王實

摘要：WLAN屬于一種新型網(wǎng)絡(luò)技術(shù)，在現(xiàn)代網(wǎng)絡(luò)通信中具有多種優(yōu)勢，如在安裝的過程中無需布線，可將安裝周期縮短，便于開展后期維護工作等，且在使用WLAN的過程中方便增加用戶與遷移用戶。在WLAN得到廣泛應(yīng)用的同時，潛在的安全問題也逐漸暴露。目前禁用WEAN的組織及企業(yè)數(shù)量在增加，如美國LLNC等對此，應(yīng)充分重視探索WLAN通信的安全機制，注重強化安全機制，從而加快WLAN的發(fā)展。文章分析了WLAN通信安全風(fēng)險，并探討了WLAN通信安全機制，包括常規(guī)安全機制與安全機制的完善對策。

關(guān)鍵詞：通信安全；局域網(wǎng)；無線；機制

無線局域網(wǎng)（WLAN）可以利用電磁波技術(shù)與射頻技術(shù)傳輸信息，實現(xiàn)空中通信連接，具有存取架構(gòu)簡單的特點，圖形、語音及數(shù)據(jù)可以通過WLAN在任何時間與地點進行傳播。由于WLAN的架設(shè)無需雙絞銅線，能有效延伸局域網(wǎng)絡(luò)的覆蓋范圍，因此為無固定場所使用網(wǎng)絡(luò)者、有線網(wǎng)絡(luò)架設(shè)受到環(huán)境限制的網(wǎng)絡(luò)使用者提供了便利，同時也可作為有線網(wǎng)絡(luò)備用系統(tǒng)。在WLAN得到廣泛應(yīng)用的同時，網(wǎng)絡(luò)安全風(fēng)險問題也日益凸現(xiàn)，致使通信環(huán)境受到嚴重影響。本文分析了WLAN通信安全機制，旨在提升WLAN的安全等級。

1 WLAN通信安全風(fēng)險

WLAN的組網(wǎng)方式較為靈活，且具有接入方便的特點，在WLAN中傳輸信息的介質(zhì)為無線路徑，相對開放的無線路徑雖然給信息傳輸帶來了方便，但也造成WLAN通信設(shè)計存在一定的安全風(fēng)險。目前WLAN中的安全風(fēng)險主要包括2點：（1）WLAN的傳輸媒介為無線電波，難以對通信物理范圍作出有效限制，WLAN通信信號可以通過電波傳輸?shù)椒穷A(yù)期地域，再加上WLAN通信區(qū)域中的AP可形成供用戶進入局域網(wǎng)的新入口，因此難以采用管理傳統(tǒng)通信用戶端口的方法管理WLAN通信安全。在用戶端口安全難以得到有效管理的情況下，WLAN通信過程就會遭到惡意攻擊或病毒攻擊等，進而形成通信安全風(fēng)險。（2）由于WLAN傳輸信息時使用了可以實現(xiàn)共享的電磁波，這就為竊取信號及非法解碼分析的違法犯罪人員提供了便利，尤其是在WLAN為默認及不加密狀態(tài)時，能接收到WLAN信號的人員可通過解碼分析竊取重要信息。在WLAN中應(yīng)用擴頻技術(shù)雖然能夠在一定程度上阻止竊聽，但WLAN的信號傳輸過程極容易受到干擾，且難以查出干擾源。此外，在WLAN中傳輸信息時需要發(fā)送信息幀，但無法認證操作信息幀，信息竊取人員可以對信息幀進行欺騙，并對數(shù)據(jù)傳輸流進行重新定向，因此在WLAN通信中可出現(xiàn)會話攔截、地址欺騙、拒絕服務(wù)、修改或截取傳輸數(shù)據(jù)、信息泄露等安全風(fēng)險。

