譚　斌

摘要：無(wú)線局域網(wǎng)(WLAN)與蜂窩網(wǎng)相比具有更高的傳輸速率和更好的靈活性，然而，無(wú)線傳輸介質(zhì)具有在一定范圍內(nèi)提供開(kāi)放接入特性，WLAN的安全性已經(jīng)成為一個(gè)非常嚴(yán)重的問(wèn)題。論文對(duì)無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)的方法與技術(shù)進(jìn)行了研究，希望能夠?qū)ο嚓P(guān)工作的開(kāi)展有一定的參考作用。

關(guān)鍵詞：無(wú)線 局域網(wǎng) 安全 體系

一、 無(wú)線局域網(wǎng)安全研究概述

國(guó)內(nèi)在無(wú)線網(wǎng)絡(luò)與網(wǎng)絡(luò)安全相關(guān)的研究主要集中在單跳無(wú)線IP安全接入、無(wú)線Adhoc、無(wú)線局域網(wǎng)、無(wú)線安全路由等。具體研究成果體現(xiàn)在以下三個(gè)方面：（l）對(duì)無(wú)線互聯(lián)網(wǎng)與移動(dòng)互聯(lián)網(wǎng)的關(guān)注度持續(xù)升溫；（2）在移動(dòng)IPv6、無(wú)線安全路由協(xié)議、QOS、無(wú)線接入?yún)f(xié)議等關(guān)鍵技術(shù)方面出現(xiàn)了一些層次較高的研究成果；（3）中國(guó)移動(dòng)互聯(lián)網(wǎng)絡(luò)相關(guān)標(biāo)準(zhǔn)工作正在穩(wěn)步推進(jìn)，如成立了中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組，中國(guó)CCSA技術(shù)委員會(huì)成立了無(wú)線局域網(wǎng)應(yīng)用協(xié)議特別組（TC2）和網(wǎng)絡(luò)與信息安全組（TC2）。TC2將重點(diǎn)進(jìn)行無(wú)線局域網(wǎng)應(yīng)用協(xié)議方面的標(biāo)準(zhǔn)制訂工作，TC2成立了應(yīng)用工作組、協(xié)議工作組和終端工作組。目前正在進(jìn)行的工作是無(wú)線局域網(wǎng)和無(wú)線移動(dòng)終端與應(yīng)用方面的標(biāo)準(zhǔn)制訂；TC8工作組目前在進(jìn)行有線網(wǎng)絡(luò)信息安全、無(wú)線網(wǎng)絡(luò)信息安全、安全管理和安全基礎(chǔ)設(shè)施四個(gè)方面的標(biāo)準(zhǔn)化工作。

二、 無(wú)線局域網(wǎng)安全接入體系結(jié)構(gòu)概述

IEEE802.11無(wú)線局域網(wǎng)的接入速率己經(jīng)開(kāi)始接近有線網(wǎng)絡(luò)的接入速率，如何讓場(chǎng)飛AN的安全性也接近或達(dá)到有線網(wǎng)絡(luò)的安全等級(jí)已經(jīng)成為人們關(guān)注的重要問(wèn)題。通常IEEE802.ll可以處于基礎(chǔ)模式和Ad、Hoc兩種工作模式，在基礎(chǔ)工作模式下，無(wú)線移動(dòng)終端（wireless STAtions，STAs）直接與無(wú)線網(wǎng)絡(luò)接入點(diǎn)（AccessPoint，AP）進(jìn)行信息交換，從而實(shí)現(xiàn)與有線網(wǎng)絡(luò)進(jìn)行通信的目標(biāo)，這是目前無(wú)線網(wǎng)絡(luò)的主要工作方式。其中STA與妙進(jìn)行連接時(shí)要經(jīng)歷探測(cè)、認(rèn)證和關(guān)聯(lián)三個(gè)階段。在探測(cè)階段，STA可以被動(dòng)地接收AP的廣播消息，并自動(dòng)地加入到AP服務(wù)的子網(wǎng)絡(luò)之中，也可以主動(dòng)請(qǐng)求加入AP子網(wǎng)絡(luò)：第二階段是認(rèn)證階段，即STA按某種認(rèn)證機(jī)制接受AP的認(rèn)證過(guò)程，當(dāng)認(rèn)證成功后，STA發(fā)送關(guān)聯(lián)請(qǐng)求給AP，AP接受關(guān)聯(lián)后將該STA記錄到AP的無(wú)線設(shè)備關(guān)聯(lián)表中。一般情況下，AP可以同時(shí)與多個(gè)STA建立關(guān)聯(lián)關(guān)系，IEEE802.llb的STA在同一時(shí)刻只能與一個(gè)AP建立關(guān)聯(lián)關(guān)系。

