凡星 劉培奇

摘要:隨著無線局域網(wǎng)技術(shù)的快速發(fā)展，Wi-Fi作為移動設(shè)備的無線聯(lián)網(wǎng)技術(shù)應(yīng)用的越來越廣泛。但無線局域網(wǎng)采用電磁波作為信息傳播的載體，信息很容易被竊聽或干擾，面臨著嚴峻的網(wǎng)絡(luò)安全問題。該文通過對無線局域網(wǎng)中安全問題的學(xué)習(xí)，研究了主要的Wi-Fi安全技術(shù)，并提出對應(yīng)的解決方案。

關(guān)鍵詞:無線局域網(wǎng)；Wi-Fi；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)07-1513-03

Wi-Fi Security Technology Research in WLAN

FAN Xing, LIU Pei-qi

(School of Information and Control Engineering, Xian Univ. of Arch. and Tech., Xian 710055, China)

Abstract: With the rapid development of WLAN technology, Wi-Fi is applied more and more widely as wireless networking technology in mobile equipment. But WLAN transmission information through the electromagnetic wave that information is easy to be eavesdropped and disturbed, facing the severe network security problems. Through the study of WLAN security issues in this article, researches mainly Wi-Fi security technology, and puts forward corresponding solutions.

Key words: WLAN；Wi-Fi；network security

隨著移動通信技術(shù)的發(fā)展，無線局域網(wǎng)(WLAN)[1]因具有高移動性、建網(wǎng)容易、管理方便和兼容性好等優(yōu)點,在很多領(lǐng)域中得到廣泛應(yīng)用。而實現(xiàn)無線組網(wǎng)協(xié)議的Wi-Fi技術(shù)由于工作在2.4G或5G的頻段,作用距離不遠,有利于頻率復(fù)用,提供了一個可以在世界范圍內(nèi)使用，費用極相對低廉且數(shù)據(jù)帶寬較高的無線接口。因此，個人電腦和手持設(shè)備等可移動終端越來越多的使用Wi-Fi技術(shù)進行無線方式相互連接。但隨著WLAN應(yīng)用領(lǐng)域的擴大和應(yīng)用層次的不斷深入, WLAN所使用的Wi-Fi的技術(shù)，其安全性也日益受到人們的關(guān)注,以致WLAN的安全問題成為當前無線網(wǎng)絡(luò)安全應(yīng)用和研究的一個熱點問題[2] [3]。

1無線局域網(wǎng)WLAN

WLAN是隨著無線通信技術(shù)不斷進步，以及PC機、PDA等智能移動終端技術(shù)的不斷發(fā)展的情況下，網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，它以無線通信技術(shù)在一定的局部范圍內(nèi)建立無線網(wǎng)絡(luò)，通過微波作為傳輸媒介，提供傳統(tǒng)有線局域網(wǎng)的功能，使廣大用戶可以便利的，隨時隨地的自由接入Internet，享受安全有保障的網(wǎng)絡(luò)服務(wù)，這也成為發(fā)展的必然趨勢。無線局域網(wǎng)在此形式下迅猛發(fā)展，在接入速率和適應(yīng)環(huán)境上與3G技術(shù)互為補充，成為新一代高速無線接入網(wǎng)絡(luò)。

根據(jù)站點相互連接的形式和適用的接入規(guī)模，WLAN的拓撲結(jié)構(gòu)可分為兩種方式：終端數(shù)相對較少的無中心拓撲網(wǎng)絡(luò)和終端數(shù)較多的有中心拓撲網(wǎng)絡(luò)。

1)無中心拓撲網(wǎng)絡(luò)：由一組配備無線網(wǎng)卡的無線終端組成，這些無線終端必須具有相同的工作組名、SSm(Service Set ID)和密碼。一個對等網(wǎng)絡(luò)覆蓋的服務(wù)區(qū)域稱為獨立基本服務(wù)集(IBSS)，網(wǎng)絡(luò)中任意兩個無線終端不使用無線接入點即可建立連接進行直接通信。如圖1所示。

