李建強+白新泉

摘 要：隨著無線網(wǎng)絡技術(shù)的不斷發(fā)展及廣泛應用，無線局域網(wǎng)安全問題越來越突出。通過對比分析不同發(fā)展階段的無線網(wǎng)絡安全認證方式、無線局域網(wǎng)數(shù)據(jù)加密機制，針對無線局域網(wǎng)存在的安全問題，提出了相應的無線安全解決措施，能夠為無線局域網(wǎng)安全防范提供借鑒。

關鍵詞：無線網(wǎng)絡；網(wǎng)絡安全；無線協(xié)議；防范措施

中圖分類號：TN925+.93 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.06.038

1 安全概述

狹義的“無線網(wǎng)絡”，即基于802.11/b/g/n標準的無線網(wǎng)絡，由于其具有可移動性、安裝簡單、高靈活性和高擴展性，作為傳統(tǒng)有限網(wǎng)絡的延伸，在許多領域得到了廣泛應用。由于無線局域網(wǎng)以電磁波作為主要傳輸介質(zhì)，設備之間可以相互接收數(shù)據(jù)，如果無線局域網(wǎng)不采用適當?shù)逆溄诱J證、數(shù)據(jù)加密機制，數(shù)據(jù)傳輸?shù)娘L險就會加大。當然，無線網(wǎng)絡發(fā)展起初，安全便是無線局域網(wǎng)系統(tǒng)的重要組成部分，客戶端接入無線網(wǎng)絡的過程為掃描、認證、關聯(lián)、連接成功。無線網(wǎng)絡安全性保證，需要從認證和加密2個安全機制來分析。認證機制用來對客戶端無線接入身份進行驗證，授權(quán)以后才可以使用網(wǎng)絡資源；加密機制用來對無線局域網(wǎng)的數(shù)據(jù)傳輸進行加密，以保證無線網(wǎng)絡數(shù)據(jù)的通信安全。

2 鏈路認證機制分析

客戶端（STA）獲得足夠的權(quán)限并擁有正確的密鑰以后才能進行安全的、完整的、受保護的通信。鏈路認證即身份驗證機制，認證通過即授權(quán)以后才能訪問網(wǎng)絡資源。無線局域網(wǎng)中，客戶端同無線接入端進行802.11關聯(lián)，首先必須進行接入認證。身份驗證是客戶端連接到無線網(wǎng)絡的起點，任何一個STA試圖連接網(wǎng)絡之前，都必須進行802.11的身份驗證進行身份確認。802.11標準定義了2種鏈路層的認證，即開放系統(tǒng)身份認證和共享密鑰身份認證。

開放系統(tǒng)身份認證不需要確認客戶端任何信息，和AP沒有交互身份信息，可以認為是空加密，目的是使雙方都認為應該在后面使用更安全的加密方式。也可以認為，先關聯(lián)后核對身份信息。如果認證類型設置為開放系統(tǒng)認證，則STA發(fā)送的第一個Authentication報文只要是開放系統(tǒng)就通過認證，接著就順利完成關聯(lián)。

共享密鑰身份認證是一種增強無線網(wǎng)絡安全性的認證機制，其在WEP機制中得到應用。這種認證的前提是STA和AP都有配置靜態(tài)的WEP密鑰，認證的目的就是確認兩者使用的密鑰是否一致。共享密鑰認證是通過4個認證幀的交互來完成的，STA首先發(fā)送一個認證報文（Authentication報文）給AP，然后AP會給STA回復一個挑戰(zhàn)明文（Challenge包），接著STA使用密鑰對這個明文進行加密并發(fā)送給AP，最后AP對其解密。如果解密成功且明文與最初給STA的字符串一致，則表示認證成功并回復，接著為STA打開邏輯端口，便可以使用無線接入點服務，否則不允許用戶連接網(wǎng)絡。目前常用的鏈路認證有PSK接入認證、EAP拓展認證。

預共享密鑰PSK是802.11i中定義的一種身份驗證方式，以預共享密鑰的方式對無線用戶接入進行控制，并能動態(tài)產(chǎn)生密鑰，以保證無線局域網(wǎng)用戶的數(shù)據(jù)安全。該認證方式要求無線客戶端和接入端配置相同的預共享密鑰。如果密鑰相同，則PSK接入認證成功，否則認證失敗，一般應用于家庭或小型網(wǎng)絡公司。

