無線局域網(wǎng)技術(shù)安全發(fā)展的研究

無線局域網(wǎng)技術(shù)安全發(fā)展的研究

摘要：無線局域網(wǎng)的覆蓋范圍為幾百米，在這樣一個范圍內(nèi)，無線設(shè)備可以自由移動，其適合于低移動性的應(yīng)用環(huán)境。而且無線局域網(wǎng)的載頻為公用頻段，無需另外付費，因而使用無線局域網(wǎng)的成本很低。無線局域網(wǎng)帶寬更會發(fā)展到上百兆的帶寬，能夠滿足絕大多數(shù)用戶的帶寬要求?；谝陨显?，無線局域網(wǎng)在市場贏得熱烈的反響，并迅速發(fā)展成為一種重要的無線接入互聯(lián)網(wǎng)的技術(shù)。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無線局域網(wǎng)將面臨著更嚴峻的安個問題。本文在闡述無線局域網(wǎng)安全發(fā)展概況的基礎(chǔ)上，分析了無線局域網(wǎng)的安全必要性，并從不同方面總結(jié)了無線局域網(wǎng)遇到的安全風(fēng)險，同時重點分析了IEEE802.11b標(biāo)準(zhǔn)的安全性、影響因素及其解決方案，最后對無線局域網(wǎng)的安全技術(shù)發(fā)展趨勢進行了展望。關(guān)鍵詞：無線局域網(wǎng)；標(biāo)準(zhǔn)；安全；趨勢前言無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備，省去了布線的麻煩，組網(wǎng)靈活。無線局域網(wǎng)（WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機的入網(wǎng)要求，也可實現(xiàn)計算機局域網(wǎng)遠端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合，并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持。因此，WLAN已在軍隊、石化、醫(yī)護管理、工廠車間、庫存控制、展覽和會議、金融服務(wù)、旅游服務(wù)、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用，受到了廣泛的青睞，已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。1．無線局域網(wǎng)安全發(fā)展概況無線局域網(wǎng)802.11b公布之后，迅速成為事實標(biāo)準(zhǔn)。遺憾的是，從它的誕生開始，其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov，Goldberg和Wagner最早發(fā)表論文指出了WEP協(xié)議中存在的設(shè)計失誤，接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在，能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到，能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個廣為人知的事情，人們期待WEP在安全性方面有質(zhì)的變化，新的增強的無線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運而生[1]。

我國從2001年開始著手制定無線局域網(wǎng)安全標(biāo)準(zhǔn)，經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時兩年多制定了無線認證和保密基礎(chǔ)設(shè)施WAPI，并成為國家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗證移動終端和接入點是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標(biāo)，達到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動終端、接入點和認證服務(wù)單元三部分組成，類似于802.11工作組制定的安全草案中的基本認證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的，WAPI標(biāo)準(zhǔn)雖然是公開發(fā)布的，然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]。增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議，會議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AES-OCB算法，開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過了幾個月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過程中，我們能夠更加清楚地認識到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面，有利于無線局域網(wǎng)安全的研究[3][4]。2．無線局域網(wǎng)的安全必要性WLAN在為用戶帶來巨大便利的同時，也存在著許多安全上的問題。由于WLAN通過無線電波在空中傳輸數(shù)據(jù)，不能采用類似有線網(wǎng)絡(luò)那樣的通過保護通信線路的方式來保護通信安全，所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由，它安裝時間短，增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟，可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而，這種自由也同時帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。WLAN必須考慮的安全要素有三個：信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個簡單易用的解決方案，同時獲得這三個安全要素。國外一些最新的技術(shù)研究報告指出，針對目前應(yīng)用最廣泛的802.11bWLAN標(biāo)準(zhǔn)的攻擊和竊聽事件正越來越頻繁[5]，故對WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發(fā)現(xiàn)其可能存在的安全缺陷，研究相應(yīng)的改進措施，提出新的改進方案，對WLAN技術(shù)的使用、研究和發(fā)展都有著深遠的影響。同有線網(wǎng)絡(luò)相比，無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?，所以首先要加強這一方面的安全性。

