陳 濤 陳綿獻(xiàn) 周 超 許江龍

摘要：無線局域網(wǎng)的安全性是人們關(guān)注的熱點(diǎn)也是一個(gè)亟待解決的問題。本文首先介紹了無線局域網(wǎng)安全性的基本安全機(jī)制；接著從相關(guān)威脅和安全協(xié)議入手，重點(diǎn)分析了無線局域網(wǎng)的安全缺陷，最后討論了改進(jìn)的安全措施和方案。

關(guān)鍵詞：WLAN；攻擊：密鑰；WEP；VPN

1引言

無線局域網(wǎng)(WLAN)具有無需布線，安裝周期短，后期維護(hù)容易，用戶容易遷移和增加等特點(diǎn)。但由于WLAN使用無線電波和光波作為傳輸媒介，其安全性受到了嚴(yán)重的挑戰(zhàn)。最新(WECA)企業(yè)調(diào)查結(jié)果表明：50％已采用WLAN的企業(yè)和72％的潛在企業(yè)用戶對(duì)WLAN的安全性不滿意。因而WLAN必須致力解決安全性問題。

2WLAN的信息安全機(jī)制

在IEEE802 11的WLAN中通常使用以下幾種信息安全機(jī)制：

(1)服務(wù)區(qū)標(biāo)識(shí)符(SSID)：可由SSID來識(shí)別連接在wLAN上的AP。試圖接入wLAN的客戶端必須配置與網(wǎng)絡(luò)中AP相同的SSID。

(2)MAC地址過濾：AP可以訪問一個(gè)被允許接入WLAN的客戶端的MAC地址列表，這提供了一個(gè)阻止客戶端訪問請(qǐng)求的方法，也提供了另一層訪問控制。

(3)WEP算法：WEP f有線等效保密算法)是一種可選的鏈路層安全機(jī)制，用來提供訪問控制、數(shù)據(jù)加密和安全性檢驗(yàn)等。它需要管理員預(yù)先在客戶端和AP中配置共享的WEP密鑰(靜態(tài)WEP密鑰)。使用這個(gè)密鑰在一方對(duì)數(shù)據(jù)進(jìn)行加密，另一方使用相同的共享密鑰對(duì)接收到的密文進(jìn)行解密。

3WLAN面臨的安全威脅和安全協(xié)議存在的安金隱患

3.1安全威脅

WLAN面臨的所有安全威脅大致可分為主動(dòng)攻擊和被動(dòng)攻擊：

被動(dòng)攻擊指未經(jīng)授權(quán)的實(shí)體簡(jiǎn)單地訪問網(wǎng)絡(luò)，但不修改其中內(nèi)容。被動(dòng)攻擊可能是竊聽或流量分析。

主動(dòng)攻擊指未經(jīng)授權(quán)的實(shí)體接入網(wǎng)絡(luò)，并修改消息、數(shù)據(jù)流或文件內(nèi)容。主動(dòng)攻擊包括偽裝攻擊、重放攻擊、篡改攻擊和拒絕服務(wù)攻擊等。

3.2安全隱患

(1)對(duì)身份認(rèn)證的欺騙：在WEP協(xié)議中AP對(duì)申請(qǐng)接人的移動(dòng)客戶端進(jìn)行身份認(rèn)證。而移動(dòng)客戶端并不對(duì)AP的身份進(jìn)行認(rèn)證。這種單向的認(rèn)證方式導(dǎo)致了假冒的AP的存在。

(2)MAC地址訪問控制的安全缺陷：MAC地址訪問控制機(jī)制從理論上講可以杜絕未經(jīng)授權(quán)的非法訪問WLAN，但該機(jī)制也不能提供絕對(duì)的安全性：

①M(fèi)AC地址在WLAN中是以明文傳送的，攻擊者可以在WLAN中嗅探到合法的MAC地址。

②無線設(shè)備允許通過軟件重新配置MAC地址。攻擊者完全可以通過修改MAC地址冒充合法的用戶訪問WLAN。

(3)WEP算法缺陷(RC4密鑰方案的缺陷)：WEP算法實(shí)際上是利用RC4流密碼算法作為偽隨機(jī)數(shù)產(chǎn)生器，將由初始矢量lV和WEP密鑰組合而成的種子生成WEP密鑰流，再由該密鑰流與WEP幀數(shù)據(jù)負(fù)載進(jìn)行異或運(yùn)算來完成加密運(yùn)算。而RC4流密碼算法是將輸入種子密鑰進(jìn)行某種置換和組合運(yùn)算來生成WEP密鑰流的。由于WEP幀中數(shù)據(jù)負(fù)載的第一個(gè)字節(jié)是邏輯鏈路控制的802 2頭信息，這個(gè)頭信息對(duì)于每個(gè)WEP幀都是相同的，攻擊者很容易猜測(cè)，利用猜測(cè)的第一個(gè)明文字節(jié)和WEP幀數(shù)據(jù)負(fù)載密文就可以通過異或運(yùn)算得到WEP PRNG生成的密鑰流中的第一個(gè)字節(jié)。另外，種子密鑰中的24比特初始矢量是以明文形式傳送的，攻擊者可以將其截獲。利用已知的初始矢量Iv和第一個(gè)字節(jié)密鑰流輸出，并結(jié)合RC4密鑰方案的特點(diǎn)，攻擊者通過計(jì)算就可以確定WEP密鑰。

4無線局域網(wǎng)安全改進(jìn)措施

鑒于以上安全機(jī)制的缺陷，提出其他改進(jìn)的一些措施：

(1)一次性密鑰：當(dāng)驗(yàn)證成功后，AP會(huì)向客戶端發(fā)送一個(gè)EAPOL--KEY幀，指示客戶端應(yīng)該使用的會(huì)話密鑰。

(2)智能卡：可以為WLAN增加另外一層保護(hù)。可以使用和用戶名、密碼等相關(guān)的智能卡，也可以使用雙因素身份認(rèn)證的智能卡。

(3)虛擬專用網(wǎng)(vPN)：VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，用來在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立一個(gè)虛擬專用通道。進(jìn)行安全的數(shù)據(jù)傳輸。

(4)IEEE802 1×和可擴(kuò)展認(rèn)證協(xié)議(EAP)：IEEE802 1×是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在網(wǎng)絡(luò)設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制，它規(guī)定了網(wǎng)絡(luò)訪問授權(quán)和安全密鑰的自動(dòng)分發(fā)機(jī)制。[EEE802，1x可以提供一個(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過以后才能連接網(wǎng)絡(luò)。

(5)基于生物特征識(shí)別：包括指紋，掌紋掃描器、視網(wǎng)膜和虹膜掃描器、面部掃描器和語音圖譜掃描器等。

5結(jié)論

隨著無線技術(shù)迅猛發(fā)展，WLAN將推出新的安全協(xié)議和技術(shù)，將智能卡、VPN、802 1×和EAP以及用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來，才能構(gòu)筑安全的WLAN。