沈　鳴

[摘要]從無線局域網(wǎng)安全防范的角度分析并闡述企業(yè)部署無線局域網(wǎng)所涉及的各種安全技術，提出根據(jù)不同企業(yè)用戶對于無線局域網(wǎng)安全的需求，可以選擇相適應的安全認證及加密機制來滿足安全組網(wǎng)要求。

[關鍵詞]WLAN 802.1i 認證機制 加密機制

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0310065－01

隨著企業(yè)信息化的不斷發(fā)展，越來越多的企業(yè)開始使用無線局域網(wǎng)（WLAN）作為有線網(wǎng)的一種輔助措施來提升內部員工的工作效率。WLAN技術以其接入速率高、組網(wǎng)靈活，特別是在移動辦公方面具有得天獨厚的優(yōu)勢。但隨著WLAN應用領域的不斷擴展，其安全性也越來越得到人們的重視。

一、企業(yè)WLAN常用安全措施分析

（一）禁止SSID廣播

在WLAN中，通過無線接入點AP設置服務集標識符SSID（Service Set Identifier），無線客戶端只有提供了正確的SSID才能訪問AP，因此可以SSID看作是一個簡單的口令，通過SSID口令認證機制，實現(xiàn)一定的網(wǎng)絡安全。

無線廣播信標幀是802.11協(xié)議的一種正常二層幀，一般情況下是允許接入者不需要任何憑證的情況下合法獲得的（默認100毫秒發(fā)送一次），其中包含該WLAN的SSID名稱字段。雖然在接入點可通過“禁止SSID廣播”的方式在廣播幀中以NULL字段填充原有SSID名字段空間以減少被攻擊的可能，但攻擊者依然可通過一些黑客工具（例如Network Stumbler、SSID_Jack等）輕松掌握SSID號。

（二）MAC地址過濾控制

MAC地址（物理地址）過濾控制是采用硬件控制的機制來實現(xiàn)對接入無線終端的識別。由于無線終端的網(wǎng)卡都具備唯一的48位MAC地址，因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來確認無線終端的合法性。

但MAC地址過濾的方法要求AP中的MAC地址列表必須手工添加和刪除，因此維護不便，可擴展性也很差。另外由于很多無線網(wǎng)卡支持重新配置MAC地址，因此非法入侵者很有可能從開放的無線電波中截獲數(shù)據(jù)幀，分析出合法用戶的MAC地址，然后偽裝成合法用戶，非法接入WLAN，使得網(wǎng)絡安全遭到破壞。

（三）使用WEP協(xié)議進行加密

有線等效保密（Wired Equivalent Privacy,WEP）協(xié)議就是通過某些安全措施，使無線網(wǎng)絡能夠實現(xiàn)有線網(wǎng)絡一樣的安全防范。WEP使用64位和128位密鑰，采用RC4對稱加密算法，在鏈路層實現(xiàn)加密數(shù)據(jù)和訪問控制。只有用戶的加密密鑰與AP的密鑰相同時才能獲準訪問網(wǎng)絡的資源，從而防止非法授權用戶的監(jiān)聽以及非法用戶的訪問。

WEP標準在保護網(wǎng)絡安全方面存在固有缺陷，具體主要包括：WEP的完整性算法CRC-32不能阻止攻擊者篡改數(shù)據(jù)；WEP沒有提供抵抗重放攻擊的對策；WEP的RC4算法容易產生弱密鑰等。目前很多免費的工具都可以探測到WLAN流量，可以對其分析并得到WEP密鑰。

二、如何構建更加安全的企業(yè)WLAN

網(wǎng)絡的安全技術主要體現(xiàn)在兩個方面：一個是身份認證，它用于保證網(wǎng)絡只能由授權用戶進行訪問；另一個是數(shù)據(jù)加密，它用于保證網(wǎng)絡中傳送的數(shù)據(jù)只被所允許的用戶所接收。因此為了提高WLAN的安全性，必須引入更加安全的認證機制及加密機制。

