淺析無線局域網的網絡安全

鄭欣

摘 要：本文通過對無線局域網以及WLAN所面臨的網絡威脅做了簡單的介紹，從IEEE802.11i協議標準和擴展無線信號頻譜以及服務集標識符等方面著重闡述了無線局域網的網絡安全策略，進而為創建安全可靠的無線局域網奠定堅實的理論基礎。

關鍵詞：無線局域網；網絡攻擊；IEEE802.11i；802.1x用戶認證；CCMP

1 概述

隨著社會經濟的快速發展，人們的生活節奏變得越來越快，有線傳輸網絡已經不能滿足人們的日益嚴峻的上網需求。由于計算機信息的共享技術以及無線網絡特有的開放性，在人們輕松使用無線網絡的同時，不斷增加的信息安全威脅也隨之而來，竊聽、身份假冒和信息篡改等對無線網絡的攻擊已經嚴重阻礙了無線網絡大面積推廣和應用，完善地解決無線網絡的網絡安全問題已經顯得尤為嚴峻。

2 無線局域網以及面臨的威脅

無線局域網屬于開放式的物理系統，主要采用射頻技術對數據進行網絡傳輸，與有線局域網相比，其最大不同表現在數據傳輸的媒介，所以無線局域網特有的安全威脅主要表現在物理層、鏈路層和網絡層，主要的破壞方式是破壞、攻擊或者干擾物理層通路，竊取數據鏈路層傳送數據，阻礙或者非法占用網絡層通路、攔截或者監聽網絡信號。根據不同的破壞方式來對無線局域網的通信協議層進行惡意破壞或監聽，從而引起不同的安全問題。

無線局域網的掃描攻擊，是非法用戶利用掃描儀獲取任何人都可接入的開放式AP，而后通過開放式AP來獲取互聯網使用權去非法攻擊第三方個人電腦或掌上移動設備；或者非法接入開放式AP加重其負載，導致合法用戶的服務和性能被嚴重限制，嚴重會導致網絡癱瘓。WEP攻擊是非法用戶利用抓包軟件獲取傳輸數據鏈，進而解密獲取用戶發送信息。MAC地址嗅探是從獲取的傳輸數據鏈中獲取發送數據用戶的MAC地址，通過編程偽裝成該用戶有效MAC地址進行地址欺騙和會話攔截。AP電子欺騙是通過設一個非授權的假冒AP，當受欺騙用戶接入該AP時，盜取用戶接入口令，利用其權限進行非法操作。

3 無線局域網的網絡安全策略

⑴擴展無線通信頻譜和服務器標識號。通過擴展無線網絡通信信號頻譜，或者采用跳頻技術，使得非法用戶難以捕捉到有用的數據。一般常用的擴展無線信號頻譜的方式有直接序列擴展頻譜，跳頻或跳時，線性調頻，通過這種方式是非法用戶無法得到固定監聽頻率，從而很難得到監聽信號。通過多個網絡橋接器設置不同的服務集標識符（SSID），并且設置要求無線網卡出示正確的服務集標識符才能訪問網絡橋接器。這樣就可以允許合法的群組用戶正常接入，并對網絡資源權限進行區別和限制，防止非法用戶接入AP，破壞正常的無線網絡服務。

⑵增加WLAN網絡安全機制。使用基于IEEE802.11i的標準來制定WLAN的網絡安全機制，來客服WEP本身漏洞給WLAN帶來的影響。802.11i協議標準包括使用802.1x的用戶認證、動態密鑰管理、多種數據加密機制。

802.1x用戶認證提供了比WEP更好的認證和機密性，在發送的認證數據包中包括了三個實體：請求者、認證者和認證服務器。IEEE802.1x用戶認證過程其實是三個實體之間的互相認證，通過認證者轉發認證數據包，請求者和認證服務器之間互相認證并生成一個主會話密鑰MSK，隨后認證服務器將MSK安全傳輸給認證者，認證者轉發給請求者，進而請求者和和認證者利用MSK生成PMK，用于生成隨后臨時會話密鑰PTK，這個認證過程結束。在請求者和認證者中，PTK相互獨立，沒有互相通信，是PTK的保密得到良好的保證。802.11i協議常用的數據加密機制有TKIP和CCMP。其中TKIP是在WEP的基礎上改進的加密系統，其安全性能更高。TKIP在WEP的基礎上擴展了加密幀格式，增加了EIV和MIV域，可以使用MIC進行報文完整性校驗，防止重放攻擊。

TKIP只是對WEP算法的缺陷做了相應的彌補，屬于一個過渡性算法，CCMP是較于TKIP更高級的數據加密機制。CCMP為無線局域網絡提供了加密、認證、完整性和重放保護等機制，擴展了原來MPDU的容量，來處理一個128比特的密鑰和一個128比特的數據快。CCMP處理用16B，擴展了原來MPDU的容量，其中8B為CCMP幀頭，8B為MIC校驗碼。CCMP幀頭由PN、ExtIV（擴展初始向量）和Key ID域組成。PN是一個48bit的數字，是一個6B的數組。ExtIV域表示CCMP擴展了幀頭8B，如果使用CCMP加密，則ExtIV的值總為1。

CCMP基于AES加密算法，將CTR加密算法和驗證信息完整性運算的CBC-MAC算法結合在一起共同對無線局域網傳輸數據進行加密。當數據信息通過無線信號發送時，CCMP會從MPDU報文頭中提出AAD和Nonce兩部分，以Nonce+AAD的方式得到MIC。然后將MIC加到數據域中，和數據域原文組成了MIC+數據域原文的序列。然后以16字節為單位，將該序列分為若干個16字節數據塊（最后剩余字符可以不是16字節的數據塊），一般的，第一個16字節數據塊是由Nonce組成的MIC IV，第二、三個數據塊是由AAD組成的MIC HEADER1和2，從第四個數據庫開始為數據域原文。此后開始用AES加密算法對MIC和數據域原文進行數據加密，而對原明文MPDU的MAC Header與生成的8字節CCMP Header組成加密幀的驗證部分，最后和AES加密的MIC和數據域原文加上FCS校驗生成加密幀，從完成CCMP數據加密過程。CCMP對幀頭的配置以及加密過程更加確保了無線傳輸數據的真實性和安全性，使得CCMP具有很高的安全性，已經逐漸成為無線局域網產品中主流的數據加密機制。

我們在搭建WLAN的時候，要從各個方面入手來提高無線局域網的安全性能，創建一個安全可靠的無線網絡環境，為合法用戶提供一個穩定舒適的上網環境。

[參考文獻]

[1]王磊，梁華慶.淺談無線局域網安全技術的發展[J].微型機與應用. 2011（06）.

[2]陳曉華.校園無線局域網的安全策略研究[J].電腦編程技巧與維護. 2010（22）.