ＷＬＡＮ的安全實(shí)現(xiàn)機(jī)制

摘要：

文章根據(jù)無線局域網(wǎng)面臨的安全風(fēng)險(xiǎn)和安全需求，分析了無線局域網(wǎng)幾種安全實(shí)現(xiàn)機(jī)制的缺陷及改進(jìn)方案，指出了新的加密和數(shù)據(jù)完整性機(jī)制、新的認(rèn)證協(xié)議框架以及無線網(wǎng)絡(luò)不斷融合對(duì)無線局域網(wǎng)安全方面的影響。

關(guān)鍵詞：

無線局域網(wǎng)；安全風(fēng)險(xiǎn)；安全需求；安全實(shí)現(xiàn)機(jī)制的發(fā)展

Abstract:

InconsiderationofthesecurityrisksandsecurityrequirementsofWLAN，theweakpointsofseveralWLANsecuritymechanismsareanalyzedandsuggestionsfortheirimprovementsarepresented，inadditiontowhich，theinfluenceonWLANsecurityofthenewencryptionanddataintegritycheckmechanism，thenewauthenticationprotocolframeandtheconvergenceofwirelessnetworksisdiscussed.

Keywords:

WLAN;Securityrisk;Securityrequirement;Developmentofsecuritymechanism

無線電波的傳輸特性使得無線局域網(wǎng)失去了物理上的安全保證，現(xiàn)有安全機(jī)制本身設(shè)計(jì)上存在的問題也使得攻擊者可以輕而易舉地將其安全防范系統(tǒng)攻破。這嚴(yán)重地限制了無線局域網(wǎng)在寬帶接入等一些應(yīng)用領(lǐng)域的發(fā)展，引起了業(yè)內(nèi)專家和機(jī)構(gòu)的廣泛關(guān)注和研究，各種改進(jìn)方案不斷涌現(xiàn)。

1、WLAN安全需求

安全風(fēng)險(xiǎn)是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源包括在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機(jī)等，如無線信道上傳輸?shù)臄?shù)據(jù)、無線局域網(wǎng)中的主機(jī)、無線局域網(wǎng)中的接入設(shè)備、無線局域網(wǎng)中的用戶設(shè)備。

同有線網(wǎng)絡(luò)相比，無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚啵允紫纫訌?qiáng)這一方面的安全性。無線局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)可以用鏈路層加密的方法來實(shí)現(xiàn)至少與有線連接同等的安全性。無線信號(hào)可能被截聽，但是，如把無線信號(hào)承載的數(shù)據(jù)變成密文，并且加密強(qiáng)度足夠高，截聽者獲得有用的數(shù)據(jù)的可能性將變得極小。另外，無線信號(hào)可能被修改或者偽造，如果對(duì)無線信號(hào)承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù)，接收方就可以檢測(cè)到數(shù)據(jù)是否被更改，使得對(duì)于無線信號(hào)的更改徒勞無功。這樣，通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無線局域網(wǎng)提供一個(gè)類似有線網(wǎng)的物理安全的保護(hù)。

針對(duì)不同情況有不同的安全需求。如對(duì)于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性，對(duì)于進(jìn)出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施，要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以，無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證，只能結(jié)合用戶的具體需求，結(jié)合其他的安全系統(tǒng)來一起提供安全服務(wù)，構(gòu)建安全的網(wǎng)絡(luò)。

當(dāng)考慮與其他安全系統(tǒng)的合作時(shí)，無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密性服務(wù)、數(shù)據(jù)的完整性服務(wù)，提供身份識(shí)別框架和接入控制框架，完成用戶的鑒別授權(quán)、信息的傳輸安全等安全業(yè)務(wù)。對(duì)于防病毒、防泄密、數(shù)據(jù)傳輸?shù)牟豢傻仲嚒⒔档途芙^服務(wù)攻擊(DoS)的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其他安全系統(tǒng)合作來實(shí)現(xiàn)。

