無線局域網(wǎng)技術(shù)安全發(fā)展范文
本站小編為你精心準(zhǔn)備了無線局域網(wǎng)技術(shù)安全發(fā)展參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:無線局域網(wǎng)的覆蓋范圍為幾百米,在這樣一個(gè)范圍內(nèi),無線設(shè)備可以自由移動,其適合于低移動性的應(yīng)用環(huán)境。而且無線局域網(wǎng)的載頻為公用頻段,無需另外付費(fèi),因而使用無線局域網(wǎng)的成本很低。無線局域網(wǎng)帶寬更會發(fā)展到上百兆的帶寬,能夠滿足絕大多數(shù)用戶的帶寬要求。基于以上原因,無線局域網(wǎng)在市場贏得熱烈的反響,并迅速發(fā)展成為一種重要的無線接入互聯(lián)網(wǎng)的技術(shù)。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安個(gè)問題。本文在闡述無線局域網(wǎng)安全發(fā)展概況的基礎(chǔ)上,分析了無線局域網(wǎng)的安全必要性,并從不同方面總結(jié)了無線局域網(wǎng)遇到的安全風(fēng)險(xiǎn),同時(shí)重點(diǎn)分析了IEEE802.11b標(biāo)準(zhǔn)的安全性、影響因素及其解決方案,最后對無線局域網(wǎng)的安全技術(shù)發(fā)展趨勢進(jìn)行了展望。
關(guān)鍵詞:無線局域網(wǎng);標(biāo)準(zhǔn);安全;趨勢
前言無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備,省去了布線的麻煩,組網(wǎng)靈活。無線局域網(wǎng)(WLAN)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機(jī)的入網(wǎng)要求,也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。因此,WLAN已在軍隊(duì)、石化、醫(yī)護(hù)管理、工廠車間、庫存控制、展覽和會議、金融服務(wù)、旅游服務(wù)、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用,受到了廣泛的青睞,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動性,它能大幅提高用戶訪問信息的及時(shí)性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題。
1.無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后,迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是,從它的誕生開始,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計(jì)失誤,接下來信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個(gè)廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強(qiáng)的無線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生[1]。
我國從2001年開始著手制定無線局域網(wǎng)安全標(biāo)準(zhǔn),經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時(shí)兩年多制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標(biāo)準(zhǔn),于2003年12月執(zhí)行。WAPI使用公鑰技術(shù),在可信第三方存在的條件下,由其驗(yàn)證移動終端和接入點(diǎn)是否持有合法的證書,以期完成雙向認(rèn)證、接入控制、會話密鑰生成等目標(biāo),達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成,類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國的密碼算法一般是不公開的,WAPI標(biāo)準(zhǔn)雖然是公開的,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]。
增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開一次會議,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個(gè)月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過程中,我們能夠更加清楚地認(rèn)識到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面,有利于無線局域網(wǎng)安全的研究[3][4]。
2.無線局域網(wǎng)的安全必要性
WLAN在為用戶帶來巨大便利的同時(shí),也存在著許多安全上的問題。由于WLAN通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全,所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能接觸到這些數(shù)據(jù),要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,它安裝時(shí)間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì),可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時(shí)帶來了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。WLAN必須考慮的安全要素有三個(gè):信息保密、身份驗(yàn)證和訪問控制。如果這三個(gè)要素都沒有問題了,就不僅能保護(hù)傳輸中的信息免受危害,還能保護(hù)網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個(gè)簡單易用的解決方案,同時(shí)獲得這三個(gè)安全要素。國外一些最新的技術(shù)研究報(bào)告指出,針對目前應(yīng)用最廣泛的802.11bWLAN標(biāo)準(zhǔn)的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發(fā)現(xiàn)其可能存在的安全缺陷,研究相應(yīng)的改進(jìn)措施,提出新的改進(jìn)方案,對WLAN技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。
同有線網(wǎng)絡(luò)相比,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚啵允紫纫訌?qiáng)這一方面的安全性。
無線局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)是逐跳的方式,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā),要么是兩臺用戶設(shè)備直接通信,每一種通信方式都可以用鏈路層加密的方法來實(shí)現(xiàn)至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數(shù)據(jù)變成密文,并且,如果加密強(qiáng)度夠高的話,偵聽者獲得有用數(shù)據(jù)的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù),以使得接收方可以檢測到數(shù)據(jù)是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨(dú)有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。
這樣,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無線局域網(wǎng)提供一個(gè)類似有線網(wǎng)的物理安全的保護(hù)。對于無線局域網(wǎng)中的主機(jī),面臨病毒威脅時(shí),可以用最先進(jìn)的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時(shí)實(shí)檢測系統(tǒng)異常。PC機(jī)和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對抗,接下來的無線設(shè)備如何與病毒對抗還是一個(gè)待開發(fā)領(lǐng)域。
對于DOS攻擊或者DDOS攻擊,可以增加一個(gè)網(wǎng)關(guān),使用數(shù)據(jù)包過濾或其它路由設(shè)置,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址,可以減小風(fēng)險(xiǎn)。對于內(nèi)部的惡意用戶,則要通過審計(jì)分析,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶,并且對于用戶的認(rèn)證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認(rèn)證用戶是不適當(dāng)?shù)腫5]。
除了以上的可能需求之外,根據(jù)不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對于進(jìn)出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證,只能結(jié)合用戶的具體需求,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù),構(gòu)建安全的網(wǎng)絡(luò)。
