淺析無線局域網(wǎng)通信安全機(jī)制

郭仁東

摘要：無線局域網(wǎng)通過無線多址信道進(jìn)行計(jì)算機(jī)與外界、計(jì)算機(jī)與計(jì)算機(jī)的通信，也在自身發(fā)展的同時(shí)，也促使了移動(dòng)化通信、個(gè)性化通信以及多媒體化通信的發(fā)展。無線局域網(wǎng)也得到了廣泛的應(yīng)用，但是無線局域網(wǎng)還存在一定的安全問題，必須建立安全機(jī)制對(duì)其進(jìn)行規(guī)制。因此，本文通過對(duì)無線局域網(wǎng)及其安全隱患的介紹，從而探討了無線局域網(wǎng)通信安全機(jī)制的建設(shè)。

關(guān)鍵詞：無線局域網(wǎng)；安全性；數(shù)據(jù)加密；認(rèn)證機(jī)制

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2012）30-7227-02

隨著計(jì)算機(jī)通信技術(shù)的不斷發(fā)展，無線局域網(wǎng)已在多個(gè)領(lǐng)域得到普遍應(yīng)用。它作為網(wǎng)絡(luò)接入的一種手段，以遷移簡(jiǎn)易、組網(wǎng)靈活、頻寬免費(fèi)的優(yōu)勢(shì)，成為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)跟無線通信技術(shù)彼此結(jié)合的新興技術(shù)。無線局域網(wǎng)通過無線多址信道進(jìn)行計(jì)算機(jī)與外界、計(jì)算機(jī)與計(jì)算機(jī)的通信，也促使了移動(dòng)化通信、個(gè)性化通信以及多媒體化通信的發(fā)展。但同時(shí)，無線局域網(wǎng)因?yàn)槠錈o線信道的開放性、數(shù)據(jù)傳輸介質(zhì)空氣化而存在一定的不安全因素，使得其在旅游、健康、金融、教育、企業(yè)等應(yīng)用中不被信賴。因此，加強(qiáng)無線局域網(wǎng)通信安全機(jī)制的建設(shè)迫在眉睫，其對(duì)現(xiàn)代社會(huì)中各個(gè)領(lǐng)域都有著很大的幫助。

1 無線局域網(wǎng)及其安全隱患

1.1 無線局域網(wǎng)概述

無線局域網(wǎng)主要是由計(jì)算機(jī)及其相關(guān)設(shè)備配置無線接口跟無線網(wǎng)卡所組成，它是一種單元式結(jié)構(gòu)，即網(wǎng)絡(luò)中的每個(gè)單元為一個(gè)基本服務(wù)集—— Basic Service Set，其中兩個(gè)或兩個(gè)以上的單元（基本服務(wù)集）通過分布式系統(tǒng)進(jìn)行互聯(lián)便形成一個(gè)擴(kuò)展服務(wù)集——Extended Service Set。這些擴(kuò)展服務(wù)集進(jìn)行無線延伸便形成了無線局域網(wǎng)，其實(shí)無線局域網(wǎng)也是一種拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)。這種拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)在無線局域網(wǎng)中又存在兩種，即結(jié)構(gòu)化網(wǎng)絡(luò)和對(duì)等網(wǎng)絡(luò)。結(jié)構(gòu)化網(wǎng)絡(luò)主要是由分布式系統(tǒng)、無線工作站、無線接入點(diǎn)所構(gòu)成的能覆蓋基本服務(wù)區(qū)和擴(kuò)展服務(wù)區(qū)的網(wǎng)絡(luò)；而對(duì)等網(wǎng)絡(luò)主要覆蓋范圍在基本服務(wù)區(qū)，一般應(yīng)用于一臺(tái)及以上無線工作站和其他無線工作站或計(jì)算機(jī)進(jìn)行直接的通訊，在對(duì)等網(wǎng)絡(luò)中，任何一個(gè)節(jié)點(diǎn)在同一時(shí)間都必須能“看”到其它的網(wǎng)絡(luò)節(jié)點(diǎn)，不然的電話將會(huì)被看做是網(wǎng)絡(luò)中斷。所以，對(duì)等網(wǎng)絡(luò)往往只在少數(shù)用戶的網(wǎng)絡(luò)環(huán)境中得以應(yīng)用。

