无线局域网的网络安全

摘要：无线局域网能够实现使用户在任何时间、任何地点均能实现数据通信的目标， 由此得到了快速的发展和广泛应用。但由于无线局域网应用电磁波作为传输媒介，因此安全问题尤为突出，在此简单的介绍它的特点和应用，就其主要安全隐患和威胁以及安全对策和解决方案作一些论述。

关键词：无线局域网（WLAN）、 信息安全、AP、 IEEE 802.11、加密技术

一、无线局域网的概念和安全问题

无线局域网（Wireless Local Area Network，WLAN）是在不采用传统有线电缆的情况下，利用射频（Radio Frequency，RF）技术，通过红外线系统或者无线电波来支持计算机之间发送和接收数据，给用户提供随时、随地、随意的宽带网络接入。由于WLAN技术被企事业单位广泛应用于办公网络，它正由传统意义上的局域网技术发展为“公共无线域网”，已经成为国际互联网Internet宽带接人手段。WLAN具有易安装、高移动性、易扩展、易维护、抗干扰、易管理、保密性强的特点。比如：它不需要大量的布线，只需要安装无线访问点AP （access point）就可实现网络覆盖，AP可覆盖10～100M，AP可随意移动，在无线信号覆盖的范围内，均可接入网络，且漫游很方便，不受运营商和国家的。每个AP可支持100多个用户接入，只需增加AP就可扩展网络。WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。

虽然相对于有线局域网，无线局域网表现出很大的优势，但是无线局域网的安全性问题值得关注，主要表现在以下方面：

1、WLAN是以无线电波作为上网的传输媒介，因此存在着难以网络资源的物理访问，无线网络信号可以传播到预期方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，开放的信道无法阻止攻击者窃听、篡改并转发数据；    

2、用户上网时不需要与网络进行实际连接，使得攻击者很容易伪装成合法用户，并且网络终端的移动性使得安全管理难度加大，攻击者可能在任何位置通过移动设备实施攻击，而跟踪一个特定的移动节点是很难做到的。因此，对无线网络移动终端的管理要困难得多，无线网络的移动性带来了新的安全管理问题；

3、WLAN是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果；

4、变化的拓扑结构和不稳定的传输信号增加安全方案的实施难度。由于无线局域网络没有固定的拓扑结构，而是动态变化的，因此缺乏集中管理机制，使得安全技术更加复杂。另一方面，不同于有线网络稳定的传输环境与信号，无线网络信道特性是变化的，会受到干扰、衰落、多径、多普勒频移等多方面的影响，造成信号质量波动较大，甚至无法进行通信。

因此WLAN中存在的安全威胁因素主要是窃听、截取或者修改传输数据、置信攻击、拒绝服务以及物理状况因素等。

二、无线局域网的安全措施

为了提高WLAN的安全性，IEEE802.11国际标准主要应用了三项安全技术来保障其数据传输的安全性：

1、服务集标识符（Service Set Indentifier，SSID）

对每个无线接人点AP设置不同的SSID，当无线终端设备要连接到AP时就必须填写正确的SSID才能访问，这样就可以允许不同群组的用户接人不同的AP，并对资源访问权限进行区别。这样只有通过AP身份验证的用户才能进行并访问网络资源，从而阻止未被授权的用户后进入网络。由于SSID只是一个简单的口令，所有使用网络的人都知道该口令，很容易向外泄漏。而且如果将 AP配置为每隔一段时间就向外广播其SSID，这样非授权用户也很容易发现该网络的SSID。

2、物理地址(Media Access Controller，MAC)过滤

每个无线终端的无线网卡上的MAC地址都是唯一的，因此可以在AP内部建立一张“MAC地址控制表“，只有在表中列出的MAC地址才是合法的，才能接收到无线网络，否则AP就拒绝其连接请求。但是这种方法也有其缺陷：一是可以通过软件的方法更改无线网的MAC地址，攻击者只要窃取了合法用户的MAC地址，就可以通过软件方法冒充合法用户的MAC地址，从而成为合法的MAC地址。而且攻击者可以通过多种方法嗅探到用户的MAC地址。二是由于接入网络的计算机经常改变，这就要求AP中的“MAC地址控制表”必须随时更新，因此可扩展性较差，无法实现计算机在不同AP之间的漫游。 

3、对等连接保密( Wired Equivalent Protection，WEP )

