浅谈无线局域网安全技术及通信安全对策

【摘 要】本文论述了近年来发展迅速的无线局域网技术，介绍了它的发展历程、结构、技术特点和实际应用。此外还介绍了无线局域网所受的安全威胁和防范措施。

【关键词】无线局域网；AP；VPN；IEEE802.11；WEP

0.前言

在过去的几年里，信息化应用越来越贴近人们的生活。在这个“网络就是计算机”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。人们正在摆脱网线的束缚，走向没有拘束的网络世界。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（Wireless local-area network，WLAN）就是在不采用传统电缆线的同时，提供以太网或者令牌网络的功能。

1.无线局域网的安全威胁分析

无线局域网（WLAN）产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势， 无线局域网解决方案作为传统有线局域网络的补充和扩展，获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐，得到了快速的应用。

由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种：

（1）常规安全威胁。

由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。

（2）非常规安全威胁。

无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络。第四，入侵者和公司员工勾结，通过无线交换数据。

（3）敏感信息易泄露威胁。

由于电磁波是共享的，所以要窃取信号，并通过窃取信号进行解码特别容易。特别是WLAN默认都是不设置加密措施的，也就是任何能接受到信号的人，无论是公司内部还是公司外部都可以进行窃听。根据802.11b协议一般AP的传输范围都在100米到300米左右，而且能穿透墙壁，所以传输的信息很容易被泄漏。虽然802.11规定了WEP加密，但是WEP加密也是不安全的，WEP是IEEE 802.11 WLAN标准的一部分，它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。有线网络典型地是使用物理控制来阻止非授权用户连接到网络查看数据。

（4）容易入侵威胁。

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方利用移动公司两个AP点对网络发起攻击而不需要任何物理方式的侵入。

2.无线局域网的安全防范与对策

无线局域网中主要的安全性考虑包括访问控制和加密。访问控制保证敏感数据只能由通过认证授权的用户访问，加密则保证发送的数据只能被所期望的用户接收和理解。通常可采用的防范对策有六种。

2.1 建立MAC地址表，减少非法用户的接入

如果所在接入小区接入用户不多，可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表，对接入的用户进行验证，以减少非法用户的接入。同时，可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游，而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。

2.2 采用有线等效保密改进方案（WEP2）

IEEE802.11标准规定了一种被称为有线等效保密（WEP）的可选加密方案，其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法，从而防止非授权用户的监听以及非法用户的访问。有线等效保密（WEP）方案主要用于实现三个安全目标：接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性，所以IEEE802.11b提出有线等效保密改进方案（WEP2），它与传统的WEP算法相比较，将WEP加密密钥的长度加长到104位，初始化向量的长度右24位加长到128位，所以建议使用的WLAN设备具有WEP2功能。

2.3 采用802.1x 基于端口的认证协议

802.1x为接入控制搭建了一个新的框架，使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理，可以更容易地与现有的资源融合，802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，更适合公共无线接入解决方案。

2.4 在AP点之间构建VPN

VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义，但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。可以通过购置带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，能够有效地保护数据的完整性、可信性和可确认性。

2.5 对SSID进行控制

通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。

2.6 指定接入、维护管理规范

指定严格、规范、合理的无线局域网接入及管理规范，在WLAN的设计构建和维护过程中，应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。

3.结束语

近年来，无线局域网产品的价格正逐渐下降，相应软件也逐渐成熟。此外，无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来，无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。

【参考文献】

[1]王欣轩.构建CISCO无线局域网（第三版）[M].科学出版社，2003，4：170-182.

[2]李健东.WLAN的标准与技术发展（第二版）[M].中兴通讯，2002，8：52-73.