圖1無中心拓撲網(wǎng)絡(luò)

2)有中心拓撲網(wǎng)絡(luò)：很多時候，無線局域網(wǎng)是作為有線局域網(wǎng)應(yīng)用的一種擴展，所以無線局域網(wǎng)的另一種拓撲結(jié)構(gòu)就是有中心拓撲網(wǎng)絡(luò)，它由無線終端、無線接入點和其他網(wǎng)絡(luò)設(shè)備組成。一個無線接入點覆蓋的服務(wù)區(qū)域稱為一個基本服務(wù)集(Basic Service Set)，多個基本服務(wù)集重疊部分形成擴展服務(wù)集(Extend Service Set)，如圖2所示。

圖2有中心拓撲網(wǎng)絡(luò)

由于WLAN是基于計算機網(wǎng)絡(luò)與無線通信技術(shù)，而在計算機有線網(wǎng)絡(luò)結(jié)構(gòu)中，邏輯鏈路控制（LLC）層及其之上的應(yīng)用層對不同的物理層的要求可以是相同的，也可以是不同的，因此，WLAN技術(shù)標準主要是針對物理層和媒質(zhì)訪問控制層(MAC)。同時與有線網(wǎng)絡(luò)相比，WLAN只是在傳輸方式上有所不同，所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在WLAN中也存在，但WLAN是采用射頻技術(shù)進行網(wǎng)絡(luò)連接及傳輸?shù)拈_放式物理系統(tǒng)，以致與有線網(wǎng)絡(luò)相比還存在一些特有的安全威脅，主要表現(xiàn)下在以下幾個方面:1)服務(wù)后抵賴；2)WEP加密破解；3)無線竊聽；4)假冒攻擊；5)MAC地址欺騙。

針對這些安全問題，WLAN中的安全業(yè)務(wù)都需要相應(yīng)的安全機制來保證,用加密技術(shù)實現(xiàn)保密性業(yè)務(wù),通過訪問控制實現(xiàn)身份認證業(yè)務(wù),用消息認證機制實現(xiàn)完整性業(yè)務(wù),用數(shù)字簽名技術(shù)實現(xiàn)不可否認性業(yè)務(wù)。這樣即使WLAN在網(wǎng)絡(luò)安全方面存在一些問題，但作為計算機網(wǎng)絡(luò)技術(shù)和無線通信技術(shù)相結(jié)合的最新技術(shù)，使用無線技術(shù)來發(fā)送和接收數(shù)據(jù)，減少了用戶的連線需求，方便了用戶的移動通信和使用網(wǎng)絡(luò)服務(wù)。

2 Wi-Fi技術(shù)與Wi-Fi無線網(wǎng)絡(luò)

Wi-Fi技術(shù)是基于IEEE 802.11x系列標準[4]的無線網(wǎng)絡(luò)通信技術(shù)的品牌，目的是改善基于IEEE 802.11x標準的無線網(wǎng)路產(chǎn)品之間的互通性，由Wi-Fi聯(lián)盟(Wi-Fi Alliance)所持有，簡單來說Wi-Fi就是一種無線聯(lián)網(wǎng)的技術(shù)，以前通過網(wǎng)絡(luò)連接電腦，而現(xiàn)在則是通過無線電波來聯(lián)網(wǎng)。它使用2.4GHz附近的頻段，在信號較弱或有干擾的情況下，帶寬可調(diào)整為5.5Mbps、2Mbps和1Mbps，帶寬的自動調(diào)整，有效的保障了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。目前常用的無線網(wǎng)絡(luò)標準為802.11a、802.11b、802.11g和2009年9月IEEE批準的802.11n高速無線局域網(wǎng)標準，見表1。

