無線局域網(wǎng)安全機制及安全措施

導(dǎo)語：無線局域網(wǎng)安全機制及安全措施一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著我國科技水平不斷提升，無線局域網(wǎng)技術(shù)在我國應(yīng)用范圍越來越廣，其主要是指采用無線傳輸媒介的計算機局域網(wǎng)，但是由于其以公共的電磁波作為載體，這也使得越權(quán)存取等行為更加不容易防范。整體來看，WLAN的安全問題已經(jīng)嚴重束縛了WLAN技術(shù)的健康發(fā)展。基于此，該文嘗試對無線局域網(wǎng)的安全機制及安全措施進行了分析。

關(guān)鍵詞：無線局域網(wǎng)；安全機制；安全措施；研究

當前，網(wǎng)絡(luò)系統(tǒng)的安全性主要表現(xiàn)為訪問控制以及數(shù)據(jù)加密兩個階段，與有線局域網(wǎng)相比，無線局域網(wǎng)的安全問題更為突出，在對安全問題進行處理時，主要是應(yīng)用了電磁波作為載體來進行數(shù)據(jù)信號的傳輸。現(xiàn)階段我國在進行局域網(wǎng)建網(wǎng)時，所應(yīng)用的技術(shù)以及涉及的環(huán)節(jié)越來越復(fù)雜，這也使得電磁輻射傳輸方式的安全保密問題成為了人們關(guān)注的重點問題之一，因此對相關(guān)安全措施進行針對性分析非常有必要。

1無線局域網(wǎng)現(xiàn)有安全機制特點分析

1.1物理地址過濾控制

物理地址（MAC）是每個無線網(wǎng)客戶端網(wǎng)卡的唯一物理標識，因此可以在手工維護單元確定一組答應(yīng)訪問的MAC地址列表，通過物理地址對其進行過濾。由于物理地址過濾屬于硬件認證，而不是用戶認證，這就需要對AP中的MAC地址列表進行更新，當前來看，很多時候都是運用手動操作的方式，并且其擴展能力相對有限，因此只適合一些小型網(wǎng)絡(luò)。此外，很多非法用戶往往習慣于利用網(wǎng)絡(luò)偵聽手段來獲取合法的MAC地址，實際上MAC地址并不難修改，因此很多非法用戶都可以通過盜用的方式來實現(xiàn)非法接入[1]。因此，應(yīng)該注意對物理地址的標識進行明確，提升對無線客戶信息的保密程度。

1.2有限對等保密機制

WEP認證主要是應(yīng)用共享密鑰認證的方式來確定客戶接入點，從而實現(xiàn)命令與回應(yīng)信息的有效交換，可以將命令文本明碼發(fā)到客戶端，客戶端則可以利用共享密鑰加密的方式來將其發(fā)揮到信息接入點。當前，RC4加密算法在我國無線網(wǎng)絡(luò)技術(shù)中有較為廣泛的應(yīng)用，其屬于一種對稱的流密碼，支持長度可變的密鑰。但是從當前WEP認證方式應(yīng)用的情況來看，尚且缺少完善的密鑰治理以及校檢計算體系，這也使得此種方式在實際應(yīng)用過程中依然存在一定安全缺陷。1.3無線保護訪問無線保護訪問（WPA）屬于無線網(wǎng)絡(luò)系統(tǒng)推出的過渡性標準，需要對當前無線局域網(wǎng)發(fā)展現(xiàn)狀進行分析，為了可以兼容有限對等保密機制，應(yīng)該注意應(yīng)用AES與TKIP相結(jié)合的方式來進行加密處理。而后續(xù)的WPA2是WIFI聯(lián)盟出品的第二代標準，其是使用一種安全性更高的加密標準來進行操作，并且同樣具有兼容功能。上述兩種標準都是在802.11i基礎(chǔ)上發(fā)展而來的。

1.4虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)屬于一門網(wǎng)絡(luò)新技術(shù)，在對其進行應(yīng)用時，應(yīng)該注意運用網(wǎng)絡(luò)遠程訪問連接方式，通過強大的加密方式來保證數(shù)據(jù)傳輸?shù)陌踩浴４隧椉夹g(shù)可以實現(xiàn)與其他無線安全技術(shù)的有效兼容，虛擬專用網(wǎng)路技術(shù)的應(yīng)用還可以提供峰值負載分擔以及租用線備份，通過這種方式可以有效降低成本費用[2]。此外，此項技術(shù)還支持中央安全管理，但是也存在一定缺陷，主要體現(xiàn)為需要在客戶集中對數(shù)據(jù)進行加密以及解密，這也會在很大程度上增加系統(tǒng)的運行負擔，再加上無線局域網(wǎng)的運行環(huán)境較為復(fù)雜、脆弱，這也使得網(wǎng)絡(luò)擴展受到了諸多因素的限制。

