自無線局域網(WLAN)技術一經推出,給人們的工作和生活帶來極大的改變,然而,眾所周知,無線局域網(WLAN)的安全問題,長期以來一直困擾著WLAN技術的普及應用。
欲更多了解WLAN介紹的請進入。
為此,為了解決WLAN的安全問題,人們在一直的不斷努力以尋求獲得更加安全的機制,多年來,人們開發了不少的方法,但這些方法難盡人意,從已經過時的基于SSID的接入控制和基于MAC過濾的接入控制;到802.11使用的基于OSA認證和基于共享密匙認證,再到后來802.11i使用的基于RADIUS的認證。直到2003年我國的技術人員研究開發出WAPI(WLAN Authentication and Privacy Infrastructure)技術后使之獲得了極大的突破,使WLAN的安全機制得到了空前的提高。下面對WLAN的安全機制的各種技術作以簡單介紹。
1、基于業務集標識符(SSID)的接入控制:
使用為無線接入點(AP,Access Point)設置業務集標識(SSID,Service Set Identifier),強迫無線終端接入固定SSID的AP來實現接入控制。無線終端必需出示正確的SSID才能訪問無線接入點AP,利用SSID,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題,因此可以認為SSID是一個簡單的口令,從而為無線局域網提供一定的安全性。然而AP會不加密地廣播包含SSID的信標幀(beacon),非法用戶很容易獲得AP的SSID,從而能方便地通過AP接入網絡。另外,一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶;而且許多WLAN的終端上只要將SSID設為“ANY”,就可接入任何一個有效的無線接入點。SSID是唯一的標識網絡的字符串,但它對于網絡上的所有用戶都是相同的字符串,SSID根本沒有帶來安全性方面的好處。
2、基于MAC地址過濾的接入控制:
即AP只允許有合法MAC地址的無線終端接入。每個無線客戶端網卡都由惟一的物理地址標識,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作,這種方法的效率會隨著終端數目的增加而降低;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。而且非法用戶通過網絡偵聽(sniffer)就可獲得合法的MAC地址表,而實際中的許多PCMCIA網卡和操作系統(如Windwos NT、Linux等)都可方便地更改網卡的MAC地址,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。
3、開放系統認證(OSA):
無線網絡在缺省情況下都運行開放系統認證(Open System Authentication),即連接到無線網絡的任何人都被授予訪問權。這主要是用在大學和機場,在那里,最終用戶是臨時的,而且管理加密密鑰是不可行的,只要用在公共場合,就不會使用數據加密的形式。實質上為一種空認證算法,幾乎無任何安全可言。
4、共享密鑰認證(SKA):
共享密鑰認證(SKA,Shared Key Authentication)方法要求在無線終端和接入點上都使用有線對等保密(WEP,Wired Equivalent Privacy)算法。如果用戶有正確的共享密鑰,那么就授予對WLAN的訪問權。WEP雖然通過加密提供網絡的安全性,但WEP技術本身存在許多缺陷:如缺少密鑰管理、ICV算法不合適、RC4算法存在弱點等,具體解釋詳見下表4中。
表4:WEP技術本身存在的缺陷
因此利用認證與加密的安全漏洞,在短至幾分鐘的時間內,WEP密鑰即可被破解。最初制定的標準使用40位密鑰,而新的版本使用 128 位(實際上是 104 位)密鑰。而這些安全漏洞和WEP對加密算法的使用機制有關,即使增加密鑰長度也不可能增加安全性。
5、基于端口的網絡訪問控制:
