由于無線局域網使用的傳輸媒介主要是電磁波，在一定的范圍內可被任何人所接收，所以無線局域網通信安全問題也越來越多，也越來越受到用戶的關注。如何保證無線局域網的安全，已成為人們研究的重點。本篇論文討論了無線局域網的通信安全問題和一些有效的解決方案，以確保無線局域網的安全及正常運行。

1.引言

近年來，無線局域網（WLAN）的市場、應用和服務快速發(fā)展，規(guī)模不斷擴大，但是由于WLAN無線信號的開放性和IEEE 802.11協(xié)議自身固有的脆弱性，出現(xiàn)了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發(fā)起對WLAN的攻擊，基于WLAN的安全漏洞進行網絡攻擊事件不斷增多，導致WLAN的安全無法得到保障，禁止使用WLAN的企業(yè)和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

2.無線局域網的安全機制

網絡通信的目標是數(shù)據(jù)能在傳輸信道中安全可靠地到達目的主機，并只有目標用戶能接收和理解。WLAN安全通信需求主要體現(xiàn)在身份驗證機制、數(shù)據(jù)加密機制、信息完整性認證機制、密鑰管理機制等方面。

（1）身份驗證機制

為了防止未授權的無線用戶在無線網絡覆蓋范圍內非法登錄，WLAN首先需要身份驗證機制來限制非法連接。身份驗證主要是實現(xiàn)無線用戶終端與無線訪問點（AccessPoint,AP）相互驗證身份，只有當雙方均成功通過驗證后，無線用戶終端才能連接網絡。

（2）數(shù)據(jù)加密機制

為保證傳輸?shù)臄?shù)據(jù)只被合法用戶接收和讀取，應采用足夠強度的加密算法對傳輸數(shù)據(jù)進行加密，合法用戶接收數(shù)據(jù)后使用密鑰解密才能讀取正確的明文信息。網絡攻擊者既使截獲了密文，但由于沒有密鑰也無法解密成明文，從而保證了信息的安全。

（3）信息完整性驗證機制

WLAN的數(shù)據(jù)信息在傳輸過程中有可能丟失或被惡意修改后轉發(fā)，為保證合法用戶得到正確、完整的信息，因此需要對接收到的數(shù)據(jù)進行完整性及正確性的驗證，即信息完整性驗證。

（4）密鑰管理機制

密鑰是數(shù)據(jù)加密和解密的根本，需要合理的密鑰管理機制來保證系統(tǒng)的安全。根據(jù)WLAN通信特點，應從密鑰生成、分配、失效、更新等全過程合理設計，避免密鑰重用并盡量減少網絡開銷。

3.無線局域網存在的安全隱患

盡管無線局域網是隨著計算機網絡技術和現(xiàn)代通信技術的發(fā)展而產生的新興技術，但是其在應用中還是存在著一定的安全隱患，主要表現(xiàn)在以下幾個方面：

（1）無線局域網傳輸介質比較脆弱。在過去的有線局域網中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上玩玩收到一定的安全設備或者安全人員的保護，很難遭受到攻擊者的攻擊，在數(shù)據(jù)傳輸上具有較強的安全性，而無線局域網所使用的傳輸媒介是空氣，受大氣等物理條件的干擾較大，同時也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數(shù)據(jù)傳輸安全性得不到保障。

（2）有線等效保密協(xié)議（WEP）并不能有效保護無線局域網加密傳輸?shù)倪M行，其并不存在完整的全面的訪問控制盒認證校驗功能?？墒牵瑹o線局域網都是在WEP的基礎上建立起來的，如果WEP受到了嚴重影響甚至發(fā)生了破壞，那么無線局域網的安全性將無法得到保障。

（3）IPse.在安全上比較脆弱。IPseC是IETFIPse.工作組所設計的，在IPse-curitx的基礎上發(fā)展起來的，其主要目標就是利用一定安全機制，為網絡提供身份認證、訪問控制、數(shù)據(jù)完整性和機密性等安全服務，以實現(xiàn)IP數(shù)據(jù)傳播的可靠性和安全性。但是，IPSeC并不是專門為無線局域網所設計的，其將至對網絡層及以上層次的協(xié)議提供保護，而對無線局域網中數(shù)據(jù)鏈路層卻并不提供。

4.解決無線局域網通信安全問題的有效途徑

（1）通過VPN實現(xiàn)無線網絡通信安全

自從對網絡安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式。在這種保護方式中，將無線網絡當作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面。每一個用戶都對應一個VPN用戶，使用VPN連接無線網絡。這種安全方式阻止了外來設備進入無線網絡。但這種方式也并不是萬無一失。合法進入網絡時需要用戶啟動并獲得一個IP地址。一旦每個用戶都有了一個IP地址，用戶就可以開始網絡通信了。非法進入用戶的過程是差不多的，只是不能通過認證進入網絡中。由于攻擊者也有一個給定的IP地址，所以就沒有什么辦法來阻止它和同一個防火墻內的用戶進行通信了。通過這種通信，攻擊者也可以侵入一個合法用戶，并借此進入網絡中。

