Wi-Fi是一種可以將個人電腦、手持設(shè)備（如PDA、手機）等終端以無線方式互相連接的技術(shù)。Wi-Fi是一個無線網(wǎng)路通信技術(shù)的品牌，由Wi-Fi聯(lián)盟（Wi-Fi Alliance）所持有。目的是改善基于IEEE 802.11標(biāo)準(zhǔn)的無線網(wǎng)路產(chǎn)品之間的互通性?，F(xiàn)時一般人會把Wi-Fi及IEEE 802.11混為一談。甚至把Wi-Fi等同于無線網(wǎng)際網(wǎng)路。

　　本文通過對Wi-Fi技術(shù)標(biāo)準(zhǔn)及其網(wǎng)絡(luò)的分析，針對Wi-Fi網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全問題進行了系統(tǒng)的探討，并以此為基點從系統(tǒng)的角度提出了組建Wi-Fi網(wǎng)絡(luò)時的一些安全策略。

　　一、Wi-Fi網(wǎng)絡(luò)結(jié)構(gòu)的安全性

　　（一）攻擊方式

　　1.Wireless Dosattacks

　　Dosattacks主要是通過洪水算法來阻塞網(wǎng)絡(luò)，并導(dǎo)致網(wǎng)絡(luò)合法用戶無法使用該網(wǎng)絡(luò)的服務(wù)。與有線網(wǎng)絡(luò)相比，針對Wi-Fi網(wǎng)絡(luò)的Dosattacks在網(wǎng)絡(luò)的應(yīng)用層和運輸層的攻擊沒有什么特殊性，但由于無線通信介質(zhì)的特殊屬性使得Wi-Fi網(wǎng)絡(luò)在數(shù)據(jù)鏈接層和物理層遭受的Dosattacks危害更為嚴(yán)重。常見的Wireless Dos attacks有以下幾種方式。

　　（1）802.11b應(yīng)用層攻擊。攻擊者通過向應(yīng)用程序發(fā)送大量的合法請求來降低程序的服務(wù)效率，阻止其向其他合法用戶提供服務(wù)。

　　（2）802.11b運輸層攻擊。在這一層，攻擊者通過發(fā)送大量的鏈接請求來攻擊主機的操作系統(tǒng)，降低其服務(wù)效率，常見的有SYN洪水攻擊。

　?。?）802.11b網(wǎng)絡(luò)層攻擊。網(wǎng)絡(luò)層的Dos攻擊主要是針對效率較低的Wi-Fi網(wǎng)絡(luò)，攻擊者通過向網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)來攻擊網(wǎng)絡(luò)的脆弱結(jié)構(gòu)，降低網(wǎng)絡(luò)serverCPU的服務(wù)效率，常見的網(wǎng)絡(luò)層Dos攻擊是Pingflood攻擊。但由于目前高速WLAN技術(shù)的成熟，這種攻擊已經(jīng)很少起作用了。

　?。?）802.11b數(shù)據(jù)鏈接層攻擊。盡管WEP工作在該層，但鑒于WEP的脆弱性，甚至有些Wi-Fi網(wǎng)絡(luò)不使用WEP，從而導(dǎo)致該層受到Dos攻擊。另外不正確的使用DiversityAntennas也會使該層易受到Dos攻擊。DiversityAntennas是一種用來避免多徑潮水效應(yīng)的設(shè)備，它可以為Stations選擇強的信號來源以避免多徑潮水效應(yīng)，但同時這也將造成Wi-Fi網(wǎng)絡(luò)易受到Dos攻擊。只要攻擊者將攻擊設(shè)備的MAC地址改成Station的MAC地址，然后選擇的Antenna的信號足夠強，就會導(dǎo)致Station從其所在的Antenna上掉線。

　?。?）802.11b物理層攻擊。鑒于Wi-Fi網(wǎng)絡(luò)傳播介質(zhì)的特殊性，像有線網(wǎng)絡(luò)的介質(zhì)那樣予以人為的保護是不可能的。由于Wi-Fi標(biāo)準(zhǔn)采用的是ISM公開的2.4GHz的波段，一旦攻擊者利用工作在該波段的噪聲設(shè)備發(fā)動足夠強的噪音信號進行沖擊，Wi-Fi網(wǎng)絡(luò)的物理層將無法進行工作。

