無線網(wǎng)絡(luò)安全技術(shù)分析及防范措施探討

李建強(qiáng)+白新泉

摘 要：隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及廣泛應(yīng)用，無線局域網(wǎng)安全問題越來越突出。通過對比分析不同發(fā)展階段的無線網(wǎng)絡(luò)安全認(rèn)證方式、無線局域網(wǎng)數(shù)據(jù)加密機(jī)制，針對無線局域網(wǎng)存在的安全問題，提出了相應(yīng)的無線安全解決措施，能夠為無線局域網(wǎng)安全防范提供借鑒。

關(guān)鍵詞：無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；無線協(xié)議；防范措施

中圖分類號：TN925+.93 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2017.06.038

1 安全概述

狹義的“無線網(wǎng)絡(luò)”，即基于802.11/b/g/n標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)，由于其具有可移動性、安裝簡單、高靈活性和高擴(kuò)展性，作為傳統(tǒng)有限網(wǎng)絡(luò)的延伸，在許多領(lǐng)域得到了廣泛應(yīng)用。由于無線局域網(wǎng)以電磁波作為主要傳輸介質(zhì)，設(shè)備之間可以相互接收數(shù)據(jù)，如果無線局域網(wǎng)不采用適當(dāng)?shù)逆溄诱J(rèn)證、數(shù)據(jù)加密機(jī)制，數(shù)據(jù)傳輸?shù)娘L(fēng)險就會加大。當(dāng)然，無線網(wǎng)絡(luò)發(fā)展起初，安全便是無線局域網(wǎng)系統(tǒng)的重要組成部分，客戶端接入無線網(wǎng)絡(luò)的過程為掃描、認(rèn)證、關(guān)聯(lián)、連接成功。無線網(wǎng)絡(luò)安全性保證，需要從認(rèn)證和加密2個安全機(jī)制來分析。認(rèn)證機(jī)制用來對客戶端無線接入身份進(jìn)行驗證，授權(quán)以后才可以使用網(wǎng)絡(luò)資源；加密機(jī)制用來對無線局域網(wǎng)的數(shù)據(jù)傳輸進(jìn)行加密，以保證無線網(wǎng)絡(luò)數(shù)據(jù)的通信安全。

2 鏈路認(rèn)證機(jī)制分析

客戶端（STA）獲得足夠的權(quán)限并擁有正確的密鑰以后才能進(jìn)行安全的、完整的、受保護(hù)的通信。鏈路認(rèn)證即身份驗證機(jī)制，認(rèn)證通過即授權(quán)以后才能訪問網(wǎng)絡(luò)資源。無線局域網(wǎng)中，客戶端同無線接入端進(jìn)行802.11關(guān)聯(lián)，首先必須進(jìn)行接入認(rèn)證。身份驗證是客戶端連接到無線網(wǎng)絡(luò)的起點，任何一個STA試圖連接網(wǎng)絡(luò)之前，都必須進(jìn)行802.11的身份驗證進(jìn)行身份確認(rèn)。802.11標(biāo)準(zhǔn)定義了2種鏈路層的認(rèn)證，即開放系統(tǒng)身份認(rèn)證和共享密鑰身份認(rèn)證。

開放系統(tǒng)身份認(rèn)證不需要確認(rèn)客戶端任何信息，和AP沒有交互身份信息，可以認(rèn)為是空加密，目的是使雙方都認(rèn)為應(yīng)該在后面使用更安全的加密方式。也可以認(rèn)為，先關(guān)聯(lián)后核對身份信息。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則STA發(fā)送的第一個Authentication報文只要是開放系統(tǒng)就通過認(rèn)證，接著就順利完成關(guān)聯(lián)。

