郑欣
摘 要:本文通过对无线局域网以及WLAN所面临的网络威胁做了简单的介绍,从IEEE802.11i协议标准和扩展无线信号频谱以及服务集标识符等方面着重阐述了无线局域网的网络安全策略,进而为创建安全可靠的无线局域网奠定坚实的理论基础。
关键词:无线局域网;网络攻击;IEEE802.11i;802.1x用户认证;CCMP
1 概述
随着社会经济的快速发展,人们的生活节奏变得越来越快,有线传输网络已经不能满足人们的日益严峻的上网需求。由于计算机信息的共享技术以及无线网络特有的开放性,在人们轻松使用无线网络的同时,不断增加的信息安全威胁也随之而来,窃听、身份假冒和信息篡改等对无线网络的攻击已经严重阻碍了无线网络大面积推广和应用,完善地解决无线网络的网络安全问题已经显得尤为严峻。
2 无线局域网以及面临的威胁
无线局域网属于开放式的物理系统,主要采用射频技术对数据进行网络传输,与有线局域网相比,其最大不同表现在数据传输的媒介,所以无线局域网特有的安全威胁主要表现在物理层、链路层和网络层,主要的破坏方式是破坏、攻击或者干扰物理层通路,窃取数据链路层传送数据,阻碍或者非法占用网络层通路、拦截或者监听网络信号。根据不同的破坏方式来对无线局域网的通信协议层进行恶意破坏或监听,从而引起不同的安全问题。
无线局域网的扫描攻击,是非法用户利用扫描仪获取任何人都可接入的开放式AP,而后通过开放式AP来获取互联网使用权去非法攻击第三方个人电脑或掌上移动设备;或者非法接入开放式AP加重其负载,导致合法用户的服务和性能被严重限制,严重会导致网络瘫痪。WEP攻击是非法用户利用抓包软件获取传输数据链,进而解密获取用户发送信息。MAC地址嗅探是从获取的传输数据链中获取发送数据用户的MAC地址,通过编程伪装成该用户有效MAC地址进行地址欺骗和会话拦截。AP电子欺骗是通过设一个非授权的假冒AP,当受欺骗用户接入该AP时,盗取用户接入口令,利用其权限进行非法操作。
3 无线局域网的网络安全策略
⑴扩展无线通信频谱和服务器标识号。通过扩展无线网络通信信号频谱,或者采用跳频技术,使得非法用户难以捕捉到有用的数据。一般常用的扩展无线信号频谱的方式有直接序列扩展频谱,跳频或跳时,线性调频,通过这种方式是非法用户无法得到固定监听频率,从而很难得到监听信号。通过多个网络桥接器设置不同的服务集标识符(SSID),并且设置要求无线网卡出示正确的服务集标识符才能访问网络桥接器。这样就可以允许合法的群组用户正常接入,并对网络资源权限进行区别和限制,防止非法用户接入AP,破坏正常的无线网络服务。
⑵增加WLAN网络安全机制。使用基于IEEE802.11i的标准来制定WLAN的网络安全机制,来客服WEP本身漏洞给WLAN带来的影响。802.11i协议标准包括使用802.1x的用户认证、动态密钥管理、多种数据加密机制。
802.1x用户认证提供了比WEP更好的认证和机密性,在发送的认证数据包中包括了三个实体:请求者、认证者和认证服务器。IEEE802.1x用户认证过程其实是三个实体之间的互相认证,通过认证者转发认证数据包,请求者和认证服务器之间互相认证并生成一个主会话密钥MSK,随后认证服务器将MSK安全传输给认证者,认证者转发给请求者,进而请求者和和认证者利用MSK生成PMK,用于生成随后临时会话密钥PTK,这个认证过程结束。在请求者和认证者中,PTK相互独立,没有互相通信,是PTK的保密得到良好的保证。802.11i协议常用的数据加密机制有TKIP和CCMP。其中TKIP是在WEP的基础上改进的加密系统,其安全性能更高。TKIP在WEP的基础上扩展了加密帧格式,增加了EIV和MIV域,可以使用MIC进行报文完整性校验,防止重放攻击。
TKIP只是对WEP算法的缺陷做了相应的弥补,属于一个过渡性算法,CCMP是较于TKIP更高级的数据加密机制。CCMP为无线局域网络提供了加密、认证、完整性和重放保护等机制,扩展了原来MPDU的容量,来处理一个128比特的密钥和一个128比特的数据快。CCMP处理用16B,扩展了原来MPDU的容量,其中8B为CCMP帧头,8B为MIC校验码。CCMP帧头由PN、ExtIV(扩展初始向量)和Key ID域组成。PN是一个48bit的数字,是一个6B的数组。ExtIV域表示CCMP扩展了帧头8B,如果使用CCMP加密,则ExtIV的值总为1。
CCMP基于AES加密算法,将CTR加密算法和验证信息完整性运算的CBC-MAC算法结合在一起共同对无线局域网传输数据进行加密。当数据信息通过无线信号发送时,CCMP会从MPDU报文头中提出AAD和Nonce两部分,以Nonce+AAD的方式得到MIC。然后将MIC加到数据域中,和数据域原文组成了MIC+数据域原文的序列。然后以16字节为单位,将该序列分为若干个16字节数据块(最后剩余字符可以不是16字节的数据块),一般的,第一个16字节数据块是由Nonce组成的MIC IV,第二、三个数据块是由AAD组成的MIC HEADER1和2,从第四个数据库开始为数据域原文。此后开始用AES加密算法对MIC和数据域原文进行数据加密,而对原明文MPDU的MAC Header与生成的8字节CCMP Header组成加密帧的验证部分,最后和AES加密的MIC和数据域原文加上FCS校验生成加密帧,从完成CCMP数据加密过程。CCMP对帧头的配置以及加密过程更加确保了无线传输数据的真实性和安全性,使得CCMP具有很高的安全性,已经逐渐成为无线局域网产品中主流的数据加密机制。
我们在搭建WLAN的时候,要从各个方面入手来提高无线局域网的安全性能,创建一个安全可靠的无线网络环境,为合法用户提供一个稳定舒适的上网环境。
[参考文献]
[1]王磊,梁华庆.浅谈无线局域网安全技术的发展[J].微型机与应用. 2011(06).
[2]陈晓华.校园无线局域网的安全策略研究[J].电脑编程技巧與维护. 2010(22).