范磊磊（延安大學(xué)　西安創(chuàng)新學(xué)院，陜西　西安　710700）

?

淺析無線局域網(wǎng)通信安全機(jī)制

范磊磊
（延安大學(xué)西安創(chuàng)新學(xué)院，陜西西安710700）

摘要：網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展以及人們生活水平的提高，無限局域網(wǎng)通信技術(shù)也獲得了很大的發(fā)展，已經(jīng)成為工作辦公、生活休閑中很重要的網(wǎng)絡(luò)連接手段，利用無限局域網(wǎng)為人們帶來了極大的便利，但是隨之而來的是在無線局域網(wǎng)絡(luò)中隱藏的安全問題也越來越嚴(yán)重，而且在一些領(lǐng)域給用戶帶來負(fù)面的影響，所以對(duì)于無線局域網(wǎng)通信安全機(jī)制進(jìn)行探討具有重要意義.

關(guān)鍵詞：無線局域網(wǎng)；安全機(jī)制；WPA和WPA2

無線局域網(wǎng)以其比較復(fù)雜的內(nèi)部構(gòu)成和強(qiáng)大的網(wǎng)絡(luò)鏈接功能受到了廣泛應(yīng)用，通過分析WLAN通信中的雙向認(rèn)證機(jī)制以及TKIP、CCMP加密協(xié)議特點(diǎn)的基礎(chǔ)上，對(duì)WPA、WP2的安全性等內(nèi)容進(jìn)行了分析.

1　WLAN局域網(wǎng)安全需求分析

利用無線局域網(wǎng)進(jìn)行通訊鏈接就是為了使數(shù)據(jù)信息能夠及時(shí)、安全的運(yùn)輸?shù)绞褂谜叩闹鳈C(jī)中，而且這種信息只能由目標(biāo)用戶進(jìn)行讀取.從目前WLAN通信安全采取的機(jī)制來看主要表現(xiàn)在身份驗(yàn)證機(jī)制、數(shù)據(jù)加密機(jī)制、信息完整性認(rèn)證機(jī)制和密鑰管理機(jī)制等方面，下面將對(duì)這幾個(gè)安全機(jī)制進(jìn)行分析.

身份驗(yàn)證機(jī)制：這種安全機(jī)制的設(shè)置主要是為了防止沒有權(quán)限的使用者在無限網(wǎng)絡(luò)覆蓋的范圍內(nèi)使用網(wǎng)絡(luò).在使用身份驗(yàn)證機(jī)制進(jìn)行無限局域網(wǎng)安全的設(shè)置時(shí)，WLAN通信首先就是通過該機(jī)制對(duì)非法用戶直接進(jìn)行排除.具體來說這種安全機(jī)制對(duì)于實(shí)現(xiàn)無線用戶端和無線訪問點(diǎn)之間身份的相互鑒定具有重要作用，因?yàn)橹挥性陔p方都對(duì)身份進(jìn)行成功驗(yàn)證后，網(wǎng)絡(luò)使用者才能夠獲得網(wǎng)絡(luò)的使用權(quán)限.

數(shù)據(jù)加密機(jī)制：網(wǎng)絡(luò)信息數(shù)據(jù)經(jīng)過傳輸之后，要想只被合用戶進(jìn)行讀取和使用，那么除了一開始身份的驗(yàn)證外，還需要在數(shù)據(jù)傳輸?shù)倪^程中通過嚴(yán)密的加密算法對(duì)這些網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行處理，當(dāng)這些數(shù)據(jù)到達(dá)合法使用者的主機(jī)中時(shí)，再通過輸入對(duì)應(yīng)的解密密鑰對(duì)數(shù)據(jù)信息進(jìn)行讀取[1].使用數(shù)據(jù)加密機(jī)制的網(wǎng)絡(luò)數(shù)據(jù)信息，即使在傳輸?shù)倪^程中受到了不良攻擊者的截取，但是由于他們沒有對(duì)應(yīng)的解密密鑰，也只能獲得密文而得不到明文，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)安全的保障.

信息完整性驗(yàn)證機(jī)制：為了防止或者避免WLAN通信信息數(shù)據(jù)在傳輸過程丟失、篡改，需要對(duì)這些數(shù)據(jù)信息進(jìn)行完整性以及正確性的驗(yàn)證，通過完整性驗(yàn)證處理后的信息，能夠保障用戶在獲得這些信息的時(shí)候是完整的、真實(shí)的，從而提高無線局域網(wǎng)的安全性.

密鑰管理機(jī)制：網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行要進(jìn)行加密處理就必須用到密鑰安全機(jī)制，從WLAN通信安全機(jī)制的設(shè)置特點(diǎn)來看，在采用密鑰進(jìn)行安全性管理時(shí)，需要按照密鑰生成、分配、失效以及更新的環(huán)節(jié)進(jìn)行科學(xué)、合理的設(shè)計(jì)，防止出現(xiàn)密鑰重復(fù)使用的情況，同時(shí)也降低網(wǎng)絡(luò)管理的成本.

