无线局域网通信安全机制的研究
王实
摘要:WLAN属于一种新型网络技术,在现代网络通信中具有多种优势,如在安装的过程中无需布线,可将安装周期缩短,便于开展后期维护工作等,且在使用WLAN的过程中方便增加用户与迁移用户。在WLAN得到广泛应用的同时,潜在的安全问题也逐渐暴露。目前禁用WEAN的组织及企业数量在增加,如美国LLNC等对此,应充分重视探索WLAN通信的安全机制,注重强化安全机制,从而加快WLAN的发展。文章分析了WLAN通信安全风险,并探讨了WLAN通信安全机制,包括常规安全机制与安全机制的完善对策。
关键词:通信安全;局域网;无线;机制
无线局域网(WLAN)可以利用电磁波技术与射频技术传输信息,实现空中通信连接,具有存取架构简单的特点,图形、语音及数据可以通过WLAN在任何时间与地点进行传播。由于WLAN的架设无需双绞铜线,能有效延伸局域网络的覆盖范围,因此为无固定场所使用网络者、有线网络架设受到环境限制的网络使用者提供了便利,同时也可作为有线网络备用系统。在WLAN得到广泛应用的同时,网络安全风险问题也日益凸现,致使通信环境受到严重影响。本文分析了WLAN通信安全机制,旨在提升WLAN的安全等级。
1 WLAN通信安全风险
WLAN的组网方式较为灵活,且具有接入方便的特点,在WLAN中传输信息的介质为无线路径,相对开放的无线路径虽然给信息传输带来了方便,但也造成WLAN通信设计存在一定的安全风险。目前WLAN中的安全风险主要包括2点:(1)WLAN的传输媒介为无线电波,难以对通信物理范围作出有效限制,WLAN通信信号可以通过电波传输到非预期地域,再加上WLAN通信区域中的AP可形成供用户进入局域网的新入口,因此难以采用管理传统通信用户端口的方法管理WLAN通信安全。在用户端口安全难以得到有效管理的情况下,WLAN通信过程就会遭到恶意攻击或病毒攻击等,进而形成通信安全风险。(2)由于WLAN传输信息时使用了可以实现共享的电磁波,这就为窃取信号及非法解码分析的违法犯罪人员提供了便利,尤其是在WLAN为默认及不加密状态时,能接收到WLAN信号的人员可通过解码分析窃取重要信息。在WLAN中应用扩频技术虽然能够在一定程度上阻止窃听,但WLAN的信号传输过程极容易受到干扰,且难以查出干扰源。此外,在WLAN中传输信息时需要发送信息帧,但无法认证操作信息帧,信息窃取人员可以对信息帧进行欺骗,并对数据传输流进行重新定向,因此在WLAN通信中可出现会话拦截、地址欺骗、拒绝服务、修改或截取传输数据、信息泄露等安全风险。
2 WLAN通信安全机制
2.1常规安全机制
为了防范WLAN通信中存在的安全风险,目前已经形成了由网络层、链路层与物理层3个层次组成的安全风险防范机制:(1)物理层。物理层面的安全机制主要包括防窃听、抗衰落及抗干扰3个方面。组建WLAN时依据的标准包括IEEE802.11g,IEEE802.11a,IEEE802.11b及IEEE802.11等,在依据上述标准的基础上需要通过完善射频技术才能够有效提高WLAN无线信号的传输速率与抗干扰能力。目前,跳频扩频技术已经逐渐取代了序列式直接扩频技术,基于IEEE802.11b及IEEE802.11n标准的WLAN传输体系已经应用了正交频分射频技术及补码键控技术。基于IEE802.11n标准的WLAN还可以将正交频技术与多入多出技术结合在一起,这就可以从物理层面上有效提高WLAN通信的安全性。(2)网络层。WLAN中网络层通信安全保护机制的作用在于保密传输与访问控制。在IEE802标准下,WLAN中的网络层配置了VPN、身份认证方式及标识符SSID,上述3种技术可以为网络层的通信安全提供有效保障。此外,基于IEEE802标准的认证协议可以明确定义用户接入端口,因此能有效控制访问权限,防止非授权用户侵入WLAN中窃取数据信息。认证协议还可以借助EAP对WLAN通信中的授权过程进行控制,从而进一步强化通信安全保护机制。(3)链路层。链路层通信安全保护机制的主要作用在于加密WLAN中的数据信息。IEEE802.11加密方案为WEP协议,WEP的加密算法为RC4,RC4算法是一种基于对称流的加密技术,因此WEP可以有效保护WLAN信号的完整性与保密性,阻止不具有访问权限的用户端进入WLAN中,WEP所提供的链路层保护等级与同级别有线网络的安全保护等级相同。目前,IEEE802已经推出了WEP2安全加密技术,WEP2安全防护等级与密码长度有关,可以利用密钥的混合函数及完整消息代码组建完整临时密钥协议,即TKIP,因此WPA2也可以利用AES算法保护链路层的安全。
2.2安全机制的完善
2.2.1 MAC地址欺骗的检测