共享密鑰身份認(rèn)證是一種增強(qiáng)無線網(wǎng)絡(luò)安全性的認(rèn)證機(jī)制，其在WEP機(jī)制中得到應(yīng)用。這種認(rèn)證的前提是STA和AP都有配置靜態(tài)的WEP密鑰，認(rèn)證的目的就是確認(rèn)兩者使用的密鑰是否一致。共享密鑰認(rèn)證是通過4個認(rèn)證幀的交互來完成的，STA首先發(fā)送一個認(rèn)證報文（Authentication報文）給AP，然后AP會給STA回復(fù)一個挑戰(zhàn)明文（Challenge包），接著STA使用密鑰對這個明文進(jìn)行加密并發(fā)送給AP，最后AP對其解密。如果解密成功且明文與最初給STA的字符串一致，則表示認(rèn)證成功并回復(fù)，接著為STA打開邏輯端口，便可以使用無線接入點服務(wù)，否則不允許用戶連接網(wǎng)絡(luò)。目前常用的鏈路認(rèn)證有PSK接入認(rèn)證、EAP拓展認(rèn)證。

預(yù)共享密鑰PSK是802.11i中定義的一種身份驗證方式，以預(yù)共享密鑰的方式對無線用戶接入進(jìn)行控制，并能動態(tài)產(chǎn)生密鑰，以保證無線局域網(wǎng)用戶的數(shù)據(jù)安全。該認(rèn)證方式要求無線客戶端和接入端配置相同的預(yù)共享密鑰。如果密鑰相同，則PSK接入認(rèn)證成功，否則認(rèn)證失敗，一般應(yīng)用于家庭或小型網(wǎng)絡(luò)公司。

EAP拓展認(rèn)證協(xié)議主要運行于數(shù)據(jù)鏈路層，比如PPP、有臺認(rèn)證服務(wù)器來處理。這種架構(gòu)拓展了EAP的適用范圍。AAA（認(rèn)證、授權(quán)、計費）認(rèn)證是基于EAP協(xié)議，屬于BAS的一種具體形式，包括常用的RADIUS服務(wù)器等。如果沒有后臺驗證服務(wù)器，EAP服務(wù)器功能就在驗證請求實體中，無線網(wǎng)絡(luò)一般是AP。

3 無線加密方式對比

無線網(wǎng)絡(luò)加密主要是對數(shù)據(jù)鏈路層（包含媒介訪問控制、邏輯鏈路控制部分）進(jìn)行加密，目前無線局域網(wǎng)涉及到的加密算法有有線等效加密（WEP）、暫時密鑰集成協(xié)議（TKIP）和高級加密標(biāo)準(zhǔn)AES-CCMP。

3.1 有線等效加密

有線等效加密是目前802.11無線加密的基礎(chǔ)，是無線網(wǎng)絡(luò)基礎(chǔ)安全加密機(jī)制。其通過共享密鑰來實現(xiàn)認(rèn)證，認(rèn)證機(jī)制簡單，并且是單向認(rèn)證，沒有密鑰管理、更新及分發(fā)機(jī)制。完全手工配置并不方便，所以用戶往往不更改。802.11定義了2個WEP版本，WEP-40和WEP-104，分別支持64，128位加密，含24位初始化向量IV，因此無線設(shè)備上配置的共享密鑰為40或104位，其還包括一個數(shù)據(jù)校驗機(jī)制ICV，用來保護(hù)信息傳輸不被篡改。隨著技術(shù)的不斷發(fā)展，發(fā)現(xiàn)WEP存在許多密碼學(xué)缺陷，基礎(chǔ)缺陷是RC4加密算法以及短IV向量。另外，還發(fā)現(xiàn)其容易受到重傳攻擊。ICV也有弱點。雖然WEP協(xié)議通過高位WEP和動態(tài)WEP方式改進(jìn)，但是有實驗證明高位WEP雖然密碼復(fù)雜程度高，但核心算法RC4已經(jīng)公開，破解花費時間不是很長，根本無法保證數(shù)據(jù)的機(jī)密性、完整性和用戶身份認(rèn)證。動態(tài)WEP，指定期動態(tài)更新密鑰，但由于是私有方案而非標(biāo)準(zhǔn)，無法從根本上解決WEP存在的問題。

