對無線局域網安全問題的思考

□文/王 儉

一、無線局域網安全隱患

1、WEP加密安全隱患。WEP對MAC層的數據加密過程很簡單，WEP利用了CR4加密算法。首先將共享密鑰和一個24位初始向量IV作為偽隨機產生器（PREG）的種子，產生一個與明文及其校驗和ICV（在WEP算法中，采用了CRC-32計算校驗和）等長度的密鑰序列K，然后密鑰序列K與明文及其校驗和進行異或運算產生密文；最后將密文連同初始向量IV發送給接收方。接收方接收到消息后，利用共享密鑰的一份本地拷貝和接收到的IV產生一個與K完全相同的密鑰序列，與密文異或恢復出明文；同時，計算明文校驗和ICV，通過比較ICV以判定接收到的消息是否合法。數據加密帶來的問題是RC4加密算法（由于密鑰是靜態不變的，密鑰序列的改變就由IV來決定）的缺陷；IV隨機產生且與加密數據一起傳送，IV本身并未加密；密鑰序列重復使用；CRC-32帶來的問題等。

2、用戶身份認證安全隱患。802.11標準規定了兩種認證方式：開放系統認證和共享密鑰認證。前者是默認的認證方法，任何移動站點都可加入基本服務集（BSS），并可以與接入點（AP）通信，能“聽到”所有未加密的數據。可見，這種方法根本沒有提供認證，也不存在安全性；共享密鑰認證是一種請求響應認證機制，它能夠提供相對于開放系統認證方式比較高的安全系數，采用此種認證方式的STA必須實施WEP加密算法，認證過程為：AP在收到STA請求接入信息后，發送詢問信息，STA對詢問信息使用共享密鑰進行加密并回送給AP，AP解密并校驗信息的完整性。若成功，則允許STA接入WLAN，攻擊者只需截獲加密前后的詢問信息，將二者進行“異或”運算就可以得到密鑰序列，然后攻擊者則可以向AP發送認證請求信息，并用得到的密鑰序列加密詢問信息，從而成功地通過AP認證，攻擊者冒充合法身份接入WLAN。另外，802.11標準缺少一種雙向認證機制，接入點可以驗證客戶機的身份，而客戶機不能驗證接入點的身份，如果一個虛假接入點被放置在無線局域網中，它可以通過“劫持”合法客戶機成為產生拒絕訪問的平臺。

二、無線局域網安全措施

1、數據傳輸的安全性。在無線局域網中可以使用數據加密技術和數據訪問控制保障數據傳輸的安全性。使用先進的加密技術，使得非法用戶即使截取無線鏈路中的數據也無法破譯；使用數據訪問控制能夠減少數據泄露。

（1）數據加密。IEEE802.11中的WEP。有線對等保密協議（WEP）是由IEEE802.11標準定義的，用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。

WEP加密是存在固有缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。現在，已經出現了專門的破解WEP加密的程序，其代表是WEPCrack 和 AirSnort。

（2）IEEE802.11中的 WPA。Wi-Fi保護接入（WPA）是由IEEE802.11標準定義的，用來改進WEP所使用密鑰的安全性的協議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數據包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中的缺點得以解決。

（3）數據的訪問控制。訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。

2、安全培訓及制度建設

（1）技術人員重視安全技術措施。從最基本的安全制度到最新的訪問控制、數據加密協議，各級組織的網絡技術主管部門都需要采用最高安全保護措施。采用的安全措施越多，其網絡相對就越安全，數據安全才能得到保障。

（2）用戶安全教育。各級組織的網絡技術人員可以讓辦公室中的每位網絡用戶負責安全性，將所有網絡用戶作為“安全代理”，明確每位員工都負有安全責任并分擔安全破壞費用。重要的是幫助員工了解不采取安全保護的危險性，特別需要向用戶演示如何檢查其電腦上的安全機制，并按需要激活這些機制，這樣可以更輕松地管理和控制網絡。

（3）安全制度建設。制定安全制度，進行定期安全檢查。WLAN實施是危險的，網絡技術人員應該公布關于無線網絡安全的服務等級協議或政策，還應指定政策負責人，積極定期檢查各級組織網絡上的欺騙性或未知接入點。此外，更改接入點上的缺省管理密碼和SSID，并實施動態密鑰（802.1X）或定期配置密鑰更新，這樣有助于最大限度地減少非法接入網絡的可能性。

[1] 趙偉艇.無線局域網的加密和訪問控制安全性分析.微計算機信息，2007.21.