胡萍 王長林
(西南交通大學計算機與通信工程學院,四川 成都 610031)
摘 要:無線局域網(Wireless LAN,以下簡稱WLAN)是近年來發展迅速的無線數據通訊網。安全性能,成為無線局域網的關鍵性能之一。本文分析了目前無線局域網主要使用的基本安全機制的主要技術特點和缺點,介紹了最新發展的幾種無線局域網安全機制。最后提出無線局域網安全機制的發展方向。
關鍵詞:WLAN 安全機制 加密 認證
由于無線通信開放的傳輸介質,使得WLAN的安全性能一直是人們關注的焦點,盡管802.11b/a/g等一系列無線局域網標準相繼出臺,但是WLAN的安全性能仍有待進一步提升。
1 WLAN目前最常用安全措施
雖然802.11a/g標準已經制定,但是目前最廣泛使用的WLAN產品仍然是802.11b產品。802.11b主要定義了以下幾種無線局域網基本安全機制:
(1)服務集標識符(SSID);
(2)物理地址(MAC)過濾控制;
(3)有線對等保密機制(WEP)。
1.1 服務集標識符(SSID)
無線局域網中,首先為多個接入點(Access Point, AP)配置不同的服務集標識符(Service Set Identifier,SSID),無線終端必須知道SSID以便在網絡中發送和接收數據。若某移動終端企圖接入WLAN,Access Point首先檢查無線終端出示的SSID,符合則允許接入WLAN。
SSID機制在WLAN中實際上為客戶端和AP提供了一個共享密鑰,SSID由AP對外廣播,非常容易被非法入侵者竊取,通過AP入侵WLAN。甚至非法入侵者亦可偽裝為AP,達到欺騙無線終端的目的。
1.2 物理地址(MAC)過濾控制
物理地址過濾控制是采用硬件控制的機制來實現對接入無線終端的識別。由于無線終端的網卡都具備唯一的MAC地址,因此可以通過檢查無線終端數據包的源MAC地址來識別無線終端的合法性。地址過濾控制方式要求預先在AP服務器中寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現物理地址過濾。
但是由于很多無線網卡支持重新配置MAC地址,因此非法入侵者很有可能從開放的無線電波中截獲數據幀,分析出合法用戶的MAC地址,然后偽裝成合法用戶,非法接入WLAN,使得網絡安全遭到破壞。另外,隨著無線終端的增減,MAC地址列表需要隨時更新,但是AP設備中的合法MAC地址列表目前都是手工維護,因此這種方式的擴展能力很差,只適合于小型無線網絡使用。
1.3 有線對等保密機制(WEP)
在802.11中有一個對數據基于共享密鑰的加密機制,稱為“有線對等保密WEP”(Wired Equivalent Privacy)的技術, WEP是一種基于RC-4算法的40bit或128bit加密技術。移動終端和AP可以配置4組WEP密鑰, 加密傳輸數據時可以輪流使用,允許加密密鑰動態改變。
由于WEP機制中所使用密鑰只能是4組中的一個,因此其實質上還是靜態WEP加密。 同時,AP和它所聯系的所有移動終端都使用相同的加密密鑰,使用同一AP的用戶也使用相同的加密密鑰, 因此帶來如下問題: 一旦其中一個用戶的密鑰泄漏,其他用戶的密鑰也無法保密了。
2 構建安全的無線局域網
為了提高無線局域網的安全性,必須引入更加安全的認證機制、加密機制以及控制機制。
2.1 虛擬專用網絡(VPN)
虛擬專用網是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,只要具有IP的連通性,就可以建立VPN。VPN技術不屬于802.11標準定義,它是一種以更強大更可靠的加密方法來保證傳輸安全的一種新技術。
對于無線商用網絡,基于VPN 的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經廣泛應用于Internet遠程用戶的安全接入。在遠程用戶接入的應用中,VPN在不可信的網絡(如Internet)上提供一條安全、專用的通道或隧道。各種隧道協議,包括點到點的隧道協議(PPTP)和第二層隧道協議(L2TP)都可以與標準的、集中的認證協議一起使用,例如遠程用戶接入認證服務協議(RADIUS)。同樣的,VPN技術可以應用在無線的安全接入上,在這個應用中,不可信的網絡是無線網絡。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成采用SSID機制把無線網絡分割成多個無線服務子網),但是無線接入網絡已經被VPN 服務器和VLAN(AP和VPN 服務器之間的線路)從企業內部網絡中隔離開來。VPN服務器提供無線網絡的認證和加密,并充當企業內部網絡的網關。與WEP機制和MAC地址過濾接入不同,VPN方案具有較強的擴充、升級性能,可應用于大規模的無線網絡。
2.2 RADIUS遠程認證撥入用戶協議