2　IEEE802.11i標(biāo)準(zhǔn)分析

從現(xiàn)階段IEEE802.11i機(jī)制建立的情況來看，其安全機(jī)制存在比較大的問題，根據(jù)該安全機(jī)制的功能特性可以對(duì)IEEE802.11i機(jī)制分為兩個(gè)層次，上層是802.1x協(xié)議以及可擴(kuò)展認(rèn)證協(xié)議，在這兩者協(xié)議之間對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行雙層認(rèn)證和密鑰管理；下層也包括2種加密協(xié)議：臨時(shí)密鑰完整性協(xié)議和計(jì)數(shù)器模式密碼快鏈消息完整碼協(xié)議，通過這兩種協(xié)議的合作實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的加密處理，IEEE802.11i安全機(jī)制中所包括的協(xié)議如下圖：

圖1　802.11i協(xié)議棧

802.1x協(xié)議：該協(xié)議通過對(duì)太網(wǎng)端口進(jìn)行訪問控制和認(rèn)證協(xié)議實(shí)現(xiàn)對(duì)非法用戶進(jìn)行限制，這種認(rèn)證體系主要包括客戶端、接入端口以及認(rèn)證服務(wù)器.其中由受控邏輯端口和非受控兩種邏輯端口組成交換機(jī)的接入端口，一般情況下非控制邏輯端口都是處于工作狀態(tài)，對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的傳輸進(jìn)行認(rèn)證，而受控關(guān)口只有在網(wǎng)絡(luò)信息數(shù)據(jù)通過認(rèn)證之后才會(huì)處于連通狀態(tài)，其余階段都是處于關(guān)閉的狀態(tài).首

先通過客戶端把使用者的信息發(fā)送到交換機(jī)接入口進(jìn)行認(rèn)證處理，再把處理后的信息傳送到服務(wù)器進(jìn)行再次認(rèn)證處理；然后由認(rèn)證服務(wù)器針對(duì)該信息生成的加密數(shù)據(jù)輸送給客戶端，最后再由客戶端通過加密子口令進(jìn)行加密處理后把最終的信息數(shù)據(jù)傳送給認(rèn)證服務(wù)器，在該過程中如果口令信息與認(rèn)證服務(wù)器加密后的口令相符，那么用戶可以對(duì)該網(wǎng)絡(luò)進(jìn)行使用，否則無法進(jìn)入網(wǎng)絡(luò)[2].

TKIP協(xié)議：WEP無限局域網(wǎng)安全性的設(shè)置存在一定的缺陷，針對(duì)其存在的安全隱患問題由TKIP協(xié)議進(jìn)行了改進(jìn)，通過采用與WEP無限局域網(wǎng)兼容的RC4加密算法，把安全密鑰的長度改進(jìn)到了128位的，具體而言TKIP協(xié)議主要從以下幾方面進(jìn)行改進(jìn)來提高無線局域網(wǎng)的安全性能.其一就是設(shè)計(jì)創(chuàng)建了489位長度的初始化向量IV，通過網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行排列序號(hào)的處理之后，使得接受信號(hào)方能夠便利的辨別出接收到的數(shù)據(jù)信息是否在該序列的范圍內(nèi)，從而決定是否進(jìn)行接受.其二就是以散列算法對(duì)密鑰進(jìn)行臨時(shí)生成處理，同時(shí)對(duì)這些新生成的密鑰進(jìn)行不定時(shí)的更新處理，從而避免無限局域網(wǎng)絡(luò)中密鑰重復(fù)使用問題的出現(xiàn)，大大地提高了無線局域網(wǎng)的安全性能.其三就是通過使用Michael算法，使得數(shù)據(jù)發(fā)送端能夠結(jié)合密鑰轉(zhuǎn)換為完整性的效驗(yàn)碼MIC同數(shù)據(jù)信息同時(shí)進(jìn)行傳輸，信息接收者通過接收到的網(wǎng)絡(luò)數(shù)據(jù)和密鑰計(jì)算出相應(yīng)的MIC值，如果計(jì)算出來的數(shù)值與后面受到的MIC值不相同，那么則有可能是網(wǎng)絡(luò)信息數(shù)據(jù)受到了篡改或者其他攻擊，那么就會(huì)啟動(dòng)保護(hù)機(jī)制.

