無線局域網(wǎng)通信安全機(jī)制研究

孟清,劉運(yùn),鄺月娟

摘 要：隨著無線局域網(wǎng)(WLAN)應(yīng)用規(guī)模不斷擴(kuò)大，其通信安全問題備受業(yè)界關(guān)注。通過分析現(xiàn)有的WLAN在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層三個層次的安全機(jī)制，從訪問控制和數(shù)據(jù)加密兩個方面指出了其局限性和缺陷，提出了運(yùn)用隔離技術(shù)、升級加密方案和VPN技術(shù)等措施構(gòu)建多層次的安全體系，確保WLAN通信安全。

關(guān)鍵詞：無線局域網(wǎng)； 安全通信； 安全體系; VPN

中圖分類號：TN918-34

文獻(xiàn)標(biāo)識碼：A

文章編號：1004-373X(2011)09-0102-03

Study on Security Mechanism of Wireless LAN Communication

MENG Qing1, LIU Yun2, KUANG Yue-juan1

(1. Hunan Mass Media College, Changsha 410100, China;

2. School of Computer Science, National Universi of Defense Technology, Changsha 410073, China)

Abstract： With the development of wireless LAN, people pay more attention to the communication security. The limitation and flaw about access control and data encryption are pointed out on the basis of analysis of the safety mechanism in phy-sics layer, data link layer and network layer. A multilayer safety system built by isolation technology, upgrade encryption and VPN technology is put forward to ensure the communication security.

Keywords： wireless ALN; safety communication; safety system; VPN

0 引 言

近年來，無線局域網(wǎng)(WLAN)的市場、應(yīng)用和服務(wù)快速發(fā)展，規(guī)模不斷擴(kuò)大，但是由于WLAN無線信號的開放性和IEEE 802．11協(xié)議自身固有的脆弱性，出現(xiàn)了大量針對WLAN的攻擊手段，非法用戶在能夠接收到無線信號的任何地方都可以發(fā)起對WLAN的攻擊，基于WLAN的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊事件不斷增多，導(dǎo)致WLAN的安全無法得到保障，禁止使用WLAN的企業(yè)和組織也在逐漸增多，WLAN的安全問題也正變得越來越突出。

1 WLAN安全機(jī)制

WLAN是利用射頻技術(shù)進(jìn)行數(shù)據(jù)通信的開放式系統(tǒng)，其安全性與有線網(wǎng)絡(luò)相比主要體現(xiàn)在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層，其他層次安全性和有線網(wǎng)絡(luò)類似。

1.1 物理層安全

目前各種WLAN物理層安全主要圍繞無線信號的抗干擾、抗衰落和抗竊聽三個方面展開。

WLAN主要標(biāo)準(zhǔn)有IEEE 802.11,IEEE 802.11b,IEEE 802.11a和IEEE 802.11g，為提高無線信號干擾、傳輸速率的性能，射頻技術(shù)從直接序列擴(kuò)頻技術(shù)(DSSS)和跳頻擴(kuò)頻(FHSS),發(fā)展到IEEE 802.11b的使用補(bǔ)碼鍵控(CCK)到IEEE 802.11a使用的正交頻分復(fù)用(OFDM)，去年通過的IEEE 802.11n利用MIMO和OFDM相結(jié)合，在高速數(shù)據(jù)傳輸、安全性和QoS等方面進(jìn)行了新的改進(jìn)。

1.2 數(shù)據(jù)鏈路層安全

數(shù)據(jù)鏈路層安全主要圍繞數(shù)據(jù)加密展開。

IEEE 802.11b采用有線等價保密協(xié)議(WEP)的加密方案［1］。WEP利用對稱流密碼技術(shù)的RC4算法進(jìn)行加密，在當(dāng)時情況下，WEP對于無線通信信號的保密性和完整性，防止非授權(quán)訪問方面為WLAN提供一定程度安全措施，通過WEP提供與有線網(wǎng)絡(luò)同級別的安全防護(hù)。

