摘 要：隨著通信技術(shù)的不斷進(jìn)步，無(wú)線局域網(wǎng)技術(shù)也得到了提高和普及，無(wú)線局域網(wǎng)的普遍應(yīng)用給人們帶來(lái)了諸多便利。本文對(duì)無(wú)線局域網(wǎng)中的身份驗(yàn)證、數(shù)據(jù)加密、信息完整性驗(yàn)證以及秘鑰管理等機(jī)制進(jìn)行了介紹，分析了當(dāng)前無(wú)線局域網(wǎng)通信中，由于傳播介質(zhì)脆弱、WEP協(xié)議不完善、IPseC缺乏對(duì)鏈路層的保護(hù)等引起的安全隱患，給出了利用VPN、IEEE802.1x協(xié)議、WAP協(xié)議等進(jìn)行通信的安全防護(hù)措施。

關(guān)鍵詞：無(wú)線局域網(wǎng)；通信安全；安全隱患；防護(hù)措施

1 引言

當(dāng)前，隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)幾乎覆蓋了人類生活的各個(gè)領(lǐng)域，對(duì)人們傳統(tǒng)的工作、生活、學(xué)習(xí)方式帶來(lái)了巨大變革。近年來(lái)，各種智能移動(dòng)設(shè)備的普及，使得通信技術(shù)和網(wǎng)絡(luò)技術(shù)逐步向移動(dòng)化的方向發(fā)展，人們對(duì)移動(dòng)中接入互聯(lián)網(wǎng)的需求也越來(lái)越迫切。

無(wú)線局域網(wǎng)（WLAN）技術(shù)將無(wú)線通信技術(shù)和互聯(lián)網(wǎng)有機(jī)結(jié)合起來(lái)，使得在無(wú)線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，用戶可以隨時(shí)隨地接入互聯(lián)網(wǎng)，滿足了人們對(duì)移動(dòng)中接入互聯(lián)網(wǎng)的現(xiàn)實(shí)需求。無(wú)線局域網(wǎng)具有接入速度快、性價(jià)比較高且擴(kuò)展性強(qiáng)等多種有點(diǎn)，因此得到了十分廣泛的應(yīng)用[1]。目前，各種智能移動(dòng)設(shè)備逐漸普及，連接無(wú)線網(wǎng)絡(luò)幾乎已經(jīng)成為這些設(shè)備的最為基礎(chǔ)的功能之一，因此，無(wú)線局域網(wǎng)技術(shù)具有十分廣泛的發(fā)展和應(yīng)用前景，也是通信領(lǐng)域的重要突破技術(shù)之一。

然而，由于無(wú)線局域網(wǎng)在一定的覆蓋范圍內(nèi)對(duì)用戶是開放的，導(dǎo)致其通信鏈路易被惡意攻擊者非法訪問(wèn)，用戶利用無(wú)線局域網(wǎng)傳輸數(shù)據(jù)時(shí)，容易遭到非法竊聽[2]。無(wú)線局域網(wǎng)的上述缺點(diǎn)，導(dǎo)致在應(yīng)用方面受到了一定制約，因此，開展無(wú)線局域網(wǎng)的安全防護(hù)研究具有十分重要的價(jià)值和意義。

2 無(wú)線局域網(wǎng)的安全機(jī)制

在利用無(wú)線局域網(wǎng)信息傳輸時(shí)，理想情況是將信息安全可靠地發(fā)送到目的主機(jī)，且發(fā)送的信息被接收后，僅有目標(biāo)主機(jī)能夠理解。為了完成上述功能，無(wú)線局域網(wǎng)在發(fā)展過(guò)程中，在研究人員的努力下，提出了一系列保證信息能夠安全傳送的安全機(jī)制，如身份驗(yàn)證、數(shù)據(jù)加密、信息完整性驗(yàn)證以及秘鑰管理等等，下面分別詳細(xì)介紹這幾種安全機(jī)制。

（1）身份驗(yàn)證機(jī)制。由于無(wú)線局域網(wǎng)是對(duì)外開放的，但是并非所有人都允許接入，必須是授權(quán)的用戶才可接入，因此，在用戶請(qǐng)求連接時(shí)，無(wú)線局域網(wǎng)首先要對(duì)用戶的身份進(jìn)行認(rèn)證，只有當(dāng)用戶的身份合法時(shí)，才可成功接入。無(wú)線局域網(wǎng)的身份認(rèn)證機(jī)制能夠?qū)崿F(xiàn)無(wú)線接入點(diǎn)和用戶終端相互之間的身份認(rèn)證，根據(jù)驗(yàn)證結(jié)果，決定用戶終端是否允許接入[3]。

