無線局域網通信安全機制研究

孟清,劉運,鄺月娟

摘 要：隨著無線局域網(WLAN)應用規模不斷擴大，其通信安全問題備受業界關注。通過分析現有的WLAN在物理層、數據鏈路層和網絡層三個層次的安全機制，從訪問控制和數據加密兩個方面指出了其局限性和缺陷，提出了運用隔離技術、升級加密方案和VPN技術等措施構建多層次的安全體系，確保WLAN通信安全。

關鍵詞：無線局域網； 安全通信； 安全體系; VPN

中圖分類號：TN918-34

文獻標識碼：A

文章編號：1004-373X(2011)09-0102-03

Study on Security Mechanism of Wireless LAN Communication

MENG Qing1, LIU Yun2, KUANG Yue-juan1

(1. Hunan Mass Media College, Changsha 410100, China;

2. School of Computer Science, National Universi of Defense Technology, Changsha 410073, China)

Abstract： With the development of wireless LAN, people pay more attention to the communication security. The limitation and flaw about access control and data encryption are pointed out on the basis of analysis of the safety mechanism in phy-sics layer, data link layer and network layer. A multilayer safety system built by isolation technology, upgrade encryption and VPN technology is put forward to ensure the communication security.

Keywords： wireless ALN; safety communication; safety system; VPN

0 引 言

近年來，無線局域網(WLAN)的市場、應用和服務快速發展，規模不斷擴大，但是由于WLAN無線信號的開放性和IEEE 802．11協議自身固有的脆弱性，出現了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發起對WLAN的攻擊，基于WLAN的安全漏洞進行網絡攻擊事件不斷增多，導致WLAN的安全無法得到保障，禁止使用WLAN的企業和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

1 WLAN安全機制

WLAN是利用射頻技術進行數據通信的開放式系統，其安全性與有線網絡相比主要體現在物理層、數據鏈路層和網絡層，其他層次安全性和有線網絡類似。

1.1 物理層安全

目前各種WLAN物理層安全主要圍繞無線信號的抗干擾、抗衰落和抗竊聽三個方面展開。

WLAN主要標準有IEEE 802.11,IEEE 802.11b,IEEE 802.11a和IEEE 802.11g，為提高無線信號干擾、傳輸速率的性能，射頻技術從直接序列擴頻技術(DSSS)和跳頻擴頻(FHSS),發展到IEEE 802.11b的使用補碼鍵控(CCK)到IEEE 802.11a使用的正交頻分復用(OFDM)，去年通過的IEEE 802.11n利用MIMO和OFDM相結合，在高速數據傳輸、安全性和QoS等方面進行了新的改進。

1.2 數據鏈路層安全

數據鏈路層安全主要圍繞數據加密展開。

IEEE 802.11b采用有線等價保密協議(WEP)的加密方案［1］。WEP利用對稱流密碼技術的RC4算法進行加密，在當時情況下，WEP對于無線通信信號的保密性和完整性，防止非授權訪問方面為WLAN提供一定程度安全措施，通過WEP提供與有線網絡同級別的安全防護。

WLAN高速發展后，WEP的安全問題不斷顯現，IEEE 802.11i通過增加IV和密碼長度等方法推出了WEP2加密方案，通過增加消息完整性代碼(MIC)和包密鑰混合函數推出了臨時密鑰完整性協議(TKIP)［2］,最終提出了基于AES算法的WPA2。

1.3 網絡層安全

網絡層安全主要圍繞WLAN訪問控制和數據保密傳輸兩方面展開。

IEEE 802.11b標準通過服務配置標識符SSID、身份認證和虛擬專用網VPN在網絡提供網絡層安全保障。

IEEE 802.11x認證協議通過對接入端口定義實現了訪問控制。該協議將訪問端口定義為非授權和授權端口控制用戶數據傳輸，借助EAP認證協議為WLAN設備提供認證和授權［3］。

