摘　要： 結(jié)合當(dāng)前實(shí)際中應(yīng)用比較廣泛的IEEE 802.11無(wú)線網(wǎng)絡(luò)技術(shù)，從攻與防兩個(gè)角度較為全面地分析了無(wú)線網(wǎng)絡(luò)所面對(duì)的安全威脅和相應(yīng)的安全防護(hù)機(jī)制，并提出了增強(qiáng)無(wú)線網(wǎng)絡(luò)安全性的方案。
　　關(guān)鍵詞： IEEE802.11標(biāo)準(zhǔn) 無(wú)線LAN? 連線對(duì)等保密? 初始化矢量? SSID

?

1 IEEE 802.11標(biāo)準(zhǔn)簡(jiǎn)介
　　隨著個(gè)人數(shù)據(jù)通信技術(shù)的發(fā)展,功能強(qiáng)大的便攜式數(shù)據(jù)終端以及多媒體終端的廣泛應(yīng)用,為了實(shí)現(xiàn)任何人在任何時(shí)間、任何地點(diǎn)均能進(jìn)行數(shù)據(jù)通信,要求傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)由有線向無(wú)線、由固定向移動(dòng)、由單一業(yè)務(wù)向多媒體業(yè)務(wù)發(fā)展,這樣就大大推動(dòng)了無(wú)線局域網(wǎng)的發(fā)展。于是,眾多標(biāo)準(zhǔn)紛紛出臺(tái)。IEEE 802.11標(biāo)準(zhǔn)是其中應(yīng)用比較廣泛、獲得眾多廠商支持的一種國(guó)際標(biāo)準(zhǔn)。
　　IEEE制定的802.11協(xié)議主要工作在ISO協(xié)議的物理層和數(shù)據(jù)鏈路層" title="鏈路層">鏈路層,并在物理層上進(jìn)行了一些改動(dòng),使之具有高速數(shù)字傳輸特性,并且提高了連接的穩(wěn)定性。它描述了無(wú)線局域網(wǎng)和無(wú)線城域網(wǎng)的介質(zhì)訪問(wèn)控制(MAC)和物理層的規(guī)范。
1.1 802.11標(biāo)準(zhǔn)工作方式
　　802.11標(biāo)準(zhǔn)定義了兩種類(lèi)型的工作方式,一種是無(wú)線站,通常由一臺(tái)PC機(jī)加上一塊無(wú)線網(wǎng)絡(luò)接口卡構(gòu)成;另一種稱(chēng)為無(wú)線接入點(diǎn)" title="接入點(diǎn)">接入點(diǎn)(AP),它的作用是提供無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)" title="有線網(wǎng)絡(luò)">有線網(wǎng)絡(luò)之間的連接。無(wú)線接入點(diǎn)" title="無(wú)線接入點(diǎn)">無(wú)線接入點(diǎn)通常由一個(gè)無(wú)線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口構(gòu)成,接入點(diǎn)就像是無(wú)線網(wǎng)絡(luò)的一個(gè)無(wú)線基站,將多個(gè)無(wú)線終端聚合到有線的網(wǎng)絡(luò)上。
1.2 802.11標(biāo)準(zhǔn)物理層
　　802.11標(biāo)準(zhǔn)最初定義的三個(gè)物理層包括兩個(gè)擴(kuò)展頻譜技術(shù)和一個(gè)紅外傳播規(guī)范。無(wú)線傳輸?shù)念l道定義在2.4GHz的ISM頻段內(nèi),可以非注冊(cè)使用。這樣,使用802.11標(biāo)準(zhǔn)的客戶(hù)端" title="客戶(hù)端">客戶(hù)端設(shè)備就不需要任何無(wú)線許可。擴(kuò)展頻譜技術(shù)保證了802.11標(biāo)準(zhǔn)的設(shè)備在這個(gè)頻段上的可用性和可靠的吞吐量,還可以保證它與使用同一頻段的其他設(shè)備不互相影響。802.11無(wú)線標(biāo)準(zhǔn)可以使用FHSS(跳變頻率擴(kuò)譜)和DSSS(直接序列擴(kuò)譜)兩種技術(shù),但因?yàn)镕HSS和DSSS在運(yùn)行機(jī)制上是完全不同的,所以采用這兩種技術(shù)的設(shè)備沒(méi)有互操作性。
