李冬梅

（中国移动通信集团广东有限公司 清远分公司，北京　100000）

公共无线局域网安全认证与管理技术研究

李冬梅

（中国移动通信集团广东有限公司 清远分公司，北京100000）

无线网络与传统有线网络相比，组网方式更灵活，不受环境限制，能有效节约线材，降低组网成本。但无线网络应用中，通信安全性与易破解问题不容忽视。无线网络没有物理访问限制，安全是无线网络应用的前提。因此，要采取相应安全认证与管理技术，确保无线网络安全，规避网络攻击和网络威胁，消除无线网络中存在的信息安全隐患。文章将针对公共无线局域网安全认证与管理技术展开研究和分析，确保信息安全。

无线网络；局域网；安全认证；安全技术；管理技术

21世纪是一个网络时代，随着移动设备和无线设备的普及，无线局域网应用日益广泛并得到空前发展，这也使得公共无线局域网安全问题受到关注。公共无线局域网不同于传统有线网络，传播介质和传播机制不同，在无线网络传播中信号截取便可能导致泄密，网络安全问题已成为阻碍公共无线局域网应用和发展的阻碍。相关统计数据显示，65%的公共无线局域网存在安全问题，面临的网络风险大。因此，为确保公共无线局域网安全，避免数据信息的泄漏，影响网络稳定性，应积极采取有效的加密技术与安全认证技术，避免公共无线局域网遭受入侵和破坏。

1　公共无线局域网的特点

公共无线局域网是无线通信技术与计算机网络系统的融入产物，不仅能提供传统有线局域网的所有功能，而且比有线网络结构更具灵活性，网络设备安装限制小，信号覆盖范围内终端用户均可接入无线网络中，并且网络中的节点均可在移动中保持通信。此外，无线网络减少了布线工作量，组网结构调整与扩展容易实现，无须重新布线，组网成本低［1］。另一方面，公共无线局域网故障问题通常是设备故障，故障定位容易。传统有线网络若出现物理故障发生网络中断，若是线路故障通常便难以查明，故障检修耗时长。公共无线局域网的普及与应用，给用户带来了极大便利。但由于公共无线局域网数据信息通过无线电波传输，信号截取或无线局域网（Wireless Local Area Networking，WLAN）安全漏洞入侵都可能对网络安全造成威胁。

2　公共无线局域网安全机制

相关调查研究数据显示，65%的公共无线局域网毫无安全可言。通过前文分析可以知道，公共无线局域网只要信号覆盖范围内，便可不受物理网络资源限制接入无线网络中，给入侵者可乘之机。当前一些公共无线局域网中便出现了大量盗用资源和信息截取现象，造成计算机信息泄漏，网络资源被占用，导致网络设备瘫痪，影响公共无线局域网正常通信。威胁公共无线局域网安全的主要攻击方式有：网络窃听、置信攻击、拒绝服务、数据篡改与截取等等。公共无线局域网安全认证应从：访问控制、身份验证、信息保密3个方面来考虑［2］。如这3方面没有问题，不论网络资源，还是网络设备，或是传输中的信息都能确保安全。目前公共无线局域网应用的逐渐安全认证技术是有线等效保密（Wired Equivalent Privacy，WEP）和无线网络安全接入（Wifi Protected Access，WPA）及WPA2。公共无线局域网单元结构由许多单元组成，每个单位是由一个基本服务组接口（Basic Service Access，BSA）组成，这些单元通过接入点（Access Point，AP）与骨干网络相连，基于802.11协议实现网络接入。但现有安全机制，仍存在问题，应加强安全技术改进，进一步提升网络安全性。

3　公共无线局域网安全认证与管理技术改进策略

现阶段主流安全认证技术仍存在受到网络攻击的危险，为提供公共无线局域网安全性，规避网络安全风险，应加强安全认证与管理技术的改进，弥补技术缺陷。文章通过几点来分析公共无线局域网安全认证与管理技术改进策略。

3.1AP身份认证

AP身份认证能杜绝未授权用户进入网络，消除安全隐患。AP身份认证在具体应用中，采用验收测试框架接入点（Framework of Integrate Test Access Point，FITAP）组网技术，网络稳定性和可靠性强，通过无线控制器进行网络安全部署，并生成相应AP序列号，对合法FITAP进行授权，访问者进行访问时，系统会验证AP序列号信息，若授权信息合法则可进入网络，若FITAP非法则无法进入网络。

