WIFI無(wú)線(xiàn)網(wǎng)絡(luò )技術(shù)及安全性研究

        WIFI是IEEE定義的一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò )通信的工業(yè)標準(IEEE 802．11)。也可以看作是3G技術(shù)的一種補充。WIFI技術(shù)與藍牙技術(shù)一樣，同屬于在辦公室和家庭中使用的無(wú)線(xiàn)局域網(wǎng)通信技術(shù)。WIFI是一種短程無(wú)線(xiàn)傳輸技術(shù)，能夠在數百英尺范圍內支持互聯(lián)網(wǎng)接入無(wú)線(xiàn)電信號。它的最大優(yōu)點(diǎn)是傳輸速度較高，在信號較弱或有干擾的情況下，帶寬可調整，有效地保障了網(wǎng)絡(luò )的穩定性和可靠性。但是隨著(zhù)無(wú)線(xiàn)局域網(wǎng)應用領(lǐng)域的不斷拓展，其安全問(wèn)題也越來(lái)越受到重視。

1 WIFI技術(shù)簡(jiǎn)介

1．1 WIFI技術(shù)

        WIFI(WireleSS Fidelity)俗稱(chēng)無(wú)線(xiàn)寬帶，又叫802．11b標準，是IEEE定義的一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò )通信的工業(yè)標準。IEEE802．11b標準是在IEE E802．11的基礎上發(fā)展起來(lái)的，工作在2．4 Hz頻段，最高傳輸率能夠達到11 Mbps。該技術(shù)是一種可以將個(gè)人電腦，手持設備等終端以無(wú)線(xiàn)方式互相連接的一種技術(shù)。目的是改善基于IEEE802．1標準的無(wú)限網(wǎng)絡(luò )產(chǎn)品之間的互通性。

       WIFI局域網(wǎng)本質(zhì)的特點(diǎn)是不再使用通信電纜將計算機與網(wǎng)絡(luò )連接起來(lái)，而是通過(guò)無(wú)線(xiàn)的方式連接，從而使網(wǎng)絡(luò )的構建和終端的移動(dòng)更加靈活。

1．2 WIFI技術(shù)的特點(diǎn)

      1)無(wú)線(xiàn)電波覆蓋范圍廣

       基于藍牙技術(shù)的電波覆蓋范圍非常小，半徑大約只有15 m，而Wi—Fi的半徑可達300 m，適合辦公室及單位樓層內部使用。

       2)組網(wǎng)簡(jiǎn)便

       無(wú)線(xiàn)局域網(wǎng)的組建在硬件設備上的要求與有線(xiàn)相比，更加簡(jiǎn)潔方便，而且目前支持無(wú)線(xiàn)局域網(wǎng)的設備已經(jīng)在市場(chǎng)上得到了廣泛的普及，不同品牌的接入點(diǎn)AP以及客戶(hù)網(wǎng)絡(luò )接口之間在基本的服務(wù)層面上都是可以實(shí)現互操作的。WIAN的規劃可以隨著(zhù)用戶(hù)的增加而逐步擴展，在初期根據用戶(hù)的需要布置少量的點(diǎn)。當用戶(hù)數量增加時(shí)，只需再增加幾個(gè)AP設備，而不需要重新布線(xiàn)。而全球統一的WIFI標準使其與蜂窩載波技術(shù)不同，同一個(gè)WIFI用戶(hù)可以在世界各個(gè)國家使用無(wú)線(xiàn)局域網(wǎng)服務(wù)。

        3)業(yè)務(wù)可集成性

        由于WIFI技術(shù)在結構上與以太網(wǎng)完全一致，所以能夠將WLAN集成到已有的寬帶網(wǎng)絡(luò )中，也能將已有的寬帶業(yè)務(wù)應用到WLAN中。這樣，就可以利用已有的寬帶有線(xiàn)接入資源，迅速地部署WIAN網(wǎng)絡(luò )，形成無(wú)縫覆蓋。

        4)完全開(kāi)放的頻率使用段

        無(wú)線(xiàn)局域網(wǎng)使用的ISM是全球開(kāi)放的頻率使用段，使得用戶(hù)端無(wú)需任何許可就可以自由使用該頻段上的服務(wù)。

