凡星 刘培奇

摘要:随着无线局域网技术的快速发展，Wi-Fi作为移动设备的无线联网技术应用的越来越广泛。但无线局域网采用电磁波作为信息传播的载体，信息很容易被窃听或干扰，面临着严峻的网络安全问题。该文通过对无线局域网中安全问题的学习，研究了主要的Wi-Fi安全技术，并提出对应的解决方案。

关键词:无线局域网；Wi-Fi；网络安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)07-1513-03

Wi-Fi Security Technology Research in WLAN

FAN Xing, LIU Pei-qi

(School of Information and Control Engineering, Xian Univ. of Arch. and Tech., Xian 710055, China)

Abstract: With the rapid development of WLAN technology, Wi-Fi is applied more and more widely as wireless networking technology in mobile equipment. But WLAN transmission information through the electromagnetic wave that information is easy to be eavesdropped and disturbed, facing the severe network security problems. Through the study of WLAN security issues in this article, researches mainly Wi-Fi security technology, and puts forward corresponding solutions.

Key words: WLAN；Wi-Fi；network security

随着移动通信技术的发展，无线局域网(WLAN)[1]因具有高移动性、建网容易、管理方便和兼容性好等优点,在很多领域中得到广泛应用。而实现无线组网协议的Wi-Fi技术由于工作在2.4G或5G的频段,作用距离不远,有利于频率复用,提供了一个可以在世界范围内使用，费用极相对低廉且数据带宽较高的无线接口。因此，个人电脑和手持设备等可移动终端越来越多的使用Wi-Fi技术进行无线方式相互连接。但随着WLAN应用领域的扩大和应用层次的不断深入, WLAN所使用的Wi-Fi的技术，其安全性也日益受到人们的关注,以致WLAN的安全问题成为当前无线网络安全应用和研究的一个热点问题[2] [3]。

1无线局域网WLAN

WLAN是随着无线通信技术不断进步，以及PC机、PDA等智能移动终端技术的不断发展的情况下，网络与无线通信技术相结合的产物，它以无线通信技术在一定的局部范围内建立无线网络，通过微波作为传输媒介，提供传统有线局域网的功能，使广大用户可以便利的，随时随地的自由接入Internet，享受安全有保障的网络服务，这也成为发展的必然趋势。无线局域网在此形式下迅猛发展，在接入速率和适应环境上与3G技术互为补充，成为新一代高速无线接入网络。

根据站点相互连接的形式和适用的接入规模，WLAN的拓扑结构可分为两种方式：终端数相对较少的无中心拓扑网络和终端数较多的有中心拓扑网络。

1)无中心拓扑网络：由一组配备无线网卡的无线终端组成，这些无线终端必须具有相同的工作组名、SSm(Service Set ID)和密码。一个对等网络覆盖的服务区域称为独立基本服务集(IBSS)，网络中任意两个无线终端不使用无线接入点即可建立连接进行直接通信。如图1所示。

图1无中心拓扑网络

2)有中心拓扑网络：很多时候，无线局域网是作为有线局域网应用的一种扩展，所以無线局域网的另一种拓扑结构就是有中心拓扑网络，它由无线终端、无线接入点和其他网络设备组成。一个无线接入点覆盖的服务区域称为一个基本服务集(Basic Service Set)，多个基本服务集重叠部分形成扩展服务集(Extend Service Set)，如图2所示。

图2有中心拓扑网络

由于WLAN是基于计算机网络与无线通信技术，而在计算机有线网络结构中，逻辑链路控制（LLC）层及其之上的应用层对不同的物理层的要求可以是相同的，也可以是不同的，因此，WLAN技术标准主要是针对物理层和媒质访问控制层(MAC)。同时与有线网络相比，WLAN只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在WLAN中也存在，但WLAN是采用射频技术进行网络连接及传输的开放式物理系统，以致与有线网络相比还存在一些特有的安全威胁，主要表现下在以下几个方面:1)服务后抵赖；2)WEP加密破解；3)无线窃听；4)假冒攻击；5)MAC地址欺骗。

针对这些安全问题，WLAN中的安全业务都需要相应的安全机制来保证,用加密技术实现保密性业务,通过访问控制实现身份认证业务,用消息认证机制实现完整性业务,用数字签名技术实现不可否认性业务。这样即使WLAN在网络安全方面存在一些问题，但作为计算机网络技术和无线通信技术相结合的最新技术，使用无线技术来发送和接收数据，减少了用户的连线需求，方便了用户的移动通信和使用网络服务。

2 Wi-Fi技术与Wi-Fi无线网络

Wi-Fi技术是基于IEEE 802.11x系列标准[4]的无线网络通信技术的品牌，目的是改善基于IEEE 802.11x标准的无线网路产品之间的互通性，由Wi-Fi联盟(Wi-Fi Alliance)所持有，简单来说Wi-Fi就是一种无线联网的技术，以前通过网络连接电脑，而现在则是通过无线电波来联网。它使用2.4GHz附近的频段，在信号较弱或有干扰的情况下，带宽可调整为5.5Mbps、2Mbps和1Mbps，带宽的自动调整，有效的保障了网络的稳定性和可靠性。目前常用的无线网络标准为802.11a、802.11b、802.11g和2009年9月IEEE批准的802.11n高速无线局域网标准，见表1。

