无线网络安全技术分析及防范措施探讨

1、    无线网络安全技术分析及防范措施探讨    李建强+白新泉摘 要：随着无线网络技术的不断发展及广泛应用，无线局域网安全问题越来越突出。通过对比分析不同发展阶段的无线网络安全认证方式、无线局域网数据加密机制，针对无线局域网存在的安全问题，提出了相应的无线安全解决措施，能够为无线局域网安全防范提供借鉴。关键词：无线网络；网络安全；无线协议；防范措施：tn925+.93 ：a doi：10.15913/ki.kjycx.2017.06.0381 安全概述狹义的“无线网络”，即基于802.11/b/g/n标准的无线网络，由于其具有可移动性、安装简单、高灵活

2、性和高扩展性，作为传统有限网络的延伸，在许多领域得到了广泛应用。由于无线局域网以电磁波作为主要传输介质，设备之间可以相互接收数据，如果无线局域网不采用适当的链接认证、数据加密机制，数据传输的风险就会加大。当然，无线网络发展起初，安全便是无线局域网系统的重要组成部分，客户端接入无线网络的过程为扫描、认证、关联、连接成功。无线网络安全性保证，需要从认证和加密2个安全机制来分析。认证机制用来对客户端无线接入身份进行验证，授权以后才可以使用网络资源；加密机制用来对无线局域网的数据传输进行加密，以保证无线网络数据的通信安全。2 链路认证机制分析客户端（sta）获得足够的权限并拥有正确的密钥以后才能进行安

3、全的、完整的、受保护的通信。链路认证即身份验证机制，认证通过即授权以后才能访问网络资源。无线局域网中，客户端同无线接入端进行802.11关联，首先必须进行接入认证。身份验证是客户端连接到无线网络的起点，任何一个sta试图连接网络之前，都必须进行802.11的身份验证进行身份确认。802.11标准定义了2种链路层的认证，即开放系统身份认证和共享密钥身份认证。开放系统身份认证不需要确认客户端任何信息，和ap没有交互身份信息，可以认为是空加密，目的是使双方都认为应该在后面使用更安全的加密方式。也可以认为，先关联后核对身份信息。如果认证类型设置为开放系统认证，则sta发送的第一个authenticat

4、ion报文只要是开放系统就通过认证，接着就顺利完成关联。共享密钥身份认证是一种增强无线网络安全性的认证机制，其在wep机制中得到应用。这种认证的前提是sta和ap都有配置静态的wep密钥，认证的目的就是确认两者使用的密钥是否一致。共享密钥认证是通过4个认证帧的交互来完成的，sta首先发送一个认证报文（authentication报文）给ap，然后ap会给sta回复一个挑战明文（challenge包），接着sta使用密钥对这个明文进行加密并发送给ap，最后ap对其解密。如果解密成功且明文与最初给sta的字符串一致，则表示认证成功并回复，接着为sta打开逻辑端口，便可以使用无线接入点服务，否则不允

5、许用户连接网络。目前常用的链路认证有psk接入认证、eap拓展认证。预共享密钥psk是802.11i中定义的一种身份验证方式，以预共享密钥的方式对无线用户接入进行控制，并能动态产生密钥，以保证无线局域网用户的数据安全。该认证方式要求无线客户端和接入端配置相同的预共享密钥。如果密钥相同，则psk接入认证成功，否则认证失败，一般应用于家庭或小型网络公司。eap拓展认证协议主要运行于数据链路层，比如ppp、有台认证服务器来处理。这种架构拓展了eap的适用范围。aaa（认证、授权、计费）认证是基于eap协议，属于bas的一种具体形式，包括常用的radius服务器等。如果没有后台验证服务器，eap服务器

6、功能就在验证请求实体中，无线网络一般是ap。3 无线加密方式对比无线网络加密主要是对数据链路层（包含媒介访问控制、逻辑链路控制部分）进行加密，目前无线局域网涉及到的加密算法有有线等效加密（wep）、暂时密钥集成协议（tkip）和高级加密标准aes-ccmp。3.1 有线等效加密有线等效加密是目前802.11无线加密的基础，是无线网络基础安全加密机制。其通过共享密钥来实现认证，认证机制简单，并且是单向认证，没有密钥管理、更新及分发机制。完全手工配置并不方便，所以用户往往不更改。802.11定义了2个wep版本，wep-40和wep-104，分别支持64，128位加密，含24位初始化向量iv，因此

7、无线设备上配置的共享密钥为40或104位，其还包括一个数据校验机制icv，用来保护信息传输不被篡改。随着技术的不断发展，发现wep存在许多密码学缺陷，基础缺陷是rc4加密算法以及短iv向量。另外，还发现其容易受到重传攻击。icv也有弱点。虽然wep协议通过高位wep和动态wep方式改进，但是有实验证明高位wep虽然密码复杂程度高，但核心算法rc4已经公开，破解花费时间不是很长，根本无法保证数据的机密性、完整性和用户身份认证。动态wep，指定期动态更新密钥，但由于是私有方案而非标准，无法从根本上解决wep存在的问题。3.2 暂时密钥集成协议暂时密钥集成协议是针对wep加密算法漏洞而制定的一种临时