1．2 WIFI總體拓撲結構

        WIFI網(wǎng)絡(luò )結構如圖1所示。由AP和無(wú)線(xiàn)網(wǎng)卡組成。AP一般稱(chēng)為網(wǎng)絡(luò )橋接器或接入點(diǎn)，它是當作傳統的有線(xiàn)局域網(wǎng)絡(luò )與無(wú)線(xiàn)局域網(wǎng)絡(luò )之間的橋梁，因此任何一臺裝有無(wú)線(xiàn)網(wǎng)卡的PC均可透過(guò)AP去分享有線(xiàn)局域網(wǎng)絡(luò )甚至廣域網(wǎng)絡(luò )的資源，其工作原理相當于一個(gè)內置無(wú)線(xiàn)發(fā)射器的HUB或者是路由，而無(wú)線(xiàn)網(wǎng)卡則是負責接收由AP所發(fā)射信號的CLJENT端設備。

2 WIFI的安全機制

        WIFI安全性主要包括訪(fǎng)問(wèn)控制和加密兩大部分，訪(fǎng)問(wèn)控制保證只有授權用戶(hù)能訪(fǎng)問(wèn)敏感數據，加密保證只有正確的接收方才能理解數據。為了解決WIFI網(wǎng)絡(luò )的安全問(wèn)題，2003年WIFI聯(lián)盟推出了WIFI保護接入(Wi—Fi Protected Access，WPA)作為安全解決方案以滿(mǎn)足日益增長(cháng)的安全機制的市場(chǎng)需求。

2．1 WPA技術(shù)

        WPA是無(wú)線(xiàn)應用協(xié)議(Wireless Application Protocol)的簡(jiǎn)稱(chēng)，是一種開(kāi)放式的全球規范。有WPA和WPA2兩個(gè)標準，是一種保護無(wú)線(xiàn)電腦網(wǎng)絡(luò )(Wi—Fi)安全的系統。WPA作為IEEE802．11i的一個(gè)子集，避開(kāi)了WEP的眾多弱點(diǎn)，可大大增強現有以及未來(lái)無(wú)線(xiàn)局域網(wǎng)系統數據保護的訪(fǎng)問(wèn)控制水平。WPA可保證WIAN用戶(hù)的數據受到保護，并且只有授權用戶(hù)才可訪(fǎng)問(wèn)WLAN網(wǎng)絡(luò )

2．2 WIFI網(wǎng)絡(luò )安全策略

2．2．1加密方式

       1)TKIP加密模式

        WIFI無(wú)線(xiàn)網(wǎng)絡(luò )目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。TKIP的含義為暫時(shí)密鑰集成協(xié)議。TKIP使用的仍然是RC4算法，但在原有的WEP密碼認證引擎中添加了“信息包單加密功能”、“信息監測”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。

        TKIP是包裹在已有WEP密碼外圍的一層“外殼”，這種加密方式在盡可能使用WEP算法的同時(shí)消除了已知的WEP缺點(diǎn)。專(zhuān)門(mén)用于糾正WEP安全漏洞，實(shí)現無(wú)線(xiàn)傳輸數據的加密和完整性保護。但是相比WEP加密機制，TKIP加密機制可以為WLAN服務(wù)提供更加安全的保護。主要體現在以下幾點(diǎn)：

        ①靜態(tài)WEP的密鑰為手工配置，且一個(gè)服務(wù)區內的所有用戶(hù)都共享同一把密鑰。而TKIP的密鑰為動(dòng)態(tài)協(xié)商生成，每個(gè)傳輸的數據包都有一個(gè)與眾不同的密鑰。

        ②TKIP將密鑰的長(cháng)度由WEP的40位加長(cháng)到128位，初始化向量IV的長(cháng)度由24位加長(cháng)到48位，提高了WEP加密的安全性。

        ③TKIP支持MIC認證(Message Integrity Cheek，信息完整性校驗)和防止重放攻擊功能。

2)AES加密模式

       WPA2放棄了RC4加密算法，使用AES算法進(jìn)行加密，是比TKIP更加高級的加密技術(shù)。AES是一個(gè)迭代的、對稱(chēng)密鑰分組的密碼，它可以使用128、192和256位密鑰，并且用128位(16字節)分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱(chēng)密鑰密碼使用相同的密鑰加密和解密數據。通過(guò)分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個(gè)循環(huán)結構，在該循環(huán)中重復置換(permutations)和替換(substitutions)輸入數據。

