无线局域网安全机制以及防范研究分析

祁杰

摘 要 近年来随着无线局域网的不断发展，政府、公司、医院、学校、餐厅、家庭等公共场所都被无线网络覆盖，无线局域网以它的方便，快捷赢得了大量用户，但它在给用户带来方便的同时也带来了新的安全问题，由于无线网采用的是开放式电磁波方式传递数据，如何识别有效的用户和保护用户隐私问题变得越来越突出，使得它比有线网络更易遭到黑客攻击、病毒感染等，用户信息安全是否能得到有效的保障，关系到无线网络的进一步发展应用，于是针对这个日益严峻，备受关注的无线局域网安全问题展开探讨，并对无线局域网的标准及面临的问题做了简要分析，然后对无线局域网的安全技术及缺陷进行了讨论，给出了解决无线局域网安全问题的防范措施和多元化的无线局域网安全解决方案。

关键词 无线局域网 安全性 访问控制 服务攻击

中图分类号：TP309 文献标识码：A

无线局域网（WLAN）可以利用电磁波技术与射频技术传输信息，实现空中通信连接，具有存取架构简单的特点，图形、语音及数据可以通过WLAN在任何时间与地点进行传播。由于WLAN的架设无需双绞铜线，能有效延伸局域网络的覆盖范围，因此为无固定场所使用网络者、有线网络架设受到环境限制的网络使用者提供了便利，同时也可作为有线网络备用系统，所以无线局域网具有易安装、易扩展、易管理、易维护、高移动性等特点，在数据通信业务中得到广泛应用，但是无线局域网在给人们带来方便快捷的同时，也给人们带来了新的安全问题和有线网络一样，病毒、黑客、蠕虫、木马、间谍软件，随时都在威胁着无线网络的安全并且无线网络比有线网络更容易遭受侵害。

1常见的无线局域网安全问题

在改进无线局域网技术之前，先了解常见的无线局域网的安全问题，用户的身份认证、数据的加密传输和操作用户权限设置。与传统网络相比，无线局域网不是采用传统的介质传输信号而是开放式的电磁波传输数据，因而无法通过传输的介质来控制合法用户访问，采用安全高效的身份认证是保证无线局域网的第一次防护。无线局域网的数据通过电磁波传递很容易被非法用户截获，在数据传输的不同层次采用数据加密技术很好地保护了数据安全。不同用户分配不同的操作权限，既增强网络安全，又可以对不同用户分配不同带宽 ，提高网络使用效率。

2无线局域网的结构及其通信原理

无线局域网一般由二层组成：第一层是无线网卡，通过局域网协议与access points（APS）通信第二层是APS，它们是高速连接Internet的接入点，通常由无线路由器或无线交换机组成 这些路由器一般移动性不强，它们通过网线与有线局域网互相连通，也可以与其它无线路由器或无线交换机互连互通，从而达到扩大局域网范围 增加组网灵活性的目的 无线通信主要是通过无线电信号的发射和接收进行的无线电波的传播过程是全向的（经过特殊处理也可定向），在频率相同的情况下，只要有信号覆盖，就可以通过与信号频率相同的接收设备接收到信号 当一个接收器（移动终端）处于2个或2个以上无线发射装置（基站）的接收范围时，接收器（移动终端）会与功率强的设备（基站）通信，这是由无线通信机制决定的，这样设计能减少信号衰减，使通信质量更高声波与电磁波同样随着距离的增加而衰弱 例如：一间教室里有很多学生在讲话，老师虽然能听到同学在讲，但听不清大家各自在讲什么，只能听见声音大过其他人的同学讲的话，如果大家声音大小一样，那老师能听清的就是离他最近的学生说的話，如果隔壁的班级在上音乐课，声音较大的话，这个班级的学生也会听到同学的演唱而听不清老师讲课，上面的例子就是受隔壁影响的典型案例。

3无线局域网安全认证协议

IEEE802.11协议簇是国际电工电子工程学会专门为无线局域网制定的标准，这个协议制定了访问控制层和物理层数据格式，802.11协议采用2个频带：2.4GHz和5GHz。虽然1999年发布的IEEE802.11协议已经充分考虑到了无线局域网的安全问题，并且定义了相应的安全机制（包括Shared-Key认证机制和OSA认证机制）以及静态WEP加密机制（基于RC4对称流加密算法，而且需要预先配置相同的静态Key）。但是经过实践证明，无论加密机制还是加密算法本身，WEP加密机制都容易受到安全威胁。随着无线局域网的日益扩大，IEEE802.11i比较彻底地提高了无线局域网的安全系数（特别采用了更加高级的加密算法AES，通过密钥协商实现动态）。

