無(wú)線WLAN的安全技術(shù)體系

【W(wǎng)ord版本下載可任意編輯】無(wú)線WLAN的安全技術(shù)體系隨著移動(dòng)互聯(lián)網(wǎng)的大潮，人們對(duì)隨時(shí)隨地享受網(wǎng)速更快、費(fèi)用更低甚至是的網(wǎng)絡(luò)訪問(wèn)有著龐大的需求。無(wú)線WLAN所具備的高帶寬、低成本的特性正是滿足這種龐大需求的高速無(wú)線聯(lián)網(wǎng)的接入技術(shù)，使得越來(lái)越多的區(qū)域提供無(wú)線WLAN的接入服務(wù)。

做為一項(xiàng)開放性的公共服務(wù)，并且是通過(guò)開放性媒介（空氣），使用電磁波作為載體來(lái)傳輸數(shù)據(jù)信號(hào)，無(wú)線通信雙方是沒(méi)有物理線纜連接的。如果無(wú)線信號(hào)在空氣中傳輸?shù)倪^(guò)程未采取適當(dāng)?shù)募用鼙Ｗo(hù)，數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)就會(huì)大大增加。任何人都有條件竊聽或干擾信息，因此對(duì)越權(quán)存取和竊聽的行為也更不容易防范。在20**年拉斯維加斯的黑客會(huì)議上，安全就指出，無(wú)線網(wǎng)絡(luò)將成為黑客攻擊的另一塊熱土。因此在WLAN中確保傳輸?shù)男盘?hào)安全顯得尤為重要。

無(wú)線WLAN的安全基本措施一般來(lái)說(shuō)有以下4個(gè)方面：信息過(guò)濾、鏈路、數(shù)據(jù)安全以及接入。

1.信息過(guò)濾

通過(guò)對(duì)多個(gè)無(wú)線接入點(diǎn)AP（AccessPoint）設(shè)置不同的SSID，并要求無(wú)線工作站出示正確的SSID才能訪問(wèn)AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問(wèn)的權(quán)限開展區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。如果AP停止廣播SSID（靜默），那么STA必須主動(dòng)提供正確的SSID才能與AP相連。所以通過(guò)設(shè)置SSID的方式可以過(guò)濾一部分非法用戶，但由于一般情況下，用戶自己配置客戶端系統(tǒng)，通過(guò)共享會(huì)使得越來(lái)越多人的都知道該SSID，很容易共享給非法用戶。

2.鏈路

鏈路即WLAN鏈路關(guān)聯(lián)身份驗(yàn)證，是一種低級(jí)的身份驗(yàn)證機(jī)制。在STA同AP開展關(guān)聯(lián)時(shí)發(fā)生，該行為早于接入。任何一個(gè)STA試圖連接網(wǎng)絡(luò)前，都必須開展鏈路身份驗(yàn)證開展身份確認(rèn)?？梢园焰溌飞矸蒡?yàn)證看作是STA連接到網(wǎng)絡(luò)時(shí)的握手過(guò)程的起點(diǎn)，是網(wǎng)絡(luò)連接過(guò)程中的步。常用的鏈路方案包括開放系統(tǒng)身份和共享密鑰身份。

開放系統(tǒng)

步，STA請(qǐng)求。STA發(fā)出請(qǐng)求，請(qǐng)求中包含STA的ID（通常為MAC地址）。

第二步，AP返回結(jié)果。AP發(fā)出響應(yīng)，響應(yīng)報(bào)文中包含說(shuō)明是成功還是失敗的消息。如果結(jié)果為成功，那么STA和AP就通過(guò)雙向。

共享密鑰

共享密鑰需要STA和AP配置相同的共享密鑰。具體過(guò)程如下。

步，STA先向AP發(fā)送請(qǐng)求；

第二步，AP會(huì)隨機(jī)產(chǎn)生一個(gè)Challenge包（即一個(gè)字符串）發(fā)送給STA；

第三步，STA會(huì)將接收到字符串拷貝到新的消息中，用密鑰加密后再發(fā)送給AP；

第四步，AP接收到該消息后，用密鑰將該消息解密，然后對(duì)解密后的字符串和初給STA的字符串開展比較。如果相同，則說(shuō)明STA擁有無(wú)線設(shè)備端相同的共享密鑰，即通過(guò)了共享密鑰；否則共享密鑰失敗。

