張莉萍++趙義

摘 要：無線局域網(wǎng)以其靈活性高、移動(dòng)性強(qiáng)、易于擴(kuò)散、廉價(jià)等優(yōu)勢(shì)在企事業(yè)內(nèi)部、公共熱點(diǎn)地區(qū)、家庭乃至軍事領(lǐng)域都得到了廣泛應(yīng)用，成為網(wǎng)絡(luò)體系結(jié)構(gòu)的重要組成部分。伴隨著無線局域網(wǎng)的應(yīng)用越來越廣泛，無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關(guān)概念和基本機(jī)制，從加密和認(rèn)證兩個(gè)方面，重點(diǎn)分析了無線局域網(wǎng)的安全缺陷，最后討論了改進(jìn)的安全措施和方案。

關(guān)鍵詞：無線局域網(wǎng)；安全；加密；完整性保密算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1 引 言

無線局域網(wǎng)（WirelessLAN，WLAN）是一種利用無線方式，提供無線對(duì)等（如PC對(duì)PC、PC對(duì)集線器或打印機(jī)對(duì)集線器）和點(diǎn)到點(diǎn)（如LAN到LAN）連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動(dòng)性，安裝便捷，易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整，故障定位容易，易于擴(kuò)展等方面的優(yōu)勢(shì)，因此，在餐飲及零售，醫(yī)療，企業(yè)，倉(cāng)儲(chǔ)管理，貨柜集散場(chǎng)，監(jiān)視系統(tǒng)，展示會(huì)場(chǎng)等諸多領(lǐng)域和行業(yè)得到了廣泛應(yīng)用。

另一方面，無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí)，也存在著一些缺陷，特別是其安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號(hào)是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號(hào)，造成通信信息泄漏。

2 WLAN面臨的安全問題

要分析和設(shè)計(jì)一個(gè)系統(tǒng)的安全性，必須從攻防兩個(gè)對(duì)立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式，大致可分為常規(guī)安全威脅和非授權(quán)訪問威脅兩大類。

2.1 常規(guī)安全威脅

常規(guī)安全威脅指的是未經(jīng)授權(quán)的實(shí)體簡(jiǎn)單地訪問網(wǎng)絡(luò)，但不修改其中內(nèi)容的攻擊方式。被動(dòng)攻擊可能是簡(jiǎn)單的竊聽或流量分析。

2.2 非授權(quán)訪問威脅

非授權(quán)訪問威脅指的是未經(jīng)授權(quán)的實(shí)體接入網(wǎng)

圖 1 WLAN遇到的攻擊方式

絡(luò)，并修改消息，數(shù)據(jù)流或文件內(nèi)容的一種攻擊方式?？梢岳猛暾詸z驗(yàn)檢測(cè)到這類攻擊，但無法防止這類攻擊。主動(dòng)攻擊包括偽裝攻擊，重放攻擊，篡改攻擊和拒絕服務(wù)攻擊等。

此外還有中斷攻擊是對(duì)系統(tǒng)設(shè)備的硬攻擊，它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等，使系統(tǒng)不能正常工作。

3 WLAN的安全機(jī)制

在IEEE802.11的WLAN中通常使用以下幾種安全機(jī)制：

3.1 服務(wù)集標(biāo)識(shí)符（SSID，Service Set ID）

通過對(duì)多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。但是這只是一個(gè)簡(jiǎn)單的口令，所有使用該網(wǎng)絡(luò)的人都知道該SSID，很容易泄漏，只能提供較低級(jí)別的安全；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因?yàn)槿魏稳硕伎梢酝ㄟ^工具得到這個(gè)SSID。

3.2 物理地址（MAC，Media Access Controller） 過濾

由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證

3.3 有線等效保密（WEP）算法

WEP算法是一種可選的鏈路層安全機(jī)制，用來提供訪問控制，數(shù)據(jù)加密和安全性檢驗(yàn)等。802.11定義了WEP算法對(duì)數(shù)據(jù)進(jìn)行加密，加密過程是使明文與一個(gè)等長(zhǎng)的偽隨機(jī)序列按比特進(jìn)行異或操作。其中的密鑰序列是由偽隨機(jī)碼產(chǎn)生器WEP PRNG產(chǎn)生的，加密過程如圖2所示，一個(gè)40比特的密鑰與一個(gè)24比特初始化

