無(wú)線局域網(wǎng)安全技術(shù)研究論文

導(dǎo)語(yǔ)：無(wú)線局域網(wǎng)安全技術(shù)研究論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要隨著無(wú)線技術(shù)的發(fā)展，無(wú)線局域網(wǎng)已經(jīng)成為IT行業(yè)的一個(gè)新的熱點(diǎn)，漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分。本文從分析無(wú)線局域網(wǎng)的安全威脅出發(fā)，討論了無(wú)線局域網(wǎng)的幾種安全保密技術(shù)。

關(guān)鍵詞無(wú)線局域網(wǎng)；安全；802.11標(biāo)準(zhǔn)；有線等效保密；WAPI鑒別與保密

1引言

經(jīng)過(guò)20多年的發(fā)展，無(wú)線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN），已經(jīng)成為一種比較成熟的技術(shù)，應(yīng)用也越來(lái)越廣泛，是計(jì)算機(jī)有線網(wǎng)絡(luò)的一個(gè)必不可少的補(bǔ)充。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅提高用戶訪問(wèn)信息的及時(shí)性和有效性，還可以克服線纜限制引起的不便性。但由于無(wú)線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的，它具有更大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線局域網(wǎng)將面臨著更嚴(yán)峻的安全問(wèn)題。

無(wú)線局域網(wǎng)的安全問(wèn)題伴隨著市場(chǎng)與產(chǎn)業(yè)結(jié)構(gòu)的升級(jí)而日益凸現(xiàn)，安全問(wèn)題已經(jīng)成為WLAN走入信息化的核心舞臺(tái)，成為無(wú)線局域網(wǎng)技術(shù)在電子政務(wù)、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏。

2無(wú)線局域網(wǎng)的安全威脅

隨著公司無(wú)線局域網(wǎng)的大范圍推廣普及使用，WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問(wèn)題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時(shí)間、向任何一個(gè)目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時(shí)要面臨來(lái)自外部、內(nèi)部、自然等多方面的威脅。

由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對(duì)越權(quán)存取和竊聽的行為也更不容易防備。無(wú)線局域網(wǎng)必須考慮的安全威脅有以下幾種：

＞所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在；

＞無(wú)線局域網(wǎng)的無(wú)需連線便可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在；

＞無(wú)線局域網(wǎng)使用的是ISM公用頻段，使用無(wú)需申請(qǐng)，相鄰設(shè)備之間潛在著電磁破壞（干擾）問(wèn)題；

＞外部人員可以通過(guò)無(wú)線網(wǎng)絡(luò)繞過(guò)防火墻，對(duì)公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存取；

＞無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入；

＞無(wú)線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊（DOS）和干擾；

＞內(nèi)部員工可以設(shè)置無(wú)線網(wǎng)卡為P2P模式與外部員工連接。

3無(wú)線局域網(wǎng)的安全保障

自從無(wú)線局域網(wǎng)誕生之日起，安全性隱患與其靈活便捷的優(yōu)勢(shì)就一直共存，安全問(wèn)題的解決方案從反面制約和影響著無(wú)線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無(wú)線局域網(wǎng)的安全性，IEEE802.11系列標(biāo)準(zhǔn)從多個(gè)層次定義了安全性控制手段。

3.1SSID訪問(wèn)控制

服務(wù)集標(biāo)識(shí)符(ServiceSetIdentifier，SSID)這是人們最早使用的一種WLAN安全認(rèn)證方式。服務(wù)集標(biāo)識(shí)符SSID，也稱業(yè)務(wù)組標(biāo)識(shí)符，是一個(gè)WLAN的標(biāo)識(shí)碼，相當(dāng)于有線局域網(wǎng)的工作組（WORKGROUP）。無(wú)線工作站只有出示正確的SSID才能接入WLAN，因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，通過(guò)對(duì)AP點(diǎn)和網(wǎng)卡設(shè)置復(fù)雜的SSID（服務(wù)集標(biāo)識(shí)符），并根據(jù)需求確定是否需要漫游來(lái)確定是否需要MAC地址綁定，同時(shí)禁止AP向外廣播SSID。嚴(yán)格來(lái)說(shuō)SSID不屬于安全機(jī)制，只不過(guò)，可以用它作為一種實(shí)現(xiàn)訪問(wèn)控制的手段。

