隨著互聯(lián)網(wǎng)的迅速發(fā)展及普及,,特別是各種便攜式通信設備以及各種家用電器設備的迅速增加,人們在無線通信領域對短距離通信業(yè)務提出了更高的要求,。于是,,許多短距離無線通信技術開始應運而生,以802.11b協(xié)議為基礎的的WIFI技術便是其中的熱點,。被認為是無線寬帶發(fā)展的新方向,。
WIFI是IEEE定義的一個網(wǎng)絡" title="無線網(wǎng)絡" target="_blank">無線網(wǎng)絡通信的工業(yè)標準(IEEE 802.11)。也可以看作是3G技術的一種補充,。WIFI技術與藍牙技術一樣,,同屬于在辦公室和家庭中使用的無線局域網(wǎng)通信技術。WIFI是一種短程無線傳輸技術,,能夠在數(shù)百英尺范圍內支持互聯(lián)網(wǎng)接入無線電信號,。它的最大優(yōu)點是傳輸速度較高,在信號較弱或有干擾的情況下,,帶寬可調整,,有效地保障了網(wǎng)絡的穩(wěn)定性和可靠性,。但是隨著無線局域網(wǎng)應用領域的不斷拓展,,其安全問題也越來越受到重視,。
1 WIFI技術簡介
1.1 WIFI技術
WIFI(WireleSS Fidelity)俗稱無線寬帶,又叫802.11b標準,,是IEEE定義的一個無線網(wǎng)絡通信的工業(yè)標準,。IEEE802.11b標準是在IEE E802.11的基礎上發(fā)展起來的,工作在2.4 Hz頻段,,最高傳輸率能夠達到11 Mbps,。該技術是一種可以將個人電腦,手持設備等終端以無線方式互相連接的一種技術,。目的是改善基于IEEE802.1標準的無限網(wǎng)絡產品之間的互通性,。
WIFI局域網(wǎng)本質的特點是不再使用通信電纜將計算機與網(wǎng)絡連接起來,而是通過無線的方式連接,,從而使網(wǎng)絡的構建和終端的移動更加靈活,。
1.2 WIFI技術的特點
1)無線電波覆蓋范圍廣
基于藍牙技術的電波覆蓋范圍非常小,半徑大約只有15 m,,而Wi—Fi的半徑可達300 m,,適合辦公室及單位樓層內部使用。
2)組網(wǎng)簡便
無線局域網(wǎng)的組建在硬件設備上的要求與有線相比,,更加簡潔方便,,而且目前支持無線局域網(wǎng)的設備已經(jīng)在市場上得到了廣泛的普及,不同品牌的接入點AP以及客戶網(wǎng)絡接口之間在基本的服務層面上都是可以實現(xiàn)互操作的,。WIAN的規(guī)劃可以隨著用戶的增加而逐步擴展,,在初期根據(jù)用戶的需要布置少量的點。當用戶數(shù)量增加時,,只需再增加幾個AP設備,,而不需要重新布線。而全球統(tǒng)一的WIFI標準使其與蜂窩載波技術不同,,同一個WIFI用戶可以在世界各個國家使用無線局域網(wǎng)服務,。
3)業(yè)務可集成性
由于WIFI技術在結構上與以太網(wǎng)完全一致,所以能夠將WLAN集成到已有的寬帶網(wǎng)絡中,,也能將已有的寬帶業(yè)務應用到WLAN中,。這樣,就可以利用已有的寬帶有線接入資源,,迅速地部署WIAN網(wǎng)絡,,形成無縫覆蓋。
4)完全開放的頻率使用段
無線局域網(wǎng)使用的ISM是全球開放的頻率使用段,,使得用戶端無需任何許可就可以自由使用該頻段上的服務,。
1.2 WIFI總體拓撲結構
WIFI網(wǎng)絡結構如圖1所示。由AP和無線網(wǎng)卡組成,。AP一般稱為網(wǎng)絡橋接器或接入點,,它是當作傳統(tǒng)的有線局域網(wǎng)絡與無線局域網(wǎng)絡之間的橋梁,,因此任何一臺裝有無線網(wǎng)卡的PC均可透過AP去分享有線局域網(wǎng)絡甚至廣域網(wǎng)絡的資源,其工作原理相當于一個內置無線發(fā)射器的HUB或者是路由,,而無線網(wǎng)卡則是負責接收由AP所發(fā)射信號的CLJENT端設備,。
2 WIFI的安全機制
WIFI安全性主要包括訪問控制和加密兩大部分,訪問控制保證只有授權用戶能訪問敏感數(shù)據(jù),,加密保證只有正確的接收方才能理解數(shù)據(jù),。為了解決WIFI網(wǎng)絡的安全問題,2003年WIFI聯(lián)盟推出了WIFI保護接入(Wi—Fi Protected Access,,WPA)作為安全解決方案以滿足日益增長的安全機制的市場需求,。
2.1 WPA技術
WPA是無線應用協(xié)議(Wireless Application Protocol)的簡稱,是一種開放式的全球規(guī)范,。有WPA和WPA2兩個標準,,是一種保護無線電腦網(wǎng)絡(Wi—Fi)安全的系統(tǒng)。WPA作為IEEE802.11i的一個子集,,避開了WEP的眾多弱點,,可大大增強現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng)數(shù)據(jù)保護的訪問控制水平。WPA可保證WIAN用戶的數(shù)據(jù)受到保護,,并且只有授權用戶才可訪問WLAN網(wǎng)絡
2.2 WIFI網(wǎng)絡安全策略
2.2.1加密方式
1)TKIP加密模式
WIFI無線網(wǎng)絡目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式,。TKIP的含義為暫時密鑰集成協(xié)議。TKIP使用的仍然是RC4算法,,但在原有的WEP密碼認證引擎中添加了“信息包單加密功能”,、“信息監(jiān)測”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法,。