2．2．2 認證方式

         WPA給用戶(hù)提供了一個(gè)完整的認證機制，AP根據用戶(hù)的認證結果決定是否允許其介入無(wú)線(xiàn)網(wǎng)絡(luò )中；認證成功后可以根據多種方式動(dòng)態(tài)地改變每個(gè)接入用戶(hù)的加密密鑰。對用戶(hù)在無(wú)線(xiàn)中傳輸的數據報進(jìn)行MIC編碼，確保用戶(hù)數據不會(huì )被其他用戶(hù)更改。WPA有2種認證模式：1)是使用802．1x協(xié)議進(jìn)行認證，即就是802．1x+=EPA方式(工業(yè)級的，安全要求高的地方用。需要認證服務(wù)器)；2)是預先共享密鑰PSK模式(家庭用的，用在安全要求低的地方。不需要服務(wù)器)。AP和客戶(hù)端分享密鑰的過(guò)程叫做4次握手，過(guò)程如圖2所示。

      1)客戶(hù)端SrrA與無(wú)線(xiàn)接入點(diǎn)AP關(guān)聯(lián)；

      2)STA需要向AP發(fā)送認證消息，在被授權以前，即使STA與AP始終關(guān)聯(lián)，TSA也不能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )，只能繼續向AP發(fā)送認證消息，經(jīng)由遠程認證撥號用戶(hù)服務(wù)AP將認證消息發(fā)送給后端服務(wù)器來(lái)認證；

     3)客戶(hù)端STA利用EAP協(xié)議，通過(guò)AP的非受控端口向認證服務(wù)器提交身份憑證，認證服務(wù)器負責對STA進(jìn)行身份驗證；

      4)如果STA未通過(guò)認證，客戶(hù)端一直被阻止訪(fǎng)問(wèn)網(wǎng)絡(luò )；如果認證成功，則認證服務(wù)器通知AP向該STA打開(kāi)受控端口；

      5)身份認證服務(wù)器利用TKIP協(xié)議自動(dòng)將主配對密鑰分發(fā)給AP和客戶(hù)端STA，主配對密鑰基于每用戶(hù)、每個(gè)802．1x的認證進(jìn)程是惟一的；

       6)STA與AP再利用主配對密鑰動(dòng)態(tài)生成基于每數據包惟一的數據加密密鑰；

       7)利用該密鑰對STA與AP之間的數據流進(jìn)行加密。

       這樣就好象在兩者之間建立了一條加密隧道，保證了空中數據傳輸的高安全性。

2．3 存在問(wèn)題

        WPA-PSK／WPA2-PSK(TKIP、AES)是目前主流的加密方式，但由于TKIP與AES子算法自身的問(wèn)題。使得WPA也將面臨著(zhù)被徹底破解的威脅。

        用戶(hù)在使用無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)應該注意以下幾點(diǎn)

        1)對于自己搭建無(wú)線(xiàn)網(wǎng)絡(luò )的用戶(hù)，至少要進(jìn)行一些最基本的安全配置，如隱藏SSID，關(guān)閉DHCP，設置WEP密鑰，啟用內部隔離等。

        2)如果安全要求再高一些，還可以啟用非法AP監測，配置MAC過(guò)濾，啟用WPA／WPA2，建立802．1x端口認證。

        3)如果有更高的安全需求，那么可以選擇的安全手段就更多，比如，使用定向天線(xiàn)，調整發(fā)射功率，把信號可能收斂在信任的范圍之內；還可以將無(wú)線(xiàn)局域網(wǎng)視為Internet一樣來(lái)防御，甚至在接口處部署入侵檢測系統。

       4)如果您是企業(yè)用戶(hù)，千萬(wàn)不要忘記建立完善的安全管理制度并分發(fā)至員工。當您需要在熱點(diǎn)區域使用無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)，您需要能夠您所在網(wǎng)絡(luò )的安全程度，如果認定網(wǎng)絡(luò )不夠安全，那么請盡量不要在此網(wǎng)絡(luò )中提交或透露敏感信息，并盡量縮短在線(xiàn)的時(shí)間。

3 結論

       隨著(zhù)無(wú)線(xiàn)局域網(wǎng)應用領(lǐng)域的不斷拓展，安全問(wèn)題越來(lái)越受到重視。WIFI技術(shù)作為WLAN技術(shù)家族中的重要成員，近年來(lái)發(fā)展迅速，已經(jīng)應用到生活的各個(gè)方面。文中較詳細地分析了WIFI網(wǎng)絡(luò )的技術(shù)特點(diǎn)，對WIFI網(wǎng)絡(luò )的安全性做了一定程度的探討，給出了相應的結論。只有加強人為安全方面的控制技術(shù)的改進(jìn)，才可更好加強WIFI安全性。