導語：無線局域網安全技術研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要隨著無線技術的發展，無線局域網已經成為IT行業的一個新的熱點，漸漸成為計算機網絡的一個重要的組成部分。本文從分析無線局域網的安全威脅出發，討論了無線局域網的幾種安全保密技術。

關鍵詞無線局域網；安全；802.11標準；有線等效保密；WAPI鑒別與保密

1引言

經過20多年的發展，無線局域網（WirelessLocalAreaNetwork，WLAN），已經成為一種比較成熟的技術，應用也越來越廣泛，是計算機有線網絡的一個必不可少的補充。WLAN的最大優點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網應用是基于開放系統的，它具有更大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著更嚴峻的安全問題。

無線局域網的安全問題伴隨著市場與產業結構的升級而日益凸現，安全問題已經成為WLAN走入信息化的核心舞臺，成為無線局域網技術在電子政務、行業應用和企業信息化中大展拳腳的桎梏。

2無線局域網的安全威脅

隨著公司無線局域網的大范圍推廣普及使用，WLAN網絡信息系統所面臨的安全問題也發生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發起攻擊，而且我們的系統還同時要面臨來自外部、內部、自然等多方面的威脅。

由于無線局域網采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全威脅有以下幾種：

＞所有有線網絡存在的安全威脅和隱患都存在；

＞無線局域網的無需連線便可以在信號覆蓋范圍內進行網絡接入的嘗試，一定程度上暴露了網絡的存在；

＞無線局域網使用的是ISM公用頻段，使用無需申請，相鄰設備之間潛在著電磁破壞（干擾）問題；

＞外部人員可以通過無線網絡繞過防火墻，對公司網絡進行非授權存取；

＞無線網絡傳輸的信息沒有加密或者加密很弱，易被竊取、竄改和插入；

＞無線網絡易被拒絕服務攻擊（DOS）和干擾；

＞內部員工可以設置無線網卡為P2P模式與外部員工連接。

3無線局域網的安全保障

自從無線局域網誕生之日起，安全性隱患與其靈活便捷的優勢就一直共存，安全問題的解決方案從反面制約和影響著無線局域網技術的推廣和應用。為了保證無線局域網的安全性，IEEE802.11系列標準從多個層次定義了安全性控制手段。

3.1SSID訪問控制

服務集標識符(ServiceSetIdentifier，SSID)這是人們最早使用的一種WLAN安全認證方式。服務集標識符SSID，也稱業務組標識符，是一個WLAN的標識碼，相當于有線局域網的工作組（WORKGROUP）。無線工作站只有出示正確的SSID才能接入WLAN，因此可以認為SSID是一個簡單的口令，通過對AP點和網卡設置復雜的SSID（服務集標識符），并根據需求確定是否需要漫游來確定是否需要MAC地址綁定，同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制，只不過，可以用它作為一種實現訪問控制的手段。

3.2MAC地址過濾

MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證，而不是用戶認證。MAC地址過濾這種很常用的接入控制技術，在運營商鋪設的有線網絡中也經常使用，即只允許合法的MAC地址終端接入網絡。用無線局域網中，AP只允許合法的MAC地址終端接入BSS，從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新，但是目前都是通過手工操作完成，因此擴展能力差，只適合小型網絡規模，同時這種方法的效率也會隨著終端數目的增加而降低。

3.3802.11的認證服務

802.11站點（AP或工作站）在與另一個站點通信之前都必須進行認證服務，兩個站點能否通過認證是能否相互通信的根據。802.11標準定義了兩種認證服務：開放系統認證和共享密鑰認證。采用共享密鑰認證的工作站必須執行有線等效保密協議（WiresEquivalentPrivacy，WEP）。

WEP利用一個64位的啟動源密鑰和RC4加密算法保護調制數據傳輸。WEP為對稱加密，屬于序列密碼。為了解決密鑰重用的問題，WEP算法中引入了初始向量（InitialilizationVector，IV），IV為一隨機數，每次加密時隨機產生，IV與原密鑰結合作為加密的密鑰。由于IV并不屬于密鑰的一部分，所以無須保密，多以明文形式傳輸。

WEP協議自公布以來，它的安全機制就遭到了廣泛的抨擊，主要問題如下：

(1)WEP加密存在固有的缺陷，它的密鑰固定且比較短（只有64-24＝40bits）。

(2)IV的使用解決了密鑰重用的問題，但是IV的長度太短，強度并不高，同時IV多以明文形式傳輸，帶來嚴重的安全隱患。

(3)密鑰管理是密碼體制中最關鍵的問題之一，但是802.11中并沒有具體規定密鑰的生成、分發、更新、備份、恢復以及更改的機制。

(4)WEP的密鑰在傳遞過程中容易被截獲。

所有上述因素都增加了以WEP作為安全手段的WLAN的安全風險。目前在因特網上已經出現了許多可供下載的WEP破解工具軟件，例如WEPCrack和AirSnort。

4WLAN安全的增強性技術

隨著WLAN應用的進一步發展，802.11規定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發展和應用，業界積極研究，開發了很多增強WLAN安全性的方法。

4.1802.1x擴展認證協議

IEEE802.1x使用標準安全協議（如RADIUS）提供集中的用戶標識、身份驗證、動態密鑰管理。基于802.1x認證體系結構，其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理，可將無線網絡安全風險減小到最低程度。在此執行下，作為RADIUS客戶端配置的無線接入點將連接請求發送到中央RADIUS服務器。中央RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。然后，客戶機與AP激活WEP，利用密鑰進行通信。

