【摘要】無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)，因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點(diǎn)，使得安全性成為阻礙WLAN發(fā)展的最重要因素。

【關(guān)鍵詞】無線局域網(wǎng)；系統(tǒng)；安全

0.引言

隨著無線技術(shù)運(yùn)用的日益廣泛，無線網(wǎng)絡(luò)的安全問題越來越受到人們的關(guān)注。通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問，而數(shù)據(jù)加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收和理解。

本文通過分析無線局域網(wǎng)的主要安全需求，抗干擾，以及數(shù)據(jù)加密等幾個(gè)方面，對(duì)無線局域網(wǎng)的安全進(jìn)行設(shè)計(jì)

1.無線局域網(wǎng)主要安全需求

1.1無線網(wǎng)絡(luò)自身安全性

無線局域網(wǎng)絡(luò)在正常工作中，保證正常的無線網(wǎng)絡(luò)系統(tǒng)安全工作狀態(tài)是安全的前提。

無線網(wǎng)絡(luò)工作安全狀態(tài)是通過嚴(yán)謹(jǐn)?shù)碾姶怒h(huán)境分析、正確規(guī)劃與工程施工、先進(jìn)的高級(jí)安全加密和認(rèn)證手段支持、無線網(wǎng)絡(luò)系統(tǒng)配置參數(shù)科學(xué)設(shè)置、嚴(yán)格技術(shù)管理，堵塞安全漏洞來實(shí)現(xiàn)的。

1.2數(shù)據(jù)傳輸安全性

在無線局域網(wǎng)絡(luò)中，第一個(gè)環(huán)節(jié)是數(shù)據(jù)信息在自由空間的開放傳輸?shù)陌踩?，針?duì)這一環(huán)節(jié)采用數(shù)據(jù)加密方式可以提高信息的傳輸安全性。根據(jù)加密算法的不同，破解的難易程度不同，因此在設(shè)計(jì)實(shí)施無線局域網(wǎng)絡(luò)時(shí)，對(duì)加密算法的選定是根據(jù)不同角色不同安全要求確定。

1.3入網(wǎng)認(rèn)證安全性

第二個(gè)環(huán)節(jié)是移動(dòng)用戶接入無線局域網(wǎng)絡(luò)中的身份認(rèn)定，是否合法。合法允許進(jìn)入網(wǎng)絡(luò)，非法則拒絕。認(rèn)證的安全性包括認(rèn)證的流程和方法，不同認(rèn)證流程具有的安全程度不同。

對(duì)安全性要求高的需求，采用強(qiáng)力的認(rèn)證方法提高無線系統(tǒng)的認(rèn)證安全性。對(duì)安全性需求不高的需求，采用一般的認(rèn)證安全性。

1.4防范網(wǎng)絡(luò)非法攻擊

防止網(wǎng)絡(luò)非法攻擊主要是針對(duì)在無線方面的攻擊，攻擊分類為：竊聽、篡改、身份假冒、拒絕攻擊。

攻擊又分為無密鑰攻擊和有密鑰攻擊兩種：無密鑰攻擊主要有竊聽和中間人攻擊（篡改）。對(duì)密鑰攻擊主要有字典攻擊、算法攻擊、強(qiáng)力密鑰攻擊等攻擊手段。

1.5系統(tǒng)安全管理安全性

針對(duì)無線網(wǎng)絡(luò)用戶和操作管理人員的上網(wǎng)工作，規(guī)范其操作、運(yùn)行、維護(hù)與管理安全規(guī)章制度。加強(qiáng)所有操作人員的安全概念和安全內(nèi)意識(shí)。

2.無線局域網(wǎng)的抗干擾措施

許多干擾源會(huì)對(duì)WLAN的性能造成不利影響，例如：

無繩電話（2.4或5.xGHz）

藍(lán)牙個(gè)人區(qū)域聯(lián)網(wǎng)設(shè)備（2.4GHz）和藍(lán)牙無線設(shè)備

脈沖雷達(dá)（美國正在研究將 5.4GHz頻帶用于脈沖雷達(dá)）

微波爐（在2.4GHz頻帶中50%的忙閑度將產(chǎn)生脈沖干擾。）

低能量RF光源（2.4GHz）

采用包括蜂窩、藍(lán)牙與WLAN在內(nèi)的多種無線技術(shù)的集成設(shè)備、手持終端與PDA中假訊號(hào)RF噪聲滿足新興“全頻段”要求的寬頻帶 5GHz設(shè)備。

綜上所述，無線信道的干擾主要包括信道內(nèi)干擾和鄰信道干擾，為盡力減小信道干擾，本文采取了三個(gè)措施：

（1）限制無線網(wǎng)內(nèi)使用其它工作在WLAN頻道范圍內(nèi)的無線設(shè)備，如藍(lán)牙，私自架設(shè)無線接入點(diǎn)（以下簡(jiǎn)稱AP）等。

（2）在部署AP以前做好充分的現(xiàn)場(chǎng)測(cè)試，測(cè)試出滿足覆蓋全局的最小AP數(shù)，盡量減小相鄰AP間覆蓋范圍的重疊。部署好所有AP以后，使用艾爾麥無線測(cè)試儀對(duì)全網(wǎng)無線信號(hào)進(jìn)行測(cè)試，找出同一點(diǎn)統(tǒng)一信道存在多個(gè)AP信號(hào)的區(qū)域，在無線控制器上調(diào)整相應(yīng)AP的發(fā)射功率，縮小相應(yīng)AP的覆蓋范圍，減小干擾。

