林锴 国家地质实验测试中心；北方工业大学

浅谈无线网络的安全解决方案

林锴 国家地质实验测试中心；北方工业大学

“Wi-Fi”是Wireless Fidelity的缩写，原意是“无线保真”，现在被大多数人看做是美国电气与电子工程师学会IEEE 802.11 a/b/n 无线局域网的代名词。最近几年，随着技术的改进以及生产成本的降低，无线局域网已经逐渐走进了人们的生活中，现在市面上在销售的笔记本几乎所有都内置了无线网卡，多数人都能享受到无线网络带来的便捷，但是遗憾的是，多数人对于Wi-Fi的安全意识仍然停留在有线网络的时代，因为他们忽略了一个有线到无线最重要的变化——无线网络是开放的，它不像有线网一样拥有网线提供物理保护，我们的所有数据都通过广播的形式暴露在空气中。

1 、无线网络的加密方式

1.1 WEP加密

既然Wi-Fi的数据是通过电磁波传播，暴露在空气中的，就一定要考虑到数据的安全问题，为了实现与有线网络等效的数据传输，在1999年通过的IEEE 802.11标准中推出了一种叫做WEP（Wired Equivalent Privacy中文意思是有线等效加密）的加密方式。这种方法在当时看来比较成熟，收发两端通过RC4算法将数据加解密，而且具有校验过程来保证数据完整，确保数据传播的安全性。

但是WEP的安全性却受到了不断的挑战，在2001年时，Scott Fluhrer、Itsik Mantin和Adi Shamir就撰文指出了WEP加密的缺陷性，只要搜集到足够多的数据包就可以计算出密码。在同一年就出现了一个名为“Airsnort”的软件，该软件可以自动截取并且计算WEP密码，WEP的安全问题开始逐渐显现。国内的大多数用户开始接触破解WEP的工具是2004年发布的“Aircrack”（在WINDOWS下的版本为“WinAirCrackPack”），有了这些工具和符合软件需求的无线网卡，人人都能成为“无线黑客”

1.2 WPA加密

考虑到WEP的安全问题，IEEE在2004年通过的IEEE 802.11i标准中，推出了WPA（Wi-Fi Protected Acess，Wi-Fi安全存取）加密方式，WPA仍然使用RC4 算法， 所以支持WEP的已有无线设备可以在只做软件升级的情况下就支持它，但同时WPA又考虑了WEP的不足，使用了比WEP长的IV、密钥和动态变化的密钥机制，所以WPA的安全性较之Wep 加密大大提高。加上Wi-Fi 联盟的影响力，使得WPA在推出之后得到了广泛的应用。

不过在2009年11月，研究员ErikTews在东京的PacSec大会上展示了如何将WPA加密方式中TKIP算法逆向还原出明文。根据Tews/Beck的方法，攻击者嗅探数据包，略作修改影响校检，校检的结果会寄回接入点，允许攻击者解密个别的数据包。不过这种攻击只对短数据包有效，长数据包仍然很安全。

WEP与WPA加密都被破解，这样就使得目前无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。

1.3 WPA2加密

使用AES算法，能把原来的问题解决得更好，是无线局域网当前的最高安全标准，由于AES对硬件要求比较高，因此WPA2 无法利用现有设备的基础进行升级，只能用于通过Wi-Fi 认证的WPA2 设备。

表1 WEP、WPA和WPA2三种加密方式的比较

2 、无线网络的误区与设置建议

2.1 安全误区一：不广播SSID即隐身

很多人觉得如果关闭SSID的发送，蹭网者就不能得知区域中存在的局域网，所以就能高枕无忧的使用WEP加密甚至不加密，以得到更高的传输速度。但是这样存在一个明显的漏洞，如果攻击者使用“Deauth攻击”使无线路由器与用户之间的连接断开，当客户端尝试重新连接路由器时，攻击者就会截取到数据包中包括的SSID标识，使“不广播SSID”变得毫无意义。除此之外，“抓包分析”“暴力破解”等方式也可以轻易取得SSID，所以认为只要关闭SSID的发送就能防止蹭网、防止入侵是毫无根据的。

图1 关闭SSID广播

2.2 安全误区二：绑定MAC地址即安全

很多无线路由器都内置绑定MAC地址的功能，这个功能可以允许或者禁止指定MAC地址的网卡访问无线路由器，当设定好已知设备的MAC地址后选择了“列表中生效规则之外的MAC地址访问本无线网络”，那么即使他人获得了WEP/WPA密码，也无法访问到无线路由，而且这种方法不仅对无线端起作用，对有线端同样生效。

图2 MAC地址过滤

这种方法看起来天衣无缝，但是却无法防止“MAC地址仿冒”的破解方法，破解者可以截获数据包，从数据包中分析出MAC地址后更改自身的MAC地址，之后利用合法的身份连接无线路由，这样就绕过了MAC地址过滤的排查，打到了入侵的目的。

3 、安全解决方案

目前相对安全的设置方案，就是使用复杂密码的“WPA2-AES”加密方式，并尽量开启“MAC地址过滤”。另外一个很重要的就是，用户一定要为无线路由器的管理账号设置复杂的密码，并且更改用户名，默认的“admin”帐户最好删除，换为自己建立的账户。

如果想要摆脱复杂的设置，也可以在资金允许的条件下购买带有“WPS”功能的无线路由器。WPS（Wi-Fi Protected Setup，Wi-Fi保护设置）可以简化无线网络的安全加密设置，可以自动设定网络名SSID、配置WPA2加密方式和密码，用户几乎不需过多干涉。

图3 支持“WPS”功能的无线路由器和无线上网卡上会有一个功能键

4 、结束语

尽管各个无线局域网的情况不尽相同，但是大都面临相似的网络安全环境，本文主要介绍了3 种常见的网络加密协议，以及它们各自的优缺点，并相应的提出了对于应对无线网络安全问题的解决机制，为无线局域网的安全提供了理想的建议。

[1]冯锡平, 刘元安.MIMO-OFDM 技术与IEEE802.11n 标准[J].现代电信科技.2005(03):22-24.

[2]马建峰, 吴振强.无线局域网安全体系结构[M].北京：高等教育出版社.2008.57-77.

[3]沈芳阳.基于IEEE 802.11 系列标准的无线局域网安全性研究[D].广东工业大学.2004.103-112.

[4]姜玮.无线网络安全防范技术比较.网络通讯及安全.2009.10,

842 6-8427

10.3969/j.issn.1001-8972.2010.20.031