WLAN安全技術分析

摘 要：網絡技術的發展是日新月異，無線網絡使人們徹底擺脫了網線的束縛，但是無線網絡就好像一把雙刃劍，它讓人們在享受科技帶來的便利性的同時，它安全問題更是層出不窮，小到用戶流量的占用，大到敏感數據的丟失。信息安全根據需要采用合適的安全防護措施，以達到便利性與安全性的平衡。

關鍵詞：無線網絡；認證；加密

中圖分類號：TN711 文獻標識碼：A 文章編號：1006-4117（2011）10-0327-01

WLAN（無線局域網）的工作原理是在原有有線網絡的基礎上增加無線接收設備，利用射頻信號發送和接收數據，使網絡上的終端設備具有移動性和易用性。與傳統有線網絡相比，WLAN安裝便捷，一般只要安放一個或多個無線接入點（AP）就可以覆蓋整個建筑物或區域。但是由于無線信道開放的特點，無線信號完全可以到達預期之外的地點，使得攻擊者能夠很容易的進行接收竊聽，因此WLAN的安全性就成為阻礙其發展的一個重要因素。以下將對在無線局域網中常用的安全技術進行分析。

一、基本的無線安全技術

（一）物理地址過濾（MAC）

物理地址（MAC）標識是由網卡生產商固化在網卡的ROM中的，并且每個無線客戶端網卡的物理地址都是唯一的。所以可以預先在無線AP中設定一組允許訪問該無線網絡的MAC地址列表，以實現基于物理地址過濾方式。雖然這種基于物理地址過濾的方法實現起來比較簡單，但是由于這種方法需要網絡管理員手工維護可以訪問的MAC地址列表，所以這種過濾方法的效率會隨著移動終端數目的增加而降低，而且目前市面上的許多無線網卡的自帶應用程序都可以手工指定MAC地址，黑客可以通過監聽并盜用到合法的MAC地址來侵入網絡。

（二）有線對等保密（WEP）

有線對等保密協議WEP是在1999年由IEEE802.11標準中提出的認證加密方法。WEP其基本思想是通過收發雙方共享的密鑰來加解密雙方交換的數據部分。WEP加解密原理圖如下：

WEP使用RC4流密碼來保證數據的保密性，通過共享密鑰來實現認證，由于其使用的初始化向量(IV)實在太小，僅有24位。在例如使用airsnort軟件截獲到足夠的包涵具有相同IV值的WEP幀后，提取出初始化向量(IV)，破解一個64位或128位密鑰也僅僅需要五到十五分鐘的時間而已。更為嚴重的是由于網絡內的所有客戶端都共享同一把密鑰，倘若出現“內鬼”或者丟失密鑰，會危及到整個網絡的安全。

二、相對安全的無線安全技術

（一）Wi-Fi網絡安全存取（WPA）：由于WEP的先天性不足，已被研究者證實含有幾個嚴重漏洞。于是，Wi-Fi聯盟在2002年下半年提出了WEP的升級版WPA(Wi-Fi Protected Access)，WPA在安全的防護上比WEP更為周密，增強了用戶認證、加密機制和數據完整性保護等方面的功能。WPA在認證階段會強制性要求用戶提供憑據來證明其合法性，WPA的認證分為兩種：一種是適用于大中型企業網絡，這種模式需要搭建專用的認證服務器。認證服務器通過驗證客戶端出示的用戶名和密碼來判別用戶的訪問權限，并根據認證結果向AP發出打開或者關閉端口的狀態。它還采用了以EAP(可擴展認證協議，Extensible Authentication Protocol)為核心的用戶審核機制，可以審核接入用戶的ID，在一定程度上可避免黑客非法入侵。另一種則是稱之為預共享密鑰模式（pre-shared key，PSK）也稱為個人模式，這種模式不需要認證服務器，適用于小企業用戶和個人用戶，只是要求在各個環節預先分配好密鑰，只要密鑰吻合就可以訪問網絡。WPA的加密采用了TKIP（Temporal Key Integrity Protocol）臨時密鑰完整性協議的加密算法，并定義了更大長度的密鑰（為128位），并將初始向量（IV）由原先WEP的24位增加到了48位。由于TKIP的介入，使得WEP的單一密鑰變成上百億的動態密鑰，即便仍然采用RC4的加密算法，由于其動態密鑰的特性使其難以被攻破。在數據完整性保護方面，WPA在每一個明文消息末端都包含了一個消息完整性校驗（MIC），并采用了高安全性的Michael算法來確保信息不會被“哄騙”，可以防止黑客截取數據報文、篡改后重發。

（二）IEEE 802.11i：WPA雖然相對于WEP在安全性上有很大的提高，但僅僅依靠增加密鑰和初始向量的長度以及采用TKIP作為加密算法也只能延長黑客破解時間。為了進一步提升無線網絡的安全性，在2004年6月IEEE正式通過了IEEE 802.11i標準。IEEE802.11i標準采用基于AES（Advanced Encryption Standard）算法的CCMP（CBC-MAC Protocol）加密技術，是目前WLAN支持的最安全的數據報文保護機制。802.11i的認證機制通過無線客戶端與認證服務器之間動態協商生成PMK(Pairwise Master Key)，再由無線客戶端和AP之間在這個PMK的基礎上經過4次握手協商出單播密鑰以及通過兩次握手協商出組播密鑰。值得一提的是，AP與每個客戶端之間通訊的加密密鑰都不相同，而且會定期更換，很大程度上保證了通訊的安全。IEEE 802.11i引入AES算法，AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192 和 256 位密鑰，并且用 128 位（16字節）分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。AES加密算法使用128bit分組加碼數據，它的輸出更具有隨機性。對采用AES算法加密的密文進行攻擊時，黑客不僅需要幾乎整個的密碼本還需要截獲到相關的大量包含密鑰的密文，需要耗費很大的資源和時間。此外，AES還具有應用范圍廣、等待時間短、相對容易隱藏、吞吐量高的優點。利用此算法加密，無線局域網的安全性可以大幅度提高，從而能夠更為有效地防御外界攻擊。

作者單位：連云港廣播電視大學現代教育技術中心

作者簡介：陳棟（1981— ），男，江蘇連云港人，連云港廣播電視大學 現代教育技術中心，講師。