《(最新)无线局域网中的安全及加密技术研究.doc》由会员分享,可在线阅读,更多相关《(最新)无线局域网中的安全及加密技术研究.doc(10页珍藏版)》请在三一办公上搜索。
1、【摘要】随着无线技术的发展,无线局域网(WLAN)已经成为IT行业的一个新的热点,无线局域网技术正方兴未艾,各项新技术、新标准也是层出不穷,渐渐成为计算机网络的一个重要的组成部分;但是,作为一项新兴技术,WLAN 也存在很多的安全隐患。本文从分析无线局域网的安全威胁,保护用户的信息方面出发,讨论了无线局域网的几种安全保密技术,分析了WLAN在加密方面存在的问题,并给出了解决建议。【关键词】无线局域网,加密;安全;802.11标准;有线等效保密;WAPI鉴别与保密无线局域网中的安全及加密技术研究经过20多年的发展,无线局域网(WirelessLocalAreaNetwork,WLAN),已经成为
2、一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。一、无线局域网的安全威胁随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很
3、大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:所有有线网络存在的安全威胁和隐患都存在;无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权存取;无线网络传输的信息没有加密或者加密很弱,
4、易被窃取、窜改和插入;无线网络易被拒绝服务攻击(DOS)和干扰;内部员工可以设置无线网卡为P2P模式与外部员工连接。二、无线局域网的安全保障自从无线局域网诞生之日起,安全性隐患与其灵活便捷的优势就一直共存,安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性,IEEE802.11系列标准从多个层次定义了安全性控制手段。(一)SSID访问控制服务集标识符(ServiceSetIdentifier,SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID,也称业务组标识符,是一个WLAN的标识码,相当于有线局域网的工作组(WORKGROUP)
5、。无线工作站只有出示正确的SSID才能接入WLAN,因此可以认为SSID是一个简单的口令,通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。严格来说SSID不属于安全机制,只不过,可以用它作为一种实现访问控制的手段。(二)MAC地址过滤MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证,而不是用户认证。MAC地址过滤这种很常用的接入控制技术,在运营商铺设的有线网络中也经常使用,即只允许合法的MAC地址终端接入网络。用无线局域网中,AP只允许合法的MAC地址终端接入BSS,从而
6、避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新,但是目前都是通过手工操作完成,因此扩展能力差,只适合小型网络规模,同时这种方法的效率也会随着终端数目的增加而降低。(三)802.11的认证服务802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务:开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议(WiresEquivalentPrivacy,WEP)。WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了
7、解决密钥重用的问题,WEP算法中引入了初始向量(InitialilizationVector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分,所以无须保密,多以明文形式传输。WEP协议自公布以来,它的安全机制就遭到了广泛的抨击,主要问题如下:(1)WEP加密存在固有的缺陷,它的密钥固定且比较短(只有64-2440bits)。(2)IV的使用解决了密钥重用的问题,但是IV的长度太短,强度并不高,同时IV多以明文形式传输,带来严重的安全隐患。(3)密钥管理是密码体制中最关键的问题之一,但是802.11中并没有具体规定密钥的生成、分发、更新、
8、备份、恢复以及更改的机制。(4)WEP的密钥在传递过程中容易被截获。所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件,例如WEPCrack和AirSnort。三、WLAN安全的增强性技术随着WLAN应用的进一步发展,802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用,业界积极研究,开发了很多增强WLAN安全性的方法。(一)802.1x扩展认证协议IEEE802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构,其认证机制是由用户端设备、
9、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此执行下,作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。然后,客户机与AP激活WEP,利用密钥进行通信。为了进一步提高安全性,IEEE802.1x扩展认证协议采用了WEP2算法,即将启动源密钥由64位提升为128位。移动节点可被要求周期性地重新认证以保持一定的安全级。(
