鄭欣

摘 要：本文通過對(duì)無線局域網(wǎng)以及WLAN所面臨的網(wǎng)絡(luò)威脅做了簡單的介紹，從IEEE802.11i協(xié)議標(biāo)準(zhǔn)和擴(kuò)展無線信號(hào)頻譜以及服務(wù)集標(biāo)識(shí)符等方面著重闡述了無線局域網(wǎng)的網(wǎng)絡(luò)安全策略，進(jìn)而為創(chuàng)建安全可靠的無線局域網(wǎng)奠定堅(jiān)實(shí)的理論基礎(chǔ)。

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)攻擊；IEEE802.11i；802.1x用戶認(rèn)證；CCMP

1 概述

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，人們的生活節(jié)奏變得越來越快，有線傳輸網(wǎng)絡(luò)已經(jīng)不能滿足人們的日益嚴(yán)峻的上網(wǎng)需求。由于計(jì)算機(jī)信息的共享技術(shù)以及無線網(wǎng)絡(luò)特有的開放性，在人們輕松使用無線網(wǎng)絡(luò)的同時(shí)，不斷增加的信息安全威脅也隨之而來，竊聽、身份假冒和信息篡改等對(duì)無線網(wǎng)絡(luò)的攻擊已經(jīng)嚴(yán)重阻礙了無線網(wǎng)絡(luò)大面積推廣和應(yīng)用，完善地解決無線網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題已經(jīng)顯得尤為嚴(yán)峻。

2 無線局域網(wǎng)以及面臨的威脅

無線局域網(wǎng)屬于開放式的物理系統(tǒng)，主要采用射頻技術(shù)對(duì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，與有線局域網(wǎng)相比，其最大不同表現(xiàn)在數(shù)據(jù)傳輸?shù)拿浇?，所以無線局域網(wǎng)特有的安全威脅主要表現(xiàn)在物理層、鏈路層和網(wǎng)絡(luò)層，主要的破壞方式是破壞、攻擊或者干擾物理層通路，竊取數(shù)據(jù)鏈路層傳送數(shù)據(jù)，阻礙或者非法占用網(wǎng)絡(luò)層通路、攔截或者監(jiān)聽網(wǎng)絡(luò)信號(hào)。根據(jù)不同的破壞方式來對(duì)無線局域網(wǎng)的通信協(xié)議層進(jìn)行惡意破壞或監(jiān)聽，從而引起不同的安全問題。

無線局域網(wǎng)的掃描攻擊，是非法用戶利用掃描儀獲取任何人都可接入的開放式AP，而后通過開放式AP來獲取互聯(lián)網(wǎng)使用權(quán)去非法攻擊第三方個(gè)人電腦或掌上移動(dòng)設(shè)備；或者非法接入開放式AP加重其負(fù)載，導(dǎo)致合法用戶的服務(wù)和性能被嚴(yán)重限制，嚴(yán)重會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。WEP攻擊是非法用戶利用抓包軟件獲取傳輸數(shù)據(jù)鏈，進(jìn)而解密獲取用戶發(fā)送信息。MAC地址嗅探是從獲取的傳輸數(shù)據(jù)鏈中獲取發(fā)送數(shù)據(jù)用戶的MAC地址，通過編程偽裝成該用戶有效MAC地址進(jìn)行地址欺騙和會(huì)話攔截。AP電子欺騙是通過設(shè)一個(gè)非授權(quán)的假冒AP，當(dāng)受欺騙用戶接入該AP時(shí)，盜取用戶接入口令，利用其權(quán)限進(jìn)行非法操作。

3 無線局域網(wǎng)的網(wǎng)絡(luò)安全策略

⑴擴(kuò)展無線通信頻譜和服務(wù)器標(biāo)識(shí)號(hào)。通過擴(kuò)展無線網(wǎng)絡(luò)通信信號(hào)頻譜，或者采用跳頻技術(shù)，使得非法用戶難以捕捉到有用的數(shù)據(jù)。一般常用的擴(kuò)展無線信號(hào)頻譜的方式有直接序列擴(kuò)展頻譜，跳頻或跳時(shí)，線性調(diào)頻，通過這種方式是非法用戶無法得到固定監(jiān)聽頻率，從而很難得到監(jiān)聽信號(hào)。通過多個(gè)網(wǎng)絡(luò)橋接器設(shè)置不同的服務(wù)集標(biāo)識(shí)符（SSID），并且設(shè)置要求無線網(wǎng)卡出示正確的服務(wù)集標(biāo)識(shí)符才能訪問網(wǎng)絡(luò)橋接器。這樣就可以允許合法的群組用戶正常接入，并對(duì)網(wǎng)絡(luò)資源權(quán)限進(jìn)行區(qū)別和限制，防止非法用戶接入AP，破壞正常的無線網(wǎng)絡(luò)服務(wù)。

⑵增加WLAN網(wǎng)絡(luò)安全機(jī)制。使用基于IEEE802.11i的標(biāo)準(zhǔn)來制定WLAN的網(wǎng)絡(luò)安全機(jī)制，來客服WEP本身漏洞給WLAN帶來的影響。802.11i協(xié)議標(biāo)準(zhǔn)包括使用802.1x的用戶認(rèn)證、動(dòng)態(tài)密鑰管理、多種數(shù)據(jù)加密機(jī)制。