2當前無線局域網(wǎng)具體存在的安全威脅

2.1接入點的安全威脅

對于無線局域網(wǎng)來說，接入點的安全威脅非常嚴重，由于無線局域網(wǎng)接入點具有價格低、安裝方便以及結(jié)構(gòu)緊湊等特點，這也使得其應(yīng)用范圍不斷擴展。而非法無線局域網(wǎng)是在用戶不知情的情況下對無線網(wǎng)絡(luò)進行非法惡意訪問，只需要將無線局域網(wǎng)連接到AP網(wǎng)絡(luò)內(nèi)部便可以實現(xiàn)與網(wǎng)絡(luò)端口的有效連接，從而盜取用戶重要信息[3]。

2.2安全功能設(shè)置不當

無線局域網(wǎng)的安全功能設(shè)置不當也已經(jīng)成為了影響系統(tǒng)穩(wěn)定運行的關(guān)鍵問題，在多數(shù)情況下，合法的網(wǎng)絡(luò)管理者并沒有專門設(shè)置相應(yīng)的AP安全系統(tǒng)，更多時候則是保持默認設(shè)置，這也導(dǎo)致了AP一直處于不加密或者弱加密的環(huán)境中，也正是因為這些情況的存在，使得很多客戶端在在用戶訪問時經(jīng)常會受到未知風險因素的影響，同時也使得整個企業(yè)的網(wǎng)絡(luò)都會在沒有任何密碼的情況下建立無線網(wǎng)絡(luò)系統(tǒng)，進而使得數(shù)據(jù)傳遞安全無法得到保證。

2.3連接不當

在進行客戶端連接操作時，經(jīng)常會出現(xiàn)連接不當?shù)默F(xiàn)象，也正是因為這種情況的存在，使得一個合法的用戶在企業(yè)內(nèi)部與AP進行連接時，可以建立起與外界的連接網(wǎng)絡(luò)，如果這時候外部的接入點是安全性未知的，則很可能置企業(yè)網(wǎng)路系統(tǒng)于危險之中，容易導(dǎo)致企業(yè)網(wǎng)絡(luò)信息暴露等情況出現(xiàn)[4]。

3無線局域網(wǎng)的安全措施分析

3.1對無線網(wǎng)絡(luò)進行加密處理

在對無線網(wǎng)路系統(tǒng)進行加密處理時，應(yīng)該對加密方法進行科學選擇，從當前常見的安全類型來看，其主要包括WEP、WPA等。其中，WEP是一種運用傳統(tǒng)無線網(wǎng)絡(luò)進行加密計算的處理方法，在對此種方法進行應(yīng)用時，非法入侵者很容易利用無線嗅探器來讀取數(shù)據(jù)，通過這種方式來可以使數(shù)據(jù)獲取更為及時[5]。如果采用128位的WEP來進行加密操作，入侵者想要破除此類密碼存在較大難度，同時還應(yīng)該注意對密鑰進行定期更換，始終保證系統(tǒng)運轉(zhuǎn)安全性。此外，還應(yīng)該考慮應(yīng)用動態(tài)的WEP進行加密操作，這就需要系統(tǒng)本身有較為完善的數(shù)據(jù)體系對其進行支持，進而確定認證服務(wù)存在的風險性，可以應(yīng)用TKIP或者AES的方式對其進行加密處理。

3.2運用靜態(tài)IP地址

一般的無線路由器主要是應(yīng)用其DHCP功能，并且要動態(tài)分配IP地址，如果入侵者能夠找到無線網(wǎng)絡(luò)，便可以及時獲取一個合法、合規(guī)的IP地址，這樣也使得無線網(wǎng)絡(luò)的安全隱患問題變得更為嚴重。因此，在對互聯(lián)網(wǎng)設(shè)備進行應(yīng)用時，應(yīng)該保證其處在一個相對固定的環(huán)境中，進而通過這種方式來保證每一個設(shè)備都可以設(shè)置一個固定的靜態(tài)IP地址，將這些靜態(tài)IP地址添加到無線路由器上之后，可以確定允許接入的IP值，這樣可以明顯縮小可接入的IP地址范圍。同時，還可以嘗試將靜態(tài)IP與相對應(yīng)的MAC地址同步綁定，這樣一來，即使入侵者獲取了合法IP地址，依然需要驗證保定MAC地址，這也使得網(wǎng)絡(luò)系統(tǒng)的安全性明顯提升[6]。

