由于無(wú)線(xiàn)局域網(wǎng)是以射頻方式在開(kāi)放的空間進(jìn)行工作的，因而其開(kāi)放性特點(diǎn)增加了確定無(wú)線(xiàn)局域網(wǎng)安全的難度，所以說(shuō)相對(duì)于傳統(tǒng)有線(xiàn)局域網(wǎng)而言，無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題顯得更為突出。其安全的內(nèi)容主要體現(xiàn)在訪(fǎng)問(wèn)控制與信息保密兩部分，目前已經(jīng)有一些針對(duì)無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題的解決方法，但仍須不斷改善。下面一起來(lái)學(xué)習(xí)無(wú)線(xiàn)局域網(wǎng)安全技術(shù)知識(shí)。

1無(wú)線(xiàn)局域網(wǎng)中不安全因素

無(wú)線(xiàn)局域網(wǎng)攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊兩類(lèi)。主動(dòng)攻擊是入侵者能夠針對(duì)數(shù)據(jù)和通信內(nèi)容進(jìn)行修改，主動(dòng)攻擊主要有：

(1)信息篡改：網(wǎng)絡(luò)攻擊者能夠針對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行刪除、增加或改動(dòng)。

(2)數(shù)據(jù)截獲：是利用TCP/IP網(wǎng)絡(luò)通信的弱點(diǎn)進(jìn)行的，該方法會(huì)掠奪合法使用者的通信信道，進(jìn)而獲得系統(tǒng)的操作權(quán)限，截獲數(shù)據(jù)。

(3)拒絕服務(wù)攻擊：網(wǎng)絡(luò)攻擊者通過(guò)各種可能的方法使網(wǎng)絡(luò)管理者無(wú)法獲得系統(tǒng)資源及服務(wù)。

(4)重傳攻擊：網(wǎng)絡(luò)攻擊者從網(wǎng)絡(luò)上獲取某些通信內(nèi)容，然后重新發(fā)送這些內(nèi)容，以對(duì)服務(wù)器認(rèn)證系統(tǒng)實(shí)施欺騙。

被動(dòng)攻擊主要是指網(wǎng)絡(luò)入侵者取得對(duì)通信資源的存取權(quán)限，但是并不對(duì)數(shù)據(jù)內(nèi)容進(jìn)行篡改。主要有：

(1)非法竊聽(tīng)：入侵者針對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)。(2)流量分析：入侵者可以得知諸如網(wǎng)絡(luò)服務(wù)器位置及網(wǎng)絡(luò)通信模式等相關(guān)信息。

2IEEE802.11標(biāo)準(zhǔn)的安全性

IEEE802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)認(rèn)證和有線(xiàn)對(duì)等加密(W-EP)。

2.1認(rèn)證

當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過(guò)認(rèn)證，執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)，IEEE802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一是開(kāi)放系統(tǒng)認(rèn)證是802.11b默認(rèn)的認(rèn)證方式，是可用認(rèn)證算法中簡(jiǎn)單的一種，分為兩步，首先向認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀;然后，接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。另一是共享密鑰認(rèn)證，這種認(rèn)證先假定每個(gè)站點(diǎn)通過(guò)一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個(gè)秘密共享密鑰，然后這些站點(diǎn)通過(guò)共享密鑰的加密認(rèn)證，加密算法是有線(xiàn)等價(jià)加密(WEP)。

2.2WEP-WiredEquivalentPrivacy加密技術(shù)

WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿(mǎn)足用戶(hù)更高層次的網(wǎng)絡(luò)安全需求。

WEP提供一種無(wú)線(xiàn)局域網(wǎng)數(shù)據(jù)流的安全方法，WEP是一種對(duì)稱(chēng)加密，加密和解密的密鑰及算法相同，WEP的目標(biāo)是接入控制，防止未授權(quán)用戶(hù)接入網(wǎng)絡(luò)，他們沒(méi)有正確的WEP密鑰。通過(guò)加密和只允許有正確WEP密鑰的用戶(hù)解密來(lái)保護(hù)數(shù)據(jù)流。

IEEE802.11b標(biāo)準(zhǔn)提供了兩種用于無(wú)線(xiàn)局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶(hù)適配器。當(dāng)用戶(hù)得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶(hù)安全通信，缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案是在每個(gè)客戶(hù)適配器建立一個(gè)與其他用戶(hù)聯(lián)系的密鑰表、該方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。