10、二)WPA保护机制Wi-FiProtectedAccess(WPA,Wi-Fi保护访问)是Wi-Fi联盟提出的一种新的安全方式,以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制,方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。(1)认证WPA要求用户必须提供某种形式的证据来证明它是合法用户,才能拥有对某些网络资源的访问权,并且这是是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP(ExtensibleAuthenticationProtocol)的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器来实现。
11、另一种为WPA预共享密钥方式,要求在每个无线局域网节点(AP、STA等)预先输入一个密钥,只要密钥吻合就可以获得无线局域网的访问权。(2)加密WPA采用TKIP(TemporalKeyIntegrityProtocol,临时密钥完整性协议)为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和
12、管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。(3)消息完整性校验除了保留802.11的CRC校验外,WPA为每个数据分组又增加了一个8个字节的消息完整性校验值,以防止攻击者截获、篡改及重发数据报文。(三)VPN的应用目前许多企业以及运营商已经采用虚拟专用网(VPN)技术。虚拟专用网(VPN)技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,其本身并不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和A
13、P之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和不可抵赖性。VPN技术作为一种比较可靠的网络安全解决方案,在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用,然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用,如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。(四)WAPI鉴别与保密无线局域网鉴别与保密基础结构(WLANAuthenticationandPrivacyInfrastructure,WAPI)是我国无线局域网国家标准制定的,由无线局域网鉴别基础结构(WLANAuthenticationInfrastructure,WAI
14、)和无线局域网保密基础结构(WLANPrivacyInfrastructure,WPI)组成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。在WAPI中,身份鉴别的基本功能是实现对接入设备用户证书和其身份的鉴别,若鉴别成功则允许接入网络,否则解除其关联,鉴别流程包含下列几个步骤:(1)鉴别激活:当STA登录至AP时,由AP向STA发送认证激活以启动认证过程;(2)接入鉴别请求:工作站STA向AP发出接入认证请求,将STA证书与ST
15、A的当前系统时间(接入认证请求时间)发往AP;(3)证书鉴别请求:AP收到STA接入认证请求后,向AS(认证服务器)发出证书认证请求,将STA证书、接入认证请求时间、AP证书及用AP的私钥对上述字段的签名,构成认证请求报文发送给AS。(4)证书鉴别响应:AS收到AP的证书认证请求后,验证AP的签名以及AP和STA证书的合法性。验证完毕后,AS将STA证书认证结果信息(包括STA证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。(5)接入鉴别响应:AP对AS返回的证书认证响应进行签名验证,得到ST
16、A证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至STA。STA验证AS的签名后,得到AP证书的认证结果。STA根据该认证结果决定是否接入该AP。至此,工作站STA与AP之间完成了双向的证书鉴别过程。为了更大程度上保证WLAN的安全需求,还可以进行私钥的验证,以确认AP和工作站STA是否是证书的合法持有者,私钥验证由请求和响应组成。当工作站STA与接入点AP成功进行证书鉴别后,便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA中的任意一方发起,另一方进行响应。为了进一步提高通信的保密
17、性能,在通信一段时间或交换一定数量的报文后,工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。四、无线局域网(WirelessLocalAreaNetwork,WLAN)的安全措施WLAN在物理上开放的传输媒质使得只要符合协议要求的无线系统均可能在信号覆盖范围内收到所有信息,为了达到和有线网络同等的安全性能,IEEE802.11采取了验证和加密措施,其中,验证提供了类似有线网络的物理连接,加密则提供了有线网络的封闭性。(一)验证验证程序提供了控制WLAN接入的能力,这一过程被所有无线终端用来建立自己合法接入到AP(AccessPoint,接入点)的身份标志,包括AP对工作站身
