浅谈无线局域网环境下通信安全问题.docVIP

浅谈无线局域网环境下通信安全问题 　　摘要：经过多年的发展，无线局域网己经成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一个必不可少的补充。无线局域网迅速发展的同时，对网络的安全性也提出了更高的要求，本文研究了现阶段无线局域网面临的主要安全问题，并介绍了相应的解决办法。 　　关键词：无线局域网；安全性；IEEE802.11 　　中图分类号：TN925.93 文献标识码：A 文章编号：1674-7712 （2012） 18-0117-01 　　一、简介 　　无线局域网是在有线网络上发展起来的，是无线传输技术在局域网技术上的运用，而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势，因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点，但由于其基于无线路径进行传播，因此传播方式的开放性特性给无线??域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11，但其存在设计缺陷，缺少密钥管理，存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析，并在此基础上对无线局域网的安全研究做出分析。 　　二、无线局域网的结构 　　根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种： 　　（1）网桥连接型：不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。 　　（2）基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。 　　（3）HUB接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。 　　（4）无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。 　　三、无线局域网的安全现状及安全性缺陷 　　由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。具体分析，无线局域网存在如下两种主要的安全性缺陷： 　　（一）静态密钥的缺陷 　　静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量可观时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是难以想象的。 　　（二）访问控制机制的安全缺陷 　　1.封闭网络访问控制机制：几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。 　　2.以太网MAC地址访问控制表：MAC地址很容易的就会被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。 　　四、无线局域网安全保障策略 　　（一）SSID访问控制 　　通过对多个无线接人点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接人，并对资源访问的权限进行区别限制。 　　（二）MAC地址过滤 　　每个无线客户端网卡都有唯一的一个物理地址，因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表，实现物理地址过滤。 　　（三）使用移动管理器 　　使用移动管理器可以用来增强无线局域网的安全性能，实现接入点的安全特性。移动管理器可以提高无线网络的清晰度，当网络出现问题时，它能产生告警信号通知网络管理员，使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险，网络管理员设置一个网络行为的门限，这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置，可以防止入侵者通过改变接入点配置而连