3.3設(shè)置了MAC地址過濾

在對MAC地址過濾模式進行應(yīng)用時，應(yīng)該意識到其屬于獨一無二的設(shè)備標識，想要使其在實際應(yīng)用的過程中發(fā)揮出理想效果，應(yīng)該保證標示的唯一性。由于無線路由器具有可追蹤的功能，因此在對數(shù)據(jù)包源MAC地址進行追蹤時，應(yīng)該確定其所具備的過濾功能，通過這種方式來建立起可以訪問路由器的MAC的地址列表，同時也可以有效達到防止非法設(shè)備接入網(wǎng)絡(luò)系統(tǒng)的作用。

3.4運用無線入侵檢測系統(tǒng)

無線入侵檢測系統(tǒng)（IDS）與傳統(tǒng)的入侵檢測系統(tǒng)相比，主要增加了對無線局域網(wǎng)的檢測以及對破壞系統(tǒng)反應(yīng)特征的描述等功能。對于無線入侵檢測系統(tǒng)來說，可以通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷當前破壞系統(tǒng)與入侵事件之間是否存在必然聯(lián)系，從而確定與之相對應(yīng)的解決方式[7]。在無線局域網(wǎng)絡(luò)運行過程中，無線入侵檢測系統(tǒng)的主要功能體現(xiàn)為以下幾個方面：首先，監(jiān)視并且分析當前用戶的活動狀態(tài)，通過這種方式可以對其存在的非法網(wǎng)絡(luò)行為進行檢測，一旦發(fā)現(xiàn)與之相關(guān)的入侵類型，就可以及時借助網(wǎng)絡(luò)流量的方式來進行預(yù)警，進而保證黑客行為的具體地理信息更為明確，提高了無線局域網(wǎng)絡(luò)系統(tǒng)的安全性。在進行檢測操作時，應(yīng)該對那些未經(jīng)識別的標準數(shù)據(jù)流量進行明確，通過順序分析的方式來對MAC地址進行檢測，從而找到偽裝WAP的無線上網(wǎng)用戶。其次，無線入侵檢測系統(tǒng)屬于一門新技術(shù)，其具有多種優(yōu)勢，主要表現(xiàn)為靈敏度高、工作效率高等結(jié)果方面，但也存在一些缺陷，如檢測結(jié)果可能存在偏差。無線入侵檢測系統(tǒng)在我國尚且處于研發(fā)階段，隨著我國相關(guān)行業(yè)發(fā)展規(guī)模不斷壯大，技術(shù)水平不斷提升，此項技術(shù)存在的缺陷也勢必會被逐一解決[8]。

3.5在無線網(wǎng)絡(luò)中應(yīng)用VPN技術(shù)

從當前我國無線網(wǎng)絡(luò)技術(shù)體系發(fā)展情況來看，工作站的維護以及AP地址列表設(shè)置等工作任務(wù)往往較為繁重。而VPN技術(shù)在無線網(wǎng)絡(luò)中應(yīng)用可以使其成為當今WEP機制的最佳代替者。同時，VPN在客戶端以及各級組織中的運用可以建立起一條動態(tài)化的加密隧道，通過這種方式可以實現(xiàn)對當前用戶身份的有效驗證，進而保證數(shù)據(jù)信息的獲取以及傳遞安全。在進行VPN協(xié)議設(shè)定時，其中包括了數(shù)據(jù)加密標準以及168位三重數(shù)據(jù)加密標準，可以通過數(shù)字驗證的方式來確定相應(yīng)的公鑰。無線局域網(wǎng)絡(luò)系統(tǒng)在對其進行應(yīng)用時，應(yīng)該確定系統(tǒng)中的重點環(huán)節(jié)，應(yīng)用無線加密技術(shù)時，可以達到雙重加密保護的效果，這也在很大程度上提高了無線局域網(wǎng)絡(luò)的整體安全性能。

