胡萍 王长林
(西南交通大学计算机与通信工程学院,四川 成都 610031)
摘 要:无线局域网(Wireless LAN,以下简称WLAN)是近年来发展迅速的无线数据通讯网。安全性能,成为无线局域网的关键性能之一。本文分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点,介绍了最新发展的几种无线局域网安全机制。最后提出无线局域网安全机制的发展方向。
关键词:WLAN 安全机制 加密 认证
由于无线通信开放的传输介质,使得WLAN的安全性能一直是人们关注的焦点,尽管802.11b/a/g等一系列无线局域网标准相继出台,但是WLAN的安全性能仍有待进一步提升。
1 WLAN目前最常用安全措施
虽然802.11a/g标准已经制定,但是目前最广泛使用的WLAN产品仍然是802.11b产品。802.11b主要定义了以下几种无线局域网基本安全机制:
(1)服务集标识符(SSID);
(2)物理地址(MAC)过滤控制;
(3)有线对等保密机制(WEP)。
1.1 服务集标识符(SSID)
无线局域网中,首先为多个接入点(Access Point, AP)配置不同的服务集标识符(Service Set Identifier,SSID),无线终端必须知道SSID以便在网络中发送和接收数据。若某移动终端企图接入WLAN,Access Point首先检查无线终端出示的SSID,符合则允许接入WLAN。
SSID机制在WLAN中实际上为客户端和AP提供了一个共享密钥,SSID由AP对外广播,非常容易被非法入侵者窃取,通过AP入侵WLAN。甚至非法入侵者亦可伪装为AP,达到欺骗无线终端的目的。
1.2 物理地址(MAC)过滤控制
物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于无线终端的网卡都具备唯一的MAC地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。
但是由于很多无线网卡支持重新配置MAC地址,因此非法入侵者很有可能从开放的无线电波中截获数据帧,分析出合法用户的MAC地址,然后伪装成合法用户,非法接入WLAN,使得网络安全遭到破坏。另外,随着无线终端的增减,MAC地址列表需要随时更新,但是AP设备中的合法MAC地址列表目前都是手工维护,因此这种方式的扩展能力很差,只适合于小型无线网络使用。
1.3 有线对等保密机制(WEP)
在802.11中有一个对数据基于共享密钥的加密机制,称为“有线对等保密WEP”(Wired Equivalent Privacy)的技术, WEP是一种基于RC-4算法的40bit或128bit加密技术。移动终端和AP可以配置4组WEP密钥, 加密传输数据时可以轮流使用,允许加密密钥动态改变。
由于WEP机制中所使用密钥只能是4组中的一个,因此其实质上还是静态WEP加密。 同时,AP和它所联系的所有移动终端都使用相同的加密密钥,使用同一AP的用户也使用相同的加密密钥, 因此带来如下问题: 一旦其中一个用户的密钥泄漏,其他用户的密钥也无法保密了。
2 构建安全的无线局域网
为了提高无线局域网的安全性,必须引入更加安全的认证机制、加密机制以及控制机制。
2.1 虚拟专用网络(VPN)
虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,只要具有IP的连通性,就可以建立VPN。VPN技术不属于802.11标准定义,它是一种以更强大更可靠的加密方法来保证传输安全的一种新技术。
对于无线商用网络,基于VPN 的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(如Internet)上提供一条安全、专用的通道或隧道。各种隧道协议,包括点到点的隧道协议(PPTP)和第二层隧道协议(L2TP)都可以与标准的、集中的认证协议一起使用,例如远程用户接入认证服务协议(RADIUS)。同样的,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络已经被VPN 服务器和VLAN(AP和VPN 服务器之间的线路)从企业内部网络中隔离开来。VPN服务器提供无线网络的认证和加密,并充当企业内部网络的网关。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
2.2 RADIUS远程认证拨入用户协议
