无线局域网安全性分析论文

摘要：无线局域网是由无线通讯技术和无线路由器、无线网卡、无线集线器、计算机等设备组建的计算机网络，它有着灵活性和移动性强、铺设成本低、使用方便等优点，在普通家庭中得到了广泛应用。在组建家庭无线局域网时，首先应选购合适的无线网卡、无线路由器，然后申请宽带入户，把线路接到无线路由器上，确定无线路由器的位置，安装无线网卡，同时还应加强无线接入点管理。下面小编整理了一些《无线局域网安全性分析论文(精选3篇)》，欢迎大家借鉴与参考，希望对大家有所帮助！

无线局域网安全性分析论文 篇1：

论校园无线局域网的攻击与防御

摘要：无线局域网给人们的工作、学习和生活带来了便利，但是，也带来了很大的安全隐患。本文首先分析了无线局域网的特点，然后对无线局域网面临的安全攻击进行了分析，最后提出了无线局域网的防御策略。

关键词：无线局域网；黑客攻击；防御

1 引言

进入21世纪以来，网络技术飞速发展，特别是近年来，无线网络的发展极为迅猛。家用无线网络、运营商无线网络、各单位的无线网络越来越普及，无线网络的接入也变得更加的方便，而随着笔记本电脑、平板电脑、智能手机等各类移动终端的增多，无线网络已经成为人们工作、学习和生活中必不可少的一部分。很多城市的公共场所、公交车站等都已经推行免费无线网络，而随着“互联网+”战略的推进，无线网络在社会中占有越来越重要的地位。

校园无线网络是各类无线网络的重要组成部分，随着无线网络的不断发展，人们的工作、学习和生活都发生了翻天覆地的变化，变得越来越方便与快捷，但是，在另一方面，无线网络的安全性问题也日益突出，对人们的信息安全造成了极大的威胁，也阻碍了无线网络的进一步发展。校园无线网络作为无线网络的重要组成部分，而且学校作为相对特殊的场所，其网络安全问题也受到了广泛关注。

2 无线局域网的特点分析

2.1无线局域网的优点

随着网络技术的发展和各种智能终端的普及，无线局域网的发展势头非常迅猛，目前，无线局域网的地位和重要性已经足以与有线局域网分庭抗礼。无线局域网相对于有线局域网来说，有其相应的优势，主要体现在以下几个方面：第一，无线局域网具有很强的移动性，有线局域网由于其网络接口位置是固定的，因此，要接入有线局域网，就必须在存在有线局域网网络接口的位置才能接入网络，无法满足人们随时随地上网的需求，而无线局域网则没有这样的弊端，只要在无线局域网覆盖的区域，人们就可以利用智能终端接入网络，从而实现了随时随地上网；第二，无线局域网的布线相对有线局域网而言更加方便，有线局域网布线复杂，施工难度大，而无线局域网则只需要在一定范围内安装无线发射设备即可实现无线网络覆盖。第三，组网方便，无线局域网只需要在现有有线网络的基础上，进行无线局域网的部署，就可以实现用户接入无线网络；第四，无线局域网的可扩展性很强，在无线局域网中，诸如无线AP等网络设备，可以相对方便和自由的进行改变和移动，不像有线网络中的HUB和网线，改变和移动相当困难，这就可以根据实际的上网需求来进行适当的更改，从而满足不同的上网需求。

2.2无线局域网的缺陷

无线局域网给人们带来了便捷，但是，无线局域网并不是十全十美的，其仍然存在很多的缺陷：第一，性能不够完善，无线局域网的数据传输是通过无线电波来实现的，但是障碍物和干扰会影响电波的传输，比如说，建筑物和树木的障碍，还有其他电磁干扰等，这些因素都会影响电波的传输，影响无线网络数据的传送，进而影响无线网络的性能；第二，相比于有线网络而言，无线网络的传输速率相对较低，当前，无线局域网的网络传输速率平均为54Mbit/s，这种传输速率相对有线网络而言是很低的，因此，无线局域网不适合网络设备很多的场所使用；第三，安全性能较差，相对于有线网络而言，无线网络可以更为方便快捷地接入网络，这是一把双刃剑，一方面方便了人们的使用，另一方面，也带来了安全隐患，无线网络不是以物理方式连接的，任何人，只要知道无线局域网的登录密码即可接入网络，如果不法分子恶意接入的话，无线局域网中的传输信号就可能会被监听，导致用户信息被泄露，甚至局域网会被恶意攻击。