EAP拓展認證協(xié)議主要運行于數(shù)據(jù)鏈路層，比如PPP、有臺認證服務器來處理。這種架構(gòu)拓展了EAP的適用范圍。AAA（認證、授權(quán)、計費）認證是基于EAP協(xié)議，屬于BAS的一種具體形式，包括常用的RADIUS服務器等。如果沒有后臺驗證服務器，EAP服務器功能就在驗證請求實體中，無線網(wǎng)絡一般是AP。

3 無線加密方式對比

無線網(wǎng)絡加密主要是對數(shù)據(jù)鏈路層（包含媒介訪問控制、邏輯鏈路控制部分）進行加密，目前無線局域網(wǎng)涉及到的加密算法有有線等效加密（WEP）、暫時密鑰集成協(xié)議（TKIP）和高級加密標準AES-CCMP。

3.1 有線等效加密

有線等效加密是目前802.11無線加密的基礎，是無線網(wǎng)絡基礎安全加密機制。其通過共享密鑰來實現(xiàn)認證，認證機制簡單，并且是單向認證，沒有密鑰管理、更新及分發(fā)機制。完全手工配置并不方便，所以用戶往往不更改。802.11定義了2個WEP版本，WEP-40和WEP-104，分別支持64，128位加密，含24位初始化向量IV，因此無線設備上配置的共享密鑰為40或104位，其還包括一個數(shù)據(jù)校驗機制ICV，用來保護信息傳輸不被篡改。隨著技術(shù)的不斷發(fā)展，發(fā)現(xiàn)WEP存在許多密碼學缺陷，基礎缺陷是RC4加密算法以及短IV向量。另外，還發(fā)現(xiàn)其容易受到重傳攻擊。ICV也有弱點。雖然WEP協(xié)議通過高位WEP和動態(tài)WEP方式改進，但是有實驗證明高位WEP雖然密碼復雜程度高，但核心算法RC4已經(jīng)公開，破解花費時間不是很長，根本無法保證數(shù)據(jù)的機密性、完整性和用戶身份認證。動態(tài)WEP，指定期動態(tài)更新密鑰，但由于是私有方案而非標準，無法從根本上解決WEP存在的問題。

3.2 暫時密鑰集成協(xié)議

暫時密鑰集成協(xié)議是針對WEP加密算法漏洞而制定的一種臨時解決方案，其核心是對WEP加密算法的改進。與WEP不同的是，TKIP針對不同客戶端周期性動態(tài)產(chǎn)生新的密鑰，避免密鑰被盜用。并且TKIP密鑰長度為128位，初始化向量IV增加為48位，降低了密鑰沖突，提高了加密安全性。同時數(shù)據(jù)包增加信息完整碼MIC（Message Integrity Code）校驗，可防止偽裝、分片、重放攻擊功能等黑客攻擊行為，為無線安全提供了強有力的保證。另外，如果使用TKIP加密，只要支持WEP加密就不需要進行硬件升級。

3.3 高級加密標準AES-CCMP

基于計數(shù)器模式CBC-MAC協(xié)議的AES安全加密技術(shù)（AES-CCMP），是目前為止最高級的無線安全協(xié)議，加密使用128位AES算法（一種對稱迭代數(shù)據(jù)加密技術(shù)）實現(xiàn)數(shù)據(jù)保密，使用CBC-MAC來保證數(shù)據(jù)的完整性和安全性。另外，通過數(shù)據(jù)包增加PN（Packet Number）字段，使其具有防止回放、注入攻擊的功能。這樣就可提供全部4種安全服務，即認證、數(shù)據(jù)保密性、完整性和重發(fā)保護。AES加密算法是密碼學中的高級加密標準，采用對稱的區(qū)塊加密技術(shù)，比WEP與TKIP加密核心算法RC4具有更高的加密性能，不僅安全性能更高，而且其采用最新技術(shù)，在無線網(wǎng)絡傳輸速率上也要比TKIP快，快于TKIP及WEP的54 Mbps的最大網(wǎng)絡傳輸速度。

4 WPA/WPA2安全分析

Wi-Fi網(wǎng)絡安全存取技術(shù)（WPA）是在802.11i草案基礎上制定的無線局域網(wǎng)安全技術(shù)系統(tǒng)，因WEP有嚴重的缺陷，WPA的目的就是替代傳統(tǒng)的WEP加密認證。WPA主要使用TKIP加密算法，其核心加密算法還是RC4，不過其密鑰與網(wǎng)絡上設備MAC地址、初始化向量合并。這樣每個節(jié)點都使用不同的密鑰加密。WPA使用Michael算法取代WEP加密的CRC均支持。這樣，WPA既可以通過外部Radius服務進行認證，也可以在網(wǎng)絡中使用Radius協(xié)議自動更改分配密鑰。WPA的核心內(nèi)容是IEEE 802.1x認證和TKIP加密。WPA含2個版本，即針對家庭及個人的WPA-PSK和針對企業(yè)的WPA-Enterprise。

