IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

移动无线局域网的安全防护

2007年07月28日
巧巧读书/佚名

近年来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。各厂家及国际Wi-Fi联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。

基于SIM卡认证和AES加密的方法为无线局域网提供了安全保障,使得无线局域网拥有了更为广阔的应用空间。

近些年来,随着局域网应用领域的不断拓宽和现代通信方式的不断变化,尤其是移动和便携式通信的发展,无线局域网(WLAN)便应运而生。其接入速率较高,小范围组网灵活,成本也较低,正是基于此,移动运营商纷纷组建WLAN作为移动业务的补充。但其在安全性方面仍然存在很多问题。利用基于SIM卡的网络接入认证和AES加密算法相结合的方法,能够保证WLAN的通信安全。

网络接入认证

在WLAN的体系结构中,认证服务器(AS)的主要功能是对业务进行控制管理,它保存用户的认证信息及相关属性,并在接收到用户申请时,在数据库中对用户信息进行查询。接入控制器(AC)在WLAN与Internet之间起到网关功能,将来自不同接入点的数据进行汇聚、接入Internet。接入点(AP)的作用是完成无线接入,它可以通过网络标志来控制用户接入。

网络接入认证有RADIUS认证、基于SIM卡方式认证和虚拟SIM卡认证三种方式。RADIUS认证方式是通过在WLAN覆盖热点设置RADIUS服务器,对WLAN用户实现立即计费,但此方式需要与提供WLAN业务的商家达成一致,共同建设RADIUS服务器,而且漫游计费实现较困难。

虚拟SIM卡认证是以RADIUS认证方式为基础发展起来的一种认证方式。它一般在城域网的管理中心,设置AAA服务器,并在路由器上设置重新定向,用户上网时,被定向到登录页面,用户在登录页面上输入正确的手机号码和相应的随机密码才能访问。其认证过程要首先通过移动电话发送一条特定的短消息到AAA服务器;AAA服务器收到短信后,在用户的数据库中添加账号;AAA服务器将用户账号信息发送给手机用户,相关的账号信息包括用户的登录用户名、随机登录密码、本次账号最高费用限额、账号有效时限等信息,用户根据手机接收到的账号信息通过计算机接入WLAN。这种方式存在的最大问题是短信业务的服务质量。短信息采用无确认方式,发出短信后有可能会丢失,也有可能会有很长时间的延迟,这会影响WLAN用户的登录。如要实施这种方式的认证,对现行的短信息业务必须重新设置或者把普通的短信与WLAN用户的短信区分开,这要在软件方面增加一定的难度。

基于SIM卡认证可以将中国移动GSM/GPRS网络与WLAN有机结合起来。该方式最大的优点是使用方便,用户可以方便地根据网络的实际情况选择GPRS、WLAN等方式上网,同时由于WLAN收费最终是通过GSM/GPRS计费网关实现的,这样电话和上网的费用就合成一张账单,简化了用户的缴费手续。而且,WLAN用户在漫游方面也可以借助于现有的移动运营上的数据库方便地实现用户漫游和计费,可以最大限度地发挥现有的资源,不需要做很大的改动。SIM卡也是独一无二的,因此可以有效防止非法用户接入WLAN。综上所述,基于SIM卡的认证方式,即指AS接受来自AC的用户认证服务请求,对WLAN用户进行认证,并将认证结果通知AC。

加密算法

现在大部分的无线局域网采用有限等价保密的方法对信息进行加密,这也是802.11工作小组提出的加密方法。WEP算法是明文与其等长的伪随机密钥序列按位模二相加的一种算法,WEP使用的是40位的RC4算法,它属于流密码,这是一种一次性将1byte明文变换为1byte密文的对称密码,密文通过把明文与密钥流(伪随机序列)进行异或运算产生,解密时把相同的密钥流与密文异或即可。由于流密码具有这样的特点,它对消息的完整性要求很高。此外,在流密码实现时一定要防止出现密钥重用。因为攻击者拦截了两段用同一密钥流加密的密文,就可以对这两段密文进行异或,从而得到两段明文的异或值,再辅以统计学手段,攻击者就有可能得到明文。而如果存在大量的重复密钥流的话,攻击成功的可能性就大大增加了。WEP中采用完整性校验和初始化向量的防护措施。但是,完整性校验域采用的是CRC-32校验和,作为通信报文的一部分,CRC-32校验和也要经过加密。然而,CRC算法是线性的,这意味着CRC校验和将体现出强烈的数据关联性,这与密码学强调的随机性原则大为相悖,使敌手的攻击变得相当容易;而且WEP对初始化向量的操作也存在不足。正是由于WEP存在很多弱点,使WLAN的安全性大大下降,因此本文提出了采用高级编码标准(AES)的加密方法,此算法会使WLAN的安全性大为提高。

AES是1997年1月由NIST提出的,其目的是开发一种新的能保证政府信息安全的编码算法。最后经过多方评估从15种算法中选出Rijndael算法作为AES编码标准。Rijndael算法是对称加密的迭代分组密码。它把数据块分成比特阵列,每一项密码操作都是面向比特的。Rijndael算法分为四层,第一层是8×8比特置换(即输入8比特,输出8比特);第二、三层是线性混合层(阵列的行移位、列混合);第四层是子密钥与阵列的每比特异或。

AES的分组长度为128比特,密钥长度为128/192/256比特,相对应的轮数r为10/12/14,相应的密钥方案为:在加密的过程中,需要r+1个子密钥,需要构造4(r+1)个32比特字。当种子密钥为128和192比特时,构造4(r+1)个32比特字的过程是一样的。但当种子密钥为256比特时,构造4(r+1)个32比特字的过程是不同的。

它的输出更具有随机性,对128比特、轮数为7的密文进行攻击时需要几乎整个的密码本,对192、256比特加密的密文进行攻击不仅需要密码本,还需要知道相关的但并不知道密钥的密文,这比WEP具有更高的安全性,攻击者要获取大量的密文,耗用很大的资源,花费更长的时间破译。它解密的密码表和加密的密码表是分开的,支持子密钥加密,这种做法优于最初的用一个特殊的密钥解密;很容易防护幂攻击和同步攻击;加密和解密的速度快,在安全性上优于WEP。

AES算法支持任意分组的大小,密钥的大小为128、192、256的可以任意组合。它初始时间快,其固有的并行性可以有效地利用处理器资源,有很好的软件性能。在加密和解密分别进行的时候,很适合有限距离的环境,并且对ROM和RAM要求很低;当加密和解密同时进行的时候,对ROM要求有所上升,但仍适合距离有限的环境。AES还适用于交叉存取和非交叉存取两种情况。在这两种情况下,它的性能几乎没有变化,这使得DSP设备可以有效地优化其密码。此外,AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。经过比较分析,可知此算法在性能等各方面都优于WEP,利用此算法加密,无线局域网的安全性会获得大幅度提高,从而能够有效地防御外界攻击。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

今天你还被“蹭”么?浅谈无线网安全防护
今天你还被“蹭”么?浅谈无线网安全防护曾几何时,一种USB接口的WiFi无线网卡被众多网友熟知和热捧,主要是因为它不仅具...
美国试点超级无线网络 覆盖范围达数公里
美国试点超级无线网络 覆盖范围达数公里无线WiFi网络已经进入普通网民的生活,优点是能够实现多台电脑或者手机同时上网,...

本类热点