劉振華

【摘要】 公共無(wú)線局域網(wǎng)已成為城市中應(yīng)用最廣泛的網(wǎng)絡(luò)接入方式之一，而目前公共無(wú)線網(wǎng)大都處于無(wú)保護(hù)狀態(tài)。本文分析了公共無(wú)線網(wǎng)絡(luò)使用特點(diǎn)，提出了適用于公共環(huán)境下的安全機(jī)制。該機(jī)制基于ECC非對(duì)稱加密技術(shù)，在用戶與接入點(diǎn)之間維護(hù)一個(gè)動(dòng)態(tài)密鑰，能夠很好的保障用戶信息安全。

【關(guān)鍵詞】 公共無(wú)線網(wǎng) 安全機(jī)制 動(dòng)態(tài)密鑰

一、前言

無(wú)線局域網(wǎng)（WLAN）以其方便、快捷、廉價(jià)、易部署等諸多優(yōu)勢(shì)而迅速發(fā)展，現(xiàn)已成為人們生活中不可缺少的基礎(chǔ)通信設(shè)施，幾乎所有機(jī)場(chǎng)、車站、商場(chǎng)、餐廳、學(xué)校等公共場(chǎng)所都提供了免費(fèi)無(wú)線網(wǎng)絡(luò)接入服務(wù)，便攜式計(jì)算機(jī)、智能手機(jī)等無(wú)線終端的普及標(biāo)志人類已進(jìn)入無(wú)線時(shí)代。由于無(wú)線傳輸?shù)拈_(kāi)放性，無(wú)線安全至關(guān)重要。越來(lái)越多的人習(xí)慣于隨時(shí)隨地登入購(gòu)物網(wǎng)站、社交網(wǎng)站、電子郵件、網(wǎng)上銀行，大量的個(gè)人隱私及敏感信息在公共無(wú)線網(wǎng)絡(luò)中傳輸，而公共網(wǎng)絡(luò)一般不具備可靠的安全機(jī)制，很容易被第三方竊聽(tīng)甚至入侵，給用戶造成巨大損失。

二、802.11安全機(jī)制

802.11協(xié)議提供了802.11i和802.11X安全機(jī)制，目前常用的主要有WPA/WPA2-Enterprise和WPA/WPA2-PSK兩種方式，WPA-Enterprise采用了RADIUS（Remote Authentication Dial In User Service）認(rèn)證，具有很高的安全性，主要用于企業(yè)網(wǎng)絡(luò)中。RADIUS服務(wù)器與用戶終端進(jìn)行雙向身份認(rèn)證，驗(yàn)證完成后，RADIUS與用戶確定一個(gè)動(dòng)態(tài)密鑰，并定期更新。這種方法安全性高，但需要架設(shè)一臺(tái)RADIUS服務(wù)器。WPS-PSK不需要專門(mén)的認(rèn)證服務(wù)器，采用預(yù)共享密鑰Pre-Shared Key技術(shù)，僅要求每個(gè)WLAN節(jié)點(diǎn)等預(yù)先輸入一個(gè)密鑰即可。AP和客戶端之間經(jīng)過(guò)4次握手，應(yīng)用PSK生成PTK作為校驗(yàn)密碼。

三、公共場(chǎng)所802.11安全機(jī)制應(yīng)用現(xiàn)狀

雖然WPA-Enterprise具有較高的安全性和足夠大的用戶容量，但是并不適用于公共無(wú)線局域網(wǎng)，主要原因有1）公共場(chǎng)所如商場(chǎng)、餐廳、車站、機(jī)場(chǎng)等出于對(duì)成本和維護(hù)復(fù)雜度的考慮，極少有架設(shè)RADIUS服務(wù)器；2）公共場(chǎng)所人流量大且不固定，無(wú)法要求每個(gè)用戶終端都預(yù)先存入認(rèn)證證書(shū)。因此，現(xiàn)有的公共場(chǎng)所一般采用WPA-PSK加密或是不加密，采用的WPA-PSK加密的公共場(chǎng)所密鑰必然是公開(kāi)的，以方便顧客使用。