當(dāng)考慮與其它安全系統(tǒng)的合作時(shí),無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密性服務(wù),數(shù)據(jù)的完整性服務(wù),提供身份識別框架和接入控制框架,完成用戶的認(rèn)證授權(quán),信息的傳輸安全等安全業(yè)務(wù)。對于防病毒,防泄密,數(shù)據(jù)傳輸?shù)牟豢傻仲嚕档虳oS攻擊的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實(shí)現(xiàn)。
3.無線局域網(wǎng)安全風(fēng)險(xiǎn)
安全風(fēng)險(xiǎn)是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機(jī)。
3.1無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機(jī)收聽廣播的情況一樣,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機(jī)收聽廣播,如果收音機(jī)的靈敏度高一些,就可以收聽到遠(yuǎn)一些的發(fā)射臺發(fā)出的信號。當(dāng)然,無線局域網(wǎng)的無線信號的接收并不像收音機(jī)那么簡單,但只要有相應(yīng)的設(shè)備,總是可以接收到無線局域網(wǎng)的信號,并可以按照信號的封裝格式打開數(shù)據(jù)包,讀取數(shù)據(jù)的內(nèi)容[6]。
另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取,并且,如果使用一些信號截獲技術(shù),還可以把某個(gè)數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。
因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟(jì)損失。
3.2無線局域網(wǎng)中主機(jī)面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機(jī)的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機(jī)或者PDA的無線病毒。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。
對于無線局域網(wǎng)中的接入設(shè)備,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓。當(dāng)某個(gè)惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價(jià)值,這造成的一個(gè)負(fù)面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。
這樣,無線局域網(wǎng)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果。
4.無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機(jī)覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個(gè)方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對使用無線局域網(wǎng)存在顧慮。
4.1IEEE802.11b標(biāo)準(zhǔn)的安全性
IEEE802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)[7][8]。
4.1.1認(rèn)證
當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前,必須首先通過認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一開放系統(tǒng)認(rèn)證(OpenSystemAuthentication):是802.11b默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡單,分為兩步:首先,想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀;然后,接收站發(fā)回一個(gè)提醒它是否識別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證(SharedKeyAuthentication):這種認(rèn)證先假定每個(gè)站點(diǎn)通過一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個(gè)秘密共享密鑰,然后這些站點(diǎn)通過共享密鑰的加密認(rèn)證,加密算法是有線等價(jià)加密(WEP)。
4.1.2WEP
IEEE802.11b規(guī)定了一個(gè)可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護(hù)數(shù)據(jù)流。
IEEE802.11b標(biāo)準(zhǔn)提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶適配器。當(dāng)用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當(dāng)它被廣泛分配時(shí)可能會危及安全。第二種方案中是在每一個(gè)客戶適配器建立一個(gè)與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。
4.2影響安全的因素[9][10]
4.2.1硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個(gè)密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶共享一個(gè)客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當(dāng)一個(gè)客戶適配器丟失或被竊的時(shí)候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰。客戶端越多,重新編碼WEP密鑰的數(shù)量越大。
4.2.2虛假接入點(diǎn)
IEEE802.11b共享密鑰認(rèn)證表采用單向認(rèn)證,而不是互相認(rèn)證。接入點(diǎn)鑒別用戶,但用戶不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進(jìn)行拒絕服務(wù)或攻擊。
因此在用戶和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的,每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩艉驼J(rèn)證服務(wù)器是通過接入點(diǎn)進(jìn)行通信的,接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測和隔離虛假接入點(diǎn)成為可能。
4.2.3其它安全問題
標(biāo)準(zhǔn)WEP支持對每一組加密但不支持對每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測工EEE802.11b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點(diǎn)MAC地址,內(nèi)部主機(jī)MAC地址,上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細(xì)資料。為減少這種黑客活動,一個(gè)終端應(yīng)該使用每一個(gè)時(shí)期的WEP密鑰。
4.3完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個(gè)標(biāo)準(zhǔn)的開放式的安全方案,它能為用戶提供最強(qiáng)的安全保障,確保從控制中心進(jìn)行有效的集中管理。它的核心部分是:
擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol,EAP),是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)的擴(kuò)展。可以使無線客戶適配器與RADIUS服務(wù)器通信。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時(shí),在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時(shí),客戶端和RADIUS服務(wù)器(或其它認(rèn)證服務(wù)器)進(jìn)行雙向認(rèn)證,客戶通過提供用戶名和密碼來認(rèn)證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認(rèn)證的過程是:一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò),否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802.lx協(xié)議,站點(diǎn)和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點(diǎn)進(jìn)行雙向認(rèn)證。可以使用幾個(gè)認(rèn)證方法中的一個(gè)。
