公共無線局域網安全認證與管理技術研究

李冬梅

（中國移動通信集團廣東有限公司 清遠分公司，北京　100000）

公共無線局域網安全認證與管理技術研究

李冬梅

（中國移動通信集團廣東有限公司 清遠分公司，北京100000）

無線網絡與傳統有線網絡相比，組網方式更靈活，不受環(huán)境限制，能有效節(jié)約線材，降低組網成本。但無線網絡應用中，通信安全性與易破解問題不容忽視。無線網絡沒有物理訪問限制，安全是無線網絡應用的前提。因此，要采取相應安全認證與管理技術，確保無線網絡安全，規(guī)避網絡攻擊和網絡威脅，消除無線網絡中存在的信息安全隱患。文章將針對公共無線局域網安全認證與管理技術展開研究和分析，確保信息安全。

無線網絡；局域網；安全認證；安全技術；管理技術

21世紀是一個網絡時代，隨著移動設備和無線設備的普及，無線局域網應用日益廣泛并得到空前發(fā)展，這也使得公共無線局域網安全問題受到關注。公共無線局域網不同于傳統有線網絡，傳播介質和傳播機制不同，在無線網絡傳播中信號截取便可能導致泄密，網絡安全問題已成為阻礙公共無線局域網應用和發(fā)展的阻礙。相關統計數據顯示，65%的公共無線局域網存在安全問題，面臨的網絡風險大。因此，為確保公共無線局域網安全，避免數據信息的泄漏，影響網絡穩(wěn)定性，應積極采取有效的加密技術與安全認證技術，避免公共無線局域網遭受入侵和破壞。

1　公共無線局域網的特點

公共無線局域網是無線通信技術與計算機網絡系統的融入產物，不僅能提供傳統有線局域網的所有功能，而且比有線網絡結構更具靈活性，網絡設備安裝限制小，信號覆蓋范圍內終端用戶均可接入無線網絡中，并且網絡中的節(jié)點均可在移動中保持通信。此外，無線網絡減少了布線工作量，組網結構調整與擴展容易實現，無須重新布線，組網成本低［1］。另一方面，公共無線局域網故障問題通常是設備故障，故障定位容易。傳統有線網絡若出現物理故障發(fā)生網絡中斷，若是線路故障通常便難以查明，故障檢修耗時長。公共無線局域網的普及與應用，給用戶帶來了極大便利。但由于公共無線局域網數據信息通過無線電波傳輸，信號截取或無線局域網（Wireless Local Area Networking，WLAN）安全漏洞入侵都可能對網絡安全造成威脅。

2　公共無線局域網安全機制

相關調查研究數據顯示，65%的公共無線局域網毫無安全可言。通過前文分析可以知道，公共無線局域網只要信號覆蓋范圍內，便可不受物理網絡資源限制接入無線網絡中，給入侵者可乘之機。當前一些公共無線局域網中便出現了大量盜用資源和信息截取現象，造成計算機信息泄漏，網絡資源被占用，導致網絡設備癱瘓，影響公共無線局域網正常通信。威脅公共無線局域網安全的主要攻擊方式有：網絡竊聽、置信攻擊、拒絕服務、數據篡改與截取等等。公共無線局域網安全認證應從：訪問控制、身份驗證、信息保密3個方面來考慮［2］。如這3方面沒有問題，不論網絡資源，還是網絡設備，或是傳輸中的信息都能確保安全。目前公共無線局域網應用的逐漸安全認證技術是有線等效保密（Wired Equivalent Privacy，WEP）和無線網絡安全接入（Wifi Protected Access，WPA）及WPA2。公共無線局域網單元結構由許多單元組成，每個單位是由一個基本服務組接口（Basic Service Access，BSA）組成，這些單元通過接入點（Access Point，AP）與骨干網絡相連，基于802.11協議實現網絡接入。但現有安全機制，仍存在問題，應加強安全技術改進，進一步提升網絡安全性。

3　公共無線局域網安全認證與管理技術改進策略

現階段主流安全認證技術仍存在受到網絡攻擊的危險，為提供公共無線局域網安全性，規(guī)避網絡安全風險，應加強安全認證與管理技術的改進，彌補技術缺陷。文章通過幾點來分析公共無線局域網安全認證與管理技術改進策略。

3.1AP身份認證

AP身份認證能杜絕未授權用戶進入網絡，消除安全隱患。AP身份認證在具體應用中，采用驗收測試框架接入點（Framework of Integrate Test Access Point，FITAP）組網技術，網絡穩(wěn)定性和可靠性強，通過無線控制器進行網絡安全部署，并生成相應AP序列號，對合法FITAP進行授權，訪問者進行訪問時，系統會驗證AP序列號信息，若授權信息合法則可進入網絡，若FITAP非法則無法進入網絡。