無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式，要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備，飯由接入設(shè)備轉(zhuǎn)發(fā)，要么是兩臺用戶設(shè)備直接通信，每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性。無線信號可能被偵聽，但是，如果把無線信號承載的數(shù)據(jù)變成密文，并且，如果加密強度夠高的話，偵聽者獲得有用數(shù)據(jù)的可能性很小。另外，無線信號可能被修改或者偽造，但是，如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù)，以使得接收方可以檢測到數(shù)據(jù)是杏被更改，那么，對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認為是合法數(shù)據(jù)的可能性極小。

這樣，通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護。對于無線局域網(wǎng)中的主機，面臨病毒威脅時，可以用最先進的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼，比如安裝硬件形式的病毒卡預(yù)防病毒，或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進行了若千年的對抗，接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域。

對于DOS攻擊或者DDOS攻擊，可以增加一個網(wǎng)關(guān)，使用數(shù)據(jù)包過濾或其它路由設(shè)置，將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址，可以減小風(fēng)險。對于內(nèi)部的惡意用戶，則要通過審計分析，網(wǎng)絡(luò)安全檢測等手段找出惡意用戶，并輔以其它管理手段來杜絕來自內(nèi)部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶，并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如，用MAC地址來認證用戶是不適當(dāng)?shù)腫5]。

除了以上的可能需求之外，根據(jù)不同的使用者，還會有不同的安全需求，對于安全性要求很高的用戶，可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性，對于進出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施，要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以，無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證，只能結(jié)合用戶的具體需求，結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù)，構(gòu)建安全的網(wǎng)絡(luò)。當(dāng)考慮與其它安全系統(tǒng)的合作時，無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密性服務(wù)，數(shù)據(jù)的完整性服務(wù)，提供身份識別框架和接入控制框架，完成用戶的認證授權(quán)，信息的傳輸安全等安全業(yè)務(wù)。對于防病毒，防泄密，數(shù)據(jù)傳輸?shù)牟豢傻仲嚕档虳oS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)。3．無線局域網(wǎng)安全風(fēng)險安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源，包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機。3．1無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無線電波可以繞過障礙物向外傳播，因此，無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣，人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播，如果收音機的靈敏度高一些，就可以收聽到遠一些的發(fā)射臺發(fā)出的信號。當(dāng)然，無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單，但只要有相應(yīng)的設(shè)備，總是可以接收到無線局域網(wǎng)的信號，并可以按照信號的封裝格式打開數(shù)據(jù)包，讀取數(shù)據(jù)的內(nèi)容[6]。

另外，只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取，并且，如果使用一些信號截獲技術(shù)，還可以把某個數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺。

因此，無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造，對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟損失。3．2無線局域網(wǎng)中主機面臨的威脅

無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡(luò)上流行的病毒之外，還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備，比如手機或者PDA的無線病毒。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后，無線病毒的威脅可能會加劇。

對于無線局域網(wǎng)中的接入設(shè)備，可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù)，造成網(wǎng)絡(luò)癱瘓。當(dāng)某個惡意用戶接入網(wǎng)絡(luò)后，通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰，造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效，同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。這樣，無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅，用戶設(shè)備則要考慮丟失的后果。4．無線局域網(wǎng)安全性無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起，并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上，數(shù)據(jù)傳輸是通過無線電波在空中廣播的，因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此，無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性，主要包括接入控制和加密兩個方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力，否則人們還是對使用無線局域網(wǎng)存在顧慮。4．1IEEE802.11b標(biāo)準(zhǔn)的安全性

IEEE802.11b標(biāo)準(zhǔn)定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密：系統(tǒng)ID（SSID）和有線對等加密（WEP）[7][8]。4.1.1認證

當(dāng)一個站點與另一個站點建立網(wǎng)絡(luò)連接之前，必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點。IEEE802.11b標(biāo)準(zhǔn)詳細定義了兩種認證服務(wù)：一開放系統(tǒng)認證（OpenSystemAuthentication）：是802.11b默認的認證方式。這種認證方式非常簡單，分為兩步：首先，想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀；然后，接收站發(fā)回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證（SharedKeyAuthentication）：這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密（WEP）。4.1.2WEP

IEEE802.11b規(guī)定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò)，他們沒有正確