無線局域網(wǎng)的安全技術(shù)研究

無線局域網(wǎng)的安全技術(shù)研究

摘要隨著無線技術(shù)的發(fā)展，無線局域網(wǎng)已經(jīng)成為IT行業(yè)的一個新的熱點，漸漸成為計算機網(wǎng)絡(luò)的一個重要的組成部分。本文從分析無線局域網(wǎng)的安全威脅出發(fā)，討論了無線局域網(wǎng)的幾種安全保密技術(shù)。

關(guān)鍵詞無線局域網(wǎng)；安全；標準；有線等效保密；WAPI鑒別與保密

1引言

經(jīng)過20多年的發(fā)展，無線局域網(wǎng)，已經(jīng)成為一種比較成熟的技術(shù)，應(yīng)用也越來越廣泛，是計算機有線網(wǎng)絡(luò)的一個必不可少的補充。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的，它具有更大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。

無線局域網(wǎng)的安全問題伴隨著市場與產(chǎn)業(yè)結(jié)構(gòu)的升級而日益凸現(xiàn)，安全問題已經(jīng)成為WLAN走入信息化的核心舞臺，成為無線局域網(wǎng)技術(shù)在電子政務(wù)、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏。

2無線局域網(wǎng)的安全威脅

隨著公司無線局域網(wǎng)的大范圍推廣普及使用，WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。

由于無線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：

＞所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在；

＞無線局域網(wǎng)的無需連線便可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在；

＞無線局域網(wǎng)使用的是ISM公用頻段，使用無需申請，相鄰設(shè)備之間潛在著電磁破壞問題；

＞外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對公司網(wǎng)絡(luò)進行非授權(quán)存取；

＞無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入；

＞無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊和干擾；

＞內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接。

3無線局域網(wǎng)的安全保障

自從無線局域網(wǎng)誕生之日起，安全性隱患與其靈活便捷的優(yōu)勢就一直共存，安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無線局域網(wǎng)的安全性，IEEE系列標準從多個層次定義了安全性控制手段。

SSID訪問控制

服務(wù)集標識符(ServiceSetIdentifier，SSID)這是人們最早使用的一種WLAN安全認證方式。服務(wù)集標識符SSID，也稱業(yè)務(wù)組標識符，是一個WLAN的標識碼，相當(dāng)于有線局域網(wǎng)的工作組。無線工作站只有出示正確的SSID才能接入WLAN，因此可以認為SSID是一個簡單的口令，通過對AP點和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定，同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制，只不過，可以用它作為一種實現(xiàn)訪問控制的手段。

MAC地址過濾

MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證，而不是用戶認證。MAC地址過濾這種很常用的接入控制技術(shù)，在運營商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用，即只允許合法的MAC地址終端接入網(wǎng)絡(luò)。用無線局域網(wǎng)中，AP只允許合法的MAC地址終端接入BSS，從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新，但是目前都是通過手工操作完成，因此擴展能力差，只適合小型網(wǎng)絡(luò)規(guī)模，同時這種方法的效率也會隨著終端數(shù)目的增加而降低。

的認證服務(wù)

站點在與另一個站點通信之前都必須進行認證服務(wù)，兩個站點能否通過認證是能否相互通信的根據(jù)。標準定義了兩種認證服務(wù)：開放系統(tǒng)認證和共享密鑰認證。采用共享密鑰認證的工作站必須執(zhí)行有線等效保密協(xié)議。

WEP利用一個64位的啟動源密鑰和RC4加密算法保護調(diào)制數(shù)據(jù)傳輸。WEP為對稱加密，屬于序列密碼。為了解決密鑰重用的問題，WEP算法中引入了初始向量，IV為一隨機數(shù)，每次加密時隨機產(chǎn)生，IV與原密鑰結(jié)合作為加密的密鑰。由于IV并不屬于密鑰的一部分，所以無須保密，多以明文形式傳輸。

WEP協(xié)議自公布以來，它的安全機制就遭到了廣泛的抨擊，主要問題

(1)WEP加密存在固有的缺陷，它的密鑰固定且比較短。

(2)IV的使用解決了密鑰重用的問題，但是IV的長度太短，強度并不高，同時IV多以明文形式傳輸，帶來嚴重的安全隱患。

(3)密鑰管理是密碼體制中最關(guān)鍵的問題之一，但是中并沒有具體規(guī)定密鑰的生成、分發(fā)、更新、備份、恢復(fù)以及更改的機制。

(4)WEP的密鑰在傳遞過程中容易被截獲。

所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件，例如WEPCrack和AirSnort。

4WLAN安全的增強性技術(shù)

隨著WLAN應(yīng)用的進一步發(fā)展，規(guī)定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發(fā)展和應(yīng)用，業(yè)界積極研究，開發(fā)了很多增強WLAN安全性的方法。

擴展認證協(xié)議

IEEE使用標準安全協(xié)議提供集中的用戶標識、身份驗證、動態(tài)密鑰管理?；谡J證體系結(jié)構(gòu)，其認證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認證服務(wù)器三方完成。IEEE通過提供用戶和計算機標識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下，作為RADIUS客戶端配置的無線接入點將連接請求發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請求并準予或拒絕連接請求。如果準予請求，根據(jù)所選身份驗證方法，該客戶端獲得身

