對(duì)無(wú)線局域網(wǎng)安全問題的思考

□文/王 儉

一、無(wú)線局域網(wǎng)安全隱患

1、WEP加密安全隱患。WEP對(duì)MAC層的數(shù)據(jù)加密過程很簡(jiǎn)單，WEP利用了CR4加密算法。首先將共享密鑰和一個(gè)24位初始向量IV作為偽隨機(jī)產(chǎn)生器（PREG）的種子，產(chǎn)生一個(gè)與明文及其校驗(yàn)和ICV（在WEP算法中，采用了CRC-32計(jì)算校驗(yàn)和）等長(zhǎng)度的密鑰序列K，然后密鑰序列K與明文及其校驗(yàn)和進(jìn)行異或運(yùn)算產(chǎn)生密文；最后將密文連同初始向量IV發(fā)送給接收方。接收方接收到消息后，利用共享密鑰的一份本地拷貝和接收到的IV產(chǎn)生一個(gè)與K完全相同的密鑰序列，與密文異或恢復(fù)出明文；同時(shí)，計(jì)算明文校驗(yàn)和ICV，通過比較ICV以判定接收到的消息是否合法。數(shù)據(jù)加密帶來(lái)的問題是RC4加密算法（由于密鑰是靜態(tài)不變的，密鑰序列的改變就由IV來(lái)決定）的缺陷；IV隨機(jī)產(chǎn)生且與加密數(shù)據(jù)一起傳送，IV本身并未加密；密鑰序列重復(fù)使用；CRC-32帶來(lái)的問題等。

2、用戶身份認(rèn)證安全隱患。802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。前者是默認(rèn)的認(rèn)證方法，任何移動(dòng)站點(diǎn)都可加入基本服務(wù)集（BSS），并可以與接入點(diǎn)（AP）通信，能“聽到”所有未加密的數(shù)據(jù)?？梢?，這種方法根本沒有提供認(rèn)證，也不存在安全性；共享密鑰認(rèn)證是一種請(qǐng)求響應(yīng)認(rèn)證機(jī)制，它能夠提供相對(duì)于開放系統(tǒng)認(rèn)證方式比較高的安全系數(shù)，采用此種認(rèn)證方式的STA必須實(shí)施WEP加密算法，認(rèn)證過程為：AP在收到STA請(qǐng)求接入信息后，發(fā)送詢問信息，STA對(duì)詢問信息使用共享密鑰進(jìn)行加密并回送給AP，AP解密并校驗(yàn)信息的完整性。若成功，則允許STA接入WLAN，攻擊者只需截獲加密前后的詢問信息，將二者進(jìn)行“異或”運(yùn)算就可以得到密鑰序列，然后攻擊者則可以向AP發(fā)送認(rèn)證請(qǐng)求信息，并用得到的密鑰序列加密詢問信息，從而成功地通過AP認(rèn)證，攻擊者冒充合法身份接入WLAN。另外，802.11標(biāo)準(zhǔn)缺少一種雙向認(rèn)證機(jī)制，接入點(diǎn)可以驗(yàn)證客戶機(jī)的身份，而客戶機(jī)不能驗(yàn)證接入點(diǎn)的身份，如果一個(gè)虛假接入點(diǎn)被放置在無(wú)線局域網(wǎng)中，它可以通過“劫持”合法客戶機(jī)成為產(chǎn)生拒絕訪問的平臺(tái)。

二、無(wú)線局域網(wǎng)安全措施

1、數(shù)據(jù)傳輸?shù)陌踩?。在無(wú)線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩?。使用先進(jìn)的加密技術(shù)，使得非法用戶即使截取無(wú)線鏈路中的數(shù)據(jù)也無(wú)法破譯；使用數(shù)據(jù)訪問控制能夠減少數(shù)據(jù)泄露。

（1）數(shù)據(jù)加密。IEEE802.11中的WEP。有線對(duì)等保密協(xié)議（WEP）是由IEEE802.11標(biāo)準(zhǔn)定義的，用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。

WEP加密是存在固有缺陷的。由于它的密鑰固定，初始向量?jī)H為24位，算法強(qiáng)度并不算高，于是有了安全漏洞。現(xiàn)在，已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack 和 AirSnort。

（2）IEEE802.11中的 WPA。Wi-Fi保護(hù)接入（WPA）是由IEEE802.11標(biāo)準(zhǔn)定義的，用來(lái)改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來(lái)獲得安全。它還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無(wú)法計(jì)算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中的缺點(diǎn)得以解決。

（3）數(shù)據(jù)的訪問控制。訪問控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問，所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無(wú)線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來(lái)實(shí)現(xiàn)。訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對(duì)用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長(zhǎng)等。

2、安全培訓(xùn)及制度建設(shè)

（1）技術(shù)人員重視安全技術(shù)措施。從最基本的安全制度到最新的訪問控制、數(shù)據(jù)加密協(xié)議，各級(jí)組織的網(wǎng)絡(luò)技術(shù)主管部門都需要采用最高安全保護(hù)措施。采用的安全措施越多，其網(wǎng)絡(luò)相對(duì)就越安全，數(shù)據(jù)安全才能得到保障。

（2）用戶安全教育。各級(jí)組織的網(wǎng)絡(luò)技術(shù)人員可以讓辦公室中的每位網(wǎng)絡(luò)用戶負(fù)責(zé)安全性，將所有網(wǎng)絡(luò)用戶作為“安全代理”，明確每位員工都負(fù)有安全責(zé)任并分擔(dān)安全破壞費(fèi)用。重要的是幫助員工了解不采取安全保護(hù)的危險(xiǎn)性，特別需要向用戶演示如何檢查其電腦上的安全機(jī)制，并按需要激活這些機(jī)制，這樣可以更輕松地管理和控制網(wǎng)絡(luò)。

（3）安全制度建設(shè)。制定安全制度，進(jìn)行定期安全檢查。WLAN實(shí)施是危險(xiǎn)的，網(wǎng)絡(luò)技術(shù)人員應(yīng)該公布關(guān)于無(wú)線網(wǎng)絡(luò)安全的服務(wù)等級(jí)協(xié)議或政策，還應(yīng)指定政策負(fù)責(zé)人，積極定期檢查各級(jí)組織網(wǎng)絡(luò)上的欺騙性或未知接入點(diǎn)。此外，更改接入點(diǎn)上的缺省管理密碼和SSID，并實(shí)施動(dòng)態(tài)密鑰（802.1X）或定期配置密鑰更新，這樣有助于最大限度地減少非法接入網(wǎng)絡(luò)的可能性。

[1] 趙偉艇.無(wú)線局域網(wǎng)的加密和訪問控制安全性分析.微計(jì)算機(jī)信息，2007.21.