張雷

【摘要】目前的校園無線局域網(wǎng)已經(jīng)逐步完善，應(yīng)用范圍也越來越廣泛，它能與其他有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)或是 3G 網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)，有著巨大的潛力，因此無線局域網(wǎng)的安全問題也成為業(yè)界關(guān)心的焦點(diǎn)之一。要防止安全漏洞存在于無線局域網(wǎng)中，就要構(gòu)建一個(gè)足夠強(qiáng)大的安全網(wǎng)絡(luò)框架，這樣才能推動(dòng)無線局域網(wǎng)在校園的實(shí)際應(yīng)用。因此本文對(duì)校園無線局域網(wǎng)的安全進(jìn)行了分析。

【關(guān)鍵詞】校園；無線局域網(wǎng)；安全

1 IEEE802.11b 標(biāo)準(zhǔn)的安全性描述

IEEE802.11b 標(biāo)準(zhǔn)在設(shè)計(jì)之初就考慮了接入安全認(rèn)證、傳輸數(shù)據(jù)的保密性和完整性等要求。安全機(jī)制主要體現(xiàn)在信息過濾、用戶訪問控制和數(shù)據(jù)加密三個(gè)方面。為了提高網(wǎng)絡(luò)的安全性，IEEE802.11b 標(biāo)準(zhǔn)采用的最常用的三種技術(shù)：擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)（ESSID）、MAC 訪問控制技術(shù)、WEP 加密技術(shù)。

1.1ESSID

ESSID 是 WLAN 服務(wù)區(qū)域編號(hào)，即每個(gè) AP（Acess Point）接入點(diǎn)的名字，及時(shí)的更改默認(rèn)的服務(wù)集標(biāo)識(shí)符，當(dāng)無線客戶端的 ESSID 與 AP 相匹配時(shí)，AP 才會(huì)接入無線終端的訪問并提供服務(wù)，如果不符合，就拒絕給予接入服務(wù)。利用 ESSID可以很好進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能問題。在部署無線網(wǎng)絡(luò)時(shí)，一定要將出廠時(shí)的 SSID 換成自定義的 SSID，防止被黑客猜到并實(shí)施攻擊。禁用 SSID 廣播可以加強(qiáng)網(wǎng)絡(luò)的安全性，現(xiàn)在大多數(shù)的 AP 都能支持屏蔽 SSID 廣播。

1.2MAC 訪問控制技術(shù)

這種方法就是進(jìn)行 MAC 地址過濾，因?yàn)槊總€(gè)無線客戶端都有一個(gè)唯一的注冊的 MAC 地址，將唯一的 MAC 地址標(biāo)識(shí)生成一張“MAC 地址控制列表（AccessControl）”，限制接入 AP 的 MAC 地址控制列表上的無線客戶端的名單，這樣就能有效的控制客戶與網(wǎng)絡(luò)的連接。采用此安全方案，在無線接入設(shè)備更換或丟失后要及時(shí)對(duì) AP 內(nèi)的 MAC 地址表進(jìn)行更新，才能再建立合法的連接。

使用 ESSID 和 MAC 訪問控制技術(shù)這兩種安全技術(shù)一般用于簡單的無線基站中，像校園網(wǎng)、小區(qū)局域網(wǎng)等這類的小型無線局域網(wǎng)，能夠提高無線網(wǎng)絡(luò)的安全性，而且方法簡單快捷，只需要簡單的配置就能完成訪問權(quán)限的設(shè)置。

1.3WEP 加密技術(shù)

WEP 即有線等效加密算法，又稱無線加密協(xié)議，IEEE802.11b 通過 WEP 加密技術(shù)來實(shí)現(xiàn)認(rèn)證與數(shù)據(jù)加密。在 IEEE802.11b 標(biāo)準(zhǔn)中定義了 WEP 密鑰長度為 64位，并使用 RC4 流密碼進(jìn)行加密，WEP 是一種對(duì)稱加密，即加密和解密的密鑰相同，它在接入端能有效的控制未授權(quán)的用戶進(jìn)入互聯(lián)網(wǎng)，通過加密，只允許擁有相對(duì)應(yīng)密鑰的用戶進(jìn)行解密，從而保護(hù)了數(shù)據(jù)流。WEP 協(xié)議的目標(biāo)就是希望能讓無線局域網(wǎng)達(dá)到和有線網(wǎng)絡(luò)一樣的安全等級(jí)。

由于 WEP 密鑰需要手動(dòng)修改，因此只適用于覆蓋范圍不大，客戶端數(shù)量不多和要求安全性級(jí)別不是很高的環(huán)境，才能最經(jīng)濟(jì)最便利。雖然 WEP 有一定的安全保障，但是所選擇的算法存在一定的問題，選擇的密鑰是靜態(tài)的密鑰，由于沒有更加成熟的密鑰管理技術(shù)支持，因此還是存在一定的缺陷。

一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過認(rèn)證。IEEE802.11b標(biāo)準(zhǔn)中定義了兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證（Open System Authentication）和共享密鑰認(rèn)證（Shared Key Authentication）。

2 IEEE802.11i 標(biāo)準(zhǔn)的安全性描述

在大型企業(yè)、銀行、證券行業(yè)等網(wǎng)絡(luò)要求安全性比較高的場合，使用 WEP安全技術(shù)并不能完全達(dá)到安全需求，這也使得無線局域網(wǎng)技術(shù)受到了很多批評(píng)。為了解決這個(gè)被動(dòng)局面，IEEE 制訂了新一代的安全標(biāo)準(zhǔn) IEEE802.11i 標(biāo)準(zhǔn)，并成為 802.11 系列標(biāo)準(zhǔn)的一部分，包括兩項(xiàng)主要內(nèi)容：Wi—Fi 保護(hù)接入 WPA（Wi—FiProtected Access）和強(qiáng)健的安全網(wǎng)絡(luò)（RSN，Robust Security Network）。WPA 不僅是一種加密機(jī)制，作為 IEEE802.11i 標(biāo)準(zhǔn)的子集，WPA 包含了鑒別、加密和數(shù)據(jù)完整性校驗(yàn) 3 個(gè)組成部分，是一個(gè)完整的安全措施，其核心是IEEE802.11x和暫時(shí)密鑰完整協(xié)議（TKIP，Temporal Key Integrity Protocol）。

WPA采用TKIP、CCMP（Counter—Mode/CBC—MAC Protocol）和 WRAP （WirelessRobustAuthenticated Protocol）加密技術(shù)，并且使用 IEEE802.1x 和可擴(kuò)展認(rèn)證協(xié)議EAP（Extensible Authentication）認(rèn)證機(jī)制，從而能夠?qū)崿F(xiàn)無線局域網(wǎng)的訪問控制、密鑰管理和數(shù)據(jù)加密。

參考文獻(xiàn)：

[1]錢進(jìn).無線局域網(wǎng)技術(shù)與應(yīng)用[M]電子工業(yè)出版社，2004.

[2]黎連業(yè)等.無線網(wǎng)絡(luò)及其應(yīng)用技術(shù)[M]清華大學(xué)出版社.

[3]楊軍等.無線局域網(wǎng)組建實(shí)戰(zhàn)[M]電子工業(yè)出版社.