1.3 802.11標(biāo)準(zhǔn)數(shù)字鏈路層
　　802．11無(wú)線局域網(wǎng)協(xié)議采用載波偵聽(tīng)多路訪問(wèn)(CSMA/CA)避免沖突的發(fā)生,只有當(dāng)客戶(hù)端收到網(wǎng)絡(luò)上返回的ACK信號(hào)后才確認(rèn)送出的數(shù)據(jù)已經(jīng)正確到達(dá)目的地。這種顯式的ACK機(jī)制雖然對(duì)沖突檢測(cè)很有效,但卻給網(wǎng)絡(luò)增加了額外的負(fù)擔(dān),降低了網(wǎng)絡(luò)性能。802.11MAC子層還提供了另外兩個(gè)強(qiáng)健的功能:CRC校驗(yàn)和包分片。
　　802.11 MAC子層負(fù)責(zé)解決客戶(hù)端和無(wú)線接入點(diǎn)之間的連接。當(dāng)一個(gè)802.11客戶(hù)端進(jìn)入一個(gè)或多個(gè)接入點(diǎn)的覆蓋范圍時(shí),會(huì)根據(jù)信號(hào)的強(qiáng)弱以及包錯(cuò)誤率自動(dòng)選擇一個(gè)接入點(diǎn)進(jìn)行連接,一旦被一個(gè)接入點(diǎn)連接,客戶(hù)端就會(huì)將發(fā)送接收信號(hào)的頻道切換到接入點(diǎn)的頻段。
2? IEEE 802.11標(biāo)準(zhǔn)的安全技術(shù)
　　IEEE認(rèn)為,需要擁有訪問(wèn)與機(jī)密性控制服務(wù)和確保傳輸數(shù)據(jù)完整性有關(guān)的一些機(jī)制來(lái)為無(wú)線通信網(wǎng)絡(luò)提供與有線網(wǎng)絡(luò)中功能等效的安全措施。為了防止出現(xiàn)無(wú)線網(wǎng)絡(luò)用戶(hù)偶然竊聽(tīng)的情況和為了提供與有線網(wǎng)絡(luò)等效的安全措施,IEEE引入了有線對(duì)等保密算法,即WEP算法。
　　WEP算法是一種流加密算法。首先通過(guò)把密鑰和一個(gè)24bit的初始化矢量(IV)串聯(lián)在一起,得到種子(SEED),輸入到偽隨機(jī)數(shù)發(fā)生器(PRNG)里;然后PRNG使用RC4流加密算法,輸出與被發(fā)送數(shù)據(jù)八位組數(shù)字等長(zhǎng)的偽隨機(jī)八位組密鑰序列;為了防止未經(jīng)授權(quán)修改數(shù)據(jù),對(duì)未加密報(bào)文執(zhí)行完整性檢驗(yàn)算法,把得到的校驗(yàn)和與未加密報(bào)文串聯(lián)在一起,得到完整性檢驗(yàn)結(jié)果(IVC),接著將IVC和PRNG輸出序列進(jìn)行數(shù)學(xué)上的按位異或運(yùn)算,生成密文,整個(gè)加密過(guò)程到此結(jié)束;最后把IV和密文串聯(lián)在一起,所得到的報(bào)文通過(guò)無(wú)線鏈接發(fā)送出去。
　　對(duì)于WEP算法,授權(quán)過(guò)程明確分解為如下四步:
　　(1) 客戶(hù)端發(fā)送鏈接請(qǐng)求。
　　(2) 驗(yàn)證方接收請(qǐng)求,生成一個(gè)隨機(jī)驗(yàn)證內(nèi)容,傳遞給請(qǐng)求方,作為響應(yīng)。
　　(3) 客戶(hù)端接收傳輸內(nèi)容,并使用共享密鑰流加密驗(yàn)證內(nèi)容,傳送給驗(yàn)證方。
　　(4) 驗(yàn)證方解密內(nèi)容,并同原始內(nèi)容比較。如果匹配,則客戶(hù)端通過(guò)驗(yàn)證。
　　WEP算法在傳輸上提供了一些安全性和保密性,能夠阻止有意或無(wú)意的瀏覽者看到AP和客戶(hù)端之間的傳輸內(nèi)容。
　　WEP算法的特點(diǎn)如下:
　　(1)全部報(bào)文都使用完整性校驗(yàn)與加密,提供了某種程度上的抵御篡改的能力。
　　(2)通過(guò)加密維護(hù)一定的保密性。如果沒(méi)有密鑰,就不能解密報(bào)文。