WPA2（無線保護接入V2）是經(jīng)由Wi-Fi聯(lián)盟驗證過的IEEE 802.11i標準的認證形式，即強健安全網(wǎng)絡，它的出現(xiàn)并不是為了解決WPA的局限性。它支持AES高級加密算法，使用CCM（Counter-Mode/CBC-MAC）認證方式。這比TKIP更加強大和健壯，更進一步加強了無線局域網(wǎng)的安全和對用戶信息的保護。最初，其與WPA的核心區(qū)別是定義了具有更高安全性的加密標準，不過現(xiàn)在兩者都已經(jīng)支持AES加密。同樣，WPA2允許使用基于具有IEEE802.X功能的RADIUS服務器和預共享密鑰（PSK）的驗證模式。一般RADIUS服務器驗證模式適用于企業(yè)，預共享密鑰適用于個人驗證。不過專業(yè)技術(shù)人員WPA/WPA2的4次握手過程仍然存在字典攻擊的可能。近來，隨著對無線安全的深入了解，黑客通過字典及PIN碼破解就能攻破WPA2加密。

5 無線網(wǎng)絡安全防范措施

目前，大多數(shù)企事業(yè)單位及個人家庭Wi-Fi產(chǎn)品都支持WPA2，WPA2已經(jīng)成為一種無線設備強制性標準。WPA2基本上可以滿足部分企業(yè)和政府機構(gòu)等需要導入AES的用戶需求。具體來說，用戶可以采取以下一些措施來降低無線網(wǎng)絡的安全風險：①定期維護加密密碼，不要使用默認用戶名，組合使用字母、數(shù)字、特殊字符來設置密碼，并要定期變更密碼。②定期修改SSID或隱蔽SSID。選取AP的SSID時，不要使用公司或部門名稱、接入點默認名稱及測試用SSID，并定期更改無線路由器的SSID號。另建議用戶關閉無線路由器的SSID廣播功能。③必要時，關閉無線路由器的DHCP服務。DHCP服務會暴露用戶網(wǎng)絡的一些信息，無線客戶端可以獲得IP地址、子網(wǎng)掩碼、網(wǎng)關等信息。這樣，入侵者很輕易就可以使用無線路由器的資源，成為一個有隱患的漏洞。④充分利用路由器的安全功能，通過路由器提供安全設置功能對IP地址進行過濾、MAC地址綁定等，限制非法用戶接入。⑤選擇最新加密設置。目前大多數(shù)無線客戶端、路由器及AP都已經(jīng)全面支持WPA協(xié)議，WEP在當今基本失去安全意義，可以選擇WPA/WPA2和WPA-PSK/WPA2-PSK這幾種模式，同時建議采用AES加密算法。⑥采用802.1x身份驗證。該認證用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。基于PPP協(xié)議定義的EAP擴展認證協(xié)議，可以采用MD5、公共密鑰等更多認證機制，從而提供更高級別的安全。802.1x的客戶端認證請求可以獨立搭建Radius服務器進行認證，目前已經(jīng)成為大中型企業(yè)、高校等無線網(wǎng)絡強化的首選。

6 結(jié)束語

無線局域網(wǎng)使用簡單、操作安裝方便，移動靈活性強，但同時面臨著復雜的無線安全問題。網(wǎng)絡技術(shù)管理人員應關注網(wǎng)絡安全技術(shù)，提高安全防范意識，切不可對無線網(wǎng)絡安全掉以輕心，同時采取合理的網(wǎng)絡安全措施規(guī)避無線網(wǎng)絡安全風險。

參考文獻

［1］Joshua Wright.黑客大曝光：無線網(wǎng)絡安全［M］.李瑞民，馮全紅，沈鑫，譯.北京：機械工業(yè)出版社，2011.

［2］楊哲，ZerOne無線安全團隊.無線網(wǎng)絡黑客攻防［M］.北京：中國鐵道出版社，2011.

［3］安淑林，白鳳娥.降低無線網(wǎng)絡風險的策略探析［J］.山西科技，2010，25（2）.

［4］周慶忠，趙海霞.無線局域網(wǎng)的安全性與改進方法研究［J］.微計算機信息，2010（02）.