WIFI无线网络技术及安全性研究
2012-01-15盛仲飙
盛仲飙
(渭南师范学院 数学与信息科学学院,计算机网络工程技术中心,陕西 渭南 714000)
随着互联网的迅速发展及普及,特别是各种便携式通信设备以及各种家用电器设备的迅速增加,人们在无线通信领域对短距离通信业务提出了更高的要求。于是,许多短距离无线通信技术开始应运而生,以802.11b协议为基础的的WIFI技术便是其中的热点。被认为是无线宽带发展的新方向。
WIFI是IEEE定义的一个无线网络通信的工业标准(IEEE 802.11)。也可以看作是3G技术的一种补充。WIFI技术与蓝牙技术一样,同属于在办公室和家庭中使用的无线局域网通信技术[1]。WIFI是一种短程无线传输技术,能够在数百英尺范围内支持互联网接入无线电信号。它的最大优点是传输速度较高,在信号较弱或有干扰的情况下,带宽可调整,有效地保障了网络的稳定性和可靠性[2]。但是随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。
1 WIFI技术简介
1.1 WIFI技术
WIFI(Wireless Fidelity)俗称无线宽带,又叫 802.11b 标准,是IEEE定义的一个无线网络通信的工业标准。IEEE802.11b标准是在IEEE802.11的基础上发展起来的,工作在2.4 Hz频段,最高传输率能够[3]达到11 Mbps。该技术是一种可以将个人电脑,手持设备等终端以无线方式互相连接的一种技术。目的是改善基于IEEE802.1标准的无限网络产品之间的互通性。
WIFI局域网本质的特点[2,4~6]是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活。
1.2 WIFI技术的特点
1)无线电波覆盖范围广
基于蓝牙技术的电波覆盖范围非常小,半径大约只有15 m,而Wi-Fi的半径可达300 m,适合办公室及单位楼层内部使用。
2)组网简便
无线局域网的组建在硬件设备上的要求与有线相比,更加简洁方便,而且目前支持无线局域网的设备已经在市场上得到了广泛的普及,不同品牌的接入点AP以及客户网络接口之间在基本的服务层面上都是可以实现互操作的。WLAN的规划可以随着用户的增加而逐步扩展,在初期根据用户的需要布置少量的点。当用户数量增加时,只需再增加几个AP设备,而不需要重新布线。而全球统一的WIFI标准使其与蜂窝载波技术不同,同一个WIFI用户可以在世界各个国家使用无线局域网服务。
3)业务可集成性
由于WIFI技术在结构上与以太网完全一致,所以能够将WLAN集成到已有的宽带网络中,也能将已有的宽带业务应用到WLAN中。这样,就可以利用已有的宽带有线接入资源,迅速地部署WLAN网络,形成无缝覆盖。
4)完全开放的频率使用段
无线局域网使用的ISM是全球开放的频率使用段,使得用户端无需任何许可就可以自由使用该频段上的服务。
1.2 WIFI总体拓扑结构
WIFI网络结构如图1所示。由AP和无线网卡组成。AP一般称为网络桥接器或接入点,它是当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLJENT端设备[7]。
图1 WIFI总体拓扑结构Fig.1 Topological structure of WIFI
2 WIFI的安全机制
WIFI安全性主要包括访问控制和加密两大部分,访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收方才能理解数据。为了解决WIFI网络的安全问题,2003年WIFI联盟推出了WIFI保护接入(Wi-Fi Protected Access,WPA)作为安全解决方案以满足日益增长的安全机制的市场需求。
2.1 WPA技术
WPA是无线应用协议 (Wireless Application Protocol)的简称,是一种开放式的全球规范。有WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统[8]。WPA作为IEEE802.11i的一个子集,避开了WEP的众多弱点,可大大增强现有以及未来无线局域网系统数据保护的访问控制水平。WPA可保证WLAN用户的数据受到保护,并且只有授权用户才可访问WLAN网络。
2.2 WIFI网络安全策略
2.2.1 加密方式
1)TKIP 加密模式
WIFI无线网络目前使用最广泛的加密模式[8-9]是WPAPSK(TKIP)和 WPA2-PSK(AES)两种加密模式。 TKIP 的含义为暂时密钥集成协议。TKIP使用的仍然是RC4算法,但在原有的WEP密码认证引擎中添加了“信息包单加密功能”、“信息监测”、“具有序列功能的初始向量”和“密钥生成功能”等4算法。
TKIP是包裹在已有WEP密码外围的一层“外壳”,这种加密方式在尽可能使用WEP算法的同时消除了已知的WEP缺点。专门用于纠正WEP安全漏洞,实现无线传输数据的加密和完整性保护。但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护。主要体现在以下几点:
①静态WEP的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥。而TKIP的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥。
②TKIP将密钥的长度由WEP的40位加长到128位,初始化向量IV的长度由24位加长到48位,提高了WEP加密的安全性。
③ TKIP支持MIC认证(Message Integrity Check,信息完整性校验)和防止重放攻击功能。
2)AES 加密模式
WPA2放弃了RC4加密算法,使用AES算法进行加密,是比TKIP更加高级的加密技术。AES是一个迭代的、对称密钥分组的密码,它可以使用128、192和 256位密钥,并且用128位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换(permutations )和替换(substitutions)输入数据。
2.2.2 认证方式
WPA给用户提供了一个完整的认证机制[8,10],AP根据用户的认证结果决定是否允许其介入无线网络中;认证成功后可以根据多种方式动态地改变每个接入用户的加密密钥。对用户在无线中传输的数据报进行MIC编码,确保用户数据不会被其他用户更改。WPA有2种认证模式:1)是使用802.1x协议进行认证,即就是802.1x+EPA方式(工业级的,安全要求高的地方用。需要认证服务器);2)是预先共享密钥PSK模式(家庭用的,用在安全要求低的地方。不需要服务器)。AP和客户端分享密钥的过程叫做4次握手,过程如图2所示。
