無線局域網(wǎng)通信安全機(jī)制的研究

趙婉彤

[摘 要]無線局域網(wǎng)技術(shù)的普遍應(yīng)用給人們帶來了諸多便利。本文首先介紹了無線局域網(wǎng)中的身份驗(yàn)證等機(jī)制，然后分析了當(dāng)前無線局域網(wǎng)通信中，由于傳播介質(zhì)脆弱、WEP協(xié)議不完善、IPseC缺乏對(duì)鏈路層的保護(hù)等引起的安全隱患，最后提出利用VPN、IEEE802.1x協(xié)議、WAP協(xié)議等進(jìn)行通信安全防護(hù)的措施。

[關(guān)鍵詞]無線局域網(wǎng)；通信安全；安全隱患

doi：10.3969/j.issn.1673 - 0194.2017.12.087

[中圖分類號(hào)]TN925.93 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）12-0-02

當(dāng)前，通信技術(shù)和網(wǎng)絡(luò)技術(shù)不斷提高，網(wǎng)絡(luò)對(duì)人們工作、生活、學(xué)習(xí)產(chǎn)生了巨大影響。近年來，各種智能移動(dòng)設(shè)備的普及，使得通信技術(shù)和網(wǎng)絡(luò)技術(shù)逐步向移動(dòng)化方向發(fā)展，人們對(duì)移動(dòng)中接入互聯(lián)網(wǎng)的需求也越來越迫切。

無線局域網(wǎng)（WLAN）技術(shù)將無線通信技術(shù)和互聯(lián)網(wǎng)有機(jī)結(jié)合起來，使得無線網(wǎng)絡(luò)滿足了人們對(duì)移動(dòng)中接入互聯(lián)網(wǎng)的現(xiàn)實(shí)需求。無線局域網(wǎng)具有接入速度快、性價(jià)比高且擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)，因此得到了十分廣泛的應(yīng)用。目前，連接無線網(wǎng)絡(luò)幾乎已經(jīng)成為各種智能設(shè)備最基礎(chǔ)的功能之一，因此，無線局域網(wǎng)技術(shù)具有十分廣泛的發(fā)展和應(yīng)用前景。

但是，由于無線局域網(wǎng)是開放的，其通信鏈路易被惡意攻擊者非法訪問，用戶利用無線局域網(wǎng)傳輸數(shù)據(jù)時(shí)，容易遭到非法竊聽。這些缺點(diǎn)導(dǎo)致無線局域網(wǎng)在應(yīng)用方面受到一定制約，因此，開展無線局域網(wǎng)的安全防護(hù)研究具有十分重要的現(xiàn)實(shí)意義。

1 無線局域網(wǎng)的安全機(jī)制

在利用無線局域網(wǎng)進(jìn)行信息傳輸時(shí)，應(yīng)將信息安全可靠地發(fā)送到目的主機(jī)，且被接收后，僅有目標(biāo)主機(jī)能夠?qū)π畔⑦M(jìn)行解碼。研究人員通過努力，提出了一系列保證信息安全傳送的安全機(jī)制，如身份驗(yàn)證、數(shù)據(jù)加密、信息完整性驗(yàn)證及秘鑰管理等。

1.1 身份驗(yàn)證機(jī)制

無線局域網(wǎng)雖然是對(duì)外開放的，但并非所有人都能接入，必須是授權(quán)的用戶才可接入，因此，用戶請(qǐng)求連接時(shí)，無線局域網(wǎng)首先要對(duì)用戶的身份進(jìn)行認(rèn)證。無線局域網(wǎng)的身份認(rèn)證機(jī)制能實(shí)現(xiàn)無線接入點(diǎn)和用戶終端相互之間的身份認(rèn)證，根據(jù)驗(yàn)證結(jié)果，決定用戶終端是否允許接入。