2 WLAN安全機制缺陷

隨著WLAN應用范圍不斷擴大和對WLAN技術研究的深入，WLAN安全機制缺陷不斷顯現出來，主要集中在訪問控制和數據加密兩個方面。

2.1 訪問控制

2.1.1 非法獲取服務集標示(SSID)

為對網絡資源訪問的權限進行限制，無線客戶端需要擁有正確的SSID才能訪問無線接入點(AP)。AP初始化配置為廣播SSID，惡意客戶端只要在AP通信范圍之內，就可以收到SSID，對于部分更改為不廣播SSID的AP，惡意客戶端通過掃描工具獲得部分數據進行分析就可以得到SSID。

所以對于利用SSID進行權限限制只能提供低級別的安全防護。

2.1.2 惡意修改MAC地址

AP保存一張允許訪問的MAC地址表，實現基于MAC地址過濾，對于較多的MAC可以利用集中的RADIUS認證。惡意客戶端可以利用軟件修改自己MAC和合法MAC一致，達到欺騙AP的目的。

所以對于利用MAC過濾進行權限限制也只能提供低級別的安全防護。

2.1.3 利用IEEE 802.11x認證缺陷

IEEE 802.11x認證是單向認證，即只有對認證申請者進行可信認證，而對認證服務器不進行認證。所以出現了惡意客戶端假冒認證服務器向認證申請者發出確認報文挾持合法客戶端的攻擊。

IEEE 802.11x規定認證模式是可以協商的。所以惡意客戶端利用該弱點協商一種最簡單、最容易攻擊的認證模式進行認證，利用協商認證模式弱點進行攻擊。

IEEE 802.11x規定當客戶端斷開連接時，向服務器發送EAP-LOGOFF報文。惡意客戶端通過偽造正常通信客戶端的MAC等方法假冒客戶端發送EAP-LOGOFF報文，造成合法客戶端被迫斷開連接，從而實現拒絕服務攻擊。

2.2 數據加密

IEEE 802.11b使用的WEP加密方案中的IV由于長度過短和初始化復位的特點，在實際使用的時候容易出現重用現象，從而被攻擊者破解密鑰。

WEP使用循環冗余校驗進行信息完整性驗證，但是這種線性運行在不改變數據位數的情況下，篡改部分數據不會被發現。惡意客戶端利用這一特點，修改部分數據，如IP地址，實現IP地址欺騙等攻擊。

3 應對措施

由于WLAN傳輸介質的開放性為攻擊者提供了有利條件，而且利用SSID限制、MAC地址過濾和WEP加密方案進行安全防護，目前都已經被驗證有不少漏洞，但是由于技術研究與網絡產品之間的傳遞滯后性，導致目前存在的大量支持舊標準的無線設備在很長一段時間內仍然處于主導地位，比如實際應用中WEP算法等仍然廣泛應用于各種無線網絡設備中，給攻擊者打開方便之門，最近出現的“蹭網”現象就利用暴力破解加密算法原理的無線網卡實現，所以必需在現有的條件下對WLAN加強各級別安全防護。

3.1 運用WLAN用戶隔離技術，建立初級防護體系

用戶隔離技術就是將靜態IP地址、MAC地址綁定和虛擬局域網(VLAN)端口三種措施結合起來進行防護。

對于IP地址分配，為管理和使用簡單，管理員一般配置使用DHCP進行動態地址分配，IP地址范圍是固定的地址池。對于惡意攻擊來說，獲知一個IP地址就可以簡單推算出連續的IP地址，可以實施較大規模的集中攻擊，實施數據修改、地址欺騙和會話攔截等行為。

所以對于小規模WLAN來說，關閉DHCP，通過為每個客戶端提供固定、離散的IP地址，然后將IP地址與客戶端網卡MAC進行綁定，最后在局域網交換機實施居于IP地址的WLAN規劃，對客戶端進行集中管理，這樣增加無線網絡攻擊難度，建立初級防護體系，提高無線通信的安全性。

3.2 升級加密方案，加強密鑰管理，防止惡意入侵

WEP加密體系在攻擊技術不斷進步的同時已經全面瓦解，為保障無線通信安全，在網絡設備允許的情況下，建議使用WPA2進行加密，WPA2采用對稱加密系統(AES)，安全性相對WEP大大加強，其破解難度在使用雜亂字符下至少也要24 h以上，極大提供了攻擊門檻。