有线局域网经过多年的发展，其安全性和可靠性已经相对成熟，而无线局域网的安全性仍然处于不成熟阶段，安全隐患相对较多，因此，很多黑客都对无线局域网展开攻击，而且，攻击技术和攻击手段不断升级，这些都严重威胁了无线局域网的安全。无线局域网让人们上网更加的方便快捷，但是也为网络攻击提供了网络接入接口，黑客可以利用网络接口来开展攻击，窃取信息、删除和修改数据、植入病毒和木马等，这些都给无线局域网带来了极大的安全隐患。

因此，无线局域网如何防御攻击，已经成为无线局域网在发展过程中亟待解决的问题。由于无线局域网中的数据是依靠无线电波来传播，因此，要解决无线局域网的安全问题，只需要从无线局域网的接入方面和加密方面进行控制，就可以有效保障无线局域网的安全。

3 无线局域网面临的安全攻击

3.1搜索无线局域网络隐藏的服务集标识

每一个无线局域网都有自身特有的SSID，这个SSID是无线局域网自身的专属代号。一般情况下，无线局域网络设备在初始状态下，服务集标识是没有进行加密的，处于完全开放状态，这种状态的安全性非常低，但是，也只有在这种状态下，无线网络用户才能利用智能终端接入无线网络。黑客攻击无线局域网，一般都是搜索服务集标识，并且利用服务集标识来开展攻击，因此，要防御网络攻击，可以对服务集标识进行隐藏，防止被黑客搜索到并加以利用。但是，随着网络技术的不断发展，黑客攻击的技术和手段不断提升，隐藏服务集标识的方法已经越来越难以防御黑客攻击。很多黑客利用先进的网络攻击工具，搜索服务集标识，并利用服务集标识来对无线局域网开展攻击，这也成为黑客攻击无线局域网的主要手段。

3.2破解WEP的加密方式

WEP是对两台设备间无线传输的数据进行加密的方式，用来防御无线网络的入侵，或者防止被非法用户窃听数据。WEP协议是802.11b标准中适用于无线局域网的安全协议，能够为无线局域网提供安全保障。WEP协议的设计相对简单，也因此存在着很多的安全漏洞，比如说，其认证机制是单向认证的，这种安全机制过于简单，很容易遭受黑客的攻击。因此，因为WEP协议的无线局域网的安全性并不高，所以我国早在2003年就采用了WPA加密方式来替换WEP加密方式，WPA加密方式是利用密钥的架构和管理方法，用动态密钥的方式来进行加密，取代了WEP静态密钥的方式，而且WPA加密方式还增加了密钥的长度，只有当认证服务器确认用户的信息正确之后，才会将密钥通过安全通道发送给AP和客户端，从而建立了一个安全可靠的信息传输渠道。WPA加密方式，是依靠动态加密来实现的，其被破解的可能性大大降低，虽然不可能完全避免被破解，但是，只需要定期修改密码，并且加强密码认证等级，则可以基本保障无线局域网的安全可靠。WPA密码设置过程中，可以采用大写字母、小写字母、数字、特殊符号相结合的方式进行加密，极大地提高了无线局域网的安全等级。

4 无线局域网的防御

4.1设置特定的物理地址

AP，是WirelessAccessPoint的简称，叫做无线访问接入点，相当于传统有线网络中的HUB，其作用是将无线网络中的客户端连接到一起，并且将无线网络接入以太网。在无线局域网中，各类智能终端都要通过AP来接入无线局域网中，很多黑客就是利用AP接入无线局域网之后对无线局域网展开攻击，因此，要避免无线局域网被恶意攻击，可以利用限制AP接入的方式来进行。可以在AP中设置可以接入无线局域网的物理地址，从而防止一些非法用户的接入，从源头上遏制黑客攻击。把允许接入无线局域网的智能终端设备的物理地址设置进AP的列表中，只有这些智能终端设备才能接入无线局域网，不在列表中的智能终端设备不被允许接入无线局域网，这样，可以有效防止非法用户接入无线局域网，也能有效防止无线局域网被攻击，提高了无线局域网的安全等级。