（2）數(shù)據(jù)加密機(jī)制。當(dāng)信息通過(guò)無(wú)線網(wǎng)進(jìn)行傳輸時(shí)，無(wú)線局域網(wǎng)的開放性導(dǎo)致其傳輸?shù)男畔⒑苋菀妆还粽呓孬@，如果傳輸?shù)氖敲魑臄?shù)據(jù)，則攻擊者可獲得信息的真實(shí)內(nèi)容，因此，必須對(duì)發(fā)送的信息進(jìn)行加密。無(wú)線局域網(wǎng)的數(shù)據(jù)加密機(jī)制利用加密算法對(duì)將要傳輸?shù)男畔⑦M(jìn)行加密，然后將加密后的信息通過(guò)無(wú)線信道進(jìn)行傳輸，傳輸過(guò)程中即使攻擊者截獲了信息，也無(wú)法輕易知曉信息的真實(shí)內(nèi)容，只有合法用戶接收到信息后，利用秘鑰對(duì)加密信息進(jìn)行解密之后才能得到正確的明文信息。

（3）信息完整性驗(yàn)證機(jī)制。數(shù)據(jù)在無(wú)線局域網(wǎng)的信道中傳輸時(shí)，一方面由于信道不穩(wěn)定導(dǎo)致信息容易丟失，另一方面惡意攻擊者可能對(duì)信息進(jìn)行更改后轉(zhuǎn)發(fā)給目的主機(jī)，這導(dǎo)致合法用戶接收到的信息存在錯(cuò)誤或不完整等問(wèn)題[4]。無(wú)線局域網(wǎng)的信息完整性驗(yàn)證機(jī)制可對(duì)接收到的信息是否完整進(jìn)行檢測(cè)和判斷，從而保證合法用戶能夠得到完整準(zhǔn)確的信息。

（4）秘鑰管理機(jī)制。數(shù)據(jù)的加密和解密離不開秘鑰，而對(duì)秘鑰的管理是否科學(xué)合理，關(guān)系著加密信息能夠安全傳送。無(wú)線局域網(wǎng)的秘鑰管理機(jī)制對(duì)秘鑰的生成、分配等各個(gè)環(huán)節(jié)進(jìn)行管理，以避免秘鑰重用或網(wǎng)絡(luò)開銷較大等問(wèn)題。

3 無(wú)線局域網(wǎng)存在的安全威脅

盡管無(wú)線局域網(wǎng)采取了一系列安全機(jī)制來(lái)保證通信的安全性，但是其自身固有的特點(diǎn)以及技術(shù)的不完善，導(dǎo)致其仍存在很多安全隱患，主要表現(xiàn)在傳輸介質(zhì)脆弱、保密協(xié)議不完善、Ipse安全性較弱等方面。

傳統(tǒng)的有線局域網(wǎng)通常將集線器或銅線等作為傳輸介質(zhì)，數(shù)據(jù)傳輸過(guò)程中可利用安全設(shè)備或認(rèn)為保護(hù)，能夠抵御一定的網(wǎng)絡(luò)攻擊，安全性較強(qiáng)，但是無(wú)線局域網(wǎng)的傳輸介質(zhì)是空氣，容易受到環(huán)境因素的影響，且其開放性導(dǎo)致其容易受到惡意攻擊者的攻擊，因此，其數(shù)據(jù)傳輸過(guò)程中的安全性需要進(jìn)一步提高。

無(wú)線局域網(wǎng)通常是在有線等效保密協(xié)議（WEP）的基礎(chǔ)上構(gòu)建起來(lái)的，但是WEP往往無(wú)法對(duì)無(wú)線局域網(wǎng)中的信息傳輸進(jìn)行十分有效的保護(hù)，缺乏完整的認(rèn)證校驗(yàn)功能。因此，一旦WEP受到破壞，將嚴(yán)重威脅無(wú)線局域網(wǎng)的安全性。