4 無線局域網(wǎng)安全改進(jìn)措施

鑒于WEP協(xié)議的安全機(jī)制存在較多的安全缺陷，使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴(yán)重的威脅。為了提高無線局域網(wǎng)的安全性，必須引入更加安全的認(rèn)證機(jī)制，加密機(jī)制以及控制機(jī)制。

4.1 智能卡

智能卡可以為無線局域網(wǎng)增加另外一層保護(hù)。在無線局域網(wǎng)的網(wǎng)絡(luò)適配器中引入一個(gè)SIM卡，用于存儲(chǔ)與安全相關(guān)的信息（可以采取SIM卡與無線網(wǎng)絡(luò)適配器分離的方式）。認(rèn)證服務(wù)器為每個(gè)SIM卡分配一個(gè)客戶識(shí)別碼和一個(gè)與該識(shí)別碼唯一對(duì)應(yīng)的客戶認(rèn)證密鑰K1，分別存儲(chǔ)在認(rèn)證服務(wù)器和SIM卡上。為了滿足同一個(gè)用戶登陸多個(gè)網(wǎng)絡(luò)的需要，SIM卡中存儲(chǔ)的客戶識(shí)別碼和客戶認(rèn)證密鑰可以構(gòu)成一個(gè)簡(jiǎn)單的數(shù)據(jù)庫(kù)，針對(duì)不同的網(wǎng)絡(luò)可以自動(dòng)或者用戶手動(dòng)選擇合適的身份信息。

具體的認(rèn)證過程沿用現(xiàn)有的挑戰(zhàn)-應(yīng)答模式：無線終端在附著成功之后向認(rèn)證服務(wù)器提交自己的客戶識(shí)別碼，認(rèn)證服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)，發(fā)送至無線終端；無線終端利用客戶認(rèn)證密鑰K1加密該隨機(jī)數(shù)后傳給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器根據(jù)無線終端提供的客戶識(shí)別碼找到客戶認(rèn)證密鑰K1，解密后與原隨機(jī)數(shù)進(jìn)行對(duì)比，如果相同則通過認(rèn)證。認(rèn)證成功之后，認(rèn)證服務(wù)器再產(chǎn)生一個(gè)偽隨機(jī)數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2，并用客戶認(rèn)證密鑰加密后傳給客戶端。

4.2 虛擬專用網(wǎng)（VPN）

5 結(jié)束語

無線網(wǎng)絡(luò)安全需要不斷改善和升級(jí)，當(dāng)前WLAN所使用的主要安全機(jī)制包括SSID，物理地址（MAC）過濾，有線對(duì)等保密機(jī)制等都已經(jīng)在實(shí)際使用中顯現(xiàn)出弊端。將智能卡，虛擬專用網(wǎng)以及802.1x端口控制技術(shù)和EAP認(rèn)證機(jī)制相結(jié)合，可以使WLAN安全性得到較大的提高。隨著無線技術(shù)迅猛發(fā)展，無線通信安全尚待進(jìn)一步發(fā)展和完善，將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來，才能構(gòu)筑安全的無線局域網(wǎng)。

參考文獻(xiàn)：

[1] S. Fluhrer， I. Martin， A. Shamir， Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http：//www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.

[2] Wash R.， Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http：//www.crimelabs.net/docs/stream.htm. 2001-09-26.

[3] 錢進(jìn).無線局域網(wǎng)技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2004.

[4] Dr.Cyrus Peikari， Seth Fogie著，周靖等譯.無線網(wǎng)絡(luò)安全 [M].北京：電子工業(yè)出版社，2004.

[5] 劉乃安.無線局域網(wǎng)-原理，技術(shù)及應(yīng)用[M].西安：西安電子科技大學(xué)出版社，2004.

[6] Ron Rivest.RC4算法源代碼[EB/OL].http：//www.qrst.de/ html/dsds/rc4.htm， 1994-09-17.

