導(dǎo)語(yǔ)：無(wú)線局域網(wǎng)安全機(jī)制及安全措施一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著我國(guó)科技水平不斷提升，無(wú)線局域網(wǎng)技術(shù)在我國(guó)應(yīng)用范圍越來(lái)越廣，其主要是指采用無(wú)線傳輸媒介的計(jì)算機(jī)局域網(wǎng)，但是由于其以公共的電磁波作為載體，這也使得越權(quán)存取等行為更加不容易防范。整體來(lái)看，WLAN的安全問(wèn)題已經(jīng)嚴(yán)重束縛了WLAN技術(shù)的健康發(fā)展。基于此，該文嘗試對(duì)無(wú)線局域網(wǎng)的安全機(jī)制及安全措施進(jìn)行了分析。

關(guān)鍵詞：無(wú)線局域網(wǎng)；安全機(jī)制；安全措施；研究

當(dāng)前，網(wǎng)絡(luò)系統(tǒng)的安全性主要表現(xiàn)為訪問(wèn)控制以及數(shù)據(jù)加密兩個(gè)階段，與有線局域網(wǎng)相比，無(wú)線局域網(wǎng)的安全問(wèn)題更為突出，在對(duì)安全問(wèn)題進(jìn)行處理時(shí)，主要是應(yīng)用了電磁波作為載體來(lái)進(jìn)行數(shù)據(jù)信號(hào)的傳輸?，F(xiàn)階段我國(guó)在進(jìn)行局域網(wǎng)建網(wǎng)時(shí)，所應(yīng)用的技術(shù)以及涉及的環(huán)節(jié)越來(lái)越復(fù)雜，這也使得電磁輻射傳輸方式的安全保密問(wèn)題成為了人們關(guān)注的重點(diǎn)問(wèn)題之一，因此對(duì)相關(guān)安全措施進(jìn)行針對(duì)性分析非常有必要。

1無(wú)線局域網(wǎng)現(xiàn)有安全機(jī)制特點(diǎn)分析

1.1物理地址過(guò)濾控制

物理地址（MAC）是每個(gè)無(wú)線網(wǎng)客戶端網(wǎng)卡的唯一物理標(biāo)識(shí)，因此可以在手工維護(hù)單元確定一組答應(yīng)訪問(wèn)的MAC地址列表，通過(guò)物理地址對(duì)其進(jìn)行過(guò)濾。由于物理地址過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證，這就需要對(duì)AP中的MAC地址列表進(jìn)行更新，當(dāng)前來(lái)看，很多時(shí)候都是運(yùn)用手動(dòng)操作的方式，并且其擴(kuò)展能力相對(duì)有限，因此只適合一些小型網(wǎng)絡(luò)。此外，很多非法用戶往往習(xí)慣于利用網(wǎng)絡(luò)偵聽手段來(lái)獲取合法的MAC地址，實(shí)際上MAC地址并不難修改，因此很多非法用戶都可以通過(guò)盜用的方式來(lái)實(shí)現(xiàn)非法接入[1]。因此，應(yīng)該注意對(duì)物理地址的標(biāo)識(shí)進(jìn)行明確，提升對(duì)無(wú)線客戶信息的保密程度。

1.2有限對(duì)等保密機(jī)制

WEP認(rèn)證主要是應(yīng)用共享密鑰認(rèn)證的方式來(lái)確定客戶接入點(diǎn)，從而實(shí)現(xiàn)命令與回應(yīng)信息的有效交換，可以將命令文本明碼發(fā)到客戶端，客戶端則可以利用共享密鑰加密的方式來(lái)將其發(fā)揮到信息接入點(diǎn)。當(dāng)前，RC4加密算法在我國(guó)無(wú)線網(wǎng)絡(luò)技術(shù)中有較為廣泛的應(yīng)用，其屬于一種對(duì)稱的流密碼，支持長(zhǎng)度可變的密鑰。但是從當(dāng)前WEP認(rèn)證方式應(yīng)用的情況來(lái)看，尚且缺少完善的密鑰治理以及校檢計(jì)算體系，這也使得此種方式在實(shí)際應(yīng)用過(guò)程中依然存在一定安全缺陷。1.3無(wú)線保護(hù)訪問(wèn)無(wú)線保護(hù)訪問(wèn)（WPA）屬于無(wú)線網(wǎng)絡(luò)系統(tǒng)推出的過(guò)渡性標(biāo)準(zhǔn)，需要對(duì)當(dāng)前無(wú)線局域網(wǎng)發(fā)展現(xiàn)狀進(jìn)行分析，為了可以兼容有限對(duì)等保密機(jī)制，應(yīng)該注意應(yīng)用AES與TKIP相結(jié)合的方式來(lái)進(jìn)行加密處理。而后續(xù)的WPA2是WIFI聯(lián)盟出品的第二代標(biāo)準(zhǔn)，其是使用一種安全性更高的加密標(biāo)準(zhǔn)來(lái)進(jìn)行操作，并且同樣具有兼容功能。上述兩種標(biāo)準(zhǔn)都是在802.11i基礎(chǔ)上發(fā)展而來(lái)的。

