無線局域網絡系統安全設計

【摘要】無線局域網（WLAN）具有安裝便捷、使用靈活、易于擴展等有線網絡無法比擬的優點，因此無線局域網得到越來越廣泛的使用。但是由于無線局域網信道開放的特點，使得安全性成為阻礙WLAN發展的最重要因素。

【關鍵詞】無線局域網；系統；安全

0.引言

隨著無線技術運用的日益廣泛，無線網絡的安全問題越來越受到人們的關注。通常網絡的安全性主要體現在訪問控制和數據加密兩個方面。訪問控制保證敏感數據只能由授權用戶進行訪問，而數據加密則保證發射的數據只能被所期望的用戶所接收和理解。

本文通過分析無線局域網的主要安全需求，抗干擾，以及數據加密等幾個方面，對無線局域網的安全進行設計

1.無線局域網主要安全需求

1.1無線網絡自身安全性

無線局域網絡在正常工作中，保證正常的無線網絡系統安全工作狀態是安全的前提。

無線網絡工作安全狀態是通過嚴謹的電磁環境分析、正確規劃與工程施工、先進的高級安全加密和認證手段支持、無線網絡系統配置參數科學設置、嚴格技術管理，堵塞安全漏洞來實現的。

1.2數據傳輸安全性

在無線局域網絡中，第一個環節是數據信息在自由空間的開放傳輸的安全性，針對這一環節采用數據加密方式可以提高信息的傳輸安全性。根據加密算法的不同，破解的難易程度不同，因此在設計實施無線局域網絡時，對加密算法的選定是根據不同角色不同安全要求確定。

1.3入網認證安全性

第二個環節是移動用戶接入無線局域網絡中的身份認定，是否合法。合法允許進入網絡，非法則拒絕。認證的安全性包括認證的流程和方法，不同認證流程具有的安全程度不同。

對安全性要求高的需求，采用強力的認證方法提高無線系統的認證安全性。對安全性需求不高的需求，采用一般的認證安全性。

1.4防范網絡非法攻擊

防止網絡非法攻擊主要是針對在無線方面的攻擊，攻擊分類為：竊聽、篡改、身份假冒、拒絕攻擊。

攻擊又分為無密鑰攻擊和有密鑰攻擊兩種：無密鑰攻擊主要有竊聽和中間人攻擊（篡改）。對密鑰攻擊主要有字典攻擊、算法攻擊、強力密鑰攻擊等攻擊手段。

1.5系統安全管理安全性

針對無線網絡用戶和操作管理人員的上網工作，規范其操作、運行、維護與管理安全規章制度。加強所有操作人員的安全概念和安全內意識。

2.無線局域網的抗干擾措施

許多干擾源會對WLAN的性能造成不利影響，例如：

無繩電話（2.4或5.xGHz）

藍牙個人區域聯網設備（2.4GHz）和藍牙無線設備

脈沖雷達（美國正在研究將 5.4GHz頻帶用于脈沖雷達）

微波爐（在2.4GHz頻帶中50%的忙閑度將產生脈沖干擾。）

低能量RF光源（2.4GHz）

采用包括蜂窩、藍牙與WLAN在內的多種無線技術的集成設備、手持終端與PDA中假訊號RF噪聲滿足新興“全頻段”要求的寬頻帶 5GHz設備。

綜上所述，無線信道的干擾主要包括信道內干擾和鄰信道干擾，為盡力減小信道干擾，本文采取了三個措施：

（1）限制無線網內使用其它工作在WLAN頻道范圍內的無線設備，如藍牙，私自架設無線接入點（以下簡稱AP）等。

（2）在部署AP以前做好充分的現場測試，測試出滿足覆蓋全局的最小AP數，盡量減小相鄰AP間覆蓋范圍的重疊。部署好所有AP以后，使用艾爾麥無線測試儀對全網無線信號進行測試，找出同一點統一信道存在多個AP信號的區域，在無線控制器上調整相應AP的發射功率，縮小相應AP的覆蓋范圍，減小干擾。

