無線網絡及無線接入點中的安全機制研究

摘 要：雖然無線組網比較靈活，但其開放的傳輸信道會產生各種安全問題。為解決無線網絡中的安全問題，并將安全協議用于無線接入點，有必要深入研究安全機制在無線網絡中的應用。

關鍵詞：無線網；接入點；安全機制

1 無線網絡及其安全需求

無線網絡結合了移動通信技術和網絡技術，在其發展過程中，由于無線網絡的邏輯鏈路層以上的各層對不同物理層有不同的要求，所以有必要對無線網絡的底層進行標準化。在常見的無線局域網標準中，常用的有美國的IEEE 802.11標準、歐洲的HiperLan標準以及中國的WAPI標準等。

WLAN面臨的安全威脅很多，按照攻擊者在安全威脅中的作用，安全威脅可以分為安全攻擊和被動攻擊兩種；按照攻擊過程中是否需要密鑰，安全威脅又分為針對密鑰、無需密鑰兩類。被動攻擊方法只是對網絡資源進行非授權訪問，并不會進行修改；主動攻擊會修改網絡消息的內容。被動攻擊和主動攻擊并不是完全孤立的，兩者往往會被深層次結合在一起，此時無線網絡安全面臨著更嚴重的挑戰。

整體上看，無線網絡面臨的安全問題主要表現在如下方面[1]：（1）移動設備的組網方式使得對無線網絡的管理比較困難。（2）開放的無線通信信道會泄漏通信信號。針對上述問題，在解決無線網絡的安全性問題時，可以提出對應的解決方案，在具備認證、加密的基礎上，提供數據完整性和不可否認的功能。

2 無線網絡中的安全機制

在傳統的無線網絡接入控制中，無線網絡被劃分為可信和不可信兩個部分，無線接入控制系統由申請方（客戶端）、認證方（無線接入控制點）和授權方組成。在無線網絡發展過程中，認證方和授權方是一個實體，后來隨著網絡的復雜才獨立出授權方。認證方式包括開放系統認證和共享密鑰認證兩類，前者也叫空認證，是默認的認證機制，采用這種認證方式的客戶端都可以認證成功；后者是可選認證，需要WEP協議的支持。客戶端首先向認證方（AP）發送認證請求，AP給客戶端返回一個質詢文本，客戶端利用WEP協議中的加密算法加密此文本，并再次返回給AP；AP將被加密的質詢文本解密后，和發送給客戶端的質詢文本明文比對，如果兩者一致就認為客戶端認證成功。

WEP協議在完整性保護、無線接入控制等方面尚存在一定缺陷，802.11i標準中用AES算法代替了RC4算法，為在用戶接入網絡時在網絡入口處進行接入控制，使用了802.1X標準。802.1X標準的正式名稱是“基于端口的網絡接入控制”，其中端口并不僅僅限于實際的物理端口，邏輯端口等都可以被看作是無線網絡中的通信信道。802.1X標準的實體和傳統的無線網絡類似，也包含申請者、認證者以及認證服務器三部分[2]。申請者一般是支持WLAN的客戶端，如手機以及PC等，客戶端上要安裝IEEE 802.1X軟件。認證方的作用是控制接入，每個用戶的認證方都有受控端和非受控端兩個邏輯端口，前者只有在認證通過后才打開，后者一直打開，目的是傳輸認證報文。認證服務器保存了所有需要認證用戶的相關信息，以決定用戶是否可以接入無線網絡。這三方都只是邏輯實體，實際應用中可以對應多個物理設備，也可以對應一個物理設備。

無線網絡中安全機制的安全性能主要取決于三點：加解密算法的長度、密鑰長度以及密鑰的分配管理策略。密鑰管理的目的是安全的維護密鑰的生成、銷毀等過程。密鑰的分配過程如下[3]：認證方與認證服務器建立一個安全通道，然后借助認證及密鑰交換的方式產生會話主密鑰（MSK）；接下來申請方及認證方會用MSK計算得到成對的主密鑰（PMK），PMK被通過安全通道傳送給認證方；然后申請方和認證方借助EAPoL-Key的四步握手機制確定密鑰的有效性，并得到用于完整性校驗的臨時密鑰PTK；最后，申請方和認證方協商得到組密鑰，用于保護廣播數據。

3 無線接入點安全協議分析

我國的無線安全標準是基于WAPI協議的，WAPI協議和認證服務器共同完成用戶認證過程。在鑒別及密鑰協商方面，WAPI協議的過程主要是[4]：用戶的無線設備和接入控制設備建立無線鏈路，此過程完成后會觸發對無線設備的認證過程；認證服務器認證接入點的身份，并將認證結果發送給客戶端，認證成功的話就直接進入到密鑰協商的過程，并允許用戶接入無線網絡，否則不允許用戶接入。

WAPI協議借助數字證書驗證雙方身份，每次客戶端首次或重新連接到無線網絡時、或者密鑰更新時，都會激活證書的鑒別過程。如果客戶端和無線接入點的證書鑒別成功，就會進入單播密鑰協商階段，此時接入點向無線終端發送密鑰協商請求報文，對方生成對應的響應報文并發回接入點，無線終端收到接入點的確認報文后，開始進行數據傳輸。

單播密鑰協商階段完成后，會進入組播密鑰協商過程。單播密鑰協商過程中生成的通告密鑰（NMK）被用于對報文加密，組播密鑰的信息是利用交互組播密鑰協商報文得到的。客戶端和接入點都得到NMK后，就能夠用SHA算法計算得到長度為256位的組播密鑰。

在經過身份認證、單播密鑰協商以及組播密鑰更新三階段后，就可以實現無線接入點的安全控制。正是因為其在無線接入點上的安全控制方案，WAPI才成為中國的自主無線安全標準。

參考文獻

[1]白文遠，保承家.無線局域網絡通信安全問題分析[J].電子技術與軟件工程，2014.

[2]陳玉霞.物聯網安全問題之無線傳感器網絡安全研究[J].信息通信，2014.

[3]徐勇.無線局域網安全保密管控技術研究[J].信息安全與技術，2014.

[4]原錦明.無線局域網常見漏洞及安全策略[J].電腦編程技巧與維護，2014.

作者簡介：王陳喜（1986，8-），男，云南省怒江州，現職稱：助理工程師，學歷：本科，研究方向：網絡信息技術及運維。