4.2开启无线安全网关

无线访问接入点（AP）是利用局域网交换机或者转发器来与无线安全网关来进行连接的，用户的智能终端设备是利用接入点的AP来实现网络资源的使用，因此，加强无线安全网关的安全建设，对用户和网络服务器之间的通信进行严密监控，从而有效保障无线局域网的安全。要实现这一目的，用户的客户端必须要支持IPsec。目前，IPsec的发展和普及速度非常迅猛，已经有了极为广泛的应用，无线安全网关也支持IPsec服务，利用VPN隧道技术可以有效保障用户和无线安全网关之间的通信安全。

4.3利用先进的加密技术

为了防御黑客攻击，无线局域网不但可以采用上述的防御措施之外，还可以从加密技术上做文章。由于黑客攻击技术和攻击手段的不断提升，简单的加密技术已经无法防御黑客的恶意攻击，因此，可以采用先进、复杂的加密技术，来对无线局域网进行保护。比如说，可以采用128位加密钥匙的WEP加密技术来保证无线局域网的安全，这种加密技术可以对用户的信息进行加密处理。一方面，黑客很难截获用户的信息，就算截获了用户的信息，也需要极为强大的分析工具，获取解密密钥，才能解密被加密的信息。但是，由于是采用128位加密钥匙和WEP加密技术，黑客很难破解，因此，也无法获取相应的用户信息。

另外，还可以对用户的物理地址、系统ID信息等进行加密，加密之后，就算黑客截取了这些信息，如果没有正确的密钥，也无法对信息进行解密，也就无法获取正确的信息内容。

5 结束语

无线局域网由于其强大的可移动性、可扩展性、施工难度小、组网方便等特点，已经在各行各业都得到了广泛的应用，校园无线局域网的应用也成为必然。但是，学校作为一个重要而且特殊的场所，其无线局域网的安全性和稳定性也受到了广泛的重视，如何保障校园无线局域网的安全，提高校园无线局域网防御攻击的能力，已经成为了人们关注的焦点。

计算机技术和网络技术的不断提升，给人们的工作、学习和生活带来了极大的便利，但是，各类数据信息泄露的事件层出不穷，人们越来越关注数据的安全性，因此，要有效保障用户的信息不被攻击和泄露，切实保障无线局域网的安全，特别是校园无线局域网的安全。

要保障无线局域网的安全，应该从技术层面上加强保护，采取切实可行的措施，提高无线局域网的安全防护等级，有效抵御黑客的攻击。本文对各种针对无线局域网的黑客攻击进行详细的分析和阐述，并且针对这些攻击手段进行了研究，提出了相应的防御措施，能够有效提升校园无线局域网的安全等级，防御黑客的恶意攻击。

参考文献：

[1] 邓体俊.论校园无线局域网通信安全策略[J].电脑知识与技术，2015（1）：27-29.

[2] 田永民.基于无线网络WLAN安全机制分析[J].数字技术与应用，2011（5）：60-70.

[3] 赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息，2007，23（7）：65-67.

作者：倪娜

无线局域网安全性分析论文 篇2：

论家庭无线局域网的组建与安全

摘要：无线局域网是由无线通讯技术和无线路由器、无线网卡、无线集线器、计算机等设备组建的计算机网络，它有着灵活性和移动性强、铺设成本低、使用方便等优点，在普通家庭中得到了广泛应用。在组建家庭无线局域网时，首先应选购合适的无线网卡、无线路由器，然后申请宽带入户，把线路接到无线路由器上，确定无线路由器的位置，安装无线网卡，同时还应加强无线接入点管理。此外，还应通过安全设置、开启防火墙等方式加强网络安全管理。

关键词：家庭无线局域网；组建；安全

Construction and Safety of Home Wireless LAN

CHENG Yong-bing， Qi Ge

（Xinxiang Career Technical College Electronic Information Department of Henan， Xinxiang 453000，China）

Key words： home wireless LAN； construction； safety

随着信息技术的快速发展，互联网进入了千家万户，上网成了人们日常生活的重要内容。当笔记本电脑、网络电视、智能手机等电子产品出现后，有线局域网络的局限性日渐凸显，于是无线局域网开始诞生。所谓无线局域网是以无线电波、红外线等无线媒介代替局域网中的部分传输功能而形成的局域网。无线局域网有着灵活性强、可移动、投资成本低等优点，能够给家庭用户带来许多便利，但也存在许多网络安全问题。