2、WLAN安全實(shí)現(xiàn)機(jī)制

無線局域網(wǎng)安全實(shí)現(xiàn)機(jī)制從IEEE802.11b發(fā)布到現(xiàn)在，有了很大的發(fā)展。這可以從加密與數(shù)據(jù)完整性校驗(yàn)協(xié)議的發(fā)展、認(rèn)證協(xié)議的發(fā)展兩方面來看。而無線局域網(wǎng)之間和無線局域網(wǎng)與廣域網(wǎng)的互通也將在很大的程度上影響安全協(xié)議的發(fā)展。

2.1、加密與數(shù)據(jù)完整性校驗(yàn)機(jī)制

把加密與數(shù)據(jù)完整性校驗(yàn)放在一起是因?yàn)閺囊婚_始這兩者就是在同一個(gè)協(xié)議中同時(shí)實(shí)現(xiàn)的，這在有線等效協(xié)議(WEP)、臨時(shí)密鑰完整性校驗(yàn)協(xié)議(TKIP)、無線魯棒的認(rèn)證協(xié)議(WRAP)、計(jì)數(shù)器模式加密和密碼本反饋模式校驗(yàn)協(xié)議(CCMP)等協(xié)議中都有體現(xiàn)。

(1)AES-OCB模式(WRAP)

帶有偏置碼的AES運(yùn)行模式(AES-OCB)是最近提出的一種基于AES的運(yùn)行模式，可以同時(shí)完成加密和數(shù)據(jù)完整性校驗(yàn)，保護(hù)對(duì)象是MSDU數(shù)據(jù)單元。數(shù)據(jù)完整性校驗(yàn)是首先把所有的明文數(shù)據(jù)分組進(jìn)行逐比特異或，然后把結(jié)果進(jìn)行AES加密。加密運(yùn)算則是通過對(duì)兩個(gè)輔助數(shù)組異或運(yùn)算和AES加密來生成密文。

AES-OCB模式的一個(gè)顯著特點(diǎn)是運(yùn)算速度快。其次是它的冗余數(shù)據(jù)非常少。但是該算法的一個(gè)顯著弱點(diǎn)就是推出不久，經(jīng)受的檢驗(yàn)太少，在某些情況下表現(xiàn)比較脆弱，因此，802.11工作組I取消了把AES-OCB作缺省算法的決定，改而使用AES-CCM協(xié)議(CCMP)。

(2)AES-CCM協(xié)議(CCMP)

AES-CCM(AES-CTR和CBC-MAC的縮寫)是802.11工作組I專門為無線局域網(wǎng)的加密和數(shù)據(jù)完整性校驗(yàn)提出的一種基于AES的運(yùn)行模式。數(shù)據(jù)完整性校驗(yàn)部分使用了密碼學(xué)上成熟的密碼本反饋鏈接(CBC)模式，保護(hù)對(duì)象是整個(gè)的MAC層協(xié)議數(shù)據(jù)單元(MPDU)和一部分媒體接入控制(MAC)幀幀頭信息。加密部分使用的則是使用計(jì)數(shù)器的一種AES運(yùn)行模式(AES-CTR)，就是用一個(gè)準(zhǔn)計(jì)數(shù)器產(chǎn)生一系列的分組作為先進(jìn)的加密算法(AES)的明文輸入，AES加密后輸出的密文作為定長的密鑰流與要保護(hù)的數(shù)據(jù)相異或產(chǎn)生密文。

AES-CCM的運(yùn)行模式使用的都是比較成熟的技術(shù)，在現(xiàn)階段草案中是下一代無線局域網(wǎng)設(shè)備必須實(shí)現(xiàn)的算法。

上述一系列算法功能的順利實(shí)現(xiàn)要求有密鑰管理部分來配合。對(duì)于密鑰管理部分，目前有靜態(tài)生成密鑰和動(dòng)態(tài)生成密鑰方案各一套，可以滿足機(jī)密性和數(shù)據(jù)完整性以及機(jī)密信息傳輸?shù)男枰Ｉ鲜鲆幌盗兴惴ê鸵恍┚唧w的規(guī)定相配合，輔以適當(dāng)?shù)挠?jì)數(shù)器、窗口技術(shù)可以實(shí)現(xiàn)抗重播的要求，并且可以和QoS相配合，滿足高質(zhì)量業(yè)務(wù)的需求。