2.3IEEE802.11的安全缺陷

無(wú)線(xiàn)局域網(wǎng)IEEE802.11的安全缺陷可以從以下幾個(gè)方面考慮：

(1)WEP的缺陷：密鑰管理系統(tǒng)不夠健全、安全機(jī)制提供的安全級(jí)別不高、數(shù)據(jù)包裝算法不完善、認(rèn)證系統(tǒng)不完善、初始化向量IV的操作存在不足。

(2)RC4加密算法的缺陷：WEP采用RC4密碼算法，RC4算法的密鑰序列與明文無(wú)關(guān)，屬于同步流密碼(SSC)。其弱點(diǎn)是解密丟步后，其后的數(shù)據(jù)均出錯(cuò)，若攻擊者翻轉(zhuǎn)密文中的bit位，解碼后明文中的對(duì)應(yīng)比特位也是翻轉(zhuǎn)的，若攻擊者截獲兩個(gè)使用相同密鑰流加密的密文，可得到相應(yīng)明文的異或結(jié)果，利用統(tǒng)計(jì)分析解密明文成為可能。(3)認(rèn)證安全缺陷：IEEE802.11b標(biāo)準(zhǔn)的默認(rèn)認(rèn)證協(xié)議是開(kāi)放式系統(tǒng)認(rèn)證，實(shí)際上它是一個(gè)空的認(rèn)證算法。它的認(rèn)證機(jī)制就已經(jīng)給黑客入侵打開(kāi)了方便之門(mén)。

(4)訪(fǎng)問(wèn)控制的安全缺陷：封閉網(wǎng)絡(luò)訪(fǎng)問(wèn)控制機(jī)制，因?yàn)楣芾硐⒃诰W(wǎng)絡(luò)里的廣播是不受任何阻礙的，因此，攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱(chēng)，獲得共享密鑰;以太網(wǎng)MAC地址訪(fǎng)問(wèn)控制表，一是MAC地址很易被攻擊者嗅探到，二是大多數(shù)的無(wú)線(xiàn)網(wǎng)卡可以用軟件來(lái)改變MAC地址，偽裝一個(gè)有效地址，越過(guò)防線(xiàn)，連接到網(wǎng)絡(luò)。

3無(wú)線(xiàn)局域網(wǎng)中安全技術(shù)

(1)有線(xiàn)對(duì)等保密協(xié)議WEP：WEP協(xié)議設(shè)計(jì)的初衷是使用無(wú)線(xiàn)協(xié)議為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保證，使得無(wú)線(xiàn)網(wǎng)絡(luò)的安全達(dá)到與有線(xiàn)網(wǎng)絡(luò)同樣的安全等級(jí)。是為了達(dá)到以下兩個(gè)目的：訪(fǎng)問(wèn)控制和保密。

(2)Wi-Fi保護(hù)接入(WPA)：制定Wi-Fi保護(hù)接入?yún)f(xié)議是為了改善或者替換有漏洞的WEP加密方式。WPA提供了比WEP更強(qiáng)大的加密方式，解決了WEP存在的許多弱點(diǎn)。

(3)臨時(shí)密鑰完整性協(xié)議(TKIP)：TKIP是一種基礎(chǔ)性的技術(shù)，允許WPA向下兼容WEP協(xié)議和現(xiàn)有的無(wú)線(xiàn)硬件。TKIP與WEP一起工作，組成了一個(gè)更長(zhǎng)的128位密鑰，并根據(jù)每個(gè)數(shù)據(jù)包變換密鑰，使這個(gè)密鑰比單獨(dú)使用WEP協(xié)議安全許多倍。

(4)可擴(kuò)展認(rèn)證協(xié)議(EAP)：有EAP的支持，WPA加密可提供與控制訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)有關(guān)的更多的功能。其方法不是僅根據(jù)可能被捕捉或者假冒的MAC地址過(guò)濾來(lái)控制無(wú)線(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)，而是根據(jù)公共密鑰基礎(chǔ)設(shè)施(PKI)來(lái)控制無(wú)線(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)。雖然WPA協(xié)議給WEP協(xié)議帶來(lái)了很大的改善，它比WEP協(xié)議安全許多倍。

(5)訪(fǎng)問(wèn)控制表：在軟件開(kāi)發(fā)上采用的另一種保證安全的機(jī)制是基于用戶(hù)以太網(wǎng)MAC地址的訪(fǎng)問(wèn)控制機(jī)制。每一個(gè)接入點(diǎn)都可以用所列出的MAC地址來(lái)限制網(wǎng)絡(luò)中的用戶(hù)數(shù)。如果用戶(hù)地址存在于列表中，則允許訪(fǎng)問(wèn)網(wǎng)絡(luò)，否則，拒絕訪(fǎng)問(wèn)。