　　(3)為WLAN應(yīng)用程序提供了非?；镜谋Ｗo(hù)?？梢杂捎脩?hù)定義WEP密鑰,而且沒(méi)有限制。不必使用預(yù)先定義的密鑰,而且用戶(hù)可以經(jīng)常改變它們。
　　WEP算法存在的問(wèn)題:
　　(1)RC4加密算法是公開(kāi)的流加密算法。為了加密,它使用數(shù)量極其有限的密鑰來(lái)試圖生成無(wú)限的偽隨機(jī)密鑰。
　　(2)密鑰一旦修改了,必須通知每個(gè)用戶(hù)。
　　(3)必須在每個(gè)客戶(hù)端和每個(gè)AP都實(shí)現(xiàn)WEP,才能生效。
3 攻擊手段
　　在此討論八種具有廣泛代表性的攻擊策略,以此來(lái)衡量用以加強(qiáng)無(wú)線LAN防護(hù)的安全技術(shù),評(píng)估安全防護(hù)系統(tǒng)的有效性。
3.1? 流量分析
　　流量分析是一種簡(jiǎn)單的技術(shù)手段,攻擊者根據(jù)通信媒介所傳輸?shù)臄?shù)據(jù)包的數(shù)量和數(shù)據(jù)報(bào)文的大小來(lái)確定網(wǎng)絡(luò)負(fù)載。有一塊工作在混雜模式的無(wú)線網(wǎng)卡以及可以對(duì)傳輸?shù)臄?shù)據(jù)包的數(shù)量和大小進(jìn)行計(jì)數(shù)的軟件即可實(shí)現(xiàn)流量分析。使用適當(dāng)?shù)奶炀€更是增加了攻擊者可以探測(cè)的范圍,大大降低了攻擊者由于距離攻擊目標(biāo)太近而被發(fā)現(xiàn)的可能性。
3.2 被動(dòng)竊聽(tīng)
　　這種攻擊需要具備的惟一條件是攻擊者要能夠?qū)W(wǎng)絡(luò)進(jìn)行偵聽(tīng)。通過(guò)在無(wú)線網(wǎng)絡(luò)的通信范圍內(nèi)使用有向天線可以很容易地得到滿(mǎn)足。
　　如果無(wú)線網(wǎng)絡(luò)沒(méi)有采取任何加密措施,攻擊者就可以很容易地讀取會(huì)話雙方傳輸?shù)拿魑臄?shù)據(jù),并且通過(guò)檢查傳送的數(shù)據(jù)包間接地獲取有關(guān)數(shù)據(jù)的來(lái)源、目的、大小、序列號(hào)以及傳輸時(shí)間等信息。這種類(lèi)型的攻擊所獲得的不僅僅是泄漏的信息,更重要的是,通過(guò)對(duì)數(shù)據(jù)包的分析獲得了進(jìn)一步實(shí)施更具威脅的攻擊所需要的部分先決條件。
　　如果會(huì)話在數(shù)據(jù)鏈路層或者更高的協(xié)議層上使用一定的加密算法,如WEP算法、高級(jí)加密標(biāo)準(zhǔn)算法(AES)進(jìn)行了加密,則為了讀取數(shù)據(jù),攻擊者必須設(shè)法對(duì)算法進(jìn)行攻擊以解密數(shù)據(jù)。
3.3 部分明文已知的主動(dòng)竊聽(tīng)
　　這種攻擊手段不同于被動(dòng)竊聽(tīng)攻擊手段的是在竊聽(tīng)過(guò)程中,攻擊者不僅偵聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù),而且向通信媒介主動(dòng)地插入特定消息以幫助它們獲取這些消息的內(nèi)容。這種攻擊所需要具備的條件是攻擊者能夠訪問(wèn)網(wǎng)絡(luò)并且掌握了一些諸如目標(biāo)IP地址等的有用信息。
　　明文已知的主動(dòng)竊聽(tīng)的例子是IP欺騙。攻擊者將數(shù)據(jù)包中的目標(biāo)IP地址替換為在他控制下的主機(jī)的IP地址。該數(shù)據(jù)包被接入點(diǎn)(AP)接收并解密,通過(guò)網(wǎng)絡(luò)發(fā)送到由攻擊者控制下的主機(jī)。如果保密信道中止于一個(gè)網(wǎng)關(guān),比如VPN集線器,則這種攻擊能夠成功地穿過(guò)加密信道并在網(wǎng)關(guān)處被解密,然后以明文形式送到攻擊者指定的機(jī)器。如果IP頭被加密,攻擊者也只需修改IP頭并保證校驗(yàn)和的有效性。