不加密的WLAN，所有報(bào)文以明文形式傳輸，如果在這種環(huán)境下登陸電子郵件或輸入密碼帳號(hào)也以明文形式在無(wú)線空間傳播，不需要很復(fù)雜的技術(shù)就可以竊聽(tīng)到其中的敏感信息。只要在接收范圍以內(nèi)無(wú)線終端都能夠接收到，采用Libpcap 庫(kù)可以抓取報(bào)文，并應(yīng)用數(shù)據(jù)包過(guò)濾器BPF（Berk eley Packet Fliter）能夠得到指定用戶的所有通信內(nèi)容。采用WPA-PSK加密的公共無(wú)線局域網(wǎng)，用戶與接入點(diǎn)4次握手生成PTK校驗(yàn)密碼，這個(gè)過(guò)程共需要以下參數(shù)：預(yù)設(shè)密鑰PSK、接入點(diǎn)隨機(jī)數(shù)ANonce、用戶隨機(jī)數(shù)SNonce、用戶MAC、接入點(diǎn)MAC，根據(jù)802.11i協(xié)議，握手過(guò)程中以上參數(shù)都以明文形式傳輸，因此竊聽(tīng)者可以生成和用戶相同的PTK，在這種情況下，用戶消息等同于明文傳輸。沒(méi)有保護(hù)的無(wú)線網(wǎng)絡(luò)，竊聽(tīng)者除了可以竊聽(tīng)用戶隱私和敏感信息外，還可以偽造或篡改數(shù)據(jù)包進(jìn)行重放攻擊、欺騙攻擊，以竊取更多的敏感信息。

四、基于非對(duì)稱加密的公共無(wú)線局域網(wǎng)安全機(jī)制

根據(jù)以上分析公共無(wú)線網(wǎng)絡(luò)安全機(jī)制需要滿足以下幾點(diǎn)：（1）動(dòng)態(tài)密碼。雖然WPA/WPA2采用的AES加密和TKIP加密安全度很高，但仍有很多針對(duì)性的字典攻擊，因此報(bào)文加密密鑰必須周期性更新。（2）不同用戶之間密碼獨(dú)立。當(dāng)前公共無(wú)線網(wǎng)絡(luò)密碼大多是預(yù)共享密碼，這種方式與明文傳輸無(wú)本質(zhì)區(qū)別。（3）易于架設(shè)。公共網(wǎng)絡(luò)的架設(shè)方不是使用方，大多是商家免費(fèi)提供顧客使用，因此會(huì)嚴(yán)格限制投入的成本，僅保證基本的通信，過(guò)于復(fù)雜或代價(jià)較高的方案必然不會(huì)被采用。（4）后向兼容性。802.11網(wǎng)絡(luò)已經(jīng)普及，有大量設(shè)備正在運(yùn)行，新的安全機(jī)制要得以推廣，必須能夠兼容現(xiàn)有設(shè)備。

五、結(jié)論

本文分析了公共無(wú)線網(wǎng)絡(luò)存的安全問(wèn)題，提出兩種基于非對(duì)稱加密的簡(jiǎn)單握手機(jī)制，在用戶與接入點(diǎn)之間維護(hù)一個(gè)校驗(yàn)密鑰，該機(jī)制能夠通過(guò)軟件實(shí)現(xiàn)，容易部署且不增加硬件成本，與現(xiàn)有機(jī)制能夠很好兼容，可行性高。為用戶提供方便安全的接入服務(wù)。

參考文獻(xiàn)

[1]劉永磊，金志剛.wpa/wpa2-psk高速暴力硬解器設(shè)計(jì)和實(shí)現(xiàn).計(jì)算機(jī)工程？ 2011.05

[2]楊哲.無(wú)線網(wǎng)絡(luò)攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011：63-98

[3]劉永磊，唐國(guó)峰，李志圣.無(wú)線802.11蜜罐研究綜述.電子技術(shù)應(yīng)用2011年第4期