（本文審稿 黃 漢）

摘 要：無線局域網(wǎng)以其靈活性高、移動(dòng)性強(qiáng)、易于擴(kuò)散、廉價(jià)等優(yōu)勢(shì)在企事業(yè)內(nèi)部、公共熱點(diǎn)地區(qū)、家庭乃至軍事領(lǐng)域都得到了廣泛應(yīng)用，成為網(wǎng)絡(luò)體系結(jié)構(gòu)的重要組成部分。伴隨著無線局域網(wǎng)的應(yīng)用越來越廣泛，無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關(guān)概念和基本機(jī)制，從加密和認(rèn)證兩個(gè)方面，重點(diǎn)分析了無線局域網(wǎng)的安全缺陷，最后討論了改進(jìn)的安全措施和方案。

關(guān)鍵詞：無線局域網(wǎng)；安全；加密；完整性保密算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1 引 言

無線局域網(wǎng)（WirelessLAN，WLAN）是一種利用無線方式，提供無線對(duì)等（如PC對(duì)PC、PC對(duì)集線器或打印機(jī)對(duì)集線器）和點(diǎn)到點(diǎn)（如LAN到LAN）連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動(dòng)性，安裝便捷，易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整，故障定位容易，易于擴(kuò)展等方面的優(yōu)勢(shì)，因此，在餐飲及零售，醫(yī)療，企業(yè)，倉(cāng)儲(chǔ)管理，貨柜集散場(chǎng)，監(jiān)視系統(tǒng)，展示會(huì)場(chǎng)等諸多領(lǐng)域和行業(yè)得到了廣泛應(yīng)用。

另一方面，無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí)，也存在著一些缺陷，特別是其安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號(hào)是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號(hào)，造成通信信息泄漏。

2 WLAN面臨的安全問題

要分析和設(shè)計(jì)一個(gè)系統(tǒng)的安全性，必須從攻防兩個(gè)對(duì)立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式，大致可分為常規(guī)安全威脅和非授權(quán)訪問威脅兩大類。

2.1 常規(guī)安全威脅

常規(guī)安全威脅指的是未經(jīng)授權(quán)的實(shí)體簡(jiǎn)單地訪問網(wǎng)絡(luò)，但不修改其中內(nèi)容的攻擊方式。被動(dòng)攻擊可能是簡(jiǎn)單的竊聽或流量分析。

2.2 非授權(quán)訪問威脅

非授權(quán)訪問威脅指的是未經(jīng)授權(quán)的實(shí)體接入網(wǎng)

圖 1 WLAN遇到的攻擊方式

絡(luò)，并修改消息，數(shù)據(jù)流或文件內(nèi)容的一種攻擊方式。可以利用完整性檢驗(yàn)檢測(cè)到這類攻擊，但無法防止這類攻擊。主動(dòng)攻擊包括偽裝攻擊，重放攻擊，篡改攻擊和拒絕服務(wù)攻擊等。

此外還有中斷攻擊是對(duì)系統(tǒng)設(shè)備的硬攻擊，它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等，使系統(tǒng)不能正常工作。

3 WLAN的安全機(jī)制

在IEEE802.11的WLAN中通常使用以下幾種安全機(jī)制：

3.1 服務(wù)集標(biāo)識(shí)符（SSID，Service Set ID）

通過對(duì)多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。但是這只是一個(gè)簡(jiǎn)單的口令，所有使用該網(wǎng)絡(luò)的人都知道該SSID，很容易泄漏，只能提供較低級(jí)別的安全；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因?yàn)槿魏稳硕伎梢酝ㄟ^工具得到這個(gè)SSID。

3.2 物理地址（MAC，Media Access Controller） 過濾

由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證

3.3 有線等效保密（WEP）算法

WEP算法是一種可選的鏈路層安全機(jī)制，用來提供訪問控制，數(shù)據(jù)加密和安全性檢驗(yàn)等。802.11定義了WEP算法對(duì)數(shù)據(jù)進(jìn)行加密，加密過程是使明文與一個(gè)等長(zhǎng)的偽隨機(jī)序列按比特進(jìn)行異或操作。其中的密鑰序列是由偽隨機(jī)碼產(chǎn)生器WEP PRNG產(chǎn)生的，加密過程如圖2所示，一個(gè)40比特的密鑰與一個(gè)24比特初始化

