浅谈无线局域网的安全问题及解决方案

题目:浅谈无线局域网的安全问题及解决方案TheSecurityProblemsandSolutionsoftheWirelessLocalAreaNetwork专业:通信工程浅谈无线局域网的安全问题及解决方案TheSecurityProblemsandSolutionsoftheWirelessLocalAreaNetwork【摘要】在无线通信技术的不断发展的新时代，无线局域网已经变成计算机互联网行业的一个热点话题。但是，无线局域网的安全性不够强的缺点，却对它的进一步发展产生了一定的阻碍，始终影响着它的发展。在无线局域网逐步得到广泛的应用的过程中，对其安全性也提出了更高的要求。无线局域网突破了传统的有线网络的限制，但是，也存在着诸多的安全问题，因此，必须增强无线局域网安全防范意识，并且积极探索无线局域网安全解决方案，从而切实保证无线局域网业务的顺利开展。本文结合现阶段无线局域网的发展形势，重点阐述了无线局域网安全解决方案。【关键词】无线局域网；安全；解决方案【Abstract】Inthenewera，thewirelesscommunicationtechnologyisdevelopingrapidly.ThewirelesslocalareanetworkhasbecomecomputerInternetindustryofahottopic.However，thewirelesslocalareanetworksafetyisnotstrongshortcomings，butforitsfurtherdevelopmenthasproducedcertainsideeffect，alwaysaffectitdevelopment.Inthewirelesslocalareanetworkgraduallybewidelyusedintheprocess，toitssecurityalsoputforwardhigherrequest.Thewirelesslocalareanetworkbreakthroughthetraditionalcablenetworkthelimit，buttherearealsomanysecurityproblems，therefore，muststrengthenthewirelesslocalareanetworksafetyawareness，andactivelyexplorethewirelesslocalareanetworksecuritysolution，thustoensurethesmoothdevelopmentofthewirelesslocalareanetworkbusiness.Thispaperpresentthewirelesslocalareanetworkdevelopmentsituation，thispaperfocusesthesecuritysolutionsofthewirelesslocalareanetwork.【Keywords】wirelesslocalareanetwork;security;solutions一．引言无线局域网(WirelessLocalAreaNetwork，简称为WLAN)本质上是一种网络互连技术，它是计算机网络与无线通信技术相结合的产物。是通用无线接人的一个子集，可支持较高的传输速率(可达2Mbps～108Mbps)。利用射频无线正交频分复用(OFDM)，借助直接序列扩频(DSSS)或跳频扩频(UWBT)技术，可实现固定的、半移动的以及移动的网络终端对英特网进行较远距离的高速连接访问。WLAN已广泛应用于各行各业中，受到人们的青睐，已成为无线通信与Internet技术相结合的新兴WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性，数据传播的范围较难控制，因此无线局域网将面临非常严峻的安全问题。二．无线局域网安全发展概况由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也不容易防备。现在，大多数厂商生产的无线局域网产品都基于802.11b标准，802.11b标准在公布之后就成为事实标准，但其安全协议WEP一直受到人们的质疑。如今，能够截获无线传输数据的硬件设备已经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视，新的增强的无线局域网安全标准正在不断研发中。我国现已制定了无线认证和保密基础设施WAPI，并成为国家标准，于2003年12月执行。WAPI使用公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成，类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展，使我们能够更加清楚地认识到无线局域网安全标准的方方面面，有利于无线局域网安全技术的研究。三．无线局域网安全技术研究的必要性由于WLAN通过无线电波在空中传输数据，不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全，所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据，要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用，任何人在视距范围之内都可以截获和插入数据。因此，无线网络给网络用户带来了自由，同时带来了新的挑战，这些挑战其中就包括安全性。无线局域网必须考虑的安全要素有3个：信息保密、身份验证和访问控制。