王實(shí)

摘要：WLAN屬于一種新型網(wǎng)絡(luò)技術(shù)，在現(xiàn)代網(wǎng)絡(luò)通信中具有多種優(yōu)勢，如在安裝的過程中無需布線，可將安裝周期縮短，便于開展后期維護(hù)工作等，且在使用WLAN的過程中方便增加用戶與遷移用戶。在WLAN得到廣泛應(yīng)用的同時(shí)，潛在的安全問題也逐漸暴露。目前禁用WEAN的組織及企業(yè)數(shù)量在增加，如美國LLNC等對此，應(yīng)充分重視探索WLAN通信的安全機(jī)制，注重強(qiáng)化安全機(jī)制，從而加快WLAN的發(fā)展。文章分析了WLAN通信安全風(fēng)險(xiǎn)，并探討了WLAN通信安全機(jī)制，包括常規(guī)安全機(jī)制與安全機(jī)制的完善對策。

關(guān)鍵詞：通信安全；局域網(wǎng)；無線；機(jī)制

無線局域網(wǎng)（WLAN）可以利用電磁波技術(shù)與射頻技術(shù)傳輸信息，實(shí)現(xiàn)空中通信連接，具有存取架構(gòu)簡單的特點(diǎn)，圖形、語音及數(shù)據(jù)可以通過WLAN在任何時(shí)間與地點(diǎn)進(jìn)行傳播。由于WLAN的架設(shè)無需雙絞銅線，能有效延伸局域網(wǎng)絡(luò)的覆蓋范圍，因此為無固定場所使用網(wǎng)絡(luò)者、有線網(wǎng)絡(luò)架設(shè)受到環(huán)境限制的網(wǎng)絡(luò)使用者提供了便利，同時(shí)也可作為有線網(wǎng)絡(luò)備用系統(tǒng)。在WLAN得到廣泛應(yīng)用的同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題也日益凸現(xiàn)，致使通信環(huán)境受到嚴(yán)重影響。本文分析了WLAN通信安全機(jī)制，旨在提升WLAN的安全等級(jí)。

1 WLAN通信安全風(fēng)險(xiǎn)

WLAN的組網(wǎng)方式較為靈活，且具有接入方便的特點(diǎn)，在WLAN中傳輸信息的介質(zhì)為無線路徑，相對開放的無線路徑雖然給信息傳輸帶來了方便，但也造成WLAN通信設(shè)計(jì)存在一定的安全風(fēng)險(xiǎn)。目前WLAN中的安全風(fēng)險(xiǎn)主要包括2點(diǎn)：（1）WLAN的傳輸媒介為無線電波，難以對通信物理范圍作出有效限制，WLAN通信信號(hào)可以通過電波傳輸?shù)椒穷A(yù)期地域，再加上WLAN通信區(qū)域中的AP可形成供用戶進(jìn)入局域網(wǎng)的新入口，因此難以采用管理傳統(tǒng)通信用戶端口的方法管理WLAN通信安全。在用戶端口安全難以得到有效管理的情況下，WLAN通信過程就會(huì)遭到惡意攻擊或病毒攻擊等，進(jìn)而形成通信安全風(fēng)險(xiǎn)。（2）由于WLAN傳輸信息時(shí)使用了可以實(shí)現(xiàn)共享的電磁波，這就為竊取信號(hào)及非法解碼分析的違法犯罪人員提供了便利，尤其是在WLAN為默認(rèn)及不加密狀態(tài)時(shí)，能接收到WLAN信號(hào)的人員可通過解碼分析竊取重要信息。在WLAN中應(yīng)用擴(kuò)頻技術(shù)雖然能夠在一定程度上阻止竊聽，但WLAN的信號(hào)傳輸過程極容易受到干擾，且難以查出干擾源。此外，在WLAN中傳輸信息時(shí)需要發(fā)送信息幀，但無法認(rèn)證操作信息幀，信息竊取人員可以對信息幀進(jìn)行欺騙，并對數(shù)據(jù)傳輸流進(jìn)行重新定向，因此在WLAN通信中可出現(xiàn)會(huì)話攔截、地址欺騙、拒絕服務(wù)、修改或截取傳輸數(shù)據(jù)、信息泄露等安全風(fēng)險(xiǎn)。