18、份的确认和共享密钥的认证等。如果AP和工作站之间无法完成相互间的验证,那么它们就不能建立有效的连接。IEEE802.11协议支持多个不同的验证过程,并且允许验证方案扩充。(二)加密IEEE802.11提供的加密方式采用WEP机制,它的使用可以通过帧控制字段的WEP子字段进行设置,WEP机制对数据的加密和解密都使用同样的算法和密钥。它包括“共享密钥”认证和数据加密两个过程。“共享密钥”认证使得那些没有正确WEP密钥的用户无法访问网络,而加密则要求网络中所有数据的发送和接收都必须使用密钥加密。(1)“共享密钥”认证认证采用了一个标准的询问和响应帧格式。执行过程中,AP采用RC4算法运用共享密钥对1
19、28字节的随机序列询问正文进行加密后作为询问帧发给用户,用户将收到的询问帧进行解密后以正文形式响应AP,AP将正文与原始随机序列进行比较,如果两者一致,则通过认证。(2)数据加密WEP标准采用了40位密钥和RC4加密算法,它利用一个40比特的伪随机密钥发生器,运用共享密钥将发生器产生的数据生成一个随机密钥序列,其长度与被加密帧相同,然后将这个随机序列按模2加到帧比特上生成已加密帧。接收端采用同样的算法生成密钥序列,与加密帧再次进行模2运算,得到原始数据。五、WLAN安全机制的弱点802.11委员会由于意识到无线局域网固有的安全缺陷而引入了WEP。但WEP也不能完全保证加密传输的有效性,它不具备
20、认证、访问控制和完整性校验功能。而无线局域网的安全机制是建立在WEP基础之上的,一旦WEP遭到破坏,这类机制的安全也就不复存在。(一)WEP的认证机制(1)认证失败会导致非法用户进入网络。802.11分两个步骤对用户进行认证。首先,接入点必须正确应答潜在通信基站的密码质询(认证步骤),随后通过提交接入点的服务集标识符(SSID)与基站建立联系(称为客户端关联)。这种联合处理步骤为系统增加了一定的安全性。一些开发商还为客户端提供可选择的SSID序列,但都是以明文形式公布,因而带无线卡的协议分析器能够在数秒内识别这些数据。(2)与实现WEP加密一样,认证步骤依赖于RC4加密算法。这里的问题不在于W
21、EP不安全,或RC4本身的缺陷,而是执行过程中的问题:接入点采用RC4算法,运用共享密钥对随机序列进行加密,生成质询密码;请求用户必须对质询密码进行解密,并以明文形式发回接入点;接入点将解密明文与原始随机序列进行对照,如果匹配,则用户获得认证。这样只需获取两类数据帧质询帧和成功响应帧,攻击者便可轻易推导出用于解密质询密码的密钥串。WEP系统有完整性校验功能,能部分防止这类采用重放法进行的攻击。但完整性校验是基于循环冗余校验(CRC)机制进行的,很多数据链接协议都使用CRC,它不依赖于加密密钥,因而很容易绕过加密验证过程。(二)WEP(WiredEquivalentPrivacy)算法(1)按照
22、加密密钥和解秘密钥是否相同,可以将密码体制分为秘密密钥密码体制和公开密钥密码体制。秘密密钥密码体制也称对称密码体制,即加密密钥和解秘密钥相同;公开密钥密码体制也称非对称密码体制,即加密密钥和解秘密钥不同。(2)WEP算法是对称加密体制,加密和解密采用相同的密钥;且采用序列加密体制。它采用RC4序列密码算法,即运用共享密钥将来自伪随机数据产生器的数据生成任意字节长序列,然后将数据序列与明文进行异或处理,生成加密文本。(3)WEP协议本身存在漏洞,早期的802.11b网络都采用40bit密钥,使用穷举法,一个黑客在数小时内即可将40bit密钥攻破;而且采用单一密钥方案(密钥串重复使用),也容易受到
23、攻击。(三)WEP机制的加密方式(1)通信系统加密方式有逐链加密(link-by-link)和端端加密(end-to-end)两种形式。逐链加密是在通信网两节点间有一对加密与解密设备,数据和控制信号在发送节点被加密,在接收节点被解密;主要在于对各链路的通信采取保护措施,应用于OSI七层模型协议的低层协议(物理层、数据链路层)中。端端加密是信息在离开一个用户之后,到达另一个用户之前,始终以密文形式出现,即信息在进入物理通信链路前即被加密,直到进入接收系统之后才被解密;主要在于对整个网络系统采用保护措施,应用于OSI七层模型协议的网络层以上的高层协议中。(2)WEP机制采用端端加密方式,重点保护整
24、个网络系统的安全。但是在实际应用中,缺少对物理和数据通信链路的保护,不能保证用户信息的安全。六、结束语要保证WLAN的安全,需要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传输信息的机密性,并能实现对无线网络的访问控制,密钥管理技术为加密技术服务,保证密钥生成、分发以及使用过程中不会被非法窃取,另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。尽管我们国家WLAN标准的出台以及强制执行引起了很大的影响,但这是我国信息安全战略的具体落实,它表明我们国家已经迈出了坚实的一步。参考文献1.信息安全与保密现代战争的信息卫士黄月江国防工业出版社2.数据保密和加密研究计算机网络的安全性一松信(日)科学出版社3.计算机密码学通信中的保密与安全卢开澄清华大学出版社4.无线局域网JimGeier(美)人民邮电出版社5.Adhoc技术与WMANET网络体系结构曹常义通信世界网6.WLAN中MAC子层接入技术的研究顾雪琳通信世界网7.无线局域网(WLAN)常见问题解析王志勇北京市天昭公司8.IEEE802.11无线局域网的实现技术卓非凡南平无线通信局9.无线局域网标准简介肖雳信息产业部通信计量中心10.无线局域网技术和应用王军明、伏海文现代电信科技