3.4 明文已知的主動(dòng)竊聽(tīng)
　　利用前面分析的WEP算法的脆弱性,攻擊者可以向網(wǎng)絡(luò)中插入特定的數(shù)據(jù)包,用它們刺探網(wǎng)絡(luò)的情況以便收集信息對(duì)未來(lái)的數(shù)據(jù)包進(jìn)行解密。比如,攻擊者使用他在無(wú)線LAN上的機(jī)器發(fā)送一個(gè)消息,與此消息相關(guān)的初始化矢量(IV)就可以被攻擊者用來(lái)在以后攻擊使用同樣IV進(jìn)行加密的數(shù)據(jù)包。從數(shù)學(xué)的角度來(lái)說(shuō),當(dāng)使用同樣的初始化矢量時(shí),C1⊕C2＝P1⊕P2,如果知道了P1,并且通過(guò)竊聽(tīng)知道了C1和C2,則很容易得到P2。攻擊者可以很容易地建立起一個(gè)(IV,P1)的數(shù)據(jù)庫(kù),這樣就可以解密曾使用WEP算法在數(shù)據(jù)鏈路層進(jìn)行加密的任何數(shù)據(jù)。
3.5 非授權(quán)訪問(wèn)
　　非授權(quán)訪問(wèn)不同于前面討論的任何攻擊方式,它針對(duì)的不是特定的用戶(hù)或用戶(hù)集,而是整個(gè)網(wǎng)絡(luò)。一旦攻擊者具有了對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限,他就可以對(duì)網(wǎng)絡(luò)發(fā)動(dòng)進(jìn)一步的攻擊,或者僅僅是免費(fèi)使用網(wǎng)絡(luò)。盡管免費(fèi)使用對(duì)大部分網(wǎng)絡(luò)來(lái)說(shuō)也許不是很?chē)?yán)重的威脅,但網(wǎng)絡(luò)訪問(wèn)權(quán)的獲得對(duì)后面將要講到的ARP襲擊是一個(gè)關(guān)鍵的步驟。
3.6? 中間人攻擊
　　攻擊者首先阻止客戶(hù)端和接入點(diǎn)之間的連接,然后攻擊者扮演一個(gè)中間人的角色。也就是說(shuō),對(duì)于客戶(hù)端來(lái)說(shuō),攻擊者相當(dāng)于一個(gè)接入點(diǎn),客戶(hù)端同它建立連接并且獲得認(rèn)證;而對(duì)真正的接入點(diǎn)來(lái)說(shuō),攻擊者扮演類(lèi)似于客戶(hù)端的角色,并同它建立一個(gè)有效的連接。這樣一來(lái),在客戶(hù)端看來(lái),攻擊者就是接入點(diǎn)。中間人攻擊可以從會(huì)話中讀取秘密數(shù)據(jù)或者修改數(shù)據(jù)包,從而破壞會(huì)話的完整性。這是一種實(shí)時(shí)攻擊,就是說(shuō)攻擊發(fā)生在目標(biāo)機(jī)器通話的過(guò)程中。
3.7 會(huì)話接管
　　會(huì)話接管的攻擊目標(biāo)是會(huì)話的完整性?？蛻?hù)端同無(wú)線接入點(diǎn)建立了有效的連接以后,攻擊者從客戶(hù)端和接入點(diǎn)的會(huì)話中收集到足夠多的信息,開(kāi)始阻塞客戶(hù)端同接入點(diǎn)的連接,而它自己則偽裝成客戶(hù)端同接入點(diǎn)進(jìn)行會(huì)話。
3.8 應(yīng)答攻擊
　　應(yīng)答攻擊同樣是針對(duì)信息的完整性。它使用非法獲得的目標(biāo)機(jī)的認(rèn)證權(quán)限訪問(wèn)網(wǎng)絡(luò),但不影響目標(biāo)機(jī)的正常會(huì)話。這不是一種實(shí)時(shí)攻擊,在最初的會(huì)話結(jié)束后的時(shí)間里,攻擊者可以用目標(biāo)機(jī)的訪問(wèn)權(quán)限與AP建立起信任關(guān)系,因?yàn)樗褂玫氖呛戏ㄓ脩?hù)的賬號(hào),所以AP會(huì)認(rèn)為它就是合法的用戶(hù)。
4 常用的安全機(jī)制與安全技術(shù)
