无线局域网的安全机制及安全措施无线局域网是指采用无线传输媒介的计算机局域网。

但由于WLAN采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防范。

WLAN 的安全问题严重的束缚了WLAN的高速和健康发展。

本文通过研究当前无线局域网使用的各种安全机制的特点及其缺陷，提出了一些相应的安全措施手段，以此来提高无线局域网的安全性。

标签：无线局域网安全机制安全措施0 引言通常网络的安全性主要体现在两个方面：一是访问控制，另一个是数据加密。

无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。

虽然目前局域网建网的地域变得越来越复杂，利用无线技术来建设局域网也变得越来越普遍，但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因，也成为制约WLAN快速发展的主要问题。

1 现有安全机制特点及其缺陷1.1 物理地址（MAC）过滤控制每个无线客户端网卡都有唯一的物理地址标识，因此可以在AP中手工维护一组答应访问的MAC地址列表，实现物理地址过滤。

物理地址过滤属于硬件认证，而不是用户认证。

这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；但其扩展能力很差，因此只适合于小型网络。

另外，非法用户利用网络侦听手段很轻易窃取合法的MAC地址，而且MAC地址并不难修改，因此非法用户完全可以盗用合法的MAC地址进行非法接入。

1.2 有线对等保密机制（WEP）WEP认证采用共享密钥认证，通过客户和接入点之间命令和回应信息的交换，命令文本明码发送到客户，在客户端使用共享密钥加密，并发送回接入点。

WEP使用RC4流密码进行加密。

RC4加密算法是一种对称的流密码，支持长度可变的密钥。

但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。

1.3 无线保护访问（WPA）无线保护访问(WPA)是WiFi 联盟推出的一个过渡性标准，主要是考虑当前无线局域网发展的现状，为了兼容有线对等保密机制，故采用TKIP和AES两种措施进行加密。

而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准，它推荐使用一种安全性能更高的加密标准，那就是CCMP，同时也兼容TKIP，WEP，当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。

不过WPA在三个方面存在缺憾：不能为独立基础服务集（IBSS）网络（即对等无线网络）提供安全支持；不能在网络上对多个接入点进行预检；不能支持高级加密标准（AES），假如使用AES的话就需要为客户机增加额外的计算能力，也就意味着增加了成本。

1.4 虚拟专用网络（VPN）虚拟专用网络（Virtual Private Network，VPN）是一门网络新技术，它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式，同时以另外一种强大的加密方式保证数据传输的安全性，并可与其它的无线安全技术兼容。

IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中繼(FR)VPN 来连接计算机或局域网(LAN)，另一方面还可提供峰值负载分担、租用线的备份、冗余等，以此大大降低成本费用，最后它也支持中央安全管理，它的缺点是需要在客户机中进行数据的加密和解密，这会大大增加系统的负担，实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。

1.5 802.1X端口访问控制机制802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制，它被认为是无线局域网的一种加强版的网络安全解决方案。

它工作的主要模式是：当一个外来设备发出需接入AP的请求时，用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务（RADIUS)服务器进行鉴别以及授权。

一旦无线终端与AP相关联以后，802.1x标准的认证是用户是否可以使用AP服务的关键。

换句话说，如果802.1x标准认证通过，则AP为用户打开此逻辑端口，否则AP不允许该用户接入网络。

802.1X端口访问控制机制除了为无线局域网提供认证和加密外，还可提供快速重置密钥、密钥管理功能等相关功能。

使用802.1x标准可周期性地把这些密钥传送给相关各用户。

不过此机制的不足之处是802. 1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同，这直接造成兼容问题，同时另一个问题是该方法还需要专业知识部署和Radius服务器支持，费用偏高。

2 对无线局域网采取的安全措施2.1 对无线网络进行加密对无线网络进行加密是最基本的。

就目前来说，常见的安全类型有WEP、WPA、WPA2三种。

WEP是一种运用传统的无线网络加密算法进行加密。

如果采用WEP加密，入侵者就能很容易的利用无线嗅探器直接读取数据，但如果采用支持128位的WEP进行加密的话，入侵者要破解128位的WEP是一有定的难度的，所以建议一是对WEP密钥经常更换，二是最好使用动态WEP进行加密（Windows XP系统本身就提供了这种支持，可选中WEP选项的“自动为我提供这个密钥”），有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。