1.4虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)屬于一門網(wǎng)絡(luò)新技術(shù)，在對(duì)其進(jìn)行應(yīng)用時(shí)，應(yīng)該注意運(yùn)用網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)連接方式，通過(guò)強(qiáng)大的加密方式來(lái)保證數(shù)據(jù)傳輸?shù)陌踩浴４隧?xiàng)技術(shù)可以實(shí)現(xiàn)與其他無(wú)線安全技術(shù)的有效兼容，虛擬專用網(wǎng)路技術(shù)的應(yīng)用還可以提供峰值負(fù)載分擔(dān)以及租用線備份，通過(guò)這種方式可以有效降低成本費(fèi)用[2]。此外，此項(xiàng)技術(shù)還支持中央安全管理，但是也存在一定缺陷，主要體現(xiàn)為需要在客戶集中對(duì)數(shù)據(jù)進(jìn)行加密以及解密，這也會(huì)在很大程度上增加系統(tǒng)的運(yùn)行負(fù)擔(dān)，再加上無(wú)線局域網(wǎng)的運(yùn)行環(huán)境較為復(fù)雜、脆弱，這也使得網(wǎng)絡(luò)擴(kuò)展受到了諸多因素的限制。

2當(dāng)前無(wú)線局域網(wǎng)具體存在的安全威脅

2.1接入點(diǎn)的安全威脅

對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，接入點(diǎn)的安全威脅非常嚴(yán)重，由于無(wú)線局域網(wǎng)接入點(diǎn)具有價(jià)格低、安裝方便以及結(jié)構(gòu)緊湊等特點(diǎn)，這也使得其應(yīng)用范圍不斷擴(kuò)展。而非法無(wú)線局域網(wǎng)是在用戶不知情的情況下對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行非法惡意訪問(wèn)，只需要將無(wú)線局域網(wǎng)連接到AP網(wǎng)絡(luò)內(nèi)部便可以實(shí)現(xiàn)與網(wǎng)絡(luò)端口的有效連接，從而盜取用戶重要信息[3]。

2.2安全功能設(shè)置不當(dāng)

無(wú)線局域網(wǎng)的安全功能設(shè)置不當(dāng)也已經(jīng)成為了影響系統(tǒng)穩(wěn)定運(yùn)行的關(guān)鍵問(wèn)題，在多數(shù)情況下，合法的網(wǎng)絡(luò)管理者并沒(méi)有專門設(shè)置相應(yīng)的AP安全系統(tǒng)，更多時(shí)候則是保持默認(rèn)設(shè)置，這也導(dǎo)致了AP一直處于不加密或者弱加密的環(huán)境中，也正是因?yàn)檫@些情況的存在，使得很多客戶端在在用戶訪問(wèn)時(shí)經(jīng)常會(huì)受到未知風(fēng)險(xiǎn)因素的影響，同時(shí)也使得整個(gè)企業(yè)的網(wǎng)絡(luò)都會(huì)在沒(méi)有任何密碼的情況下建立無(wú)線網(wǎng)絡(luò)系統(tǒng)，進(jìn)而使得數(shù)據(jù)傳遞安全無(wú)法得到保證。

2.3連接不當(dāng)

在進(jìn)行客戶端連接操作時(shí)，經(jīng)常會(huì)出現(xiàn)連接不當(dāng)?shù)默F(xiàn)象，也正是因?yàn)檫@種情況的存在，使得一個(gè)合法的用戶在企業(yè)內(nèi)部與AP進(jìn)行連接時(shí)，可以建立起與外界的連接網(wǎng)絡(luò)，如果這時(shí)候外部的接入點(diǎn)是安全性未知的，則很可能置企業(yè)網(wǎng)路系統(tǒng)于危險(xiǎn)之中，容易導(dǎo)致企業(yè)網(wǎng)絡(luò)信息暴露等情況出現(xiàn)[4]。