　　2.Illicituse

　　這種攻擊主要有以下兩種方式。

　?。?）盜用計費。非法使用AP的外部鏈接進入到Internet，盜用Wi-Fi網(wǎng)絡(luò)的外部計費。

　　（2）隱蔽犯罪。為了隱藏身份，攻擊者通過非法接入Wi-Fi網(wǎng)絡(luò)AP，轉(zhuǎn)而進入Internet采取攻擊行為，從而使直接的責(zé)任落到了被寄生的AP身上，造成了Wi-Fi網(wǎng)絡(luò)的麻煩。Illicituse風(fēng)險對于有線LAN來說幾乎不存在，但卻會極大地危害到WLAN網(wǎng)絡(luò)。這種攻擊行為雖然無法造成Wi-Fi網(wǎng)絡(luò)的系統(tǒng)問題，但攻擊者可以通過這種方式非法使用Wi-Fi網(wǎng)絡(luò)的外部鏈接，盜用Wi-Fi網(wǎng)絡(luò)的外部計費，甚至掩蓋其非法行為。

　　（二）網(wǎng)絡(luò)維護方法

　　Wi-Fi網(wǎng)絡(luò)的物理組網(wǎng)結(jié)構(gòu)可分為兩種：基礎(chǔ)服務(wù)組和擴展服務(wù)組。

　　（1）基礎(chǔ)服務(wù)組：網(wǎng)絡(luò)由客戶端（Stations）和接入點（APs）兩部分組成，適宜小數(shù)據(jù)量網(wǎng)絡(luò)的組建。如果僅僅是短期內(nèi)進行連接組網(wǎng)，只需要有安裝了Wi-FiCard的Stations即可實現(xiàn)端到端的Wi-Fi通信。

　?。?）擴展服務(wù)組：穩(wěn)定的、完整的Wi-Fi網(wǎng)絡(luò)由Stations、APs以及有線網(wǎng)絡(luò)三部分組成，這種結(jié)構(gòu)被稱之為擴展服務(wù)組，通常是由BSS擴展而成的。

　　根據(jù)Wi-Fi網(wǎng)絡(luò)的結(jié)構(gòu)特點，針對上述有關(guān)Wi-Fi網(wǎng)絡(luò)本身的攻擊方式，我們將從Stations安全、APs安全以及網(wǎng)絡(luò)主干網(wǎng)安全三個方面對Wi-Fi網(wǎng)絡(luò)可以采取的安全措施加以說明。

　　1.Stations安全

　　Stations安全涉及到整個Wi-Fi網(wǎng)絡(luò)安全的。Stations中包含著大量的機密信息，如果攻擊者攻破了Stations的安全措施，將給Wi-Fi網(wǎng)絡(luò)帶來巨大的損失。相關(guān)的安全措施主要有：（1）禁止Stations自己向外提供數(shù)據(jù)或者其他服務(wù)；（2）安裝有效的殺毒軟件，防止木馬、蠕蟲等病毒的侵入；（3）數(shù)據(jù)資源加密，評估自己的數(shù)據(jù)資源的重要級別，然后針對不同的安全等級對他們采取不同的加密措施和訪問控制，這樣既保證數(shù)據(jù)被合法用戶采用，又可以保護數(shù)據(jù)不被惡意的攻擊者竊??；（4）安裝防火墻，防火墻可以是硬件也可以是軟件，安裝時應(yīng)將防火墻放在網(wǎng)絡(luò)入口處或需要保護的網(wǎng)段，保護網(wǎng)絡(luò)的方式有，①數(shù)據(jù)包篩選：摒棄與規(guī)定不符的數(shù)據(jù)包。②代理服務(wù)：允許防火墻偽裝成連接的終點，保護客戶的IP地址。③狀態(tài)檢查：對比數(shù)據(jù)包的部分內(nèi)容，對其進行篩選，比如IP地址、域名、協(xié)議、端口和內(nèi)容等；（5）杜絕采取定期自動更新軟件機制，這也是攻擊者經(jīng)常攻擊的對象。

