安利峰

摘 要： 无线局域网通过无线多址信道进行计算机与外界、计算机与计算机的通信，也在自身发展的同时，促使了移动化通信、个性化通信以及多媒体化通信的发展。但是无线局域网还存在一定的安全问题，必须建立安全机制对其进行规制。

关键词： 无线局域网；通信安全；WLAN

序言

无线局域网是在有线网络上发展起来的，是无线传输技术在局域网技术上的运用，而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势，因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点，但由于其基于无线路径进行传播，因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11，但其存在设计缺陷，缺少密钥管理，存在很多安全漏洞。

一、无线局域网的概念

在有线局域网中，网络的链接方式是传输线缆，那么对于无线局域网而言，“无线”的含义表示网络的连接是通过红外线、微波等无线技术实现；“局域网”定义了网络应用的范围，它是相当于“广域网”和“个人网”而言，既可以是一个房间内，一栋建筑内，也可以是一个校园，因此无线局域网（WLAN）就是传输媒介实现的计算机局域网。随着WLAN的广泛应用，从狭义上讲，我们一般所讲的无线局域网就是指遵循IEEE802.11协议的无线局域网，我们讨论的无线局域网安全也是针对IEEE802.11协议标准的安全。

二、无线局域网的结构

根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用的具体有几种。

1.网桥连接型

不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。

2.基站接入型

当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。

3.Hub接入型

利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点。在该結构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。

4.无中心结构

要求网中任意两个站点均可直接通信，此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。无线局域网可以在普通局域网基础上通过无线Hub、无线接入站（AP）、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多。

三、无线局域网的安全机制

1.数据加密技术

在无线局域网中，数据加密主要是对数据的完整性和机密性进行保护，以防数据在无线局域网中传播时被非法的篡改或者窃听。数据加密技术主要有WEP协议、IPSec协议和VPN技术三种。

2.数据的访问技术

访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。

3.数据认证技术

认证技术主要是对用户身份的一种认证或者是验证，以保证访问主体是授权的、合法的。认证是无线局域网最重要的安全机制之一，其包括开放式认证和密钥共享式认证两种。

四、无线局域网存在的安全隐患

尽管无线局域网是随着计算机网络技术和现代通信技术的发展而产生的新兴技术，但是其在应用中还是存在着一定的安全隐患，主要表现在以下几个方面：

1.无线局域网传输介质比较脆弱。在过去的有线局域网中，一般采取的是无源集线器和铜线作为传输媒介，它们在安全上往往受到一定的安全设备或者安全人员的保护，很难遭受到攻击者的攻击，在数据传输上具有较强的安全性，而无线局域网所使用的传输媒介是空气，受大气等物理条件的干扰较大，同时也比较容易受到攻击者的攻击，如电磁干扰等等，使其数据传输安全性得不到保障。

2.WLAN隐蔽性差。无线网络是采用射频技术进行网络连接及数据传输的开放式物理系统，通过无线电波的形式传播数据，其有效覆盖范围一般为50-100米，在有障碍物的情况下距离有所缩短。为了有效接收信号，许多人都会通过增加天线来提高功放，以增大覆盖范围。这样，即使不进入无线用户的家庭或企业内，也可以接受到无线信号，网络攻击者就可以肆意侦听窃取传输数据，毫无隐蔽性可言。

3.用户安全防范意识薄弱。与WLAN最紧密相关就是无线设备了，许多无线设备出厂时就被预先设定初始值。由于用户安全防范意识较弱，购买后一般不会对无线设备进行有效的安全配置，在设置无线登陆密码时又过于简单省事，比如生日、手机号等等，使得网络侵入者可以利用这些潜在的安全漏洞进行攻击。

五、解决无线局域网通信安全问题的有效途径

1.通过VPN实现无线网络通信安全

自从对网络安全概念有了一定了解以来，人们一直都将VPN作为无线安全的一种解决方式，在这种保护方式中，将无线网络当作Internet一样对待。在VPN方案中，所有的无线通信都被封在了防火墙的后面，每一个用户都对应一个VPN用户，使用VPN连接无线网络。这种安全方式阻止了外来设备进入无线网络，但这种方式也并不是万无一失。合法进入网络时需要用户启动并获得一个IP地址，一旦每个用户都有了一个IP地址，用户就可以开始网络通信了。非法进入用户的过程是差不多的，只是不能通过认证进入网络中。由于攻击者也有一个给定的IP地址，所以就没有什么办法来阻止它和同一个防火墙内的用户进行通信了。通过这种通信，攻击者也可以侵入一个合法用户，并借此进入网络中。

2.绑定静态IP和MAC地址，采取“一对一”使用的方案

通常情况下，AP或者无线路由器在为局域网分配IP地址时，都是默认使用动态的IP地址进行系统的分配与管理，因为其分配的地址并非随机而容易产生信息泄露或者被不法侵害的隐患。因为在此种前提下，只需要通过技术手段或其他方法知道用户的IP地址后就能进行动态IP地址的修改，继而会被无限局域网分配得到一个“合法”的新的可以使用的IP地址。要想解决这个问题，务必要建立一个“一对一”使用的方案，即在终端设备上关闭DHCP服务，为每个用户端分配一个固定的静态IP地址，并且限制IP地址的自动分配功能，再把这个静态的IP地址和用户电脑上MAC地址进行系统的绑定，换句话说，这么做其实是为无线网的使用设定双重关卡，不法侵入者及使得到用户的IP地址也会因为MAC地址的不符合而导致无法连接上网。

3.加强无线局域网的入侵监测系统

虽然无线局域网的被入侵在通常情况下是不易被察觉的，但对其的监测也并非是毫无办法，无线入侵监测系统可以为无线局域网的使用提供较为准确的监测信息。普通用户在使用无线局域网时，可以利用监测系统来判断入侵事件的形式及其类型，对出现的非法通信行为乃至异常的通信流量给予足够的重视，从而通过修改秘钥等手段防止不法入侵带来的通信安全隐患。

4.加强网络防范意识

对于无线设备，除设置复杂密码并时常更新之外，还可以对其进行安全设置。比如启用WPA加密，增强网络数据的安全性，关闭SSID广播，使无线网络不易被发现，设置IP过滤以及MAC地址列表避免被蹭网或外来者入侵。

六、结语

总之，安全机制存在缺陷是限制WLAN实现进一步发展的重要因素，在应用WLAN技术时要注重了解网络中存在的安全风险，并在明确安全保护机制的基础上采取必要措施维护WLAN的通信安全。随着无线技术迅猛发展，无线通信安全尚待进一步发展和完善，将用户的认证和传输数据的加密等多种措施结合起来，才能构筑安全的无线局域网。