1.2 無線局域網(wǎng)存在的安全隱患

盡管無線局域網(wǎng)是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展而產(chǎn)生的新興技術(shù)，但是其在應(yīng)用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個(gè)方面：第一，無線局域網(wǎng)傳輸介質(zhì)比較脆弱。在過去的有線局域網(wǎng)中，一般采取的是無源集線器和銅線作為傳輸媒介，它們?cè)诎踩贤嫱媸盏揭欢ǖ陌踩O(shè)備或者安全人員的保護(hù)，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強(qiáng)的安全性，而無線局域網(wǎng)所使用的傳輸媒介是空氣，受大氣等物理?xiàng)l件的干擾較大，同時(shí)也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。第二，有線等效保密協(xié)議（WEP）并不能有效保護(hù)無線局域網(wǎng)加密傳輸?shù)倪M(jìn)行，其并不存在完整的全面的訪問控制盒認(rèn)證校驗(yàn)功能?？墒?，無線局域網(wǎng)都是在WEP的基礎(chǔ)上建立起來的，如果WEP受到了嚴(yán)重影響甚至發(fā)生了破壞，那么無線局域網(wǎng)的安全性將無法得到保障。第三，IPSec在安全上比較脆弱。IPSec是IETF IPSec工作組所設(shè)計(jì)的，在 IP Security的基礎(chǔ)上發(fā)展起來的，其主要目標(biāo)就是利用一定安全機(jī)制，為網(wǎng)絡(luò)提供身份認(rèn)證、訪問控制、數(shù)據(jù)完整性和機(jī)密性等安全服務(wù)，以實(shí)現(xiàn) IP數(shù)據(jù)傳播的可靠性和安全性。但是，IPSec并不是專門為 無線局域網(wǎng)所設(shè)計(jì)的，其將至對(duì)網(wǎng)絡(luò)層及以上層次的協(xié)議提供保護(hù)，而對(duì)無線局域網(wǎng)中數(shù)據(jù)鏈路層卻并不提供?？傊?，無線局域網(wǎng)擁有一定的有點(diǎn)的同時(shí)還存在著一定的安全隱患，因此，必須加強(qiáng)無線局域網(wǎng)通信安全機(jī)制的建立，促使無線局域網(wǎng)安全可靠的運(yùn)行。

2 無線局域網(wǎng)的安全機(jī)制

無線局域網(wǎng)安全機(jī)制主要包括三個(gè)方面的內(nèi)容，即：數(shù)據(jù)加密機(jī)制、數(shù)據(jù)認(rèn)證機(jī)制和訪問控制機(jī)制?，F(xiàn)在對(duì)這三個(gè)部分進(jìn)行具體的分析。

2.1 數(shù)據(jù)加密技術(shù)

在無線局域網(wǎng)中，數(shù)據(jù)加密主要是對(duì)數(shù)據(jù)的完整新和機(jī)密性進(jìn)行保護(hù)，以防數(shù)據(jù)在無線局域網(wǎng)中傳播時(shí)被非法的篡改或者竊聽。數(shù)據(jù)加密技術(shù)主要有以下幾種方法：第一，WEP協(xié)議。在無線局域網(wǎng)中，WEP協(xié)議主要是用在鏈路層中通過對(duì)稱加密技術(shù)（RC4）來防止非法用戶對(duì)無線局域網(wǎng)的訪問和監(jiān)聽。其中此加密技術(shù)的密鑰長(zhǎng)達(dá)四十多位，和 AP的鑰匙保持一致，使得某一區(qū)域內(nèi)的所有用戶都能共享此密鑰。第二，IPSec協(xié)議。前面已經(jīng)講過，IPSec在傳統(tǒng)的有線網(wǎng)絡(luò)中也發(fā)揮著一定的作用，其實(shí)它在無線局域網(wǎng)中同樣能提供一種比較容易擴(kuò)展和通用的安全機(jī)制。通過IPSec能將網(wǎng)絡(luò)中使用的實(shí)際密碼算法跟協(xié)議的功能相分離，對(duì)用戶更新密碼有著很大的幫助。同時(shí)，IPSec也支持許多種認(rèn)真算法和加密方法，比如SHA 、MDS 等認(rèn)證算法和3DES、DES等加密方法。第三，虛擬專用網(wǎng)技術(shù)，即VPN技術(shù)。它主要是通過隧道傳輸技術(shù)和數(shù)據(jù)加密技術(shù)之間的架構(gòu)形成一個(gè)跟物理網(wǎng)絡(luò)分離的獨(dú)立的虛擬傳輸路徑，在隧道中進(jìn)行數(shù)據(jù)的傳輸，也只能限制在VPN用戶范圍之內(nèi)，以保證信息數(shù)據(jù)的安全交換和傳輸。

