2014无线局域安全技术白皮书.docVIP

　无线局域网的安全 无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。 就目前而言，有很多种无线局域网的安全技术，包括物理地址（ MAC ）过滤、服务区标识符(SSID)匹配、有线对等保密（WEP）、端口访问控制技术（IEEE802.1x）、WPA?(Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。 1、无线局域网的安全威胁 利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患主要有以下几点： 未经授权使用网络服务 由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，降低合法用户的服务质量，而且未经授权的用户没有遵守运营商提出的服务条款，甚至可能导致法律纠纷。 地址欺骗和会话拦截(中间人攻击) 在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。 另外，由于IEEE802.11没有对AP身份进行认证，非法用户很容易装扮成AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。 高级入侵(企业网) 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，就会使整个网络暴露在非法用户面前。 2、基本的无线局域网安全技术 通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发送的数据只能被所期望的用户所接收和理解。 下面对在无线局域网中常用的安全技术进行简介。 物理地址（ MAC ）过滤 每个无线客户端网卡都由唯一的48位物理地址（MAC）标识，可在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以盗用合法用户的MAC地址来非法接入。 MAC地址过滤 服务区标识符 ( SSID ) 匹配 无线客户端必需设置与无线访问点AP相同的SSID ，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点（AP）及SSID区域的划分和权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全。 服务区标识匹配 有线对等保密（WEP） ?在IEEE802.11中，定义了WEP来对无线传送的数据进行加密，WEP的核心是采用的RC4算法。在标准中，加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，需要在AP和Station上配置的密钥就只有40位或104位。 WEP加密原理图如下： WEP加密原理图 1、AP先产生一个IV，将其同密钥串接（IV在前）作为WEP Seed，采用RC4算法生成和待加密数据等长（长度为MPDU长度加上ICV的长度）的密钥序列； 2、计算待加密的MPDU数据校验值ICV，将其串接在MPDU之后； 3、将上述两步的结果按位异或生成加密数据； 4、加密数据前面有四个字节，存放IV和Key ID，IV占前三个字节，Key ID在第四字节的高两位，其余的位置0；如果使用Key-mapping Key，则Key ID为0，如果使用Default Key，则Key ID为密钥索引（0－3其中之一）。加密后的输出如下图所示。 WEP加密后的MPDU格式 加密前的数据帧格式示意如下： 加密后的数据帧格式示意如下： WEP解密原理图如下： WEP解密原理图 1、找到解密密钥； 2、将密钥和IV串接（IV在前）作为RC4算法的输入生成和待解密数据等长的密钥序列； 3、将密钥序列和待解密数据按位异或，最后4个字节是ICV，前面是数据明文； 4、对数据明文计算校验值ICV，并和ICV比较，如果相同则解密成功，否则丢弃该数据。 连线对等保密WEP