谭 荆

（重庆工商大学 计算机与信息工程学院，重庆 400023）

0 引言

无线局域网(WLAN)由无线网卡、无线接入点(AP)、计算机和有关设备组成。无线通信的传输媒体主要是广播和无线电波，因此用无线局域网组网安装简单、易于移动、灵活、可扩展性强、便于维护和管理，而受到越来越多用户的青睐。随之而来是用户对无线局域网的期望日益升高，同时其安全性也随着应用的深入不断的表露出来，并成为制约无线局域网不断发展的瓶颈[1]。

1 无线局域网安全技术分析

众所周知，无线局域网的数据是通过无线媒体在空中传递，通信保密能力有很高的要求。但是为了保证无线局域网的安全性，就必须在不同层次采取必要的措施。

①TKIP-临时密钥完整性协议。 TKIP由加密协议（WEP）使用的同样的加密引擎和 RC4算法组成，可改变每个数据包所使用的密钥。使其具有足够的密码强度，不能被轻易破译。但只能作为一种临时的过渡方案；

②物理地址(MAC地址)过滤。MAC地址是厂方出厂前设定，对每一块无线网卡来说是唯一的。物理地址通过对AP的设定，将指定的无线网卡的MAC地址输入到AP中来过滤。同时AP也要对收到的数据包做出准确的判断，只有那些符合设定标准的数据包才能被转发[2]。对小型无线局域网时，该方法简单、快捷，十分经济有效。但不能支持大量的移动客户端且很麻烦；

③无线局域网用户的隔离技术。这种技术是将所有的无线客户端设备完全隔离，使每个用户端只能访问固定的通信。通过这种方式，使用户在公共区域使用无线局域网的安全性得到了大大的提高。

2 威胁无线局域网的因素

尽管使用上述安全技术手段，但无线局域网也有很多不足，仍然存在一些威胁因素。

①由于无线局域网是以无线电波作为传输媒介,因此无线局域网的通信也存在着难以限制通信的物理访问,无线局域网通信的信号可以传播到预期范围以外的地域,无线局域网通信中每个AP的覆盖范围形成了通向每个用户的一个新入口。无线传输的这一特点,使得对无线局域网用户端入口的管理不能像也不应该像传统通信那样。在这无线局域网通信在传输方式上和传统的有些通信有区别，但是大体上还是相同的，所以传统网络中常规的安全风险如病毒，恶意攻击等都是存在的；②电磁波是共享的，所以非法分子如果想窃取信号，并通过窃取信号进行解码分析特别容易，特别是WLAN默认又是不设置加密的，任何能接受到信号的人，都可以进行窃听。虽然WLAN使用了扩频技术，但还是会受到一定的干扰。而且干扰源不是很容易就能查出来的。在无线局域网的信息传输中，通信需要发送有某种特定参数的信息帧，这样也给非法分子提供了必要的通信信息。入侵者也可以利用两个AP点对通信发起恶意攻击而不需要任何其他方式的侵入。由于无线局域网对信息帧不能进行认证操作,非法分子可以通过欺骗信息帧去重新定向数据流，从而ARP表变得混乱。通过会话拦截实现的通信入侵就变得无法避免。因此,无线局域网中存在的安全问题威胁因素主要是:信息泄露、截取或者修改传输数据、拒绝服务、地址欺骗与会话拦截等等。

3 加强无线局域网安全的对策性措施

3.1 升级密钥机制，防止恶意入侵

在无线局域网安全问题上，保护通信安全的一个最基本措施就是加密，而这一措施是比较简单的，只需要设置 AP和无线网卡等设备，就可以对 WEP加密。笔者认为，用户应经常对密钥进行更新，有必要时要启用独立的认证服务为WEP自动分配密钥。鉴于目前IEEE 802.1x中公钥密码体制的缺陷，笔者建议考虑引入其他成熟的公钥密码体制来完善。

3.2 绑定静态IP与MAC地址，加强网络安全

众所周知，通常AP或无线路由器在分配IP地址时,默认使用即动态IP地址分配,这样分配出的地址不是随机的，这样非法分子就有机可乘，这对无线局域网的通信来说是具有很大的安全隐患。非法分子只要找到了无线通信的 IP,就可以通过动态IP地址分配而得到一个合法的IP地址,进入局域通信中，从而盗取信息和修个矮传输数据，地址欺骗和会话拦截等非法行为，这些会给无线局域网带来很大的损失。综合以上来看,只有通过关闭 DHCP服务,为每个用户客户端分配固定的静态 IP地址，再把这个地址与用户电脑网卡的MAC地址进行绑定，非法分子就是得到了IP地址,还要验证绑定的 MAC地址,相当于两重关卡。这样使非法分子难以攻破，就能大大提升通信的安全性。

3.3 安全应用VPN技术

在国际上，虚拟专用通信（VPN）是指在一个公共局域网通信平台上通过隧道以及加密技术保证专用数据的通信安全性。VPN技术是通过三级保障保证局域网的安全:用户认证、加密和数据认证来实现无线通信的安全性保证[3]。用户认证确保只有己被授权的用户才能够进行无线通信连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号，没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线通信上传输的数据的完整性，保证所有业务流都是来自已经得到认证的设备。由于在大型无线局域网通信中维护工作和AP的WEP加密密钥以及IP的MAC地址列表都是难以实行的管理任务。因此对于高安全要求或大型的无线通信，VPN方案是一个更好的选择。对于无线局域网商用通信，与WEP机制和MAC地址过滤接入不同，基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案具有较强的扩充能力、升级性能能力，所以大规模的无线通信应用是最合适的。VPN技术的运用可以为无线通信的安全性能提供保障。

3.4 加强无线局域网的入侵监测系统

无线入侵检测系统与传统的入侵检测系统相比，增加了无线局域网的检测和对破坏系统反应的特性[4]。监视分析无线局域网用户的活动,进一步判断入侵事件的形式和类型,最终检测出非法的通信行为,并及时对异常的通信流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略，无线局域网检测系统通过使用强有力的策略,使无线局域网更安全。在无线通信领域,对入侵监测的研究已经广泛的展开并已经设计出了一些有效的入侵监测系统,随着无线通信入侵监测技术迅速发展,必将进一步提高WLAN的安全性。

4 结语

综述所述，随着无线局域网的不断发展，无线局域网的安全问题也越来越受到重视。立足于此，展开对无线局域网安全技术以及目前存在的安全威胁进行分析。笔者认为只要安全应用VPN技术，绑定静态IP与MAC地址，加强网络安，加强无线局域网的入侵监测系统，不断升级密钥机制等措施，在一定程度上可以确保无线通信技术的安全问题。相信随着 WLAN的迅速应用和安全技术的不断完善，合理组合安全机制，制定规范和有效的管理措施，相信在未来，无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。

[1] 李园,王燕鸿.无线通信安全性威胁及应对措施[J].现代电子技术,2007,(05):91-94.

[2] 周庆忠,赵海霞.无线局域网的安全性与改进方法研究[J].微计算机信息,2006(22):202-204.

[3] 褚丽莉.无线局域网安全分析[J].通信技术,2009,42(07):34-36.

[4] 张双斌.浅谈无线局域网通信安全及其防范对策[J].计算机安全,2008(08):82-85.