2 WLAN通信安全機(jī)制

2.1常規(guī)安全機(jī)制

為了防范WLAN通信中存在的安全風(fēng)險(xiǎn)，目前已經(jīng)形成了由網(wǎng)絡(luò)層、鏈路層與物理層3個(gè)層次組成的安全風(fēng)險(xiǎn)防范機(jī)制：（1）物理層。物理層面的安全機(jī)制主要包括防竊聽、抗衰落及抗干擾3個(gè)方面。組建WLAN時(shí)依據(jù)的標(biāo)準(zhǔn)包括IEEE802.11g，IEEE802.11a，IEEE802.11b及IEEE802.11等，在依據(jù)上述標(biāo)準(zhǔn)的基礎(chǔ)上需要通過完善射頻技術(shù)才能夠有效提高WLAN無線信號(hào)的傳輸速率與抗干擾能力。目前，跳頻擴(kuò)頻技術(shù)已經(jīng)逐漸取代了序列式直接擴(kuò)頻技術(shù)，基于IEEE802.11b及IEEE802.11n標(biāo)準(zhǔn)的WLAN傳輸體系已經(jīng)應(yīng)用了正交頻分射頻技術(shù)及補(bǔ)碼鍵控技術(shù)?；贗EE802.11n標(biāo)準(zhǔn)的WLAN還可以將正交頻技術(shù)與多入多出技術(shù)結(jié)合在一起，這就可以從物理層面上有效提高WLAN通信的安全性。（2）網(wǎng)絡(luò)層。WLAN中網(wǎng)絡(luò)層通信安全保護(hù)機(jī)制的作用在于保密傳輸與訪問控制。在IEE802標(biāo)準(zhǔn)下，WLAN中的網(wǎng)絡(luò)層配置了VPN、身份認(rèn)證方式及標(biāo)識(shí)符SSID，上述3種技術(shù)可以為網(wǎng)絡(luò)層的通信安全提供有效保障。此外，基于IEEE802標(biāo)準(zhǔn)的認(rèn)證協(xié)議可以明確定義用戶接入端口，因此能有效控制訪問權(quán)限，防止非授權(quán)用戶侵入WLAN中竊取數(shù)據(jù)信息。認(rèn)證協(xié)議還可以借助EAP對WLAN通信中的授權(quán)過程進(jìn)行控制，從而進(jìn)一步強(qiáng)化通信安全保護(hù)機(jī)制。（3）鏈路層。鏈路層通信安全保護(hù)機(jī)制的主要作用在于加密WLAN中的數(shù)據(jù)信息。IEEE802.11加密方案為WEP協(xié)議，WEP的加密算法為RC4，RC4算法是一種基于對稱流的加密技術(shù)，因此WEP可以有效保護(hù)WLAN信號(hào)的完整性與保密性，阻止不具有訪問權(quán)限的用戶端進(jìn)入WLAN中，WEP所提供的鏈路層保護(hù)等級(jí)與同級(jí)別有線網(wǎng)絡(luò)的安全保護(hù)等級(jí)相同。目前，IEEE802已經(jīng)推出了WEP2安全加密技術(shù)，WEP2安全防護(hù)等級(jí)與密碼長度有關(guān)，可以利用密鑰的混合函數(shù)及完整消息代碼組建完整臨時(shí)密鑰協(xié)議，即TKIP，因此WPA2也可以利用AES算法保護(hù)鏈路層的安全。

