一、场所802.11安全机制应用现状
虽然WPA-Enterprise具有较高的安全性和足够大的用户容量,但是并不适用于公共局域网,主要原因有:1)公共场所如商场、餐厅、车站、机场等出于对成本和维护复杂度的考虑,极少有架设RADIUS服务器;2)公共场所人流量大且不固定,无法要求每个用户终端都预先存入认证证书。因此,现有的公共场所一般采用WPA-PSK加密或是不加密,采用的WPA-PSK加密的公共场所密钥必然是公开的,以方便顾客使用。不加密的WLAN,所有报文以明文形式传输,如果在这种环境下登陆电子邮件或输入密码帐号也以明文形式在无线空间传播,不需要很复杂的技术就可以窃听到其中的敏感信息。只要在接收范围以内无线终端都能够接收到,采用Libpcap库可以抓取报文,并应用数据包过滤器BPF(BerkeleyPacketFliter)能够得到指定用户的所有通信内容。
。没有保护的无线网络,窃听者除了可以窃听用户隐私和敏感信息外,还可以伪造或篡改数据包进行重放攻击、欺骗攻击,以窃取更多的敏感信息。
二、基于非对称加密的公共无线局域网安全机制
(1)动态密码。虽然WPA/WPA2采用的AES加密和TKIP加密安全度很高,但仍有很多针对性的字典攻击,因此报文加密密钥必须周期性更新。
(2)不同用户之间密码。当前公共无线网络密码大多是预共享密码,这种方式与明文传输无本质区别。
(3)易于架设。公共网络的架设方不是使用方,大多是商家免费提供顾客使用,因此会严格投入的成本,仅保证基本的通信,过于复杂或代价较高的方案必然不会被采用。
(4)后向兼容性。802.11网络已经普及,有大量设备正在运行,新的安全机制要得以推广,必须能够兼容现有设备。
三、结论
本文分析了公共无线网络存的安全问题,提出两种基于非对称加密的简单握手机制,在用户与接入点之间维护一个校验密钥,该机制能够通过软件实现,容易部署且不增加硬件成本,与现有机制能够很好兼容,可行性高。为用户提供方便安全的接入服务。