4 無(wú)線局域網(wǎng)安全防護(hù)措施

為了保證無(wú)線局域網(wǎng)的安全性，常見(jiàn)的防護(hù)措施主要包括：

（1）利用VPN進(jìn)行通信。VPN即虛擬專用網(wǎng)，通過(guò)在公共網(wǎng)絡(luò)中建立加密的隧道，將待傳輸?shù)臄?shù)據(jù)進(jìn)行加密和協(xié)議封裝，并將新的協(xié)議頭嵌套進(jìn)去之后再進(jìn)行傳輸，從而實(shí)現(xiàn)從遠(yuǎn)程安全訪問(wèn)內(nèi)部網(wǎng)絡(luò)[5]。VPN作為一種重要的安全通信解決方式，一直受到研究人員和網(wǎng)絡(luò)用戶的青睞。利用VPN進(jìn)行網(wǎng)絡(luò)通信，可將無(wú)線網(wǎng)絡(luò)當(dāng)做Internet同等對(duì)待，將無(wú)線網(wǎng)絡(luò)通信封裝在防火墻內(nèi)，每個(gè)用戶分別與一個(gè)VPN相對(duì)應(yīng)，通過(guò)VPN與無(wú)線網(wǎng)絡(luò)相連，這種連接方式能夠?qū)⑼鈦?lái)設(shè)備阻擋在無(wú)線網(wǎng)絡(luò)之外。

（2）利用IEEE802.1x協(xié)議進(jìn)行無(wú)線網(wǎng)絡(luò)安全通信。盡管IEEE802.1x最初的設(shè)計(jì)主要是針對(duì)有線網(wǎng)絡(luò)，但是通過(guò)研究人員的研究發(fā)現(xiàn)，該協(xié)議更適用于無(wú)線網(wǎng)絡(luò)。利用IEEE802.1x協(xié)議進(jìn)行通信時(shí)，如果有設(shè)備請(qǐng)求接入中心點(diǎn)，則中心點(diǎn)會(huì)首先要求改設(shè)備提供相應(yīng)的數(shù)字證書，待設(shè)備提交數(shù)字證書后，中心點(diǎn)再將該證書提交給用于認(rèn)證的遠(yuǎn)程撥號(hào)用戶服務(wù)器。上述過(guò)程被包含在EAP中，EAP作為IEEE802.1x中十分重要的功能，主要提供給用戶用于生成其自身的證書發(fā)放方式。

（3）利用WAP協(xié)議進(jìn)行安全通信。傳統(tǒng)的WEP協(xié)議存在的隱患主要在于秘鑰的傳遞，因?yàn)槊罔€在傳遞過(guò)程中容易被截獲。WAP對(duì)WEP等原有的協(xié)議進(jìn)行了改進(jìn)，將秘鑰用TKIP進(jìn)行傳送，且在對(duì)秘鑰管理的過(guò)程中，采用與RSA秘鑰管理類似的方式。TKIP協(xié)議利用初始化向量對(duì)數(shù)據(jù)包進(jìn)行編號(hào)，使得接收端能夠根據(jù)數(shù)據(jù)包的編號(hào)決定是否接收該數(shù)據(jù)包，從而避免了重放攻擊；通過(guò)生成臨時(shí)秘鑰，降低秘鑰泄露風(fēng)險(xiǎn)；將消息完整性校驗(yàn)碼封裝在數(shù)據(jù)包中一同發(fā)送，接收者通過(guò)對(duì)比MIC值判斷是否遭到篡改攻擊，從而采取相應(yīng)的處理措施

5 結(jié)束語(yǔ)

通信技術(shù)的不斷進(jìn)步帶動(dòng)了無(wú)線局域網(wǎng)技術(shù)的不斷發(fā)展和普遍應(yīng)用，給人們工作、生活等方方面面帶來(lái)了巨大便利，人們隨時(shí)隨地可以利用智能終端連接無(wú)線網(wǎng)絡(luò)，享受各種網(wǎng)絡(luò)服務(wù)。盡管無(wú)線局域網(wǎng)采用了身份驗(yàn)證、數(shù)據(jù)加密、信息完整性驗(yàn)證等多種機(jī)制來(lái)加強(qiáng)通信的安全性，但仍存在傳輸介質(zhì)脆弱等諸多問(wèn)題，因此在無(wú)線局域網(wǎng)在發(fā)展的同時(shí)，對(duì)其存在的安全隱患也需要引起高度重視，有必要采取相應(yīng)的解決或防護(hù)措施，確保無(wú)線網(wǎng)絡(luò)通信的安全性。

參考文獻(xiàn)：

[1]朱海波. 無(wú)線局域網(wǎng)通信安全機(jī)制探究[J]. 移動(dòng)信息， 2015 （3）： 82-83.

[2]楊雪. 無(wú)線局域網(wǎng)通信安全機(jī)制探究[J]. 電子世界， 2013 （19）： 140-141.

[3]顧文琰. 無(wú)線局域網(wǎng)安全機(jī)制研究[J]. 中國(guó)科技博覽， 2014 （40）： 156-156.

作者簡(jiǎn)介：

周昆，1982年2月16，男，漢族，湖北省宜城市，大專；湖北致園生態(tài)科技有限公司，研究方向無(wú)線局域網(wǎng)。