表1常用的無線網(wǎng)絡(luò)標準

由于Wi-Fi技術(shù)自身的優(yōu)點，可以大幅度提升WLAN的網(wǎng)絡(luò)互聯(lián)能力，所以Wi-Fi技術(shù)在無線局域網(wǎng)中的應(yīng)用得到了飛速的發(fā)展，以致很多用戶將使用IEEE 802.11x系列標準的無線局域網(wǎng)稱為Wi-Fi無線局域網(wǎng)。Wi-Fi的優(yōu)勢可概括為以下幾方面：

1)無線電波的覆蓋范圍廣。

2)只要設(shè)置“熱點”，就可以將因特網(wǎng)接入指定場所。

3)廠商進入該領(lǐng)域的門檻比較低。

4)傳輸速度快，符合個人和社會信息化的需求。

5)不需要布線，可以不受布線條件的限制。

6)對人體無傷害。

3 Wi-Fi安全技術(shù)

Wi-Fi雖然容易受到黑客攻擊和竊聽。但是，使用正確的安全措施，Wi-Fi還是安全的。無線網(wǎng)絡(luò)的安全性通過認證和加密來實現(xiàn)。認證允許只有被許可的用戶才能連接到無線網(wǎng)絡(luò)；而加密的目的是提供數(shù)據(jù)的保密性和完整性。802.11標準最初只定義了兩種認證方法：開放系統(tǒng)認證（Open System Authentication）和共享密鑰認證（Shared Key Authentication），以及唯一的WEP加密方法。對于開放系統(tǒng)認證，在設(shè)置時也可以啟用WEP，此時，WEP用于在傳輸數(shù)據(jù)時加密，對認證沒有任何作用；對于共享密鑰認證，必須啟用WEP，WEP不僅用于認證，也用于在傳輸數(shù)據(jù)時加密。

由于WEP技術(shù)存在初始化向量范圍有限、使用明文傳送和使用對稱加密算法等嚴重缺陷，802.11使用802.1x來進行認證、授權(quán)和密鑰管理，另外，IEEE開始制訂802.11i標準，用于增強無線網(wǎng)絡(luò)的安全性。同時，Wi-Fi聯(lián)盟與IEEE一起開發(fā)了Wi-Fi受保護的訪問WPA以解決WEP加密技術(shù)存在的缺陷。以下是涉及到Wi-Fi無線網(wǎng)絡(luò)安全時，通常采用的相關(guān)措施：

1)不要使用WEP：由于WEP存在很多缺陷[5]，以使有經(jīng)驗的黑客能夠迅速地破解WEP加密協(xié)議。因此，根本就不應(yīng)該使用WEP。

2)應(yīng)用802.11i：WPA和WPA2安全的EAP模式使用802.1X身份識別，而不是PSK，在向每一個用戶提供自己的登錄證書的能力，如用戶名和口令以及一個數(shù)字證書。而實際的加密密鑰是在后臺定期改變和交換的。因此，要改變或者撤銷用戶訪問，這就要求在中央服務(wù)器修改登錄證書，而不是在每一臺客戶機上改變PSK。這種獨特的每個進程使用一個密鑰的做法還防止用戶相互竊聽對方的通訊。為達到盡可能安全，應(yīng)該使用帶802.1X的WPA2。也就是802.1i。

3)保證802.1X客戶機設(shè)置的安全：WPA/WPA2的EAP模式仍然容易受到中間人攻擊。然而，你可以通過保證客戶機EAP設(shè)置的安全來阻止這些攻擊。因此，802.1X客戶機設(shè)置的安全性也就顯得尤為重要。