（3）充分利用集中式架構(gòu)中無線控制器的作用，讓其為所有AP動(dòng)態(tài)分配信道，避免相鄰AP使用同一信道，避免干擾。

3.數(shù)據(jù)加密機(jī)制的選擇

在無線局域網(wǎng)中安全包括認(rèn)證和數(shù)據(jù)加密，無線局域網(wǎng)的數(shù)據(jù)加密安全機(jī)制可采用WPA方式。

WPA安全機(jī)制：

WPA使用了一種稱為Temporal Key Integrity Protocol（TKIP）臨時(shí)密鑰完整性協(xié)議的加密策略來加強(qiáng)數(shù)據(jù)的私密性，TKIP仍采用與WEP同樣的RC4加密得法，但以不同的方式構(gòu)造密鑰。TKIP提供了對(duì)每個(gè)數(shù)據(jù)包密鑰進(jìn)行循環(huán)加密、消息完整性檢查、密鑰重生等新功能，這些功能完全克服了WEP中的缺點(diǎn)，使數(shù)據(jù)的保密性更好。

TKIP中密碼使用的密鑰長(zhǎng)度不是40位，而是128位，并且密鑰是由認(rèn)證服務(wù)器自動(dòng)生成和分發(fā)的。初始化向量（Initial Vector，IV）也由WEP的24比特增加到了48比特。這解決了WEP密鑰長(zhǎng)度過短的問題。

TKIP算法包括如下部分：

MIC（Message Integrity Code），即信息完整性代碼，又叫Michael。由發(fā)送端根據(jù)MSDU（MAC服務(wù)數(shù)據(jù)單元）的源地址，目標(biāo)地址和MSDU明文數(shù)據(jù)計(jì)算得出，并附加在分段存儲(chǔ)前的MPDU（MAC層協(xié)議數(shù)據(jù)單元）數(shù)據(jù)中。

Countermeasure，又稱為反攻擊策略，反攻擊策略工作方式如下，系統(tǒng)將出現(xiàn)錯(cuò)誤MIC的情況作為相關(guān)安全問題記錄并跟蹤。

TSC（TKIP Sequence Counter），即TKIP包序列計(jì)數(shù)器，用來記錄MPUD的傳送順序。TSC可以為WLAN提供一個(gè)簡(jiǎn)單的防重播機(jī)制。

Cryptographic mixing function，加密混合函數(shù)，TKIP使用兩次加密混合函數(shù)將臨時(shí)密鑰和TSC結(jié)合起來生成WEP種子密鑰（WEP seed）。加密混合函數(shù)是為了解決WEP中存在的弱密鑰攻擊。

TKIP加密過程是這樣的，TKIP從MSDU源地址，目標(biāo)地址和數(shù)據(jù)明文中計(jì)算出MIC，并添加到MSDU，然后TKIP對(duì)MSDU進(jìn)行分段，分成數(shù)個(gè)MPDU單元，TKIP給每個(gè)MPDU分配一個(gè)單調(diào)遞增的TSC。對(duì)于每個(gè)MPDU，TKIP使用密鑰混合函數(shù)計(jì)算生成WEP種子密鑰。最后TKIP把WEP種子密鑰和MPDU傳輸給WEP加密模塊，產(chǎn)生MPDU密文，完成加密操作。

4.其它安全措施

在AP設(shè)備上還要進(jìn)行一些安全設(shè)置，像以太網(wǎng)過濾、服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配。

4.1以太網(wǎng)MAC過濾

在AP上還可以選擇以太網(wǎng)MAC過濾作為附加的安全措施，并由此創(chuàng)建一個(gè)MAC地址列表，該列表可以通過無線接口與接入點(diǎn)相結(jié)合。當(dāng)啟用MAC地址列表時(shí)，接入點(diǎn)收到指令，只能轉(zhuǎn)發(fā)從已授權(quán)的無線設(shè)備接收到的數(shù)據(jù)包。通過無線接口從未被授權(quán)的設(shè)備—包括其他的接入點(diǎn)—接收到的數(shù)據(jù)包將會(huì)被丟棄。從以太網(wǎng)端口接收到的數(shù)據(jù)包被繼續(xù)轉(zhuǎn)發(fā)到已授權(quán)的MAC地址。

但是在使用以太網(wǎng)MAC過濾時(shí)會(huì)有一些問題，任何加到網(wǎng)絡(luò)中的無線設(shè)備必須獲得明確的許可，才能將其加入過濾列表中。在與其他安全措施同時(shí)使用時(shí)，由于在數(shù)據(jù)包轉(zhuǎn)發(fā)或丟棄時(shí)，需要對(duì)數(shù)據(jù)包報(bào)頭進(jìn)行檢查，因此信息的吞吐量受到影響。

4.2服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配

無線客戶端必需設(shè)置與無線訪問點(diǎn)AP相同的服務(wù)區(qū)標(biāo)識(shí)符（SSID），才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題?？梢酝ㄟ^設(shè)置隱藏接入點(diǎn)（AP）及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的。 [科]

【參考文獻(xiàn)】

［１］Mark Ciampa.王順滿等譯.無線周域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn).科學(xué)出版社，2003.

［２］牛偉，郭世澤，吳志軍等.無線局域網(wǎng).人民郵電出版社，2003.

［３］熊江.無線局域網(wǎng)絡(luò)安全性的研究.計(jì)算機(jī)科學(xué)，2003，7．