無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全

張博然（大慶油田信息技術(shù)公司北京分公司，北京 100043）

無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全

張博然
（大慶油田信息技術(shù)公司北京分公司，北京 100043）

確保無(wú)線局域網(wǎng)的網(wǎng)絡(luò)安全是一項(xiàng)重要的研究課題。面對(duì)無(wú)線局域網(wǎng)現(xiàn)存的各種安全隱患問(wèn)題，我們必須認(rèn)真對(duì)待，提出切實(shí)可行的措施，加強(qiáng)技術(shù)保障，從而保證無(wú)線局域網(wǎng)的安全穩(wěn)定運(yùn)行。

無(wú)線；局域網(wǎng)；網(wǎng)絡(luò)；安全

1　無(wú)線局域網(wǎng)的網(wǎng)絡(luò)安全現(xiàn)狀

無(wú)線局域網(wǎng)現(xiàn)存的網(wǎng)絡(luò)安全隱患主要是因網(wǎng)絡(luò)為開(kāi)放式易于接入引起的。因?yàn)閃LAN是通過(guò)無(wú)線電波在空中傳輸數(shù)據(jù)的，因此不能對(duì)通信線路進(jìn)行保護(hù)，WLAN的數(shù)據(jù)會(huì)在發(fā)射機(jī)所在的最大區(qū)域內(nèi)進(jìn)行傳遞，該區(qū)域內(nèi)凡是能收到WLAN信號(hào)的用戶(hù)，都能接觸到該數(shù)據(jù)。如果該系統(tǒng)漏洞被不法分子利用，他們就會(huì)對(duì)數(shù)據(jù)進(jìn)行中途截取，從而造成嚴(yán)重的網(wǎng)絡(luò)攻擊?？傮w來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)在以下幾個(gè)方面：

1.1傳輸數(shù)據(jù)攻擊

非法用戶(hù)通過(guò)掃描軟件查找那些開(kāi)放式的、沒(méi)有加密功能的無(wú)線局域網(wǎng)接入點(diǎn)，通過(guò)它非法訪問(wèn)互聯(lián)網(wǎng)進(jìn)行攻擊或利用一些網(wǎng)絡(luò)工具來(lái)監(jiān)聽(tīng)和截取無(wú)線信號(hào)，分析獲取相關(guān)用戶(hù)信息，惡意修改或延遲數(shù)據(jù)通信，合法用戶(hù)會(huì)因此造成損失。

1.2安全協(xié)議攻擊

有線等效保密 （Wired Equivalent Privacy）簡(jiǎn)稱(chēng)WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位數(shù)太短、初始化的復(fù)位設(shè)計(jì)等。一些網(wǎng)絡(luò)的部署者在選擇上更偏向于缺省的WEP密匙，而且不改變他的配置選項(xiàng)，這就導(dǎo)致了黑客在破解密匙的時(shí)候，只需要收集足夠的WEP弱密匙加密包就可以了，從而使整個(gè)網(wǎng)絡(luò)缺乏安全性，給整個(gè)網(wǎng)絡(luò)帶來(lái)危害。

1.3地址欺騙攻擊

802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀是不進(jìn)行認(rèn)證操作的，所以一些非法用戶(hù)可以通過(guò)簡(jiǎn)單的方法獲取網(wǎng)絡(luò)中的站點(diǎn)地址，通過(guò)ARP的變動(dòng)進(jìn)行身份認(rèn)證，在未經(jīng)授權(quán)的情況下使用網(wǎng)絡(luò)資源。

2　無(wú)線局域網(wǎng)的網(wǎng)絡(luò)安全策略

2.1應(yīng)用專(zhuān)業(yè)技術(shù)

利用服務(wù)集標(biāo)識(shí)符（SSID）和MAC地址過(guò)濾技術(shù)來(lái)加強(qiáng)訪問(wèn)控制，確定無(wú)線客戶(hù)端網(wǎng)卡的唯一物理地址標(biāo)示，使用戶(hù)在滿足客戶(hù)機(jī)地址與合法地址相匹配的前提下滿足使用，這樣就在一定程度上有利于維護(hù)無(wú)線網(wǎng)絡(luò)的安全，防止其他用戶(hù)在未經(jīng)授權(quán)的條件下非法使用網(wǎng)絡(luò)資源。

2.2加強(qiáng)身份驗(yàn)證

盡量不要使用產(chǎn)商自帶的WEP密鑰。通常WEP身份確認(rèn)有兩種方法，一是默認(rèn)的認(rèn)證方式，二是使用共享密鑰。共享密鑰在對(duì)用戶(hù)進(jìn)行身份確認(rèn)時(shí)，要向工作站點(diǎn)發(fā)送請(qǐng)求信號(hào)，工作站點(diǎn)在接收到后，會(huì)向用戶(hù)發(fā)送一個(gè)詢(xún)問(wèn)信息，用戶(hù)在對(duì)詢(xún)問(wèn)信息進(jìn)行確認(rèn)后，也就完成了相應(yīng)的身份確認(rèn)。但是在這個(gè)過(guò)程中，如果網(wǎng)絡(luò)攻擊者截取了這兩則信息，就會(huì)對(duì)無(wú)線局域網(wǎng)造成威脅。針對(duì)這方面所采取的具體措施是，不使用產(chǎn)商自帶的密鑰，自己運(yùn)用計(jì)算機(jī)采用手工方法選擇合適的加密密鑰，比如數(shù)字和英文字母的混合組合等。其具體的操作流程是，打開(kāi)瀏覽器輸入無(wú)線節(jié)點(diǎn)設(shè)備默認(rèn)的后臺(tái)管理地址，打開(kāi)該地址后，選擇“無(wú)線網(wǎng)絡(luò)”和“安全方式”的選項(xiàng)，然后找出WEP加密協(xié)議。在這里，用戶(hù)就可以自己選擇和設(shè)置“共享密鑰”的驗(yàn)證方式和密碼，這樣就完成了用戶(hù)對(duì)自己的安全密鑰的設(shè)置。