2 WLAN通信安全機制

2.1常規(guī)安全機制

為了防范WLAN通信中存在的安全風(fēng)險，目前已經(jīng)形成了由網(wǎng)絡(luò)層、鏈路層與物理層3個層次組成的安全風(fēng)險防范機制：（1）物理層。物理層面的安全機制主要包括防竊聽、抗衰落及抗干擾3個方面。組建WLAN時依據(jù)的標準包括IEEE802.11g，IEEE802.11a，IEEE802.11b及IEEE802.11等，在依據(jù)上述標準的基礎(chǔ)上需要通過完善射頻技術(shù)才能夠有效提高WLAN無線信號的傳輸速率與抗干擾能力。目前，跳頻擴頻技術(shù)已經(jīng)逐漸取代了序列式直接擴頻技術(shù)，基于IEEE802.11b及IEEE802.11n標準的WLAN傳輸體系已經(jīng)應(yīng)用了正交頻分射頻技術(shù)及補碼鍵控技術(shù)?；贗EE802.11n標準的WLAN還可以將正交頻技術(shù)與多入多出技術(shù)結(jié)合在一起，這就可以從物理層面上有效提高WLAN通信的安全性。（2）網(wǎng)絡(luò)層。WLAN中網(wǎng)絡(luò)層通信安全保護機制的作用在于保密傳輸與訪問控制。在IEE802標準下，WLAN中的網(wǎng)絡(luò)層配置了VPN、身份認證方式及標識符SSID，上述3種技術(shù)可以為網(wǎng)絡(luò)層的通信安全提供有效保障。此外，基于IEEE802標準的認證協(xié)議可以明確定義用戶接入端口，因此能有效控制訪問權(quán)限，防止非授權(quán)用戶侵入WLAN中竊取數(shù)據(jù)信息。認證協(xié)議還可以借助EAP對WLAN通信中的授權(quán)過程進行控制，從而進一步強化通信安全保護機制。（3）鏈路層。鏈路層通信安全保護機制的主要作用在于加密WLAN中的數(shù)據(jù)信息。IEEE802.11加密方案為WEP協(xié)議，WEP的加密算法為RC4，RC4算法是一種基于對稱流的加密技術(shù)，因此WEP可以有效保護WLAN信號的完整性與保密性，阻止不具有訪問權(quán)限的用戶端進入WLAN中，WEP所提供的鏈路層保護等級與同級別有線網(wǎng)絡(luò)的安全保護等級相同。目前，IEEE802已經(jīng)推出了WEP2安全加密技術(shù)，WEP2安全防護等級與密碼長度有關(guān)，可以利用密鑰的混合函數(shù)及完整消息代碼組建完整臨時密鑰協(xié)議，即TKIP，因此WPA2也可以利用AES算法保護鏈路層的安全。

2.2安全機制的完善

2.2.1 MAC地址欺騙的檢測

MAC地址欺騙是威脅WLAN通信安全的常見問題，為了完善安全機制，應(yīng)注意檢測地址欺騙的攻擊行為。在檢測地址欺騙安全攻擊行為時可以采用以下方法：先對WLAN中惡意用戶設(shè)備MAC地址進行檢測，檢測設(shè)備MAC地址后利用匹配單元完成匹配，同時在匹配后利用數(shù)據(jù)分析惡意用戶設(shè)備MAC源地址、信號強度等，隨后根據(jù)信號強度及源地址等定位設(shè)備所在位置。可以采用與MAC欺騙相匹配的數(shù)據(jù)結(jié)構(gòu)進行無線AP檢測，例如可以將信息竊取者數(shù)據(jù)結(jié)構(gòu)定義如下：struct illap{String macaddress；String apssid；TimetimestarL；…）illap。在上述數(shù)據(jù)結(jié)構(gòu)中，數(shù)據(jù)包序列號循環(huán)1次的時間約為10分鐘，在檢測地址欺騙時需要在規(guī)定的時間內(nèi)根據(jù)序列號變化情況完成統(tǒng)計分析，隨后利用分析結(jié)果判定是否存在地址欺騙的惡意攻擊行為。如分析結(jié)果處于連續(xù)狀態(tài)，則無地址欺騙惡意攻擊；如分析結(jié)果處于無故中斷狀態(tài)，則可以判定存在地址欺騙惡意攻擊行為。在對匹配單元進行檢測的過程中，需要嚴格按照設(shè)計的序列號傳送數(shù)據(jù)幀，在接收到數(shù)據(jù)幀之后，觀察傳送時與接收時的數(shù)據(jù)幀順序是否發(fā)生變化，如發(fā)生變化，則應(yīng)高度警惕地址欺騙惡意攻擊。在發(fā)送數(shù)據(jù)幀時可以先發(fā)送大序列號，隨后再發(fā)送小序列號，確保數(shù)據(jù)幀的排列順序處于遞減狀態(tài)，從而提高地址欺騙的檢測效率。

