扫一扫
关注微信公众号

无线局域网安全技术研究与测试(3)
2007-07-28   C114

3、无线局域网安全标准分析

3.1IEEE802.11安全标准:WEP

IEEE802.11标准通过有线对等保密协议WEP(WiredEquivalentPrivacy)来实现认证与数据加密,认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密。属于一种对称的流密码,支持可变长度的密钥。

后来的研究表明,RC4密钥算法有内在设计缺陷。由于WEP中实施的RC4选择了24位初始化向量IV(InitialVector),而且不能动态专用加密密钥,因此这些缺陷在使用WEP的802.11加密帧中都有实际应用。最典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。因此802.11中的WEP安全技术并不能够为无线用户提供足够的安全保护。

3.2IEEE802.11i与WPA安全标准

为了使WLAN技术从这种被动局面中解脱出来,IEEE802.11i工作组致力于制订新一代安全标准,主要包括加密技术:TKIP(TemporalKeyIntegrity Protocol)和AES(Advanced Encryption Standard),以及认证协议IEEE802.1x。

认证方面。IEEE802.11i采用802.1x接入控制,实现无线局域网的认证与密钥管理,并通过EAP-Key的四向握手过程与组密钥握手过程,创建、更新加密密钥,实现802.11i中定义的鲁棒安全网络(RobustSecurityNetwork,简称RSN)的要求。

数据加密方面,IEEE802.1li定义了TKIP(TemporalKeyIntegrity Protocol),CCMP(Counter-Mode/CBC-MAC Protocol和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。

一方面,TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数(KeyMixingFunction),重放保护机制和Michael消息完整性代码(安全的MIC码)这4种有力的安全措施,解决了WEP中存在的安全漏洞,提高了安全性。就目前已知的攻击方法而言,TKIP是安全的。另一方面,TKIP不用修改WEP硬件模块,只需修改驱动程序,升级起来也具有很大的便利性。因此,采用TKIP代替WEP是合理的。

但是TKIP是基于RC4的,RC4已被发现存在问题,可能今后还会被发现其他的问题。另外,RC4一类的序列算法,其加解密操作只是简单的异或运算,在无线环境下具有一定的局限性,因此TKIP只能作为一种短期的解决方案。

此外,802.11中配合AES使用的加密模式CCM和OCB,并在这两种模式的基础上构造了CCMP和WRAP密码协议。CCMP机制基于AES(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高。是实现RSN的强制性要求。由于AES对硬件要求比较高。因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制则是基于AES加密算法和OCB(OffsetCode book)。

由于市场对于提高WLAN安全的需求十分紧迫,在IEEE802.11i标准最终确定前,Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准作为代替WEP的向802.11i过渡的无线安全标准。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。

3.3中国无线局域网安全标准:WAPI

WAPI,即无线局域网鉴别和保密基础结构(WLANAuthenticationandPrivacy Infrastructure)是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。

WAPI由无线局域网鉴别基础结构(WLANAuthenticationInfrastructure,简称WAI)和无线局域网保密基础结构(WLANPrivacy Infrastructure,简称WPI)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。其中,WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为认证服务单元ASU(Authentication Service Unit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。WPI采用对称密码算法实现对MAC层MSDU的加、解密操作。

WAPI整个系统由移动终端MT(MobileTerminal)、AP和认证服务单元ASU组成;其中,ASU完成认证机构CA(CertificateAuthority)的功能,负责证书的发放、验证与吊销等;移动终端MT与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当MT登录至无线接入点AP时,在使用或访问网络之前必须通过ASU进行双向身份验证。根据验证的结果,只有持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP。这样不仅可以防止非法移动终端MT接入AP而访问网络并占用网络资源,而且还可以防止移动终端MT登录至非法AP而造成信息泄漏。

4、无线局域网安全测试

运营级无线局域网安全测试系统主要包括以下设备:

●端站(Station,简称STA)

端站STA是无线局域网中的数字链路终端设备,可以通过不用接口接入或嵌入到数字终端设备中,如PC、PDA或手持式终端设备。

●接入点(AccessPoint,简称AP)

无线接入点AP下行通过标准的空中接口协议于STA通信,而上行通过有线网络进行数据的分发,从而达到无线网络与有线网络的互通。

●接入控制器(AccessController,简称AC)

接入控制器AC相当于无线局域网与传送网之间的网关,将来自不同AP的数据进行业务汇聚,反之将来自业务网的数据分发到不同AP,此外还负责用户的接入认证功能,执行AAA代理功能。

●AAA服务器

AAA服务器是实现认证、授权和计费(AAA,Authentication,Authorization&Accounting)功能的网络服务器。认证服务器保存用户的认证信息和相关属性,当接收到认证申请时,支持在数据库中对用户数据的查询。在认证完成后,授权服务器根据用户信息授权用户具有不同的属性。计费服务器完成用户计费信息的处理,并根据用户签约信息中的计费属性,实现预付费、后付费业务等。

目前的AAA服务器主要为支持Radius协议的服务器,未来还可以采用Diameter协议。

●Portal服务器

Portal服务器即门户服务器,与AC配合共同完成无线局域网用户门户网站页面的推送,提供Portal业务。

●管理服务器

管理服务器主要负责实现无线局域网的网络管理功能,包括配置管理、故障管理、性能管理、安全管理等。

测试系统主要由热点地区的无线局域网接入网络和后台的服务系统组成,其中,接入网络主要由接入点AP和接入控制器AC构成,而后台服务系统完成认证、计费、应用服务和网管等功能。同时由于目前还存在基于七号信令网的SIM认证,因此系统中还包含鉴权服务器AS和用户数据库HLR/Auc。认证中心的主要设备是Radius服务器,用来存储用户的身份信息,并完成用户的认证和鉴权等功能。计费中心则主要完成用户的计费功能。应用服务器可为用户提供WWW,FTP等多种应用服务。网管中心则实现无线局域网的配置、安全、性能等多方面的管理,保障无线局域网的可靠运行。

5、结束语

无线局域网目前正处于蓬勃发展时期,而无线局域网的安全问题也是业界尤为关注的焦点之一。只有在现有的无线局域网安全框架基础上,运用相关的关键技术搭建一个增强的、有足够安全性的无线局域网,才能推动无线局域网的实际应用,尤其是在企业、机关等重要部门中的使用。也只有这样,无线局域网才能安全顺利地与其他有线网络、无线网络乃至3G网络实现互联互通,并发挥其巨大的潜力。

热词搜索:

上一篇:无线局域网安全技术研究与测试(2)
下一篇:不让便利变成威胁 无线局域网设置须知(1)

分享到: 收藏