3.2MAC地址過(guò)濾

MAC地址過(guò)濾是目前WLAN最基本的安全訪問(wèn)控制方式。MAC地址過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。MAC地址過(guò)濾這種很常用的接入控制技術(shù)，在運(yùn)營(yíng)商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用，即只允許合法的MAC地址終端接入網(wǎng)絡(luò)。用無(wú)線局域網(wǎng)中，AP只允許合法的MAC地址終端接入BSS，從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時(shí)更新，但是目前都是通過(guò)手工操作完成，因此擴(kuò)展能力差，只適合小型網(wǎng)絡(luò)規(guī)模，同時(shí)這種方法的效率也會(huì)隨著終端數(shù)目的增加而降低。

3.3802.11的認(rèn)證服務(wù)

802.11站點(diǎn)（AP或工作站）在與另一個(gè)站點(diǎn)通信之前都必須進(jìn)行認(rèn)證服務(wù)，兩個(gè)站點(diǎn)能否通過(guò)認(rèn)證是能否相互通信的根據(jù)。802.11標(biāo)準(zhǔn)定義了兩種認(rèn)證服務(wù)：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。采用共享密鑰認(rèn)證的工作站必須執(zhí)行有線等效保密協(xié)議（WiresEquivalentPrivacy，WEP）。

WEP利用一個(gè)64位的啟動(dòng)源密鑰和RC4加密算法保護(hù)調(diào)制數(shù)據(jù)傳輸。WEP為對(duì)稱加密，屬于序列密碼。為了解決密鑰重用的問(wèn)題，WEP算法中引入了初始向量（InitialilizationVector，IV），IV為一隨機(jī)數(shù)，每次加密時(shí)隨機(jī)產(chǎn)生，IV與原密鑰結(jié)合作為加密的密鑰。由于IV并不屬于密鑰的一部分，所以無(wú)須保密，多以明文形式傳輸。

WEP協(xié)議自公布以來(lái)，它的安全機(jī)制就遭到了廣泛的抨擊，主要問(wèn)題如下：

(1)WEP加密存在固有的缺陷，它的密鑰固定且比較短（只有64-24＝40bits）。

(2)IV的使用解決了密鑰重用的問(wèn)題，但是IV的長(zhǎng)度太短，強(qiáng)度并不高，同時(shí)IV多以明文形式傳輸，帶來(lái)嚴(yán)重的安全隱患。

(3)密鑰管理是密碼體制中最關(guān)鍵的問(wèn)題之一，但是802.11中并沒有具體規(guī)定密鑰的生成、分發(fā)、更新、備份、恢復(fù)以及更改的機(jī)制。

(4)WEP的密鑰在傳遞過(guò)程中容易被截獲。

所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險(xiǎn)。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件，例如WEPCrack和AirSnort。

4WLAN安全的增強(qiáng)性技術(shù)

隨著WLAN應(yīng)用的進(jìn)一步發(fā)展，802.11規(guī)定的安全方案難以滿足高端用戶的需求。為了推進(jìn)WLAN的發(fā)展和應(yīng)用，業(yè)界積極研究，開發(fā)了很多增強(qiáng)WLAN安全性的方法。

4.1802.1x擴(kuò)展認(rèn)證協(xié)議

IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理。基于802.1x認(rèn)證體系結(jié)構(gòu)，其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成。IEEE802.1x通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下，作為RADIUS客戶端配置的無(wú)線接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

為了進(jìn)一步提高安全性，IEEE802.1x擴(kuò)展認(rèn)證協(xié)議采用了WEP2算法，即將啟動(dòng)源密鑰由64位提升為128位。