4 無線局域網(wǎng)安全改進(jìn)措施

鑒于WEP協(xié)議的安全機(jī)制存在較多的安全缺陷，使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴(yán)重的威脅。為了提高無線局域網(wǎng)的安全性，必須引入更加安全的認(rèn)證機(jī)制，加密機(jī)制以及控制機(jī)制。

4.1 智能卡

智能卡可以為無線局域網(wǎng)增加另外一層保護(hù)。在無線局域網(wǎng)的網(wǎng)絡(luò)適配器中引入一個(gè)SIM卡，用于存儲(chǔ)與安全相關(guān)的信息（可以采取SIM卡與無線網(wǎng)絡(luò)適配器分離的方式）。認(rèn)證服務(wù)器為每個(gè)SIM卡分配一個(gè)客戶識(shí)別碼和一個(gè)與該識(shí)別碼唯一對(duì)應(yīng)的客戶認(rèn)證密鑰K1，分別存儲(chǔ)在認(rèn)證服務(wù)器和SIM卡上。為了滿足同一個(gè)用戶登陸多個(gè)網(wǎng)絡(luò)的需要，SIM卡中存儲(chǔ)的客戶識(shí)別碼和客戶認(rèn)證密鑰可以構(gòu)成一個(gè)簡(jiǎn)單的數(shù)據(jù)庫(kù)，針對(duì)不同的網(wǎng)絡(luò)可以自動(dòng)或者用戶手動(dòng)選擇合適的身份信息。

具體的認(rèn)證過程沿用現(xiàn)有的挑戰(zhàn)-應(yīng)答模式：無線終端在附著成功之后向認(rèn)證服務(wù)器提交自己的客戶識(shí)別碼，認(rèn)證服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)，發(fā)送至無線終端；無線終端利用客戶認(rèn)證密鑰K1加密該隨機(jī)數(shù)后傳給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器根據(jù)無線終端提供的客戶識(shí)別碼找到客戶認(rèn)證密鑰K1，解密后與原隨機(jī)數(shù)進(jìn)行對(duì)比，如果相同則通過認(rèn)證。認(rèn)證成功之后，認(rèn)證服務(wù)器再產(chǎn)生一個(gè)偽隨機(jī)數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2，并用客戶認(rèn)證密鑰加密后傳給客戶端。

4.2 虛擬專用網(wǎng)（VPN）

5 結(jié)束語

無線網(wǎng)絡(luò)安全需要不斷改善和升級(jí)，當(dāng)前WLAN所使用的主要安全機(jī)制包括SSID，物理地址（MAC）過濾，有線對(duì)等保密機(jī)制等都已經(jīng)在實(shí)際使用中顯現(xiàn)出弊端。將智能卡，虛擬專用網(wǎng)以及802.1x端口控制技術(shù)和EAP認(rèn)證機(jī)制相結(jié)合，可以使WLAN安全性得到較大的提高。隨著無線技術(shù)迅猛發(fā)展，無線通信安全尚待進(jìn)一步發(fā)展和完善，將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來，才能構(gòu)筑安全的無線局域網(wǎng)。

參考文獻(xiàn)：

[1] S. Fluhrer， I. Martin， A. Shamir， Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http：//www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.

[2] Wash R.， Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http：//www.crimelabs.net/docs/stream.htm. 2001-09-26.

[3] 錢進(jìn).無線局域網(wǎng)技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2004.

[4] Dr.Cyrus Peikari， Seth Fogie著，周靖等譯.無線網(wǎng)絡(luò)安全 [M].北京：電子工業(yè)出版社，2004.

[5] 劉乃安.無線局域網(wǎng)-原理，技術(shù)及應(yīng)用[M].西安：西安電子科技大學(xué)出版社，2004.

[6] Ron Rivest.RC4算法源代碼[EB/OL].http：//www.qrst.de/ html/dsds/rc4.htm， 1994-09-17.

