无线局域网的安全防护

27

C H I N A

V E N T U R E

C A P I T A L

TECHNOLOGY APPLICATION |科技技术应用

随着智能电网的全面建设,无线局域网以其移动性、灵活性、IP 化、宽带化等特点,将成为智能电网通信平台的重要组成部分,承载移动办公系统、无线巡检系统、电子围栏系统、抗灾指挥和应急抢修等多项业务,具有广阔的应用前景。无线局域网技术作为一种网络接入手段，能迅速地应用于需要在移动中联网和在网间漫游的场合，并在不易架设有线的地方提供强大的网络支持。但是，由于无线局域网应用具有很大的开放性，数据传播范围很难控制，因此无线局域网将面临着非常严峻的安全问题。

一、安全防护技术研究（一）网络与基础设施防御

网络和基础设施是无线局域网信息传输的中枢，它的安全是整个信息系统安全的基础。网络和基础设施防御需要保护网络服务的正常提供，保证在网络上进行信息交互的保密性、完整性和可用性。对无线局域网的安全防护从无线局域网安全标准提供的安全性、无线站点保护以及远程信息传输保护三方面分别阐述。

1.无线安全标准 WPA

IEEE 802.11 是 IEEE 制定的无线局域网标准，WPA（Wi-Fi Protected Access）。作为代替WEP（有线等效加密）的无线安全标准协议，继承了 WEP 基本原理同时解决了 WEP 原有缺点。WPA 包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

（1）身份认证

WPA 采用 802.1x 实现无线身份认证，并使用可扩展身份认证协议（EAP）子协议来增加终端和无线 AP 之间身份认证信息交换的安全性。802.1x 使用外部身份认证服务器对终端进行身份认证。当终端需要与无线 AP 关联后，是否可以使用 AP 的服务要取决于 802.1x 的认证结果。如果认证通过，则 AP 为用户打开这个逻辑端口，否则不允许用户接入网络。

（2）无线加密和完整性校验

WPA 使用临时密钥完整性协议（TKIP ：Temporal Key In-tegrity Protocol）实现无线局域网的数据加密。TKIP 使用 802.1x 产生一个惟一的主密钥处理会话，TKIP 把这个密钥通过安全通道分发到接入点和客户端，使用主密钥为每次会话动态产生一个惟一的数据加密密钥来加密每一个无线通讯数据报文。另外，TKIP 为每个数据分组都增加了一个8个字节的校验值保证消息完整。

2.无线站点防护

无线站点作为无线局域网接入的门户设备，对无线站点的防护可以从调整无线站点信号覆盖范围，减少无线信号暴露空间 ；通过安全配置提高无线站点接入安全，只允许合法授权用户接入无线站点 ；采用技术手段发现并阻止区域内非法无线站点的存在，并能有效保证无线局域网使用的安全。

（1）收敛无线信号覆盖范围

由于无线局域网通过无线电波传输数据，只要在无线电波覆盖范围内的终端都可以尝试连接无线局域网。因此，为了保证组织内无线局域网的安全，应该采用多种方式控制无线局域网覆盖范围，尽量将信号收敛在可控范围内。对无线信号的收敛可以采用三种方式，一种是合理规划无线 AP 的部署位置，尽量将无线 AP 部署在需提供无线访问的区域中间位置 ；第二种是调节无线 AP 的电力设置，一般来说，无线天线都提供电

浅析无线局域网的安全防护

江苏省电力公司苏州供电公司　孟凡军

力设置功能，可以通过调整信号的传输强度，将天线的电力调整到正好可以覆盖需要提供无线访问的区域，减小不必要的区域，降低非法入侵的可能 ；第三种方式是采用建筑屏蔽的方式，对无线信号覆盖的公司或者组织的外墙采用带有屏蔽效果的材料进行装饰，减少对外发射的无线信号。

（2）无线站点安全配置

①隐藏无线 AP 无线局域网采用 SSID（Service Set Identi-fier）进行标识，一般来说，SSID 通常由无线 AP 进行广播，供终端发现并连接无线网络。因此，一旦有不怀好意的无线接入点截取到合法无线 AP 广播的 ESSID，就可能采用欺骗合法接入点的 SSID 的方式诱骗用户登录，从而非法获取用户的身份信息。为了避免这种情况的发生，可以采用禁止 SSID 广播，用长的、复杂的字符串命名 SSID 的方式进行安全增强，或者对 BSSID 使用中文字符命名，增加攻击者破解 SSID 的难度。

②开启 IP、MAC 过滤

启用无线 AP 的 IP 地址和 MAC 过滤功能，只有授权的 IP 地址和 MAC 地址的终端才能正常访问无线网络，其他不在列表中的终端无法连入网络了。

③关闭 DHCP 服务DHCP 的功能是为局域网内的电脑自动分配 IP 地址，在无线局域网中关闭 DHCP 服务能有效阻止非法用户使用无线网络资源。

④对电脑终端进行合理配置，减少无线局域网中非法的接入点对无线局域网中的电脑进行合理配置，避免将电脑设置成自组织模式（ad hoc mode），减少无意设置的接入点。因为在电脑配置的自组织模式下，网络中所有终端都具有平等的地位，各终端均具有报文转发能力，使得每一台电脑都有可能成为非法接入点，因此无线局域网的网络管理员需要采用对终端策略进行统一合理的设置。

（3）站点审查，阻止非法站点

通过定期站点审查来发现并阻止非法站点的存在。一种方式是由管理员采用手持式检测设备对网络的任何位置进行检测 ；另一种方式是设置自动的无线扫描装置，对装置检测范围内的无线站点进行定期扫描，一旦发现非法站点就发送数据脉冲屏蔽该非法接入点，这样用户探测不到非法接入点，就不会连接该接入点。

3.远程信息传输保护

与有线网络相同，在无线局域网的远程传输链路上，使用 VPN 来创建安全的隧道提供内部资源访问。考虑到无线局域网终端存在大量移动设备（如手机、PDA 等）的特殊性，一般采用 SSLVPN，在用户端采用浏览器的方式，集合加解密、身份认证、访问控制等安全功能实现数据远程传输加密。

（二）区域边界防御

IATF 对边界的定义是—区域边界，“域”指由单一授权通过专用或物理安全措施所控制的环境。由单一安全政策进行管理并无需考虑其物理位置的本地计算设备构成了一个“域”，区域的网络设备与其他网络设备的接入点被称为“区域边界”。根据以上的定义，对于通过无线网络接入有线网络的区域边界应设在无线接入点，通过无线接入点这个区域边界接入后访问有线网络资源。根据IATF 对边界的防护要求，区域边界主要防止外部攻击和排除内部不良要素。防止外部攻击的常用手段是防火墙、入侵检测系统 ；排除内部不良因素的手段是内部病毒、蠕虫、木马、逻辑炸弹等。以上的安全防护措施是有线

摘 要：在智能电网的建设过程中无线局域网络的出现是为了解决有线网络无法克服的困难。虽然无线局域网络有很多不足，特别是在网络安全方面还存在一些问题。但我们应该相信，随着无线局域网安全技术的发展，WLAN的应用也会越来越广泛。因此，要对无线局域网安全技术的深入了解，这样使我们能够更加清楚地认识到无线局域网安全标准的方方面面，才能更好的做好无线局域网的安全防护工作。

关键词：智能电网；无线局域网；安全防护