由于無線局域網使用的傳輸媒介主要是電磁波，在一定的范圍內可被任何人所接收，所以無線局域網通信安全問題也越來越多，也越來越受到用戶的關注。如何保證無線局域網的安全，已成為人們研究的重點。本篇論文討論了無線局域網的通信安全問題和一些有效的解決方案，以確保無線局域網的安全及正常運行。

1.引言

近年來，無線局域網（WLAN）的市場、應用和服務快速發展，規模不斷擴大，但是由于WLAN無線信號的開放性和IEEE 802.11協議自身固有的脆弱性，出現了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發起對WLAN的攻擊，基于WLAN的安全漏洞進行網絡攻擊事件不斷增多，導致WLAN的安全無法得到保障，禁止使用WLAN的企業和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

2.無線局域網的安全機制

網絡通信的目標是數據能在傳輸信道中安全可靠地到達目的主機，并只有目標用戶能接收和理解。WLAN安全通信需求主要體現在身份驗證機制、數據加密機制、信息完整性認證機制、密鑰管理機制等方面。

（1）身份驗證機制

為了防止未授權的無線用戶在無線網絡覆蓋范圍內非法登錄，WLAN首先需要身份驗證機制來限制非法連接。身份驗證主要是實現無線用戶終端與無線訪問點（AccessPoint,AP）相互驗證身份，只有當雙方均成功通過驗證后，無線用戶終端才能連接網絡。

（2）數據加密機制

為保證傳輸的數據只被合法用戶接收和讀取，應采用足夠強度的加密算法對傳輸數據進行加密，合法用戶接收數據后使用密鑰解密才能讀取正確的明文信息。網絡攻擊者既使截獲了密文，但由于沒有密鑰也無法解密成明文，從而保證了信息的安全。

（3）信息完整性驗證機制

WLAN的數據信息在傳輸過程中有可能丟失或被惡意修改后轉發，為保證合法用戶得到正確、完整的信息，因此需要對接收到的數據進行完整性及正確性的驗證，即信息完整性驗證。

（4）密鑰管理機制

密鑰是數據加密和解密的根本，需要合理的密鑰管理機制來保證系統的安全。根據WLAN通信特點，應從密鑰生成、分配、失效、更新等全過程合理設計，避免密鑰重用并盡量減少網絡開銷。

3.無線局域網存在的安全隱患

盡管無線局域網是隨著計算機網絡技術和現代通信技術的發展而產生的新興技術，但是其在應用中還是存在著一定的安全隱患，主要表現在以下幾個方面：

（1）無線局域網傳輸介質比較脆弱。在過去的有線局域網中，一般采取的是無源集線器和銅線作為傳輸媒介，它們在安全上玩玩收到一定的安全設備或者安全人員的保護，很難遭受到攻擊者的攻擊，在數據傳輸上具有較強的安全性，而無線局域網所使用的傳輸媒介是空氣，受大氣等物理條件的干擾較大，同時也比較容易收到攻擊者的攻擊，如電磁干擾等等，使其數據傳輸安全性得不到保障。

（2）有線等效保密協議（WEP）并不能有效保護無線局域網加密傳輸的進行，其并不存在完整的全面的訪問控制盒認證校驗功能。可是，無線局域網都是在WEP的基礎上建立起來的，如果WEP受到了嚴重影響甚至發生了破壞，那么無線局域網的安全性將無法得到保障。

（3）IPse.在安全上比較脆弱。IPseC是IETFIPse.工作組所設計的，在IPse-curitx的基礎上發展起來的，其主要目標就是利用一定安全機制，為網絡提供身份認證、訪問控制、數據完整性和機密性等安全服務，以實現IP數據傳播的可靠性和安全性。但是，IPSeC并不是專門為無線局域網所設計的，其將至對網絡層及以上層次的協議提供保護，而對無線局域網中數據鏈路層卻并不提供。