（本文審稿 黃 漢）

摘 要：無線局域網(wǎng)以其靈活性高、移動(dòng)性強(qiáng)、易于擴(kuò)散、廉價(jià)等優(yōu)勢(shì)在企事業(yè)內(nèi)部、公共熱點(diǎn)地區(qū)、家庭乃至軍事領(lǐng)域都得到了廣泛應(yīng)用，成為網(wǎng)絡(luò)體系結(jié)構(gòu)的重要組成部分。伴隨著無線局域網(wǎng)的應(yīng)用越來越廣泛，無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關(guān)概念和基本機(jī)制，從加密和認(rèn)證兩個(gè)方面，重點(diǎn)分析了無線局域網(wǎng)的安全缺陷，最后討論了改進(jìn)的安全措施和方案。

關(guān)鍵詞：無線局域網(wǎng)；安全；加密；完整性保密算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1 引 言

無線局域網(wǎng)（WirelessLAN，WLAN）是一種利用無線方式，提供無線對(duì)等（如PC對(duì)PC、PC對(duì)集線器或打印機(jī)對(duì)集線器）和點(diǎn)到點(diǎn)（如LAN到LAN）連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動(dòng)性，安裝便捷，易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整，故障定位容易，易于擴(kuò)展等方面的優(yōu)勢(shì)，因此，在餐飲及零售，醫(yī)療，企業(yè)，倉(cāng)儲(chǔ)管理，貨柜集散場(chǎng)，監(jiān)視系統(tǒng)，展示會(huì)場(chǎng)等諸多領(lǐng)域和行業(yè)得到了廣泛應(yīng)用。

另一方面，無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí)，也存在著一些缺陷，特別是其安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號(hào)是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號(hào)，造成通信信息泄漏。

2 WLAN面臨的安全問題

要分析和設(shè)計(jì)一個(gè)系統(tǒng)的安全性，必須從攻防兩個(gè)對(duì)立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式，大致可分為常規(guī)安全威脅和非授權(quán)訪問威脅兩大類。

2.1 常規(guī)安全威脅

常規(guī)安全威脅指的是未經(jīng)授權(quán)的實(shí)體簡(jiǎn)單地訪問網(wǎng)絡(luò)，但不修改其中內(nèi)容的攻擊方式。被動(dòng)攻擊可能是簡(jiǎn)單的竊聽或流量分析。

2.2 非授權(quán)訪問威脅

非授權(quán)訪問威脅指的是未經(jīng)授權(quán)的實(shí)體接入網(wǎng)

圖 1 WLAN遇到的攻擊方式

絡(luò)，并修改消息，數(shù)據(jù)流或文件內(nèi)容的一種攻擊方式。可以利用完整性檢驗(yàn)檢測(cè)到這類攻擊，但無法防止這類攻擊。主動(dòng)攻擊包括偽裝攻擊，重放攻擊，篡改攻擊和拒絕服務(wù)攻擊等。

此外還有中斷攻擊是對(duì)系統(tǒng)設(shè)備的硬攻擊，它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等，使系統(tǒng)不能正常工作。

3 WLAN的安全機(jī)制

在IEEE802.11的WLAN中通常使用以下幾種安全機(jī)制：

3.1 服務(wù)集標(biāo)識(shí)符（SSID，Service Set ID）

通過對(duì)多個(gè)無線接入點(diǎn)AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。但是這只是一個(gè)簡(jiǎn)單的口令，所有使用該網(wǎng)絡(luò)的人都知道該SSID，很容易泄漏，只能提供較低級(jí)別的安全；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因?yàn)槿魏稳硕伎梢酝ㄟ^工具得到這個(gè)SSID。

3.2 物理地址（MAC，Media Access Controller） 過濾

由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差，無法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證

3.3 有線等效保密（WEP）算法

WEP算法是一種可選的鏈路層安全機(jī)制，用來提供訪問控制，數(shù)據(jù)加密和安全性檢驗(yàn)等。802.11定義了WEP算法對(duì)數(shù)據(jù)進(jìn)行加密，加密過程是使明文與一個(gè)等長(zhǎng)的偽隨機(jī)序列按比特進(jìn)行異或操作。其中的密鑰序列是由偽隨機(jī)碼產(chǎn)生器WEP PRNG產(chǎn)生的，加密過程如圖2所示，一個(gè)40比特的密鑰與一個(gè)24比特初始化