8、解决方案，其核心是对wep加密算法的改进。与wep不同的是，tkip针对不同客户端周期性动态产生新的密钥，避免密钥被盗用。并且tkip密钥长度为128位，初始化向量iv增加为48位，降低了密钥冲突，提高了加密安全性。同时数据包增加信息完整码mic（message integrity code）校验，可防止伪装、分片、重放攻击功能等黑客攻击行为，为无线安全提供了强有力的保证。另外，如果使用tkip加密，只要支持wep加密就不需要进行硬件升级。3.3 高级加密标准aes-ccmp基于计数器模式cbc-mac协议的aes安全加密技术（aes-ccmp），是目前为止最高级的无线安全协议，加密使用128

9、位aes算法（一种对称迭代数据加密技术）实现数据保密，使用cbc-mac来保证数据的完整性和安全性。另外，通过数据包增加pn（packet number）字段，使其具有防止回放、注入攻击的功能。这样就可提供全部4种安全服务，即认证、数据保密性、完整性和重发保护。aes加密算法是密码学中的高级加密标准，采用对称的区块加密技术，比wep与tkip加密核心算法rc4具有更高的加密性能，不仅安全性能更高，而且其采用最新技术，在无线网络传输速率上也要比tkip快，快于tkip及wep的54 mbps的最大网络传输速度。 4 wpa/wpa2安全分析wi-fi网络安全存取技术（wpa）是在802.11i草

10、案基础上制定的无线局域网安全技术系统，因wep有严重的缺陷，wpa的目的就是替代传统的wep加密认证。wpa主要使用tkip加密算法，其核心加密算法还是rc4，不过其密钥与网络上设备mac地址、初始化向量合并。这样每个节点都使用不同的密钥加密。wpa使用michael算法取代wep加密的crc均支持。这样，wpa既可以通过外部radius服务进行认证，也可以在网络中使用radius协议自动更改分配密钥。wpa的核心内容是ieee 802.1x认证和tkip加密。wpa含2个版本，即针对家庭及个人的wpa-psk和针对企业的wpa-enterprise。wpa2（无线保护接入v2）是经由wi-f

11、i联盟验证过的ieee 802.11i标准的认证形式，即强健安全网络，它的出现并不是为了解决wpa的局限性。它支持aes高级加密算法，使用ccm（counter-mode/cbc-mac）认证方式。这比tkip更加强大和健壮，更进一步加强了无线局域网的安全和对用户信息的保护。最初，其与wpa的核心区别是定义了具有更高安全性的加密标准，不过现在两者都已经支持aes加密。同样，wpa2允许使用基于具有ieee802.x功能的radius服务器和预共享密钥（psk）的验证模式。一般radius服务器验证模式适用于企业，预共享密钥适用于个人验证。不过专业技术人员wpa/wpa2的4次握手过程仍然存在字

12、典攻击的可能。近来，随着对无线安全的深入了解，黑客通过字典及pin码破解就能攻破wpa2加密。5 无线网络安全防范措施目前，大多数企事业单位及个人家庭wi-fi产品都支持wpa2，wpa2已經成为一种无线设备强制性标准。wpa2基本上可以满足部分企业和政府机构等需要导入aes的用户需求。具体来说，用户可以采取以下一些措施来降低无线网络的安全风险：定期维护加密密码，不要使用默认用户名，组合使用字母、数字、特殊字符来设置密码，并要定期变更密码。定期修改ssid或隐蔽ssid。选取ap的ssid时，不要使用公司或部门名称、接入点默认名称及测试用ssid，并定期更改无线路由器的ssid号。另建议用户关

13、闭无线路由器的ssid广播功能。必要时，关闭无线路由器的dhcp服务。dhcp服务会暴露用户网络的一些信息，无线客户端可以获得ip地址、子网掩码、网关等信息。这样，入侵者很轻易就可以使用无线路由器的资源，成为一个有隐患的漏洞。充分利用路由器的安全功能，通过路由器提供安全设置功能对ip地址进行过滤、mac地址绑定等，限制非法用户接入。选择最新加密设置。目前大多数无线客户端、路由器及ap都已经全面支持wpa协议，wep在当今基本失去安全意义，可以选择wpa/wpa2和wpa-psk/wpa2-psk这几种模式，同时建议采用aes加密算法。采用802.1x身份验证。该认证用于以太网和无线局域网中的端口访问与控制。基于ppp协议定义的eap扩展认证协议，可以采用md5、公共密钥等更多认证机制，从而提供更高级别的安全。802.1x的客户端认证请求可以独立搭建radius服务器进行认证，目前已经成为大中型企业、高校等无线网络强化的首选。6 结束语无线局域网使用简单、操作安装方便，移动灵活性强，但同时面临着复杂的无线安全问题。网络技术管理人员应关注网络安全技术，提高安全防范意识，切不可对无线网络安全掉以轻心，同时采取合理的网络