无线局域网的安全策略探讨

摘　要：网络安全是当今无线网络发展过程中面临的一个重要问题。本文对无线网络安全管理的主要技术进行了探讨，提出了运用多种防护技术的无线局域网络安全解决方案，为无线局域网络信息系统的运行安全和信息安全提供了技术上的保证。

关键词：无线局域网络；网络攻击； 安全策略
　　引言：
　　随着信息社会的到来，作为基础设施的无线局域网络部署越来越广泛，许多工作团队和生活群体对无线局域网络的需求不断提升，使得人们对无线局域网络的依赖性也越强。但由于计算机信息的共享及无线网络特有的开放性，在无线局域网络发展的同时，伴之而来的信息安全威胁在不断增加，无线局域网络的安全性也正引起人们的重视。
　　一、威胁无线局域网的因素
　　无线网络与传统的有线接入的方法不同,无线局域网采用公共的电磁波作为传输介质,而电磁波能够穿越天花板、玻璃、楼层、墙壁等物体,因此在一个无线接入点(无线AP)的服务区域中,任何一个无线工作站都可以接收到此接入点的电磁波信号。这样,非授权的工作站就可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击。因此, 威胁无线局域网的主要因素有：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
　　二、WLAN安全技术手段
　　WLAN安全技术种类繁多，先做一下简单介绍：
　　 1、认证技术
　　使用802.11协议认证、PPP接入认证、802.1x EAP认证、WEB认证等技术，防止非法设备/用户接入。
　　IEEE802.11协议认证：在STA使用802.11协议与AP建立无线连接之前，AP使用Open System或者Pre-Shared Key认证机制来验证STA身份的合法性。
　　PPP接入认证：在用户使用PPPoE/PPPoA/PPP方式接入AC（Access Controllor）/BAS（Broadband Access Server）时，通过PPP-PAP/CHAP/EAP认证方式，采用用户名+口令的模式来验证用户身份的合法性。
　　2、访问控制
　　使用ESSID、MAC控制，防止非法无线设备入侵。ESSID：802.11协议可设置STA-AP的ESSID限制非法设备接入。当STA建立和AP的连接时，AP将检验与STA的ESSID的一致性。只有ESSID匹配，AP才接受STA的访问；否则，拒绝访问。
　　MAC控制：检验S T A的M A C地址，只有注册在AP上的STA才可以接入W L A N网络。
　　3、数据加密
　　使用WEP、TKIP、CCMP、MPPE、IPSEC、WTLS、SSL、TLS等加密协议来保密数据、可靠地传输数据，可有效地防止信息泄漏、假冒攻击、篡改数据包，并能够进行完整性校验，实现不可否认性。
　　WEP协议：802.11协议的WEP采用RC4算法，使用静态的Pre-Shared Key以及Seed一起加密空中接口的802.11无线数据包。
　　TKIP协议：TKIP采用RC4算法，采用动态密钥更新技术，加密数据包。采用MICHAEL算法进行完整性校验。
　　CCMP协议：CCMP采用AES对称块式加密算法来加密数据，采用Counter Mode的CBC-MAC进行完整性校验。
　　WPA协议：W P A是WFA规范的阶段性安全解决方案，产生于802.11i协议未标准化之前。主要借鉴802.11i草案的阶段性成果，综合WEP、TKIP和802.1x EAP-TLS认证技术形成WPA I；综合CCMP和802.1x EAP-TLS认证技术形成WPAII。
　　WTLS协议：WTLS是WPA论坛规范的无线传输层安全规范，主要用于W A P协议之中，可借用于W L A N。通过协商密钥、加密算法以及使用证书建立安全的通讯通道。
　　MPPE协议：MPPE技术采用RC4，并根据用户和AC之间预先共享的主密钥来衍生Session Key，从而对当前拨号连接的会话数据包进行加密操作，并且每一个会话的Session Key均不同。MPPE可用于PPP/PPPoE/PPPoA等用户拨号协议中，用以防止信息泄漏。
　　4、加密隧道
　　使用WTLS、SSL、TLS/EAP-TLS、MPPE、ESP、VPN.郑州:郑州2006.