无线网络及无线接入点中的安全机制研究

摘 要：虽然无线组网比较灵活，但其开放的传输信道会产生各种安全问题。为解决无线网络中的安全问题，并将安全协议用于无线接入点，有必要深入研究安全机制在无线网络中的应用。

关键词：无线网；接入点；安全机制

1 无线网络及其安全需求

无线网络结合了移动通信技术和网络技术，在其发展过程中，由于无线网络的逻辑链路层以上的各层对不同物理层有不同的要求，所以有必要对无线网络的底层进行标准化。在常见的无线局域网标准中，常用的有美国的IEEE 802.11标准、欧洲的HiperLan标准以及中国的WAPI标准等。

WLAN面临的安全威胁很多，按照攻击者在安全威胁中的作用，安全威胁可以分为安全攻击和被动攻击两种；按照攻击过程中是否需要密钥，安全威胁又分为针对密钥、无需密钥两类。被动攻击方法只是对网络资源进行非授权访问，并不会进行修改；主动攻击会修改网络消息的内容。被动攻击和主动攻击并不是完全孤立的，两者往往会被深层次结合在一起，此时无线网络安全面临着更严重的挑战。

整体上看，无线网络面临的安全问题主要表现在如下方面[1]：（1）移动设备的组网方式使得对无线网络的管理比较困难。（2）开放的无线通信信道会泄漏通信信号。针对上述问题，在解决无线网络的安全性问题时，可以提出对应的解决方案，在具备认证、加密的基础上，提供数据完整性和不可否认的功能。

2 无线网络中的安全机制

在传统的无线网络接入控制中，无线网络被划分为可信和不可信两个部分，无线接入控制系统由申请方（客户端）、认证方（无线接入控制点）和授权方组成。在无线网络发展过程中，认证方和授权方是一个实体，后来随着网络的复杂才独立出授权方。认证方式包括开放系统认证和共享密钥认证两类，前者也叫空认证，是默认的认证机制，采用这种认证方式的客户端都可以认证成功；后者是可选认证，需要WEP协议的支持。客户端首先向认证方（AP）发送认证请求，AP给客户端返回一个质询文本，客户端利用WEP协议中的加密算法加密此文本，并再次返回给AP；AP将被加密的质询文本解密后，和发送给客户端的质询文本明文比对，如果两者一致就认为客户端认证成功。

WEP协议在完整性保护、无线接入控制等方面尚存在一定缺陷，802.11i标准中用AES算法代替了RC4算法，为在用户接入网络时在网络入口处进行接入控制，使用了802.1X标准。802.1X标准的正式名称是“基于端口的网络接入控制”，其中端口并不仅仅限于实际的物理端口，逻辑端口等都可以被看作是无线网络中的通信信道。802.1X标准的实体和传统的无线网络类似，也包含申请者、认证者以及认证服务器三部分[2]。申请者一般是支持WLAN的客户端，如手机以及PC等，客户端上要安装IEEE 802.1X软件。认证方的作用是控制接入，每个用户的认证方都有受控端和非受控端两个逻辑端口，前者只有在认证通过后才打开，后者一直打开，目的是传输认证报文。认证服务器保存了所有需要认证用户的相关信息，以决定用户是否可以接入无线网络。这三方都只是逻辑实体，实际应用中可以对应多个物理设备，也可以对应一个物理设备。

无线网络中安全机制的安全性能主要取决于三点：加解密算法的长度、密钥长度以及密钥的分配管理策略。密钥管理的目的是安全的维护密钥的生成、销毁等过程。密钥的分配过程如下[3]：认证方与认证服务器建立一个安全通道，然后借助认证及密钥交换的方式产生会话主密钥（MSK）；接下来申请方及认证方会用MSK计算得到成对的主密钥（PMK），PMK被通过安全通道传送给认证方；然后申请方和认证方借助EAPoL-Key的四步握手机制确定密钥的有效性，并得到用于完整性校验的临时密钥PTK；最后，申请方和认证方协商得到组密钥，用于保护广播数据。

3 无线接入点安全协议分析

我国的无线安全标准是基于WAPI协议的，WAPI协议和认证服务器共同完成用户认证过程。在鉴别及密钥协商方面，WAPI协议的过程主要是[4]：用户的无线设备和接入控制设备建立无线链路，此过程完成后会触发对无线设备的认证过程；认证服务器认证接入点的身份，并将认证结果发送给客户端，认证成功的话就直接进入到密钥协商的过程，并允许用户接入无线网络，否则不允许用户接入。

WAPI协议借助数字证书验证双方身份，每次客户端首次或重新连接到無线网络时、或者密钥更新时，都会激活证书的鉴别过程。如果客户端和无线接入点的证书鉴别成功，就会进入单播密钥协商阶段，此时接入点向无线终端发送密钥协商请求报文，对方生成对应的响应报文并发回接入点，无线终端收到接入点的确认报文后，开始进行数据传输。

单播密钥协商阶段完成后，会进入组播密钥协商过程。单播密钥协商过程中生成的通告密钥（NMK）被用于对报文加密，组播密钥的信息是利用交互组播密钥协商报文得到的。客户端和接入点都得到NMK后，就能够用SHA算法计算得到长度为256位的组播密钥。

在经过身份认证、单播密钥协商以及组播密钥更新三阶段后，就可以实现无线接入点的安全控制。正是因为其在无线接入点上的安全控制方案，WAPI才成为中国的自主无线安全标准。

参考文献

[1]白文远，保承家.无线局域网络通信安全问题分析[J].电子技术与软件工程，2014.

[2]陈玉霞.物联网安全问题之无线传感器网络安全研究[J].信息通信，2014.

[3]徐勇.无线局域网安全保密管控技术研究[J].信息安全与技术，2014.

[4]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护，2014.

作者简介：王陈喜（1986，8-），男，云南省怒江州，现职称：助理工程师，学历：本科，研究方向：网络信息技术及运维。