2.2.2基于PPTP-VPN通信的安全設(shè)計

PPTP-VPN通信安全設(shè)計是基于點對點傳輸信道、VPN技術(shù)、安全認證方式及加密技術(shù)建立起的一種通信安全機制。PPTP-VPN安全設(shè)計可以在Linux VPN中應(yīng)用，安全保護機制的實現(xiàn)方式如下：客戶端需要通過WAP加密技術(shù)的認證才能接入到無線網(wǎng)絡(luò)當(dāng)中，隨后WLAN中的接入點將會利用密鑰對用戶端進行判斷，如為合法用戶，則允許用戶接入到WLAN中，對于非法用戶，則拒絕訪問。在用戶端成功接入WLAN時，PPTP-WPN系統(tǒng)將會設(shè)定網(wǎng)絡(luò)參數(shù)，一個用戶端對應(yīng)唯一網(wǎng)絡(luò)參數(shù)，因此能夠保證VPN服務(wù)器與無線AP實現(xiàn)有效對接，同時禁止VPN服務(wù)器對非法用戶開放。在VPN服務(wù)器響應(yīng)用戶端所發(fā)送的連接密碼與用戶名之后，服務(wù)器將在第一時間驗證用戶端所發(fā)送的信息是否合法，確認信息合法后立即向AP發(fā)送信息，在AP接收到信息后，將會重新檢查用戶端信息；同時向ACL表發(fā)送經(jīng)過更新處理的信息，ACL表接收信息后進行驗證，通過驗證后便可以向用戶開放網(wǎng)絡(luò)信息傳輸服務(wù)。為了使PPTP-VPN系統(tǒng)實現(xiàn)上述功能，則需要設(shè)計以下模塊，即網(wǎng)絡(luò)控制、網(wǎng)關(guān)控制、密碼加密與安全認證模塊。網(wǎng)絡(luò)控制子模塊主要負責(zé)為用戶分配IP，在分配地址時需要嚴格遵循DHCP傳輸協(xié)議，在分配地址的同時還需要及時獲取MAC地址，同時在ACL表格中填寫MAC地址，以便能夠及時記錄與分析用戶端向服務(wù)器發(fā)送的信息，從而控制網(wǎng)絡(luò)的安全性。網(wǎng)關(guān)控制子模塊的主要功能為將VPN信息轉(zhuǎn)發(fā)給服務(wù)器，以便為VPN服務(wù)的開放或限制提供有效依據(jù)。密碼加密子模塊的作用在于確定VPN與WPA的加密方式。安全認證子模塊的作用為判定VPN服務(wù)器所接收的用戶名及密碼等是否合法，判定的主要依據(jù)為設(shè)計函數(shù)。

2.2.3應(yīng)用IBS安全接入技術(shù)

IBS指的是身份簽名，應(yīng)用基于IBS的安全接入技術(shù)可以在WLAN中實現(xiàn)雙向認證接入，因此能夠有效控制密鑰安全，避免未知的密鑰被非法分享，這樣就可以有效保障WLAN的通信安全。相對于WAP12與EAP-TLS接入方案而言，IBS接入還具有認證效率較高及無需證書認證的特點，有助于防止非法入侵。IBS安全接入方案的WLAN拓撲結(jié)構(gòu)，拓撲結(jié)構(gòu)當(dāng)中的SU為用戶端認證模塊，該模塊具有申請認證的功能，在用戶端的申請通過后方可進XWLAN中訪問相關(guān)的信息。AP為認證系統(tǒng)，能夠判斷用戶是否具有訪問、傳遞AS模塊及SU模塊中信息的權(quán)限。AS為服務(wù)器，該模塊的功能為驗證用戶端與AP之間、SU之間傳遞的密鑰信息是否合法，并響應(yīng)AP模塊與SU模塊會話密鑰。CA及PKG均為服務(wù)器，負責(zé)將證書、憑證及私鑰發(fā)送到AS模塊與SU模塊中?；谏鲜鐾負浣Y(jié)構(gòu)設(shè)計的IBS安全接入技術(shù)的實現(xiàn)步驟包括初始化、接入認證、接入控制及通信。初始化流程指的是CA服務(wù)器及PKG服務(wù)器生成與發(fā)布WLAN通信公共參數(shù)，在公共參數(shù)發(fā)布后，局域網(wǎng)中的用戶就能夠接收到認證信息與公共參數(shù)，并利用憑證、證書及密鑰等認證信息申請接入WLAN中。接入認證流程指的是Su模塊根據(jù)密鑰認證用戶信息，并在確認用戶身份合法后簽名，隨后向AP模塊發(fā)送簽名，發(fā)送后由AS服務(wù)器對會話密鑰進行計算。接入控制流程指的是Su模塊數(shù)據(jù)的合法性得到AS的認證后，AS模塊需要重新向AP模塊發(fā)送私鑰簽名，隨后由AP模塊對私鑰簽名進行加密處理，并向SU模塊發(fā)送經(jīng)過加密處理的信息。在SU模塊接收到信息后便可以對用戶的接入過程進行控制。通信流程指的是AP模塊向SU模塊返回數(shù)據(jù)信息后，SU模塊需要對會話密鑰重新計算，并通過計算解密AP模塊簽名，解密后對AS簽名信息的合法性進行驗證，如驗證的過程中發(fā)現(xiàn)會話密鑰合法，則允許用戶通過AP對外部網(wǎng)絡(luò)進行訪問。

3結(jié)語

總之，安全機制存在缺陷是限制WLAN實現(xiàn)進一步發(fā)展的重要因素，在應(yīng)用WLAN技術(shù)時要注重了解網(wǎng)絡(luò)中存在的安全風(fēng)險，并在明確安全保護機制的基礎(chǔ)上采取必要措施維護WLAN的通信安全，包括采用IBS安全接入技術(shù)?；赑PTP-WPN通信的安全設(shè)計技術(shù)及MAC地址欺騙的檢測技術(shù)等。