嵌入式無線局網檢修管理系統的安全機制研究

摘要：基于嵌入式無線局域網(WLAN)的企業檢修管理系統中，WLAN雖然克服了有線網絡存在的不足，增強了網絡對環境的適應性，而且提供了良好的可移植性和可配置性，但也暴露出諸多安全問題，該文提出了將IEEE 802.1x可擴展認證協議(extensible authentication protocol，EAP)與VPN的因特網協議安全(Internet Protocol Security，IPSec)相結合的方案來構建安全的無線局域網，建立一個高效、安全的管理系統。

關鍵詞：無線局域網；安全機制；可認證擴展協議；因特網協議安全

中圖分類號：TN915.65文獻標識碼：A 文章編號：1009-3044(2008)31-0848-02

Research of Embededder WLAN in Overhaul Management Systerm's Security Mechanism

CHEN Shu-qian， ZHANG Li-hong

(School of Computer Engineering， Huaihai Institute of Technology， Lianyungang 222005， China)

Abstract: In the based on embedded wireless local area network (WLAN) the enterprises overhaul management system， Although WLAN have overcome deficiencies of cable network， enhance the network adaptability to the environment， provide a good portability and configurable， but WLAN has also revealed many security issues. The paper proposes solution of associating IEEE 802.1x EAP with VPN IPSes resented to build a secure wireless LAN， build an efficient and safety management system.

Key words: WLAN; Security Mechanism; EAP; IPSec

1 引言

采用嵌入式WLAN技術的企業現場檢修管理系統，能夠充分發揮嵌入式設備移動性好，便于攜帶，界面操作簡單，交互性能好的優勢，解決了企業管理人員無法實時管理、監控、干預作業過程，管理人員對檢修進度無法控制，對檢修作業的每個步驟和環節無法實時了解；無法有效堵住管理上的漏洞，可能會發生現場工人不簽、漏簽、代簽等情況，造成責任不清等問題，提高了企業信息化管理的水平。WLAN雖然克服了有線網絡本身存在的物理環境限制的不足，增強了網絡對環境的適應性，而且提供了良好的可移植性和可配置性，但也暴露出諸多安全問題。

2 嵌入式檢修管理系統的功能

企業的檢修管理部門根據檢修設備的需要下達檢修操作票，同時將操作票下載到嵌入式手持設備中，交給現場檢修負責人，現場檢修負責人帶領相關人員到達現場，按照嵌入式手持設備上顯示的檢修工作步驟進行工作，每完成一項工作，指定人員使用工號和密碼方式簽字確認，同時將完成信息通過WLAN傳回服務器，直至所有工作完成。檢修過程中，如有問題可通過對話方式實現管理人員和現場人員實時交流，并記錄在服務器中，所有工作在行中或完成后，可使用局域網內任意一臺計算機登錄服務器，進行數據的查詢和處理等相關工作。

3 系統的安全機制

企業檢修管理系統是建立在WLAN上的智能化、網絡化、移動化的管理軟件，系統中包含重要的業務數據，如檢修操作規范、檢修結果以及操作票等數據，因此系統的安全性顯得非常重要。安全的核心是人，必須以人為核心進行安全管理，采用各種先進的安全技術，使系統免受非法攻擊，排除沒有訪問權限的使用者竊取系統機密信息，確保系統安全可靠地運行。

在嵌入式檢修管理系統中采用多級校驗來保證系統安全，如操作系統級、服務器級、數據庫級和應用程序級等驗證登錄用戶的身份和許可權限，從而使得在無線網絡內的任何一臺嵌入式設備，具有不同權限的用戶訪問服務器與服務器進行數據交換。

本系統采用了WLAN，它雖然克服了有線網絡本身存在的物理環境限制的不足，但是由于信道的開放性，使得攻擊者更容易偽裝成合法用戶，而WLAN難以阻止攻擊者竊聽、惡意修改及轉發信息[1]。

本系統的安全解決方案至少應該考慮以下幾方面：

第一，在嵌入式設備或移動終端用戶利用WLAN資源前必須進行雙向身份認證，只有AP與用戶相互認證成功之后，用戶方可占用帶寬、利用網絡資源。

第二，為確保WLAN中傳輸的數據只有合法接收者才能讀取，應本著以下原則進行數據加密：加密算法滿足WLAN的需要；算法的效率高、使用靈活、移植性好。

第三，由于WLAN中信息容易丟失、被修改及轉發，因此需要采用高效的認證機制進行信息完整性認證。

第四，要確保無線局域網與有線網絡混合環境下所傳輸數據的完整性、保密性。

早期采用的基于SSID（服務區標識符）和MAC地址的訪問控制技術，非常容易被攻破。后來的WEP（有線等效保密）協議雖然提供了包括認證、加密和完整性檢查等比較全面的安全措施，但由于存在IV（初始化向量）太短、密鑰傳輸機制不符合密碼學原理，以及用于完整性檢查的CRC-32算法過于簡單等問題，造成WEP協議也無法保證WLAN的基本安全[2]。

3.1 IEEE 802.1x的安全機制

802.1x 協議是基于端口的訪問控制協議，主要功能是認證、授權和密鑰發布。IEEE 802.1x端口認證如圖1所示。

802.1x認證模型由客戶（supplicant，即客戶端）、認證者（authenticator，對應接入點）和認證服務器（authentication server，一般是RADIUS服務器）組成。它包括非受控和受控兩種邏輯端口，前者僅用于認證消息的交換，后者是客戶的局域網資源訪問點。在通過認證前，只允許非受控端口工作，只有通過認證并獲得授權后，客戶才可以通過受控端口訪問網絡資源。802.1x的主要特點之一，就是可以和上層認證協議共同提供對網絡的訪問。802.1x中的認證交換是通過可認證擴展協議EAP（extensible authentication protocol）實現的。

