鄭欣

摘 要：本文通過對無線局域網(wǎng)以及WLAN所面臨的網(wǎng)絡(luò)威脅做了簡單的介紹，從IEEE802.11i協(xié)議標(biāo)準(zhǔn)和擴展無線信號頻譜以及服務(wù)集標(biāo)識符等方面著重闡述了無線局域網(wǎng)的網(wǎng)絡(luò)安全策略，進而為創(chuàng)建安全可靠的無線局域網(wǎng)奠定堅實的理論基礎(chǔ)。

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)攻擊；IEEE802.11i；802.1x用戶認(rèn)證；CCMP

1 概述

隨著社會經(jīng)濟的快速發(fā)展，人們的生活節(jié)奏變得越來越快，有線傳輸網(wǎng)絡(luò)已經(jīng)不能滿足人們的日益嚴(yán)峻的上網(wǎng)需求。由于計算機信息的共享技術(shù)以及無線網(wǎng)絡(luò)特有的開放性，在人們輕松使用無線網(wǎng)絡(luò)的同時，不斷增加的信息安全威脅也隨之而來，竊聽、身份假冒和信息篡改等對無線網(wǎng)絡(luò)的攻擊已經(jīng)嚴(yán)重阻礙了無線網(wǎng)絡(luò)大面積推廣和應(yīng)用，完善地解決無線網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題已經(jīng)顯得尤為嚴(yán)峻。

2 無線局域網(wǎng)以及面臨的威脅

無線局域網(wǎng)屬于開放式的物理系統(tǒng)，主要采用射頻技術(shù)對數(shù)據(jù)進行網(wǎng)絡(luò)傳輸，與有線局域網(wǎng)相比，其最大不同表現(xiàn)在數(shù)據(jù)傳輸?shù)拿浇?，所以無線局域網(wǎng)特有的安全威脅主要表現(xiàn)在物理層、鏈路層和網(wǎng)絡(luò)層，主要的破壞方式是破壞、攻擊或者干擾物理層通路，竊取數(shù)據(jù)鏈路層傳送數(shù)據(jù)，阻礙或者非法占用網(wǎng)絡(luò)層通路、攔截或者監(jiān)聽網(wǎng)絡(luò)信號。根據(jù)不同的破壞方式來對無線局域網(wǎng)的通信協(xié)議層進行惡意破壞或監(jiān)聽，從而引起不同的安全問題。

無線局域網(wǎng)的掃描攻擊，是非法用戶利用掃描儀獲取任何人都可接入的開放式AP，而后通過開放式AP來獲取互聯(lián)網(wǎng)使用權(quán)去非法攻擊第三方個人電腦或掌上移動設(shè)備；或者非法接入開放式AP加重其負(fù)載，導(dǎo)致合法用戶的服務(wù)和性能被嚴(yán)重限制，嚴(yán)重會導(dǎo)致網(wǎng)絡(luò)癱瘓。WEP攻擊是非法用戶利用抓包軟件獲取傳輸數(shù)據(jù)鏈，進而解密獲取用戶發(fā)送信息。MAC地址嗅探是從獲取的傳輸數(shù)據(jù)鏈中獲取發(fā)送數(shù)據(jù)用戶的MAC地址，通過編程偽裝成該用戶有效MAC地址進行地址欺騙和會話攔截。AP電子欺騙是通過設(shè)一個非授權(quán)的假冒AP，當(dāng)受欺騙用戶接入該AP時，盜取用戶接入口令，利用其權(quán)限進行非法操作。

3 無線局域網(wǎng)的網(wǎng)絡(luò)安全策略

⑴擴展無線通信頻譜和服務(wù)器標(biāo)識號。通過擴展無線網(wǎng)絡(luò)通信信號頻譜，或者采用跳頻技術(shù)，使得非法用戶難以捕捉到有用的數(shù)據(jù)。一般常用的擴展無線信號頻譜的方式有直接序列擴展頻譜，跳頻或跳時，線性調(diào)頻，通過這種方式是非法用戶無法得到固定監(jiān)聽頻率，從而很難得到監(jiān)聽信號。通過多個網(wǎng)絡(luò)橋接器設(shè)置不同的服務(wù)集標(biāo)識符（SSID），并且設(shè)置要求無線網(wǎng)卡出示正確的服務(wù)集標(biāo)識符才能訪問網(wǎng)絡(luò)橋接器。這樣就可以允許合法的群組用戶正常接入，并對網(wǎng)絡(luò)資源權(quán)限進行區(qū)別和限制，防止非法用戶接入AP，破壞正常的無線網(wǎng)絡(luò)服務(wù)。

