无线局域网安全机制：计算机网络基础与实践

2023-11-19 理论教育版权反馈

【摘要】：再有，当用户的无线网卡或是用于接入无线网络的笔记本电脑丢失时，MAC 地址过滤技术将不攻自破，无法保证网络的安全性。WEP 协议的设计初衷是使用无线网络协议为网络业务流提供安全保证，使无线网络的安全性达到与有线网络同样的等级。WEP 是IEEE 802.11 标准安全机制的一部分，用来对在空中传输的IEEE 802.11 数据帧进行加密，在数据层提供保密性和数据完整性。

无线网络（主要为WLAN）的安全性定义包括数据的机密性、完善性和真实性3 个方面，所有的保护和加密技术都是围绕这3 个方面进行的。机密性是指无线网络中传输的信息不会被未经授权的用户获取，这主要通过各种数据加密方式来实现；完整性是指数据在传输的过程中不会被篡改或删除，这主要通过数据校验技术来实现；真实性是指数据来源的可靠性，用于保证合法用户的身份不被非法用户冒充。

1.安全技术发展概述

从无线网络发展初期开始，人们就致力于相关安全技术的研究，众多厂商都在尽最大努力制定并开发各种技术来加强无线网络的安全。从早期的MAC 地址过滤和SSID 匹配开始，安全技术从有线等效加密（Wired Equivalent Privacy，WPA，采用共享密钥认证和RC4 加密算法）、无线保护访问（Wi-Fi Protected Access，WAP，采用EAP 认证和基于RC4 的TKIP加密机制），一直发展到IEEE 802.11i 标准。中国也推出了自主产权的无线局域网安标准：无线局域网鉴别和保密基础结构（Wireless IAN Authentication and Privacy Infrastructure，WAPI）。与此同时，VPN-Over-Wireless 作为一种能够增强无线网络安全的解决方案，始终受到厂商和用户的关注。

2.MAC 地址过滤和SSID 匹配

早期的WLAN 信息安全技术主要采用物理地址过滤（MAC 地址过滤）和SSID 匹配技术，这两项技术至今仍是WLAN 的基本安全措施，也是广大普通用户（如家庭用户和小型办公室用户）普遍使用的一种安全保护方式。

（1）MAC 地址过滤技术又称MAC 认证。由于每个无线客户端都由唯一的物理地址标识[即该客户端无线网卡的物理地址（MAC 地址）]，因此，可以在无线AP 中维护一组允许访问的MAC 地址列表，实现物理地址过滤。MAC 地址过滤技术通过检查用户数据包的MAC地址来认证用户的可信度，只有当无线客户端的MAC 地址和AP 中可信的MAC 地址列表中的地址匹配时，无线AP 才允许无线客户端与之建立通信。

无线网络中的MAC 地址过滤功能与交换机上的MAC 地址绑定功能相似。在局域网中，可以在交换机上通过配置实现某一端口与下连设备MAC 地址之间的绑定。当设置了MAC 地址与交换机上对应端口的绑定后，只有被绑定MAC 地址的设备才能够接入交换机，其他设备通过该端口接入时将被交换机拒绝。

MAC 地址过滤属于硬件认证而非用户认证，它要求无线AP 中的MAC 地址列表必须随时更新，并且都是手工操作。MAC 地址扩展能力较差，增加无线接入用户时比较麻烦，适合于在小型网络中使用。另外，非法用户利用网络监听手段很容易窃取合法的MAC 地址并进行修改，进而达到非法接入网络的目的。再有，当用户的无线网卡或是用于接入无线网络的笔记本电脑丢失时，MAC 地址过滤技术将不攻自破，无法保证网络的安全性。

（2）SSID 匹配技术提供了一种标志无线网络边界的方法，即所有SSID 相同的无线设备处于同一个无线网络范围内。SSID 匹配技术要求无线客户端必须配置正确的SSID 才能访问无线AP，并且提供口令认证机制，为无线网络提供了一定的安全性。