基于端口的網絡訪問控制的方法是由802.11i協議所規定的,它實際上是利用IEEE 802.1x協議,802.1x協議提供無線客戶端與RADIUS服務器之間的認證,而不是客戶端與無線接入點AP之間的認證;采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中存在很大安全隱患,如泄漏、丟失;無線接入點AP與RADIUS服務器之間基于共享密鑰完成認證過程協商出的會話密鑰的傳遞,該共享密鑰為靜態,人為手工管理,存在一定的安全隱患。這是因為802.1x并非專為WLAN設計,沒有充分考慮WLAN的特點。首先,它只提供了端口的單向認證機制,只有認證者(authenticator,相當于AP)對申請者(supplicant, 相當于終端)的認證,這在有線環境下不成問題,但在WLAN中會招致中間人(man-in-middle)攻擊;另外,802.11的認證、登錄狀態和802.1x間的認證狀態不同步,會話可被很簡單地截獲。
在上述幾種方法中都不同程度存在安全隱患。其中1、2種方法由于安全性太低已淘汰使用;第3種方法也僅用于公開場合,也無安全可言;第4、5種方法分別為IEEE 802.11協議和802.11i協議所使用。
6、基于對等訪問控制的安全接入基礎結構(WAPI)
該方法是由我國技術人員研究制定的,發布于GB 15629.11-2003標準中。實現了終端和網絡接入節點(AP)之間的雙向鑒別和保密、適用于當前和下一代主流網絡物理拓撲形態的、支持IP接入網安全接入體系架構,普遍適用于有線和無線IP接入網絡。該安全接入基礎結構提出三元獨立實體T-A-S(終端-接入點-服務器)安全模型,三實體以獨立身份執行安全接入過程,終端和接入點以對等方式完成雙向鑒別,并可直接進行密鑰交換。與傳統安全接入技術如IEEE 802.1x相比,該安全接入基礎結構解除了接入點和鑒別服務器實體間的依賴關系,參與安全接入的各實體具備了身份可區分性,簡化了網絡實現,提高了密鑰協商效率;更重要的是實現了終端和接入點之間的雙向鑒別,為網絡接入的安全性和應用的多樣化奠定了基礎。
無線局域網認證和保密結構(WAPI,WLAN Authentication and Privacy Infrastructure)安全機制由無線局域網認證基礎結構(WAI,WLAN Authentication Infrastructure)和無線局域網保密基礎結構(WPI,WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現對用戶身份的鑒別和對傳輸的數據加密。WAPI能為用戶的WLAN系統提供全面的安全保護。
WAI采用公開密鑰密碼體制,涉及的密碼算法按照1999年10月7日頒布的中華人民共和國國務院令第273號《商用密碼管理條例》執行。WAI利用證書來對WLAN系統中的STA和AP進行認證。WAI定義了一種名為認證服務單元(ASU,Authentication Service Unit)的實體,用于管理參與信息交換各方所需要的證書(包括證書的產生、頒發、吊銷和更新)。證書里面包含有證書頒發者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數字簽名算法),是網絡設備的數字身份憑證。其雙向鑒別過程簡單描述詳見下表6。
表6:WAI定義的STA和AP雙向鑒別過程簡述
從上面的描述我們可以看出,WAI中對STA和AP進行了雙向認證,因此對于采用“假”AP的攻擊方式具有很強的抵御能力。在STA和AP的證書都鑒別成功之后,雙方將會進行密鑰協商。首先雙方進行密鑰算法協商。隨后,STA和AP各自會產生一個隨機數,用自己的私鑰加密之后傳輸給對方。最后通信的兩端會采用對方的公鑰將對方所產生的隨機數還原,再將這兩個隨機數模2運算的結果作為會話密鑰,并依據之前協商的算法采用這個密鑰對通信的數據加密。由于會話密鑰并沒有在信道上進行傳輸,因此就增強了其安全性。為了進一步提高通信的保密性,WAPI還規定,在通信一段時間或者交換一定數量的數據之后,STA和AP之間可以重新協商會話密鑰。
WPI采用對稱密碼算法實現對MAC層MSDU進行的加、解密操作。
在我國國家標準GB 15629-2003中對WAPI進行了詳細的規范,尤其是WAI的鑒別過程,它定義基于端口的接入控制的受控端口和非受控端口。
欲詳細了解國家標準GB 15629-2003具體內容的請進入。
欲進一步了解我國WLAN標準情況的請進入。