802.1x用戶認(rèn)證提供了比WEP更好的認(rèn)證和機(jī)密性，在發(fā)送的認(rèn)證數(shù)據(jù)包中包括了三個(gè)實(shí)體：請(qǐng)求者、認(rèn)證者和認(rèn)證服務(wù)器。IEEE802.1x用戶認(rèn)證過程其實(shí)是三個(gè)實(shí)體之間的互相認(rèn)證，通過認(rèn)證者轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)包，請(qǐng)求者和認(rèn)證服務(wù)器之間互相認(rèn)證并生成一個(gè)主會(huì)話密鑰MSK，隨后認(rèn)證服務(wù)器將MSK安全傳輸給認(rèn)證者，認(rèn)證者轉(zhuǎn)發(fā)給請(qǐng)求者，進(jìn)而請(qǐng)求者和和認(rèn)證者利用MSK生成PMK，用于生成隨后臨時(shí)會(huì)話密鑰PTK，這個(gè)認(rèn)證過程結(jié)束。在請(qǐng)求者和認(rèn)證者中，PTK相互獨(dú)立，沒有互相通信，是PTK的保密得到良好的保證。802.11i協(xié)議常用的數(shù)據(jù)加密機(jī)制有TKIP和CCMP。其中TKIP是在WEP的基礎(chǔ)上改進(jìn)的加密系統(tǒng)，其安全性能更高。TKIP在WEP的基礎(chǔ)上擴(kuò)展了加密幀格式，增加了EIV和MIV域，可以使用MIC進(jìn)行報(bào)文完整性校驗(yàn)，防止重放攻擊。

TKIP只是對(duì)WEP算法的缺陷做了相應(yīng)的彌補(bǔ)，屬于一個(gè)過渡性算法，CCMP是較于TKIP更高級(jí)的數(shù)據(jù)加密機(jī)制。CCMP為無線局域網(wǎng)絡(luò)提供了加密、認(rèn)證、完整性和重放保護(hù)等機(jī)制，擴(kuò)展了原來MPDU的容量，來處理一個(gè)128比特的密鑰和一個(gè)128比特的數(shù)據(jù)快。CCMP處理用16B，擴(kuò)展了原來MPDU的容量，其中8B為CCMP幀頭，8B為MIC校驗(yàn)碼。CCMP幀頭由PN、ExtIV（擴(kuò)展初始向量）和Key ID域組成。PN是一個(gè)48bit的數(shù)字，是一個(gè)6B的數(shù)組。ExtIV域表示CCMP擴(kuò)展了幀頭8B，如果使用CCMP加密，則ExtIV的值總為1。

CCMP基于AES加密算法，將CTR加密算法和驗(yàn)證信息完整性運(yùn)算的CBC-MAC算法結(jié)合在一起共同對(duì)無線局域網(wǎng)傳輸數(shù)據(jù)進(jìn)行加密。當(dāng)數(shù)據(jù)信息通過無線信號(hào)發(fā)送時(shí)，CCMP會(huì)從MPDU報(bào)文頭中提出AAD和Nonce兩部分，以Nonce+AAD的方式得到MIC。然后將MIC加到數(shù)據(jù)域中，和數(shù)據(jù)域原文組成了MIC+數(shù)據(jù)域原文的序列。然后以16字節(jié)為單位，將該序列分為若干個(gè)16字節(jié)數(shù)據(jù)塊（最后剩余字符可以不是16字節(jié)的數(shù)據(jù)塊），一般的，第一個(gè)16字節(jié)數(shù)據(jù)塊是由Nonce組成的MIC IV，第二、三個(gè)數(shù)據(jù)塊是由AAD組成的MIC HEADER1和2，從第四個(gè)數(shù)據(jù)庫開始為數(shù)據(jù)域原文。此后開始用AES加密算法對(duì)MIC和數(shù)據(jù)域原文進(jìn)行數(shù)據(jù)加密，而對(duì)原明文MPDU的MAC Header與生成的8字節(jié)CCMP Header組成加密幀的驗(yàn)證部分，最后和AES加密的MIC和數(shù)據(jù)域原文加上FCS校驗(yàn)生成加密幀，從完成CCMP數(shù)據(jù)加密過程。CCMP對(duì)幀頭的配置以及加密過程更加確保了無線傳輸數(shù)據(jù)的真實(shí)性和安全性，使得CCMP具有很高的安全性，已經(jīng)逐漸成為無線局域網(wǎng)產(chǎn)品中主流的數(shù)據(jù)加密機(jī)制。

我們?cè)诖罱╓LAN的時(shí)候，要從各個(gè)方面入手來提高無線局域網(wǎng)的安全性能，創(chuàng)建一個(gè)安全可靠的無線網(wǎng)絡(luò)環(huán)境，為合法用戶提供一個(gè)穩(wěn)定舒適的上網(wǎng)環(huán)境。

[參考文獻(xiàn)]

[1]王磊，梁華慶.淺談無線局域網(wǎng)安全技術(shù)的發(fā)展[J].微型機(jī)與應(yīng)用. 2011（06）.

[2]陳曉華.校園無線局域網(wǎng)的安全策略研究[J].電腦編程技巧與維護(hù). 2010（22）.