制造商为了使无线AP 安装简便，在默认设置下会让无线AP 对外广播自己的SSID，并且允许具有正确SSID 的所有客户端进行连接，这会降低网络的安全程度。另外，一般都是由用户自己配置客户端系统，所以很多人都会知道该SSID，该SSID 也就很容易被非法用户获知。再有，有些产品支持ANY 方式，只要无线客户端在无线AP 范围内，都会自动搜索到该无线AP 发送的信号，并清楚地显示AP 的SSID，从而连接到无线AP，这将绕过SSID 的安全功能。

3.WEP 协议

由于MAC 地址过滤技术和SSID 匹配技术解决WLAN 安全问题的能力较弱，1997年IEEE 推出了第一个真正意义上的WLAN 安全措施——WEP 协议，旨在提供与有线网络等效的数据机密性。

WEP 协议的设计初衷是使用无线网络协议为网络业务流提供安全保证，使无线网络的安全性达到与有线网络同样的等级。WEP 采用的是一种对称的加密方式，即对于数据的加密和解密都使用同样的密钥和算法，这样做主要是为了达到以下两个目的：

（1）访问控制：阻止那些没有正确WEP 密钥并且未经授权的用户（也可能是黑客）访问网络。

（2）保密：仅允许具备正确WEP 密钥的用户通过加密来保护在WLAN 中传输的数据流。

对于设备制造商来说，尽管是否使用WEP 是可以选择的，但是如果使用WEP，那么无线网络产品必须支持具有40 位加密密钥的WEP。因此，WEP 协议只是IEEE 802.11 标准中指定的一种保密协议，但不是必需的，它的目的是保护WLAN 用户，防止偶然偷听。

WEP 是IEEE 802.11 标准安全机制的一部分，用来对在空中传输的IEEE 802.11 数据帧进行加密，在数据层提供保密性和数据完整性。但由于设计上的缺陷，该协议存在安全漏洞，主要表现在以下两个方面：

（1）RC4 算法的安全问题。WEP 中使用的RC4 加密算法存在弱密钥性，大大减少了搜索RC4 密钥空间所需的工作量。

（2）WEP 本身的缺陷。WEP 本身的缺陷主要反映在两个方面：一是使用了静态的WEP密钥管理方式。由于在WEP 协议中不提供密钥管理，因此对于许多无线网络用户而言，同样的密钥可能需要使用很长时间，这样将导致安全隐患增大。WEP 协议的共享密钥为40位，用来加密数据显得太短，不能抵抗某些具有较强计算能力的穷举攻击或字典攻击。二是WEP 没有对加密的完整性提供保护。与IEEE 802.3 以太网一样，IEEE 802.11 的数据链路层协议中使用了未加密的循环冗余校验码来检验数据的完整性，带来了安全隐患，降低了系统的安全性。

4.WPA 协议

为了解决WEP 存在的安全问题，提高WLAN 的安全性，WiFi 联盟提出了WPA 协议。

WPA 协议是IEEE 802.11i 标准中的一项安全功能。针对WEP 在加密强度和数据完整性方面存在的问题，IEEE 提供的具体解决方案为IEEE 802.11i，针对IEEE 802.11g 的安全问题，无线以太网兼容性联盟（Wireless Ethernet Compatibility Alliance，WECA）将IEEE 802.11i 草案中的WPA 机制独立出来，并应用到IEEE 802.11g 中。

WPA 本质上是IEEE 802.11i 的一个子集。WPA 的核心内容是临时密钥完整协议（Temporal Key Integrity Protocol，TKIP）。

1）WPA 的应用功能

WPA 的主要应用功能包括以下几部分：(www.chuimin.cn)

（1）增强无线网络的安全性。在WPA 协议的实现中，要通过IEEE 802.1x 身份验证、加密及单播和全局加密密钥管理来实现无线网络的安全性。

（2）通过软件升级解决WEP 存在的安全问题。WEP 中的RC4 流密码容易受到已知的明文攻击。另外，WEP 提供的数据完整性也相对较弱。WPA 解决了WEP 中存在的安全问题，用户只需要更新无线设备中的固件和无线客户端，即可使用WPA 所拥有的安全性，而不需要更换现有的无线设备。