3.2 暫時密鑰集成協(xié)議

暫時密鑰集成協(xié)議是針對WEP加密算法漏洞而制定的一種臨時解決方案，其核心是對WEP加密算法的改進(jìn)。與WEP不同的是，TKIP針對不同客戶端周期性動態(tài)產(chǎn)生新的密鑰，避免密鑰被盜用。并且TKIP密鑰長度為128位，初始化向量IV增加為48位，降低了密鑰沖突，提高了加密安全性。同時數(shù)據(jù)包增加信息完整碼MIC（Message Integrity Code）校驗，可防止偽裝、分片、重放攻擊功能等黑客攻擊行為，為無線安全提供了強(qiáng)有力的保證。另外，如果使用TKIP加密，只要支持WEP加密就不需要進(jìn)行硬件升級。

3.3 高級加密標(biāo)準(zhǔn)AES-CCMP

基于計數(shù)器模式CBC-MAC協(xié)議的AES安全加密技術(shù)（AES-CCMP），是目前為止最高級的無線安全協(xié)議，加密使用128位AES算法（一種對稱迭代數(shù)據(jù)加密技術(shù)）實現(xiàn)數(shù)據(jù)保密，使用CBC-MAC來保證數(shù)據(jù)的完整性和安全性。另外，通過數(shù)據(jù)包增加PN（Packet Number）字段，使其具有防止回放、注入攻擊的功能。這樣就可提供全部4種安全服務(wù)，即認(rèn)證、數(shù)據(jù)保密性、完整性和重發(fā)保護(hù)。AES加密算法是密碼學(xué)中的高級加密標(biāo)準(zhǔn)，采用對稱的區(qū)塊加密技術(shù)，比WEP與TKIP加密核心算法RC4具有更高的加密性能，不僅安全性能更高，而且其采用最新技術(shù)，在無線網(wǎng)絡(luò)傳輸速率上也要比TKIP快，快于TKIP及WEP的54 Mbps的最大網(wǎng)絡(luò)傳輸速度。

4 WPA/WPA2安全分析

Wi-Fi網(wǎng)絡(luò)安全存取技術(shù)（WPA）是在802.11i草案基礎(chǔ)上制定的無線局域網(wǎng)安全技術(shù)系統(tǒng)，因WEP有嚴(yán)重的缺陷，WPA的目的就是替代傳統(tǒng)的WEP加密認(rèn)證。WPA主要使用TKIP加密算法，其核心加密算法還是RC4，不過其密鑰與網(wǎng)絡(luò)上設(shè)備MAC地址、初始化向量合并。這樣每個節(jié)點都使用不同的密鑰加密。WPA使用Michael算法取代WEP加密的CRC均支持。這樣，WPA既可以通過外部Radius服務(wù)進(jìn)行認(rèn)證，也可以在網(wǎng)絡(luò)中使用Radius協(xié)議自動更改分配密鑰。WPA的核心內(nèi)容是IEEE 802.1x認(rèn)證和TKIP加密。WPA含2個版本，即針對家庭及個人的WPA-PSK和針對企業(yè)的WPA-Enterprise。

WPA2（無線保護(hù)接入V2）是經(jīng)由Wi-Fi聯(lián)盟驗證過的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，即強(qiáng)健安全網(wǎng)絡(luò)，它的出現(xiàn)并不是為了解決WPA的局限性。它支持AES高級加密算法，使用CCM（Counter-Mode/CBC-MAC）認(rèn)證方式。這比TKIP更加強(qiáng)大和健壯，更進(jìn)一步加強(qiáng)了無線局域網(wǎng)的安全和對用戶信息的保護(hù)。最初，其與WPA的核心區(qū)別是定義了具有更高安全性的加密標(biāo)準(zhǔn)，不過現(xiàn)在兩者都已經(jīng)支持AES加密。同樣，WPA2允許使用基于具有IEEE802.X功能的RADIUS服務(wù)器和預(yù)共享密鑰（PSK）的驗證模式。一般RADIUS服務(wù)器驗證模式適用于企業(yè)，預(yù)共享密鑰適用于個人驗證。不過專業(yè)技術(shù)人員WPA/WPA2的4次握手過程仍然存在字典攻擊的可能。近來，隨著對無線安全的深入了解，黑客通過字典及PIN碼破解就能攻破WPA2加密。