3.2多種用戶接入認證

為提高身份認證效率和水平，確保網絡安全，應積極采用多種用戶接入認證手段，例如：802.1x接入認證、預共享密鑰（Pre-Shared Key，PSK）認證、通過以太網傳輸點對點協議（Point-to-Point Protocol Over Ethernet，PPPOE）認證等等。這種多元化的多種認證模式，網絡系統靈活性更強，網絡兼容性更好，能夠為多種終端設備接入網絡提供便利條件。

3.3修改網絡名稱（Service Set Identifier，SSID）

在組網過程中為提高網絡穩(wěn)定性，要對AP默認SSID名稱進行修改，避免默認SSID代碼泄漏WPS信息，防止非法端用戶利用初始SSID訪問網絡，占用網絡資源。另外，為進一步提高安全性，降低網絡入侵概率，可選擇禁用SSID廣播。在禁用SSID廣播后，網絡信號便處于隱身狀態(tài)，信號信息不易被搜索到，便能有效防止非法入侵，避免不法分子對無線信號的捕捉。而局域網絡內用戶則可通過手動輸入SSID的方式訪問網絡。

3.4鎖定MAC地址

通過對媒體接入控制（Media Access Control，MAC）地址的鎖定，能夠過濾一部分非法MAC地址，防止未授權用戶接入網絡。公共無線局域網能夠自動拒絕被過濾MAC地址的接入。因此，在組網中應對無線網卡的MAC地址訪問控制列表進行設置更新，禁止列表外的MAC地址，使列表外終端用戶不能獲取IP，無法對無線網絡進行正常訪問。這種安全認證方式，安全防護效果好。但有新增終端用戶，則需要進行手動操作，所以對于用戶量大或流動量大的無線局域網不適用。3.5 禁用DHCP服務

開啟DHCP服務后，公共無線局域網便會處于動態(tài)分配IP地址狀態(tài)，所以用戶獲取網絡信息簡單，不法用戶能夠很容易獲取合法IP，占用大量網絡資源，破壞網絡安全，導致網絡癱瘓［3］。而動態(tài)主機配置協議（Dynamic Host Configuration Protocol，DHCP）服務被禁止后，不法用戶若想入侵網絡，獲得合法認證，必須要先破譯IP地質、子網掩碼及TCP/IP參數，所以入侵難度便被大大提升。

3.6改變加密算法

傳統的WEP算法非常容易被字典解密攻擊破譯，導致網絡被入侵，而且WEP算法加密程度短，不包含密鑰管理協定，不強制使用，利用普通破解工具3分鐘之內即可破解。因此，在組網中應選擇新型加密算法，例如：WAP2和WAP。WAP技術將XHTML和CSS（層疊樣式表）作為WML2.0的一部分，安全性大大提升，而且數據傳輸效率更高。

4　結語

網絡安全威脅網絡的應用，公共無線局域網由于沒有物理訪問限制，信號容易被獲取，所以易被解密，導致網絡資源被占用，發(fā)生信息泄密現象。因此，在公共無線局域網組網中，必須采取有效的安全認證技術，提高網絡安全性，避免網絡入侵。

［1］賴積保.無線局域網安全與認證的研究和公用WLAN應用［D］.哈爾濱：哈爾濱工程大學，2013.

［2］程文聰.無線局域網安全中關鍵技術的研究—802.1X認證協議的研究與實現［D］.長沙：國防科學技術大學，2014.

［3］姚東.基于IEEE80211系列標準的無線局域網安全性研究［D］.鄭州：解放軍信息工程大學，2013.

［4］王雪.基于EAP/TLS的無線局域網安全認證系統的研究與實現［D］.北京：北京郵電大學，2015.

Research on security authentication and management technology of public wireless local area network

Li Dongmei
（Qingyuan Branch of China Mobile Communications Group Guangdong Co.， Ltd.， Beijing 100000， China）

Compared with the traditional wired network， the wireless network is more flexible and not limited by the environment， which can effectively save the wire and reduce the cost of the network. But in the application of wireless network， communication security and the problem easy to break can not be ignored. Wireless network is not limited to physical access， security is the premise of the application of wireless network. Therefore，the corresponding security authentication and management technology should be taken to ensure the security of wireless network， avoid the network attacks and network threats， and eliminate the information security hidden danger in the wireless network. In this paper， the security authentication and management technology of public wireless local area will be studied and analyzed to ensure the security of information.

wireless network； local area network； security authentication； security technology； management technology

李冬梅（1981— ），女，廣東清遠，碩士，工程師；研究方向：通信網絡運維。