2.2、認(rèn)證機(jī)制

認(rèn)證的目的在于為通信雙方提供識(shí)別對(duì)方的方法，然后才可能根據(jù)通信對(duì)方的身份、資源的密級(jí)和用戶的權(quán)限級(jí)別來進(jìn)行接入控制。802.11工作組I規(guī)定了認(rèn)證機(jī)制運(yùn)行框架，可以靈活使用現(xiàn)有的各種認(rèn)證方法。

(1)WEP協(xié)議中的認(rèn)證

由于802.11協(xié)議中規(guī)定的認(rèn)證算法太簡(jiǎn)單，802.11工作組I又對(duì)認(rèn)證算法提出了可雙向認(rèn)證、可生成共享密鑰、認(rèn)證強(qiáng)度要足夠高等基本需求。但是802.11工作組I并沒有直接實(shí)現(xiàn)新的認(rèn)證算法，而是引入了802.1x。

(2)基于端口的認(rèn)證協(xié)議(802.1x)

802.1x為接入控制搭建了一個(gè)框架，使得系統(tǒng)可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口。802.1x的引入帶來的一個(gè)比較實(shí)質(zhì)的變化是有了一個(gè)新的認(rèn)證體系結(jié)構(gòu)，認(rèn)證算法將由用戶端設(shè)備、接入設(shè)備、后臺(tái)認(rèn)證服務(wù)器三方完成。接入設(shè)備起到傳送作用，實(shí)際認(rèn)證在后臺(tái)服務(wù)器和用戶之間展開。這帶來的好處是方便了管理，可以更容易地與現(xiàn)有的資源融合，比如廣域無線網(wǎng)的計(jì)費(fèi)、鑒權(quán)、認(rèn)證(AAA)服務(wù)器等，也在一定程度上順應(yīng)了互通的發(fā)展潮流。但在這樣一個(gè)體系結(jié)構(gòu)中，后臺(tái)認(rèn)證服務(wù)器的引入帶來的一個(gè)問題是用戶不能識(shí)別直接的認(rèn)證方(接入點(diǎn))的合法性，同時(shí)還有密鑰的同步安裝等一些問題，因而引入了4次握手協(xié)議來解決這一問題。

(3)4次握手協(xié)議

4次握手協(xié)議的目的在于繼用戶和后臺(tái)認(rèn)證服務(wù)器建立信任關(guān)系后，在用戶和接入點(diǎn)之間建立信任關(guān)系，保證用戶和接入點(diǎn)確實(shí)擁有相同的新密鑰，并完成密鑰的同步安裝。

通過4次握手協(xié)議，802.11工作組I搭建的框架完成了用戶在某地接入時(shí)的認(rèn)證，并且可以根據(jù)認(rèn)證結(jié)果實(shí)現(xiàn)一定的控制。但還有用戶的漫游問題需要很好地解決。為此，802.11工作組I提出了預(yù)認(rèn)證協(xié)議。

(4)預(yù)認(rèn)證協(xié)議

預(yù)認(rèn)證協(xié)議是802.11工作組I為了滿足用戶漫游時(shí)的快速切換要求提出的一種認(rèn)證方案。該方案在用戶和網(wǎng)絡(luò)建立信任關(guān)系后，可以在漫游前先和目的接入點(diǎn)所在網(wǎng)絡(luò)建立信任關(guān)系，生成新的會(huì)話密鑰，并完成4次握手的第一條消息。這樣在用戶漫游到該接入點(diǎn)之后，繼續(xù)完成接下來的握手，建立通信用的臨時(shí)密鑰。這樣的好處是用戶在預(yù)認(rèn)證時(shí)不必中斷網(wǎng)絡(luò)連接，從而實(shí)現(xiàn)快速切換。

總之，認(rèn)證協(xié)議從802.11工作組一手包辦，發(fā)展到結(jié)合其他各層協(xié)議實(shí)現(xiàn)層層代理，是一個(gè)比較大的轉(zhuǎn)變，從實(shí)際的算法到僅僅提供一個(gè)框架是一種很大的進(jìn)步。上述變化帶來的好處是極大地?cái)U(kuò)展了無線局域網(wǎng)的認(rèn)證空間，可以使用各種認(rèn)證算法來完成認(rèn)證功能。