　　2.APs安全

　　接入點的安全設(shè)置是整個Wi-Fi網(wǎng)絡(luò)安全的重要一環(huán)，通過encrytion、authention以及適當(dāng)?shù)膍onitoring措施，我們可以達到APs的安全目的。

　　（1）MAC地址列表，大多數(shù)AP具有地址列表功能，該功能有助于我們提高網(wǎng)絡(luò)的安全性，主要形式有兩種。

　　開放式地址列表：允許除了被標(biāo)明的MAC地址以外的任何MAC地址訪問網(wǎng)絡(luò)AP，不建議采用這種方式。

　　封閉式地址列表：只允許被標(biāo)明的MAC地址訪問AP，這種方式較為安全。

　?。?）接入管理，通常情況下，大多數(shù)的AP都支持類似Telnet、HTTP以及串口和USB接口連接，但是其中Telnet方式應(yīng)盡可能的屏蔽，因為這種方式會使數(shù)據(jù)處于完全暴露狀態(tài)；如果AP支持，還應(yīng)該限制有線接入部分；對于小型網(wǎng)絡(luò)，盡量不用在線遠程管理，這會帶來不必要的風(fēng)險。

　?。?）鑒權(quán)及訪問控制，設(shè)置SSID號：SSID全稱為ServiceSetID，它是Wi-Fi協(xié)議構(gòu)建的一個32位的網(wǎng)絡(luò)標(biāo)識號，只有知道SSID號的人才可以進入Wi-Fi網(wǎng)絡(luò)。

　　訪問控制列表：用于篩選數(shù)據(jù)包。

　　鑒權(quán)：主要是通過WEP來實現(xiàn)的，但由于其不健壯性，所以市場上目前出現(xiàn)了許多其他技術(shù)來完成鑒權(quán)功能，例如portals、Ipsec以及802.1x等。

　?。?）SNMPMonitoring，SNMP是一種強大的管理網(wǎng)絡(luò)鏈接設(shè)置的協(xié)議，其主要特點是可以被遠程監(jiān)測。SNMP采用的是管理員與代理的模式，管理員通過發(fā)送請求到代理來請求管理，代理隨后回一個響應(yīng)。通常SNMP有兩種形式：read-only和read-write,他們均須提供字符串鑒權(quán)，如password。我們可以通過SNMP的MIB（managerinformationbase）來決定SNMP的管理類型。

　　通常，802.11協(xié)議的設(shè)備都具有自己的MIB，允許其像監(jiān)視服務(wù)端一樣監(jiān)視MAC和PHY層。目前市場上常見的SNMPMonitoring工具有net-snmp等。

　?。?）采用保護天線，我們只需要利用保護天線使我們的數(shù)據(jù)電波向我們想要發(fā)射的地方發(fā)射，就可以有效地縮小攻擊者的攻擊范圍，減小網(wǎng)絡(luò)安全的風(fēng)險。

　　3.主干網(wǎng)GateWay安全

　　防火墻設(shè)置主要是對第三層以上的網(wǎng)絡(luò)體系結(jié)構(gòu)進行保護，然而隨著無線Wi-Fi技術(shù)的應(yīng)用，網(wǎng)絡(luò)一、二層成為攻擊者攻擊的新目標(biāo)，所以Gateway將是攻擊者面對的道屏障。

　　（1）GateWay可以是設(shè)置在LAN與Internet、LAN與WLAN的AP之間的具有一定保護作用的硬件設(shè)備和相應(yīng)的軟件。GateWay可以使我們的網(wǎng)絡(luò)更加安全，它將起到以下幾個主要作用：提供防火墻保護網(wǎng)絡(luò)、為兩個網(wǎng)絡(luò)提供NAT、提供DNS服務(wù)。

