無線局域網(wǎng)技術(shù)安全性

摘要:本文在闡述無線局域網(wǎng)安全發(fā)展概況的基礎(chǔ)上，分析了無線局域網(wǎng)的安全必要性，并從不同方面總結(jié)了無線局域網(wǎng)遇到的安全風(fēng)險，同時重點分析了IEEE802.11b標準的安全性、影響因素及其解決方案，最后對無線局域網(wǎng)的安全技術(shù)發(fā)展趨勢進行了展望。

關(guān)鍵詞:無線局域網(wǎng);安全;防范措施

中圖分類號:TP393.08

文獻標識碼: A

文章編號:1002-2422(2010)06-0059-02

1 無線局域網(wǎng)中主機面臨的威脅

無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡(luò)上流行的病毒之外，還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備，比如手機或者PDA的無線病毒。當無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后，無線病毒的威脅可能會加劇。

2 無線局域網(wǎng)安全性

IEEE802.11b標準的安全性，IEEE 802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)。當一個站點與另一個站點建立網(wǎng)絡(luò)連接之前，必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點。IEEE 802.11b標準詳細定義了兩種認證服務(wù):一是開放系統(tǒng)認證:是802.1lb默認的認證方式。二是共享密鑰認證，這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密(WEP)。IEEE802.11b規(guī)定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò)，其沒有正確的WEP密鑰。

加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流。

IEEE 802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當其被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表。方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難。

硬件設(shè)備:在現(xiàn)有的WLAN產(chǎn)品中，常用的加密方法是給用戶靜態(tài)分配一個密鑰，該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰并可用其接入到接入點。如果多個用戶共享一個客戶適配器，這些用戶有效地共享MAC地址和WEP密鑰。

虛假接入點:IEEE802.11b共享密鑰認證表采用單向認證，而不是互相認證。接入點鑒別用戶，但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi)，可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊。

3 完整的安全解決方案

無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)，是標準的開放式的安全方案，能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。核心部分:

擴展認證協(xié)議(Extensible Authentication Protocol，EA-P)是遠程認證撥入用戶服務(wù)(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務(wù)器通信。當無線局域網(wǎng)執(zhí)行安全保密方案時，在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合。當站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時，客戶端和RADIUS服務(wù)器進行雙向認證，客戶通過提供用戶名和密碼來認證。RA-DIUS服務(wù)器和用戶服務(wù)器確定客戶端在當前登錄期內(nèi)使用的WEP密鑰。這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò)，否則接入點將禁止站點使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEES02.1x協(xié)議，站點和R-ADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。

相互認證成功完成后，RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密其廣播密鑰并把加密密鑰發(fā)送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信。

SSID是無線接人的身份標識符，用戶用其來建立與接入點之間的連接。這個身份標識符是由通信設(shè)備制造商設(shè)置的，并且每個廠商都用自己的缺省值。無線路由器或AP在分配IP地址時，通常是默認使用DHCP即動態(tài)IP地址分配，這對無線網(wǎng)絡(luò)來說是有安全隱患的，“不法”分子只要找到了無線網(wǎng)絡(luò)，很容易就可以通過DHCP而得到一個合法的IP地址，由此就進入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為家里的每臺電腦分配固定的靜態(tài)IP地址，然后再把這個IP地址與該電腦網(wǎng)卡的MAC地址進行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因為還要驗證綁定的MAC地址，相當于兩重關(guān)卡。設(shè)置方法如下:

首先，在無線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能，把各電腦的“名稱”即Windows系統(tǒng)屬性里的“計算機描述”，以后要固定使用的IP地址，其網(wǎng)卡的MAC地址都如實填寫好，最后點“執(zhí)行”就可以了。

對于無線商用網(wǎng)絡(luò)，基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠程用戶的安全接入。在遠程用戶接入的應(yīng)用中，VPN在不可信的網(wǎng)絡(luò)上提供一條安全、專用的通道或者隧道。各種隧道協(xié)議，包括點對點的隧道協(xié)議和第二層隧道協(xié)議都可以與標準的、集中的認證協(xié)議一起使用。同樣，VPN技術(shù)可以應(yīng)用在無線的安全接入上，在這個應(yīng)用中，不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)。AP可以被定義成無WEP機制的開放式接入(各AP仍應(yīng)定義成采用SSID機制把無線網(wǎng)絡(luò)分割成多個無線服務(wù)子網(wǎng))，但是無線接入網(wǎng)絡(luò)VLAN從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。VPN服務(wù)器提供網(wǎng)絡(luò)的認征和加密，并充當局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。

無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。

當攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時，可以嘗試建立與AP關(guān)聯(lián)。目前，有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對其進行身份驗證。開放身份驗證通常意味著只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在于，如果沒有其他的保護或身份驗證機制，那么無線網(wǎng)絡(luò)將是完全開放的，就像其名稱所表示的。共享機密身份驗證機制類似于“口令一響應(yīng)”身份驗證系統(tǒng)。在STA與AP共享同一個WEP密鑰時使用這個機制。STA向AP發(fā)送申請，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進行回復(fù)。這種方法的漏洞在于口令是通過明文傳輸給STA的，因此如果有人能夠同時截取口令和響應(yīng)，那么就可能找到用于加密的密鑰。采用其他的身份驗證，授權(quán)機制。使用802.1x，VPN或證書對無線網(wǎng)絡(luò)用戶進行身份驗證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限。

4 結(jié)束語

可選擇的加密運算法則和IEEE 802.11規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)一樣安全。其中，認證提供接入控制，減少網(wǎng)絡(luò)的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現(xiàn)和發(fā)展之中。

參考文獻

[1]左曉棟，戴英俠.無線局域網(wǎng)的安全性分析[J].北京:電信科學(xué).2001(7).

[2]吳越，曹秀英，胡愛群，等.無線局域網(wǎng)安全技術(shù)研究[J].北京:電信科學(xué)，2002(6).

[3]黃煒.探討無線局域網(wǎng)安全性[J].杭州:計算機時代，2001(11).

[4]沈海波.無線局域網(wǎng)安全問題及解決方案[J].武漢:培訓(xùn)與研究(湖北教育學(xué)院學(xué)報)，2004(2).