數(shù)據(jù)加密，即根據(jù)某種密碼算法使明文信息轉(zhuǎn)變?yōu)榧用荑€的基本設(shè)置。數(shù)據(jù)加密是計(jì)算機(jī)安全防護(hù)的關(guān)鍵技術(shù)，設(shè)置密鑰的目的在于數(shù)據(jù)保護(hù)。數(shù)據(jù)加密大體可分為節(jié)點(diǎn)加密、端口加密以及鏈路加密三種表現(xiàn)形式。在銀行與電子商務(wù)系統(tǒng)中，銀行數(shù)據(jù)加密技術(shù)多從網(wǎng)絡(luò)設(shè)備鏈接上體現(xiàn)，而在交換機(jī)與防火墻中，它主要是對(duì)傳輸信息實(shí)現(xiàn)加密處理與檢測(cè)，最終達(dá)到對(duì)計(jì)算機(jī)系統(tǒng)數(shù)據(jù)的保護(hù)目的。

3　采用TKIP協(xié)議TKIP算法的優(yōu)點(diǎn)

采用TKIP協(xié)議TKIP算法相比較WEP的一個(gè)最大優(yōu)點(diǎn)就在于，增強(qiáng)了校對(duì)的完整性。這一目標(biāo)的實(shí)現(xiàn)，主要在于TKIP中擁有包序列計(jì)數(shù)器，它能做到每一個(gè)MAC層的協(xié)議數(shù)據(jù)單元都有唯一的數(shù)據(jù)加密密鑰與之相對(duì)應(yīng)，這就實(shí)現(xiàn)了完整性校對(duì)的過(guò)程。TKIP在對(duì)無(wú)線局域網(wǎng)實(shí)現(xiàn)校對(duì)時(shí)，采用的包序列計(jì)數(shù)器能實(shí)現(xiàn)對(duì)身份校對(duì)的防重放攻擊。也就是說(shuō)，TKIP接受包序列計(jì)數(shù)器的條件就是計(jì)數(shù)器必須要大于重放窗口的計(jì)數(shù)值。如果該包序列計(jì)數(shù)器是經(jīng)過(guò)改動(dòng)的，那么，TKIP就會(huì)自動(dòng)檢測(cè)出不正確的解密密鑰，就會(huì)顯示包序列計(jì)數(shù)器出錯(cuò)。所以，TKIP防重放攻擊的采用，極大地減少了網(wǎng)絡(luò)攻擊者對(duì)驗(yàn)證信息進(jìn)行截取的幾率。

4　避免點(diǎn)點(diǎn)模式

該對(duì)策的提出主要是基于無(wú)線局域網(wǎng)工作站的兩種基本傳輸模式所存在的缺陷，其傳輸模式主要包括，基礎(chǔ)架構(gòu)模式和點(diǎn)對(duì)點(diǎn)工作模式。前者的工作流程是，局域網(wǎng)內(nèi)的所有無(wú)線工作的實(shí)現(xiàn)都必須經(jīng)過(guò)路由器的信號(hào)處理。后者的工作流程是不采用路由器設(shè)備，直接將工作站和工作站相連，這樣的模式能加速網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)乃俣?，但同時(shí)也為無(wú)線局域網(wǎng)附近的非法用戶(hù)提供了非法獲取和訪問(wèn)信息的空當(dāng)，使局域網(wǎng)的安全受到很大威脅，所以，必須減少或禁止點(diǎn)對(duì)點(diǎn)工作模式的使用。

5結(jié)語(yǔ)

無(wú)線局域網(wǎng)的網(wǎng)絡(luò)安全是巨大的系統(tǒng)工程，要想實(shí)現(xiàn)網(wǎng)絡(luò)安全，我們必須從無(wú)線局域網(wǎng)設(shè)置的各個(gè)環(huán)節(jié)出發(fā)，無(wú)論是從源頭對(duì)無(wú)線信號(hào)加以保護(hù)，還是對(duì)運(yùn)行中的客戶(hù)認(rèn)證進(jìn)行檢測(cè)，亦或是對(duì)工作站工作模式的改變，所有這些都應(yīng)該建立在用戶(hù)對(duì)無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題高度警惕的基礎(chǔ)之上。隨著無(wú)線局域網(wǎng)應(yīng)用的日益廣泛，對(duì)其網(wǎng)絡(luò)安全的研究將更加系統(tǒng)。

［1］ 李慶超，邵志清.無(wú)線網(wǎng)絡(luò)的安全架構(gòu)與入侵檢測(cè)的研究［J］.計(jì)算機(jī)工程，2012，（03）:160-161.

［2］ 楊寅春，張世明，張瑞山，等.WAPI安全機(jī)制分析［J］.計(jì)算機(jī)工程，2014，（10）：112-113.

Wireless LAN Network Security

ZHANG Bo-ran
（Daqing Oil Field Information Technology Co.，Ltd.Beijingbranch，Beijing 100043，China）

It is important research topic to ensure the network security of WLAN.In the face of all kinds of security problems in the wireless LAN，we must take seriously，put forward practical measures to strengthen technical support，and thus ensure the safe and stable operation of the wireless lan.

Wireless LAN；Network；Security

TP393.17

B

1674-8646（2015）08-0079-01

2015-05-29