　　無(wú)線安全技術(shù)可以劃分為三種安全策略。多數(shù)安全產(chǎn)品提供商在配置安全系統(tǒng)時(shí)會(huì)采用這三種安全策略的組合。第一種策略是認(rèn)證,這種策略包括判斷客戶(hù)端是否是授權(quán)的無(wú)線LAN用戶(hù)以及確定該用戶(hù)有什么權(quán)限,同時(shí)它也包括阻止非授權(quán)用戶(hù)使用無(wú)線LAN的機(jī)制。第二種策略是在用戶(hù)得到認(rèn)證并接入無(wú)線LAN后維護(hù)會(huì)話的保密性機(jī)制。一般來(lái)說(shuō),保密性通過(guò)使用加密技術(shù)得以實(shí)現(xiàn)。最后一種策略是校驗(yàn)信息的完整性。
4.1 認(rèn)證
　　802.11標(biāo)準(zhǔn)提供了一組可選的認(rèn)證方案。最基本的認(rèn)證機(jī)制是使用服務(wù)集標(biāo)識(shí)符(SSID)認(rèn)證。無(wú)線客戶(hù)端必需出示正確的SSID才能訪問(wèn)無(wú)線接入點(diǎn),利用SSID可以很好地進(jìn)行用戶(hù)群體分組,避免任何漫游帶來(lái)的安全性能和訪問(wèn)性能的問(wèn)題,因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而為無(wú)線局域網(wǎng)提供一定的安全性。然而由于無(wú)線接入點(diǎn)AP向外廣播它的SSID,使安全程度下降。另外,一般情況下,用戶(hù)自己配置客戶(hù)端系統(tǒng),所以很多人都知道它的SSID,很容易共享給非法用戶(hù)。況且有的廠家支持“任何”SSID方式,只要無(wú)線客戶(hù)端處在AP范圍內(nèi),它都會(huì)自動(dòng)連接到AP,這將繞過(guò)SSID的安全功能。
　　另一種認(rèn)證技術(shù)是物理地址(MAC)過(guò)濾。每個(gè)無(wú)線客戶(hù)端網(wǎng)卡都有惟一的物理地址標(biāo)識(shí),因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表,實(shí)現(xiàn)物理地址過(guò)濾。物理地址過(guò)濾屬于硬件認(rèn)證,而不是用戶(hù)認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新,目前都是手工操作。如果用戶(hù)增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。另外,非法用戶(hù)利用網(wǎng)絡(luò)偵聽(tīng)手段很容易竊取合法的MAC地址,而且MAC地址并不難修改,因此非法用戶(hù)完全可以盜用合法的MAC地址進(jìn)行非法接入。
　　還有一種擴(kuò)展認(rèn)證協(xié)議(EAP),它支持雙向認(rèn)證和動(dòng)態(tài)密鑰。雙向認(rèn)證使用兩個(gè)互不相關(guān)的認(rèn)證過(guò)程?？蛻?hù)端向接入點(diǎn)證實(shí)自己的身份,而接入點(diǎn)則要向服務(wù)器證實(shí)自己的身份,更進(jìn)一步,還可以要求無(wú)線接入點(diǎn)在一個(gè)合理的限定時(shí)間內(nèi)向客戶(hù)端證實(shí)自己的合法身份。雙向認(rèn)證可以有效地阻止中間人攻擊,攻擊者無(wú)法欺騙客戶(hù)端說(shuō)它是無(wú)線接入點(diǎn),這就使得檢測(cè)和隔離虛假訪問(wèn)點(diǎn)與非法客戶(hù)端成為可能,至少增加了攻擊難度,從而提高了網(wǎng)絡(luò)的安全性。其他比較常見(jiàn)的認(rèn)證方式還有802.1x認(rèn)證(端口訪問(wèn)控制技術(shù))、隧道傳輸層安全(TTLS)、增強(qiáng)型可擴(kuò)展認(rèn)證協(xié)議(PEAP)、無(wú)線傳輸層安全(WTLS),包認(rèn)證等。
4.2 加密