3.數(shù)據(jù)安全

通過(guò)對(duì)數(shù)據(jù)報(bào)文開展加密，保證只有特定的設(shè)備可以對(duì)接收到的報(bào)文成功解密。其他的設(shè)備雖然可以接收到數(shù)據(jù)報(bào)文，但是由于沒(méi)有對(duì)應(yīng)的密鑰，無(wú)法對(duì)數(shù)據(jù)報(bào)文解密，從而實(shí)現(xiàn)了WLAN數(shù)據(jù)的安全性保護(hù)。

在WLAN中通過(guò)有線等效加密（WEP）、暫時(shí)密鑰集成協(xié)議（TKIP）和加密標(biāo)準(zhǔn)AES-CCMP等三種方式開展數(shù)據(jù)加密，以保證信息的傳輸過(guò)程不被惡意竊取。

WEP是MAC層加密算法，保護(hù)終端與AP間的安全基，于對(duì)稱密鑰的RC4算法。WEP加密采用靜態(tài)的密鑰，所有STA采用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。

WEP加密可以在Opensystem、Sharedkey鏈路方式中使用。

開放系統(tǒng)：WEP密鑰只做加密，即使密鑰配的不一致，用戶也是可以上線，但上線后傳輸?shù)臄?shù)據(jù)會(huì)因?yàn)槊荑€不一致被接收端丟棄。

共享密鑰：如果雙方密鑰不一致，客戶端就不能通過(guò)Sharedkey，無(wú)法上線。即當(dāng)WEP和Sharedkey方式配合使用時(shí)，WEP也可以作為一種方法。

是單向的，AP能客戶端，但客戶端沒(méi)法AP。初始向量(IV)太短，重用很快，為攻擊者提供很大的方便。WEP沒(méi)有方法應(yīng)付所謂“重傳攻擊”(ReplayAttack)。ICV采用CRC-32，報(bào)文很容易被篡改而不被發(fā)現(xiàn)。WEP只支持預(yù)配置密鑰，沒(méi)有密鑰管理，更新，分發(fā)的機(jī)制，完全要手工配置，用戶往往常年不會(huì)去更換。

為增強(qiáng)WEP加密機(jī)制而設(shè)計(jì)的過(guò)渡方案。它也和WEP加密機(jī)制一樣使用的是RC4算法，但是相比WEP加密機(jī)制，TKIP加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)，主要表達(dá)在以下幾點(diǎn)：靜態(tài)WEP的密鑰為手工配置，且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰，而TKIP的密鑰為動(dòng)態(tài)協(xié)商生成，每個(gè)傳輸?shù)臄?shù)據(jù)包都有一個(gè)與眾不同的密鑰；TKIP將密鑰的長(zhǎng)度由WEP的40位加長(zhǎng)到128位，初始化向量IV的長(zhǎng)度由24位加長(zhǎng)到48位，提高了WEP加密的安全性；TKIP支持MIC（MessageIntegrityCheck，信息完整性校驗(yàn)）和防止重放攻擊功能。

無(wú)線WLAN的安全技術(shù)體系

發(fā)送端會(huì)使用加密算法計(jì)算一個(gè)MIC（messageintegritycode，消息完整碼），TKIP只要在MSDU開展分片前將MIC追加到MSDU后面，形成一個(gè)新的MSDU就好了，分片的事，它不管,那是MPDU的事情。接收端收到MPDU分片以后，會(huì)先將它們重組成一個(gè)MSDU，然后開展MIC的校驗(yàn)。

CCMP加密使用的AES算法中都是使用的128bit的密鑰和128bit的加密塊,CCM主要有兩個(gè)參數(shù)：M=8,表示MIC是8個(gè)字節(jié)；L=2，表示長(zhǎng)度域是兩個(gè)字節(jié)一共16位，這樣就可以滿足MPDU的長(zhǎng)度。同時(shí)CCM需要給每個(gè)session指定不同的temporalkey，而且每一個(gè)被加密的MPDU都需要一個(gè)指定的臨時(shí)值，所以CCMP使用了一個(gè)48bit的PN（packetnumber），對(duì)同一個(gè)PN的使用將會(huì)使安全保證失效。

簡(jiǎn)單來(lái)說(shuō)，TKIP主要是用來(lái)加強(qiáng)WEP加密，這個(gè)升級(jí)主要表達(dá)在算法上，使用TKIP加密，并不需要開展硬件的升級(jí)，也就是說(shuō)只要你的硬件支持WEP加密，那么同時(shí)也能夠支持更安全的TIKP加密，同過(guò)軟件升級(jí)