新的框架的一個(gè)很鮮明的特點(diǎn)是引入了后臺(tái)認(rèn)證服務(wù)器，后臺(tái)服務(wù)器可以位于WLAN之外的分布網(wǎng)絡(luò)，對(duì)于分布網(wǎng)絡(luò)的寬松要求使得無線局域網(wǎng)可以和現(xiàn)存的各種網(wǎng)絡(luò)實(shí)現(xiàn)互通，利用現(xiàn)存網(wǎng)絡(luò)成熟的認(rèn)證、漫游、計(jì)費(fèi)、授權(quán)技術(shù)，更好地為用戶提供服務(wù)，滿足用戶和運(yùn)營商的需求。

2.3、WLAN的互通

對(duì)于各種類型無線網(wǎng)絡(luò)的互通工作，IEEE成立了無線互連工作組(WIG)專門負(fù)責(zé)。3GPP在下一版本中也將包含WLAN的內(nèi)容，從而將實(shí)現(xiàn)WLAN和3G的互通。標(biāo)準(zhǔn)的制訂由現(xiàn)實(shí)需求以及相關(guān)公司推動(dòng)。

現(xiàn)在，廣域網(wǎng)的帶寬還不是很高，即使是2Mbit/s相比于無線局域網(wǎng)也顯得遜色。但是無線局域網(wǎng)的覆蓋低使得用戶的漫游很成問題。當(dāng)兩者結(jié)合以后，可以實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)，增加潛在的客戶數(shù)量，增加服務(wù)種類，方便用戶，同時(shí)運(yùn)營商也有利可圖，因此使得各種類型無線網(wǎng)絡(luò)的互通發(fā)展很快。這種趨勢(shì)對(duì)于WLAN安全技術(shù)的發(fā)展有一定的影響。比如EAP-AKA就是專門為WLAN與3G網(wǎng)絡(luò)互通提出的認(rèn)證方案；EAP-SIM是專門針對(duì)WLAN與GSM網(wǎng)絡(luò)互通提出的認(rèn)證方案。互通也將使得漫游問題不再困難，只要各個(gè)運(yùn)營商協(xié)商好費(fèi)用等關(guān)系，就可以利用現(xiàn)有廣域網(wǎng)資源實(shí)現(xiàn)漫游。

現(xiàn)在的問題是無線局域網(wǎng)最終標(biāo)準(zhǔn)沒有確定，無線局域網(wǎng)與其他各種網(wǎng)絡(luò)的互通的標(biāo)準(zhǔn)也沒有確定，當(dāng)真正有了統(tǒng)一的接口，用戶可以在整個(gè)無線網(wǎng)絡(luò)范圍內(nèi)自由漫游，享用接入服務(wù)時(shí)，互通才算真正的完成。

3、結(jié)論

無線局域網(wǎng)因其現(xiàn)有的安全機(jī)制WEP協(xié)議在設(shè)計(jì)上存在的嚴(yán)重安全缺陷，使得無線局域網(wǎng)在眾多的安全威脅面前無法廣泛應(yīng)用。對(duì)此，在目前的主流解決方案中，有為了保護(hù)現(xiàn)有投資者利益而提出的TKIP協(xié)議只需在現(xiàn)有的硬件基礎(chǔ)上做一些軟件升級(jí)即可，但是，其安全性仍不是很高。從根本上解決WEP協(xié)議缺陷的現(xiàn)有方案目前主要有AES-OCB和AES-CCM模式。后者因在密碼學(xué)上比較成熟而成為新的安全協(xié)議中必須實(shí)現(xiàn)的模式。

