摘 要：雖然無線組網(wǎng)比較靈活，但其開放的傳輸信道會產(chǎn)生各種安全問題。為解決無線網(wǎng)絡(luò)中的安全問題，并將安全協(xié)議用于無線接入點，有必要深入研究安全機制在無線網(wǎng)絡(luò)中的應(yīng)用。

關(guān)鍵詞：無線網(wǎng)；接入點；安全機制

1 無線網(wǎng)絡(luò)及其安全需求

無線網(wǎng)絡(luò)結(jié)合了移動通信技術(shù)和網(wǎng)絡(luò)技術(shù)，在其發(fā)展過程中，由于無線網(wǎng)絡(luò)的邏輯鏈路層以上的各層對不同物理層有不同的要求，所以有必要對無線網(wǎng)絡(luò)的底層進行標(biāo)準(zhǔn)化。在常見的無線局域網(wǎng)標(biāo)準(zhǔn)中，常用的有美國的IEEE 802.11標(biāo)準(zhǔn)、歐洲的HiperLan標(biāo)準(zhǔn)以及中國的WAPI標(biāo)準(zhǔn)等。

WLAN面臨的安全威脅很多，按照攻擊者在安全威脅中的作用，安全威脅可以分為安全攻擊和被動攻擊兩種；按照攻擊過程中是否需要密鑰，安全威脅又分為針對密鑰、無需密鑰兩類。被動攻擊方法只是對網(wǎng)絡(luò)資源進行非授權(quán)訪問，并不會進行修改；主動攻擊會修改網(wǎng)絡(luò)消息的內(nèi)容。被動攻擊和主動攻擊并不是完全孤立的，兩者往往會被深層次結(jié)合在一起，此時無線網(wǎng)絡(luò)安全面臨著更嚴(yán)重的挑戰(zhàn)。

整體上看，無線網(wǎng)絡(luò)面臨的安全問題主要表現(xiàn)在如下方面[1]：（1）移動設(shè)備的組網(wǎng)方式使得對無線網(wǎng)絡(luò)的管理比較困難。（2）開放的無線通信信道會泄漏通信信號。針對上述問題，在解決無線網(wǎng)絡(luò)的安全性問題時，可以提出對應(yīng)的解決方案，在具備認(rèn)證、加密的基礎(chǔ)上，提供數(shù)據(jù)完整性和不可否認(rèn)的功能。

2 無線網(wǎng)絡(luò)中的安全機制

在傳統(tǒng)的無線網(wǎng)絡(luò)接入控制中，無線網(wǎng)絡(luò)被劃分為可信和不可信兩個部分，無線接入控制系統(tǒng)由申請方（客戶端）、認(rèn)證方（無線接入控制點）和授權(quán)方組成。在無線網(wǎng)絡(luò)發(fā)展過程中，認(rèn)證方和授權(quán)方是一個實體，后來隨著網(wǎng)絡(luò)的復(fù)雜才獨立出授權(quán)方。認(rèn)證方式包括開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證兩類，前者也叫空認(rèn)證，是默認(rèn)的認(rèn)證機制，采用這種認(rèn)證方式的客戶端都可以認(rèn)證成功；后者是可選認(rèn)證，需要WEP協(xié)議的支持?？蛻舳耸紫认蛘J(rèn)證方（AP）發(fā)送認(rèn)證請求，AP給客戶端返回一個質(zhì)詢文本，客戶端利用WEP協(xié)議中的加密算法加密此文本，并再次返回給AP；AP將被加密的質(zhì)詢文本解密后，和發(fā)送給客戶端的質(zhì)詢文本明文比對，如果兩者一致就認(rèn)為客戶端認(rèn)證成功。

WEP協(xié)議在完整性保護、無線接入控制等方面尚存在一定缺陷，802.11i標(biāo)準(zhǔn)中用AES算法代替了RC4算法，為在用戶接入網(wǎng)絡(luò)時在網(wǎng)絡(luò)入口處進行接入控制，使用了802.1X標(biāo)準(zhǔn)。802.1X標(biāo)準(zhǔn)的正式名稱是“基于端口的網(wǎng)絡(luò)接入控制”，其中端口并不僅僅限于實際的物理端口，邏輯端口等都可以被看作是無線網(wǎng)絡(luò)中的通信信道。802.1X標(biāo)準(zhǔn)的實體和傳統(tǒng)的無線網(wǎng)絡(luò)類似，也包含申請者、認(rèn)證者以及認(rèn)證服務(wù)器三部分[2]。申請者一般是支持WLAN的客戶端，如手機以及PC等，客戶端上要安裝IEEE 802.1X軟件。認(rèn)證方的作用是控制接入，每個用戶的認(rèn)證方都有受控端和非受控端兩個邏輯端口，前者只有在認(rèn)證通過后才打開，后者一直打開，目的是傳輸認(rèn)證報文。認(rèn)證服務(wù)器保存了所有需要認(rèn)證用戶的相關(guān)信息，以決定用戶是否可以接入無線網(wǎng)絡(luò)。這三方都只是邏輯實體，實際應(yīng)用中可以對應(yīng)多個物理設(shè)備，也可以對應(yīng)一個物理設(shè)備。