（2）通過IEEE802.1x協(xié)議實現(xiàn)無線網絡安全

IEEE802.1x最初是用來規(guī)范有線網絡安全接口，但后來發(fā)現(xiàn)對于無線網絡更為合適。IEEE802.1x協(xié)議屬于MAC層的安全協(xié)議，該協(xié)議只允許被授權用戶等級上的安全操作。通過IEEE802.1x協(xié)議，當一個設備想要接入某個中心點的時候，則該中心點設備就要求請求設備提供一組證書，接入用戶所提供的數(shù)字證書將被中心設備提交給服務器進行認證。這臺服務器被稱為遠程撥號用戶認證服務器（RADIUS），該服務器通常是被用來實現(xiàn)對撥號用戶進行認證的。整個過程被包含在IEEE802.1x的標準擴展認證協(xié)議EAP中。EAP是一種認證方式集合，可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式，EAP是IEEE802.1x最主要的安全功能。

（3）通過WAP協(xié)議實現(xiàn)無線網絡安全

從本質來講，WEP加密方式本身并沒有問題，問題出在密鑰的傳遞過程中，密鑰本身容易被截獲。為了解決這個問題，WPA作為目前事實上的行業(yè)標準，改變了傳統(tǒng)密鑰的傳遞方式。WPA利用TKIP協(xié)議來傳遞密鑰，在密鑰管理上采用了類似于RSA的公鑰/私鑰的非行分類描述。

1）設備物理安全風險分析。設備的物理安全是整個網絡系統(tǒng)安全的前提，物理安全的風險主要有：

①雷擊等環(huán)境事故造成設備的硬件損傷。

②斷電、電壓不穩(wěn)等原因造成設備非正常重啟，造成斷網。

③硬件設備老化、器件故障造成系統(tǒng)崩潰或各種網絡傳輸異?，F(xiàn)象。

2）網絡基本功能安全風險分析。

網絡的基本功能就是網絡設備最基本的二層轉發(fā)、三層轉發(fā)及其相關的協(xié)議的安全運轉。二層轉發(fā)相關協(xié)議一般包括ARP、DHCP、STP、Dot1x等。三層轉發(fā)的相關協(xié)議一般包括路由協(xié)議、組播路由協(xié)議等。

（4）網絡應用功能安全風險分析

網絡搭建好后會在上面運行很多應用，比如Web服務、FTP服務、SMTP服務等。

針對這些服務器有多種網絡攻擊，比如Dos攻擊。同時，網絡上充斥這各種病毒，一個PC染毒就會迅速的傳染到整個網絡中，病毒傳播將大量占用網絡帶寬，同時對PC造成極大威脅。占用PC資源，竊取個人資料和各種重要密碼，甚至對硬件造成破壞。當前網絡中P2P應用越來越多，BT、電驢等等工具被大量使用，這些應用雖然不像病毒一樣對網絡進行惡意侵害，但其大量消耗共享網絡帶寬，也使很多正常的網絡應用受到影響。

（5）網絡安全聯(lián)動的需求

網絡本身是動態(tài)的，所以網絡的安全程度也是動態(tài)變化的。各種安全事件如果完全讓網管員去處理，那無疑是一個巨大的工作量，而且這樣很可能由于反應不及時，使網絡安全威脅最終造成嚴重惡果。如果能讓網管員制定一些策略原則，相關網絡設備之間在此原則下進行自動聯(lián)動，快速的處理發(fā)現(xiàn)的安全威脅，這樣將更加保障網絡的安全運行。

5.結語

綜上所述，隨著通信技術和互聯(lián)網技術的發(fā)展，無線局域網也得到了蓬勃發(fā)展和廣泛應用。但是在無線局域網快速發(fā)展的同時，其還存在的一定的安全問題。因此必須加強無線局域網安全機制的建立，提升其身份驗證技術、數(shù)據(jù)加密技術、信息完整性驗證技術和密鑰管理技術。促使無線局域網能安全穩(wěn)定可靠的發(fā)展下去，使數(shù)據(jù)傳輸環(huán)境和諧可靠?？傊訌姛o線局域網通信安全機制的建設已經迫在眉睫，無線局域網安全機制的建設也就等于現(xiàn)代社會互聯(lián)網社區(qū)的安全秩序建設。（作者：楊雪）