2.2安全機(jī)制的完善

2.2.1 MAC地址欺騙的檢測

MAC地址欺騙是威脅WLAN通信安全的常見問題，為了完善安全機(jī)制，應(yīng)注意檢測地址欺騙的攻擊行為。在檢測地址欺騙安全攻擊行為時(shí)可以采用以下方法：先對WLAN中惡意用戶設(shè)備MAC地址進(jìn)行檢測，檢測設(shè)備MAC地址后利用匹配單元完成匹配，同時(shí)在匹配后利用數(shù)據(jù)分析惡意用戶設(shè)備MAC源地址、信號(hào)強(qiáng)度等，隨后根據(jù)信號(hào)強(qiáng)度及源地址等定位設(shè)備所在位置?？梢圆捎门cMAC欺騙相匹配的數(shù)據(jù)結(jié)構(gòu)進(jìn)行無線AP檢測，例如可以將信息竊取者數(shù)據(jù)結(jié)構(gòu)定義如下：struct illap{String macaddress；String apssid；TimetimestarL；…）illap。在上述數(shù)據(jù)結(jié)構(gòu)中，數(shù)據(jù)包序列號(hào)循環(huán)1次的時(shí)間約為10分鐘，在檢測地址欺騙時(shí)需要在規(guī)定的時(shí)間內(nèi)根據(jù)序列號(hào)變化情況完成統(tǒng)計(jì)分析，隨后利用分析結(jié)果判定是否存在地址欺騙的惡意攻擊行為。如分析結(jié)果處于連續(xù)狀態(tài)，則無地址欺騙惡意攻擊；如分析結(jié)果處于無故中斷狀態(tài)，則可以判定存在地址欺騙惡意攻擊行為。在對匹配單元進(jìn)行檢測的過程中，需要嚴(yán)格按照設(shè)計(jì)的序列號(hào)傳送數(shù)據(jù)幀，在接收到數(shù)據(jù)幀之后，觀察傳送時(shí)與接收時(shí)的數(shù)據(jù)幀順序是否發(fā)生變化，如發(fā)生變化，則應(yīng)高度警惕地址欺騙惡意攻擊。在發(fā)送數(shù)據(jù)幀時(shí)可以先發(fā)送大序列號(hào)，隨后再發(fā)送小序列號(hào)，確保數(shù)據(jù)幀的排列順序處于遞減狀態(tài)，從而提高地址欺騙的檢測效率。

2.2.2基于PPTP-VPN通信的安全設(shè)計(jì)

PPTP-VPN通信安全設(shè)計(jì)是基于點(diǎn)對點(diǎn)傳輸信道、VPN技術(shù)、安全認(rèn)證方式及加密技術(shù)建立起的一種通信安全機(jī)制。PPTP-VPN安全設(shè)計(jì)可以在Linux VPN中應(yīng)用，安全保護(hù)機(jī)制的實(shí)現(xiàn)方式如下：客戶端需要通過WAP加密技術(shù)的認(rèn)證才能接入到無線網(wǎng)絡(luò)當(dāng)中，隨后WLAN中的接入點(diǎn)將會(huì)利用密鑰對用戶端進(jìn)行判斷，如為合法用戶，則允許用戶接入到WLAN中，對于非法用戶，則拒絕訪問。在用戶端成功接入WLAN時(shí)，PPTP-WPN系統(tǒng)將會(huì)設(shè)定網(wǎng)絡(luò)參數(shù)，一個(gè)用戶端對應(yīng)唯一網(wǎng)絡(luò)參數(shù)，因此能夠保證VPN服務(wù)器與無線AP實(shí)現(xiàn)有效對接，同時(shí)禁止VPN服務(wù)器對非法用戶開放。在VPN服務(wù)器響應(yīng)用戶端所發(fā)送的連接密碼與用戶名之后，服務(wù)器將在第一時(shí)間驗(yàn)證用戶端所發(fā)送的信息是否合法，確認(rèn)信息合法后立即向AP發(fā)送信息，在AP接收到信息后，將會(huì)重新檢查用戶端信息；同時(shí)向ACL表發(fā)送經(jīng)過更新處理的信息，ACL表接收信息后進(jìn)行驗(yàn)證，通過驗(yàn)證后便可以向用戶開放網(wǎng)絡(luò)信息傳輸服務(wù)。為了使PPTP-VPN系統(tǒng)實(shí)現(xiàn)上述功能，則需要設(shè)計(jì)以下模塊，即網(wǎng)絡(luò)控制、網(wǎng)關(guān)控制、密碼加密與安全認(rèn)證模塊。網(wǎng)絡(luò)控制子模塊主要負(fù)責(zé)為用戶分配IP，在分配地址時(shí)需要嚴(yán)格遵循DHCP傳輸協(xié)議，在分配地址的同時(shí)還需要及時(shí)獲取MAC地址，同時(shí)在ACL表格中填寫MAC地址，以便能夠及時(shí)記錄與分析用戶端向服務(wù)器發(fā)送的信息，從而控制網(wǎng)絡(luò)的安全性。網(wǎng)關(guān)控制子模塊的主要功能為將VPN信息轉(zhuǎn)發(fā)給服務(wù)器，以便為VPN服務(wù)的開放或限制提供有效依據(jù)。密碼加密子模塊的作用在于確定VPN與WPA的加密方式。安全認(rèn)證子模塊的作用為判定VPN服務(wù)器所接收的用戶名及密碼等是否合法，判定的主要依據(jù)為設(shè)計(jì)函數(shù)。