CCPM協(xié)議：該協(xié)議是在AFS算法的基礎(chǔ)上發(fā)展起來的，首先利用CTP對(duì)數(shù)據(jù)進(jìn)行加密處理，基于CBC- MAC提供數(shù)據(jù)認(rèn)證和完整性服務(wù)之后，所采用的密文和MIC都要進(jìn)行128位密鑰的嚴(yán)格加密處理.然后再由CCPM對(duì)不同的網(wǎng)絡(luò)數(shù)據(jù)信息隨機(jī)產(chǎn)生臨時(shí)的唯一的密鑰，同時(shí)通過單增計(jì)數(shù)器生成序列號(hào)，該序列號(hào)都是48位的，主要用于對(duì)信息數(shù)據(jù)的鑒別處理，從而減少或者是避免對(duì)數(shù)據(jù)信息進(jìn)行重放攻擊，可以說在CCPM協(xié)議中的這種加密算法對(duì)于網(wǎng)絡(luò)信息數(shù)據(jù)安全性的保障具有很重要的作用，是提高無限局域網(wǎng)安全性能的硬性需求.

WPA和WPA2安全機(jī)制分析:WPA指的是802.1x認(rèn)證協(xié)議與TKIP加密協(xié)議進(jìn)行整合之后的一種無限局域網(wǎng)安全機(jī)制，WPA2指的是802.1x認(rèn)證協(xié)議與CCMP協(xié)議進(jìn)行整合之后的一種無限局域網(wǎng)安全機(jī)制.WPA中的TKIP主要是針對(duì)WEP協(xié)議中的加密安全工作的缺陷進(jìn)行處理和解決，當(dāng)原來的安全機(jī)制升級(jí)為WPA安全機(jī)制后，對(duì)于原來的AP等設(shè)備可以直接進(jìn)行升級(jí)處理，如對(duì)設(shè)備固件和驅(qū)動(dòng)程序進(jìn)行升級(jí).只是由于WPA安全機(jī)制中還有很多處理程序以及設(shè)備要求沒有802.1x認(rèn)證協(xié)議那么全面，所以WPA一般是作為向WPA2轉(zhuǎn)換的一個(gè)臨時(shí)標(biāo)準(zhǔn)，很多無限局域網(wǎng)使用者還是寄希望于可以實(shí)現(xiàn)對(duì)設(shè)備的直接升級(jí)轉(zhuǎn)化，所以現(xiàn)階段實(shí)際應(yīng)用中，對(duì)于WPA的使用還沒得到普遍的擴(kuò)展.另一方面，WPA2中的CCMP加密協(xié)議所需要的設(shè)備比較高，所以不能直接進(jìn)行升級(jí)處理，所以原來的無線局域網(wǎng)如果要升級(jí)為WPA2安全機(jī)制模式時(shí)，則必須準(zhǔn)備與CCMP配套使用的設(shè)備，而且需要對(duì)客戶端的網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)處理[3].從目前無限局域網(wǎng)安全性能的角度看來，通過對(duì)CCMP協(xié)議的加密算法進(jìn)行應(yīng)用發(fā)現(xiàn)，其嚴(yán)格的密鑰加密處理技術(shù)具有較高的安全保障作用，還不存在明顯的缺陷，所以可以說現(xiàn)階段利用WPA2對(duì)無限局域網(wǎng)進(jìn)行安全性能的保護(hù)是最理想的方式.

從上面的分析可以看出，IEEE802.11i機(jī)制中WPA和WPA2對(duì)于網(wǎng)絡(luò)信息安全的保護(hù)都有一定的作用，在實(shí)踐使用的過程中要根據(jù)具體使用的情況進(jìn)行安全技術(shù)的應(yīng)用，如下圖，具體操作方案如下：

針對(duì)公司內(nèi)部的無線局域網(wǎng)，因?yàn)槭褂谜叨际瞧髽I(yè)員工可信賴性比加強(qiáng)，所以直接使用WPA2安全機(jī)制即可.而如果是異地局域網(wǎng)的連接則就要使用虛擬網(wǎng)絡(luò)安全機(jī)制，從而網(wǎng)絡(luò)信息數(shù)據(jù)的安全、完整傳送，提高無線局域網(wǎng)的網(wǎng)絡(luò)鏈接價(jià)值.

3　結(jié)束語

無線局域網(wǎng)安全工作的設(shè)置和管理是一項(xiàng)長期復(fù)雜的過程，需要對(duì)各種無線安全機(jī)制的類型、操作流程、設(shè)備要求等內(nèi)容進(jìn)行認(rèn)識(shí)和了解，妥善處理好安全機(jī)制設(shè)備與信息傳送要求之間的關(guān)系，根據(jù)網(wǎng)絡(luò)實(shí)際的情況找到適宜的無線局域安全機(jī)制，從而提高無線局域網(wǎng)的安全應(yīng)用.

參考文獻(xiàn)：

〔1〕楊雪.淺析無線局域網(wǎng)絡(luò)中通信安全機(jī)制探討[J].網(wǎng)絡(luò)天地，2011.

〔2〕薛云鵬.淺析無線局域網(wǎng)絡(luò)中通信安全的探討[J].信息安全，2012.

〔3〕林烈清.無線局域網(wǎng)通信安全機(jī)制的研究[J]，實(shí)驗(yàn)室研究與探索，2012（8）.

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1673- 260X（2015）03- 0014- 02