移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)。

4.2WPA保護(hù)機(jī)制

Wi-FiProtectedAccess（WPA，Wi-Fi保護(hù)訪問(wèn)）是Wi-Fi聯(lián)盟提出的一種新的安全方式，以取代安全性不足的WEP。WPA采用了基于動(dòng)態(tài)密鑰的生成方法及多級(jí)密鑰管理機(jī)制，方便了WLAN的管理和維護(hù)。WPA由認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)部分組成。

(1)認(rèn)證

WPA要求用戶必須提供某種形式的證據(jù)來(lái)證明它是合法用戶，才能擁有對(duì)某些網(wǎng)絡(luò)資源的訪問(wèn)權(quán)，并且這是是強(qiáng)制性的。WPA的認(rèn)證分為兩種：第一種采用802.1xEAP（ExtensibleAuthenticationProtocol）的方式，用戶提供認(rèn)證所需的憑證，如用戶名密碼，通過(guò)特定的用戶認(rèn)證服務(wù)器來(lái)實(shí)現(xiàn)。另一種為WPA預(yù)共享密鑰方式，要求在每個(gè)無(wú)線局域網(wǎng)節(jié)點(diǎn)（AP、STA等）預(yù)先輸入一個(gè)密鑰，只要密鑰吻合就可以獲得無(wú)線局域網(wǎng)的訪問(wèn)權(quán)。

(2)加密

WPA采用TKIP（TemporalKeyIntegrityProtocol，臨時(shí)密鑰完整性協(xié)議）為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成、分發(fā)密鑰來(lái)取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)度從24位增加到128位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰通過(guò)安全通道分發(fā)到AP和客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來(lái)加密每一個(gè)無(wú)線通訊數(shù)據(jù)報(bào)文。

(3)消息完整性校驗(yàn)

除了保留802.11的CRC校驗(yàn)外，WPA為每個(gè)數(shù)據(jù)分組又增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值，以防止攻擊者截獲、篡改及重發(fā)數(shù)據(jù)報(bào)文。

4.3VPN的應(yīng)用

目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用虛擬專用網(wǎng)（VPN）技術(shù)。虛擬專用網(wǎng)（VPN）技術(shù)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，其本身并不屬于802.11標(biāo)準(zhǔn)定義，但是用戶可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于RADIUS的用戶認(rèn)證以及計(jì)費(fèi)。可以通過(guò)購(gòu)置帶VPN功能防火墻，在無(wú)線基站和AP之間建立VPN隧道，這樣整個(gè)無(wú)線網(wǎng)的安全性得到極大的提高，能夠有效地保護(hù)數(shù)據(jù)的完整性、可信性和不可抵賴性。

VPN技術(shù)作為一種比較可靠的網(wǎng)絡(luò)安全解決方案，在有線網(wǎng)絡(luò)中，尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用，然而無(wú)線網(wǎng)絡(luò)的應(yīng)用特點(diǎn)在很大程度上阻礙了VPN技術(shù)的應(yīng)用，如吞吐量性能瓶頸、網(wǎng)絡(luò)的擴(kuò)展性問(wèn)題、成本問(wèn)題等。

4.4WAPI鑒別與保密

無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)（WLANAuthenticationandPrivacyInfrastructure，WAPI）是我國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)制定的，由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WLANAuthenticationInfrastructure，WAI）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WLANPrivacyInfrastructure，WPI）組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對(duì)稱密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。

在WAPI中，身份鑒別的基本功能是實(shí)現(xiàn)對(duì)接入設(shè)備用戶證書和其身份的鑒別，若鑒別成功則允許接入網(wǎng)絡(luò)，否則解除其關(guān)聯(lián)，鑒別流程包含下列幾個(gè)步驟：

1)鑒別激活：當(dāng)STA登錄至AP時(shí)，由AP向STA發(fā)送認(rèn)證激活以啟動(dòng)認(rèn)證過(guò)程；

2)接入鑒別請(qǐng)求：工作站STA向AP發(fā)出接入認(rèn)證請(qǐng)求，將STA證書與STA的當(dāng)前系統(tǒng)時(shí)間（接入認(rèn)證請(qǐng)求時(shí)間）發(fā)往AP；