WLAN高速發(fā)展后，WEP的安全問題不斷顯現(xiàn)，IEEE 802.11i通過增加IV和密碼長度等方法推出了WEP2加密方案，通過增加消息完整性代碼(MIC)和包密鑰混合函數(shù)推出了臨時密鑰完整性協(xié)議(TKIP)［2］,最終提出了基于AES算法的WPA2。

1.3 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全主要圍繞WLAN訪問控制和數(shù)據(jù)保密傳輸兩方面展開。

IEEE 802.11b標(biāo)準(zhǔn)通過服務(wù)配置標(biāo)識符SSID、身份認(rèn)證和虛擬專用網(wǎng)VPN在網(wǎng)絡(luò)提供網(wǎng)絡(luò)層安全保障。

IEEE 802.11x認(rèn)證協(xié)議通過對接入端口定義實(shí)現(xiàn)了訪問控制。該協(xié)議將訪問端口定義為非授權(quán)和授權(quán)端口控制用戶數(shù)據(jù)傳輸，借助EAP認(rèn)證協(xié)議為WLAN設(shè)備提供認(rèn)證和授權(quán)［3］。

2 WLAN安全機(jī)制缺陷

隨著WLAN應(yīng)用范圍不斷擴(kuò)大和對WLAN技術(shù)研究的深入，WLAN安全機(jī)制缺陷不斷顯現(xiàn)出來，主要集中在訪問控制和數(shù)據(jù)加密兩個方面。

2.1 訪問控制

2.1.1 非法獲取服務(wù)集標(biāo)示(SSID)

為對網(wǎng)絡(luò)資源訪問的權(quán)限進(jìn)行限制，無線客戶端需要擁有正確的SSID才能訪問無線接入點(diǎn)(AP)。AP初始化配置為廣播SSID，惡意客戶端只要在AP通信范圍之內(nèi)，就可以收到SSID，對于部分更改為不廣播SSID的AP，惡意客戶端通過掃描工具獲得部分?jǐn)?shù)據(jù)進(jìn)行分析就可以得到SSID。

所以對于利用SSID進(jìn)行權(quán)限限制只能提供低級別的安全防護(hù)。

2.1.2 惡意修改MAC地址

AP保存一張允許訪問的MAC地址表，實(shí)現(xiàn)基于MAC地址過濾，對于較多的MAC可以利用集中的RADIUS認(rèn)證。惡意客戶端可以利用軟件修改自己MAC和合法MAC一致，達(dá)到欺騙AP的目的。

所以對于利用MAC過濾進(jìn)行權(quán)限限制也只能提供低級別的安全防護(hù)。

2.1.3 利用IEEE 802.11x認(rèn)證缺陷

IEEE 802.11x認(rèn)證是單向認(rèn)證，即只有對認(rèn)證申請者進(jìn)行可信認(rèn)證，而對認(rèn)證服務(wù)器不進(jìn)行認(rèn)證。所以出現(xiàn)了惡意客戶端假冒認(rèn)證服務(wù)器向認(rèn)證申請者發(fā)出確認(rèn)報文挾持合法客戶端的攻擊。

IEEE 802.11x規(guī)定認(rèn)證模式是可以協(xié)商的。所以惡意客戶端利用該弱點(diǎn)協(xié)商一種最簡單、最容易攻擊的認(rèn)證模式進(jìn)行認(rèn)證，利用協(xié)商認(rèn)證模式弱點(diǎn)進(jìn)行攻擊。

IEEE 802.11x規(guī)定當(dāng)客戶端斷開連接時，向服務(wù)器發(fā)送EAP-LOGOFF報文。惡意客戶端通過偽造正常通信客戶端的MAC等方法假冒客戶端發(fā)送EAP-LOGOFF報文，造成合法客戶端被迫斷開連接，從而實(shí)現(xiàn)拒絕服務(wù)攻擊。

2.2 數(shù)據(jù)加密

IEEE 802.11b使用的WEP加密方案中的IV由于長度過短和初始化復(fù)位的特點(diǎn)，在實(shí)際使用的時候容易出現(xiàn)重用現(xiàn)象，從而被攻擊者破解密鑰。

