胡萍 王長林
(西南交通大學(xué)計(jì)算機(jī)與通信工程學(xué)院,四川 成都 610031)
摘 要:無線局域網(wǎng)(Wireless LAN,以下簡稱WLAN)是近年來發(fā)展迅速的無線數(shù)據(jù)通訊網(wǎng)。安全性能,成為無線局域網(wǎng)的關(guān)鍵性能之一。本文分析了目前無線局域網(wǎng)主要使用的基本安全機(jī)制的主要技術(shù)特點(diǎn)和缺點(diǎn),介紹了最新發(fā)展的幾種無線局域網(wǎng)安全機(jī)制。最后提出無線局域網(wǎng)安全機(jī)制的發(fā)展方向。
關(guān)鍵詞:WLAN 安全機(jī)制 加密 認(rèn)證
由于無線通信開放的傳輸介質(zhì),使得WLAN的安全性能一直是人們關(guān)注的焦點(diǎn),盡管802.11b/a/g等一系列無線局域網(wǎng)標(biāo)準(zhǔn)相繼出臺(tái),但是WLAN的安全性能仍有待進(jìn)一步提升。
1 WLAN目前最常用安全措施
雖然802.11a/g標(biāo)準(zhǔn)已經(jīng)制定,但是目前最廣泛使用的WLAN產(chǎn)品仍然是802.11b產(chǎn)品。802.11b主要定義了以下幾種無線局域網(wǎng)基本安全機(jī)制:
(1)服務(wù)集標(biāo)識(shí)符(SSID);
(2)物理地址(MAC)過濾控制;
(3)有線對(duì)等保密機(jī)制(WEP)。
1.1 服務(wù)集標(biāo)識(shí)符(SSID)
無線局域網(wǎng)中,首先為多個(gè)接入點(diǎn)(Access Point, AP)配置不同的服務(wù)集標(biāo)識(shí)符(Service Set Identifier,SSID),無線終端必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。若某移動(dòng)終端企圖接入WLAN,Access Point首先檢查無線終端出示的SSID,符合則允許接入WLAN。
SSID機(jī)制在WLAN中實(shí)際上為客戶端和AP提供了一個(gè)共享密鑰,SSID由AP對(duì)外廣播,非常容易被非法入侵者竊取,通過AP入侵WLAN。甚至非法入侵者亦可偽裝為AP,達(dá)到欺騙無線終端的目的。
1.2 物理地址(MAC)過濾控制
物理地址過濾控制是采用硬件控制的機(jī)制來實(shí)現(xiàn)對(duì)接入無線終端的識(shí)別。由于無線終端的網(wǎng)卡都具備唯一的MAC地址,因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來識(shí)別無線終端的合法性。地址過濾控制方式要求預(yù)先在AP服務(wù)器中寫入合法的MAC地址列表,只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機(jī)與之通信,實(shí)現(xiàn)物理地址過濾。
但是由于很多無線網(wǎng)卡支持重新配置MAC地址,因此非法入侵者很有可能從開放的無線電波中截獲數(shù)據(jù)幀,分析出合法用戶的MAC地址,然后偽裝成合法用戶,非法接入WLAN,使得網(wǎng)絡(luò)安全遭到破壞。另外,隨著無線終端的增減,MAC地址列表需要隨時(shí)更新,但是AP設(shè)備中的合法MAC地址列表目前都是手工維護(hù),因此這種方式的擴(kuò)展能力很差,只適合于小型無線網(wǎng)絡(luò)使用。
1.3 有線對(duì)等保密機(jī)制(WEP)
在802.11中有一個(gè)對(duì)數(shù)據(jù)基于共享密鑰的加密機(jī)制,稱為“有線對(duì)等保密WEP”(Wired Equivalent Privacy)的技術(shù), WEP是一種基于RC-4算法的40bit或128bit加密技術(shù)。移動(dòng)終端和AP可以配置4組WEP密鑰, 加密傳輸數(shù)據(jù)時(shí)可以輪流使用,允許加密密鑰動(dòng)態(tài)改變。
由于WEP機(jī)制中所使用密鑰只能是4組中的一個(gè),因此其實(shí)質(zhì)上還是靜態(tài)WEP加密。 同時(shí),AP和它所聯(lián)系的所有移動(dòng)終端都使用相同的加密密鑰,使用同一AP的用戶也使用相同的加密密鑰, 因此帶來如下問題: 一旦其中一個(gè)用戶的密鑰泄漏,其他用戶的密鑰也無法保密了。
2 構(gòu)建安全的無線局域網(wǎng)
為了提高無線局域網(wǎng)的安全性,必須引入更加安全的認(rèn)證機(jī)制、加密機(jī)制以及控制機(jī)制。
2.1 虛擬專用網(wǎng)絡(luò)(VPN)