1 简述无线局域网特点

无线局域网是由无线通讯技术和无线路由器、无线网卡、无线集线器、计算机等设备组建的计算机网络，无线局域网通讯不受环境限制，只要安装接入点设备，就可以实现网络信息覆盖，从而实现无线共享上网。

1.1 无线局域网的优势

首先，无线网络有着较强的灵活性与移动性。网络设备放置易受网络位置限制，而无线局域网有着移动性强的特点，可以在无线信号覆盖范围内的任何位置接入网络，方便于用户使用智能手机、笔记本等移动性强的上网设备。其次，无线网络便于安装与检修。传统局域网络的铺设、检查电缆耗费时间且麻烦，还给网络使用带来了许多不便，而无线局域网的安装非常方便，可以减少了昂贵、繁琐、费时的布线与线路规划。在有线局域网中，若系统出现物理故障，尤其是出现线路接触不良的故障时，线路检修非常困难，往往需要付出很大代价，而无线局域网的故障排查较为简单，故障维修只要更换故障设备即可。

此外，无线局域网有着易扩展的优点，能够很快将小型局域网扩展成为上千用户的大型局域网，有助于解决大型会议、办公室、公共场所难以布线的问题。[1]例如，当企业及应用环境的更新，原有的网络需要重新布局，而架设无线局域网络能够降低成本，提高工作效率。

1.2 无线局域网的不足之处

无线局域网给用户上网带来了许多方便，但也存在许多不足之处，例如，无线局域网通过无线发射装置发射的无线信号，这些信号很容易受到建筑物、墙壁、车辆等障碍物的阻挡，从而影响无线局域网的性能；无线信道传输速率较低，只适用于小规模网络使用与个人终端；无线局域网使用的不是物理连接通道，而是发散的无线信号，这很容易导致通信信息泄露，带来各种网络安全问题。

2 家庭无线局域网的组建

2.1 无线设备选购

家庭无线局域网由无线网卡、无线接入点、计算机设备等设备组成，要组建家庭无线局域网首先就是选购无线网卡。无线网卡的种类、性能繁多，在选购无线网卡时应注意以下几方面内容。从接口类型上看，无线网卡可分为USB、PCI、PCMCIA三种类别，不同类型的无线网卡适用于不同的计算机之上，USB接口可以用于台式机和笔记本之上，PIC接口多用于台式机，PCMCIA接口多用于笔记本。从传输速率上看，大多数无线网卡最大传输速率在54Mbps左右，有些厂家的产品的速率达到了 108Mbps，通常情况下54Mbps的速率就可以满足普通家庭用户，因而，家庭用户可以选用54Mbps传输速率的网卡。从网络标准上看，无线网卡多有IEEE802.11g、IEEE802.11b和IEEE 802.11a 几种网络标准，分别支持54Mbps、11Mbps和20Mbps的传输速率，这几种产品的兼容性也各不相同，IEEE802.11g标准的产品可以兼容IEEE802.11b标准的，IEEE 802.11a标准的产品与其他两种产品互不兼容。[2]

此外，在选购无线网卡时，应当看清楚产品是否支持wifi认证标准，因为只有通过认证的产品，才能用于家庭无线局域网建设；应注意无线网卡的兼容性，最好选用IEEE802.11g标准的产品，以免出现产品不兼容的问题；还应注意无线网卡的安全性，应选用WAP和WEP加密技术的产品。传输距离也是判断无线网卡性能的重要标准，传输距离越大，信号稳定性越好，使用起来也越方便，通常选用室内传输30米至100米的无线网卡，即可满足家庭需要。

家庭无线局域网的无线接入设备多为无线路由器，无线路由器是带有路由器功能的无线接入点，可以直接连接到ADSL宽带线路上，组成一个独立的家庭无线局域网。在选用无线路由器时，应注意以下事项：一是网络接入方式。移动、联通、电信等网络服务商的网络接入方式各不相同，主要有PSTN、ISDN、ADSL、CableModem、无源光网络几种接入方式，在选购无线路由器时，一定要弄清楚自己使用的接入方式以及无线路由器所支持的接入方式。二是无线路由器的网络标准。无线路由器的网络标准与无线网卡一样，有IEEE802.11g、IEEE802.11b和IEEE 802.11a 几种网络标准，在选用无线路由器时，应选用和无线网卡网络标准一致的设备，最好选用兼容性强的IEEE802.11g标准。此外，选用无线路由器时，最好选用有内置防火墙功能的设备，以保证网络传输安全。