三、 基于管理的無(wú)線局域網(wǎng)安全體系結(jié)構(gòu)

下一代互聯(lián)網(wǎng)的發(fā)展趨勢(shì)是移動(dòng)互聯(lián)網(wǎng)，很多城市正在考慮部署全城范圍的寬帶無(wú)線接入工程，實(shí)現(xiàn)“無(wú)線城市”的規(guī)劃，而采用Wi-Fi和WIMAX網(wǎng)絡(luò)覆蓋整個(gè)城市正在成為最引人注目并且引發(fā)強(qiáng)烈反響的基礎(chǔ)設(shè)施建設(shè)項(xiàng)目。然而，“無(wú)線城市”的安全控制問(wèn)題成為討論的首要問(wèn)題，為了解決日益復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題，產(chǎn)業(yè)界倡導(dǎo)了一系列安全理念，如思科自防御網(wǎng)絡(luò)閱、微軟應(yīng)用安全框架，賽門(mén)鐵克主動(dòng)安全基礎(chǔ)架構(gòu)等；這些安全方案集中體現(xiàn)在綜合、立體、多層次和主動(dòng)防御的思想，強(qiáng)調(diào)在不同層次上加強(qiáng)安全管理的重要性，特別是各種網(wǎng)絡(luò)設(shè)備和計(jì)算資源安全屬性的管理。這些安全理念表明安全產(chǎn)業(yè)界已從產(chǎn)品競(jìng)爭(zhēng)演變?yōu)榘踩w系結(jié)構(gòu)的競(jìng)爭(zhēng)。無(wú)線局域網(wǎng)的異構(gòu)性和安全性是無(wú)線局域網(wǎng)面臨的兩個(gè)難題，本節(jié)從無(wú)線局域網(wǎng)的安全需求出發(fā)，提出了一個(gè)無(wú)線局域網(wǎng)抽象層面的安全體系結(jié)構(gòu)，通過(guò)安全引擎和移動(dòng)安全中間件技術(shù)，解決移動(dòng)終端的異構(gòu)性與安全性的難題，給出了無(wú)線局域網(wǎng)環(huán)境下終端安全的自修復(fù)框架。該安全體系結(jié)構(gòu)適用于移動(dòng)電子商務(wù)、移動(dòng)電子政務(wù)、移動(dòng)銀行和移動(dòng)鰲務(wù)等系統(tǒng)的安全保障服務(wù)?？梢詷?gòu)建一個(gè)具有移動(dòng)基礎(chǔ)設(shè)施特色、以安全管理為中心、抗無(wú)線局域網(wǎng)攻擊的安全技術(shù)體系。該體系結(jié)合風(fēng)險(xiǎn)管理技術(shù)，集成多種不同的安全技術(shù)和安全層次，實(shí)現(xiàn)無(wú)線局域網(wǎng)環(huán)境下的有效防護(hù)，實(shí)現(xiàn)安全管理的自動(dòng)化與智能化。

四、 安全體系結(jié)構(gòu)的自適應(yīng)性安全策略

隨著Internet留Intranet技術(shù)的迅速發(fā)展和廣泛應(yīng)用，信息系統(tǒng)的安全特別是網(wǎng)絡(luò)系統(tǒng)的安全成為人們?nèi)找骊P(guān)注的問(wèn)題。面對(duì)信息安全，特別是網(wǎng)絡(luò)安全面臨的大量問(wèn)題，許多學(xué)者在安全模型到具體的安全技術(shù)等方面都做了大量工作。信息安全模型是對(duì)系統(tǒng)工作的高層次說(shuō)明，它用精確語(yǔ)言來(lái)描述信息系統(tǒng)的安全策略，它為安全策略與其實(shí)現(xiàn)機(jī)制的聯(lián)系提供了一種框架。但是這些模型和安全技術(shù)往往只能解決信息安全的某一方面或某幾方面的問(wèn)題，同時(shí)，網(wǎng)絡(luò)入侵的方式也在不斷變化，并呈現(xiàn)出以下新特點(diǎn)：①?zèng)]有地域和時(shí)間的限制，跨越國(guó)界的攻擊就如同在現(xiàn)場(chǎng)一樣方便；②通過(guò)網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之間，隱蔽性強(qiáng)；③入侵手段更加隱蔽和復(fù)雜。網(wǎng)絡(luò)安全是一種動(dòng)態(tài)的安全，安全技術(shù)與入侵手段這對(duì)矛盾是辨證統(tǒng)一的，螺旋式前進(jìn)是信息安全發(fā)展的永恒規(guī)律。