⑵增加WLAN網(wǎng)絡(luò)安全機制。使用基于IEEE802.11i的標(biāo)準(zhǔn)來制定WLAN的網(wǎng)絡(luò)安全機制，來客服WEP本身漏洞給WLAN帶來的影響。802.11i協(xié)議標(biāo)準(zhǔn)包括使用802.1x的用戶認(rèn)證、動態(tài)密鑰管理、多種數(shù)據(jù)加密機制。

802.1x用戶認(rèn)證提供了比WEP更好的認(rèn)證和機密性，在發(fā)送的認(rèn)證數(shù)據(jù)包中包括了三個實體：請求者、認(rèn)證者和認(rèn)證服務(wù)器。IEEE802.1x用戶認(rèn)證過程其實是三個實體之間的互相認(rèn)證，通過認(rèn)證者轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)包，請求者和認(rèn)證服務(wù)器之間互相認(rèn)證并生成一個主會話密鑰MSK，隨后認(rèn)證服務(wù)器將MSK安全傳輸給認(rèn)證者，認(rèn)證者轉(zhuǎn)發(fā)給請求者，進而請求者和和認(rèn)證者利用MSK生成PMK，用于生成隨后臨時會話密鑰PTK，這個認(rèn)證過程結(jié)束。在請求者和認(rèn)證者中，PTK相互獨立，沒有互相通信，是PTK的保密得到良好的保證。802.11i協(xié)議常用的數(shù)據(jù)加密機制有TKIP和CCMP。其中TKIP是在WEP的基礎(chǔ)上改進的加密系統(tǒng)，其安全性能更高。TKIP在WEP的基礎(chǔ)上擴展了加密幀格式，增加了EIV和MIV域，可以使用MIC進行報文完整性校驗，防止重放攻擊。

TKIP只是對WEP算法的缺陷做了相應(yīng)的彌補，屬于一個過渡性算法，CCMP是較于TKIP更高級的數(shù)據(jù)加密機制。CCMP為無線局域網(wǎng)絡(luò)提供了加密、認(rèn)證、完整性和重放保護等機制，擴展了原來MPDU的容量，來處理一個128比特的密鑰和一個128比特的數(shù)據(jù)快。CCMP處理用16B，擴展了原來MPDU的容量，其中8B為CCMP幀頭，8B為MIC校驗碼。CCMP幀頭由PN、ExtIV（擴展初始向量）和Key ID域組成。PN是一個48bit的數(shù)字，是一個6B的數(shù)組。ExtIV域表示CCMP擴展了幀頭8B，如果使用CCMP加密，則ExtIV的值總為1。

CCMP基于AES加密算法，將CTR加密算法和驗證信息完整性運算的CBC-MAC算法結(jié)合在一起共同對無線局域網(wǎng)傳輸數(shù)據(jù)進行加密。當(dāng)數(shù)據(jù)信息通過無線信號發(fā)送時，CCMP會從MPDU報文頭中提出AAD和Nonce兩部分，以Nonce+AAD的方式得到MIC。然后將MIC加到數(shù)據(jù)域中，和數(shù)據(jù)域原文組成了MIC+數(shù)據(jù)域原文的序列。然后以16字節(jié)為單位，將該序列分為若干個16字節(jié)數(shù)據(jù)塊（最后剩余字符可以不是16字節(jié)的數(shù)據(jù)塊），一般的，第一個16字節(jié)數(shù)據(jù)塊是由Nonce組成的MIC IV，第二、三個數(shù)據(jù)塊是由AAD組成的MIC HEADER1和2，從第四個數(shù)據(jù)庫開始為數(shù)據(jù)域原文。此后開始用AES加密算法對MIC和數(shù)據(jù)域原文進行數(shù)據(jù)加密，而對原明文MPDU的MAC Header與生成的8字節(jié)CCMP Header組成加密幀的驗證部分，最后和AES加密的MIC和數(shù)據(jù)域原文加上FCS校驗生成加密幀，從完成CCMP數(shù)據(jù)加密過程。CCMP對幀頭的配置以及加密過程更加確保了無線傳輸數(shù)據(jù)的真實性和安全性，使得CCMP具有很高的安全性，已經(jīng)逐漸成為無線局域網(wǎng)產(chǎn)品中主流的數(shù)據(jù)加密機制。

我們在搭建WLAN的時候，要從各個方面入手來提高無線局域網(wǎng)的安全性能，創(chuàng)建一個安全可靠的無線網(wǎng)絡(luò)環(huán)境，為合法用戶提供一個穩(wěn)定舒適的上網(wǎng)環(huán)境。

[參考文獻]

[1]王磊，梁華慶.淺談無線局域網(wǎng)安全技術(shù)的發(fā)展[J].微型機與應(yīng)用. 2011（06）.

[2]陳曉華.校園無線局域網(wǎng)的安全策略研究[J].電腦編程技巧與維護. 2010（22）.