如果这3个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。四．无线局域网的安全性缺陷由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。具体分析，无线局域网存在如下两种主要的安全性缺陷。（1）静态密钥的缺陷静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时地更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量大时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是难以想象的。（2）访问控制机制的安全缺陷几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。还有以太网MAC地址很容易被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。五．无线局域网的安全解决方案（一）控制数据传输介质事实上，控制数据传输介质就能够对于电磁信号的外泄起到抑制和防止的作用，对于访问点要进行科学合理的设计。与此同时，天线主要是用于避免信号外泄的，要将其安装在一个相对来说比较封闭的场所，最好是能够将其安装在覆盖通信区域的中心，才可以避免信号扩散到覆盖范围以外的区域。与此同时，也能够调低信号的强度来对于其辐射的区域进行有效的控制。并且可以利用电磁屏蔽和干扰等方法。（二）加强访问控制机制服务集标识符（ServiceSetIdentifier，SSID）是一个非常简单的口令，如果将无线访问点（AccessPoint，AP）定义成向外广播它的SSID号，那么，无线局域网的安全性就不能够得到保障。应该对于不相同的无线接入点设置不相同的SSID号，同时，要求只有无线工作站出示正确的SSID号，才可以访问无线访问点。通过这种方式，就可以对于不同使用者的访问进行有效的限制，从而增强访问无线局域网的安全性。（三）对无线局域网中的所有计算机分配静态IP地址并且和MAC地址进行绑定从总体上看来，无线路由器或AP在进行IP地址的分配的过程中，默认使用DHCP（动态主机配置协议，Dynamichostconfigurationprotocol）来进行IP地址的分配，这对无线局域网而言是存在着巨大的安全隐患的，一旦非法使用者搜索到无线局域网，他们就能非常方便地通过DHCP来获取一个合法的IP地址，从而能够侵入到无线局域网中。所以，必须将DHCP服务关闭，并对无线局域网中的所有计算机分配固定的静态IP地址，并且，要将分配的IP地址和对应的计算机网卡的MAC地址进行绑定，从而使无线局域网的安全性得到大幅度的增强。（四）使用无线入侵检测系统无线入侵检测系统（WirelessIntrusionDetectionSystem，WIDS）和普通的入侵检测系统类似，通过对无线局域网中的传输数据进行分析来检测是否存在非法入侵的问题，从而能够对于各种使用者的活动进行监视和分析，并且可以判断入侵事件的具体类型，一旦发现网络流量异常也能够进行及时的报警。从总体上看来，无线入侵检测系统用于连接单独的sensors（传感器），sensors在无线基站（WideAreaProtectionSystem，WAPs）上进行配置，可以进行数据的搜集并转发到存储和处理数据的中央系统中。因为无线入侵检测系统的这种特殊的物理架构，能够检测到大多数的入侵行为，并且能够检测到MAC地址欺骗，可以利用一种顺序分析方法，搜索到伪装WAP的无线上网使用者。（五）使用动态安全链路（Dynamicsecuritylink，DSL）技术在无线局域网中，在一台接入点设备和无线客户端设备协同工作的过程中，通过动态安全链路技术，能够自动生成一个新的128位加密密钥，该加密密钥对于所有的无线局域网使用者和不同的网络会话（Session）而言，都是一次生成一次使用的，具有唯一性。与此同时，在同一个会话期间，对于每256个数据包，生成的密钥都会自动改变一次。相对于以往的WEP2（有线等效加密，WiredEquivalentPrivacy）技术来说，动态安全链路技术最大的优点就是所生成的密钥都是进行动态分配的，而WEP2采用的密钥都必须通过人工输入和维护。动态安全链路技术有利于无线局域网安全性的大幅度提高，能够让无线局域网使用者从人工输入密钥的繁杂劳动中获得解脱。因为动态安全链路技术能够保证不同的使用者都具备一个唯一的、能够进行不断改变的密钥，所以，即使非法用户攻破加密防线并得到无线局域网的访问权，所得到的密钥也仅仅可以在很短暂的时间之内有效，从而能够避免可能面临的潜在安全威胁。与此同时，动态安全链路技术也可以支持使用者认证，要求无线访问点AP来进行使用者访问列表的维护，并且在用户访问无线局域网之前要进行密码认证，必须通过认证成功之后才可以接入无线局域网。（六）在无线局域网中隐藏SSID并且避免SSID广播在无线局域网中，服务集标识符（ServiceSetIdentifier，SSID）是一个非常简单的口令，SSID提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称，可以为无线局域网子系统内的逻辑段进行服务。必须在完全相同的条件下，无线网卡与无线路由器之间才可以实现连接的建立。这是由于服务集标识符自身不具备安全性，必须隐藏服务集标识符。另外，在无线局域网中，服务集标识符广播是路由设备的一个非常关键的功能，打开服务集标识符广播的无线局域网的路由能够自动向其有效范围内的无线网络客户端广播其自身的服务集标识符的值，无线网络客户端接收到服务集标识符的值之后，就会立即接入