3.2多种用户接入认证

为提高身份认证效率和水平，确保网络安全，应积极采用多种用户接入认证手段，例如：802.1x接入认证、预共享密钥（Pre-Shared Key，PSK）认证、通过以太网传输点对点协议（Point-to-Point Protocol Over Ethernet，PPPOE）认证等等。这种多元化的多种认证模式，网络系统灵活性更强，网络兼容性更好，能够为多种终端设备接入网络提供便利条件。

3.3修改网络名称（Service Set Identifier，SSID）

在组网过程中为提高网络稳定性，要对AP默认SSID名称进行修改，避免默认SSID代码泄漏WPS信息，防止非法端用户利用初始SSID访问网络，占用网络资源。另外，为进一步提高安全性，降低网络入侵概率，可选择禁用SSID广播。在禁用SSID广播后，网络信号便处于隐身状态，信号信息不易被搜索到，便能有效防止非法入侵，避免不法分子对无线信号的捕捉。而局域网络内用户则可通过手动输入SSID的方式访问网络。

3.4锁定MAC地址

通过对媒体接入控制（Media Access Control，MAC）地址的锁定，能够过滤一部分非法MAC地址，防止未授权用户接入网络。公共无线局域网能够自动拒绝被过滤MAC地址的接入。因此，在组网中应对无线网卡的MAC地址访问控制列表进行设置更新，禁止列表外的MAC地址，使列表外终端用户不能获取IP，无法对无线网络进行正常访问。这种安全认证方式，安全防护效果好。但有新增终端用户，则需要进行手动操作，所以对于用户量大或流动量大的无线局域网不适用。3.5 禁用DHCP服务

开启DHCP服务后，公共无线局域网便会处于动态分配IP地址状态，所以用户获取网络信息简单，不法用户能够很容易获取合法IP，占用大量网络资源，破坏网络安全，导致网络瘫痪［3］。而动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）服务被禁止后，不法用户若想入侵网络，获得合法认证，必须要先破译IP地质、子网掩码及TCP/IP参数，所以入侵难度便被大大提升。

3.6改变加密算法

传统的WEP算法非常容易被字典解密攻击破译，导致网络被入侵，而且WEP算法加密程度短，不包含密钥管理协定，不强制使用，利用普通破解工具3分钟之内即可破解。因此，在组网中应选择新型加密算法，例如：WAP2和WAP。WAP技术将XHTML和CSS（层叠样式表）作为WML2.0的一部分，安全性大大提升，而且数据传输效率更高。

4　结语

网络安全威胁网络的应用，公共无线局域网由于没有物理访问限制，信号容易被获取，所以易被解密，导致网络资源被占用，发生信息泄密现象。因此，在公共无线局域网组网中，必须采取有效的安全认证技术，提高网络安全性，避免网络入侵。

［1］赖积保.无线局域网安全与认证的研究和公用WLAN应用［D］.哈尔滨：哈尔滨工程大学，2013.

［2］程文聪.无线局域网安全中关键技术的研究—802.1X认证协议的研究与实现［D］.长沙：国防科学技术大学，2014.

［3］姚东.基于IEEE80211系列标准的无线局域网安全性研究［D］.郑州：解放军信息工程大学，2013.

［4］王雪.基于EAP/TLS的无线局域网安全认证系统的研究与实现［D］.北京：北京邮电大学，2015.

Research on security authentication and management technology of public wireless local area network

Li Dongmei
（Qingyuan Branch of China Mobile Communications Group Guangdong Co.， Ltd.， Beijing 100000， China）

Compared with the traditional wired network， the wireless network is more flexible and not limited by the environment， which can effectively save the wire and reduce the cost of the network. But in the application of wireless network， communication security and the problem easy to break can not be ignored. Wireless network is not limited to physical access， security is the premise of the application of wireless network. Therefore，the corresponding security authentication and management technology should be taken to ensure the security of wireless network， avoid the network attacks and network threats， and eliminate the information security hidden danger in the wireless network. In this paper， the security authentication and management technology of public wireless local area will be studied and analyzed to ensure the security of information.

wireless network； local area network； security authentication； security technology； management technology

李冬梅（1981— ），女，广东清远，硕士，工程师；研究方向：通信网络运维。