1.2 數(shù)據(jù)加密機(jī)制

無線局域網(wǎng)的開放性使傳輸?shù)男畔⒑苋菀妆还粽呓孬@，如果傳輸?shù)氖敲魑臄?shù)據(jù)，則攻擊者可獲得信息的真實(shí)內(nèi)容，因此，必須對(duì)發(fā)送的信息進(jìn)行加密。無線局域網(wǎng)的數(shù)據(jù)加密機(jī)制主要利用加密算法對(duì)將要傳輸?shù)男畔⑦M(jìn)行加密，然后將加密后的信息通過無線信道進(jìn)行傳輸，合法用戶接收到信息后，利用秘鑰對(duì)加密信息進(jìn)行解密后才能得到正確的明文信息。

1.3 信息完整性驗(yàn)證機(jī)制

數(shù)據(jù)在無線局域網(wǎng)信道中傳輸?shù)倪^程中存在以下兩個(gè)問題：第一，信道不穩(wěn)定會(huì)導(dǎo)致信息丟失；第二，惡意攻擊者可能會(huì)對(duì)信息進(jìn)行更改后轉(zhuǎn)發(fā)給目的主機(jī)，從而導(dǎo)致合法用戶接收到的信息存在錯(cuò)誤或不完整。無線局域網(wǎng)的信息完整性驗(yàn)證機(jī)制可對(duì)接收到的信息的完整性進(jìn)行檢測和判斷，從而保證合法用戶能獲得完整、準(zhǔn)確的信息。

1.4 秘鑰管理機(jī)制

對(duì)秘鑰的管理是否科學(xué)合理，關(guān)系著加密信息是否能安全傳送。無線局域網(wǎng)的秘鑰管理機(jī)制對(duì)秘鑰的生成、分配等各個(gè)環(huán)節(jié)進(jìn)行管理，以避免秘鑰重用或網(wǎng)絡(luò)開銷較大等問題。

2 無線局域網(wǎng)存在的安全威脅

無線局域網(wǎng)采取了一系列安全機(jī)制來保證通信的安全性，但其自身固有的特點(diǎn)導(dǎo)致其仍存在很多安全隱患，主要表現(xiàn)在傳輸介質(zhì)脆弱、保密協(xié)議不完善、Ipse安全性較弱等方面。

傳統(tǒng)的有線局域網(wǎng)在數(shù)據(jù)傳輸過程中經(jīng)常利用安全設(shè)備或人為保護(hù)，以抵御一定的網(wǎng)絡(luò)攻擊，安全性較強(qiáng)，但無線局域網(wǎng)的傳輸易受環(huán)境因素的影響，且其開放性導(dǎo)致其容易受到惡意攻擊者的攻擊，因此需要進(jìn)一步提高其數(shù)據(jù)傳輸過程中的安全性。

無線局域網(wǎng)通常是在有線等效保密協(xié)議（WEP）的基礎(chǔ)上構(gòu)建起來的，但WEP往往無法對(duì)無線局域網(wǎng)中的信息傳輸進(jìn)行有效保護(hù)，缺乏完整的認(rèn)證校驗(yàn)功能。因此，一旦WEP受到破壞，將嚴(yán)重威脅無線局域網(wǎng)的安全性。

IpseC是在Ipse-curitx的基礎(chǔ)上建立起來的，盡管可以提供身份認(rèn)證、完整性認(rèn)證等安全防護(hù)功能，但并非專門為無線局域網(wǎng)而設(shè)計(jì)的，僅能提供網(wǎng)絡(luò)層以上的安全防護(hù)，無法對(duì)鏈路層提供防護(hù)，因此難以保證無線局域網(wǎng)的安全性。