4无线局域网的主要安全技术分析

4.1 WLAN的访问控制技术

（1）服务集标识（SSID，Service Set Identifier）匹配在无线局域网中，对多个 AP 设置不同的 SSID标识字符串，每当无线终端设备要连上 AP 时，AP 会检查其 SSID 是否与自己的 ID一致，只有当 AP 和无线终端的 SSID相匹配时，AP 才接受无线终端的访问并提供网络服务，如果不符就拒绝给予服务。利用 SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。但是 SSID只是一个简单的字符串，所有使用该无线网络的人都知道该 SSID，很容易泄漏给非法用户；而且如果配置 AP 向外广播其 SSID，那么安全程度还将下降，因为任何人都可以通过工具或 Windows XP 自带的无线网卡扫描功能就可以得到当前区域内广播的 SSID。所以，使用 SSID只能提供较低级别的安全防护。

（2）物理地址（MAC，Media Access Control）过滤由于每个无线工作站的网卡都有唯一的类似于以太网的48 位的物理地址，在 AP 内部可以建立一张“ MAC地址控制表” ，只有在表中列出的 MAC才是合法可以连接的无线网卡，否则将会被拒绝连接。 MAC地址控制可以有效地防止未经过授权的用户侵入无线网络，实现基于物理地址的过滤。但物理地址过滤的方法要求 AP 中的 MAC地址列表必须及时更新，因此此方法维护不便、 可扩展性差；而且 MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。

（3）端口访问控制技术（IEEE 802.1x）和可扩展认证协议（EAP）IEEE 802.1x 是一种基于端口的网络接入控制技术（PortBased Network Access Control），提供了一个可靠的用户认证和密钥分发的框架， 可以在网络设备的物理接入级对接入设备进行认证和控制。当无线工作站 STA与无线 AP 关联后，是否可以使用 AP 的受控端口要取决于 802.1x的认证结果， 如果通过非受控端口发送的认证请求通过了验证， 则 AP 为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能接入，从而防止了非法的移动终端的接入。

5无线局域网安全问题防范措施

无线局域网虽然带来了新的安全问题，但只要采取适当的安全防范措施，不仅可以保证网络的安全，还能尽情享受它带来的方便 对于目前使用的无线网络来说，可以通过以下几方面的设置来改进无线局域网的安全

（1）关闭非授权接入。保证无线接入点安全的关键是禁止非授权用户访问网络。也就是说，安全的接入点对非授权用户是关闭的，这个措施可以与访问控制列表相结合。

（2）无线接入点的位置设置。使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量，不要把天线放在靠近窗户的地方，因为玻璃不能阻挡无线信号，天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少，以免超出物理管辖范围，给窃听者提供更广阔的自由窃听空间。

（3）使用无线加密协议。无线加密协议（WEP）是无线网络上信息加密的一种标准方法，激活WEP改变缺省WEP密钥，经常改变WEP密钥或使用动态密钥来避免密钥重用。

（4）改变服务集标识符（SSID），并禁止其广播SSID 9-10是无线接入的身份标识符，用户用此来建立与接入點之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值，更改缺省的SSID使之不易被猜测到，关闭定期广播功能，这样虽然客户机必须发送探测帧询问SSID，但窃听者要获得探测帧，就必须借助一些无线数据包捕获及分析工具。

（5）禁用动态主机配置协议（DHCP）。通过这个策略，你将迫使黑客去破解你的IP地址 子网掩码和其它必需的TCP/IP参数 即使黑客可以使用你的无线接入点，但还必须知道你的IP地址，才能访问你的网络。

（6）禁用或修改简单网络管理协议（SNMP）的设置。如果你的无线接入点支持SNMP 11-12，那么你需要禁用SNMP或者修改默认的公共和私有的标识符否则，黑客将可以利用SNMP获取关于你网络的重要信息。

（7）使用访问列表，在支持该功能的无线接入点设置访问列表。利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问，经常查看AP日志，及时发现攻击者 对企业用户来说，需要增加防火墙或网络隔离等措施或者用SSH SSL IPSec等加密技术来加强数据的安全性。

6结语

由于传输的特殊性，WLAN始终面临严峻的安全考验，业界为此制订了众多的无线局域网安全技术和标准，但任何一种技术和标准都有其局限性，用户需要运用各种安全技术，采取多层次的安全措施，才能构建一个相对安全的无线网络环境。