對于密鑰管理，建議用戶定期進行更換，有必要時可以啟用獨立的認證服務器實施密鑰的分配和管理。

3.3 引入虛擬專用網(VPN)技術，確保無線通信安全

在小型WALN中可以運用WLAN用戶隔離技術建立起初級防護體系，但是對于大型的WALN中由于節點眾多，維護IP地址、MAC地址列表和AP的WEP加密密鑰都是難以實行的管理任務，可見大型的、安全性要求高的WALN利用隔離技術已經不符合要求，必須引入新的無線通信安全體系。

VPN是一種在公用網絡上建立私有網的技術，主要采用隧道、認證、加密和訪問控制技術在公網上建立一個臨時、安全的連接。實施VPN的目的就是要在不安全的公網上進行安全的通信，同樣可以在開放的WALN中實施VPN，實現無線客戶端同安全網關保護的局域網之間進行數據的安全傳輸。因此在WLAN中引入該技術將極大提高無線通信安全性。

在WALN中引入VPN技術后，WLAN利用VPN的用戶認證機制確保只有己被授權的無線客戶端才能夠進行無線通信連接、發送和接收數據。VPN的加密體系采用MD5等加密算法確保即使惡意節點攔截竊聽到傳輸數據，沒有充足的時間和精力它也不能將這些信息解密。VPN的數據認證體系確保在WLAN傳輸的數據的完整性，保證所有業務流都是來自WLAN認證的設備。

4 結 語

隨著國內無線城市、三網融合等應用即將進入實際運行，WLAN的應用范圍還將不斷擴大，因此WALN的安全問題也將越來越受到重視。加強WLAN安全管理，根據WALN規模，適當運用用戶隔離技術、升級加密方案和VPN技術等措施，在一定程度上可以確保無線通信的安全性。相信隨著WLAN安全技術研究的不斷完善，合理構建多層次的安全體系，制定規范和有效的管理措施，相信在將來，無線局域網將以它的靈活性在新的應用領域發揮更加重要的作用。

參考文獻

［1］

SITHIRASENAN E, MUTHUKKUMARASAMY V D. IEEE 802.11i WLAN security protocol-a software engineer′s model [C]// Proceedings of the 4th Asia Pacific Security Conference on Information Technology. Australia: SCIT, 2005: 39-50.

［2］陳卓，王瑞民．TKIP的MIC-Michael算法和安全性分析［J］.計算機工程與設計，2006，27(7)：1149-1150.

［3］薛雨楊，周顥.無線局域網802.1 X協議安全性分析與檢測［J］.西安交通大學學報，2009，43(10):52-55.

［4］SITHIRASENAN E, MUTHUKKUMARASAMY V. An early warning system for IEEE 802.11i wireless networks [C]// Proceedings of the 1st Australian Conference on Broadband Wireless and Ultra Wideband. Australian: BWUW, 2006: 25-30.

［5］王茂才，戴光明，宋軍，等.無線局域網安全性研究［J］.計算機應用研究，2007，24(1)：158-160.

［6］趙偉艇，史玉珍.基于802.11i的無線局域網安全加密技術研究［J］.計算機工程與設計，2010，31(4)：760-762.

［7］陰國富.無線局域網安全加密算法的研究［J］.現代電子技術，2009，32(20)：91-92.

［8］王軍號.基于IEEE 802.11標準的無線局域網安全策略研究［J］.貴州大學學報：自然科學版，2009，26(6)：88-90.

［9］張軍.無線局域網信息安全問題探析［J］.重慶科技學院學報：社會科學版，2009，11(3)：119-121.

［10］王志新，許林英.無線局域網安全性研究［J］.微處理機，2009，30(3)：43-45.

［11］李宇，繆海燕．改進基于WEP協議的無線局域網的安全［J］．計算機應用，2007，27(6)：250-251．

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文