鄭欣

摘 要：本文通過對無線局域網(wǎng)以及WLAN所面臨的網(wǎng)絡(luò)威脅做了簡單的介紹，從IEEE802.11i協(xié)議標準和擴展無線信號頻譜以及服務集標識符等方面著重闡述了無線局域網(wǎng)的網(wǎng)絡(luò)安全策略，進而為創(chuàng)建安全可靠的無線局域網(wǎng)奠定堅實的理論基礎(chǔ)。

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)攻擊；IEEE802.11i；802.1x用戶認證；CCMP

1 概述

隨著社會經(jīng)濟的快速發(fā)展，人們的生活節(jié)奏變得越來越快，有線傳輸網(wǎng)絡(luò)已經(jīng)不能滿足人們的日益嚴峻的上網(wǎng)需求。由于計算機信息的共享技術(shù)以及無線網(wǎng)絡(luò)特有的開放性，在人們輕松使用無線網(wǎng)絡(luò)的同時，不斷增加的信息安全威脅也隨之而來，竊聽、身份假冒和信息篡改等對無線網(wǎng)絡(luò)的攻擊已經(jīng)嚴重阻礙了無線網(wǎng)絡(luò)大面積推廣和應用，完善地解決無線網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題已經(jīng)顯得尤為嚴峻。

2 無線局域網(wǎng)以及面臨的威脅

無線局域網(wǎng)屬于開放式的物理系統(tǒng)，主要采用射頻技術(shù)對數(shù)據(jù)進行網(wǎng)絡(luò)傳輸，與有線局域網(wǎng)相比，其最大不同表現(xiàn)在數(shù)據(jù)傳輸?shù)拿浇?，所以無線局域網(wǎng)特有的安全威脅主要表現(xiàn)在物理層、鏈路層和網(wǎng)絡(luò)層，主要的破壞方式是破壞、攻擊或者干擾物理層通路，竊取數(shù)據(jù)鏈路層傳送數(shù)據(jù)，阻礙或者非法占用網(wǎng)絡(luò)層通路、攔截或者監(jiān)聽網(wǎng)絡(luò)信號。根據(jù)不同的破壞方式來對無線局域網(wǎng)的通信協(xié)議層進行惡意破壞或監(jiān)聽，從而引起不同的安全問題。

無線局域網(wǎng)的掃描攻擊，是非法用戶利用掃描儀獲取任何人都可接入的開放式AP，而后通過開放式AP來獲取互聯(lián)網(wǎng)使用權(quán)去非法攻擊第三方個人電腦或掌上移動設(shè)備；或者非法接入開放式AP加重其負載，導致合法用戶的服務和性能被嚴重限制，嚴重會導致網(wǎng)絡(luò)癱瘓。WEP攻擊是非法用戶利用抓包軟件獲取傳輸數(shù)據(jù)鏈，進而解密獲取用戶發(fā)送信息。MAC地址嗅探是從獲取的傳輸數(shù)據(jù)鏈中獲取發(fā)送數(shù)據(jù)用戶的MAC地址，通過編程偽裝成該用戶有效MAC地址進行地址欺騙和會話攔截。AP電子欺騙是通過設(shè)一個非授權(quán)的假冒AP，當受欺騙用戶接入該AP時，盜取用戶接入口令，利用其權(quán)限進行非法操作。

3 無線局域網(wǎng)的網(wǎng)絡(luò)安全策略

⑴擴展無線通信頻譜和服務器標識號。通過擴展無線網(wǎng)絡(luò)通信信號頻譜，或者采用跳頻技術(shù)，使得非法用戶難以捕捉到有用的數(shù)據(jù)。一般常用的擴展無線信號頻譜的方式有直接序列擴展頻譜，跳頻或跳時，線性調(diào)頻，通過這種方式是非法用戶無法得到固定監(jiān)聽頻率，從而很難得到監(jiān)聽信號。通過多個網(wǎng)絡(luò)橋接器設(shè)置不同的服務集標識符（SSID），并且設(shè)置要求無線網(wǎng)卡出示正確的服務集標識符才能訪問網(wǎng)絡(luò)橋接器。這樣就可以允許合法的群組用戶正常接入，并對網(wǎng)絡(luò)資源權(quán)限進行區(qū)別和限制，防止非法用戶接入AP，破壞正常的無線網(wǎng)絡(luò)服務。