WEP使用循環(huán)冗余校驗(yàn)進(jìn)行信息完整性驗(yàn)證，但是這種線性運(yùn)行在不改變數(shù)據(jù)位數(shù)的情況下，篡改部分?jǐn)?shù)據(jù)不會被發(fā)現(xiàn)。惡意客戶端利用這一特點(diǎn)，修改部分?jǐn)?shù)據(jù)，如IP地址，實(shí)現(xiàn)IP地址欺騙等攻擊。

3 應(yīng)對措施

由于WLAN傳輸介質(zhì)的開放性為攻擊者提供了有利條件，而且利用SSID限制、MAC地址過濾和WEP加密方案進(jìn)行安全防護(hù)，目前都已經(jīng)被驗(yàn)證有不少漏洞，但是由于技術(shù)研究與網(wǎng)絡(luò)產(chǎn)品之間的傳遞滯后性，導(dǎo)致目前存在的大量支持舊標(biāo)準(zhǔn)的無線設(shè)備在很長一段時間內(nèi)仍然處于主導(dǎo)地位，比如實(shí)際應(yīng)用中WEP算法等仍然廣泛應(yīng)用于各種無線網(wǎng)絡(luò)設(shè)備中，給攻擊者打開方便之門，最近出現(xiàn)的“蹭網(wǎng)”現(xiàn)象就利用暴力破解加密算法原理的無線網(wǎng)卡實(shí)現(xiàn)，所以必需在現(xiàn)有的條件下對WLAN加強(qiáng)各級別安全防護(hù)。

3.1 運(yùn)用WLAN用戶隔離技術(shù)，建立初級防護(hù)體系

用戶隔離技術(shù)就是將靜態(tài)IP地址、MAC地址綁定和虛擬局域網(wǎng)(VLAN)端口三種措施結(jié)合起來進(jìn)行防護(hù)。

對于IP地址分配，為管理和使用簡單，管理員一般配置使用DHCP進(jìn)行動態(tài)地址分配，IP地址范圍是固定的地址池。對于惡意攻擊來說，獲知一個IP地址就可以簡單推算出連續(xù)的IP地址，可以實(shí)施較大規(guī)模的集中攻擊，實(shí)施數(shù)據(jù)修改、地址欺騙和會話攔截等行為。

所以對于小規(guī)模WLAN來說，關(guān)閉DHCP，通過為每個客戶端提供固定、離散的IP地址，然后將IP地址與客戶端網(wǎng)卡MAC進(jìn)行綁定，最后在局域網(wǎng)交換機(jī)實(shí)施居于IP地址的WLAN規(guī)劃，對客戶端進(jìn)行集中管理，這樣增加無線網(wǎng)絡(luò)攻擊難度，建立初級防護(hù)體系，提高無線通信的安全性。

3.2 升級加密方案，加強(qiáng)密鑰管理，防止惡意入侵

WEP加密體系在攻擊技術(shù)不斷進(jìn)步的同時已經(jīng)全面瓦解，為保障無線通信安全，在網(wǎng)絡(luò)設(shè)備允許的情況下，建議使用WPA2進(jìn)行加密，WPA2采用對稱加密系統(tǒng)(AES)，安全性相對WEP大大加強(qiáng)，其破解難度在使用雜亂字符下至少也要24 h以上，極大提供了攻擊門檻。

對于密鑰管理，建議用戶定期進(jìn)行更換，有必要時可以啟用獨(dú)立的認(rèn)證服務(wù)器實(shí)施密鑰的分配和管理。

3.3 引入虛擬專用網(wǎng)(VPN)技術(shù)，確保無線通信安全

在小型WALN中可以運(yùn)用WLAN用戶隔離技術(shù)建立起初級防護(hù)體系，但是對于大型的WALN中由于節(jié)點(diǎn)眾多，維護(hù)IP地址、MAC地址列表和AP的WEP加密密鑰都是難以實(shí)行的管理任務(wù)，可見大型的、安全性要求高的WALN利用隔離技術(shù)已經(jīng)不符合要求，必須引入新的無線通信安全體系。