RADIUS认证机制是在认证过程中提供认证信息的安全方法,无线终端和RADIUS服务器在有线局域网上通过接入点进行双向认证。企业不需要管理每个无线接入点内部的MAC地址表或用户,通过在RADIUS系统内设置单一数据库,就可以简化管理,又能提供一种更有效的可扩展集中认证机制,接入点的作用如同一个RADIUS用户,它可收集用户认证信息并把这些信息传送到指定的RADIUS服务器上。RADIUS服务器接收用户的各种连接请求,进行用户鉴别,对接入点做出响应,向用户提供服务所必须的信息。接入点对RADIUS服务器的回复响应起作用,许可或拒绝网络接入。扩展认证协议(EAP)是RADIUS的扩展。可以使无线客户适配器与RADIUS服务器通信。
2.3 802.1X端口访问控制机制
802.1x标准,这是一种基于端口访问控制技术的安全机制,针对以太网而提出的基于端口进行网络访问控制的安全性标准。尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,被视为是WLAN的一种增强性网络安全解决方案。这个MAC地址层安全协议存在于安全过程中的认证阶段。应用802.1x,当一个设备请求接入AP时, AP需要一个信任集。用户必须提供一定形式的证明让AP通过一个标准的RADIUS(远程拨号用户认证服务)服务器进行鉴别和授权。
当无线终端与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户接入网络。
对验证服务器与AP之间的数据通信进行加密处理,将802.11与RADIUS服务器和802.1x标准相结合,可以为WLAN提供认证和加密这两项安全措施外,还可提供密钥管理功能,快速重置密钥,使用802.1x周期性地把这些密钥传送给各相关用户,而这正是802.11所缺乏的。
2.4 WPA(Wi-Fi Protected Access)协议和强健安全网络(RSN)
在采用WEP安全标准的情况下,拥有WLAN的网络不能成为企业的核心网,只能是接入网,所以必须解决WLAN的安全问题。因此,即将推出的802.11i标准,是围绕802.1X基于端口的用户和设备认证展开的。它主要包含两方面的开发:WPA和RSN。
2.4.1 无线保护访问(WPA)规范
无线保护访问(Wi-Fi Protected Access,WPA)的Wi-Fi联盟的规范包括为资料加密以及网络访问控制而新制订的802.11i标准。
WPA采用密钥集成协议(Temporal Key Integrity Protocol ,TKIP)和算法进行加密。 TKIP与WEP同样基于RC4加密算法,但是TKIP引入4个新算法。
WPA将使用IEEE 802.1x端口访问控制协议进行访问控制,这是最近才完成的既控制登录有线也控制登录无线局域网的标准。运用WPA技术,每一个用户都有自己的加密密钥,并且可以定期更改密钥。
在企业里,用户身份认证将通过认证服务器进行,与WEP相比,它能扩展更多的用户。家庭网络用户通过“预共享密钥”模式就能使用,不需要身份认证服务器。
WPA的主要目的是在老设备上引入安全孔概念,通过固件和驱动程序升级。
2.4.2 强健安全网络(RSN)
强健安全网络在接入点和移动设备之间使用的是动态身份验证方法和加密运算法则。在802.11i标准草案中所建议的身份验证方案是以802.1X协议和“可扩展身份验证协议” (EAP)为依据的。加密运算法则使用的是“高级加密标准”AES加密算法。
认证和加密算法的动态谈判能使RSN具有灵活的升级能力,随着安全技术的进步,可以加入新的算法,对付新的威胁。使用动态谈判、802.1x、EAP和AES,RSN明显比WEP和WPA安全性更高。但RSN对硬件要求较高,只有拥有加速处理算法硬件的新设备,才能显示出WLAN产品所期望的性能。
总之,WPA在一定程度上改进了老设备的安全性能,而RSN才是802.11无线安全的未来。
3 结束语
无线网络安全是一个不断改善和升级的过程,当前WLAN所使用的主要安全机制包括SSID、物理地址(MAC)过滤、有线对等保密机制(WEP)都已经在实际使用中显露出弊端。将802.1x端口控制技术、EAP认证机制和AES加密算法相结合,可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展,无线通信安全尚待进一步发展和完善,将用户的认证和传输数据的加密等多种措施结合起来,才能构筑安全的无线局域网。
参考文献:
[1] D.Newman,K.Tolly.Wireless LANs:How Far?How Fast.Data Comm.2001.
[2] Wirless LAN Product List.Data Comm. Asia-Pacific.2000
[3] IEEE802.11标准,Wireless LAN Media Access Control (MAC) and Physical Layer(PHY) Specifications[S].2002.
[4] 郭峰,曾兴雯等.无线局域网.电子工业出版社. 1997