　　使用加密算法可以保證數(shù)據(jù)包的隱秘性。加密系統(tǒng)的設(shè)計(jì)相當(dāng)于為數(shù)據(jù)傳輸提供了一個(gè)虛擬通道,數(shù)據(jù)通過(guò)這個(gè)通道就如同通過(guò)受到保護(hù)的網(wǎng)絡(luò)一樣。如果加密系統(tǒng)設(shè)計(jì)得適當(dāng)并能正確地實(shí)現(xiàn),則對(duì)任何沒(méi)有密鑰的人來(lái)說(shuō)數(shù)據(jù)是不可讀的,并且任何改變加密數(shù)據(jù)的試圖都不能得逞。這就要求有加密完整性檢查或者說(shuō)校驗(yàn)。加密系統(tǒng)的兩個(gè)關(guān)鍵設(shè)計(jì)參數(shù)是對(duì)哪個(gè)網(wǎng)絡(luò)層進(jìn)行加密以及對(duì)數(shù)據(jù)進(jìn)行解密的節(jié)點(diǎn)的位置放在哪里。
　　加密可以在各個(gè)協(xié)議層進(jìn)行。加密所在的協(xié)議層越低,加密信道的安全性就越高。對(duì)于IP欺騙攻擊,在第三層加密容易實(shí)施,但在第二層加密就有了難度,因?yàn)榈谌龑蛹用躀P地址是以明文方式傳送的;而第二層加密雖然可以降低IP欺騙攻擊的威脅但不能阻止ARP欺騙的攻擊,因?yàn)镸AC地址仍然是以明文傳輸?shù)摹墓铝⒌挠^點(diǎn)來(lái)看,只要控制了底層,所有的高層就安全了。實(shí)際上并非如此,因此要對(duì)所有的協(xié)議層都進(jìn)行加密才能解決這個(gè)問(wèn)題。
　　加密信道可以有三種可能的終止節(jié)點(diǎn)。第一個(gè)可能的終止節(jié)點(diǎn)是無(wú)線接入點(diǎn)AP,第二個(gè)可能的終止節(jié)點(diǎn)是無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的接口點(diǎn),第三個(gè)可能的終止節(jié)點(diǎn)是有線網(wǎng)絡(luò)中的服務(wù)器,加密消息到了最終目的以后才被解密。所有這三種可能都可以被使用以形成深度防御。4.3 完整性檢查
　　IEEE 802.11標(biāo)準(zhǔn)把WEP校驗(yàn)和定義為“一個(gè)以報(bào)文為自變量的線性函數(shù)”。這樣做的結(jié)果是:有可能在不破壞校驗(yàn)和的前提下對(duì)密文進(jìn)行有控制的修改。同樣,RC4本身也是一個(gè)線性函數(shù),構(gòu)成CRC和RC4條件的實(shí)體可以在不破壞計(jì)算結(jié)果的前提下重新排序。在只允許對(duì)分組內(nèi)容的部分信息進(jìn)行修改的前提下,要計(jì)算出預(yù)期的結(jié)果,攻擊者只需知道原始密文和想得到的明文之間的區(qū)別就可以辦到。
　　安全哈希算法(SHA-1)根據(jù)明文消息計(jì)算出一個(gè)160bit的值。對(duì)這種算法來(lái)說(shuō),兩個(gè)不同的消息得出同樣的SHA-1結(jié)果幾乎是不可能的。因此,對(duì)消息的任何改變都可以被發(fā)現(xiàn),可見(jiàn)采用該算法可以很好地保證數(shù)據(jù)的完整性。
　　安全不是一種靜止的狀態(tài),而是對(duì)付潛在威脅的一個(gè)過(guò)程。為了組建、運(yùn)行、維護(hù)一個(gè)安全的網(wǎng)絡(luò),管理者必須充分了解所要保護(hù)的信息的價(jià)值和威脅的來(lái)源,并且考慮自己的需要和所擁有的安全手段。然后使用各種有助于緩解威脅的策略比如技術(shù)手段、管理政策、用戶(hù)培訓(xùn)等手段來(lái)降低威脅。
　　為了保證無(wú)線網(wǎng)絡(luò)的安全,建議使用以下安全策略:雙向認(rèn)證;在鏈路層對(duì)信道進(jìn)行加密;數(shù)據(jù)完整性檢查。
參考文獻(xiàn)
[1]?BARNES C. 無(wú)線網(wǎng)絡(luò)安全防護(hù)[M]. 劉堃,譯. 北京:機(jī)械工業(yè)出版社,2003.
[2]?ANSI/IEEE Std 802.11[S]. 1999 Edition.
[3] ?WELCH C D J. A survey of 802.11a wireless security threats and security mechanisms[R],2003