4企業(yè)無(wú)線(xiàn)局域網(wǎng)安全防范建議

無(wú)線(xiàn)局域網(wǎng)安全技術(shù)可以劃分為三種安全策略。多數(shù)安全產(chǎn)品提供商在配置安全系統(tǒng)時(shí)會(huì)采用這三種安全策略的組合。第一種策略是認(rèn)證。這種策略包括判斷客戶(hù)端是否是授權(quán)的無(wú)線(xiàn)LAN用戶(hù)以及確定該用戶(hù)有什么權(quán)限。同時(shí)它也包括阻比非授權(quán)用戶(hù)使用無(wú)線(xiàn)LAN的機(jī)制。第二種策略是在用戶(hù)得到認(rèn)證并接入無(wú)線(xiàn)LAN后維護(hù)會(huì)話(huà)的保密性機(jī)制。一般來(lái)說(shuō).保密性通過(guò)使用加密技術(shù)得以實(shí)現(xiàn)。最后一種策略是校驗(yàn)信息的完整性。

企業(yè)用戶(hù)必須依據(jù)使用環(huán)境的機(jī)密要求程度，對(duì)使用的應(yīng)用軟件進(jìn)行評(píng)估。切入點(diǎn)是從無(wú)線(xiàn)局域網(wǎng)的連接上開(kāi)始，要考慮四個(gè)基本安全服務(wù)：

(1)經(jīng)常進(jìn)行審查：

保護(hù)WLAN的每一步就是完成網(wǎng)絡(luò)審查，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪(fǎng)問(wèn)節(jié)點(diǎn)都做審查，確定欺騙訪(fǎng)問(wèn)節(jié)點(diǎn)，建立規(guī)章制度來(lái)約束它們，或者完全從網(wǎng)絡(luò)上剝離掉它們;審查企業(yè)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)施及無(wú)線(xiàn)覆蓋范圍內(nèi)的詳細(xì)情況。

(2)正確應(yīng)用加密：首先要選擇合適的加密標(biāo)準(zhǔn)。無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)不可能孤立地存在，在企業(yè)環(huán)境里尤其如此，所以加密方法一定要與上層應(yīng)用系統(tǒng)匹配。在適用的情況下盡量選擇密鑰位數(shù)較高的加密方法

(3)認(rèn)證同樣重要：加密可以保護(hù)信息不被解除，但是無(wú)法保證數(shù)據(jù)的真實(shí)性和完整性，所以必須為其提供匹配的認(rèn)證機(jī)制。在使用的無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)帶有認(rèn)證機(jī)制的情況下可以直接利用。但是與加密一樣，要保證認(rèn)證機(jī)制與其它應(yīng)用系統(tǒng)能夠協(xié)同工作，在需要的情況下企業(yè)應(yīng)該增加對(duì)WLAN用戶(hù)的認(rèn)證功能(如使用RADIUS)，也可配置入侵檢測(cè)系統(tǒng)(IDS)，作為一種檢測(cè)欺騙訪(fǎng)問(wèn)的前期識(shí)別方式。

(4)及時(shí)評(píng)估機(jī)密性：企業(yè)用戶(hù)要每個(gè)季度對(duì)網(wǎng)絡(luò)使用情況進(jìn)行一次評(píng)估，以決定根據(jù)網(wǎng)絡(luò)流量來(lái)改變網(wǎng)絡(luò)中機(jī)密性要求，有針對(duì)性來(lái)分網(wǎng)段傳輸信息。

(5)將無(wú)線(xiàn)納入安全策略：對(duì)于企業(yè)應(yīng)用環(huán)境來(lái)說(shuō)，將無(wú)線(xiàn)局域網(wǎng)安全問(wèn)題納入到企業(yè)整體網(wǎng)絡(luò)安全策略當(dāng)中是必不可少的。

企業(yè)有關(guān)信息安全方面的所有內(nèi)容，包括做什么、由誰(shuí)來(lái)做、如何做等等，應(yīng)該圍繞統(tǒng)一的目標(biāo)來(lái)組織，只有這樣才能打造出企業(yè)健康有效的網(wǎng)絡(luò)安全體系。

5結(jié)束語(yǔ)

縱觀(guān)無(wú)線(xiàn)網(wǎng)絡(luò)發(fā)展歷史，可以預(yù)見(jiàn)隨著應(yīng)用范圍的日益普及，無(wú)線(xiàn)網(wǎng)絡(luò)將面臨越來(lái)越多的安全問(wèn)題。然而，新的安全理論和技術(shù)的不斷涌現(xiàn)使得我們有信心從容面對(duì)眾多安全挑戰(zhàn)，實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)更廣泛的應(yīng)用。