WLAN在商務運用中安全問題的探討

[摘 要] WLAN具有可移動性、速度快、組網靈活、使用方便、成本低、使用開放頻段等諸多優勢，在商務運用中得到快速發展，同時WLAN存在的安全問題也為商務運用帶來了安全隱患。本文介紹了一些基本安全措施，并對IEEE 802.11i協議在接入控制、身份認證和加密算法等方面的進行了探討。

[關鍵詞] WLAN 網絡安全 RSN

針對無線局域網進行的攻擊手段也越來越高明，并向著多樣化，復雜化的方向發展，以至于難于應付解決。一個有安全性、穩定性及商業可行性三方面緊密結合的技術還有待發展完善。因此，要保證WLAN的安全，安全意識必須貫穿于從安裝配置到使用管理的整個過程，采取積極有效的防范措施才是良策。

一、基本安全措施

1.合理安裝配置無線網絡設備

WLAN的電磁波覆蓋范圍及AP的安放位置要適當，以免超出物理管轄范圍，給竊聽者提供更廣闊的自由竊聽空間;更改缺省的SSID使之不易被猜測到，關閉定期廣播功能，這樣雖然客戶機必須發送探測幀詢問SSID;利用MAC地址通過訪問控制列表可以限制非授權人員對WLAN的訪問，經常查看AP日志，及時發現攻擊者;激活、改變缺省密鑰，經常改變密鑰或使用動態密鑰來避免密鑰重用。安裝企業級防火墻，可以攔截許多非法用戶的可疑數據包;使用入侵檢測工具定期掃描搜索便可發現非法用戶;此外使用靜態IP地址而不是由DHCP服務器配置的動態IP地址，可以阻止通過IP地址欺騙和克隆對無線網的非法訪問。

2.客戶端采取的安全措施

對使用者來說，要充分意識到無線網的安全性缺陷，除使用口令和個人防火墻保護個人系統之外，對于無線通信要經常性地更換WEP密鑰，使用變化的初始化向量，增加統計攻擊的難度。選擇具有良好加密機制和加密算法的、基于應用層的第三方加密軟件，實現端到端的數據加密，保證數據不被解密。

3.定期檢測AP

WLAN的提供商已開發出新的能夠檢測遠程訪問節點的網絡管理工具，可實現對內部網絡的所有訪問節點做審計，確定欺騙訪問節點，建立規章制度來約束它們或者完全從網絡上剝離掉它們。

4.有效隔離

由于無線網絡的安全性較低，所以無線網絡和核心網絡要隔離，無線網絡要接在安全設備如防火墻的外面。同時如果將AP安置在像防火墻這樣的網絡安全設備的外面，可以阻止針對流量偵聽和流量分析等攻擊手段，還可以采用其他技術手段如SSH， SSL， IPSec等加密技術來加強數據的安全性。

二、WLAN的安全體系

IEEE頒布了802.11i標準，IEEE 802.11i定義了新的安全體系——RSN強安全網絡，RSN融合了802.1x，EAP等協議。

1.RSN的運行機制及過程

強安全網絡的整個運行過程分為四個階段。

安全能力發現階段:在STA與AP之間建立802.11關聯;讓STA了解AP的RSN能力，并據此選擇STA所支持的認證方法和加密協議。在該階段中，如果STA不支持AP所能支持的任何一種加密和認證方法，則AP可拒絕與之建立關聯;反過來，如果AP不支持STA所支持任何一種加密和認證方法，則STA也可拒絕與AP建立關聯。

802.1x認證階段:確定STA和AP的身份。通過該階段可以確保STA接入的為正確的WLAN，而AP也可以確定STA是否為合法用戶。該認證過程會產生認證主密鑰，并由此產生STA訪問WLAN的雙方主密鑰PMK 。

密鑰管理階段:RSN中產生STA與AP通信所使用的密鑰。由AP與STA所同時占有的PMK通過四次握手協議產生加密通信時使用的雙方臨時密鑰PTK以及將AP的組播加密密鑰GTK發布給STA。

加密數據通訊階段:在隨后的通訊過程中AP和STA都使用密鑰進行加密通訊。這相當于在AP于STA之間建立了一條安全通道。

2.RSN的認證和密鑰管理

企業級模式提供高安全級別的保護，適合對信息安全性要求苛刻的企業和政府部門，它使用的是IEEE 802.1x的認證服務器(AS):

(1)采用認證服務器AS及用戶憑證數據庫。

(2)認證者和認證服務器AS(RADIUS， IPSec， TLS等)建立一個安全通道。

(3)請求者和AS進行雙向認證，并建立一個Master Key，該認證過程經過認證者和AS之間的安全通道。

(4)請求者和AS根據Master Key各自產生一個相同PMK， AS通過安全通道把PMK傳遞給認證者。

(5)使用EAPoI-Key消息，請求者和認證者進行一個4步的握手過程。

(6)確認PMK的存在和新鮮。

(7)從PMK得出PTK。

(8)把PTK得出的加密和完整性密鑰作為后續的會話密鑰。

(9)GTK從認證者傳遞給請求者，使請求者可以接收廣播消息，在IBSS中還可以發送廣播消息。

個人模式適合對安全性要求較低的小公司或家庭用戶。個人模式中使用共享密鑰方式:

(1)不使用認證服務器與用戶憑證數據庫。

(2)在請求者和認證者之間產生PMK， PMK就是共享密鑰。

(3)使用EAPol-Key消息，請求者和認證者進行一個4步的握手過程。

(4)GTK從認證者傳遞給請求者，使請求者可以接收廣播消息，在IBSS中還可以發送廣播消息。

三、總結

IEEE 802.11i協議在接入控制、身份認證和加密算法等方面存在較多的漏洞，這些安全問題阻礙了WLAN在商務運用中進一步推廣。因此，無線網絡安全理論與技術的研究是當前非常重要的一個研究課題。

參考文獻:

IEEE P802.11 i D3.0， Specification for Enhanced Security. 2004.6