淺析無線局域網通信安全機制

范磊磊（延安大學　西安創新學院，陜西　西安　710700）

?

淺析無線局域網通信安全機制

范磊磊
（延安大學西安創新學院，陜西西安710700）

摘要：網絡信息技術的快速發展以及人們生活水平的提高，無限局域網通信技術也獲得了很大的發展，已經成為工作辦公、生活休閑中很重要的網絡連接手段，利用無限局域網為人們帶來了極大的便利，但是隨之而來的是在無線局域網絡中隱藏的安全問題也越來越嚴重，而且在一些領域給用戶帶來負面的影響，所以對于無線局域網通信安全機制進行探討具有重要意義.

關鍵詞：無線局域網；安全機制；WPA和WPA2

無線局域網以其比較復雜的內部構成和強大的網絡鏈接功能受到了廣泛應用，通過分析WLAN通信中的雙向認證機制以及TKIP、CCMP加密協議特點的基礎上，對WPA、WP2的安全性等內容進行了分析.

1　WLAN局域網安全需求分析

利用無線局域網進行通訊鏈接就是為了使數據信息能夠及時、安全的運輸到使用者的主機中，而且這種信息只能由目標用戶進行讀取.從目前WLAN通信安全采取的機制來看主要表現在身份驗證機制、數據加密機制、信息完整性認證機制和密鑰管理機制等方面，下面將對這幾個安全機制進行分析.

身份驗證機制：這種安全機制的設置主要是為了防止沒有權限的使用者在無限網絡覆蓋的范圍內使用網絡.在使用身份驗證機制進行無限局域網安全的設置時，WLAN通信首先就是通過該機制對非法用戶直接進行排除.具體來說這種安全機制對于實現無線用戶端和無線訪問點之間身份的相互鑒定具有重要作用，因為只有在雙方都對身份進行成功驗證后，網絡使用者才能夠獲得網絡的使用權限.

數據加密機制：網絡信息數據經過傳輸之后，要想只被合用戶進行讀取和使用，那么除了一開始身份的驗證外，還需要在數據傳輸的過程中通過嚴密的加密算法對這些網絡數據信息進行處理，當這些數據到達合法使用者的主機中時，再通過輸入對應的解密密鑰對數據信息進行讀取[1].使用數據加密機制的網絡數據信息，即使在傳輸的過程中受到了不良攻擊者的截取，但是由于他們沒有對應的解密密鑰，也只能獲得密文而得不到明文，實現對網絡信息數據安全的保障.

信息完整性驗證機制：為了防止或者避免WLAN通信信息數據在傳輸過程丟失、篡改，需要對這些數據信息進行完整性以及正確性的驗證，通過完整性驗證處理后的信息，能夠保障用戶在獲得這些信息的時候是完整的、真實的，從而提高無線局域網的安全性.

密鑰管理機制：網絡數據進行要進行加密處理就必須用到密鑰安全機制，從WLAN通信安全機制的設置特點來看，在采用密鑰進行安全性管理時，需要按照密鑰生成、分配、失效以及更新的環節進行科學、合理的設計，防止出現密鑰重復使用的情況，同時也降低網絡管理的成本.

2　IEEE802.11i標準分析

從現階段IEEE802.11i機制建立的情況來看，其安全機制存在比較大的問題，根據該安全機制的功能特性可以對IEEE802.11i機制分為兩個層次，上層是802.1x協議以及可擴展認證協議，在這兩者協議之間對網絡數據信息進行雙層認證和密鑰管理；下層也包括2種加密協議：臨時密鑰完整性協議和計數器模式密碼快鏈消息完整碼協議，通過這兩種協議的合作實現對數據信息的加密處理，IEEE802.11i安全機制中所包括的協議如下圖：

圖1　802.11i協議棧

802.1x協議：該協議通過對太網端口進行訪問控制和認證協議實現對非法用戶進行限制，這種認證體系主要包括客戶端、接入端口以及認證服務器.其中由受控邏輯端口和非受控兩種邏輯端口組成交換機的接入端口，一般情況下非控制邏輯端口都是處于工作狀態，對網絡信息數據的傳輸進行認證，而受控關口只有在網絡信息數據通過認證之后才會處于連通狀態，其余階段都是處于關閉的狀態.首

先通過客戶端把使用者的信息發送到交換機接入口進行認證處理，再把處理后的信息傳送到服務器進行再次認證處理；然后由認證服務器針對該信息生成的加密數據輸送給客戶端，最后再由客戶端通過加密子口令進行加密處理后把最終的信息數據傳送給認證服務器，在該過程中如果口令信息與認證服務器加密后的口令相符，那么用戶可以對該網絡進行使用，否則無法進入網絡[2].