图2 WPA-PSK 4次握手过程Fig.2 WPA-PSK four handshake processes
1)客户端STA与无线接入点AP关联;
2)STA需要向AP发送认证消息,在被授权以前,即使STA与AP始终关联,TSA也不能够访问网络,只能继续向AP发送认证消息,经由远程认证拨号用户服务AP将认证消息发送给后端服务器来认证;
3)客户端STA利用EAP协议,通过AP的非受控端口向认证服务器提交身份凭证,认证服务器负责对STA进行身份验证;
4)如果STA未通过认证,客户端一直被阻止访问网络;如果认证成功,则认证服务器通知AP向该STA打开受控端口;
5)身份认证服务器利用TKIP协议自动将主配对密钥分发给AP和客户端STA,主配对密钥基于每用户、每个802.1x的认证进程是惟一的;
6)STA与AP再利用主配对密钥动态生成基于每数据包惟一的数据加密密钥;
7)利用该密钥对STA与AP之间的数据流进行加密。
这样就好象在两者之间建立了一条加密隧道,保证了空中数据传输的高安全性。
2.3 存在问题
WPA—PSK/WPA2—PSK(TKIP、AES)是目前主流的加密方式.但由于TKIP与AES子算法自身的问题。使得WPA也将面临着被彻底破解的威胁。
用户在使用无线网络时应该注意以下几点
1)对于自己搭建无线网络的用户,至少要进行一些最基本的安全配置,如隐藏 SSID,关闭DHCP,设置WEP密钥,启用内部隔离等。
2)如果安全要求再高一些,还可以启用非法AP监测,配置MAC过滤,启用WPA/WPA2,建立802.1x端口认证。
3)如果有更高的安全需求,那么可以选择的安全手段就更多,比如,使用定向天线,调整发射功率,把信号可能收敛在信任的范围之内;还可以将无线局域网视为Internet一样来防御,甚至在接口处部署入侵检测系统。
4)如果您是企业用户,千万不要忘记建立完善的安全管理制度并分发至员工。当您需要在热点区域使用无线网络时,您需要能够您所在网络的安全程度,如果认定网络不够安全,那么请尽量不要在此网络中提交或透露敏感信息,并尽量缩短在线的时间。
3 结 论
随着无线局域网应用领域的不断拓展,安全问题越来越受到重视。WIFI技术作为WLAN技术家族中的重要成员,近年来发展迅速,已经应用到生活的各个方面。文中较详细地分析了WIFI网络的技术特点,对WIFI网络的安全性做了一定程度的探讨,给出了相应的结论。只有加强人为安全方面的控制技术的改进,才可更好加强WIFI安全性。
[1]傅扬,潘敏,史晓翠.WIFI网络技术与安全问题分析[J].计算机安全技术,2010(12):121-122.FU Yang,PAN Min,SHI Xiao-cui.Analysis of network technology and safety problem using WIFI[J].Computing Security Techniques,2010(12):121-122.
[2]曾磊,张海峰,侯维岩.基于WIFI的无线测控系统设计与实现[J].电测与仪表,2011(7):81-83.ZENG Lei,ZHANG Hai-feng,HOU Wei-yan.Design and implementofWiFiwirelessmeasurementand control network[J].Electrical Measurement&Instrumentation,2011(7):81-83.
[3]王凤珍.基于WIFI的移动IP安全研究[J].网络安全,2005(11):71-72.WANG Feng-zhen.Security research on mobile IP based on WiFi[J].Net Security Technologies and Application,2005(11):71-72.
[4]李扬.WIFI技术原理及应用研究[J].科技信息,2010(6):241.LI Yang.Technology principle and application research of WIFI[J].Science&Technology Information,2010(6):241.
[5]盛蕾.WIFI网络研究及基于Linux的测试平台的实现[D].上海:同济大学,2007(3):12-13.
[6]陈文周.WIFI技术研究及应用[J].上海:数据通信,2008(2):14-15.CHEN Wen-zhou.Research and application of WIFI[J].Data Communication,2008(2):14-15.
[7]鲁艳,毛旭.基于WiFi的无线网络安全方案对比分析[J].广东通信技术,2007(3):25-26.LU Yan,MAO Xu.Comparative analysis based on WIFI wirelessnetworksecuritysolution[J].GuangdongCommunication Technology,2007(3):25-26.
[8]白珅,王轶骏,薛质.WPA/WPA2协议安全性研究[J].信息安全与通信保密,2012(1):107-108.BAI Shen,WANG Yi-jun,XUE Zhi.Research on security of WPA/WPA2protocol[J].InformationandCommunication Security,2012(1):107-108.
[9]孙无极.WiFi接入对园网络构成安全隐患及其对策[J].现代计算机,2010(4):116-117.SUN Wu-ji.The potential security problems of WiFi access to the campus network and related countermeasures[J].Modern Computer,2010(4):116-117.
[10]欧阳亮,陈春法.WLAN安全规范WPA的研究[J].计算机工程与设计,2005(11):2987-2988.OUYANG Liang,CHEN Chun-fa.Research on WPA of WLAN security specification[J].Computer Engineering and Design,2005(11):2987-2988.
[11]彭书涛,薛建,左宝峰,等.PSASP静态网络等值在ATPEMTP中的应用[J].陕西电力,2010(4):53-56.PENG Shu-tao,XUE Jian,ZUO Bao-feng,et al.Application of PSASP static equivalency in ATP-EMTP’s simulation[J].Shaanxi Electric Power,2010(4):53-56.