WPA是在WEP的基础上改进而来，采用TKIP和AES进行加密。

WPA2则是目前最安全的安全类型，它提供一种安全性更高的加密标准-CCMP，其加密算法为AES。

但加密并不是万能的，WPA2安全类型在一定的技术和设备条件下已经被破解。

当然，对无线网络进行加密只是提高网络安全性的第一步而已。

2.2 设置MAC地址过滤MAC地址即硬件地址，是网络设备独一无二的标识，具有全球唯一性。

因为无线路由器可追踪经过它们的所有数据包源MAC地址，所以通过开启无线路由器上的MAC地址过滤功能，以此来建立允许访问路由器的MAC地址列表，达到防止非法设备接入网络的目的。

2.3 使用静态IP地址一般无线路由器默认设置应用DHCP功能，也就是动态分配IP地址。

这样如果入侵者找到了无线网络，就很方便的通过DHCP获得一个合法的IP地址，这对无线网络来说是有安全隐患的。

因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能，然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址，并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中，从而大大缩小了可接入无线网络的IP地址范围。

最好的方法是将静态IP地址与其相对应MAC地址同步绑定，这样即使入侵者得到了合法的IP地址，也还要验证绑定的MAC地址，相当于设置了两道关卡，大大提高网络安全性。

2.4 改变服务集标识符并且禁止SSID广播SSID是无线访问点使用的识别字符串，客户端利用它就能建立连接。

该标识符由设备制造商设定，每种标识符使用默认短语。

倘若黑客知道了这种口令短语，即使未经授权，也很容易使用无线服务。

对于部署的每个无线访问而言，要选择独一无二并且很难猜中的SSID。

如果可能的话，禁止通过无线向外广播该标识符。

这样网络仍可使用，但不会出现可用网络列表上。

2.5 IDS无线入侵检测系统(IDS)相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。

在无线局域网中，IDS主要功能是：监视分析用户的活动，检测非法的网络行为，判断入侵事件的类型，对异常的网络流量进行预警。

IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置，还能加强策略，大大提高无线局域网的安全性。

同时它能检测到rogue WAPS，识别出那些未经加密的802.11标准的数据流量，也能通过一种顺序分析，检测到MAC地址欺骗，找出那些伪装WAP的无线上网用户。

不过无线入侵检测系统毕竟是一门新技术，它有很多优点的同时也存在一些缺陷，随着入侵检测系统的飞速发展，相信关于这些缺陷也会被逐一解决的。

2.6 无线网络中VPN技术的应用目前在大型无线网络中当中，对工作站的维护、对AP的MAC 地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作，而VPN技术在无线网络中应用则使其成为当今WEP机制和MAC地址过滤机制的最佳代替者。

VPN 是指在不可信的网络(Internet)上提供一条安全、专用的隧道，其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系，同时隧道本身就提供了一定可能的安全性。

VPN在客户端与各级组织之间设置了一条动态的加密隧道，并同时支持用户进行身份验证，以此来实现高级别的安全。

在VPN协议当中它包括了采用数据加密标准(DES)、168位三重数据加密标准(3DES)及其它数据包鉴权算法来进行数据加密的IPSec协议，并使用数字证书进行验证公钥。

无线局域网的数据用VPN技术加密后再用无线加密技术加密，这就好像双重门锁，大大提高了无线局域网的安全性能。

2.7 采用身份验证和授权如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时，他们就可据此尝试与AP建立联系，从而使无线网络出现安全隐患，所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。

身份验证是系统安全的一个基础方面，它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。

如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥，而此时的您没有如果其它的保护或身份验证机制，那么此时你的无线网络对每一位已获知网络SSID、MAC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态，后果可想而知。

共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证，它是一种类似于“口令一响应”身份验证系统，也是在STA与AP共享同一个WEP 密钥时使用的机制。

其工作模式是：STA向AP发送申请请求，然后AP发回口令，随后STA利用发回的口令和加密的响应来进行回复。

不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的，在此期间如果有人能够同时截取住发回的口令和加密的响应，那么他们就很可能据此找出用于加密的密钥信息。

所以在此基础上建议配置强共享密钥，并经常对其进行更改，比如通过使用加密的共享机密信息来认证客户机并处理RADIUS 服务器间的事务，不再通过网络发送机密信息，从而提高网络安全性。

当然也可以使用其它的身份验证和授权机制，比如802.1x、证书等对无线网络用户进行身份验证和授权，而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果，大大提高无线网络的安全性能。

2.8 其他除以上本文敘述的安全措施外，实际当中还可以采取一些其它的技术手段来加强WLAN的安全性，比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。