（一）802.1X協(xié)議

802.1X被稱為基于端口的網(wǎng)絡訪問控制協(xié)議（Port Based Network Access Control Protocol），盡管802.1X標準最初是為有線以太網(wǎng)設計制定的，但它也適用于符合802.11標準的無線局域網(wǎng)。當無線終端與AP關聯(lián)后，是否可以使用AP的服務要取決于802.1X的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶接入網(wǎng)絡。802.1X要求無線工作站安裝802.1X客戶端軟件，無線訪問點要內嵌802.1X認證代理，同時它還作為RADIUS客戶端，將用戶的認證信息轉發(fā)給RADIUS服務器。

802.1X技術結合EAP認證或PEAP認證可以為WLAN提供靈活多樣的安全技術解決方案。例如EAP-TLS能提供較高的安全性，但也增加了在服務器端和客戶端都要安裝證書的管理難度，比較適合對安全要求比較高的大中型企業(yè)使用；而PEAP安全性雖略低于前者，但卻可以基于用戶名和密碼認證，省去了客戶端安裝證書的麻煩，比較適合對安全要求一般的中小型企業(yè)使用。由此可見，802.1X是WLAN的一種增強的網(wǎng)絡安全解決方案，可以看成是完善的無線局域網(wǎng)安全技術出現(xiàn)之前的過渡方案。

（二）IEEE 802.1i安全標準與WPA、WPA2

為了進一步加強無線網(wǎng)絡的安全性，IEEE 802.11工作組于2004年6月正式批準了IEEE 802.11i安全標準。IEEE 802.11i規(guī)范了802.1X認證和密鑰管理方式，定義了強健安全網(wǎng)絡RSN（Robust Security Network）的概念，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）加密機制。其中TKIP加密算法依然是RC4，但通過提供一種增強型WEP加密引擎，從而彌補了原有WEP易受攻擊的弱點。通過TKIP，原先不支持802.11i的設備可以通過升級驅動程序的方法提高安全性。CCMP機制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全性大大提高，是實現(xiàn)RSN的強制性要求。AES是一種對稱的塊加密技術，提供比WEP/TKIP中RC4算法更高的加密性能。

由于WEP存在安全缺陷無法滿足WLAN發(fā)展的需要，在IEEE 802.11i安全標準推出之前，Wi-Fi聯(lián)盟適時推出了WPA（Wi-Fi Protected Access）技術，作為臨時代替WEP的無線安全標準協(xié)議。WPA實際上是IEEE 802.11i的一個子集，其核心就是IEEE 802.1X和TKIP。

WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標準，WPA2和802.11i強健安全網(wǎng)絡RSN的特性基本上是相同的，他們都采用CCMP加密機制來代替TKIP。WPA2已成為無線產品是否符合802.11i安全的認證標準。

目前很多無線設備廠家都提供了WPA和WPA2 PSK模式WPA-PSK/WPA2-PSK，也就是以預共享密鑰PSK（Pre-Share Key）的驗證模式來替代IEEE 802.1X/EAP的驗證模式，PSK模式下無須使用驗證服務器RADIUS，因此特別適合SOHO（Small Office/Home Office）環(huán)境使用。

三、結束語

綜上所述，在IEEE等標準化組織以及Wi-Fi聯(lián)盟和WLAN設備廠商的通力合作下，WLAN的安全性能已經得到了很大的提高。如今，部署和使用WLAN大可不必擔心WLAN的安全性，只要重視安全性問題并選擇適當有效的認證和加密機制，WALN完全能滿足不同企業(yè)用戶的安全組網(wǎng)要求。

參考文獻：

[1]陳群，選擇無線局域網(wǎng)的安全策略[J].計算機安全，2008.10.

[2]王婧姝，淺析無線網(wǎng)絡安全性解決方案[J].科技廣場，2007.11.

[3]王蒙、燕愛華，基于改進WEP協(xié)議的無線局域網(wǎng)安全研究[J].網(wǎng)絡安全技術與應用，2005.9.

[4]魯艷、毛旭，基于WiFi的無線網(wǎng)絡安全方案對比分析[J].網(wǎng)絡安全，2007.3.

[5]董爭鳴、史進，無線局域網(wǎng)安全性解析[J].網(wǎng)絡安全技術與應用，2007.9.

[6]余以勝、蔣麟軍，IEEE 802.11安全架構的網(wǎng)絡性能分析[J].小型微型計算系統(tǒng)，2008.10.