3)證書鑒別請(qǐng)求：AP收到STA接入認(rèn)證請(qǐng)求后，向AS（認(rèn)證服務(wù)器）發(fā)出證書認(rèn)證請(qǐng)求，將STA證書、接入認(rèn)證請(qǐng)求時(shí)間、AP證書及用AP的私鑰對(duì)上述字段的簽名，構(gòu)成認(rèn)證請(qǐng)求報(bào)文發(fā)送給AS。

4)證書鑒別響應(yīng)：AS收到AP的證書認(rèn)證請(qǐng)求后，驗(yàn)證AP的簽名以及AP和STA證書的合法性。驗(yàn)證完畢后，AS將STA證書認(rèn)證結(jié)果信息(包括STA證書、認(rèn)證結(jié)果及AS對(duì)它們的簽名)、AP證書認(rèn)證結(jié)果信息(包括AP證書、認(rèn)證結(jié)果、接入認(rèn)證請(qǐng)求時(shí)間及AS對(duì)它們的簽名)構(gòu)成證書認(rèn)證響應(yīng)報(bào)文發(fā)回給AP。

5)接入鑒別響應(yīng)：AP對(duì)AS返回的證書認(rèn)證響應(yīng)進(jìn)行簽名驗(yàn)證，得到STA證書的認(rèn)證結(jié)果。AP將STA證書認(rèn)證結(jié)果信息、AP證書認(rèn)證結(jié)果信息以及AP對(duì)它們的簽名組成接入認(rèn)證響應(yīng)報(bào)文回送至STA。STA驗(yàn)證AS的簽名后，得到AP證書的認(rèn)證結(jié)果。STA根據(jù)該認(rèn)證結(jié)果決定是否接入該AP。

至此，工作站STA與AP之間完成了雙向的證書鑒別過(guò)程。為了更大程度上保證WLAN的安全需求，還可以進(jìn)行私鑰的驗(yàn)證，以確認(rèn)AP和工作站STA是否是證書的合法持有者，私鑰驗(yàn)證由請(qǐng)求和響應(yīng)組成。

當(dāng)工作站STA與接入點(diǎn)AP成功進(jìn)行證書鑒別后，便可進(jìn)行會(huì)話密鑰的協(xié)商。會(huì)話密鑰協(xié)商包括密鑰協(xié)商請(qǐng)求和密鑰協(xié)商響應(yīng)。密鑰協(xié)商請(qǐng)求可以由AP或STA中的任意一方發(fā)起，另一方進(jìn)行響應(yīng)。為了進(jìn)一步提高通信的保密性能，在通信一段時(shí)間或交換一定數(shù)量的報(bào)文后，工作站STA與AP之間應(yīng)該重新進(jìn)行會(huì)話密鑰的協(xié)商來(lái)確定新的會(huì)話密鑰。

5結(jié)束語(yǔ)

要保證WLAN的安全，需要從加密技術(shù)和密鑰管理技術(shù)兩方面來(lái)提供保障。使用加密技術(shù)可以保證WLAN傳輸信息的機(jī)密性，并能實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制，密鑰管理技術(shù)為加密技術(shù)服務(wù)，保證密鑰生成、分發(fā)以及使用過(guò)程中不會(huì)被非法竊取，另外靈活的、基于協(xié)商的密鑰管理技術(shù)為WLAN的維護(hù)工作提供了便利。盡管我們國(guó)家WLAN標(biāo)準(zhǔn)的出臺(tái)以及強(qiáng)制執(zhí)行引起了很大的影響，但這是我國(guó)信息安全戰(zhàn)略的具體落實(shí)，它表明我們國(guó)家已經(jīng)邁出了堅(jiān)實(shí)的一步。

參考文獻(xiàn)

[1][美]JimGeier著,王群等譯.無(wú)線局域網(wǎng).人民郵電出版社

[2]KavehPahlavan著.無(wú)線網(wǎng)絡(luò)通信原理與應(yīng)用.清華大學(xué)出版社

[3]GB15629.11-2003：中華人民共和國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)