相互認(rèn)證成功完成后,RADIUS服務(wù)器和用戶確定一個(gè)WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個(gè)用戶提供與有線交換幾乎相同的安全性。用戶加載這個(gè)密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時(shí)期密鑰來解密。用戶和接入點(diǎn)激活WEP,在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂谩o論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部(合法用戶)的攻擊。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個(gè)組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制,其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過程中,頻率波段和調(diào)制不斷變化,計(jì)時(shí)和解碼采用不規(guī)則技術(shù)。
正是可選擇的加密運(yùn)算法則和IEEE802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中,認(rèn)證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機(jī)制之外,更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中[12]。
5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強(qiáng)勁,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:一是真正的安全保障;二個(gè)是將來的技術(shù)發(fā)展方向;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規(guī)模。看來無線局域網(wǎng)真正的騰飛并非一己之事[13]。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動,達(dá)到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補(bǔ)性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國內(nèi)中興通訊己經(jīng)實(shí)現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當(dāng)其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標(biāo)準(zhǔn)系列里面,并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點(diǎn)。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個(gè)趨勢。802.11工作組新成立了WIG(WirelesslnterworkingGrouq),該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標(biāo)準(zhǔn)的無線域網(wǎng)之間實(shí)現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個(gè)草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實(shí)現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。
不同類型無線局域網(wǎng)互通標(biāo)準(zhǔn)的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個(gè)運(yùn)營商那里注冊,就可以在各地接入。當(dāng)然,用戶享用上述方便的同時(shí),必然會使運(yùn)營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個(gè)互通風(fēng)潮的根本動力。為了達(dá)到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對用戶端設(shè)備,比如客戶端軟件,影響要最小,對經(jīng)營者管理和維護(hù)客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-,Response模式。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認(rèn)證,所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認(rèn)證機(jī)制至少要提供3GPP系統(tǒng)認(rèn)證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認(rèn)證機(jī)制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機(jī)制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時(shí),這種情況是指當(dāng)用戶接入的熱點(diǎn)地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡單地說,就是用戶在運(yùn)營商那里注冊,然后在該運(yùn)營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點(diǎn)地區(qū)接入時(shí)的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)、3G-AAA(移動網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計(jì)帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)、OCS(在線計(jì)帳系統(tǒng))。
對于漫游的互通情況時(shí),3G網(wǎng)絡(luò)是個(gè)全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實(shí)現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。
在無線局域網(wǎng)與3G互通中有如下認(rèn)證要求:該認(rèn)證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認(rèn)證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程,有一點(diǎn)不同在于在認(rèn)證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。
上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時(shí)還要實(shí)現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷。
無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補(bǔ)性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國內(nèi)中興通訊已經(jīng)實(shí)現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
參考文獻(xiàn):
[1]郭峰,曾興雯,劉乃安,《無線局域網(wǎng)》,電子工業(yè)出版杜,1997
[2]馮錫生,朱榮,《無線數(shù)據(jù)通信》1997
[3]你震亞,《現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)教程》,電子工業(yè)出版社,1999
[4]劉元安,《寬帶無線接入和無線局域網(wǎng)》,北京郵電大學(xué)出版社,2000
[5]吳偉陵,《移動通信中的關(guān)鍵技術(shù)》,北京郵電大學(xué)出版社,2000
[6]張公忠,陳錦章,《當(dāng)代組網(wǎng)技術(shù)》,清華大學(xué)出版社,2000
[7]牛偉,郭世澤,吳志軍等,《無線局域網(wǎng)》,人民郵電出版社,2003
[8]JeffreyWheat,《無線網(wǎng)絡(luò)設(shè)計(jì)》,莫蓉蓉等譯,機(jī)械工業(yè)出版社,2002
[9]GilHeld,《構(gòu)建無線局域網(wǎng)》,沈金龍等澤,人民郵電出版社,2002
[10]ChristianBarnes等,《無線網(wǎng)絡(luò)安全防護(hù)》,林生等譯,機(jī)械工業(yè)出版社.2003
[11]JuhaHeiskala等,《OFDM無線局域網(wǎng)》,暢曉春等譯,電子工業(yè)出版社,2003
[12]EricOuellet等,《構(gòu)建Cisco無線局域網(wǎng)》,張穎譯,科學(xué)出版社,2003
[13]MarkCiampa,《無線周域網(wǎng)設(shè)計(jì)一與實(shí)現(xiàn)》,王順滿譯,科學(xué)出版社.2003
[14]張振川,《無線局域網(wǎng)技術(shù)與協(xié)議》,東北大學(xué)出版社.2003
[15]金純,陳林星,楊吉云,《IEEE802.11無線局域網(wǎng)》,電子工業(yè)出版社,2004
