WIFI無線網絡技術及安全性研究

盛仲飆

（渭南師范學院 數學與信息科學學院，計算機網絡工程技術中心，陜西 渭南 714000）

隨著互聯網的迅速發展及普及，特別是各種便攜式通信設備以及各種家用電器設備的迅速增加，人們在無線通信領域對短距離通信業務提出了更高的要求。于是，許多短距離無線通信技術開始應運而生，以802.11b協議為基礎的的WIFI技術便是其中的熱點。被認為是無線寬帶發展的新方向。

WIFI是IEEE定義的一個無線網絡通信的工業標準（IEEE 802.11）。也可以看作是3G技術的一種補充。WIFI技術與藍牙技術一樣，同屬于在辦公室和家庭中使用的無線局域網通信技術[1]。WIFI是一種短程無線傳輸技術，能夠在數百英尺范圍內支持互聯網接入無線電信號。它的最大優點是傳輸速度較高，在信號較弱或有干擾的情況下，帶寬可調整，有效地保障了網絡的穩定性和可靠性[2]。但是隨著無線局域網應用領域的不斷拓展，其安全問題也越來越受到重視。

1 WIFI技術簡介

1.1 WIFI技術

WIFI（Wireless Fidelity）俗稱無線寬帶，又叫 802.11b 標準，是IEEE定義的一個無線網絡通信的工業標準。IEEE802.11b標準是在IEEE802.11的基礎上發展起來的，工作在2.4 Hz頻段，最高傳輸率能夠[3]達到11 Mbps。該技術是一種可以將個人電腦，手持設備等終端以無線方式互相連接的一種技術。目的是改善基于IEEE802.1標準的無限網絡產品之間的互通性。

WIFI局域網本質的特點[2，4～6]是不再使用通信電纜將計算機與網絡連接起來，而是通過無線的方式連接，從而使網絡的構建和終端的移動更加靈活。

1.2 WIFI技術的特點

1）無線電波覆蓋范圍廣

基于藍牙技術的電波覆蓋范圍非常小，半徑大約只有15 m，而Wi－Fi的半徑可達300 m，適合辦公室及單位樓層內部使用。

2）組網簡便

無線局域網的組建在硬件設備上的要求與有線相比，更加簡潔方便，而且目前支持無線局域網的設備已經在市場上得到了廣泛的普及，不同品牌的接入點AP以及客戶網絡接口之間在基本的服務層面上都是可以實現互操作的。WLAN的規劃可以隨著用戶的增加而逐步擴展，在初期根據用戶的需要布置少量的點。當用戶數量增加時，只需再增加幾個AP設備，而不需要重新布線。而全球統一的WIFI標準使其與蜂窩載波技術不同，同一個WIFI用戶可以在世界各個國家使用無線局域網服務。

3）業務可集成性

由于WIFI技術在結構上與以太網完全一致，所以能夠將WLAN集成到已有的寬帶網絡中，也能將已有的寬帶業務應用到WLAN中。這樣，就可以利用已有的寬帶有線接入資源，迅速地部署WLAN網絡，形成無縫覆蓋。

4）完全開放的頻率使用段

無線局域網使用的ISM是全球開放的頻率使用段，使得用戶端無需任何許可就可以自由使用該頻段上的服務。

1.2 WIFI總體拓撲結構

WIFI網絡結構如圖1所示。由AP和無線網卡組成。AP一般稱為網絡橋接器或接入點，它是當作傳統的有線局域網絡與無線局域網絡之間的橋梁，因此任何一臺裝有無線網卡的PC均可透過AP去分享有線局域網絡甚至廣域網絡的資源，其工作原理相當于一個內置無線發射器的HUB或者是路由，而無線網卡則是負責接收由AP所發射信號的CLJENT端設備[7]。

圖1 WIFI總體拓撲結構Fig.1 Topological structure of WIFI

2 WIFI的安全機制

WIFI安全性主要包括訪問控制和加密兩大部分，訪問控制保證只有授權用戶能訪問敏感數據，加密保證只有正確的接收方才能理解數據。為了解決WIFI網絡的安全問題，2003年WIFI聯盟推出了WIFI保護接入（Wi-Fi Protected Access，WPA）作為安全解決方案以滿足日益增長的安全機制的市場需求。

