無線局域網(wǎng)的安全機(jī)制分析與改進(jìn)

王昭俊

摘要：隨著我國互聯(lián)網(wǎng)運(yùn)用范圍的不斷擴(kuò)大，WLAN技術(shù)自身所蘊(yùn)含的優(yōu)秀功能開始逐漸在我國民眾的學(xué)習(xí)與生活中普及開來，為我們的生活，工作，學(xué)習(xí)都帶來了越來越多的幫助和影響，并為其提供了較強(qiáng)的助力，本文就WLAN無線局域網(wǎng)自身存在的安全缺陷，以及無線網(wǎng)絡(luò)所面臨的各種安全威脅而提出的一些分析。

關(guān)鍵詞：無線局域網(wǎng) 安全機(jī)制 身份認(rèn)證 WLAN

中圖分類號：TN925.93 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9416（2016）08-0210-01

1 無線局域網(wǎng)自身存在的安全問題

公共無線局域網(wǎng)技術(shù)，隨著WLAN技術(shù)的進(jìn)一步發(fā)展，國際互聯(lián)網(wǎng)寬帶的接入已經(jīng)是早晚的事情，在這種情況下我更不能無視無線網(wǎng)絡(luò)的安全問題。

1.1 密鑰的發(fā)布存在安全隱患

802.11密鑰的分發(fā)在實(shí)際應(yīng)用中，通常都采用手動(dòng)設(shè)置，而不是長期使用。那么，當(dāng)工作地點(diǎn)的增加，配置和管理的時(shí)候?qū)?huì)非常麻煩，嚴(yán)重影響效率，而密鑰一旦失去，將變得毫無無法安全可言。

1.2 用戶認(rèn)證方法存在漏洞

在無線局域網(wǎng)的實(shí)際運(yùn)用中，共享密鑰認(rèn)證機(jī)制，同樣存在著不小的安全漏洞，相關(guān)不法人員在面對這類認(rèn)證機(jī)制時(shí)，通過簡單計(jì)算就可以得到一個(gè)偽隨機(jī)序列密碼通過共享密鑰的認(rèn)證。

1.3 WEP加密機(jī)制的天生脆弱性

WEP服務(wù)集標(biāo)識(shí)SSID技術(shù)，主要是用于控制封閉網(wǎng)絡(luò)的安全技術(shù)。在WEP服務(wù)集標(biāo)識(shí)SSID技術(shù)的具體應(yīng)用中，因?yàn)槠浔旧鞸SID和MAC地址較易泄漏，這就使得其在具體運(yùn)用中安全性能較差。

2 無線局域網(wǎng)的安全威脅

無線局域網(wǎng)除了會(huì)受到一般有線局域網(wǎng)的安全威脅之外，還會(huì)面臨其他具有無線網(wǎng)絡(luò)特性的安全威脅，例如：

2.1 無線局域網(wǎng)接入點(diǎn)

無線局域網(wǎng)接入點(diǎn)具有價(jià)格低、安裝方便、結(jié)構(gòu)緊湊、便于攜帶等特點(diǎn)。非法無線局域網(wǎng)可能無意中或不知情的情況下，被非法入侵者惡意訪問無線網(wǎng)絡(luò)。而非法入侵者想要這么做只需要把一個(gè)小的無線局域網(wǎng)連接AP帶到網(wǎng)內(nèi)，然后連接到網(wǎng)絡(luò)端口就行了。

2.2 設(shè)置不當(dāng)?shù)膯栴}

無線局域網(wǎng)支持多種安全功能的相關(guān)設(shè)置。在很多情況下，合法的網(wǎng)絡(luò)管理者并沒有特意的設(shè)置AP的安全設(shè)置，仍然保持默認(rèn)設(shè)置，這就使AP一直處在不加密或工作在一個(gè)弱加密（WEP）的環(huán)境中。而有些時(shí)候，經(jīng)常會(huì)在沒有設(shè)置任何密碼的情況下連接客戶端到網(wǎng)絡(luò)進(jìn)行工作，那么整個(gè)企業(yè)網(wǎng)絡(luò)都會(huì)在沒有任何密碼情況下建立無線網(wǎng)絡(luò)。

2.3 連接不當(dāng)隱患

連接客戶端的時(shí)候，當(dāng)一個(gè)合法的用戶在企業(yè)AP與外界建立連接，如果這個(gè)外部的接入點(diǎn)是未知安全的，那么就等于將整個(gè)企業(yè)網(wǎng)絡(luò)置于危險(xiǎn)之中，未知安全的AP很可能會(huì)通過客戶端訪問用戶的網(wǎng)絡(luò)，導(dǎo)致這個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)部信息暴露。

3 WEP安全機(jī)制的改進(jìn)

由于WEP缺乏無線局域網(wǎng)安全機(jī)制，其算法的存在許多漏洞，容易被攻擊，所以我們在實(shí)際應(yīng)用中需要提出一些改進(jìn)算法。