WEP是802.11标准中链路级的安全协议，它采用RC4算法的bits或128bits静态加密。在WEP机制中，同一无线网络的所有用户和AP都使用相同的密钥进行加密和解密，网络中的每一个用户和AP都存放密钥。但是由于在设计WEP时缺乏对安全的全面考虑，目前WEP已经逐渐暴露出其缺陷，无法满足WLAN对安全的要求。WEP的安全问题主要表现在以下方面：①RC4算法使用不当。RC4算法使用长度为40位的密钥进行身份验证和加密，这个长度太短，不能抵挡强大计算型和穷举型的攻击。②WEP缺乏有效的密钥管理。仅仅依靠人工方法来装人生成的密钥，而且一旦装载后就很少更新，也没有对密钥的声称与更新进行任何的规定。③WEP中RC4的初始化向量（lV）是一个能够复用的24位字段，向量空间太小，很容易重复。而且在受WEP保护的无线网络中，多个站点可能使用同一个共享密钥，这就增加了发生lV冲突的可能性。④用于数据完整性校验的CRC(循环校验码)具有线性且CRC的生成与密钥无关，使得攻击者能够伪造信息或是篡改信息。因此，CRC无法提供真正意义上的数据完整性。⑤WEP采用的基于共享密钥的认证机制中，认证信息的明文与密文都在无线网络中传输，因而攻击者能够获得认证信息。而且WEP中的认证机制是单项的，仅仅是用户向AP认证自己的身份，因而攻击者可能伪装成AP实施拒绝服务的攻击。此外WEP的安全机制一般都是基于硬件的，没有任何软件辅助措施，一旦设备落入攻击者手中，就会造成所谓的硬件威胁。

目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，破解128位的WEP是相当困难的，同时也要定期更改WEP，保证无线局域网安全。如果设备提供了动态WEP功能，最好应用动态WEP，而Windows XP本身就提供了这种服务，您可以选中WEP选项 “自动为我提供密钥”同时应该使用IPSec、VPN、SSH或其它WEP的替代方法，不要仅使用WEP来保护数据。

由以上分析可知802.11标准确实存在着很多安全漏洞，逐渐成为制约WLAN发展的瓶颈。因此，IEEE又发布了新一代的WLAN安全协议IEEE802．11i协议作为无线局域网络安全问题的最终解决方案。IEEE802．11i定义了健壮安全网络RSN的概念，增强了无线网络数据加密和认证，针对WEP加密机制的各种缺陷做了多方面改进。

IEEE802.11标准外的技术

1、VPN技术的广泛应用

在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务，对于高安全要求或大型的无线网络，VPN方案是一个更好的选择。

对于无线商用网络，基于VPN的解决方案是当今. WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入应用中，VPN在不可信的网络上提供一条安全、专用通道或隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，VPN技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络WLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络认证和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，VPN方案具有较强的扩充、升级性能，可应用于大规模的无线网络。

2、WPA保护机制 

Wi—Fi Protected Access(WPA，Wi—Fi保护访问)是Wi—Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。

(1)、认证

WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权，并且这是是强制性的。

(2)、加密

WPA采用TKIP(Temporal Key Integrity Protocol，临时密钥完整性协议)为加密引入了新的机制，使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首度从24位增加到l28位等方法增强安全性。而且，TKIP利用了802.11x／EAP构架。认证服务器在接受了用户身份后，使用802.11x产生一个惟一的主密钥处理会话。然后TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个惟一的数据加密密钥，来加密每一个无线通讯数据报文。

(3)、消息完整性校验

除了保留 802.11的CRC校验外，WPA为每个数据分组又增加了一个8个字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。

3、无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析，找出那些伪装WAP的无线上网用户，无线入侵检测系统可通过提供商来购买，为了发挥无线入侵检测系统的优良性能，他们同时还提供无线入侵检测系统的解决方案。

三、小结及体会

无线局域网的便捷性和低成本等特点，更由于网路互联的可移动性，使得应用越来越来广泛，是计算机有线网络必不可少的补充，也是未来网络互联的方向，已经成为一种比较成熟的技术。但其无线广播的安全隐患成为制约其快速发展的瓶颈，局域网内各个网络节点的重要信息资源处于高风险的状态，因此安全问题的研究成为网络安全领域内一个主要的发展方向。要保证WLAN的安全，需要从加密技术和密钥管理技术两方面来提供保障，使用加密技术可以保证WLAN传输信息的机密性，并能实现对无线网络的访问控制，密钥管理技术为加密技术服务，保证密钥生成、分发以及使用过程中不会被非法窃取，另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。