（3）为家庭和办公用户提供安全的无线网络解决方案。WPA 提供了一个用于家庭和办公用户配置的预共享密钥选项。预共享密钥在无线AP 和每个无线客户端上配置，通过验证无线客户端和无线AP 是否具有预共享密钥来提高无线网络接入的安全性。

（4）兼容IEEE 802.11i 标准。WPA 是IEEE 802.11i 标准中安全功能的一个子集。

2）WPA 的安全功能

WPA 在用户身份认证、加密及数据完整性方面均有所增强，具体表现在以下3 点：

（1）WPA 用户身份认证：在IEEE 802.11 中，IEEE 802.1x 身份认证是可选的。而在WPA 中，IEEE 802.1x 身份认证是必需的。WPA 中的身份验证是开放系统认证和IEEE 802.1x 身份认证的结合，它包括以下两个阶段：

第一阶段：使用开放系统认证，指示身份验证客户端可以将帧发送到无线AP。

第二阶段：使用IEEE 802.1x 执行用户级别的身份认证。

对于没有RADIUS（Remote Authentication Dial In User Service）基础结构的环境，WPA支持使用预共享密钥；对于具有RADIUS 基础结构的环境，WPA 支持EAP 和RADIUS。

（2）WPA 加密：对于IEEE 802.1x，单播加密密钥的重新加密操作是可选的。另外，IEEE 802.11 和IEEE 802.1x 没有提供任何机制来更改多播和广播通信所使用的全局加密密钥。对于WPA，必须对单播和全局加密重新加密。TKIP 会更改每一帧的单播加密密钥，以便使更改后的密钥公布到无线客户端。

WPA 必须使用TKIP 进行加密。TKIP 与WEP 一样基于RC4 加密算法，但相对于WEP算法，TKIP 将密钥的长度由40 位增加到128 位。

（3）WPA 数据完整性：在WPA 中，新的算法增强了数据在网络中传输时的安全性。

3）WPA 存在问题

WPA 沿用了WEP 的基本原理，同时又采用了新的加密算法及身份认证机制。事实证明，WPA 的安全性比WEP 高。WEP 的加密机制可以提供64 位或128 位的加密模式，有些产品甚至提供了256 位加密模式。虽然从理论上说128 位加密模式已经非常难以破解，但由于WEP 使用静态密钥，这使密钥很容易被破解。由于WPA 加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行分析，也很难计算出通用密钥，弥补了WEP 加密密钥的安全缺陷。

WPA 的缺点主要表现在3 个方面：一是不能向后兼容某些早期的设备和操作系统；二是对硬件要求较高，除非无线产品继承了具有运行WPA 和加快该协议处理速度的硬件，否则WPA 将降低网络性能；三是TKIP 并非最终解决方案，WiFi 联盟和IEEE 802 委员会都认为TKIP 只能作为一种临时的过渡方案，其最终将被IEEE 802.11i 标准取代。

5.IEEE 802.11i 标准

2004年6月，IEEE 正式通过了IEEE 802.11i 标准，使WLAN 拥有了更为广阔的应用空间。专门致力于推广IEEE 802.11 系列产品的WiFi 联盟将IEEE 802.11i 的商用名称定为WEP2。

1）IEEE 802.11i 网络框架

IEEE 802.11i 标准规定了两种网络框架，即过渡安全网络（Transition Security Network，TSN）和强健安全网络（Robust Security Network，RSN）。

（1）TSN：TSN 规定在其网络中可以兼容现有的使用WEP 方式工作的设备，使现有的WLAN 系统可以向IEEE 802.11i 网络平稳过渡。其具体解决方法为WiFi 联盟制定的WPA 标准，这是一个向IEEE 802.11i 过渡的中间标准，是IEEE 802.11i 安全性的一个子集。

（2）RSN：RSN 支持全新的IEEE 802.11i 安全标准，并且针对WEP 加密机制中的各种缺陷作了多方面改进，增强了WLAN 中的数据加密和认证性能。

2）IEEE 802.11i 协议结构

整个IEEE 802.11i 引入了以可扩展认证协议（Extensible Authentication Protocol，EAP）为核心的用户审核机制，可以通过服务器审核接入用户的ID，在一定程度上可避免黑客的非法接入。

无线局域网安全机制：计算机网络基础与实践

相关推荐