表1常用的无线网络标准

由于Wi-Fi技术自身的优点，可以大幅度提升WLAN的网络互联能力，所以Wi-Fi技术在无线局域网中的应用得到了飞速的发展，以致很多用户将使用IEEE 802.11x系列标准的无线局域网称为Wi-Fi无线局域网。Wi-Fi的优势可概括为以下几方面：

1)无线电波的覆盖范围广。

2)只要设置“热点”，就可以将因特网接入指定场所。

3)厂商进入该领域的门槛比较低。

4)传输速度快，符合个人和社会信息化的需求。

5)不需要布线，可以不受布线条件的限制。

6)对人体无伤害。

3 Wi-Fi安全技术

Wi-Fi虽然容易受到黑客攻击和窃听。但是，使用正确的安全措施，Wi-Fi还是安全的。无线网络的安全性通过认证和加密来实现。认证允许只有被许可的用户才能连接到无线网络；而加密的目的是提供数据的保密性和完整性。802.11标准最初只定义了两种认证方法：开放系统认证（Open System Authentication）和共享密钥认证（Shared Key Authentication），以及唯一的WEP加密方法。对于开放系统认证，在设置时也可以启用WEP，此时，WEP用于在传输数据时加密，对认证没有任何作用；对于共享密钥认证，必须启用WEP，WEP不仅用于认证，也用于在传输数据时加密。

由于WEP技术存在初始化向量范围有限、使用明文传送和使用对称加密算法等严重缺陷，802.11使用802.1x来进行认证、授权和密钥管理，另外，IEEE开始制订802.11i标准，用于增强无线网络的安全性。同时，Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问WPA以解决WEP加密技术存在的缺陷。以下是涉及到Wi-Fi无线网络安全时，通常采用的相关措施：

1)不要使用WEP：由于WEP存在很多缺陷[5]，以使有经验的黑客能够迅速地破解WEP加密协议。因此，根本就不应该使用WEP。

2)应用802.11i：WPA和WPA2安全的EAP模式使用802.1X身份识别，而不是PSK，在向每一个用户提供自己的登录证书的能力，如用户名和口令以及一个数字证书。而实际的加密密钥是在后台定期改变和交换的。因此，要改变或者撤销用户访问，这就要求在中央服务器修改登录证书，而不是在每一台客户机上改变PSK。这种独特的每个进程使用一个密钥的做法还防止用户相互窃听对方的通讯。为达到尽可能安全，应该使用带802.1X的WPA2。也就是802.1i。

3)保证802.1X客户机设置的安全：WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而，你可以通过保证客户机EAP设置的安全来阻止这些攻击。因此，802.1X客户机设置的安全性也就显得尤为重要。

4)使用无线入侵防御系统：一个无线入侵防御系统(WIPS)可以帮助检测和对抗黑客建立的虚假接入点和实施拒绝服务等攻击。

5)应用NAP或者NAC：除了802.11i和WIPS之外，一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。

6)不要信任MAC地址过滤：Wi-Fi无线安全启用MAC(媒体接入控制)地址过滤增加一层安全性，可以控制哪一个客户机能够连接到这个网络。但是，窃听者可以很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。因此，不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。

7)不要过分信任SSID：无线网络中在关闭接入点的SSID播出将隐藏用户所在网络，或者至少可以隐藏用户的SSID，让黑客很难找。然而，这种做法只是从接入点信标中取消了SSID，它仍然包含在802.11相关的请求之中，在某些情况下还包含在探索请求和回应数据包中。因此，窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现先前用户的SSID，因此，不要过分信任SSID。

8)保护移动客户：对Wi-Fi安全的担心不应该仅限于网络。使用智能手机和笔记本电脑等移动终端用户也要得到保护。在他们连接到Wi-Fi热点或者自己家里路由器的时候，需要保证他们其它的Wi-Fi连接也是安全的，也可以防止入侵和窃听。

遗憾的是保证Wi-Fi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法，如提供和推荐解决方案以及告诉用户有关WiFi安全风险和防御措施等。

4结束语

WLAN自诞生以来就发展迅速，极大的影响和改变了人们的生活和通信方式,必将对人类的历史产生积极而深远的影响。但WLAN所采用的开放式信道存在着巨大的安全隐患，攻击者可以利用无线信道的开放性对网络发起各种各样的安全攻击,使无线局域网面临着比有线网络更大的安全风险。当前，如何保证WLAN的网络安全性,使之更好地为用户服务,已经成为一个至关重要的问题。然而,随着新的安全理论和技术的不断涌现，使得我们有信心从容面对众多安全挑战。

参考文献：

[1]钟章队,赵红礼.无线局域网[M].北京:科学出版社,2004.

[2]包时红.无线局域网的安全机制[J].计算机工程,2007(7):207-209.

[3]赵昌建.浅析无线局域网的安全防范措施[J].电脑知识与技术,2010(7):1600-1601.

[4] IEEE标准.802.1X-2001 Port Base Network Access Contral[S].2001.

[5]刘永磊,金志刚.WEP协议攻击方法研究[J].计算机工程,2010(11):153-157.

更正

发表于2012年8卷4期第967-970页的《领域本体的构建研究——以“数据结构”为例》一文，漏登第二、第三作者的署名，原文署名“杨瑾”应更正为“杨瑾、李星、张丽敏”。特此更正！