份驗證，并且為會話生成唯一密鑰。然后，客戶機與AP激活WEP，利用密鑰進行通信。

為了進一步提高安全性，IEEE擴展認證協(xié)議采用了WEP2算法，即將啟動源密鑰由64位提升為128位。

移動節(jié)點可被要求周期性地重新認證以保持一定的安全級。

WPA保護機制

Wi-FiProtectedAccess是Wi-Fi聯(lián)盟提出的一種新的安全方式，以取代安全性不足的WEP。WPA采用了基于動態(tài)密鑰的生成方法及多級密鑰管理機制，方便了WLAN的管理和維護。WPA由認證、加密和數(shù)據(jù)完整性校驗三個部分組成。

(1)認證

WPA要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶，才能擁有對某些網(wǎng)絡(luò)資源的訪問權(quán)，并且這是是強制性的。WPA的認證分為兩種：第一種采用+EAP的方式，用戶提供認證所需的憑證，如用戶名密碼，通過特定的用戶認證服務(wù)器來實現(xiàn)。另一種為WPA預(yù)共享密鑰方式，要求在每個無線局域網(wǎng)節(jié)點預(yù)先輸入一個密鑰，只要密鑰吻合就可以獲得無線局域網(wǎng)的訪問權(quán)。

(2)加密

WPA采用TKIP為加密引入了新的機制，它使用一種密鑰構(gòu)架和管理方法，通過由認證服務(wù)器動態(tài)生成、分發(fā)密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。而且，TKIP利用了/EAP構(gòu)架。認證服務(wù)器在接受了用戶身份后，使用產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端，并建立起一個密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù)報文。

(3)消息完整性校驗

除了保留的CRC校驗外，WPA為每個數(shù)據(jù)分組又增加了一個8個字節(jié)的消息完整性校驗值，以防止攻擊者截獲、篡改及重發(fā)數(shù)據(jù)報文。

VPN的應(yīng)用

目前許多企業(yè)以及運營商已經(jīng)采用虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)技術(shù)是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，其本身并不屬于標準定義，但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網(wǎng)的安全性得到極大的提高，能夠有效地保護數(shù)據(jù)的完整性、可信性和不可抵賴性。

VPN技術(shù)作為一種比較可靠的網(wǎng)絡(luò)安全解決方案，在有線網(wǎng)絡(luò)中，尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用，然而無線網(wǎng)絡(luò)的應(yīng)用特點在很大程度上阻礙了VPN技術(shù)的應(yīng)用，如吞吐量性能瓶頸、網(wǎng)絡(luò)的擴展性問題、成本問題等。

WAPI鑒別與保密

無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)是我國無線局域網(wǎng)國家標準制定的，由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。

在WAPI中，身份鑒別的基本功能是實現(xiàn)對接入設(shè)備用戶證書和其身份的鑒別，若鑒別成功則允許接入網(wǎng)絡(luò)，否則解除其關(guān)聯(lián)，鑒別流程包含下列幾個步驟：

1)鑒別激活：當(dāng)STA登錄至AP時，由AP向STA發(fā)送認證激活以啟動認證過程；

2)接入鑒別請求：工作站STA向AP發(fā)出接入認證請求，將STA證書與STA的當(dāng)前系統(tǒng)時間發(fā)往AP；

3)證書鑒別請求：AP收到STA接入認證請求后，向AS發(fā)出證書認證請求，將STA證書、接入認證請求時間、AP證書及用AP的私鑰對上述字段的簽名，構(gòu)成認證請求報文發(fā)送給AS。

4)證書鑒別響應(yīng)：AS收到AP的證書認證請求后，驗證AP的簽名以及AP和STA證書的合法性。驗證完畢后，AS將STA證書認證結(jié)果信息(包括STA證書、認證結(jié)果及AS對它們的簽名)、AP證書認證結(jié)果信息(包括AP證書、認證結(jié)果、接入認證請求時間及AS對它們的簽名)構(gòu)成證書認證響應(yīng)報文發(fā)回給AP。

5)接入鑒別響應(yīng)：AP對AS返回的證書認證響應(yīng)進行簽名驗證，得到STA證書的認證結(jié)果。AP將STA證書認證結(jié)果信息、AP證書認證結(jié)果信息以及AP對它們的簽名組成接入認證響應(yīng)報文回送至STA。STA驗證AS的簽名后，得到AP證書的認證結(jié)果。STA根據(jù)該認證結(jié)果決定是否接入該AP。

至此，工作站STA與AP之間完成了雙向的證書鑒別過程。為了更大程度上保證WLAN的安全需求，還可以進行私鑰的驗證，以確認AP和工作站STA是否是證書的合法持有者，私鑰驗證由請求和響應(yīng)組成。

當(dāng)工作站STA與接入點AP成功進行證書鑒別后，便可進行會話密鑰的協(xié)商。會話密鑰協(xié)商包括密鑰協(xié)商請求和密鑰協(xié)商響應(yīng)。密鑰協(xié)商請求可以由AP或STA中的任意一方發(fā)起，另一方進行響應(yīng)。為了進一步提高通信的保密性能，在通信一段時間或交換一定數(shù)量的報文后，工作站STA與AP之間應(yīng)該重新進行會話密鑰的協(xié)商來確定新的會話密鑰。

5結(jié)束語

要保證WLAN的安全，需要從加密技術(shù)和密鑰管理技術(shù)兩方面來提供保障。使用加密技術(shù)可以保證WLAN傳輸信息的機密性，并能實現(xiàn)對無線網(wǎng)絡(luò)的訪問控制，密鑰管理技術(shù)為加密技