3.6運用身份驗證以及授權(quán)模式

網(wǎng)絡(luò)入侵者可以通過一定途徑了解到當前網(wǎng)絡(luò)系統(tǒng)的SSID地址以及WEP密鑰等信息，通過對這些信息數(shù)據(jù)的有效利用能夠與AP構(gòu)建起緊密聯(lián)系，這也使得無線網(wǎng)絡(luò)的安全出現(xiàn)隱患。對于網(wǎng)絡(luò)用戶來說，在進行無線網(wǎng)絡(luò)體系構(gòu)建時，應(yīng)該確定與之相應(yīng)的身份驗證方式，從而使得身份驗證成為重要的安全措施。如果我們在進行開放性身份驗證的過程中為AP提供了正確的WEP密鑰，便可以獲悉每一位已知用戶的網(wǎng)絡(luò)SSID以及MAC地址，這也使得相關(guān)用戶的信息處于完全開放的狀態(tài)，其風險可想而知。在確定共享機密身份驗證時，應(yīng)該確定“口令”，以此為基礎(chǔ)來實現(xiàn)對身份的有效驗證，這也使得其共享機制的完善程度明顯提升。但是上述方法也存在一定缺陷，主要因為口令是直接通過明文的方式來傳遞給STA，這也使得人們在對口令進行截取時，很難實現(xiàn)對口令以及加密方式的及時響應(yīng)。因此，要在此基礎(chǔ)上配置相應(yīng)的共享密鑰，通過這種方式來保證機密信息發(fā)送過程中的安全風險可以得到有效控制。當然，也可以嘗試應(yīng)用其他身份來進行驗證以及授權(quán)操作，例如：可以運用802.1x對無線網(wǎng)絡(luò)用戶進行身份驗證以及授權(quán)，通過這種方式實現(xiàn)對入侵者訪問權(quán)限的有效管控，從而在整體上提高無線網(wǎng)絡(luò)的安全性能。

4結(jié)語

綜上所述，當前我國科技水平不斷提升，無線技術(shù)的應(yīng)用范圍也越來越廣，這也使得線路應(yīng)用安全問題受到了人們的廣泛關(guān)注，今后應(yīng)該加大對網(wǎng)絡(luò)安全問題的處理力度。對于當前的網(wǎng)絡(luò)用戶來說，要想使其信息安全性得到保證，應(yīng)該對網(wǎng)絡(luò)用戶進行嚴格認證，明確數(shù)據(jù)傳輸加密功能，以此為基礎(chǔ)確定多重安全設(shè)施，將這些安全設(shè)施有效結(jié)合起來，以保證當前的無線網(wǎng)絡(luò)用戶信息數(shù)據(jù)傳輸?shù)陌踩砸约氨Ｃ苄浴Ｕw來看，現(xiàn)階段我國在無線網(wǎng)絡(luò)系統(tǒng)安全機制建設(shè)方面尚且處于初級階段，還有很多方面完善程度不夠，雖然VPN技術(shù)已經(jīng)有較為廣泛的應(yīng)用，但是依然沒有體現(xiàn)出相對理想的保密性控制能力，在實際使用過程中依然存在一些網(wǎng)絡(luò)安全漏洞。

參考文獻

[1]顏炳風.無線局域網(wǎng)的安全機制、漏洞破解以及解決方案——安全的無線局域網(wǎng)網(wǎng)絡(luò)[J].科技信息,2010(27):68-70,89.

[2]郜東晨.一種安全的無線局域網(wǎng)無感知準入系統(tǒng)的設(shè)計與實現(xiàn)[D].北京:北京郵電大學,2019.

[3]趙婉彤.無線局域網(wǎng)通信安全機制的研究[J].中國管理信息化,2017,20(12):143-144.

[4]劉錫華.邊緣計算環(huán)境下面向無線城域網(wǎng)的服務(wù)遷移關(guān)鍵技術(shù)研究[D].南京:南京信息工程大學,2021.

[5]劉琦.基于無線局域網(wǎng)的智能家居監(jiān)控系統(tǒng)設(shè)計[D].太原:太原理工大學,2020.

[6]周小平.超高速無線局域網(wǎng)接收機算法研究及VLSI實現(xiàn)[D].北京:北京郵電大學,2021.

[7]王華.基于無線傳感器網(wǎng)絡(luò)的智慧城市數(shù)據(jù)分析[J].信息記錄材料,2021,22(10):130-131.

[8]楊志軍,鄭皓元,丁洪偉.無線局域網(wǎng)多機器人系統(tǒng)輪詢MAC協(xié)議研究[J].計算機應(yīng)用研究,2022,39(4):1178-1182.

作者：黃學良 單位：鄭州信息工程職業(yè)學院