自無線局域網(wǎng)(WLAN)技術(shù)一經(jīng)推出,給人們的工作和生活帶來極大的改變,然而,眾所周知,無線局域網(wǎng)(WLAN)的安全問題,長期以來一直困擾著WLAN技術(shù)的普及應用。
欲更多了解WLAN介紹的請進入。
為此,為了解決WLAN的安全問題,人們在一直的不斷努力以尋求獲得更加安全的機制,多年來,人們開發(fā)了不少的方法,但這些方法難盡人意,從已經(jīng)過時的基于SSID的接入控制和基于MAC過濾的接入控制;到802.11使用的基于OSA認證和基于共享密匙認證,再到后來802.11i使用的基于RADIUS的認證。直到2003年我國的技術(shù)人員研究開發(fā)出WAPI(WLAN Authentication and Privacy Infrastructure)技術(shù)后使之獲得了極大的突破,使WLAN的安全機制得到了空前的提高。下面對WLAN的安全機制的各種技術(shù)作以簡單介紹。
1、基于業(yè)務(wù)集標識符(SSID)的接入控制:
使用為無線接入點(AP,Access Point)設(shè)置業(yè)務(wù)集標識(SSID,Service Set Identifier),強迫無線終端接入固定SSID的AP來實現(xiàn)接入控制。無線終端必需出示正確的SSID才能訪問無線接入點AP,利用SSID,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題,因此可以認為SSID是一個簡單的口令,從而為無線局域網(wǎng)提供一定的安全性。然而AP會不加密地廣播包含SSID的信標幀(beacon),非法用戶很容易獲得AP的SSID,從而能方便地通過AP接入網(wǎng)絡(luò)。另外,一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶;而且許多WLAN的終端上只要將SSID設(shè)為“ANY”,就可接入任何一個有效的無線接入點。SSID是唯一的標識網(wǎng)絡(luò)的字符串,但它對于網(wǎng)絡(luò)上的所有用戶都是相同的字符串,SSID根本沒有帶來安全性方面的好處。
2、基于MAC地址過濾的接入控制:
即AP只允許有合法MAC地址的無線終端接入。每個無線客戶端網(wǎng)卡都由惟一的物理地址標識,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作,這種方法的效率會隨著終端數(shù)目的增加而降低;如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。而且非法用戶通過網(wǎng)絡(luò)偵聽(sniffer)就可獲得合法的MAC地址表,而實際中的許多PCMCIA網(wǎng)卡和操作系統(tǒng)(如Windwos NT、Linux等)都可方便地更改網(wǎng)卡的MAC地址,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。
3、開放系統(tǒng)認證(OSA):
無線網(wǎng)絡(luò)在缺省情況下都運行開放系統(tǒng)認證(Open System Authentication),即連接到無線網(wǎng)絡(luò)的任何人都被授予訪問權(quán)。這主要是用在大學和機場,在那里,最終用戶是臨時的,而且管理加密密鑰是不可行的,只要用在公共場合,就不會使用數(shù)據(jù)加密的形式。實質(zhì)上為一種空認證算法,幾乎無任何安全可言。
4、共享密鑰認證(SKA):
共享密鑰認證(SKA,Shared Key Authentication)方法要求在無線終端和接入點上都使用有線對等保密(WEP,Wired Equivalent Privacy)算法。如果用戶有正確的共享密鑰,那么就授予對WLAN的訪問權(quán)。WEP雖然通過加密提供網(wǎng)絡(luò)的安全性,但WEP技術(shù)本身存在許多缺陷:如缺少密鑰管理、ICV算法不合適、RC4算法存在弱點等,具體解釋詳見下表4中。
表4:WEP技術(shù)本身存在的缺陷
因此利用認證與加密的安全漏洞,在短至幾分鐘的時間內(nèi),WEP密鑰即可被破解。最初制定的標準使用40位密鑰,而新的版本使用 128 位(實際上是 104 位)密鑰。而這些安全漏洞和WEP對加密算法的使用機制有關(guān),即使增加密鑰長度也不可能增加安全性。
5、基于端口的網(wǎng)絡(luò)訪問控制:
基于端口的網(wǎng)絡(luò)訪問控制的方法是由802.11i協(xié)議所規(guī)定的,它實際上是利用IEEE 802.1x協(xié)議,802.1x協(xié)議提供無線客戶端與RADIUS服務(wù)器之間的認證,而不是客戶端與無線接入點AP之間的認證;采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中存在很大安全隱患,如泄漏、丟失;無線接入點AP與RADIUS服務(wù)器之間基于共享密鑰完成認證過程協(xié)商出的會話密鑰的傳遞,該共享密鑰為靜態(tài),人為手工管理,存在一定的安全隱患。這是因為802.1x并非專為WLAN設(shè)計,沒有充分考慮WLAN的特點。首先,它只提供了端口的單向認證機制,只有認證者(authenticator,相當于AP)對申請者(supplicant, 相當于終端)的認證,這在有線環(huán)境下不成問題,但在WLAN中會招致中間人(man-in-middle)攻擊;另外,802.11的認證、登錄狀態(tài)和802.1x間的認證狀態(tài)不同步,會話可被很簡單地截獲。
在上述幾種方法中都不同程度存在安全隱患。其中1、2種方法由于安全性太低已淘汰使用;第3種方法也僅用于公開場合,也無安全可言;第4、5種方法分別為IEEE 802.11協(xié)議和802.11i協(xié)議所使用。
6、基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)(WAPI)
該方法是由我國技術(shù)人員研究制定的,發(fā)布于GB 15629.11-2003標準中。實現(xiàn)了終端和網(wǎng)絡(luò)接入節(jié)點(AP)之間的雙向鑒別和保密、適用于當前和下一代主流網(wǎng)絡(luò)物理拓撲形態(tài)的、支持IP接入網(wǎng)安全接入體系架構(gòu),普遍適用于有線和無線IP接入網(wǎng)絡(luò)。該安全接入基礎(chǔ)結(jié)構(gòu)提出三元獨立實體T-A-S(終端-接入點-服務(wù)器)安全模型,三實體以獨立身份執(zhí)行安全接入過程,終端和接入點以對等方式完成雙向鑒別,并可直接進行密鑰交換。與傳統(tǒng)安全接入技術(shù)如IEEE 802.1x相比,該安全接入基礎(chǔ)結(jié)構(gòu)解除了接入點和鑒別服務(wù)器實體間的依賴關(guān)系,參與安全接入的各實體具備了身份可區(qū)分性,簡化了網(wǎng)絡(luò)實現(xiàn),提高了密鑰協(xié)商效率;更重要的是實現(xiàn)了終端和接入點之間的雙向鑒別,為網(wǎng)絡(luò)接入的安全性和應用的多樣化奠定了基礎(chǔ)。
無線局域網(wǎng)認證和保密結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)安全機制由無線局域網(wǎng)認證基礎(chǔ)結(jié)構(gòu)(WAI,WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI,WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的安全保護。
WAI采用公開密鑰密碼體制,涉及的密碼算法按照1999年10月7日頒布的中華人民共和國國務(wù)院令第273號《商用密碼管理條例》執(zhí)行。WAI利用證書來對WLAN系統(tǒng)中的STA和AP進行認證。WAI定義了一種名為認證服務(wù)單元(ASU,Authentication Service Unit)的實體,用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書里面包含有證書頒發(fā)者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法),是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。其雙向鑒別過程簡單描述詳見下表6。
表6:WAI定義的STA和AP雙向鑒別過程簡述
從上面的描述我們可以看出,WAI中對STA和AP進行了雙向認證,因此對于采用“假”AP的攻擊方式具有很強的抵御能力。在STA和AP的證書都鑒別成功之后,雙方將會進行密鑰協(xié)商。首先雙方進行密鑰算法協(xié)商。隨后,STA和AP各自會產(chǎn)生一個隨機數(shù),用自己的私鑰加密之后傳輸給對方。最后通信的兩端會采用對方的公鑰將對方所產(chǎn)生的隨機數(shù)還原,再將這兩個隨機數(shù)模2運算的結(jié)果作為會話密鑰,并依據(jù)之前協(xié)商的算法采用這個密鑰對通信的數(shù)據(jù)加密。由于會話密鑰并沒有在信道上進行傳輸,因此就增強了其安全性。為了進一步提高通信的保密性,WAPI還規(guī)定,在通信一段時間或者交換一定數(shù)量的數(shù)據(jù)之后,STA和AP之間可以重新協(xié)商會話密鑰。
WPI采用對稱密碼算法實現(xiàn)對MAC層MSDU進行的加、解密操作。
在我國國家標準GB 15629-2003中對WAPI進行了詳細的規(guī)范,尤其是WAI的鑒別過程,它定義基于端口的接入控制的受控端口和非受控端口。
欲詳細了解國家標準GB 15629-2003具體內(nèi)容的請進入。
欲進一步了解我國WLAN標準情況的請進入。