2.2 家庭无线局域网的组建

第一，申请入户宽带线路。在组建家庭无线局域网之前，应向移动、电信等网络服务商申请宽带业务，在开通宽带业务之后，服务商会将线路铺设入户，并为用户提供上网账号与密码，这时用户就可以架设无线局域网了。第二，把线路接到无线路由器上。在连接无线路由器时，需要根据网络服务商提供的接入方式进行恰当处理。电话线入户的用户要用“猫”处理信号，以便网络信号传输，然后用户要将“猫”的网络端口与无线路由器的WAN口连接起来；光纤入户的用户只要将无线路由器的WAN端口与网线连接起来，就可以进行无线上网。[3]第三，确定无线路由器的位置。无线路由器可以将网络信号转变为无线信号，无线信号的传播以无线接入点为中心，距离越近信号越强，信号传输质量越高。因而，应将无线路由器放置到不易受阻挡的位置，还应避开金属物体和强磁场的干扰，使网络信号能够覆盖到室内的每个角落。第四，安装无线网卡。电脑要无线上网就必须安装无线网卡，台式机可以用PCI或USB无线网卡，笔记本可以用PIC或USB网卡。在安装网卡时，可以按照无线网卡说明书的提示，将无线网卡安装于计算机上，并运行无线网卡驱动程序，这样无线网卡就可以在计算机上正常使用了。此外，还应查看无线接入点说明书，确保无线接入点与无线网卡的网段是否一致。第五，加强无线接入点的管理。初次接入系统时，系统会提示是否接入不安全的无线网络，用户只要点击确认连接即可。在正常连接之后，网络属性中会显示信号强度，用户应将IP地址和用户密码输入电脑之中，之后就可以进行无线接入点界面管理。根据宽带网络接入方式的区别，用户可以将WAN口的IP地址分别设置为动态、静态或PPPOE，各种设置完成后，就可以进行无线上网了。[4]

3 家庭无线局域网的安全措施

3.1 无线局域网的安全设置

无线局域网给家庭上网带来了很大的方便，也可能会带来许多安全问题，因为无线信号是发散的，只要在无线接入点的信号范围内，都可以获取无线电波信号，这可能会带来网络安全问题。为此，应通过IE浏览器登陆无线接入点，在“安全”选项中选择WEP加密功能，然后输入16进制的10位字符的密码，保存设置之后重新启动无线接入点。然后打开自己的电脑，在“控制面板”中选择“网络和internet”一栏下的“网络和共享中心”，找到“管理无线网络”并右击它，找到自己的无线接入点，点击“属性”，激活“数据加密”，在“网络密钥”、“确认网络密钥”中填写密码，点击“确认”即可。[5]

3.2 开启防火墙功能

防火墙是软件与硬件设备组合的、内网与外网之间的保护屏障，也是internet和intranet之间的安全网关。防火墙保护内网免受非授权主体侵入，保证有价值的资源不会流出。通过无线接入点接入internet时，可能会遭遇到黑客入侵，从而产生无线网络安全问题。为此，可以开启防火墙功能，确保无线网络安全。家用无线路由器的防火墙功能较为简单，仅具有IP地址过滤、域名过滤等功能，

3.3 加强计算机安全管理

在家庭无线局域网中，计算机可能会遭遇病毒侵蚀、人为窃取、黑客攻击、垃圾信息侵扰等网络安全问题，为此，用户可以在计算机上安装360杀毒软件、毒霸杀毒软件、支付网关软件、浏览器软件等，卸载用处不大的网络协议，加强计算机安全管理。[6]

无线局域网技术有着组网灵活、便于安装、接入速率高等有着独特优势，受到了用户的青睐，如今已被广泛应用于家庭局域网建设之中，特别是在难以布线的网络环境中，无线局域网的应用更为普遍，但是无线局域网也有着安全性差、传输速率低等缺陷。因而，我们应该根据家庭上网的实际需要，选择合适的无线网络设备，加强网络安全建设，建立满足家庭需要的无线局域网。

参考文献：

[1] 祝承武，李鹏.家庭无线局域网管理系统研究与实现[J].科技情报开发与经济，2007（36）.