2.2.3應(yīng)用IBS安全接入技術(shù)

IBS指的是身份簽名，應(yīng)用基于IBS的安全接入技術(shù)可以在WLAN中實(shí)現(xiàn)雙向認(rèn)證接入，因此能夠有效控制密鑰安全，避免未知的密鑰被非法分享，這樣就可以有效保障WLAN的通信安全。相對于WAP12與EAP-TLS接入方案而言，IBS接入還具有認(rèn)證效率較高及無需證書認(rèn)證的特點(diǎn)，有助于防止非法入侵。IBS安全接入方案的WLAN拓?fù)浣Y(jié)構(gòu)，拓?fù)浣Y(jié)構(gòu)當(dāng)中的SU為用戶端認(rèn)證模塊，該模塊具有申請認(rèn)證的功能，在用戶端的申請通過后方可進(jìn)XWLAN中訪問相關(guān)的信息。AP為認(rèn)證系統(tǒng)，能夠判斷用戶是否具有訪問、傳遞AS模塊及SU模塊中信息的權(quán)限。AS為服務(wù)器，該模塊的功能為驗(yàn)證用戶端與AP之間、SU之間傳遞的密鑰信息是否合法，并響應(yīng)AP模塊與SU模塊會(huì)話密鑰。CA及PKG均為服務(wù)器，負(fù)責(zé)將證書、憑證及私鑰發(fā)送到AS模塊與SU模塊中?；谏鲜鐾?fù)浣Y(jié)構(gòu)設(shè)計(jì)的IBS安全接入技術(shù)的實(shí)現(xiàn)步驟包括初始化、接入認(rèn)證、接入控制及通信。初始化流程指的是CA服務(wù)器及PKG服務(wù)器生成與發(fā)布WLAN通信公共參數(shù)，在公共參數(shù)發(fā)布后，局域網(wǎng)中的用戶就能夠接收到認(rèn)證信息與公共參數(shù)，并利用憑證、證書及密鑰等認(rèn)證信息申請接入WLAN中。接入認(rèn)證流程指的是Su模塊根據(jù)密鑰認(rèn)證用戶信息，并在確認(rèn)用戶身份合法后簽名，隨后向AP模塊發(fā)送簽名，發(fā)送后由AS服務(wù)器對會(huì)話密鑰進(jìn)行計(jì)算。接入控制流程指的是Su模塊數(shù)據(jù)的合法性得到AS的認(rèn)證后，AS模塊需要重新向AP模塊發(fā)送私鑰簽名，隨后由AP模塊對私鑰簽名進(jìn)行加密處理，并向SU模塊發(fā)送經(jīng)過加密處理的信息。在SU模塊接收到信息后便可以對用戶的接入過程進(jìn)行控制。通信流程指的是AP模塊向SU模塊返回?cái)?shù)據(jù)信息后，SU模塊需要對會(huì)話密鑰重新計(jì)算，并通過計(jì)算解密AP模塊簽名，解密后對AS簽名信息的合法性進(jìn)行驗(yàn)證，如驗(yàn)證的過程中發(fā)現(xiàn)會(huì)話密鑰合法，則允許用戶通過AP對外部網(wǎng)絡(luò)進(jìn)行訪問。

3結(jié)語

總之，安全機(jī)制存在缺陷是限制WLAN實(shí)現(xiàn)進(jìn)一步發(fā)展的重要因素，在應(yīng)用WLAN技術(shù)時(shí)要注重了解網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，并在明確安全保護(hù)機(jī)制的基礎(chǔ)上采取必要措施維護(hù)WLAN的通信安全，包括采用IBS安全接入技術(shù)。基于PPTP-WPN通信的安全設(shè)計(jì)技術(shù)及MAC地址欺騙的檢測技術(shù)等。