浅谈无线局域网的安全问题及标准

编者按: 安全对于无线局域网领域，是一个严肃和严峻的话题。基于此的研究和争论也从未停止过，无论是WEP的漏洞也好，SSID的弊端也罢，更或者WAP的高性能显现，都在传达着一种声音，在信息时代的今天，用户对于安全的考虑是显而易见的，也是非常迫切的。但是，不能否认在网络上实现放心的漫游是一种理想状态，正如Internet，尽管它上面每时每刻都经受着病毒的攻击，无时无刻不被黑客觊觎，但互联网人数却呈现大幅上升趋势。对于WLAN亦是如此，尽管它确实存在安全的不足，但只要能够满足基本的应用，加之自身明显的优势，它就一定会有市场。接受市场真正的考验，各种缺陷会在实践中慢慢得到弥补，就好比人无完人一样，让我们多给它一些时间，多给它一些空间，让它在一个相对平衡的环境下孕育，相信路会走得更好。

安全问题

无线局域网（WLAN）是现有有线局域网的扩充，其各种各样的亮点想必大家都可以娓娓道来，但就是安全漏洞这个挥之不去的阴影困扰着行业内外致力于WLAN的人士。在国外，因此出现的安全问题屡见不鲜，并导致很多安全纠纷。据统计，不愿采用WLAN的理由中，安全问题高居第一位，已经成为阻碍WLAN进入信息化应用领域的最大障碍。与有线网络相比较，无线网络的安全问题具有以下特点：

● 信道开放，无法阻止攻击者窃听，恶意修改并转发；

● 传输介质——无线电波在空气中的传播会因为多种原因（例如障碍物）发生信号衰减，导致信息丢失；

● 用户不必与网络进行实际连接，使得攻击者伪装合法用户更为容易。

因此，利用WLAN进行通信必须具有较高的通信保密能力。下面根据无线局域网的发展动态分别简单介绍现行几种主要的安全技术及优缺点。

安全技术

IEEE802.11标准主要应用以下几项安全技术来保障无线局域网数据传输的安全。

● SSID（Service Set Identifier）技术；

● MAC（Media Access Control）技术；

● WEP（Wired Equivalent Privacy）加密技术；

● 思科LEAP和PEAP协议；

● WAP协议标准。

随着WLAN技术应用的进一步深入，IEEE802.11中提出的安全方案的漏洞被逐渐暴露，难以满足高端用户的需求，主要原因为：

（1）由于用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户，有的厂家支持任何SSID方式，只要无线客户端处在AP范围内，它都会自动连接到AP，这将绕过SSID的安全功能。

（2）MAC地址过滤的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而实际中的许多PCMCIA网卡和操作系统(如Windwos NT、Linux等)都可方便地更改网卡的MAC地址，因而非法用户完全可以盗用合法用户的MAC地址进行非法接入。

（3）WEP技术由于RC4算法存在弱点，在RC4中，人们发现了弱密钥，攻击者收集到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。加上无线局域网的通信速度非常高，用某些专门的软件在短时间内就可破解。

基于一些漏洞的研究对策，最近发展起来的几项安全协议标准受到多方的关注。

LEAP（Lightweight Extensible Authentication Protocol，轻量可延伸授权通信协议）使用的是分享键值（shared-key）方法，以响应双方的通信要求。不可逆、单方向的杂凑键（hash key）可以有效阻隔复制密码式的攻击。至于WEP键值，思科采取了动态的、每个用户、每次通信只用一次的WEP键值，由系统自行产生，系统管理者完全不需介入。每个通信过程中，用户都会收到独一无二的WEP，而且不会跟其他人共享。不断变换的键值，能有效地遏止黑客攻击，让使用密码表的做法失败。如果键值更换的速度足够频繁，黑客所记录的封包就无法提供足够的破解信息，你的无线局域网就会比较安全。

PEAP（Protected EAP，保护可扩展身份验证协议）有可能成为LEAP的取代者。同时，Funk Software、Certicom公司等其他RADIUS／AAA解决方案的提供者也在提升另一个选择—TTLS（Tunneled Transport Layer Security，隧道传输层安全协议）。但是迄今为止还不能判断哪一个协议将作为一个标准出现，或许它们的差异能够被调解成一个标准。

WAPI新机制

WAPI（WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）是针对IEEE802.11中WEP协议安全问题，经多方参加，反复论证，充分考虑了各种应用模式而制定的新的安全机制。本方案已由ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是我国目前在该领域惟一获得批准的协议。

WAPI工作原理

WAPI工作原理如图1所示。

经过认证激活、接入认证请求、证书认证请求、证书认证响应、接入认证响应、私钥验证请求、私钥验证响应7个步骤，完成MT与AP之间的证书认证过程。若认证成功，则AP允许MT接入，否则解除其登录。

在证书双向认证结束后，若AP和MT可以利用合法证书的公钥进行会话密钥的协商，上述的私钥验证过程也可省略，实现密钥的集中、安全管理。这些步骤最大程度上保证了WLAN用户基本的安全需求。

WAPI的特点

（1）全新的高可靠性安全认证与保密体制，更可靠的二层（链路层）以下安全系统，完整的“用户－接入点”双向认证，集中式或分布集中式认证管理，证书－密钥双认证，灵活多样的证书管理与分发体制，可控的会话协商动态密钥，高强度的加密算法，可扩展或升级的全嵌入式认证与算法模块，支持带安全的越区切换。

（2）支持SNMP网络管理，完全符合国家标准，通过国家商用密码管理部门安全审查，符合“国家商用密码管理条例”。

（3）值得一提的是，WAPI还充分考虑了市场应用。从应用模式上分为单点式和集中式两种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平台。采用WAPI可以扭转目前WLAN采用多种安全机制并存且互不兼容的现状，较好地解决安全问题和兼容性问题。

安全现状展望

目前市场上WLAN产品主要采用的是IEEE802.11b/g国际标准，工程上由于其简易性和设备投入费用较低廉，较适合于对安全性要求不高和通信距离较短的应用，如一般的企事业单位、学校、家庭等场合。

随着无线局域网的进一步发展，利用WLAN进行通信必须具有更高的通信保密能力， 满足部分无线局域网用户之间互连互通的需求。伴随技术和应用的不断发展和进步，WLAN正从传统意义上的局域网技术逐步演变为“公共无线局域网”，成为包括中国网通、中国电信、中国移动、中国联通等运营商密切关注的焦点。许多运营商已推出了WLAN服务，进一步探索WLAN的运营模式。WAPI机制的提出和在标准中的体现完全遵循国际标准化工作的流程。而国内外厂商如飞利浦、联想、朗通环球、汤姆森等纷纷表示理解和支持新颁布的WLAN国家标准，其中朗通环球和飞利浦在标准发布的第一时间表示将尽快推出符合国家标准的产品。无线局域网国家安全标准的推出，为产业的大规模扩张奠定了基础。