4)使用無線入侵防御系統(tǒng)：一個無線入侵防御系統(tǒng)(WIPS)可以幫助檢測和對抗黑客建立的虛假接入點和實施拒絕服務(wù)等攻擊。

5)應(yīng)用NAP或者NAC：除了802.11i和WIPS之外，一個NAP(網(wǎng)絡(luò)接入保護)或者NAC(網(wǎng)絡(luò)接入控制)解決方案能夠根據(jù)客戶身份和執(zhí)行定義的政策的情況對網(wǎng)絡(luò)接入提供額外的控制。這些解決方案還包括隔離有問題的客戶的能力以及提出補救措施讓客戶重新遵守法規(guī)的能力。

6)不要信任MAC地址過濾：Wi-Fi無線安全啟用MAC(媒體接入控制)地址過濾增加一層安全性，可以控制哪一個客戶機能夠連接到這個網(wǎng)絡(luò)。但是，竊聽者可以很容易監(jiān)視網(wǎng)絡(luò)中授權(quán)的MAC地址并且隨后改變自己的計算機的MAC地址。因此，不要以為MAC過濾能夠為安全做許多事情而采用MAC地址過濾。

7)不要過分信任SSID：無線網(wǎng)絡(luò)中在關(guān)閉接入點的SSID播出將隱藏用戶所在網(wǎng)絡(luò)，或者至少可以隱藏用戶的SSID，讓黑客很難找。然而，這種做法只是從接入點信標中取消了SSID，它仍然包含在802.11相關(guān)的請求之中，在某些情況下還包含在探索請求和回應(yīng)數(shù)據(jù)包中。因此，竊聽者能夠使用合法的無線分析器在繁忙的網(wǎng)絡(luò)中迅速發(fā)現(xiàn)先前用戶的SSID，因此，不要過分信任SSID。

8)保護移動客戶：對Wi-Fi安全的擔(dān)心不應(yīng)該僅限于網(wǎng)絡(luò)。使用智能手機和筆記本電腦等移動終端用戶也要得到保護。在他們連接到Wi-Fi熱點或者自己家里路由器的時候，需要保證他們其它的Wi-Fi連接也是安全的，也可以防止入侵和竊聽。

遺憾的是保證Wi-Fi連接外部的安全并不是一件容易的事情。這需要采取綜合性的方法，如提供和推薦解決方案以及告訴用戶有關(guān)WiFi安全風(fēng)險和防御措施等。

4結(jié)束語

WLAN自誕生以來就發(fā)展迅速，極大的影響和改變了人們的生活和通信方式,必將對人類的歷史產(chǎn)生積極而深遠的影響。但WLAN所采用的開放式信道存在著巨大的安全隱患，攻擊者可以利用無線信道的開放性對網(wǎng)絡(luò)發(fā)起各種各樣的安全攻擊,使無線局域網(wǎng)面臨著比有線網(wǎng)絡(luò)更大的安全風(fēng)險。當前，如何保證WLAN的網(wǎng)絡(luò)安全性,使之更好地為用戶服務(wù),已經(jīng)成為一個至關(guān)重要的問題。然而,隨著新的安全理論和技術(shù)的不斷涌現(xiàn)，使得我們有信心從容面對眾多安全挑戰(zhàn)。

參考文獻：

[1]鐘章隊,趙紅禮.無線局域網(wǎng)[M].北京:科學(xué)出版社,2004.

[2]包時紅.無線局域網(wǎng)的安全機制[J].計算機工程,2007(7):207-209.

[3]趙昌建.淺析無線局域網(wǎng)的安全防范措施[J].電腦知識與技術(shù),2010(7):1600-1601.

[4] IEEE標準.802.1X-2001 Port Base Network Access Contral[S].2001.

[5]劉永磊,金志剛.WEP協(xié)議攻擊方法研究[J].計算機工程,2010(11):153-157.

更正

發(fā)表于2012年8卷4期第967-970頁的《領(lǐng)域本體的構(gòu)建研究——以“數(shù)據(jù)結(jié)構(gòu)”為例》一文，漏登第二、第三作者的署名，原文署名“楊瑾”應(yīng)更正為“楊瑾、李星、張麗敏”。特此更正！