　　（2）GateWay設(shè)置原則，應(yīng)遵循將無線網(wǎng)的接入點AP以及主干網(wǎng)的外網(wǎng)連接與我們的主干網(wǎng)隔離的原則。不正當(dāng)?shù)腉ateWay設(shè)置會使我們的網(wǎng)絡(luò)極易遭受攻擊者的襲擊。

　　二、Wi-Fi網(wǎng)絡(luò)通信安全

　　（一）Wi-Fi網(wǎng)絡(luò)通信安全的威脅

　　無線通信安全的主要威脅是Man-in-the-MiddleAttacks，常見的形式有兩種：被動形式和主動形式。

　　被動形式：攻擊者通過搜集大量的Wi-Fi網(wǎng)絡(luò)的通信數(shù)據(jù)進行分析、破解，以達到竊取機密的目的。

　　主動形式：攻擊者通過被動形式的沖擊，分析出WLAN的傳輸協(xié)議及加密算法，并以相同的協(xié)議、算法修改甚至偽造WLAN的信息。

　　（二）Wi-Fi網(wǎng)絡(luò)通信安全維護方式

　　Wi-Fi網(wǎng)絡(luò)通信安全的維護方式不像其結(jié)構(gòu)安全那樣可以有軟件也可以有硬件，鑒于其傳輸介質(zhì)的特殊性，它只能是由軟件來組成。我們常用的方式有以下幾種：

　　1.WEP keys

　　雖然WEP的密鑰已經(jīng)被破解，但如果我們使用了WEP，仍會給攻擊者造成一定的障礙，使之不得不花費幾個小時時間去破解WEP，這足以使一些無聊的攻擊者放棄自己的攻擊行為。對于公司而言，使用WEP來保護公司的機密，一旦有攻擊者試圖破WEP，公司就可以認定其非法進入從而訴諸法律。

　　2.Ipsec VPN

　　IP安全協(xié)議是一組用來在IP層上支持?jǐn)?shù)據(jù)包安全交換的協(xié)議。它支持兩種加密方式：傳輸端口和隧道。

　　傳輸端口：只對數(shù)據(jù)包部分加密，而報頭部分未加密，安全性較隧道差。

　　隧道：與保密隧道（SSH）相似，我們將在下面討論。

　　利用Ipsec來實現(xiàn)VPN以此來支持WLAN安全通信。比起WEP來，IpsecVPN將提供更為強大的機密性、完整性和可用性。

　　3.保密接口層（SSL）與保密隧道（SSH）

　　SSL（securesocketlayer）采用了一種公開的密鑰加密。首先用戶必須發(fā)送一個權(quán)利說明，包括用戶名、密碼等以表明自己的身份，這個說明經(jīng)終端服務(wù)器識別，用戶便可登陸。但是接下來出現(xiàn)了一個問題，就是服務(wù)站點發(fā)送給用戶的信息中仍可能有機密信息，這樣攻擊者仍可以接收到站點發(fā)來的信息，從而使我們的信息失竊。

　　SSH（secureshell）仍像SSL一樣采用公開的密鑰，但由于它同時還結(jié)合了私有密鑰的使用，從而解決了SSL的安全漏洞。SSH提供幾種安全等級供用戶選擇，其安全性高于Telnet、R-commands等，同時SSH還提供端口到端口的隧道通信機制來保證特殊通信的安全。

　　4.靜態(tài)ARP

　　ARP協(xié)議通信過程首先是用戶向服務(wù)器發(fā)送自己的IP地址到網(wǎng)絡(luò)上，一旦服務(wù)器收到請求便發(fā)送自己的MAC地址給用戶，這樣用戶便可以與之進行通信。但是目前許多系統(tǒng)采取的是主機一旦收到一個數(shù)據(jù)包，便將包中的IP與MAC地址認為是匹配的，從而將其添加到自己的地址轉(zhuǎn)換列表中，如果將來再與之通信，便使用該MAC地址進行請求即可，這種方式稱為動態(tài)ARP。但這就給網(wǎng)絡(luò)攻擊者以可乘之機，他們將服務(wù)器的IP和自己的MAC傳給用戶，同時將用戶的IP和自己的MAC傳給服務(wù)器，從而在二者之間插入了一個中間站，進行竊取、修改甚至偽造信息等不法行為。而使用靜態(tài)ARP則可以有效地避免這種網(wǎng)絡(luò)威脅。