2.2 數(shù)據(jù)認(rèn)證技術(shù)

認(rèn)證技術(shù)主要是對(duì)用戶身份的一種認(rèn)證或者是驗(yàn)證，以保證訪問主體是授權(quán)的、合法的。認(rèn)證是無線局域網(wǎng)最重要的安全機(jī)制之一，其包括了以下幾種安全保障方式：第一，開放式認(rèn)證。在無線局域網(wǎng)中，開放式認(rèn)證主要是指允許任何無線站在遵守MAC地址過濾規(guī)則的前提下對(duì)無線局域網(wǎng)進(jìn)行隨意訪問。并且在認(rèn)證前后所有的通信都必須通過明文的方式進(jìn)行傳輸。這中數(shù)據(jù)認(rèn)證方式?jīng)]用通過任何的加密技術(shù)進(jìn)行保護(hù)。第二，密鑰共享式認(rèn)證。秘要共享式認(rèn)證主要是在WEP算法的基礎(chǔ)上，設(shè)置無線站和AP都知道的密碼。這種認(rèn)證方式簡(jiǎn)單，其安全性并不強(qiáng)，但也在一定程度上提升了無線局域網(wǎng)的可靠性和吸引力。

2.3 訪問控制技術(shù)

無線局域網(wǎng)中進(jìn)行訪問控制機(jī)制的建設(shè)對(duì)于其安全性有著重要的作用。訪問控制技術(shù)主要是對(duì)無線局域網(wǎng)進(jìn)行訪問的用戶進(jìn)行身份認(rèn)證和鑒別，從而防止那些通過欺騙或者假冒手段侵入無線局域網(wǎng)的人?，F(xiàn)在，無線局域網(wǎng)的訪問控制技術(shù)主要有以下兩種：第一，基于服務(wù)組標(biāo)識(shí)符的訪問認(rèn)證?；诜?wù)組標(biāo)識(shí)符的訪問認(rèn)證在本質(zhì)上其實(shí)是對(duì)一個(gè)無線網(wǎng)單元設(shè)置了訪問策略，使得用戶在任何時(shí)間、任何節(jié)點(diǎn)、任何方式進(jìn)行訪問時(shí)，都必須獲得服務(wù)組標(biāo)識(shí)符訪問認(rèn)證的許可，一旦別發(fā)現(xiàn)是非法的或者非授權(quán)的，其將被終止，或者被舉報(bào)。第二，在MAC地址的基礎(chǔ)上進(jìn)行列表 （ACL）的訪問控制。系統(tǒng)管理員可以在接入設(shè)備上設(shè)置一個(gè)基于 MAC地址的ACL，通過 ACL對(duì)請(qǐng)求訪問固定網(wǎng)絡(luò)的終端進(jìn)行認(rèn)證和控制，只有 MAC地址包含在 ACL中的終端才允許訪問固定網(wǎng)絡(luò)。

3 結(jié)束語

綜上所述，隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，無線局域網(wǎng)也得到了蓬勃發(fā)展和廣泛應(yīng)用。但是在無線局域網(wǎng)快速發(fā)展的同時(shí)，其還存在的一定的安全問題。因此必須加強(qiáng)無線局域網(wǎng)安全機(jī)制的建立，提升其數(shù)據(jù)加密技術(shù)、數(shù)據(jù)認(rèn)證技術(shù)和訪問控制技術(shù)。促使無線局域網(wǎng)能安全穩(wěn)定可靠的發(fā)展下去，使數(shù)據(jù)傳輸環(huán)境和諧可靠。總之，加強(qiáng)無線局域網(wǎng)通信安全機(jī)制的建設(shè)已經(jīng)迫在眉睫，無線局域網(wǎng)安全機(jī)制的建設(shè)也就等于現(xiàn)代社會(huì)互聯(lián)網(wǎng)社區(qū)的安全秩序建設(shè)。

參考文獻(xiàn)：

[1] 吳越，曹秀英，胡愛群.無線局域網(wǎng)安全技術(shù)研究[J].電信科學(xué)，2012（6）.

[2] 黃煒.探討無線局域網(wǎng)安全性[J].計(jì)算機(jī)時(shí)代，2011（11）.