无线WLAN的安全技术体系

【Word版本下载可任意编辑】无线WLAN的安全技术体系随着移动互联网的大潮，人们对随时随地享受网速更快、费用更低甚至是的网络访问有着庞大的需求。无线WLAN所具备的高带宽、低成本的特性正是满足这种庞大需求的高速无线联网的接入技术，使得越来越多的区域提供无线WLAN的接入服务。

做为一项开放性的公共服务，并且是通过开放性媒介（空气），使用电磁波作为载体来传输数据信号，无线通信双方是没有物理线缆连接的。如果无线信号在空气中传输的过程未采取适当的加密保护，数据传输的风险就会大大增加。任何人都有条件窃听或干扰信息，因此对越权存取和窃听的行为也更不容易防范。在20**年拉斯维加斯的黑客会议上，安全就指出，无线网络将成为黑客攻击的另一块热土。因此在WLAN中确保传输的信号安全显得尤为重要。

无线WLAN的安全基本措施一般来说有以下4个方面：信息过滤、链路、数据安全以及接入。

1.信息过滤

通过对多个无线接入点AP（AccessPoint）设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限开展区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。如果AP停止广播SSID（静默），那么STA必须主动提供正确的SSID才能与AP相连。所以通过设置SSID的方式可以过滤一部分非法用户，但由于一般情况下，用户自己配置客户端系统，通过共享会使得越来越多人的都知道该SSID，很容易共享给非法用户。

2.链路

链路即WLAN链路关联身份验证，是一种低级的身份验证机制。在STA同AP开展关联时发生，该行为早于接入。任何一个STA试图连接网络前，都必须开展链路身份验证开展身份确认。可以把链路身份验证看作是STA连接到网络时的握手过程的起点，是网络连接过程中的步。常用的链路方案包括开放系统身份和共享密钥身份。

开放系统

步，STA请求。STA发出请求，请求中包含STA的ID（通常为MAC地址）。

第二步，AP返回结果。AP发出响应，响应报文中包含说明是成功还是失败的消息。如果结果为成功，那么STA和AP就通过双向。

共享密钥

共享密钥需要STA和AP配置相同的共享密钥。具体过程如下。

步，STA先向AP发送请求；

第二步，AP会随机产生一个Challenge包（即一个字符串）发送给STA；

第三步，STA会将接收到字符串拷贝到新的消息中，用密钥加密后再发送给AP；

第四步，AP接收到该消息后，用密钥将该消息解密，然后对解密后的字符串和初给STA的字符串开展比较。如果相同，则说明STA拥有无线设备端相同的共享密钥，即通过了共享密钥；否则共享密钥失败。

3.数据安全

通过对数据报文开展加密，保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现了WLAN数据的安全性保护。

在WLAN中通过有线等效加密（WEP）、暂时密钥集成协议（TKIP）和加密标准AES-CCMP等三种方式开展数据加密，以保证信息的传输过程不被恶意窃取。

WEP是MAC层加密算法，保护终端与AP间的安全基，于对称密钥的RC4算法。WEP加密采用静态的密钥，所有STA采用相同的密钥访问无线网络。

WEP加密可以在Opensystem、Sharedkey链路方式中使用。

开放系统：WEP密钥只做加密，即使密钥配的不一致，用户也是可以上线，但上线后传输的数据会因为密钥不一致被接收端丢弃。

共享密钥：如果双方密钥不一致，客户端就不能通过Sharedkey，无法上线。即当WEP和Sharedkey方式配合使用时，WEP也可以作为一种方法。

是单向的，AP能客户端，但客户端没法AP。初始向量(IV)太短，重用很快，为攻击者提供很大的方便。WEP没有方法应付所谓“重传攻击”(ReplayAttack)。ICV采用CRC-32，报文很容易被篡改而不被发现。WEP只支持预配置密钥，没有密钥管理，更新，分发的机制，完全要手工配置，用户往往常年不会去更换。

为增强WEP加密机制而设计的过渡方案。它也和WEP加密机制一样使用的是RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护，主要表达在以下几点：静态WEP的密钥为手工配置，且一个服务区内的所有用户都共享同一把密钥，而TKIP的密钥为动态协商生成，每个传输的数据包都有一个与众不同的密钥；TKIP将密钥的长度由WEP的40位加长到128位，初始化向量IV的长度由24位加长到48位，提高了WEP加密的安全性；TKIP支持MIC（MessageIntegrityCheck，信息完整性校验）和防止重放攻击功能。

无线WLAN的安全技术体系

发送端会使用加密算法计算一个MIC（messageintegritycode，消息完整码），TKIP只要在MSDU开展分片前将MIC追加到MSDU后面，形成一个新的MSDU就好了，分片的事，它不管,那是MPDU的事情。接收端收到MPDU分片以后，会先将它们重组成一个MSDU，然后开展MIC的校验。

CCMP加密使用的AES算法中都是使用的128bit的密钥和128bit的加密块,CCM主要有两个参数：M=8,表示MIC是8个字节；L=2，表示长度域是两个字节一共16位，这样就可以满足MPDU的长度。同时CCM需要给每个session指定不同的temporalkey，而且每一个被加密的MPDU都需要一个指定的临时值，所以CCMP使用了一个48bit的PN（packetnumber），对同一个PN的使用将会使安全保证失效。

简单来说，TKIP主要是用来加强WEP加密，这个升级主要表达在算法上，使用TKIP加密，并不需要开展硬件的升级，也就是说只要你的硬件支持WEP加密，那么同时也能够支持更安全的TIKP加密，同过软件升级