3無(wú)線局域網(wǎng)的安全措施分析

3.1對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行加密處理

在對(duì)無(wú)線網(wǎng)路系統(tǒng)進(jìn)行加密處理時(shí)，應(yīng)該對(duì)加密方法進(jìn)行科學(xué)選擇，從當(dāng)前常見的安全類型來(lái)看，其主要包括WEP、WPA等。其中，WEP是一種運(yùn)用傳統(tǒng)無(wú)線網(wǎng)絡(luò)進(jìn)行加密計(jì)算的處理方法，在對(duì)此種方法進(jìn)行應(yīng)用時(shí)，非法入侵者很容易利用無(wú)線嗅探器來(lái)讀取數(shù)據(jù)，通過(guò)這種方式來(lái)可以使數(shù)據(jù)獲取更為及時(shí)[5]。如果采用128位的WEP來(lái)進(jìn)行加密操作，入侵者想要破除此類密碼存在較大難度，同時(shí)還應(yīng)該注意對(duì)密鑰進(jìn)行定期更換，始終保證系統(tǒng)運(yùn)轉(zhuǎn)安全性。此外，還應(yīng)該考慮應(yīng)用動(dòng)態(tài)的WEP進(jìn)行加密操作，這就需要系統(tǒng)本身有較為完善的數(shù)據(jù)體系對(duì)其進(jìn)行支持，進(jìn)而確定認(rèn)證服務(wù)存在的風(fēng)險(xiǎn)性，可以應(yīng)用TKIP或者AES的方式對(duì)其進(jìn)行加密處理。

3.2運(yùn)用靜態(tài)IP地址

一般的無(wú)線路由器主要是應(yīng)用其DHCP功能，并且要?jiǎng)討B(tài)分配IP地址，如果入侵者能夠找到無(wú)線網(wǎng)絡(luò)，便可以及時(shí)獲取一個(gè)合法、合規(guī)的IP地址，這樣也使得無(wú)線網(wǎng)絡(luò)的安全隱患問(wèn)題變得更為嚴(yán)重。因此，在對(duì)互聯(lián)網(wǎng)設(shè)備進(jìn)行應(yīng)用時(shí)，應(yīng)該保證其處在一個(gè)相對(duì)固定的環(huán)境中，進(jìn)而通過(guò)這種方式來(lái)保證每一個(gè)設(shè)備都可以設(shè)置一個(gè)固定的靜態(tài)IP地址，將這些靜態(tài)IP地址添加到無(wú)線路由器上之后，可以確定允許接入的IP值，這樣可以明顯縮小可接入的IP地址范圍。同時(shí)，還可以嘗試將靜態(tài)IP與相對(duì)應(yīng)的MAC地址同步綁定，這樣一來(lái)，即使入侵者獲取了合法IP地址，依然需要驗(yàn)證保定MAC地址，這也使得網(wǎng)絡(luò)系統(tǒng)的安全性明顯提升[6]。

3.3設(shè)置了MAC地址過(guò)濾

在對(duì)MAC地址過(guò)濾模式進(jìn)行應(yīng)用時(shí)，應(yīng)該意識(shí)到其屬于獨(dú)一無(wú)二的設(shè)備標(biāo)識(shí)，想要使其在實(shí)際應(yīng)用的過(guò)程中發(fā)揮出理想效果，應(yīng)該保證標(biāo)示的唯一性。由于無(wú)線路由器具有可追蹤的功能，因此在對(duì)數(shù)據(jù)包源MAC地址進(jìn)行追蹤時(shí)，應(yīng)該確定其所具備的過(guò)濾功能，通過(guò)這種方式來(lái)建立起可以訪問(wèn)路由器的MAC的地址列表，同時(shí)也可以有效達(dá)到防止非法設(shè)備接入網(wǎng)絡(luò)系統(tǒng)的作用。

3.4運(yùn)用無(wú)線入侵檢測(cè)系統(tǒng)