3 無線局域網(wǎng)安全防護(hù)措施

3.1 利用VPN進(jìn)行通信

通過在公共網(wǎng)絡(luò)中建立加密隧道，對(duì)待傳輸?shù)臄?shù)據(jù)進(jìn)行加密和協(xié)議封裝，并將新的協(xié)議頭嵌套進(jìn)去之后再進(jìn)行傳輸，從而實(shí)現(xiàn)遠(yuǎn)程安全訪問內(nèi)部網(wǎng)絡(luò)。利用VPN進(jìn)行網(wǎng)絡(luò)通信，可將無線網(wǎng)絡(luò)當(dāng)作Internet對(duì)待，將無線網(wǎng)絡(luò)通信封裝在防火墻內(nèi)，每個(gè)用戶分別與一個(gè)VPN相對(duì)應(yīng)，通過VPN與無線網(wǎng)絡(luò)相連，這種連接方式能將外來設(shè)備阻擋在無線網(wǎng)絡(luò)之外。

3.2 利用IEEE802.1x協(xié)議進(jìn)行無線網(wǎng)絡(luò)安全通信

盡管IEEE802.1x最初的設(shè)計(jì)主要是針對(duì)有線網(wǎng)絡(luò)，但研究人員通過研究發(fā)現(xiàn)，該協(xié)議更適用于無線網(wǎng)絡(luò)。利用IEEE802.1x協(xié)議進(jìn)行通信時(shí)，如果有設(shè)備請(qǐng)求接入中心點(diǎn)，則中心點(diǎn)會(huì)首先要求該設(shè)備提供相應(yīng)的數(shù)字證書，待設(shè)備提交數(shù)字證書后，中心點(diǎn)再將該證書提交給用于認(rèn)證的遠(yuǎn)程撥號(hào)用戶服務(wù)器。上述過程被包含在EAP中，EAP作為IEEE802.1x中十分重要的功能，主要提供給用戶用于生成其自身的證書發(fā)放方式。

3.3 利用WAP協(xié)議進(jìn)行安全通信

傳統(tǒng)WEP協(xié)議存在的隱患主要在于秘鑰的傳遞，因?yàn)槊罔€在傳遞過程中容易被截獲。WAP對(duì)WEP等原有協(xié)議進(jìn)行了改進(jìn)，將秘鑰用TKIP進(jìn)行傳送，且在管理秘鑰的過程中，采用與RSA秘鑰管理類似的方式。TKIP協(xié)議利用初始化向量對(duì)數(shù)據(jù)包進(jìn)行編號(hào)，使接收端能根據(jù)數(shù)據(jù)包的編號(hào)決定是否接收該數(shù)據(jù)包，從而避免重放攻擊；通過生成臨時(shí)秘鑰，降低秘鑰泄露風(fēng)險(xiǎn)；將消息完整性校驗(yàn)碼封裝在數(shù)據(jù)包中一同發(fā)送，接收者通過對(duì)比MIC值判斷是否遭到篡改攻擊，從而采取相應(yīng)處理措施

4 結(jié) 語

通信技術(shù)給人們工作、生活等各方面帶來了巨大便利。盡管無線局域網(wǎng)采用了身份驗(yàn)證、數(shù)據(jù)加密等多種機(jī)制來加強(qiáng)通信的安全性，但仍存在傳輸介質(zhì)脆弱等問題，因此在無線局域網(wǎng)發(fā)展的同時(shí)，對(duì)其存在的安全隱患也需要引起高度重視，必須采取相應(yīng)的防護(hù)措施，確保無線網(wǎng)絡(luò)通信的安全性。

主要參考文獻(xiàn)

[1]馬志斌.無線局域網(wǎng)通信安全問題探討[J].工程技術(shù)：全文版，2016（7）.

[2]顧文琰.無線局域網(wǎng)安全機(jī)制研究[J].中國科技博覽，2014（40）.

[3]朱海波.無線局域網(wǎng)通信安全機(jī)制探究[J].移動(dòng)信息，2015（3）.

[4]楊雪.無線局域網(wǎng)通信安全機(jī)制探究[J].電子世界，2013（19）.

[5]吳文臣.局域網(wǎng)安全及防范策略[J].中國新通信，2017（2）.

[6]王浩，贠永剛，張欣.無線局域網(wǎng)MAC層訪問方式分析[J].電腦迷，2014（1）.