無線局域網安全體系的思考與研究

摘要:隨著信息技術的發展，無線技術得到了廣泛應用，在局域網絡中，它作為有線網絡的一種補充也起到了舉足輕重的作用。但由于無線網絡的傳輸媒介是電磁波，所以網絡的安全性也受到了很大的威脅。該文將討論目前無線局域網中存在的風險，分析原因并提出相關策略及應對技術，來保障網絡的安全性。

關鍵詞:無線局域網;SSID;AP;認證

中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2010)02-296-02

無線局域網(Wireless Lan)簡稱WLAN，主要是通過無線電波作為傳輸媒體來實現網絡的組建，它可以提供傳統有線局域網所有的功能，同時因為其具有可移動性、不要鋪設基礎設施等優點已經成為傳統有線網絡的一種必不可少的補充。并且隨著無線技術的不斷成熟，無線局域網的應用將越來越廣泛。

但是當用戶對無線局域網的期望日益提高時，其存在的危險也隨之出現。由于無線局域網的應用是基于開放性的系統，使得數據傳輸的范圍很難得到控制，從而面臨著極大的安全挑戰。

1 面臨的威脅及應對策略

隨著無線局域網的大范圍的使用，無線局域網系統所面臨的安全問題也日益顯現。由于其網絡是以無線電波作為傳輸的媒介，因此無線網絡難以限制網絡資源的物理訪問位置，無線網絡信號可以傳播到預期的方位以外，使得在網絡覆蓋范圍內的任何地方都成為了無線局域網的接入點，給入侵者帶來了“方便”，他可以在預期范圍以外訪問網絡，竊聽網絡中的數據，并應用各種攻擊手段對無線網絡進行攻擊。因此，無線局域網面臨的安全威脅主要有以下幾種:1)所有有線網絡存在的安全威脅和隱患都存在;2)無線局域網無需連線便可以在信號覆蓋范圍內進行網絡接入的嘗試，一定程度上暴露了網絡的存在;3)無線局域網使用的是公用頻段，無需申請，相鄰設備之間潛在著干擾問題;4)非法用戶可以通過無線網絡繞過防火墻，降低了網絡的安全性。

面對無線網絡存在的潛在危險，如何保證網絡的安全成為了無線局域網首先要解決的問題。目前主要的應對策略有:1)加密。保護網絡設備和訪問點之間傳輸的數據，提供保密性和機密性;2)認證。控制誰可訪問該網絡;3)入侵防護系統。通過檢測并防止網絡和未授權的訪問攻擊，從而保證網絡的安全。

2 基本解決方案

2.1 SSID訪問控制

服務集標識符(Service Set Identifier， SSID)這是人們最早使用的一種無線局域網的安全認證方式。服務集標識符SSID，也稱業務組標識符，是一個無線局域網的標識碼，相當于有線局域網的工作組(WORKGROUP)。客戶端只有出示正確的SSID才能接入網絡。實施SSID時，無線網絡訪問點(AP)和客戶端必須使用相同的SSID值進行認證。默認情況下，訪問點廣播該SSID的值，宣告其存在，任何人都可以訪問該AP。所以可以通過關閉AP上的SSID廣播功能，并根據需求綁定客戶端的MAC地址來提高網絡的安全性，但該方案只是一種對客戶端實現的訪問控制手段。

2.2 MAC地址過濾

MAC地址過濾是無線局域網最基本的安全訪問控制方式。無線局域網中，AP只允許合法的MAC地址客戶端接入，從而避免了非法用戶的接入。為每個客戶端分配固定的IP地址，然后將客戶端的IP地址與MAC地址進行綁定，這樣就能大大提升網絡的安全性。

2.3 802.11認證協議

802.11站點之間通信之前都必須進行認證服務，兩個站點能否通過認證是它們相互通信的根據。802.11標準定義了兩種認證服務:開放系統認證和共享密鑰認證。采用共享密鑰認證的工作站必須執行有線等效保密協議(Wires Equivalent Privacy， WEP)。WEP是具有加密功能并且最早使用的認證協議，WEP使用靜態的64位密鑰，其中密鑰為40位還有24位的初始化向量(IV)。IV是一個隨機數，每次加密時隨機產生，IV與原密鑰結合作為加密的密鑰。然而IV是以明文發送的，如果非法用戶通過竊聽，收集密鑰的相關信息進行分析，那么同樣可以實現破解。

3 改進認證技術

3.1 802.1x EAP

可擴展認證協議(Extensible Authentication Protocol， EAP)是一個第2層處理過程，允許網絡對無線客戶端進行認證。通常有兩種EAP:一種用于無線網絡，另一種用于有線網絡連接。該協議定義了3個標準的過程:EAP、802.1x和遠程認證撥入用戶服務(Remote Authentication Dial In User Service， RADIUS)。EAP負責認證信息的封裝，802.1x和RADIUS負責如何打包EAP信息，實現信息的傳輸。其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方共同完成。802.1x定義了客戶端如何將EAP信息傳輸到無線接入點，無線網絡設備通過RADIUS協議將信息傳輸到遠程的認證服務器，由服務器確認客戶端的請求是否有效，而接入點沒有定義本地客戶端的任何信息。

3.2 WPA

Wi-Fi Protected Access(WPA，Wi-Fi保護訪問)是Wi-Fi聯盟提出的一種新的安全方式，以取代安全性不足的WEP。WPA采用了基于動態密鑰的生成方法及多級密鑰管理機制，加強了無線局域網的管理。WPA由認證、加密和數據完整性校驗三個部分組成。

1)認證

WPA的認證分為兩種:第一種采用802.1x EAP方式，用戶提供認證所需的憑證，如用戶名密碼，通過特定的用戶認證服務器RADIUS來實現，該方式常用于大的公司或企業。另一種為WPA預共享密鑰方式，要求在每個無線局域網節點預先輸入一個密鑰，只要密鑰吻合就可以獲得無線局域網的訪問權，該方式主要是SOHO網絡或家庭。

2)加密

WPA采用TKIP(Temporal Key Integrity Protocol，臨時密鑰完整性協議)為加密引入了新的機制，通過由認證服務器動態生成、分發密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。TKIP利用了802.1x EAP方式。認證服務器在接受了用戶身份后，使用802.1x 產生一個惟一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發到AP和客戶端，并建立起一個密鑰構架和管理系統，使用主密鑰為用戶會話動態產生一個惟一的數據加密密鑰，實現數據的加密。

3)消息完整性校驗

WPA為每個數據分組又增加了一個8個字節的消息完整性校驗值，以防止攻擊者截獲、篡改及重發數據報文。

3.3 WPA2

WPA2與WPA相比，改進了加密協議，采用了更安全的高級加密標準(AES)計數器模式CBC-MAC協議算法。AES使用128位比特的密鑰加密。AES-CCMP整合了兩種加密技術，更適用于無線網絡。雖然AES本身具有強大的加密算法，但使用計算器模式能讓竊聽者更加難以破解，并且CBC-MAC消息完整性也確保了幀的可靠性。

4 結束語

從無線網絡誕生的第一天起，無線網絡的安全性問題就成為了制約其發展的瓶頸。要保證無線網絡的安全，必須從加密技術和認證技術兩方面保障。加密技術保證了無線網絡傳輸的機密性，實現了對網絡的控制。認證技術加強了對密鑰的管理，屏蔽了非法入侵和篡改。當然，要真正保障無線網絡的安全，國家還要進一步的制定相關標準及具體措施，加大對無線網絡的監管。