3.1 改進(jìn)后的協(xié)議

TKIP，也就是“臨時(shí)密鑰完整性協(xié)議”，該協(xié)議算法可以很好的提高使用WEP密鑰的安全性。該協(xié)議可以一直不停的改變得到密鑰的方式從而提高安全性，還可以防止偽造的包，同時(shí)還具備消息完整性檢查的功能，使得無線網(wǎng)絡(luò)的安全性大大增加。

TKIP WEP改進(jìn)方面：

（1）48位的初始化向量。在該協(xié)議中，將初始化向量提升到了48位，從而減少了沖突，安全性得到了一定的提升。

（2）密鑰的產(chǎn)生和分配。TKIP針對每個(gè)客戶定期生成一個(gè)新的獨(dú)立的密鑰，必須使用這個(gè)密鑰才能入網(wǎng)，從而避免了使用許久都不更換WEP密鑰的安全隱患。

（3）信息完整性守則。為了防止黑客攻擊，我們在信息的每一幀中插入一個(gè)校驗(yàn)碼，發(fā)送者經(jīng)過識(shí)別之后，可以把這MIC植入信息，通過這一信息就可以判定其傳輸是否玩完整，相關(guān)數(shù)據(jù)是否正常。

3.2 改進(jìn)系統(tǒng)的體系結(jié)構(gòu)及工作原理

就我國當(dāng)下無線局域網(wǎng)連接中存在的安全問題，筆者結(jié)合自身工作經(jīng)驗(yàn)，設(shè)計(jì)出了以下由認(rèn)證模塊、加密與數(shù)據(jù)完整性校驗(yàn)?zāi)K和密朗管理模塊三部分組成的WLAN安全體系結(jié)構(gòu)。

（1）身份認(rèn)證模塊。雙向身份認(rèn)證系統(tǒng)的使用。無線局域網(wǎng)的認(rèn)證方案采用數(shù)字證書認(rèn)證，包括了用戶身份認(rèn)證模塊和網(wǎng)絡(luò)接入端認(rèn)證模塊，該模塊要求通信雙方（AP和用戶）都必須能夠支持?jǐn)?shù)字證書技術(shù)，并安裝了數(shù)字證書。

（2）密鑰管理模塊。密鑰管理模塊提出了建立基本密鑰BK （base key）的方法，建立基本密鑰BK，該BK是基于信息認(rèn)證過程建立的，使用隨機(jī)函數(shù)將當(dāng)前會(huì)話建立的密鑰BK轉(zhuǎn)換為臨時(shí)密鑰TK（時(shí)間鍵），臨時(shí)密鑰默認(rèn)分配到缺省密鑰。

3.3 加密安全機(jī)制的增加

對于無線局域網(wǎng)的安全防預(yù)，不能夠僅僅依靠密碼技術(shù)。在這一安全架構(gòu)的構(gòu)建中，其能夠?qū)o線局域網(wǎng)的安全落實(shí)到其每一個(gè)細(xì)節(jié)中，使得無線局域網(wǎng)的安全性能夠與有線網(wǎng)絡(luò)相媲美。

（1）啟用Radius認(rèn)證服務(wù)。在無線局域網(wǎng)的安全性能提高中，Radius 認(rèn)證服務(wù)的采用能夠有效提高企業(yè)用戶的無線局域網(wǎng)安全性。是一種較為有效的無線局域網(wǎng)加密技術(shù)。

（2）使用VPN方式加密。在WEP安全機(jī)制的改進(jìn)中，VPN加密是一種較為有效的加密方式，用戶可以使用其進(jìn)行相關(guān)網(wǎng)絡(luò)隱患的消除，是一種應(yīng)用效果較好的網(wǎng)絡(luò)加密技術(shù)。

（3）配置訪問控制列表。除了上文中提到的VPN加密與radius認(rèn)證服務(wù)，通過ACL訪問控制列表通過能夠較好的杜絕網(wǎng)絡(luò)安全問題的發(fā)生，有效的防止了不法訪問的足跡入侵。

4 結(jié)語

安全問題仍將繼續(xù)成為制約無線局域網(wǎng)產(chǎn)業(yè)發(fā)展的主要問題。雖然802.1X和VPN技術(shù)都不斷的加強(qiáng)了對無線網(wǎng)絡(luò)的安全性和保密性控制能力，但終歸沒有一個(gè)技術(shù)可以做到毫無破綻，必然還是會(huì)存在一些網(wǎng)絡(luò)安全漏洞。隨著技術(shù)的進(jìn)一步發(fā)展和無線安全技術(shù)的高速研發(fā)，還將有更多的網(wǎng)絡(luò)安全技術(shù)不斷創(chuàng)新和完善無線安全機(jī)制，提高安全水平。

參考文獻(xiàn)

[1]章麗飛，王德東，王銳.TD-LTE與WLAN干擾測試分析案例[J].郵電設(shè)計(jì)技術(shù)，2015（04）.