5 無線網(wǎng)絡(luò)安全防范措施

目前，大多數(shù)企事業(yè)單位及個人家庭Wi-Fi產(chǎn)品都支持WPA2，WPA2已經(jīng)成為一種無線設(shè)備強(qiáng)制性標(biāo)準(zhǔn)。WPA2基本上可以滿足部分企業(yè)和政府機(jī)構(gòu)等需要導(dǎo)入AES的用戶需求。具體來說，用戶可以采取以下一些措施來降低無線網(wǎng)絡(luò)的安全風(fēng)險：①定期維護(hù)加密密碼，不要使用默認(rèn)用戶名，組合使用字母、數(shù)字、特殊字符來設(shè)置密碼，并要定期變更密碼。②定期修改SSID或隱蔽SSID。選取AP的SSID時，不要使用公司或部門名稱、接入點默認(rèn)名稱及測試用SSID，并定期更改無線路由器的SSID號。另建議用戶關(guān)閉無線路由器的SSID廣播功能。③必要時，關(guān)閉無線路由器的DHCP服務(wù)。DHCP服務(wù)會暴露用戶網(wǎng)絡(luò)的一些信息，無線客戶端可以獲得IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。這樣，入侵者很輕易就可以使用無線路由器的資源，成為一個有隱患的漏洞。④充分利用路由器的安全功能，通過路由器提供安全設(shè)置功能對IP地址進(jìn)行過濾、MAC地址綁定等，限制非法用戶接入。⑤選擇最新加密設(shè)置。目前大多數(shù)無線客戶端、路由器及AP都已經(jīng)全面支持WPA協(xié)議，WEP在當(dāng)今基本失去安全意義，可以選擇WPA/WPA2和WPA-PSK/WPA2-PSK這幾種模式，同時建議采用AES加密算法。⑥采用802.1x身份驗證。該認(rèn)證用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制?；赑PP協(xié)議定義的EAP擴(kuò)展認(rèn)證協(xié)議，可以采用MD5、公共密鑰等更多認(rèn)證機(jī)制，從而提供更高級別的安全。802.1x的客戶端認(rèn)證請求可以獨立搭建Radius服務(wù)器進(jìn)行認(rèn)證，目前已經(jīng)成為大中型企業(yè)、高校等無線網(wǎng)絡(luò)強(qiáng)化的首選。

6 結(jié)束語

無線局域網(wǎng)使用簡單、操作安裝方便，移動靈活性強(qiáng)，但同時面臨著復(fù)雜的無線安全問題。網(wǎng)絡(luò)技術(shù)管理人員應(yīng)關(guān)注網(wǎng)絡(luò)安全技術(shù)，提高安全防范意識，切不可對無線網(wǎng)絡(luò)安全掉以輕心，同時采取合理的網(wǎng)絡(luò)安全措施規(guī)避無線網(wǎng)絡(luò)安全風(fēng)險。

參考文獻(xiàn)

［1］Joshua Wright.黑客大曝光：無線網(wǎng)絡(luò)安全［M］.李瑞民，馮全紅，沈鑫，譯.北京：機(jī)械工業(yè)出版社，2011.

［2］楊哲，ZerOne無線安全團(tuán)隊.無線網(wǎng)絡(luò)黑客攻防［M］.北京：中國鐵道出版社，2011.

［3］安淑林，白鳳娥.降低無線網(wǎng)絡(luò)風(fēng)險的策略探析［J］.山西科技，2010，25（2）.

［4］周慶忠，趙海霞.無線局域網(wǎng)的安全性與改進(jìn)方法研究［J］.微計算機(jī)信息，2010（02）.