RADIUS認證機制是在認證過程中提供認證信息的安全方法,無線終端和RADIUS服務器在有線局域網上通過接入點進行雙向認證。企業不需要管理每個無線接入點內部的MAC地址表或用戶,通過在RADIUS系統內設置單一數據庫,就可以簡化管理,又能提供一種更有效的可擴展集中認證機制,接入點的作用如同一個RADIUS用戶,它可收集用戶認證信息并把這些信息傳送到指定的RADIUS服務器上。RADIUS服務器接收用戶的各種連接請求,進行用戶鑒別,對接入點做出響應,向用戶提供服務所必須的信息。接入點對RADIUS服務器的回復響應起作用,許可或拒絕網絡接入。擴展認證協議(EAP)是RADIUS的擴展。可以使無線客戶適配器與RADIUS服務器通信。
2.3 802.1X端口訪問控制機制
802.1x標準,這是一種基于端口訪問控制技術的安全機制,針對以太網而提出的基于端口進行網絡訪問控制的安全性標準。盡管802.1x標準最初是為有線以太網設計制定的,但它也適用于符合802.11標準的無線局域網,被視為是WLAN的一種增強性網絡安全解決方案。這個MAC地址層安全協議存在于安全過程中的認證階段。應用802.1x,當一個設備請求接入AP時, AP需要一個信任集。用戶必須提供一定形式的證明讓AP通過一個標準的RADIUS(遠程撥號用戶認證服務)服務器進行鑒別和授權。
當無線終端與AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶接入網絡。
對驗證服務器與AP之間的數據通信進行加密處理,將802.11與RADIUS服務器和802.1x標準相結合,可以為WLAN提供認證和加密這兩項安全措施外,還可提供密鑰管理功能,快速重置密鑰,使用802.1x周期性地把這些密鑰傳送給各相關用戶,而這正是802.11所缺乏的。
2.4 WPA(Wi-Fi Protected Access)協議和強健安全網絡(RSN)
在采用WEP安全標準的情況下,擁有WLAN的網絡不能成為企業的核心網,只能是接入網,所以必須解決WLAN的安全問題。因此,即將推出的802.11i標準,是圍繞802.1X基于端口的用戶和設備認證展開的。它主要包含兩方面的開發:WPA和RSN。
2.4.1 無線保護訪問(WPA)規范
無線保護訪問(Wi-Fi Protected Access,WPA)的Wi-Fi聯盟的規范包括為資料加密以及網絡訪問控制而新制訂的802.11i標準。
WPA采用密鑰集成協議(Temporal Key Integrity Protocol ,TKIP)和算法進行加密。 TKIP與WEP同樣基于RC4加密算法,但是TKIP引入4個新算法。
WPA將使用IEEE 802.1x端口訪問控制協議進行訪問控制,這是最近才完成的既控制登錄有線也控制登錄無線局域網的標準。運用WPA技術,每一個用戶都有自己的加密密鑰,并且可以定期更改密鑰。
在企業里,用戶身份認證將通過認證服務器進行,與WEP相比,它能擴展更多的用戶。家庭網絡用戶通過“預共享密鑰”模式就能使用,不需要身份認證服務器。
WPA的主要目的是在老設備上引入安全孔概念,通過固件和驅動程序升級。
2.4.2 強健安全網絡(RSN)
強健安全網絡在接入點和移動設備之間使用的是動態身份驗證方法和加密運算法則。在802.11i標準草案中所建議的身份驗證方案是以802.1X協議和“可擴展身份驗證協議” (EAP)為依據的。加密運算法則使用的是“高級加密標準”AES加密算法。
認證和加密算法的動態談判能使RSN具有靈活的升級能力,隨著安全技術的進步,可以加入新的算法,對付新的威脅。使用動態談判、802.1x、EAP和AES,RSN明顯比WEP和WPA安全性更高。但RSN對硬件要求較高,只有擁有加速處理算法硬件的新設備,才能顯示出WLAN產品所期望的性能。
總之,WPA在一定程度上改進了老設備的安全性能,而RSN才是802.11無線安全的未來。
3 結束語
無線網絡安全是一個不斷改善和升級的過程,當前WLAN所使用的主要安全機制包括SSID、物理地址(MAC)過濾、有線對等保密機制(WEP)都已經在實際使用中顯露出弊端。將802.1x端口控制技術、EAP認證機制和AES加密算法相結合,可以使WLAN安全性能得到較大提高。隨著無線技術迅猛發展,無線通信安全尚待進一步發展和完善,將用戶的認證和傳輸數據的加密等多種措施結合起來,才能構筑安全的無線局域網。
參考文獻:
[1] D.Newman,K.Tolly.Wireless LANs:How Far?How Fast.Data Comm.2001.
[2] Wirless LAN Product List.Data Comm. Asia-Pacific.2000
[3] IEEE802.11標準,Wireless LAN Media Access Control (MAC) and Physical Layer(PHY) Specifications[S].2002.
[4] 郭峰,曾興雯等.無線局域網.電子工業出版社. 1997