無(wú)線入侵檢測(cè)系統(tǒng)（IDS）與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比，主要增加了對(duì)無(wú)線局域網(wǎng)的檢測(cè)以及對(duì)破壞系統(tǒng)反應(yīng)特征的描述等功能。對(duì)于無(wú)線入侵檢測(cè)系統(tǒng)來(lái)說(shuō)，可以通過(guò)分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來(lái)判斷當(dāng)前破壞系統(tǒng)與入侵事件之間是否存在必然聯(lián)系，從而確定與之相對(duì)應(yīng)的解決方式[7]。在無(wú)線局域網(wǎng)絡(luò)運(yùn)行過(guò)程中，無(wú)線入侵檢測(cè)系統(tǒng)的主要功能體現(xiàn)為以下幾個(gè)方面：首先，監(jiān)視并且分析當(dāng)前用戶的活動(dòng)狀態(tài)，通過(guò)這種方式可以對(duì)其存在的非法網(wǎng)絡(luò)行為進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)與之相關(guān)的入侵類型，就可以及時(shí)借助網(wǎng)絡(luò)流量的方式來(lái)進(jìn)行預(yù)警，進(jìn)而保證黑客行為的具體地理信息更為明確，提高了無(wú)線局域網(wǎng)絡(luò)系統(tǒng)的安全性。在進(jìn)行檢測(cè)操作時(shí)，應(yīng)該對(duì)那些未經(jīng)識(shí)別的標(biāo)準(zhǔn)數(shù)據(jù)流量進(jìn)行明確，通過(guò)順序分析的方式來(lái)對(duì)MAC地址進(jìn)行檢測(cè)，從而找到偽裝WAP的無(wú)線上網(wǎng)用戶。其次，無(wú)線入侵檢測(cè)系統(tǒng)屬于一門新技術(shù)，其具有多種優(yōu)勢(shì)，主要表現(xiàn)為靈敏度高、工作效率高等結(jié)果方面，但也存在一些缺陷，如檢測(cè)結(jié)果可能存在偏差。無(wú)線入侵檢測(cè)系統(tǒng)在我國(guó)尚且處于研發(fā)階段，隨著我國(guó)相關(guān)行業(yè)發(fā)展規(guī)模不斷壯大，技術(shù)水平不斷提升，此項(xiàng)技術(shù)存在的缺陷也勢(shì)必會(huì)被逐一解決[8]。

3.5在無(wú)線網(wǎng)絡(luò)中應(yīng)用VPN技術(shù)

從當(dāng)前我國(guó)無(wú)線網(wǎng)絡(luò)技術(shù)體系發(fā)展情況來(lái)看，工作站的維護(hù)以及AP地址列表設(shè)置等工作任務(wù)往往較為繁重。而VPN技術(shù)在無(wú)線網(wǎng)絡(luò)中應(yīng)用可以使其成為當(dāng)今WEP機(jī)制的最佳代替者。同時(shí)，VPN在客戶端以及各級(jí)組織中的運(yùn)用可以建立起一條動(dòng)態(tài)化的加密隧道，通過(guò)這種方式可以實(shí)現(xiàn)對(duì)當(dāng)前用戶身份的有效驗(yàn)證，進(jìn)而保證數(shù)據(jù)信息的獲取以及傳遞安全。在進(jìn)行VPN協(xié)議設(shè)定時(shí)，其中包括了數(shù)據(jù)加密標(biāo)準(zhǔn)以及168位三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)，可以通過(guò)數(shù)字驗(yàn)證的方式來(lái)確定相應(yīng)的公鑰。無(wú)線局域網(wǎng)絡(luò)系統(tǒng)在對(duì)其進(jìn)行應(yīng)用時(shí)，應(yīng)該確定系統(tǒng)中的重點(diǎn)環(huán)節(jié)，應(yīng)用無(wú)線加密技術(shù)時(shí)，可以達(dá)到雙重加密保護(hù)的效果，這也在很大程度上提高了無(wú)線局域網(wǎng)絡(luò)的整體安全性能。