MAC地址欺骗是威胁WLAN通信安全的常见问题,为了完善安全机制,应注意检测地址欺骗的攻击行为。在检测地址欺骗安全攻击行为时可以采用以下方法:先对WLAN中恶意用户设备MAC地址进行检测,检测设备MAC地址后利用匹配单元完成匹配,同时在匹配后利用数据分析恶意用户设备MAC源地址、信号强度等,随后根据信号强度及源地址等定位设备所在位置。可以采用与MAC欺骗相匹配的数据结构进行无线AP检测,例如可以将信息窃取者数据结构定义如下:struct illap{String macaddress;String apssid;TimetimestarL;…)illap。在上述数据结构中,数据包序列号循环1次的时间约为10分钟,在检测地址欺骗时需要在规定的时间内根据序列号变化情况完成统计分析,随后利用分析结果判定是否存在地址欺骗的恶意攻击行为。如分析结果处于连续状态,则无地址欺骗恶意攻击;如分析结果处于无故中断状态,则可以判定存在地址欺骗恶意攻击行为。在对匹配单元进行检测的过程中,需要严格按照设计的序列号传送数据帧,在接收到数据帧之后,观察传送时与接收时的数据帧顺序是否发生变化,如发生变化,则应高度警惕地址欺骗恶意攻击。在发送数据帧时可以先发送大序列号,随后再发送小序列号,确保数据帧的排列顺序处于递减状态,从而提高地址欺骗的检测效率。
2.2.2基于PPTP-VPN通信的安全设计
PPTP-VPN通信安全设计是基于点对点传输信道、VPN技术、安全认证方式及加密技术建立起的一种通信安全机制。PPTP-VPN安全设计可以在Linux VPN中应用,安全保护机制的实现方式如下:客户端需要通过WAP加密技术的认证才能接入到无线网络当中,随后WLAN中的接入点将会利用密钥对用户端进行判断,如为合法用户,则允许用户接入到WLAN中,对于非法用户,则拒绝访问。在用户端成功接入WLAN时,PPTP-WPN系统将会设定网络参数,一个用户端对应唯一网络参数,因此能够保证VPN服务器与无线AP实现有效对接,同时禁止VPN服务器对非法用户开放。在VPN服务器响应用户端所发送的连接密码与用户名之后,服务器将在第一时间验证用户端所发送的信息是否合法,确认信息合法后立即向AP发送信息,在AP接收到信息后,将会重新检查用户端信息;同时向ACL表发送经过更新处理的信息,ACL表接收信息后进行验证,通过验证后便可以向用户开放网络信息传输服务。为了使PPTP-VPN系统实现上述功能,则需要设计以下模块,即网络控制、网关控制、密码加密与安全认证模块。网络控制子模块主要负责为用户分配IP,在分配地址时需要严格遵循DHCP传输协议,在分配地址的同时还需要及时获取MAC地址,同时在ACL表格中填写MAC地址,以便能够及时记录与分析用户端向服务器发送的信息,从而控制网络的安全性。网关控制子模块的主要功能为将VPN信息转发给服务器,以便为VPN服务的开放或限制提供有效依据。密码加密子模块的作用在于确定VPN与WPA的加密方式。安全认证子模块的作用为判定VPN服务器所接收的用户名及密码等是否合法,判定的主要依据为设计函数。
2.2.3应用IBS安全接入技术
IBS指的是身份签名,应用基于IBS的安全接入技术可以在WLAN中实现双向认证接入,因此能够有效控制密钥安全,避免未知的密钥被非法分享,这样就可以有效保障WLAN的通信安全。相对于WAP12与EAP-TLS接入方案而言,IBS接入还具有认证效率较高及无需证书认证的特点,有助于防止非法入侵。IBS安全接入方案的WLAN拓扑结构,拓扑结构当中的SU为用户端认证模块,该模块具有申请认证的功能,在用户端的申请通过后方可进XWLAN中访问相关的信息。AP为认证系统,能够判断用户是否具有访问、传递AS模块及SU模块中信息的权限。AS为服务器,该模块的功能为验证用户端与AP之间、SU之间传递的密钥信息是否合法,并响应AP模块与SU模块会话密钥。CA及PKG均为服务器,负责将证书、凭证及私钥发送到AS模块与SU模块中。基于上述拓扑结构设计的IBS安全接入技术的实现步骤包括初始化、接入认证、接入控制及通信。初始化流程指的是CA服务器及PKG服务器生成与发布WLAN通信公共参数,在公共参数发布后,局域网中的用户就能够接收到认证信息与公共参数,并利用凭证、证书及密钥等认证信息申请接入WLAN中。接入认证流程指的是Su模块根据密钥认证用户信息,并在确认用户身份合法后签名,随后向AP模块发送签名,发送后由AS服务器对会话密钥进行计算。接入控制流程指的是Su模块数据的合法性得到AS的认证后,AS模块需要重新向AP模块发送私钥签名,随后由AP模块对私钥签名进行加密处理,并向SU模块发送经过加密处理的信息。在SU模块接收到信息后便可以对用户的接入过程进行控制。通信流程指的是AP模块向SU模块返回数据信息后,SU模块需要对会话密钥重新计算,并通过计算解密AP模块签名,解密后对AS签名信息的合法性进行验证,如验证的过程中发现会话密钥合法,则允许用户通过AP对外部网络进行访问。
3结语
总之,安全机制存在缺陷是限制WLAN实现进一步发展的重要因素,在应用WLAN技术时要注重了解网络中存在的安全风险,并在明确安全保护机制的基础上采取必要措施维护WLAN的通信安全,包括采用IBS安全接入技术。基于PPTP-WPN通信的安全设计技术及MAC地址欺骗的检测技术等。