　　5.應(yīng)用密碼學(xué)的使用

　　應(yīng)用密碼學(xué)的興起為我們實現(xiàn)WLAN通信安全提供了一個新的途徑，用戶可以在應(yīng)用層利用加密算法軟件（甚至可以編寫自己算法軟件）先對自己的數(shù)據(jù)進行加密，然后再通過發(fā)送設(shè)備發(fā)出去。這樣在接收端的接收用戶只需要利用相同的算法軟件即可得到完整的信息，同時也提高了數(shù)據(jù)傳輸?shù)陌踩浴?/P>

　　三、Wi-Fi網(wǎng)絡(luò)安全策略

　　總的來說，好的安全策略并不是某一種或者幾種方法和工具，而是要設(shè)置層層安全屏障，這樣才能有效地阻止網(wǎng)絡(luò)黑客的攻擊。網(wǎng)絡(luò)安全策略的具體運用總體上可以分為網(wǎng)絡(luò)建立前的安全策略制訂階段和網(wǎng)絡(luò)建立后的維護階段兩部分。

　　（一）安全策略制訂

　　一個網(wǎng)絡(luò)要想擁有一個好的安全策略，在網(wǎng)絡(luò)建設(shè)的籌劃階段就應(yīng)當(dāng)將其考慮在內(nèi)，而不是在網(wǎng)絡(luò)建成后才予以考慮的。這樣就會避免安全策略為了遷就已經(jīng)成型的網(wǎng)絡(luò)而存在一些漏洞。下面的安全策略制訂原則是我們制定網(wǎng)絡(luò)安全策略必須考慮的。

　　1.理論聯(lián)系實際：分析理論上的和實際上可能發(fā)生的風(fēng)險，這樣將有助于杜絕盡可能多的攻擊。

　　2.財力結(jié)合實際：結(jié)合網(wǎng)絡(luò)的重要級別來采取具體的保護措施。比如你是一個SOHO用戶，那么為了實現(xiàn)網(wǎng)絡(luò)登陸鑒權(quán)，有SSID和WEP就足夠了，但這兩種方法對于大型Wi-Fi網(wǎng)絡(luò)來說是不行的，必須采取更的方法和工具。

　　3.針對性防護：如果你的網(wǎng)絡(luò)安全是保護信息，就必須加強對數(shù)據(jù)的保護；如果是防止Illicituse，就必須加強登陸管理。

　　（二）安全策略維護

　　安全策略的制定不是一勞永逸的，它并不能保證我們的網(wǎng)絡(luò)將是安全的。網(wǎng)絡(luò)攻擊者會不遺余力的開發(fā)出更新、更有殺傷力的攻擊方法和工具，所以安全策略的定期檢驗和維護是必要的，這一過程將是長期、反復(fù)的。