為了進一步提高安全性，IEEE802.1x擴展認證協議采用了WEP2算法，即將啟動源密鑰由64位提升為128位。

移動節點可被要求周期性地重新認證以保持一定的安全級。

4.2WPA保護機制

Wi-FiProtectedAccess（WPA，Wi-Fi保護訪問）是Wi-Fi聯盟提出的一種新的安全方式，以取代安全性不足的WEP。WPA采用了基于動態密鑰的生成方法及多級密鑰管理機制，方便了WLAN的管理和維護。WPA由認證、加密和數據完整性校驗三個部分組成。

(1)認證

WPA要求用戶必須提供某種形式的證據來證明它是合法用戶，才能擁有對某些網絡資源的訪問權，并且這是是強制性的。WPA的認證分為兩種：第一種采用802.1xEAP（ExtensibleAuthenticationProtocol）的方式，用戶提供認證所需的憑證，如用戶名密碼，通過特定的用戶認證服務器來實現。另一種為WPA預共享密鑰方式，要求在每個無線局域網節點（AP、STA等）預先輸入一個密鑰，只要密鑰吻合就可以獲得無線局域網的訪問權。

(2)加密

WPA采用TKIP（TemporalKeyIntegrityProtocol，臨時密鑰完整性協議）為加密引入了新的機制，它使用一種密鑰構架和管理方法，通過由認證服務器動態生成、分發密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。而且，TKIP利用了802.1x/EAP構架。認證服務器在接受了用戶身份后，使用802.1x產生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發到AP和客戶端，并建立起一個密鑰構架和管理系統，使用主密鑰為用戶會話動態產生一個唯一的數據加密密鑰，來加密每一個無線通訊數據報文。

(3)消息完整性校驗

除了保留802.11的CRC校驗外，WPA為每個數據分組又增加了一個8個字節的消息完整性校驗值，以防止攻擊者截獲、篡改及重發數據報文。

4.3VPN的應用

目前許多企業以及運營商已經采用虛擬專用網（VPN）技術。虛擬專用網（VPN）技術是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，其本身并不屬于802.11標準定義，但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。可以通過購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網的安全性得到極大的提高，能夠有效地保護數據的完整性、可信性和不可抵賴性。

VPN技術作為一種比較可靠的網絡安全解決方案，在有線網絡中，尤其是企業有線網絡應用中得到了一定程度的采用，然而無線網絡的應用特點在很大程度上阻礙了VPN技術的應用，如吞吐量性能瓶頸、網絡的擴展性問題、成本問題等。

4.4WAPI鑒別與保密

無線局域網鑒別與保密基礎結構（WLANAuthenticationandPrivacyInfrastructure，WAPI）是我國無線局域網國家標準制定的，由無線局域網鑒別基礎結構（WLANAuthenticationInfrastructure，WAI）和無線局域網保密基礎結構（WLANPrivacyInfrastructure，WPI）組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰體制的分組密碼算法，分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。

在WAPI中，身份鑒別的基本功能是實現對接入設備用戶證書和其身份的鑒別，若鑒別成功則允許接入網絡，否則解除其關聯，鑒別流程包含下列幾個步驟：

1)鑒別激活：當STA登錄至AP時，由AP向STA發送認證激活以啟動認證過程；

2)接入鑒別請求：工作站STA向AP發出接入認證請求，將STA證書與STA的當前系統時間（接入認證請求時間）發往AP；

3)證書鑒別請求：AP收到STA接入認證請求后，向AS（認證服務器）發出證書認證請求，將STA證書、接入認證請求時間、AP證書及用AP的私鑰對上述字段的簽名，構成認證請求報文發送給AS。

4)證書鑒別響應：AS收到AP的證書認證請求后，驗證AP的簽名以及AP和STA證書的合法性。驗證完畢后，AS將STA證書認證結果信息(包括STA證書、認證結果及AS對它們的簽名)、AP證書認證結果信息(包括AP證書、認證結果、接入認證請求時間及AS對它們的簽名)構成證書認證響應報文發回給AP。

5)接入鑒別響應：AP對AS返回的證書認證響應進行簽名驗證，得到STA證書的認證結果。AP將STA證書認證結果信息、AP證書認證結果信息以及AP對它們的簽名組成接入認證響應報文回送至STA。STA驗證AS的簽名后，得到AP證書的認證結果。STA根據該認證結果決定是否接入該AP。

至此，工作站STA與AP之間完成了雙向的證書鑒別過程。為了更大程度上保證WLAN的安全需求，還可以進行私鑰的驗證，以確認AP和工作站STA是否是證書的合法持有者，私鑰驗證由請求和響應組成。

當工作站STA與接入點AP成功進行證書鑒別后，便可進行會話密鑰的協商。會話密鑰協商包括密鑰協商請求和密鑰協商響應。密鑰協商請求可以由AP或STA中的任意一方發起，另一方進行響應。為了進一步提高通信的保密性能，在通信一段時間或交換一定數量的報文后，工作站STA與AP之間應該重新進行會話密鑰的協商來確定新的會話密鑰。

5結束語

要保證WLAN的安全，需要從加密技術和密鑰管理技術兩方面來提供保障。使用加密技術可以保證WLAN傳輸信息的機密性，并能實現對無線網絡的訪問控制，密鑰管理技術為加密技術服務，保證密鑰生成、分發以及使用過程中不會被非法竊取，另外靈活的、基于協商的密鑰管理技術為WLAN的維護工作提供了便利。盡管我們國家WLAN標準的出臺以及強制執行引起了很大的影響，但這是我國信息安全戰略的具體落實，它表明我們國家已經邁出了堅實的一步。

參考文獻

[1][美]JimGeier著,王群等譯.無線局域網.人民郵電出版社

[2]KavehPahlavan著.無線網絡通信原理與應用.清華大學出版社

[3]GB15629.11-2003：中華人民共和國無線局域網國家標準