虛擬專用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,只要具有IP的連通性,就可以建立VPN。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,它是一種以更強(qiáng)大更可靠的加密方法來保證傳輸安全的一種新技術(shù)。
對(duì)于無線商用網(wǎng)絡(luò),基于VPN 的解決方案是當(dāng)今WEP機(jī)制和MAC地址過濾機(jī)制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中,VPN在不可信的網(wǎng)絡(luò)(如Internet)上提供一條安全、專用的通道或隧道。各種隧道協(xié)議,包括點(diǎn)到點(diǎn)的隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用,例如遠(yuǎn)程用戶接入認(rèn)證服務(wù)協(xié)議(RADIUS)。同樣的,VPN技術(shù)可以應(yīng)用在無線的安全接入上,在這個(gè)應(yīng)用中,不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)。AP可以被定義成無WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無線網(wǎng)絡(luò)分割成多個(gè)無線服務(wù)子網(wǎng)),但是無線接入網(wǎng)絡(luò)已經(jīng)被VPN 服務(wù)器和VLAN(AP和VPN 服務(wù)器之間的線路)從企業(yè)內(nèi)部網(wǎng)絡(luò)中隔離開來。VPN服務(wù)器提供無線網(wǎng)絡(luò)的認(rèn)證和加密,并充當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。與WEP機(jī)制和MAC地址過濾接入不同,VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。
2.2 RADIUS遠(yuǎn)程認(rèn)證撥入用戶協(xié)議
RADIUS認(rèn)證機(jī)制是在認(rèn)證過程中提供認(rèn)證信息的安全方法,無線終端和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點(diǎn)進(jìn)行雙向認(rèn)證。企業(yè)不需要管理每個(gè)無線接入點(diǎn)內(nèi)部的MAC地址表或用戶,通過在RADIUS系統(tǒng)內(nèi)設(shè)置單一數(shù)據(jù)庫,就可以簡化管理,又能提供一種更有效的可擴(kuò)展集中認(rèn)證機(jī)制,接入點(diǎn)的作用如同一個(gè)RADIUS用戶,它可收集用戶認(rèn)證信息并把這些信息傳送到指定的RADIUS服務(wù)器上。RADIUS服務(wù)器接收用戶的各種連接請(qǐng)求,進(jìn)行用戶鑒別,對(duì)接入點(diǎn)做出響應(yīng),向用戶提供服務(wù)所必須的信息。接入點(diǎn)對(duì)RADIUS服務(wù)器的回復(fù)響應(yīng)起作用,許可或拒絕網(wǎng)絡(luò)接入。擴(kuò)展認(rèn)證協(xié)議(EAP)是RADIUS的擴(kuò)展。可以使無線客戶適配器與RADIUS服務(wù)器通信。
2.3 802.1X端口訪問控制機(jī)制
802.1x標(biāo)準(zhǔn),這是一種基于端口訪問控制技術(shù)的安全機(jī)制,針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn)。盡管802.1x標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的,但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng),被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。這個(gè)MAC地址層安全協(xié)議存在于安全過程中的認(rèn)證階段。應(yīng)用802.1x,當(dāng)一個(gè)設(shè)備請(qǐng)求接入AP時(shí), AP需要一個(gè)信任集。用戶必須提供一定形式的證明讓AP通過一個(gè)標(biāo)準(zhǔn)的RADIUS(遠(yuǎn)程撥號(hào)用戶認(rèn)證服務(wù))服務(wù)器進(jìn)行鑒別和授權(quán)。
當(dāng)無線終端與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶接入網(wǎng)絡(luò)。