在目前的無(wú)線網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，為了保護(hù)網(wǎng)絡(luò)資源不被外部節(jié)點(diǎn)非法入侵，在網(wǎng)絡(luò)邊緣保護(hù)內(nèi)部資源免受攻擊的網(wǎng)絡(luò)防火墻技術(shù)難以勝任。傳統(tǒng)的防火墻使用集中式靜態(tài)配置訪問(wèn)控制策略，當(dāng)移動(dòng)節(jié)點(diǎn)漫游到外地網(wǎng)絡(luò)后，所有移動(dòng)節(jié)點(diǎn)都需通過(guò)防火墻和代理支持其透明移動(dòng)，這樣會(huì)造成以下幾種安全缺陷：①竊取，入侵者侵入到移動(dòng)節(jié)點(diǎn)的通信連接中截獲數(shù)據(jù)包，竊聽(tīng)通信信息，這種攻擊在硒飛AN環(huán)境中特別有效：②冒充，入侵者通過(guò)修改自己的地址信息，冒充移動(dòng)節(jié)點(diǎn)獲取本地網(wǎng)絡(luò)防火墻和代理的信任，實(shí)現(xiàn)非法資源請(qǐng)求；③拒絕服務(wù)，入侵者通過(guò)各種網(wǎng)絡(luò)安全漏洞，試圖讓本地網(wǎng)絡(luò)防火墻和代理不斷地對(duì)入侵者進(jìn)行安全認(rèn)證，從而耗盡計(jì)算資源，無(wú)法為合法用戶提供正常服務(wù)。

在無(wú)線網(wǎng)絡(luò)環(huán)境下，為了更好的提供無(wú)線網(wǎng)絡(luò)接入服務(wù)，通常是采用每個(gè)接入點(diǎn)配置一個(gè)相應(yīng)的安全策略，這種分布式的安全策略管理將會(huì)導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)在安全策略上的不一致性，且防火墻的安全策略與入侵檢測(cè)系統(tǒng)之間安全策略缺乏相應(yīng)的聯(lián)動(dòng)機(jī)制，導(dǎo)致了網(wǎng)絡(luò)安全管理與維護(hù)的復(fù)雜度迅速上升。目前無(wú)線局域網(wǎng)管理面臨的挑戰(zhàn)有：①無(wú)線局域網(wǎng)是一個(gè)開(kāi)放的傳輸介質(zhì)，無(wú)法阻止通信流t的主動(dòng)和被動(dòng)竊聽(tīng)；②己經(jīng)安裝的無(wú)線網(wǎng)絡(luò)設(shè)備存在安全威脅，其安全機(jī)制WPA存在安全漏洞；③新安全協(xié)議TKIP和IEEE802.11i的安全效果有待時(shí)間的檢驗(yàn)：無(wú)線局域網(wǎng)設(shè)備的遷移導(dǎo)致內(nèi)部網(wǎng)絡(luò)面臨非授權(quán)接入的威脅；④隨著無(wú)線網(wǎng)絡(luò)規(guī)范的擴(kuò)大，基于手工靜態(tài)配置安全策略的傳統(tǒng)方式面臨著策略的一致性和時(shí)效性等安全管理難題，需要配置一個(gè)統(tǒng)一的、兼容有線和無(wú)線的安全策略強(qiáng)制實(shí)施機(jī)制?！?/p>

參考文獻(xiàn)：

1、馬建峰，朱建明等，《無(wú)線局域網(wǎng)安全一方法與技術(shù)》，機(jī)械工業(yè)出版社，2005

2、徐勝波，馬文平，王新梅，《無(wú)線通信網(wǎng)中的安全技術(shù)》，人民郵電出版社，2003

作者簡(jiǎn)介：譚斌（1987-），男，重慶開(kāi)縣人，西北民族大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院（二級(jí)單位），學(xué)生，計(jì)算機(jī)科學(xué)與技術(shù)