譚　斌

摘要：無線局域網(wǎng)(WLAN)與蜂窩網(wǎng)相比具有更高的傳輸速率和更好的靈活性，然而，無線傳輸介質(zhì)具有在一定范圍內(nèi)提供開放接入特性，WLAN的安全性已經(jīng)成為一個非常嚴重的問題。論文對無線局域網(wǎng)安全體系結(jié)構(gòu)的方法與技術(shù)進行了研究，希望能夠?qū)ο嚓P(guān)工作的開展有一定的參考作用。

關(guān)鍵詞：無線 局域網(wǎng) 安全 體系

一、 無線局域網(wǎng)安全研究概述

國內(nèi)在無線網(wǎng)絡(luò)與網(wǎng)絡(luò)安全相關(guān)的研究主要集中在單跳無線IP安全接入、無線Adhoc、無線局域網(wǎng)、無線安全路由等。具體研究成果體現(xiàn)在以下三個方面：（l）對無線互聯(lián)網(wǎng)與移動互聯(lián)網(wǎng)的關(guān)注度持續(xù)升溫；（2）在移動IPv6、無線安全路由協(xié)議、QOS、無線接入?yún)f(xié)議等關(guān)鍵技術(shù)方面出現(xiàn)了一些層次較高的研究成果；（3）中國移動互聯(lián)網(wǎng)絡(luò)相關(guān)標準工作正在穩(wěn)步推進，如成立了中國寬帶無線IP標準工作組，中國CCSA技術(shù)委員會成立了無線局域網(wǎng)應(yīng)用協(xié)議特別組（TC2）和網(wǎng)絡(luò)與信息安全組（TC2）。TC2將重點進行無線局域網(wǎng)應(yīng)用協(xié)議方面的標準制訂工作，TC2成立了應(yīng)用工作組、協(xié)議工作組和終端工作組。目前正在進行的工作是無線局域網(wǎng)和無線移動終端與應(yīng)用方面的標準制訂；TC8工作組目前在進行有線網(wǎng)絡(luò)信息安全、無線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施四個方面的標準化工作。

二、 無線局域網(wǎng)安全接入體系結(jié)構(gòu)概述

IEEE802.11無線局域網(wǎng)的接入速率己經(jīng)開始接近有線網(wǎng)絡(luò)的接入速率，如何讓場飛AN的安全性也接近或達到有線網(wǎng)絡(luò)的安全等級已經(jīng)成為人們關(guān)注的重要問題。通常IEEE802.ll可以處于基礎(chǔ)模式和Ad、Hoc兩種工作模式，在基礎(chǔ)工作模式下，無線移動終端（wireless STAtions，STAs）直接與無線網(wǎng)絡(luò)接入點（AccessPoint，AP）進行信息交換，從而實現(xiàn)與有線網(wǎng)絡(luò)進行通信的目標，這是目前無線網(wǎng)絡(luò)的主要工作方式。其中STA與妙進行連接時要經(jīng)歷探測、認證和關(guān)聯(lián)三個階段。在探測階段，STA可以被動地接收AP的廣播消息，并自動地加入到AP服務(wù)的子網(wǎng)絡(luò)之中，也可以主動請求加入AP子網(wǎng)絡(luò)：第二階段是認證階段，即STA按某種認證機制接受AP的認證過程，當認證成功后，STA發(fā)送關(guān)聯(lián)請求給AP，AP接受關(guān)聯(lián)后將該STA記錄到AP的無線設(shè)備關(guān)聯(lián)表中。一般情況下，AP可以同時與多個STA建立關(guān)聯(lián)關(guān)系，IEEE802.llb的STA在同一時刻只能與一個AP建立關(guān)聯(lián)關(guān)系。

三、 基于管理的無線局域網(wǎng)安全體系結(jié)構(gòu)

下一代互聯(lián)網(wǎng)的發(fā)展趨勢是移動互聯(lián)網(wǎng)，很多城市正在考慮部署全城范圍的寬帶無線接入工程，實現(xiàn)“無線城市”的規(guī)劃，而采用Wi-Fi和WIMAX網(wǎng)絡(luò)覆蓋整個城市正在成為最引人注目并且引發(fā)強烈反響的基礎(chǔ)設(shè)施建設(shè)項目。然而，“無線城市”的安全控制問題成為討論的首要問題，為了解決日益復(fù)雜的網(wǎng)絡(luò)安全問題，產(chǎn)業(yè)界倡導(dǎo)了一系列安全理念，如思科自防御網(wǎng)絡(luò)閱、微軟應(yīng)用安全框架，賽門鐵克主動安全基礎(chǔ)架構(gòu)等；這些安全方案集中體現(xiàn)在綜合、立體、多層次和主動防御的思想，強調(diào)在不同層次上加強安全管理的重要性，特別是各種網(wǎng)絡(luò)設(shè)備和計算資源安全屬性的管理。這些安全理念表明安全產(chǎn)業(yè)界已從產(chǎn)品競爭演變?yōu)榘踩w系結(jié)構(gòu)的競爭。無線局域網(wǎng)的異構(gòu)性和安全性是無線局域網(wǎng)面臨的兩個難題，本節(jié)從無線局域網(wǎng)的安全需求出發(fā)，提出了一個無線局域網(wǎng)抽象層面的安全體系結(jié)構(gòu)，通過安全引擎和移動安全中間件技術(shù)，解決移動終端的異構(gòu)性與安全性的難題，給出了無線局域網(wǎng)環(huán)境下終端安全的自修復(fù)框架。該安全體系結(jié)構(gòu)適用于移動電子商務(wù)、移動電子政務(wù)、移動銀行和移動鰲務(wù)等系統(tǒng)的安全保障服務(wù)?？梢詷?gòu)建一個具有移動基礎(chǔ)設(shè)施特色、以安全管理為中心、抗無線局域網(wǎng)攻擊的安全技術(shù)體系。該體系結(jié)合風險管理技術(shù)，集成多種不同的安全技術(shù)和安全層次，實現(xiàn)無線局域網(wǎng)環(huán)境下的有效防護，實現(xiàn)安全管理的自動化與智能化。

