无线局域网的安全技术研究

摘要　　随着无线技术的发展，无线局域网已经成为IT行业的一个新的热点，渐渐成为计算机网络的一个重要的组成部分。本文从分析无线局域网的安全威胁出发，讨论了无线局域网的几种安全保密技术。
关键词无线局域网；安全；802.11标准；有线等效保密；WAPI鉴别与保密
1 引言
经过20多年的发展，无线局域网（Wireless Local Area Network，WLAN），已经成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的，它具有更大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安全问题。
无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现，安全问题已经成为WLAN走入信息化的核心舞台，成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。
2 无线局域网的安全威胁
随着公司无线局域网的大范围推广普及使用，WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击，而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。
由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种：
＞所有有线网络存在的安全威胁和隐患都存在；
＞无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试，一定程度上暴露了网络的存在；
＞无线局域网使用的是ISM公用频段，使用无需申请，相邻设备之间潜在着电磁破坏（干扰）问题；
＞外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；
　　＞无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；
　　＞无线网络易被拒绝服务攻击（DOS）和干扰；
　　＞内部员工可以设置无线网卡为P2P模式与外部员工连接。
3 无线局域网的安全保障
　　自从无线局域网诞生之日起，安全性隐患与其灵活便捷的优势就一直共存，安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE 802.11系列标准从多个层次定义了安全性控制手段。
3.1 SSID访问控制
　　服务集标识符(Service Set Identifier，SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID，也称业务组标识符，是一个WLAN的标识码，相当于有线局域网的工作组（WORKGROUP）。无线工作站只有出示正确的SSID才能接入WLAN，因此可以认为SSID是一个简单的口令，通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。严格来说SSID不属于安全机制，只不过，可以用它作为一种实现访问控制的手段。
3.2 MAC地址过滤
　　MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证，而不是用户认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即只允许合法的MAC地址终端接入网络。用无线局域网中，AP只允许合法的MAC地址终端接入BSS，从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完成，因此扩展能力差，只适合小型网络规模，同时这种方法的效率也会随着终端数目的增加而降低。
3.3 802.11的认证服务
　　802.11站点（AP或工作站）在与另一个站点通信之前都必须进行认证服务，两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务：开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议（Wires Equivalent Privacy，WEP）。
WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密，属于序列密码。为了解决密钥重用的问题，WEP算法中引入了初始向量（Initialilization Vector，IV），IV为一随机数，每次加密时随机产生，IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分，所以无须保密，多以明文形式传输。
　　WEP协议自公布以来，它的安全机制就遭到了广泛的抨击，主要问题
　　(1) WEP加密存在固有的缺陷，它的密钥固定且比较短（只有64-24＝40bits）。
　　(2) IV的使用解决了密钥重用的问题，但是IV的长度太短，强度并不高，同时IV多以明文形式传输，带来严重的安全隐患。
　　(3) 密钥管理是密码体制中最关键的问题之一，但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。
　　(4) WEP的密钥在传递过程中容易被截获。
　　所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件，例如WEPCrack和AirSnort。
4 WLAN安全的增强性技术
　　随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用，业界积极研究，开发了很多增强WLAN安全性的方法。
4.1 802.1x扩展认证协议
　　IEEE 802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身

份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利用密钥进行通信。
　　为了进一步提高安全性，IEEE 802.1x扩展认证协议采用了WEP2算法，即将启动源密钥由64位提升为128位。
　　移动节点可被要求周期性地重新认证以保持一定的安全级。
4.2 WPA保护机制
　　Wi-Fi Protected Access（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。
　　(1) 认证
　　WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权，并且这是是强制性的。WPA的认证分为两种：第一种采用802.1x+EAP（Extensible Authentication Protocol）的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式，要求在每个无线局域网节点（AP、STA等）预　　先输入一个密钥，只要密钥吻合就可以获得无线局域网的访问权。
　　(2) 加密
WPA采用TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。
　　(3) 消息完整性校验
　　除了保留802.11的CRC校验外，WPA为每个数据分组又增加了一个8个字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。
4.3 VPN的应用
　　目前许多企业以及运营商已经采用虚拟专用网（VPN）技术。虚拟专用网（VPN）技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，其本身并不属于802.11标准定义，但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，能够有效地保护数据的完整性、可信性和不可抵赖性。
　　VPN技术作为一种比较可靠的网络安全解决方案，在有线网络中，尤其是企业有线网络应用中得到了一定程度的采用，然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用，如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。
4.4 WAPI鉴别与保密
　　无线局域网鉴别与保密基础结构（WLAN Authentication and Privacy Infrastructure，WAPI）是我国无线局域网国家标准制定的，由无线局域网鉴别基础结构（WLAN Authentication Infrastructure，WAI）和无线局域网保密基础结构（WLAN Privacy Infrastructure ，WPI）组成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
　　在WAPI中，身份鉴别的基本功能是实现对接入设备用户证书和其身份的鉴别，若鉴别成功则允许接入网络，否则解除其关联，鉴别流程包含下列几个步骤：
　　1) 鉴别激活：当STA登录至AP时，由AP向STA发送认证激活以启动认证过程；
　　2) 接入鉴别请求：工作站STA向AP发出接入认证请求，将STA证书与STA的当前系统时间（接入认证请求时间）发往AP；
　　3) 证书鉴别请求：AP收到STA接入认证请求后，向AS（认证服务器）发出证书认证请求，将STA证书、接入认证请求时间、AP证书及用AP的私钥对上述字段的签名，构成认证请求报文发送给AS。
　　4) 证书鉴别响应：AS收到AP的证书认证请求后，验证AP的签名以及AP和STA证书的合法性。验证完毕后，AS将STA证书认证结果信息(包括STA证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。
　　5) 接入鉴别响应：AP对AS返回的证书认证响应进行签名验证，得到STA证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至STA。STA验证AS的签名后，得到AP证书的认证结果。STA根据该认证结果决定是否接入该AP。
　　至此，工作站STA与AP之间完成了双向的证书鉴别过程。为了更大程度上保证WLAN的安全需求，还可以进行私钥的验证，以确认AP和工作站STA是否是证书的合法持有者，私钥验证由请求和响应组成。
　　当工作站STA与接入点AP成功进行证书鉴别后，便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA中的任意一方发起，另一方进行响应。为了进一步提高通信的保密性能，在通信一段时间或交换一定数量的报文后，工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。
5 结束语
　　要保证WLAN的安全，需要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传输信息的机密性，并能实现对无线网络的访问控制，密钥管理技术为加密技术服务，保证密钥生成、分发以及使用过程中不会被非法窃取，另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。尽管我们国家WLAN标准的出台以及强制执行引起了很大的影响，但这是我国信息安全战略的具体落实，它表明我们国家已经迈出了坚实的一步。
参考文献
[1] [美]Jim Geier着 , 王群等译 . 无线局域网. 人民邮电出版社
Kaveh Pahlavan 着 . 无线网络通信原理与应用. 清华大学出版社
GB15629.11-2003：中华人民共和国无线局域网国家标准