新的認(rèn)證協(xié)議框架802.1x的應(yīng)用，擴(kuò)展了無線局域網(wǎng)的認(rèn)證空間，使得無線局域網(wǎng)可以和現(xiàn)存的各種網(wǎng)絡(luò)實(shí)現(xiàn)互通，利用現(xiàn)存網(wǎng)絡(luò)的成熟的認(rèn)證、漫游、計(jì)費(fèi)、授權(quán)等技術(shù)，可以更好地為用戶提供服務(wù)，滿足用戶和運(yùn)營商的需求。

如果無線局域網(wǎng)再實(shí)現(xiàn)與無線網(wǎng)絡(luò)的安全互通，互為補(bǔ)充，那么，WLAN將具有無比的發(fā)展?jié)摿Α！?/p>

參考文獻(xiàn)：

[1]TimMoore.SuggestedChangestoRobustSecurityNetwork(RSN)forIEEE802.11[R].IEEEP802.11TaskGroupIMeetingUpdate，2002.

[2]IEEE802.11iGroup.DraftSupplement

toStandardforTelecommunicationsandInformationExchangeBetweenSystemsLAN/MANSpecificRequirements[S].2002.

[3]王育民，劉建偉.通信網(wǎng)的安全——理論與技術(shù)[M].西安:西安電子科技大學(xué)出版社，1999.

[4]陳如明.中國寬帶無線頻率規(guī)劃、頻譜管理及相關(guān)策略考慮[J].中興通訊技術(shù)，2002，8(6):1—6.

[5]趙新勝，尤肖虎.未來移動(dòng)通信系統(tǒng)中的無線資源管理[J].中興通訊技術(shù).2002，8(6):7—10.

[6]吳偉陵.下一代移動(dòng)通信探討[J].中興通訊技術(shù)，2002，8(6):11—15.

[7]劉元安.無線局域通信網(wǎng)[J].中興通訊技術(shù)，2002，8(6):16—18.

[8]曹淑敏.移動(dòng)通信的發(fā)展動(dòng)態(tài)與前景[J].中興通訊技術(shù)，2001，7(3):40—42.

[9]朱近康，邱玲.移動(dòng)通信調(diào)制技術(shù)的進(jìn)展[J].中興通訊技術(shù).2001，7(3):52—55.

[10]劉東蘇，王新梅.移動(dòng)接入系統(tǒng)的安全技術(shù)[J].中興通訊技術(shù)，2001，7(5):10—13.

[11]劉元安.寬帶無線接入與無線局域網(wǎng)[M].

北京:北京郵電大學(xué)出版社，2001.

收稿日期：2002-11-05

作者簡(jiǎn)介：

田海博，西安電子科技大學(xué)在讀碩士研究生，目前在深圳市中興通訊股份有限公司技術(shù)中心研究部信息安全實(shí)驗(yàn)室實(shí)習(xí)，研究方向?yàn)闊o線局域網(wǎng)的分組安全。

彭志威，西安電子科技大學(xué)電子工程研究所信號(hào)與信息處理專業(yè)工學(xué)博士，深圳市中興通訊股份有限公司技術(shù)中心研究部信息安全實(shí)驗(yàn)室主任工程師，長期從事第3代移動(dòng)通信系統(tǒng)的研發(fā)工作，對(duì)WCDMA系統(tǒng)的基帶處理技術(shù)——Turbo碼譯碼、多徑捕獲與跟蹤技術(shù)，對(duì)無線網(wǎng)絡(luò)安全技術(shù)，包括WLAN、WCDMA和cdma2000系統(tǒng)的安全技術(shù)有深入研究。目前主要進(jìn)行網(wǎng)絡(luò)信息安全技術(shù)的研究開發(fā)工作。

王育民，西安電子科技大學(xué)教授，博士生導(dǎo)師，中國電子學(xué)會(huì)和中國通信學(xué)會(huì)會(huì)士、中國密碼學(xué)會(huì)(籌)理事、中國電子學(xué)會(huì)信息論學(xué)會(huì)委員、中國自然基金研究會(huì)會(huì)員、IEEE高級(jí)會(huì)員。主要研究方向?yàn)橥ㄐ爬碚摗⑿畔⒄摗⒕幋a和密碼學(xué)。已在國內(nèi)外學(xué)術(shù)刊物和會(huì)議上發(fā)表論文200余篇。