    四：發(fā)展方向

　　對于GPRS、CDMA1x、1xRTT、EV-DO、EV-DV等技術(shù)而言，上下鏈路數(shù)據(jù)業(yè)務(wù)的對稱性是WiFi的一個明顯優(yōu)勢。對于3G室內(nèi)的2Mbit數(shù)據(jù)速率，WiFi也具有的優(yōu)勢，它目前采用的是802.11b標(biāo)準(zhǔn)，理論數(shù)據(jù)速率可達11Mbit，實際的物理層數(shù)據(jù)速率支持l、2、5.5、11Mbit可調(diào)，覆蓋范圍從100-300m。隨著802.11g/a、802.16e、802.11i、WiMAX等技術(shù)、協(xié)議標(biāo)準(zhǔn)的制定和完善，加上WiFi聯(lián)盟對市場快速的反應(yīng)能力，WiFi正在進入一個快速發(fā)展的階段。其中，作為802.11b發(fā)展的后繼標(biāo)準(zhǔn)802.16（WiMAX-WorldwideInteroperabilityforMicrowave Access微波接入互操作性），已經(jīng)在2003年1月正式獲得批準(zhǔn)，雖然它采用了與802.11b不同的頻段（10-66GHz），但是作為一項無線城域網(wǎng)（WMAN）技術(shù)，它可以和802.11b/g/a無線接入熱點互為補充，構(gòu)筑一個完全覆蓋城域的寬帶無線技術(shù)。WiFi/WiMAX作為Cable和DSL的無線擴展技術(shù)，它的移動性與靈活性為移動用戶提供了真正的無線寬帶接入服務(wù)，實現(xiàn)了對傳統(tǒng)寬帶接入技術(shù)的帶寬特性和QoS服務(wù)質(zhì)量的延伸。

　　對于WiFi技術(shù)而言，漫游、切換、安全、干擾等方面都是運營商組網(wǎng)時需考慮的重點。隨著骨干傳輸網(wǎng)容量和傳輸速率的提高，無論采用平面或者兩層的架構(gòu)都不會影響到用戶的寬帶快速接入；隨著IAPP以及MobileIP技術(shù)的完善、IPv6的發(fā)展也可以終解決漫游和切換的問題；802.11i標(biāo)準(zhǔn)的產(chǎn)生將提供更多的包括WPA2、多媒體等安全策略；不斷成熟的組網(wǎng)方案和干擾預(yù)檢測機制都可以減少頻率資源開發(fā)帶來的干擾。

　　事實上，不同的標(biāo)準(zhǔn)化組織的工作與各類標(biāo)準(zhǔn)的制訂，正是NGN發(fā)展進程中各方加強合作與標(biāo)準(zhǔn)融合工作的體現(xiàn)。WiFi/WiMAX的市場目標(biāo)是成為寬帶無線接入城域網(wǎng)技術(shù)，基本目標(biāo)是要提供一種城域網(wǎng)領(lǐng)域點對多點的多廠商環(huán)境下可有效地互操作的寬帶無線接入手段，以實現(xiàn)滿足3G標(biāo)準(zhǔn)的以無線廣域網(wǎng)WWAN為基本模式、以公眾語音及多媒體數(shù)據(jù)為內(nèi)容、在范圍內(nèi)漫游的個人手機終端的基本市場定位。WiFi/WiMAX也可以作為3G無線廣域/城域、多點基站互聯(lián)支持手段的補充。

　　按NGN概念演進的下一代移動網(wǎng)，以終端、應(yīng)用、服務(wù)為主導(dǎo)將成為市場發(fā)展的重要驅(qū)動力也是運營商贏利的關(guān)鍵。其互操作性和后向兼容性將成為不同標(biāo)準(zhǔn)化組織的工作考慮的一個重點。如果進行無生命力的重覆，其產(chǎn)品和技術(shù)終將為市場所淘汰，其出路是在NGN及3G演進的基本概念上彼此融合，共同作出貢獻。而且隨著WiFi/WiMAX接入技術(shù)成本的逐步下降，電信運營商選擇WiFi/WiMAX技術(shù)為消費者提供VoWLAN語音服務(wù)將成為可能。

　　綜上所述，WiFi/WiMAX的發(fā)展方向包括：

　　*網(wǎng)絡(luò)技術(shù)，覆蓋更大的范圍，從熱點到熱區(qū)到整個城市。

　　*WiFi手持終端和VoWLAN業(yè)務(wù)必然成為潛在的應(yīng)用模式。

　　*基于IP的WiFi/WiMAX的交換技術(shù)和開放的業(yè)務(wù)平臺，將使WLAN網(wǎng)絡(luò)更智能、更易管理。

　　*基于多層次的安全策略（WEP、WPA、WPA2、AES、VPN等）提供不同等級的安全方案，將使企業(yè)、個人用戶可以根據(jù)不同的性價比來選擇滿足自己需要的安全策略。