4.解決無線局域網通信安全問題的有效途徑

（1）通過VPN實現無線網絡通信安全

自從對網絡安全概念有了一定了解以來，人們一直都將VPN作為無線安全的一種解決方式。在這種保護方式中，將無線網絡當作Internet一樣對待。在VPN方案中，所有的無線通信都被封在了防火墻的后面。每一個用戶都對應一個VPN用戶，使用VPN連接無線網絡。這種安全方式阻止了外來設備進入無線網絡。但這種方式也并不是萬無一失。合法進入網絡時需要用戶啟動并獲得一個IP地址。一旦每個用戶都有了一個IP地址，用戶就可以開始網絡通信了。非法進入用戶的過程是差不多的，只是不能通過認證進入網絡中。由于攻擊者也有一個給定的IP地址，所以就沒有什么辦法來阻止它和同一個防火墻內的用戶進行通信了。通過這種通信，攻擊者也可以侵入一個合法用戶，并借此進入網絡中。

（2）通過IEEE802.1x協議實現無線網絡安全

IEEE802.1x最初是用來規范有線網絡安全接口，但后來發現對于無線網絡更為合適。IEEE802.1x協議屬于MAC層的安全協議，該協議只允許被授權用戶等級上的安全操作。通過IEEE802.1x協議，當一個設備想要接入某個中心點的時候，則該中心點設備就要求請求設備提供一組證書，接入用戶所提供的數字證書將被中心設備提交給服務器進行認證。這臺服務器被稱為遠程撥號用戶認證服務器（RADIUS），該服務器通常是被用來實現對撥號用戶進行認證的。整個過程被包含在IEEE802.1x的標準擴展認證協議EAP中。EAP是一種認證方式集合，可以讓開發者以各種方式生成他們自己的證書發放方式，EAP是IEEE802.1x最主要的安全功能。

（3）通過WAP協議實現無線網絡安全

從本質來講，WEP加密方式本身并沒有問題，問題出在密鑰的傳遞過程中，密鑰本身容易被截獲。為了解決這個問題，WPA作為目前事實上的行業標準，改變了傳統密鑰的傳遞方式。WPA利用TKIP協議來傳遞密鑰，在密鑰管理上采用了類似于RSA的公鑰/私鑰的非行分類描述。

1）設備物理安全風險分析。設備的物理安全是整個網絡系統安全的前提，物理安全的風險主要有：

①雷擊等環境事故造成設備的硬件損傷。

②斷電、電壓不穩等原因造成設備非正常重啟，造成斷網。

③硬件設備老化、器件故障造成系統崩潰或各種網絡傳輸異常現象。

2）網絡基本功能安全風險分析。

網絡的基本功能就是網絡設備最基本的二層轉發、三層轉發及其相關的協議的安全運轉。二層轉發相關協議一般包括ARP、DHCP、STP、Dot1x等。三層轉發的相關協議一般包括路由協議、組播路由協議等。

（4）網絡應用功能安全風險分析

網絡搭建好后會在上面運行很多應用，比如Web服務、FTP服務、SMTP服務等。

針對這些服務器有多種網絡攻擊，比如Dos攻擊。同時，網絡上充斥這各種病毒，一個PC染毒就會迅速的傳染到整個網絡中，病毒傳播將大量占用網絡帶寬，同時對PC造成極大威脅。占用PC資源，竊取個人資料和各種重要密碼，甚至對硬件造成破壞。當前網絡中P2P應用越來越多，BT、電驢等等工具被大量使用，這些應用雖然不像病毒一樣對網絡進行惡意侵害，但其大量消耗共享網絡帶寬，也使很多正常的網絡應用受到影響。

（5）網絡安全聯動的需求

網絡本身是動態的，所以網絡的安全程度也是動態變化的。各種安全事件如果完全讓網管員去處理，那無疑是一個巨大的工作量，而且這樣很可能由于反應不及時，使網絡安全威脅最終造成嚴重惡果。如果能讓網管員制定一些策略原則，相關網絡設備之間在此原則下進行自動聯動，快速的處理發現的安全威脅，這樣將更加保障網絡的安全運行。

5.結語

綜上所述，隨著通信技術和互聯網技術的發展，無線局域網也得到了蓬勃發展和廣泛應用。但是在無線局域網快速發展的同時，其還存在的一定的安全問題。因此必須加強無線局域網安全機制的建立，提升其身份驗證技術、數據加密技術、信息完整性驗證技術和密鑰管理技術。促使無線局域網能安全穩定可靠的發展下去，使數據傳輸環境和諧可靠。總之，加強無線局域網通信安全機制的建設已經迫在眉睫，無線局域網安全機制的建設也就等于現代社會互聯網社區的安全秩序建設。（作者：楊雪）