TKIP協議：WEP無限局域網安全性的設置存在一定的缺陷，針對其存在的安全隱患問題由TKIP協議進行了改進，通過采用與WEP無限局域網兼容的RC4加密算法，把安全密鑰的長度改進到了128位的，具體而言TKIP協議主要從以下幾方面進行改進來提高無線局域網的安全性能.其一就是設計創建了489位長度的初始化向量IV，通過網絡信息數據進行排列序號的處理之后，使得接受信號方能夠便利的辨別出接收到的數據信息是否在該序列的范圍內，從而決定是否進行接受.其二就是以散列算法對密鑰進行臨時生成處理，同時對這些新生成的密鑰進行不定時的更新處理，從而避免無限局域網絡中密鑰重復使用問題的出現，大大地提高了無線局域網的安全性能.其三就是通過使用Michael算法，使得數據發送端能夠結合密鑰轉換為完整性的效驗碼MIC同數據信息同時進行傳輸，信息接收者通過接收到的網絡數據和密鑰計算出相應的MIC值，如果計算出來的數值與后面受到的MIC值不相同，那么則有可能是網絡信息數據受到了篡改或者其他攻擊，那么就會啟動保護機制.

CCPM協議：該協議是在AFS算法的基礎上發展起來的，首先利用CTP對數據進行加密處理，基于CBC- MAC提供數據認證和完整性服務之后，所采用的密文和MIC都要進行128位密鑰的嚴格加密處理.然后再由CCPM對不同的網絡數據信息隨機產生臨時的唯一的密鑰，同時通過單增計數器生成序列號，該序列號都是48位的，主要用于對信息數據的鑒別處理，從而減少或者是避免對數據信息進行重放攻擊，可以說在CCPM協議中的這種加密算法對于網絡信息數據安全性的保障具有很重要的作用，是提高無限局域網安全性能的硬性需求.

WPA和WPA2安全機制分析:WPA指的是802.1x認證協議與TKIP加密協議進行整合之后的一種無限局域網安全機制，WPA2指的是802.1x認證協議與CCMP協議進行整合之后的一種無限局域網安全機制.WPA中的TKIP主要是針對WEP協議中的加密安全工作的缺陷進行處理和解決，當原來的安全機制升級為WPA安全機制后，對于原來的AP等設備可以直接進行升級處理，如對設備固件和驅動程序進行升級.只是由于WPA安全機制中還有很多處理程序以及設備要求沒有802.1x認證協議那么全面，所以WPA一般是作為向WPA2轉換的一個臨時標準，很多無限局域網使用者還是寄希望于可以實現對設備的直接升級轉化，所以現階段實際應用中，對于WPA的使用還沒得到普遍的擴展.另一方面，WPA2中的CCMP加密協議所需要的設備比較高，所以不能直接進行升級處理，所以原來的無線局域網如果要升級為WPA2安全機制模式時，則必須準備與CCMP配套使用的設備，而且需要對客戶端的網絡設備進行升級處理[3].從目前無限局域網安全性能的角度看來，通過對CCMP協議的加密算法進行應用發現，其嚴格的密鑰加密處理技術具有較高的安全保障作用，還不存在明顯的缺陷，所以可以說現階段利用WPA2對無限局域網進行安全性能的保護是最理想的方式.

從上面的分析可以看出，IEEE802.11i機制中WPA和WPA2對于網絡信息安全的保護都有一定的作用，在實踐使用的過程中要根據具體使用的情況進行安全技術的應用，如下圖，具體操作方案如下：

針對公司內部的無線局域網，因為使用者都是企業員工可信賴性比加強，所以直接使用WPA2安全機制即可.而如果是異地局域網的連接則就要使用虛擬網絡安全機制，從而網絡信息數據的安全、完整傳送，提高無線局域網的網絡鏈接價值.

3　結束語

無線局域網安全工作的設置和管理是一項長期復雜的過程，需要對各種無線安全機制的類型、操作流程、設備要求等內容進行認識和了解，妥善處理好安全機制設備與信息傳送要求之間的關系，根據網絡實際的情況找到適宜的無線局域安全機制，從而提高無線局域網的安全應用.

參考文獻：

〔1〕楊雪.淺析無線局域網絡中通信安全機制探討[J].網絡天地，2011.

〔2〕薛云鵬.淺析無線局域網絡中通信安全的探討[J].信息安全，2012.

〔3〕林烈清.無線局域網通信安全機制的研究[J]，實驗室研究與探索，2012（8）.

中圖分類號：TP393

文獻標識碼：A

文章編號：1673- 260X（2015）03- 0014- 02