無線網(wǎng)絡(luò)中安全機制的安全性能主要取決于三點：加解密算法的長度、密鑰長度以及密鑰的分配管理策略。密鑰管理的目的是安全的維護密鑰的生成、銷毀等過程。密鑰的分配過程如下[3]：認(rèn)證方與認(rèn)證服務(wù)器建立一個安全通道，然后借助認(rèn)證及密鑰交換的方式產(chǎn)生會話主密鑰（MSK）；接下來申請方及認(rèn)證方會用MSK計算得到成對的主密鑰（PMK），PMK被通過安全通道傳送給認(rèn)證方；然后申請方和認(rèn)證方借助EAPoL-Key的四步握手機制確定密鑰的有效性，并得到用于完整性校驗的臨時密鑰PTK；最后，申請方和認(rèn)證方協(xié)商得到組密鑰，用于保護廣播數(shù)據(jù)。

3 無線接入點安全協(xié)議分析

我國的無線安全標(biāo)準(zhǔn)是基于WAPI協(xié)議的，WAPI協(xié)議和認(rèn)證服務(wù)器共同完成用戶認(rèn)證過程。在鑒別及密鑰協(xié)商方面，WAPI協(xié)議的過程主要是[4]：用戶的無線設(shè)備和接入控制設(shè)備建立無線鏈路，此過程完成后會觸發(fā)對無線設(shè)備的認(rèn)證過程；認(rèn)證服務(wù)器認(rèn)證接入點的身份，并將認(rèn)證結(jié)果發(fā)送給客戶端，認(rèn)證成功的話就直接進入到密鑰協(xié)商的過程，并允許用戶接入無線網(wǎng)絡(luò)，否則不允許用戶接入。

WAPI協(xié)議借助數(shù)字證書驗證雙方身份，每次客戶端首次或重新連接到無線網(wǎng)絡(luò)時、或者密鑰更新時，都會激活證書的鑒別過程。如果客戶端和無線接入點的證書鑒別成功，就會進入單播密鑰協(xié)商階段，此時接入點向無線終端發(fā)送密鑰協(xié)商請求報文，對方生成對應(yīng)的響應(yīng)報文并發(fā)回接入點，無線終端收到接入點的確認(rèn)報文后，開始進行數(shù)據(jù)傳輸。

單播密鑰協(xié)商階段完成后，會進入組播密鑰協(xié)商過程。單播密鑰協(xié)商過程中生成的通告密鑰（NMK）被用于對報文加密，組播密鑰的信息是利用交互組播密鑰協(xié)商報文得到的?？蛻舳撕徒尤朦c都得到NMK后，就能夠用SHA算法計算得到長度為256位的組播密鑰。

在經(jīng)過身份認(rèn)證、單播密鑰協(xié)商以及組播密鑰更新三階段后，就可以實現(xiàn)無線接入點的安全控制。正是因為其在無線接入點上的安全控制方案，WAPI才成為中國的自主無線安全標(biāo)準(zhǔn)。

參考文獻

[1]白文遠，保承家.無線局域網(wǎng)絡(luò)通信安全問題分析[J].電子技術(shù)與軟件工程，2014.

[2]陳玉霞.物聯(lián)網(wǎng)安全問題之無線傳感器網(wǎng)絡(luò)安全研究[J].信息通信，2014.

[3]徐勇.無線局域網(wǎng)安全保密管控技術(shù)研究[J].信息安全與技術(shù)，2014.

[4]原錦明.無線局域網(wǎng)常見漏洞及安全策略[J].電腦編程技巧與維護，2014.

作者簡介：王陳喜（1986，8-），男，云南省怒江州，現(xiàn)職稱：助理工程師，學(xué)歷：本科，研究方向：網(wǎng)絡(luò)信息技術(shù)及運維。