技術領域

本發明涉及無線局域網WLAN中安全技術研究領域，具體的講是一種WLAN通過選擇優良認證方法來防御無線嗅探攻擊的網絡安全方法。

背景技術

眾所周知，無線局域網（WLAN）因為安裝便捷、組網靈活而被迅速推廣普及，應用廣泛。然而WLAN在給用戶帶來便捷的同時，也帶來了較大的安全隱患，這是由WLAN無線信號的廣播本質和它應用的網絡協議自身的設計缺陷導致的。WLAN安全技術的研究，對信息安全相關領域和未來信息化戰略目標都很有價值，也是近年來安全領域研究中的熱點。

但是，在現有的眾多WLAN安全技術研究中，針對無線嗅探相關技術的研究還很少，無線嗅探在WLAN中的威脅還沒有充分引起人們的關注。被動攻擊作為網絡攻擊的主要模式之一，以嗅探為代表的被動攻擊在WLAN網絡環境更顯優勢，嗅探攻擊以其隱蔽性、非交互性以及非干擾性，往往能使WLAN用戶的信息泄漏于無形之中。

目前WLAN標準提出的各種安防措施、安全協議和技術并沒有很好的抵擋嗅探攻擊技術。比如，基于非密鑰體制防護手段，如SSID(Service?Set?Identifier，服務集標識碼)廣播隱藏、MAC地址過濾和密鑰周期縮短設置等，前兩者在嗅探攻擊的被動偵聽和數據分析下不堪一擊，而密鑰周期縮短的設置帶來頻繁更新密碼的問題亦不被用戶所采用。在眾多認證協議和加密技術提出的過程中，WLAN的IFS(Intrusion?Detection?Systems，入侵檢測系統)也層出不窮，但都未能有效檢測并防御無線嗅探攻擊。現行的WLAN安全技術并沒有根本解決安全問題，其中相當重要的原因是沒有針對嗅探防御的措施，使得WLAN終端頻受攻擊。

傳統的網絡安全防御方法分為兩種模式：主動防御和被動防御，相對于“亡羊補牢式”的被動防御，主動防御更高級些，主動防御通常在攻擊發生前根據系統運行狀態預估可能存在的威脅以及攻擊形式、手段，進而設計主動修復漏洞、防御攻擊的系統，通常包括IPS（Intrusion?prevention?system，入侵防御系統）和IDS（Intrusion?detection?system，入侵檢測系統）兩種。目前WLAN有不少主動防御系統，這些防御系統對于主動攻擊具有很好的防御效果，但是無線嗅探卻能成功躲避各類無線網絡防御系統的監視，以其隱蔽性和無干擾性悄悄地攻擊網絡。因此我們針對無線嗅探防御安全技術進行深入研究，設計周全的嗅探防御技術，在現有的防御技術基礎上進行改進和優化，全面加強WLAN信息安全。

無線局域網WLAN應用廣泛，但同時由于自身特性，WLAN也帶有極大的安全隱患，嗅探攻擊以其隱蔽性、非交互性以及非干擾性，往往能使WLAN用戶的信息泄漏于無形之中。目前WLAN有不少防御系統，但是無線嗅探攻擊卻能成功地躲避各類無線網絡防御系統的監視，以其隱蔽性和無干擾性悄悄地攻擊網絡。這就迫使我們不得不針對無線嗅探防御安全技術進行深入研究，全面保證網絡信息安全。

802.11i定義的健壯安全網絡中采用802.1X認證模式，提供比WPA-PSK更為安全的保密等級，通常使用于中型或者大型可交換無線網絡中。相對于在簡單家庭WLAN或者小型WLAN中使用預共享密鑰維護網絡安全的模式，802.1X采用專門的數據庫系統維護每個合法用戶的獨立的賬戶信息，除非攻陷整個賬戶數據庫，盜取所有用戶的登入口令，否則不足以威脅整個WLAN的安全性，這一點與在PSK模式中盜取了共享密鑰之后就能嗅探全網絡信息形成鮮明的對比。802.1X認證框架提供了針對鏈路層的擴展認證，對其上層的具體認證方式完全透明。

802.1X所采納的可擴展認證協議EAP是基于端口的網絡接入控制協議，并且是RADIUS主要支持的一個安全框架。實際上EAP是一個通用認證框架，定義了一系列用于雙方認證開始和結束后處理的中間消息，這些消息與各種上層認證算法一同使用。目前使用最為廣泛的認證算法主要有EAP-MD5、EAP-TSL、EAP-TTSL、EAP-LEAP和EAP-PEAP。

發明內容

本發明綜合認證安全性（認證雙向性、客戶信息保密性）、部署難度和網絡處理速度等因素，結合各種EAP認證方式的特點，提出一種折中的認證方式，彌補現有EAP認證的不足，又能提高一定的網絡性能。本發明的步驟如下：

步驟一：AP新檢測到網絡中新加入的STA即發送一個EAP-Request?Identity質詢。

步驟二：STA在接收到AP的identity身份質詢之后回復以一個一次性的Identity，即ID_current即作為回應。