)設(shè)備最基本的二層轉(zhuǎn)發(fā)、三層轉(zhuǎn)發(fā)及其相關(guān)的協(xié)議的安全運轉(zhuǎn)。二層轉(zhuǎn)發(fā)相關(guān)協(xié)議一般包括ARP、DHCP、STP、Dot1x等。三層轉(zhuǎn)發(fā)的相關(guān)協(xié)議一般包括路由協(xié)議、組播路由協(xié)議等。

（4）網(wǎng)絡(luò)應(yīng)用功能安全風(fēng)險分析

網(wǎng)絡(luò)搭建好后會在上面運行很多應(yīng)用，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等。

針對這些服務(wù)器有多種網(wǎng)絡(luò)攻擊，比如Dos攻擊。同時，網(wǎng)絡(luò)上充斥這各種病毒，一個PC染毒就會迅速的傳染到整個網(wǎng)絡(luò)中，病毒傳播將大量占用網(wǎng)絡(luò)帶寬，同時對PC造成極大威脅。占用PC資源，竊取個人資料和各種重要密碼，甚至對硬件造成破壞。當(dāng)前網(wǎng)絡(luò)中P2P應(yīng)用越來越多，BT、電驢等等工具被大量使用，這些應(yīng)用雖然不像病毒一樣對網(wǎng)絡(luò)進行惡意侵害，但其大量消耗共享網(wǎng)絡(luò)帶寬，也使很多正常的網(wǎng)絡(luò)應(yīng)用受到影響。

（5）網(wǎng)絡(luò)安全聯(lián)動的需求

網(wǎng)絡(luò)本身是動態(tài)的，所以網(wǎng)絡(luò)的安全程度也是動態(tài)變化的。各種安全事件如果完全讓網(wǎng)管員去處理，那無疑是一個巨大的工作量，而且這樣很可能由于反應(yīng)不及時，使網(wǎng)絡(luò)安全威脅最終造成嚴(yán)重惡果。如果能讓網(wǎng)管員制定一些策略原則，相關(guān)網(wǎng)絡(luò)設(shè)備之間在此原則下進行自動聯(lián)動，快速的處理發(fā)現(xiàn)的安全威脅，這樣將更加保障網(wǎng)絡(luò)的安全運行。

5.結(jié)語

綜上所述，隨著通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，無線局域網(wǎng)也得到了蓬勃發(fā)展和廣泛應(yīng)用。但是在無線局域網(wǎng)快速發(fā)展的同時，其還存在的一定的安全問題。因此必須加強無線局域網(wǎng)安全機制的建立，提升其身份驗證技術(shù)、數(shù)據(jù)加密技術(shù)、信息完整性驗證技術(shù)和密鑰管理技術(shù)。促使無線局域網(wǎng)能安全穩(wěn)定可靠的發(fā)展下去，使數(shù)據(jù)傳輸環(huán)境和諧可靠。總之，加強無線局域網(wǎng)通信安全機制的建設(shè)已經(jīng)迫在眉睫，無線局域網(wǎng)安全機制的建設(shè)也就等于現(xiàn)代社會互聯(lián)網(wǎng)社區(qū)的安全秩序建設(shè)。（作者：楊雪）