[2] 单纪文，张秉权，徐涛.WLAN的一种分层管理结构设计及实现[J].计算机工程，2005，31（3）.

[3] 闫俊伢.家庭无线局域网的组建与安全策略分析[J].计算机安全，2010（9）.

[4] 梁嘉亮，龚家举.家庭使用的无线局域网的信息安全问题浅析[J].福建电脑，2009（8）.

[5] 朱一帆.如何提高无线局域网的安全性能[J].信息科技，2008（9）.

[6] 姚东铌.简单无线局域网的组建[J].企业导报，2010（5）.

作者：程勇兵　齐歌

无线局域网安全性分析论文 篇3：

如何提高无线局域网的安全性能

【摘要】：无线局域网的覆盖范围为几百米，在这样一个范围内，无线设备可以自由移动，其适合于低移动性的应用环境。而且无线局域网的载频为公用频段，无需另外付费，因而使用无线局域网的成本很低。无线局域网带宽更会发展到上百兆的带宽，能够满足绝大多数用户的带宽要求。基于以上原因，无线局域网在市场赢得热烈的反响，并迅速发展成为一种重要的无线接入互联网的技术。但由于无线局域网应用具有很大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安个问题。文章在阐述无线局域网安全发展概况的基础上，分析了无线局域网的安全必要性，并从不同方面总结了无线局域网遇到的安全风险，同时重点分析了IEEE802. 11 b标准的安全性、影响因素及其解决方案，最后对无线局域网的安全技术发展趋势进行了展望。

【关键词】：无线局域网；标准；安全；趋势

前言

无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备，省去了布线的麻烦，组网灵活。无线局域网（WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求，也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段，能迅速地应用于需要在移动中联网和在网间漫游的场合，并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此，WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用，受到了广泛的青睐，已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安全问题。

1．无线局域网安全发展概况

无线局域网802.11b公布之后，迅速成为事实标准。遗憾的是，从它的诞生开始，其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov，Goldberg和Wagner最早发表论文指出了WEP协议中存在的设计失误，接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷，并与工程技术人员协作，在实验中破译了经WEP协议加密的无线传输数据。现在，能够截获无线传输数据的硬件设备己经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情，人们期待WEP在安全性方面有质的变化，新的增强的无线局域网安全标准应运而生。

我国从2001年开始着手制定无线局域网安全标准，经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关，历时两年多制定了无线认证和保密基础设施WAPI，并成为国家标准，于2003年12月执行。WAPI使用公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成，类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的，WAPI标准虽然是公开发布的，然而对其安全性的讨论在学术界和工程界目前还没有展开。

增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议，会议的文档可以从互联网上下载，从中可以看到一些有趣的现象，例如AES-OCB算法，开始工作组决定使用该算法作为无线局域网未来的安全算法，一年后提议另外一种算法CCMP作为候选，AES-OSB作为缺省，半年后又提议CCMP作为缺省，AES-OCB作为候选，又过了几个月，干脆把AES-OCB算法完全删除，只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中，我们能够更加清楚地认识到无线局域网安全标准的方方面面，有利于无线局域网安全的研究。

2．无线局域网的安全必要性

WLAN在为用户带来巨大便利的同时，也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据，不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全，所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据，要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。因此，虽然无线网络和WLAN的应用扩展了网络用户的自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能漫游服务。然而，这种自由也同时带来了新的挑战，这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个：信息保密、身份验证和访问控制。如果这三个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。国外一些最新的技术研究报告指出，针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁，故对WLAN安全性研究，特别是广泛使用的IEEE802.11WLAN的安全性研究，发现其可能存在的安全缺陷，研究相应的改进措施，提出新的改进方案，对 WLAN 技术的使用、研究和发展都有着深远的影响。

同有线网络相比，无线局域网无线传输的天然特性使得其物理安全脆弱得多，所以首先要加强这一方面的安全性。

无线局域网中的设备在实际通信时是逐跳的方式，要么是用户设备发数据给接入设备，饭由接入设备转发，要么是两台用户设备直接通信，每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听，但是，如果把无线信号承载的数据变成密文，并且，如果加密强度够高的话，侦听者获得有用数据的可能性很小。另外，无线信号可能被修改或者伪造，但是，如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据，以使得接收方可以检测到数据是杏被更改，那么，对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。