（3）充分利用集中式架構中無線控制器的作用，讓其為所有AP動態分配信道，避免相鄰AP使用同一信道，避免干擾。

3.數據加密機制的選擇

在無線局域網中安全包括認證和數據加密，無線局域網的數據加密安全機制可采用WPA方式。

WPA安全機制：

WPA使用了一種稱為Temporal Key Integrity Protocol（TKIP）臨時密鑰完整性協議的加密策略來加強數據的私密性，TKIP仍采用與WEP同樣的RC4加密得法，但以不同的方式構造密鑰。TKIP提供了對每個數據包密鑰進行循環加密、消息完整性檢查、密鑰重生等新功能，這些功能完全克服了WEP中的缺點，使數據的保密性更好。

TKIP中密碼使用的密鑰長度不是40位，而是128位，并且密鑰是由認證服務器自動生成和分發的。初始化向量（Initial Vector，IV）也由WEP的24比特增加到了48比特。這解決了WEP密鑰長度過短的問題。

TKIP算法包括如下部分：

MIC（Message Integrity Code），即信息完整性代碼，又叫Michael。由發送端根據MSDU（MAC服務數據單元）的源地址，目標地址和MSDU明文數據計算得出，并附加在分段存儲前的MPDU（MAC層協議數據單元）數據中。

Countermeasure，又稱為反攻擊策略，反攻擊策略工作方式如下，系統將出現錯誤MIC的情況作為相關安全問題記錄并跟蹤。

TSC（TKIP Sequence Counter），即TKIP包序列計數器，用來記錄MPUD的傳送順序。TSC可以為WLAN提供一個簡單的防重播機制。

Cryptographic mixing function，加密混合函數，TKIP使用兩次加密混合函數將臨時密鑰和TSC結合起來生成WEP種子密鑰（WEP seed）。加密混合函數是為了解決WEP中存在的弱密鑰攻擊。

TKIP加密過程是這樣的，TKIP從MSDU源地址，目標地址和數據明文中計算出MIC，并添加到MSDU，然后TKIP對MSDU進行分段，分成數個MPDU單元，TKIP給每個MPDU分配一個單調遞增的TSC。對于每個MPDU，TKIP使用密鑰混合函數計算生成WEP種子密鑰。最后TKIP把WEP種子密鑰和MPDU傳輸給WEP加密模塊，產生MPDU密文，完成加密操作。

4.其它安全措施

在AP設備上還要進行一些安全設置，像以太網過濾、服務區標識符（SSID）匹配。

4.1以太網MAC過濾

在AP上還可以選擇以太網MAC過濾作為附加的安全措施，并由此創建一個MAC地址列表，該列表可以通過無線接口與接入點相結合。當啟用MAC地址列表時，接入點收到指令，只能轉發從已授權的無線設備接收到的數據包。通過無線接口從未被授權的設備—包括其他的接入點—接收到的數據包將會被丟棄。從以太網端口接收到的數據包被繼續轉發到已授權的MAC地址。

但是在使用以太網MAC過濾時會有一些問題，任何加到網絡中的無線設備必須獲得明確的許可，才能將其加入過濾列表中。在與其他安全措施同時使用時，由于在數據包轉發或丟棄時，需要對數據包報頭進行檢查，因此信息的吞吐量受到影響。

4.2服務區標識符（SSID）匹配

無線客戶端必需設置與無線訪問點AP相同的服務區標識符（SSID），才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設置隱藏接入點（AP）及SSID區域的劃分和權限控制來達到保密的目的。 [科]

【參考文獻】

［１］Mark Ciampa.王順滿等譯.無線周域網設計與實現.科學出版社，2003.

［２］牛偉，郭世澤，吳志軍等.無線局域網.人民郵電出版社，2003.

［３］熊江.無線局域網絡安全性的研究.計算機科學，2003，7．