2.1 WPA技術

WPA是無線應用協議 （Wireless Application Protocol）的簡稱，是一種開放式的全球規范。有WPA和WPA2兩個標準，是一種保護無線電腦網絡（Wi-Fi）安全的系統[8]。WPA作為IEEE802.11i的一個子集，避開了WEP的眾多弱點，可大大增強現有以及未來無線局域網系統數據保護的訪問控制水平。WPA可保證WLAN用戶的數據受到保護，并且只有授權用戶才可訪問WLAN網絡。

2.2 WIFI網絡安全策略

2.2.1 加密方式

1）TKIP 加密模式

WIFI無線網絡目前使用最廣泛的加密模式[8-9]是WPAPSK（TKIP）和 WPA2-PSK（AES）兩種加密模式。 TKIP 的含義為暫時密鑰集成協議。TKIP使用的仍然是RC4算法，但在原有的WEP密碼認證引擎中添加了“信息包單加密功能”、“信息監測”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。

TKIP是包裹在已有WEP密碼外圍的一層“外殼”，這種加密方式在盡可能使用WEP算法的同時消除了已知的WEP缺點。專門用于糾正WEP安全漏洞，實現無線傳輸數據的加密和完整性保護。但是相比WEP加密機制，TKIP加密機制可以為WLAN服務提供更加安全的保護。主要體現在以下幾點：

①靜態WEP的密鑰為手工配置，且一個服務區內的所有用戶都共享同一把密鑰。而TKIP的密鑰為動態協商生成，每個傳輸的數據包都有一個與眾不同的密鑰。

②TKIP將密鑰的長度由WEP的40位加長到128位，初始化向量IV的長度由24位加長到48位，提高了WEP加密的安全性。

③ TKIP支持MIC認證（Message Integrity Check，信息完整性校驗）和防止重放攻擊功能。

2）AES 加密模式

WPA2放棄了RC4加密算法，使用AES算法進行加密，是比TKIP更加高級的加密技術。AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192和 256位密鑰，并且用128位（16字節）分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個循環結構，在該循環中重復置換（permutations ）和替換（substitutions）輸入數據。

2.2.2 認證方式

WPA給用戶提供了一個完整的認證機制[8，10]，AP根據用戶的認證結果決定是否允許其介入無線網絡中；認證成功后可以根據多種方式動態地改變每個接入用戶的加密密鑰。對用戶在無線中傳輸的數據報進行MIC編碼，確保用戶數據不會被其他用戶更改。WPA有2種認證模式：1）是使用802.1x協議進行認證，即就是802.1x+EPA方式（工業級的，安全要求高的地方用。需要認證服務器）；2）是預先共享密鑰PSK模式（家庭用的，用在安全要求低的地方。不需要服務器）。AP和客戶端分享密鑰的過程叫做4次握手，過程如圖2所示。

圖2 WPA-PSK 4次握手過程Fig.2 WPA-PSK four handshake processes

1）客戶端STA與無線接入點AP關聯；

2）STA需要向AP發送認證消息，在被授權以前，即使STA與AP始終關聯，TSA也不能夠訪問網絡，只能繼續向AP發送認證消息，經由遠程認證撥號用戶服務AP將認證消息發送給后端服務器來認證；

3）客戶端STA利用EAP協議，通過AP的非受控端口向認證服務器提交身份憑證，認證服務器負責對STA進行身份驗證；

4）如果STA未通過認證，客戶端一直被阻止訪問網絡；如果認證成功，則認證服務器通知AP向該STA打開受控端口；

5）身份認證服務器利用TKIP協議自動將主配對密鑰分發給AP和客戶端STA，主配對密鑰基于每用戶、每個802.1x的認證進程是惟一的；

6）STA與AP再利用主配對密鑰動態生成基于每數據包惟一的數據加密密鑰；

7）利用該密鑰對STA與AP之間的數據流進行加密。

這樣就好象在兩者之間建立了一條加密隧道，保證了空中數據傳輸的高安全性。

2.3 存在問題

WPA—PSK／WPA2—PSK（TKIP、AES）是目前主流的加密方式．但由于TKIP與AES子算法自身的問題。使得WPA也將面臨著被徹底破解的威脅。

用戶在使用無線網絡時應該注意以下幾點

1）對于自己搭建無線網絡的用戶，至少要進行一些最基本的安全配置，如隱藏 SSID，關閉DHCP，設置WEP密鑰，啟用內部隔離等。

2）如果安全要求再高一些，還可以啟用非法AP監測，配置MAC過濾，啟用WPA/WPA2，建立802.1x端口認證。

3）如果有更高的安全需求，那么可以選擇的安全手段就更多，比如，使用定向天線，調整發射功率，把信號可能收斂在信任的范圍之內；還可以將無線局域網視為Internet一樣來防御，甚至在接口處部署入侵檢測系統。