这样，通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机，面临病毒威胁时，可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳，比如安装硬件形式的病毒卡预防病毒，或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗，接下来的无线设备如何与病毒对抗还是一个待开发领域。

对于DOS攻击或者DDOS攻击，可以增加一个网关，使用数据包过滤或其它路由设置，将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址，可以减小风险。对于内部的恶意用户，则要通过审计分析，网络安全检测等手段找出恶意用户，并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户，并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如，用MAC地址来认证用户是不适当的。

除了以上的可能需求之外，根据不同的使用者，还会有不同的安全需求，对于安全性要求很高的用户，可能对于传输的数据要求有不可抵赖性，对于进出无线局域网的数据要求有防泄密措施，要求无线局域网瘫痪后能够迅速恢复等等。所以，无线局域网的安全系统不可能提供所有的安全保证，只能结合用户的具体需求，结合其它的安全系统来一起提供安全服务，构建安全的网络。

当考虑与其它安全系统的合作时，无线局域网的安全将限于提供数据的机密性服务，数据的完整性服务，提供身份识别框架和接入控制框架，完成用户的认证授权，信息的传输安全等安全业务。对于防病毒，防泄密，数据传输的不可抵赖，降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。

3．无线局域网安全风险

安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源，包括了在无线信道上传输的数据和无线局域网中的主机。

3.1 无线信道上传输的数据所面临的威胁

由于无线电波可以绕过障碍物向外传播，因此，无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样，人们在电台发射塔的覆盖范围内总可以用收音机收听广播，如果收音机的灵敏度高一些，就可以收听到远一些的发射台发出的信号。当然，无线局域网的无线信号的接收并不像收音机那么简单，但只要有相应的设备，总是可以接收到无线局域网的信号，并可以按照信号的封装格式打开数据包，读取数据的内容。

另外，只要按照无线局域网规定的格式封装数据包，把数据放到网络上发送时也可以被其它的设备读取，并且，如果使用一些信号截获技术，还可以把某个数据包拦截、修改，然后重新发送，而数据包的接收者并不能察觉。

因此，无线信道上传输的数据可能会被侦听、修改、伪造，对无线网络的正常通信产生了极大的干扰，并有可能造成经济损失。

3.2 无线局域网中主机面临的威胁

无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现，除了目前有线网络上流行的病毒之外，还可能会出现专门针对无线局域网移动设备，比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后，无线病毒的威胁可能会加剧。

对于无线局域网中的接入设备，可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后，如果把IP地址直接暴露给外部网，那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务，造成网络瘫痪。当某个恶意用户接入网络后，通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃，造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值，这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效，同时硬件设备中的所有数据都可能会泄漏。

这样，无线局域网中主机的操作系统面临着病毒的挑战，接入设备面临着拒绝服务攻击的威胁，用户设备则要考虑丢失的后果。

4．无线局域网安全性

无线局域网与有线局域网紧密地结合在一起，并且己经成为市场的主流产品。在无线局域网上，数据传输是通过无线电波在空中广播的，因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此，无线局域网的用户主要关心的是网络的安全性，主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力，否则人们还是对使用无线局域网存在顾虑。

4.1 IEEE802. 11 b标准的安全性

IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密：系统ID（SSID）和有线对等加密（WEP）。

4.1.1认证

当一个站点与另一个站点建立网络连接之前，必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务：一开放系统认证（Open System Authentication）：是802.11b默认的认证方式。这种认证方式非常简单，分为两步：首先，想认证另一站点的站点发送一个含有发送站点身份的认证管理帧；然后，接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证（Shared Key Authentication ）：这种认证先假定每个站点通过一个独立于802.11网络的安全信道，已经接收到一个秘密共享密钥，然后这些站点通过共享密钥的加密认证，加密算法是有线等价加密（WEP ）。

4.1.2 WEP

IEEE 802.11b规定了一个可选择的加密称为有线对等加密，即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密，加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络，他们没有正确的WEP密钥。

加密：通过加密和只允许有正确WEP密钥的用户解密来保护数据流。

IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。

4.2 影响安全的因素

4.2.1 硬件设备

在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。

当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和WEP密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和WEP密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的数量越大。

4.2.2 虚假接入点

IEEE802. 1 1b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。

因此在用户和认证服务器之间进行相互认证是需要的，每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的，接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。

