郭瑞?李婷婷?庞静超

摘 要：随着计算机网络技术的飞速发展，无线网络技术以独特的优点，被许多企业、政府、家庭所使用。与有线网络相比较，WLAN难以采用隔离等物理手段来满足网络的安全要求，因此保护WLAN安全的难度要远大于保护有线网络。

关键字：无线网络；安全；技术

随着计算机网络技术的飞速发展，无线网络技术以独特的优点，被许多企业、政府、家庭所使用，由于无线网络传送的数据是利用电磁波在空中辐射传播，而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体，因此在一个无线局域网接入点（AP：Access Point）的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。这种传播方式是发散的、开放的，这给数据安全带来了诸多潜在的隐患。与有线网络相比较，WLAN难以采用隔离等物理手段来满足网络的安全要求，因此保护WLAN安全的难度要远大于保护有线网络。而我们也已经逐步意识到必须专门为WLAN设计安全防护机制，才能最大限度地保护数据在WLAN中传输的安全性。因此，探讨新形势下无线网络安全的应对之策，对确保无线网络安全，提高网络运行质量具有十分重要的意义。

1.无线网络安全问题

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线在合适的范围内对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。还有的部分设备、技术不完善，导致网络安全性受到挑战。

进行搜索也是攻击无线网络的一种方法，现在有很多针对无线网络识别与攻击的技术和软件。Netstumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的，或即使加密功能是处于活动状态，如果没有关闭AP（无线基站）广播信息功能，AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息，如网络名称、SSID（安全集标识符）等可给黑客提供入侵的条件。同时，许多用户由于安全意识淡薄，没有改变缺省的配置选项，而缺省的加密设置都是比较简单或脆弱，容易遭受黑客攻击。

除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

目前无线网络受到的主要威胁是：传输的数据被偷听、传输的数据被中途截获或修改、拒绝服务（DOS）、偶然威胁（合法访问者可能在启动便携式计算机时无意间连接了我们的网络，然后自动连接到单位的WLAN。

2.基于协议的无线网络安全技术

MAC地址过滤：每个网络适配器都有唯一的MAC地址，可以利用MAC地址过滤方式控制用户终端的接入但IEEE 802.11x协议在数据链路层认证上的缺陷使MAC地址容易被获取和伪造，这样会给虚假AP和非法客户终端提供可乘之机。MAC地址认证通常用在功能单一、硬件性能较差的的固定终端设备匕，例如摄像头、打印机等。

AP隔离：主要采用数据报文传送地址分析法，让各个接入的无线客户端之间相互保持隔离，被隔离用户不能通过网巨邻居互相访问，类似有线网络的VLAN技术，提供彼此间更加安全的接入。

WEP（有线等效加密）：主要在身份认证和数据传输时对信息进行加密，其数据校验算法是CRC32，加密算法是RC4，可以生成长度为40bit的密钥。但因为是静态非交换式密钥，各用户终端使用的密钥相同，会被快速破解。

在无线局域网中，如果使用了无线局域网接入点首先要启用WEP功能，并记下密钥，然后在每个无线客户端启用WEP，并输入该密钥，这样就可以保证安全连接。在无线客户端启用的方法如下：在windowsXP中，首先，右键单击任务栏无线网络连接图标，选择“查看可用的无线连接”，在打开的窗口中单击“高级”按钮；接着，在打开的属性窗口中选择“无线网络配置”选项卡，在“首选网络”中选择搜索到的无线网络连接，单击“属性”按钮。然后，在打开的属性窗口中选中“数据加密（WEP启用）”，去掉“自动为我提供此密钥”，在“网络密钥”中输入在无线AP中创建的一个密钥。最后，单击“确定”按钮即可。

EAP（可扩展认证协议技术）：是执行身份验证的网络工程任务小组（IETF）标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。因为EAP是一种可插入身份验证方法，因此有多种不同的EAP类型。最佳的EAP类型实质上使用加密来保护身份验证会话，并能在过程中动态生成用于加密的密钥。

WPA（Wi-Fi Protected Aecess，Wi-Fi安全存取）为了弥补WEP的缺陷，采用了暂时密钥完整协议（TKIP），虽然加密算法仍是RC4，但是能生成128bit的动态密钥。WPA数据校验算法为Michael，IV长度也增加到48bit。另外还使用可扩展身份验证协议（EAP），对用户终端进行身份认证。所以，WPA包含了认证、加密和数据完整性校验三个组成部分，整体安全性大大提高。

WPA用户认证是使用802.1x和扩展认证协议来实现的。在802.11标准里，802.1x身份认证是可选项，在WPA里802.1x身份认证是必选项。对于加密，WPA使用临时密钥完整性协议TKIP的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮，同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。WPA标准里包括了下述的安全特性：WPA队认证、WPA以加密密钥管理、临时密钥完整性协议、Michael消息完整性编码（MIC）、高级加密标准（AES）支持。

尽管有如此相对完善的安全策略，但是WLAN安全性仍是大多数单位采用无线局域网的大障碍。随着科学技术的发展，无线网络将会面临更多的威胁，这需要我们不断的发展完善无线网络安全技术。

参考文献

1.林敏，陈少涌.无线校园网安全和融合是关键.中国教育网络，2011；

2.冯志勇.认知无线网络理论与关键技术.人民邮电出版社，2011；

3.张帆，赵德复.无线网络安全探讨.华南金融电脑，2009；