4 無線局域網(wǎng)安全改進(jìn)措施

鑒于WEP協(xié)議的安全機(jī)制存在較多的安全缺陷，使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴(yán)重的威脅。為了提高無線局域網(wǎng)的安全性，必須引入更加安全的認(rèn)證機(jī)制，加密機(jī)制以及控制機(jī)制。

4.1 智能卡

智能卡可以為無線局域網(wǎng)增加另外一層保護(hù)。在無線局域網(wǎng)的網(wǎng)絡(luò)適配器中引入一個(gè)SIM卡，用于存儲(chǔ)與安全相關(guān)的信息（可以采取SIM卡與無線網(wǎng)絡(luò)適配器分離的方式）。認(rèn)證服務(wù)器為每個(gè)SIM卡分配一個(gè)客戶識(shí)別碼和一個(gè)與該識(shí)別碼唯一對(duì)應(yīng)的客戶認(rèn)證密鑰K1，分別存儲(chǔ)在認(rèn)證服務(wù)器和SIM卡上。為了滿足同一個(gè)用戶登陸多個(gè)網(wǎng)絡(luò)的需要，SIM卡中存儲(chǔ)的客戶識(shí)別碼和客戶認(rèn)證密鑰可以構(gòu)成一個(gè)簡(jiǎn)單的數(shù)據(jù)庫(kù)，針對(duì)不同的網(wǎng)絡(luò)可以自動(dòng)或者用戶手動(dòng)選擇合適的身份信息。

具體的認(rèn)證過程沿用現(xiàn)有的挑戰(zhàn)-應(yīng)答模式：無線終端在附著成功之后向認(rèn)證服務(wù)器提交自己的客戶識(shí)別碼，認(rèn)證服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)，發(fā)送至無線終端；無線終端利用客戶認(rèn)證密鑰K1加密該隨機(jī)數(shù)后傳給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器根據(jù)無線終端提供的客戶識(shí)別碼找到客戶認(rèn)證密鑰K1，解密后與原隨機(jī)數(shù)進(jìn)行對(duì)比，如果相同則通過認(rèn)證。認(rèn)證成功之后，認(rèn)證服務(wù)器再產(chǎn)生一個(gè)偽隨機(jī)數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2，并用客戶認(rèn)證密鑰加密后傳給客戶端。

4.2 虛擬專用網(wǎng)（VPN）

5 結(jié)束語

無線網(wǎng)絡(luò)安全需要不斷改善和升級(jí)，當(dāng)前WLAN所使用的主要安全機(jī)制包括SSID，物理地址（MAC）過濾，有線對(duì)等保密機(jī)制等都已經(jīng)在實(shí)際使用中顯現(xiàn)出弊端。將智能卡，虛擬專用網(wǎng)以及802.1x端口控制技術(shù)和EAP認(rèn)證機(jī)制相結(jié)合，可以使WLAN安全性得到較大的提高。隨著無線技術(shù)迅猛發(fā)展，無線通信安全尚待進(jìn)一步發(fā)展和完善，將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來，才能構(gòu)筑安全的無線局域網(wǎng)。

參考文獻(xiàn)：

[1] S. Fluhrer， I. Martin， A. Shamir， Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http：//www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.

[2] Wash R.， Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http：//www.crimelabs.net/docs/stream.htm. 2001-09-26.

[3] 錢進(jìn).無線局域網(wǎng)技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2004.

[4] Dr.Cyrus Peikari， Seth Fogie著，周靖等譯.無線網(wǎng)絡(luò)安全 [M].北京：電子工業(yè)出版社，2004.

[5] 劉乃安.無線局域網(wǎng)-原理，技術(shù)及應(yīng)用[M].西安：西安電子科技大學(xué)出版社，2004.

[6] Ron Rivest.RC4算法源代碼[EB/OL].http：//www.qrst.de/ html/dsds/rc4.htm， 1994-09-17.

（本文審稿 黃 漢）