4.2.3 其它安全问题

标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流，组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道，黑客可以得到如下信息：客户端和接入点MAC地址，内部主机MAC地址，上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动，一个终端应该使用每一个时期的WEP密钥。

4.3 完整的安全解决方案

无线局域网完整的安全方案以IEEE802.11b比为基础，是一个标准的开放式的安全方案，它能为用户提供最强的安全保障，确保从控制中心进行有效的集中管理。它的核心部分是：

扩展认证协议（Extensible Authentication Protocol，EAP），是远程认证拨入用户服务（RADIUS）的扩展。可以使无线客户适配器与RADIUS服务器通信。

当无线局域网执行安全保密方案时，在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时，客户端和RADIUS服务器（或其它认证服务器）进行双向认证，客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息，如密码，都要加密使免于攻击。

这种方案认证的过程是：一个站点要与一个接入点连接。除非站点成功登录到网络，否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议，站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。

相互认证成功完成后，RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。

RADIUS服务器发送给用户的WEP密钥，称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户，用户用时期密钥来解密。用户和接入点激活WEP，在这时期剩余的时间内用时期密钥和广播密钥通信。

网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部（合法用户）的攻击。

无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域，这样就存在电子破坏（或干扰）的可能性。无线网络具有各种内在的安全机制，其代码清理和模式跳跃是随机的。在整个传输过程中，频率波段和调制不断变化，计时和解码采用不规则技术。

正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络（不使用加密技术）一样安全。其中，认证提供接入控制，减少网络的非法使用，加密则可以减少破坏和窃听。目前，在基本的WEP安全机制之外，更多的安全机制正在出现和发展之中。

5．无线局域网安全技术的发展趋势

目前无线局域网的发展势头十分强劲，但是起真正的应用前景还不是十分的明朗。主要表现在：一是真正的安全保障；二个是将来的技术发展方向；三是WLAN有什么比较好的应用模式；四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式；五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事。

无线局域网同样需要与其他已经成熟的网络进行互动，达到互利互惠的目的。欧洲是GSM网的天下，而WLAN的崛起使得他们开始考虑WLAN和3G的互通，两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通，而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案，这条路必定越走越宽。

互通中的安全问题也必然首当其冲，IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面，并且与3G互通的认证标准EAP-AID也成为讨论的焦点。

无线网络的互通，现在是一个趋势。802.11工作组新成立了WIG，该工作组的目的在于使现存的符合ETSI，IEEE，MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案，定义了互通的基本需求，基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上，实现无线局域网和G1VIS/GPRS的互通。

不同类型无线局域网互通标准的制定，使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册，就可以在各地接入。当然，用户享用上述方便的同时，必然会使运营商或制造商获得利润，而利润的驱动，则是这个互通风潮的根本动力。为了达到互通的安全，有以下需求：支持传统的无线局域网设备，对用户端设备，比如客户端软件，影响要最小，对经营者管理和维护客户端SW的要求要尽量少，应该支持现存的UICC卡，不应该要求该卡有任何改动，敏感数据，比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样，应该支持双向认证，所选的认证方案应该顾及到授权服务，应该支持无线局域网接入NW的密钥分配方法，无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别，无线局域网的重连接不应该危及3GPP系统重连接的安全，所选择的无线局域网认证机制应该支持会话密钥素材的协商，所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材，无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下。

对于非漫游情况的互通时，这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说，就是用户在运营商那里注册，然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下：UE（用户设备）、3G-AAA（移动网络的认证、授权和计帐服务器）、HSS（归属业务服务器）、CG/CCF（支付网关/支付采集功能）、OCS（在线计帐系统）。

对于漫游的互通情况时，3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下，一种常用的方法是将归属网络和访问网络分开，归属网络AAA服务作为认证的代理找到用户所注册的归属网络。

在无线局域网与3G互通中有如下认证要求：该认证流程从用户设备到无线局域网连接开始。使用EAP方法，顺次封装基于USIM的用户ID，AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程，有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。

上述互通方案要求客户端有能够接入无线局域网的网卡，同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表，增加对于无线局域网的接入权限的判断。

无线局域网的崛起使得人们开始考虑无线局域网和3G的互通，两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通，而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案，这条路必定越走越宽。

作者：朱一帆