3.6運(yùn)用身份驗(yàn)證以及授權(quán)模式

網(wǎng)絡(luò)入侵者可以通過(guò)一定途徑了解到當(dāng)前網(wǎng)絡(luò)系統(tǒng)的SSID地址以及WEP密鑰等信息，通過(guò)對(duì)這些信息數(shù)據(jù)的有效利用能夠與AP構(gòu)建起緊密聯(lián)系，這也使得無(wú)線網(wǎng)絡(luò)的安全出現(xiàn)隱患。對(duì)于網(wǎng)絡(luò)用戶來(lái)說(shuō)，在進(jìn)行無(wú)線網(wǎng)絡(luò)體系構(gòu)建時(shí)，應(yīng)該確定與之相應(yīng)的身份驗(yàn)證方式，從而使得身份驗(yàn)證成為重要的安全措施。如果我們?cè)谶M(jìn)行開放性身份驗(yàn)證的過(guò)程中為AP提供了正確的WEP密鑰，便可以獲悉每一位已知用戶的網(wǎng)絡(luò)SSID以及MAC地址，這也使得相關(guān)用戶的信息處于完全開放的狀態(tài)，其風(fēng)險(xiǎn)可想而知。在確定共享機(jī)密身份驗(yàn)證時(shí)，應(yīng)該確定“口令”，以此為基礎(chǔ)來(lái)實(shí)現(xiàn)對(duì)身份的有效驗(yàn)證，這也使得其共享機(jī)制的完善程度明顯提升。但是上述方法也存在一定缺陷，主要因?yàn)榭诹钍侵苯油ㄟ^(guò)明文的方式來(lái)傳遞給STA，這也使得人們?cè)趯?duì)口令進(jìn)行截取時(shí)，很難實(shí)現(xiàn)對(duì)口令以及加密方式的及時(shí)響應(yīng)。因此，要在此基礎(chǔ)上配置相應(yīng)的共享密鑰，通過(guò)這種方式來(lái)保證機(jī)密信息發(fā)送過(guò)程中的安全風(fēng)險(xiǎn)可以得到有效控制。當(dāng)然，也可以嘗試應(yīng)用其他身份來(lái)進(jìn)行驗(yàn)證以及授權(quán)操作，例如：可以運(yùn)用802.1x對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證以及授權(quán)，通過(guò)這種方式實(shí)現(xiàn)對(duì)入侵者訪問(wèn)權(quán)限的有效管控，從而在整體上提高無(wú)線網(wǎng)絡(luò)的安全性能。

4結(jié)語(yǔ)

綜上所述，當(dāng)前我國(guó)科技水平不斷提升，無(wú)線技術(shù)的應(yīng)用范圍也越來(lái)越廣，這也使得線路應(yīng)用安全問(wèn)題受到了人們的廣泛關(guān)注，今后應(yīng)該加大對(duì)網(wǎng)絡(luò)安全問(wèn)題的處理力度。對(duì)于當(dāng)前的網(wǎng)絡(luò)用戶來(lái)說(shuō)，要想使其信息安全性得到保證，應(yīng)該對(duì)網(wǎng)絡(luò)用戶進(jìn)行嚴(yán)格認(rèn)證，明確數(shù)據(jù)傳輸加密功能，以此為基礎(chǔ)確定多重安全設(shè)施，將這些安全設(shè)施有效結(jié)合起來(lái)，以保證當(dāng)前的無(wú)線網(wǎng)絡(luò)用戶信息數(shù)據(jù)傳輸?shù)陌踩砸约氨Ｃ苄浴Ｕw來(lái)看，現(xiàn)階段我國(guó)在無(wú)線網(wǎng)絡(luò)系統(tǒng)安全機(jī)制建設(shè)方面尚且處于初級(jí)階段，還有很多方面完善程度不夠，雖然VPN技術(shù)已經(jīng)有較為廣泛的應(yīng)用，但是依然沒(méi)有體現(xiàn)出相對(duì)理想的保密性控制能力，在實(shí)際使用過(guò)程中依然存在一些網(wǎng)絡(luò)安全漏洞。

參考文獻(xiàn)

[1]顏炳風(fēng).無(wú)線局域網(wǎng)的安全機(jī)制、漏洞破解以及解決方案——安全的無(wú)線局域網(wǎng)網(wǎng)絡(luò)[J].科技信息,2010(27):68-70,89.

[2]郜東晨.一種安全的無(wú)線局域網(wǎng)無(wú)感知準(zhǔn)入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2019.

[3]趙婉彤.無(wú)線局域網(wǎng)通信安全機(jī)制的研究[J].中國(guó)管理信息化,2017,20(12):143-144.

[4]劉錫華.邊緣計(jì)算環(huán)境下面向無(wú)線城域網(wǎng)的服務(wù)遷移關(guān)鍵技術(shù)研究[D].南京:南京信息工程大學(xué),2021.

[5]劉琦.基于無(wú)線局域網(wǎng)的智能家居監(jiān)控系統(tǒng)設(shè)計(jì)[D].太原:太原理工大學(xué),2020.

[6]周小平.超高速無(wú)線局域網(wǎng)接收機(jī)算法研究及VLSI實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2021.

[7]王華.基于無(wú)線傳感器網(wǎng)絡(luò)的智慧城市數(shù)據(jù)分析[J].信息記錄材料,2021,22(10):130-131.

[8]楊志軍,鄭皓元,丁洪偉.無(wú)線局域網(wǎng)多機(jī)器人系統(tǒng)輪詢MAC協(xié)議研究[J].計(jì)算機(jī)應(yīng)用研究,2022,39(4):1178-1182.

作者：黃學(xué)良 單位：鄭州信息工程職業(yè)學(xué)院