4）如果您是企業用戶，千萬不要忘記建立完善的安全管理制度并分發至員工。當您需要在熱點區域使用無線網絡時，您需要能夠您所在網絡的安全程度，如果認定網絡不夠安全，那么請盡量不要在此網絡中提交或透露敏感信息，并盡量縮短在線的時間。

3 結 論

隨著無線局域網應用領域的不斷拓展，安全問題越來越受到重視。WIFI技術作為WLAN技術家族中的重要成員，近年來發展迅速，已經應用到生活的各個方面。文中較詳細地分析了WIFI網絡的技術特點，對WIFI網絡的安全性做了一定程度的探討，給出了相應的結論。只有加強人為安全方面的控制技術的改進，才可更好加強WIFI安全性。

[1]傅揚，潘敏，史曉翠.WIFI網絡技術與安全問題分析[J].計算機安全技術，2010（12）:121-122.FU Yang，PAN Min，SHI Xiao-cui.Analysis of network technology and safety problem using WIFI[J].Computing Security Techniques，2010（12）:121-122.

[2]曾磊，張海峰，侯維巖.基于WIFI的無線測控系統設計與實現[J].電測與儀表，2011（7）:81-83.ZENG Lei，ZHANG Hai-feng，HOU Wei-yan.Design and implementofWiFiwirelessmeasurementand control network[J].Electrical Measurement&Instrumentation，2011（7）:81-83.

[3]王鳳珍.基于WIFI的移動IP安全研究[J].網絡安全，2005（11）:71-72.WANG Feng-zhen.Security research on mobile IP based on WiFi[J].Net Security Technologies and Application，2005（11）:71-72.

[4]李揚.WIFI技術原理及應用研究[J].科技信息，2010（6）:241.LI Yang.Technology principle and application research of WIFI[J].Science&Technology Information，2010（6）:241.

[5]盛蕾.WIFI網絡研究及基于Linux的測試平臺的實現[D].上海：同濟大學，2007（3）:12-13.

[6]陳文周.WIFI技術研究及應用[J].上海：數據通信，2008（2）:14-15.CHEN Wen-zhou.Research and application of WIFI[J].Data Communication，2008（2）:14-15.

[7]魯艷，毛旭.基于WiFi的無線網絡安全方案對比分析[J].廣東通信技術，2007（3）:25-26.LU Yan，MAO Xu.Comparative analysis based on WIFI wirelessnetworksecuritysolution[J].GuangdongCommunication Technology，2007（3）:25-26.

[8]白珅，王軼駿，薛質.WPA/WPA2協議安全性研究[J].信息安全與通信保密，2012（1）:107-108.BAI Shen，WANG Yi-jun，XUE Zhi.Research on security of WPA/WPA2protocol[J].InformationandCommunication Security，2012（1）:107-108.

[9]孫無極.WiFi接入對園網絡構成安全隱患及其對策[J].現代計算機，2010（4）：116-117.SUN Wu-ji.The potential security problems of WiFi access to the campus network and related countermeasures[J].Modern Computer，2010（4）:116-117.

[10]歐陽亮，陳春法.WLAN安全規范WPA的研究[J].計算機工程與設計，2005（11）:2987-2988.OUYANG Liang，CHEN Chun-fa.Research on WPA of WLAN security specification[J].Computer Engineering and Design，2005（11）:2987-2988.

[11]彭書濤，薛建，左寶峰，等.PSASP靜態網絡等值在ATPEMTP中的應用[J].陜西電力，2010（4）:53-56.PENG Shu-tao，XUE Jian，ZUO Bao-feng，et al.Application of PSASP static equivalency in ATP-EMTP’s simulation[J].Shaanxi Electric Power，2010（4）:53-56.