二、无线局域网安全协议

1.WEP协议

IEEE802.11标准中的WEP(Wired Equivalent Privacy)协议是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制,防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意纂改或伪造。此外,WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或(与)128位的静态WEP加密,有效地防止数据被窃听盗用。

该技术适合一些小型企业 、家庭用户等小型环境的无线网络应用,无需额外的设备支出,配置方便。但在无线行业应用中,基于WEP加密技术的安全缺陷饱受非议,因针对WEP数据包加密已有破译的方法,且使用这一方法破解WEP密钥的工具可以在互联网上免费下载。相应的,替代WEP的WPA标准已于2002年下半年出台了,通过暂时密钥集成协议(TKIP)增强了数据加密,提高无线网络的安全特性。

2.IEEE 802.11i安全标准

IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。

IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。

3.WAPI协议

我国早在2003年5月份就提出了无线局域网国家标准 GB15629.11 ,这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制,这种安全机制由 WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastruc-ture)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAPI安全机制包括两个组成部分。

WAI采用公开密钥密码体制,利用证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为ASU(Authentication Service Unit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。

在具体实现中,STA在关联到AP之后,必须相互进行身份鉴别。先由STA将自己的证书和当前时间提交给AP,然后AP将STA的证书、提交时间和自己的证书一起用自己的私钥形成签名,并将这个签名连同这三部分一起发给ASU。

所有的证书鉴别都由ASU来完成,当其收到AP提交来的鉴别请求之后,会先验证AP的签名和证书。当鉴别成功之后,进一步验证STA的证书。最后,ASU将STA的鉴别结果信息和AP的鉴别结果信息用自己的私钥进行签名,并将这个签名连同这两个结果发回给AP。

AP对收到的结果进行签名验证,并得到对STA的鉴别结果,根据这一结果来决定是否允许该STA接入。同时AP需要将ASU的验证结果转发给STA,STA也要对ASU的签名进行验证,并得到AP的鉴别结果,根据这一结果来决定是否接入AP。

由于WAI中对STA和AP进行了双向认证,因此对于采用“假”AP的攻击方式具有很强的抵御能力。

在STA和AP的证书都鉴别成功之后,双方将会进行密钥协商。首先双方进行密钥算法协商。随后,STA和AP各自会产生一个随机数,用自己的私钥加密之后传输给对方。最后通信的两端会采用对方的公钥将对方所产生的随机数还原,再将这两个随机数模运算的结果作为会话密钥,并依据之前协商的算法采用这个密钥对通信的数据加密。

由于会话密钥并没有在信道上进行传输,因此就增强了其安全性。为了进一步提高通信的保密性,WAPI还规定,在通信一段时间或者交换一定数量的数据之后,STA和AP之间可以重新协商会话密钥。WAPI采用对称密码算法实现对MAC层MSDU进行的加、解密操作。WAPI标准将替代国际现行的WEP协议,原有标准因其安全性不理想,一直以来都为全球用户所诟病。而采纳了许多先进技术的新标准,无疑为推动国内WLAN产业发展起到了积极的作用。同时,牵一发而动全身的安全新标准,也已影响到电信产业链上的诸多环节,格局变幻暗流涌动。但同时更为关键的是,由于WAPI协议提供了优秀的认证和安全机制,因此它非常适合于运营商的公众无线局域网(PWLAN)运营。这除了给现有运营商带来利好之外,也极有可能因此衍生出更多的WLAN服务提供商。

然而就是这样一项标准,由于理解上的差异遭到了多方面质疑。一些业内人士指出,由于新标准与先行标准差异较大,因此可能存在漫游及设备兼容等一些问题,而且,一些对安全问题并不敏感的用户的使用成本也可能会增加。

事实上,这只是标准推出初期不可避免的问题。而且据专家介绍,设备仅需要进行简单的软件升级即可达到规范要求,过程平滑。同时,若从WLAN产业长期发展的角度这一代价也是完全值得的。

WAPI充分考虑了市场应用,从应用模式上可分为单点式和集中式两种:单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。因此,采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而在根本上解决安全问题和兼容性问题。

到2004年6月1日,未获认证产品不得出厂、进口、销售或者在其他经营活动中使用。

3.WEP、IEEE 802.11i、WAPI三者之间的比较

WEP、IEEE 802.11i、WAPI三者之间的比较如表1所示

WEP IEEE 802.11i WAPI

认证特征 对硬件认证,单向认证。 无线用户和 RADIUS 服务器认证,双向认证,无线用户身份通常为用户名和口令。 无线用户和无线接入点的认证,双向认证,身份凭证为 公钥数字证书。

性能 认证过程简单 认证过程复杂, RADIUS 服务器不易扩充。 认证过程简单,客户端可支持多证书,方便用户多处使用,充分保证其漫游功能,认证单元易于扩充,支持用户的异地接入。

安全漏洞 认证易于伪造,降低了总安全性。 用户身份凭证简单,易于盗取,共享密 钥管理存在安全隐患。 无

算法 开放式系统认证,共享密 钥 认证。 未确定 192/224/256 位的椭圆曲线签名算法。

安全强度 低 较高 最高

扩展性 低 低 高

加密 算法 64 位的 WEP 流加密。 128 位的 WEP 流加密, 128 位的 AES 加密算法。 认证的分组加密。

密 钥 静态 动态(基于用户、基于认证、通信过程中动态更新) 动态(基于用户、基于认证、通信过程中动态更新)

安全强度 低 高 最高

中国法规 不符合 不符合 符合


共3页: 上一页123下一页

相关内容