對(duì)驗(yàn)證服務(wù)器與AP之間的數(shù)據(jù)通信進(jìn)行加密處理,將802.11與RADIUS服務(wù)器和802.1x標(biāo)準(zhǔn)相結(jié)合,可以為WLAN提供認(rèn)證和加密這兩項(xiàng)安全措施外,還可提供密鑰管理功能,快速重置密鑰,使用802.1x周期性地把這些密鑰傳送給各相關(guān)用戶,而這正是802.11所缺乏的。
2.4 WPA(Wi-Fi Protected Access)協(xié)議和強(qiáng)健安全網(wǎng)絡(luò)(RSN)
在采用WEP安全標(biāo)準(zhǔn)的情況下,擁有WLAN的網(wǎng)絡(luò)不能成為企業(yè)的核心網(wǎng),只能是接入網(wǎng),所以必須解決WLAN的安全問題。因此,即將推出的802.11i標(biāo)準(zhǔn),是圍繞802.1X基于端口的用戶和設(shè)備認(rèn)證展開的。它主要包含兩方面的開發(fā):WPA和RSN。
2.4.1 無線保護(hù)訪問(WPA)規(guī)范
無線保護(hù)訪問(Wi-Fi Protected Access,WPA)的Wi-Fi聯(lián)盟的規(guī)范包括為資料加密以及網(wǎng)絡(luò)訪問控制而新制訂的802.11i標(biāo)準(zhǔn)。
WPA采用密鑰集成協(xié)議(Temporal Key Integrity Protocol ,TKIP)和算法進(jìn)行加密。 TKIP與WEP同樣基于RC4加密算法,但是TKIP引入4個(gè)新算法。
WPA將使用IEEE 802.1x端口訪問控制協(xié)議進(jìn)行訪問控制,這是最近才完成的既控制登錄有線也控制登錄無線局域網(wǎng)的標(biāo)準(zhǔn)。運(yùn)用WPA技術(shù),每一個(gè)用戶都有自己的加密密鑰,并且可以定期更改密鑰。
在企業(yè)里,用戶身份認(rèn)證將通過認(rèn)證服務(wù)器進(jìn)行,與WEP相比,它能擴(kuò)展更多的用戶。家庭網(wǎng)絡(luò)用戶通過“預(yù)共享密鑰”模式就能使用,不需要身份認(rèn)證服務(wù)器。
WPA的主要目的是在老設(shè)備上引入安全孔概念,通過固件和驅(qū)動(dòng)程序升級(jí)。
2.4.2 強(qiáng)健安全網(wǎng)絡(luò)(RSN)
強(qiáng)健安全網(wǎng)絡(luò)在接入點(diǎn)和移動(dòng)設(shè)備之間使用的是動(dòng)態(tài)身份驗(yàn)證方法和加密運(yùn)算法則。在802.11i標(biāo)準(zhǔn)草案中所建議的身份驗(yàn)證方案是以802.1X協(xié)議和“可擴(kuò)展身份驗(yàn)證協(xié)議” (EAP)為依據(jù)的。加密運(yùn)算法則使用的是“高級(jí)加密標(biāo)準(zhǔn)”AES加密算法。
認(rèn)證和加密算法的動(dòng)態(tài)談判能使RSN具有靈活的升級(jí)能力,隨著安全技術(shù)的進(jìn)步,可以加入新的算法,對(duì)付新的威脅。使用動(dòng)態(tài)談判、802.1x、EAP和AES,RSN明顯比WEP和WPA安全性更高。但RSN對(duì)硬件要求較高,只有擁有加速處理算法硬件的新設(shè)備,才能顯示出WLAN產(chǎn)品所期望的性能。
總之,WPA在一定程度上改進(jìn)了老設(shè)備的安全性能,而RSN才是802.11無線安全的未來。
3 結(jié)束語
無線網(wǎng)絡(luò)安全是一個(gè)不斷改善和升級(jí)的過程,當(dāng)前WLAN所使用的主要安全機(jī)制包括SSID、物理地址(MAC)過濾、有線對(duì)等保密機(jī)制(WEP)都已經(jīng)在實(shí)際使用中顯露出弊端。將802.1x端口控制技術(shù)、EAP認(rèn)證機(jī)制和AES加密算法相結(jié)合,可以使WLAN安全性能得到較大提高。隨著無線技術(shù)迅猛發(fā)展,無線通信安全尚待進(jìn)一步發(fā)展和完善,將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來,才能構(gòu)筑安全的無線局域網(wǎng)。
參考文獻(xiàn):
[1] D.Newman,K.Tolly.Wireless LANs:How Far?How Fast.Data Comm.2001.
[2] Wirless LAN Product List.Data Comm. Asia-Pacific.2000
[3] IEEE802.11標(biāo)準(zhǔn),Wireless LAN Media Access Control (MAC) and Physical Layer(PHY) Specifications[S].2002.
[4] 郭峰,曾興雯等.無線局域網(wǎng).電子工業(yè)出版社. 1997