四、 安全體系結(jié)構(gòu)的自適應(yīng)性安全策略

隨著Internet留Intranet技術(shù)的迅速發(fā)展和廣泛應(yīng)用，信息系統(tǒng)的安全特別是網(wǎng)絡(luò)系統(tǒng)的安全成為人們?nèi)找骊P(guān)注的問題。面對信息安全，特別是網(wǎng)絡(luò)安全面臨的大量問題，許多學者在安全模型到具體的安全技術(shù)等方面都做了大量工作。信息安全模型是對系統(tǒng)工作的高層次說明，它用精確語言來描述信息系統(tǒng)的安全策略，它為安全策略與其實現(xiàn)機制的聯(lián)系提供了一種框架。但是這些模型和安全技術(shù)往往只能解決信息安全的某一方面或某幾方面的問題，同時，網(wǎng)絡(luò)入侵的方式也在不斷變化，并呈現(xiàn)出以下新特點：①沒有地域和時間的限制，跨越國界的攻擊就如同在現(xiàn)場一樣方便；②通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之間，隱蔽性強；③入侵手段更加隱蔽和復(fù)雜。網(wǎng)絡(luò)安全是一種動態(tài)的安全，安全技術(shù)與入侵手段這對矛盾是辨證統(tǒng)一的，螺旋式前進是信息安全發(fā)展的永恒規(guī)律。

在目前的無線網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，為了保護網(wǎng)絡(luò)資源不被外部節(jié)點非法入侵，在網(wǎng)絡(luò)邊緣保護內(nèi)部資源免受攻擊的網(wǎng)絡(luò)防火墻技術(shù)難以勝任。傳統(tǒng)的防火墻使用集中式靜態(tài)配置訪問控制策略，當移動節(jié)點漫游到外地網(wǎng)絡(luò)后，所有移動節(jié)點都需通過防火墻和代理支持其透明移動，這樣會造成以下幾種安全缺陷：①竊取，入侵者侵入到移動節(jié)點的通信連接中截獲數(shù)據(jù)包，竊聽通信信息，這種攻擊在硒飛AN環(huán)境中特別有效：②冒充，入侵者通過修改自己的地址信息，冒充移動節(jié)點獲取本地網(wǎng)絡(luò)防火墻和代理的信任，實現(xiàn)非法資源請求；③拒絕服務(wù)，入侵者通過各種網(wǎng)絡(luò)安全漏洞，試圖讓本地網(wǎng)絡(luò)防火墻和代理不斷地對入侵者進行安全認證，從而耗盡計算資源，無法為合法用戶提供正常服務(wù)。

在無線網(wǎng)絡(luò)環(huán)境下，為了更好的提供無線網(wǎng)絡(luò)接入服務(wù)，通常是采用每個接入點配置一個相應(yīng)的安全策略，這種分布式的安全策略管理將會導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)在安全策略上的不一致性，且防火墻的安全策略與入侵檢測系統(tǒng)之間安全策略缺乏相應(yīng)的聯(lián)動機制，導(dǎo)致了網(wǎng)絡(luò)安全管理與維護的復(fù)雜度迅速上升。目前無線局域網(wǎng)管理面臨的挑戰(zhàn)有：①無線局域網(wǎng)是一個開放的傳輸介質(zhì)，無法阻止通信流t的主動和被動竊聽；②己經(jīng)安裝的無線網(wǎng)絡(luò)設(shè)備存在安全威脅，其安全機制WPA存在安全漏洞；③新安全協(xié)議TKIP和IEEE802.11i的安全效果有待時間的檢驗：無線局域網(wǎng)設(shè)備的遷移導(dǎo)致內(nèi)部網(wǎng)絡(luò)面臨非授權(quán)接入的威脅；④隨著無線網(wǎng)絡(luò)規(guī)范的擴大，基于手工靜態(tài)配置安全策略的傳統(tǒng)方式面臨著策略的一致性和時效性等安全管理難題，需要配置一個統(tǒng)一的、兼容有線和無線的安全策略強制實施機制?！?/p>

參考文獻：

1、馬建峰，朱建明等，《無線局域網(wǎng)安全一方法與技術(shù)》，機械工業(yè)出版社，2005

2、徐勝波，馬文平，王新梅，《無線通信網(wǎng)中的安全技術(shù)》，人民郵電出版社，2003

作者簡介：譚斌（1987-），男，重慶開縣人，西北民族大學計算機科學與信息工程學院（二級單位），學生，計算機科學與技術(shù)