谭　斌

摘要：无线局域网(WLAN)与蜂窝网相比具有更高的传输速率和更好的灵活性，然而，无线传输介质具有在一定范围内提供开放接入特性，WLAN的安全性已经成为一个非常严重的问题。论文对无线局域网安全体系结构的方法与技术进行了研究，希望能够对相关工作的开展有一定的参考作用。

关键词：无线 局域网 安全 体系

一、 无线局域网安全研究概述

国内在无线网络与网络安全相关的研究主要集中在单跳无线IP安全接入、无线Adhoc、无线局域网、无线安全路由等。具体研究成果体现在以下三个方面：（l）对无线互联网与移动互联网的关注度持续升温；（2）在移动IPv6、无线安全路由协议、QOS、无线接入协议等关键技术方面出现了一些层次较高的研究成果；（3）中国移动互联网络相关标准工作正在稳步推进，如成立了中国宽带无线IP标准工作组，中国CCSA技术委员会成立了无线局域网应用协议特别组（TC2）和网络与信息安全组（TC2）。TC2将重点进行无线局域网应用协议方面的标准制订工作，TC2成立了应用工作组、协议工作组和终端工作组。目前正在进行的工作是无线局域网和无线移动终端与应用方面的标准制订；TC8工作组目前在进行有线网络信息安全、无线网络信息安全、安全管理和安全基础设施四个方面的标准化工作。

二、 无线局域网安全接入体系结构概述

IEEE802.11无线局域网的接入速率己经开始接近有线网络的接入速率，如何让场飞AN的安全性也接近或达到有线网络的安全等级已经成为人们关注的重要问题。通常IEEE802.ll可以处于基础模式和Ad、Hoc两种工作模式，在基础工作模式下，无线移动终端（wireless STAtions，STAs）直接与无线网络接入点（AccessPoint，AP）进行信息交换，从而实现与有线网络进行通信的目标，这是目前无线网络的主要工作方式。其中STA与妙进行连接时要经历探测、认证和关联三个阶段。在探测阶段，STA可以被动地接收AP的广播消息，并自动地加入到AP服务的子网络之中，也可以主动请求加入AP子网络：第二阶段是认证阶段，即STA按某种认证机制接受AP的认证过程，当认证成功后，STA发送关联请求给AP，AP接受关联后将该STA记录到AP的无线设备关联表中。一般情况下，AP可以同时与多个STA建立关联关系，IEEE802.llb的STA在同一时刻只能与一个AP建立关联关系。

三、 基于管理的无线局域网安全体系结构

下一代互联网的发展趋势是移动互联网，很多城市正在考虑部署全城范围的宽带无线接入工程，实现“无线城市”的规划，而采用Wi-Fi和WIMAX网络覆盖整个城市正在成为最引人注目并且引发强烈反响的基础设施建设项目。然而，“无线城市”的安全控制问题成为讨论的首要问题，为了解决日益复杂的网络安全问题，产业界倡导了一系列安全理念，如思科自防御网络阅、微软应用安全框架，赛门铁克主动安全基础架构等；这些安全方案集中体现在综合、立体、多层次和主动防御的思想，强调在不同层次上加强安全管理的重要性，特别是各种网络设备和计算资源安全属性的管理。这些安全理念表明安全产业界已从产品竞争演变为安全体系结构的竞争。无线局域网的异构性和安全性是无线局域网面临的两个难题，本节从无线局域网的安全需求出发，提出了一个无线局域网抽象层面的安全体系结构，通过安全引擎和移动安全中间件技术，解决移动终端的异构性与安全性的难题，给出了无线局域网环境下终端安全的自修复框架。该安全体系结构适用于移动电子商务、移动电子政务、移动银行和移动鳌务等系统的安全保障服务。可以构建一个具有移动基础设施特色、以安全管理为中心、抗无线局域网攻击的安全技术体系。该体系结合风险管理技术，集成多种不同的安全技术和安全层次，实现无线局域网环境下的有效防护，实现安全管理的自动化与智能化。

四、 安全体系结构的自适应性安全策略

随着Internet留Intranet技术的迅速发展和广泛应用，信息系统的安全特别是网络系统的安全成为人们日益关注的问题。面对信息安全，特别是网络安全面临的大量问题，许多学者在安全模型到具体的安全技术等方面都做了大量工作。信息安全模型是对系统工作的高层次说明，它用精确语言来描述信息系统的安全策略，它为安全策略与其实现机制的联系提供了一种框架。但是这些模型和安全技术往往只能解决信息安全的某一方面或某几方面的问题，同时，网络入侵的方式也在不断变化，并呈现出以下新特点：①没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便；②通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；③入侵手段更加隐蔽和复杂。网络安全是一种动态的安全，安全技术与入侵手段这对矛盾是辨证统一的，螺旋式前进是信息安全发展的永恒规律。

在目前的无线网络安全体系结构中，为了保护网络资源不被外部节点非法入侵，在网络边缘保护内部资源免受攻击的网络防火墙技术难以胜任。传统的防火墙使用集中式静态配置访问控制策略，当移动节点漫游到外地网络后，所有移动节点都需通过防火墙和代理支持其透明移动，这样会造成以下几种安全缺陷：①窃取，入侵者侵入到移动节点的通信连接中截获数据包，窃听通信信息，这种攻击在硒飞AN环境中特别有效：②冒充，入侵者通过修改自己的地址信息，冒充移动节点获取本地网络防火墙和代理的信任，实现非法资源请求；③拒绝服务，入侵者通过各种网络安全漏洞，试图让本地网络防火墙和代理不断地对入侵者进行安全认证，从而耗尽计算资源，无法为合法用户提供正常服务。

在无线网络环境下，为了更好的提供无线网络接入服务，通常是采用每个接入点配置一个相应的安全策略，这种分布式的安全策略管理将会导致企业内部网络在安全策略上的不一致性，且防火墙的安全策略与入侵检测系统之间安全策略缺乏相应的联动机制，导致了网络安全管理与维护的复杂度迅速上升。目前无线局域网管理面临的挑战有：①无线局域网是一个开放的传输介质，无法阻止通信流t的主动和被动窃听；②己经安装的无线网络设备存在安全威胁，其安全机制WPA存在安全漏洞；③新安全协议TKIP和IEEE802.11i的安全效果有待时间的检验：无线局域网设备的迁移导致内部网络面临非授权接入的威胁；④随着无线网络规范的扩大，基于手工静态配置安全策略的传统方式面临着策略的一致性和时效性等安全管理难题，需要配置一个统一的、兼容有线和无线的安全策略强制实施机制。◆

参考文献：

1、马建峰，朱建明等，《无线局域网安全一方法与技术》，机械工业出版社，2005

2、徐胜波，马文平，王新梅，《无线通信网中的安全技术》，人民邮电出版社，2003

作者简介：谭斌（1987-），男，重庆开县人，西北民族大学计算机科学与信息工程学院（二级单位），学生，计算机科学与技术