⑵增加WLAN網(wǎng)絡(luò)安全機制。使用基于IEEE802.11i的標準來制定WLAN的網(wǎng)絡(luò)安全機制，來客服WEP本身漏洞給WLAN帶來的影響。802.11i協(xié)議標準包括使用802.1x的用戶認證、動態(tài)密鑰管理、多種數(shù)據(jù)加密機制。

802.1x用戶認證提供了比WEP更好的認證和機密性，在發(fā)送的認證數(shù)據(jù)包中包括了三個實體：請求者、認證者和認證服務器。IEEE802.1x用戶認證過程其實是三個實體之間的互相認證，通過認證者轉(zhuǎn)發(fā)認證數(shù)據(jù)包，請求者和認證服務器之間互相認證并生成一個主會話密鑰MSK，隨后認證服務器將MSK安全傳輸給認證者，認證者轉(zhuǎn)發(fā)給請求者，進而請求者和和認證者利用MSK生成PMK，用于生成隨后臨時會話密鑰PTK，這個認證過程結(jié)束。在請求者和認證者中，PTK相互獨立，沒有互相通信，是PTK的保密得到良好的保證。802.11i協(xié)議常用的數(shù)據(jù)加密機制有TKIP和CCMP。其中TKIP是在WEP的基礎(chǔ)上改進的加密系統(tǒng)，其安全性能更高。TKIP在WEP的基礎(chǔ)上擴展了加密幀格式，增加了EIV和MIV域，可以使用MIC進行報文完整性校驗，防止重放攻擊。

TKIP只是對WEP算法的缺陷做了相應的彌補，屬于一個過渡性算法，CCMP是較于TKIP更高級的數(shù)據(jù)加密機制。CCMP為無線局域網(wǎng)絡(luò)提供了加密、認證、完整性和重放保護等機制，擴展了原來MPDU的容量，來處理一個128比特的密鑰和一個128比特的數(shù)據(jù)快。CCMP處理用16B，擴展了原來MPDU的容量，其中8B為CCMP幀頭，8B為MIC校驗碼。CCMP幀頭由PN、ExtIV（擴展初始向量）和Key ID域組成。PN是一個48bit的數(shù)字，是一個6B的數(shù)組。ExtIV域表示CCMP擴展了幀頭8B，如果使用CCMP加密，則ExtIV的值總為1。

CCMP基于AES加密算法，將CTR加密算法和驗證信息完整性運算的CBC-MAC算法結(jié)合在一起共同對無線局域網(wǎng)傳輸數(shù)據(jù)進行加密。當數(shù)據(jù)信息通過無線信號發(fā)送時，CCMP會從MPDU報文頭中提出AAD和Nonce兩部分，以Nonce+AAD的方式得到MIC。然后將MIC加到數(shù)據(jù)域中，和數(shù)據(jù)域原文組成了MIC+數(shù)據(jù)域原文的序列。然后以16字節(jié)為單位，將該序列分為若干個16字節(jié)數(shù)據(jù)塊（最后剩余字符可以不是16字節(jié)的數(shù)據(jù)塊），一般的，第一個16字節(jié)數(shù)據(jù)塊是由Nonce組成的MIC IV，第二、三個數(shù)據(jù)塊是由AAD組成的MIC HEADER1和2，從第四個數(shù)據(jù)庫開始為數(shù)據(jù)域原文。此后開始用AES加密算法對MIC和數(shù)據(jù)域原文進行數(shù)據(jù)加密，而對原明文MPDU的MAC Header與生成的8字節(jié)CCMP Header組成加密幀的驗證部分，最后和AES加密的MIC和數(shù)據(jù)域原文加上FCS校驗生成加密幀，從完成CCMP數(shù)據(jù)加密過程。CCMP對幀頭的配置以及加密過程更加確保了無線傳輸數(shù)據(jù)的真實性和安全性，使得CCMP具有很高的安全性，已經(jīng)逐漸成為無線局域網(wǎng)產(chǎn)品中主流的數(shù)據(jù)加密機制。

我們在搭建WLAN的時候，要從各個方面入手來提高無線局域網(wǎng)的安全性能，創(chuàng)建一個安全可靠的無線網(wǎng)絡(luò)環(huán)境，為合法用戶提供一個穩(wěn)定舒適的上網(wǎng)環(huán)境。

[參考文獻]

[1]王磊，梁華慶.淺談無線局域網(wǎng)安全技術(shù)的發(fā)展[J].微型機與應用. 2011（06）.

[2]陳曉華.校園無線局域網(wǎng)的安全策略研究[J].電腦編程技巧與維護. 2010（22）.