TKIP是包裹在已有WEP密碼外圍的一層“外殼”,,這種加密方式在盡可能使用WEP算法的同時消除了已知的WEP缺點。專門用于糾正WEP安全漏洞,,實現(xiàn)無線傳輸數(shù)據(jù)的加密和完整性保護,。但是相比WEP加密機制,TKIP加密機制可以為WLAN服務提供更加安全的保護,。主要體現(xiàn)在以下幾點:
①靜態(tài)WEP的密鑰為手工配置,,且一個服務區(qū)內的所有用戶都共享同一把密鑰。而TKIP的密鑰為動態(tài)協(xié)商生成,,每個傳輸?shù)臄?shù)據(jù)包都有一個與眾不同的密鑰,。
②TKIP將密鑰的長度由WEP的40位加長到128位,初始化向量IV的長度由24位加長到48位,,提高了WEP加密的安全性。
③TKIP支持MIC認證(Message Integrity Cheek,,信息完整性校驗)和防止重放攻擊功能,。
2)AES加密模式
WPA2放棄了RC4加密算法,,使用AES算法進行加密,,是比TKIP更加高級的加密技術,。AES是一個迭代的,、對稱密鑰分組的密碼,,它可以使用128、192和256位密鑰,,并且用128位(16字節(jié))分組加密和解密數(shù)據(jù),。與公共密鑰密碼使用密鑰對不同,,對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù),。通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同,。迭代加密使用一個循環(huán)結構,,在該循環(huán)中重復置換(permutations)和替換(substitutions)輸入數(shù)據(jù)。
2.2.2 認證方式
WPA給用戶提供了一個完整的認證機制,,AP根據(jù)用戶的認證結果決定是否允許其介入無線網(wǎng)絡中,;認證成功后可以根據(jù)多種方式動態(tài)地改變每個接入用戶的加密密鑰,。對用戶在無線中傳輸?shù)臄?shù)據(jù)報進行MIC編碼,,確保用戶數(shù)據(jù)不會被其他用戶更改,。WPA有2種認證模式:1)是使用802.1x協(xié)議進行認證,即就是802.1x+=EPA方式(工業(yè)級的,,安全要求高的地方用。需要認證服務器),;2)是預先共享密鑰PSK模式(家庭用的,用在安全要求低的地方,。不需要服務器),。AP和客戶端分享密鑰的過程叫做4次握手,,過程如圖2所示,。
1)客戶端SrrA與無線接入點AP關聯(lián),;
2)STA需要向AP發(fā)送認證消息,在被授權以前,,即使STA與AP始終關聯(lián),TSA也不能夠訪問網(wǎng)絡,,只能繼續(xù)向AP發(fā)送認證消息,,經(jīng)由遠程認證撥號用戶服務AP將認證消息發(fā)送給后端服務器來認證;
3)客戶端STA利用EAP協(xié)議,,通過AP的非受控端口向認證服務器提交身份憑證,認證服務器負責對STA進行身份驗證,;
4)如果STA未通過認證,,客戶端一直被阻止訪問網(wǎng)絡,;如果認證成功,,則認證服務器通知AP向該STA打開受控端口,;
5)身份認證服務器利用TKIP協(xié)議自動將主配對密鑰分發(fā)給AP和客戶端STA,,主配對密鑰基于每用戶,、每個802.1x的認證進程是惟一的;
6)STA與AP再利用主配對密鑰動態(tài)生成基于每數(shù)據(jù)包惟一的數(shù)據(jù)加密密鑰,;
7)利用該密鑰對STA與AP之間的數(shù)據(jù)流進行加密,。
這樣就好象在兩者之間建立了一條加密隧道,,保證了空中數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
2.3 存在問題
WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式,,但由于TKIP與AES子算法自身的問題,。使得WPA也將面臨著被徹底破解的威脅。
用戶在使用無線網(wǎng)絡時應該注意以下幾點
1)對于自己搭建無線網(wǎng)絡的用戶,,至少要進行一些最基本的安全配置,如隱藏SSID,,關閉DHCP,,設置WEP密鑰,,啟用內部隔離等,。
2)如果安全要求再高一些,,還可以啟用非法AP監(jiān)測,,配置MAC過濾,啟用WPA/WPA2,,建立802.1x端口認證。
3)如果有更高的安全需求,,那么可以選擇的安全手段就更多,,比如,,使用定向天線,調整發(fā)射功率,,把信號可能收斂在信任的范圍之內,;還可以將無線局域網(wǎng)視為Internet一樣來防御,甚至在接口處部署入侵檢測系統(tǒng),。
4)如果您是企業(yè)用戶,,千萬不要忘記建立完善的安全管理制度并分發(fā)至員工。當您需要在熱點區(qū)域使用無線網(wǎng)絡時,,您需要能夠您所在網(wǎng)絡的安全程度,,如果認定網(wǎng)絡不夠安全,,那么請盡量不要在此網(wǎng)絡中提交或透露敏感信息,,并盡量縮短在線的時間。
3 結論
隨著無線局域網(wǎng)應用領域的不斷拓展,,安全問題越來越受到重視,。WIFI技術作為WLAN技術家族中的重要成員,近年來發(fā)展迅速,,已經(jīng)應用到生活的各個方面,。文中較詳細地分析了WIFI網(wǎng)絡的技術特點,對WIFI網(wǎng)絡的安全性做了一定程度的探討,,給出了相應的結論。只有加強人為安全方面的控制技術的改進,,才可更好加強WIFI安全性。