VPN是一種在公用網(wǎng)絡(luò)上建立私有網(wǎng)的技術(shù)，主要采用隧道、認(rèn)證、加密和訪問控制技術(shù)在公網(wǎng)上建立一個臨時、安全的連接。實(shí)施VPN的目的就是要在不安全的公網(wǎng)上進(jìn)行安全的通信，同樣可以在開放的WALN中實(shí)施VPN，實(shí)現(xiàn)無線客戶端同安全網(wǎng)關(guān)保護(hù)的局域網(wǎng)之間進(jìn)行數(shù)據(jù)的安全傳輸。因此在WLAN中引入該技術(shù)將極大提高無線通信安全性。

在WALN中引入VPN技術(shù)后，WLAN利用VPN的用戶認(rèn)證機(jī)制確保只有己被授權(quán)的無線客戶端才能夠進(jìn)行無線通信連接、發(fā)送和接收數(shù)據(jù)。VPN的加密體系采用MD5等加密算法確保即使惡意節(jié)點(diǎn)攔截竊聽到傳輸數(shù)據(jù)，沒有充足的時間和精力它也不能將這些信息解密。VPN的數(shù)據(jù)認(rèn)證體系確保在WLAN傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自WLAN認(rèn)證的設(shè)備。

4 結(jié) 語

隨著國內(nèi)無線城市、三網(wǎng)融合等應(yīng)用即將進(jìn)入實(shí)際運(yùn)行，WLAN的應(yīng)用范圍還將不斷擴(kuò)大，因此WALN的安全問題也將越來越受到重視。加強(qiáng)WLAN安全管理，根據(jù)WALN規(guī)模，適當(dāng)運(yùn)用用戶隔離技術(shù)、升級加密方案和VPN技術(shù)等措施，在一定程度上可以確保無線通信的安全性。相信隨著WLAN安全技術(shù)研究的不斷完善，合理構(gòu)建多層次的安全體系，制定規(guī)范和有效的管理措施，相信在將來，無線局域網(wǎng)將以它的靈活性在新的應(yīng)用領(lǐng)域發(fā)揮更加重要的作用。

參考文獻(xiàn)

［1］

SITHIRASENAN E, MUTHUKKUMARASAMY V D. IEEE 802.11i WLAN security protocol-a software engineer′s model [C]// Proceedings of the 4th Asia Pacific Security Conference on Information Technology. Australia: SCIT, 2005: 39-50.

［2］陳卓，王瑞民．TKIP的MIC-Michael算法和安全性分析［J］.計算機(jī)工程與設(shè)計，2006，27(7)：1149-1150.

［3］薛雨楊，周顥.無線局域網(wǎng)802.1 X協(xié)議安全性分析與檢測［J］.西安交通大學(xué)學(xué)報，2009，43(10):52-55.

［4］SITHIRASENAN E, MUTHUKKUMARASAMY V. An early warning system for IEEE 802.11i wireless networks [C]// Proceedings of the 1st Australian Conference on Broadband Wireless and Ultra Wideband. Australian: BWUW, 2006: 25-30.

［5］王茂才，戴光明，宋軍，等.無線局域網(wǎng)安全性研究［J］.計算機(jī)應(yīng)用研究，2007，24(1)：158-160.

［6］趙偉艇，史玉珍.基于802.11i的無線局域網(wǎng)安全加密技術(shù)研究［J］.計算機(jī)工程與設(shè)計，2010，31(4)：760-762.

［7］陰國富.無線局域網(wǎng)安全加密算法的研究［J］.現(xiàn)代電子技術(shù)，2009，32(20)：91-92.

［8］王軍號.基于IEEE 802.11標(biāo)準(zhǔn)的無線局域網(wǎng)安全策略研究［J］.貴州大學(xué)學(xué)報：自然科學(xué)版，2009，26(6)：88-90.

［9］張軍.無線局域網(wǎng)信息安全問題探析［J］.重慶科技學(xué)院學(xué)報：社會科學(xué)版，2009，11(3)：119-121.

［10］王志新，許林英.無線局域網(wǎng)安全性研究［J］.微處理機(jī)，2009，30(3)：43-45.

［11］李宇，繆海燕．改進(jìn)基于WEP協(xié)議的無線局域網(wǎng)的安全［J］．計算機(jī)應(yīng)用，2007，27(6)：250-251．

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文