3.2 VPN的安全機制

VPN(Virtual Private Network)就是在公共的通信網絡上， 通過對某些特定網段進行控制， 也就是說對某些網段中傳送的網絡數據進行封裝和加密傳輸， 從而使得這部分網段具有相當于私有專用網安全級別的安全特性， 這些受控的網段形成的網絡環境被稱為是VPN。VPN技術實際上是隧道技術、加密、認證以及訪問控制的綜合， 通過VPN能夠在公開的環境里(比如Internet)實現端到端的安全通信。VPN技術中應用最廣泛的就是IPSec (Internet Protocol Security)和隧道協議。

VPN 技術目前己經比較成熟， 在WLAN中應用VPN技術， 可以在不改變802.11安全機制的情況下實現WLAN的安全。

3.3 系統的安全解決方案

由于IPSec 和802.11i屬于不同層次的網絡安全技術，兩者結合使用，雖然會占用一定的網絡帶寬，但作為一種可靠性非常高的技術，可為確保關鍵業務數據通過WLAN的正常傳輸，提供強有力的安全保障。[5]本系統提出的解決方案是將作用于網絡層的基于端口的訪問控制協議802.1x EAP與作用于應用層的虛擬專用網VPN的IPSec技術相結合。目的是先通過EAP進行認證，由于EAP協議并不能提供完整性和機密性保護，對于機密性強的數據通信，還需通過VPN建立安全的隧道，并利用IPSec中的密鑰交換協議IKE進行密鑰管理，實施信息的動態加密，從而確保無線通信的安全。方案的安全構架如圖2所示。

3.3.1 EAP認證

EAP支持的認證類型有EAP-MD5、EAP-OPT、EAP-TLS等，前兩種認證僅提供客戶端到服務器的單向認證，故存在中間人攻擊的危險。而將EAP與傳輸層安全協議(transport layersecurity，TLS)結合使用形成的EAP-TLS認證方式，可為客戶端和認證服務器提供基于公鑰機制（public key infrastructure，PKI）的對稱認證和密鑰動態生成。使用EAP-TLS認證方式數字證書、數字簽名的生成和驗證要用到數字簽名算法，數字信封的生成和解開要用到公鑰密碼體制。圖3給出了EAP-TLS認證過程。

本方案中的EAP認證分兩個階段：第1階段實現用戶對AP的認證，第2階段實現AP對用戶的認證[4]，EAP認證工作流程如下：

首先，用戶向AP發出入網申請EPAoL Start消息，由AP通知RADIUS服務器建立一條新的連接。RADIUS服務器用新建的會話標識和公鑰證書進行響應，該證書用于向用戶證明可以信任用來連接網絡的AP。用戶驗證RADIUS服務器證書的簽名有效性，然后生成密鑰并用從RADIUS服務器證書獲取的公鑰來加密它進行響應。該信息被發送回RADIUS服務器，若RADIUS服務器能夠解密這個信息，則它被認證，即完成了用戶對AP的認證。

然后，AP以EAP Request消息應答用戶，要求其提供身份。用戶向RADIUS服務器發送包括自己的公鑰證書在內的EAP Response消息作為響應，RADIUS服務器執行步驟1的逆操作，實現對STA的認證。若認證成功，RADIUS服務器向AP發送包含密鑰信息的RADIUS Accept消息，用戶向STA 轉發EAP Success 消息；否則，對STA的認證失敗，RADIUS由AP向STA發送EAP Reject消息。此時，除了用戶向RADIUS發送的EAP包，AP禁止用戶發出的其它數據包（如HTTP、POP3、DHCP），直到對稱認證成功。

最后，對稱認證成功后，RADIUS與每個用戶協商一個不同的會話密鑰，即一方產生會話密鑰，加密后通過AP轉發給另一方，由另一方解密，而AP僅需識別EAP Success或EAPReject消息來判斷接通或中斷用戶連接。隨后RADIUS向AP發送用戶訪問網絡的授權信息，用戶才能訪問網絡。

3.3.2 IPSec

IPSec 屬于網絡層的網絡安全技術，幾乎所有的下層通信協議都支持IP，從而支持IPSec；它又能很好地支持絕大部分的上層應用。IPSec 體系結構包括4個部分：安全協議（AH 和ESP）、安全關聯（Security Association，SA）、密鑰管理和密鑰交換（Internet Key Exchange，IKE）。

IPSec 可以有效地保護IP 數據包的安全，具體形式包括訪問控制、無連接完整性、數據源鑒別、拒絕重放的分組、數據內容機密性和有限的數據流機密性。IPSec 采用AES、3DES 等多種高強度加密算法，密鑰長度可以是168/128、192 和256，能夠保證數據傳輸的安全。它同時支持PKI、Secure ID 和共享秘密的用戶認證方式，可以滿足不同層次認證強度和管理的需求。數據包完整性算法為96位的MD5-HMAC（消息摘要5 －散列報文鑒別碼）或SHA-HMAC（安全散列算法－散列報文鑒別碼）。

在WLAN環境中，通過采用客戶端與IPSec-VPN網關組網的方式，能確保遠程用戶（或無線終端）與內聯網Intranet間的安全通信。

本方案在建立VPN 隧道時，由于僅僅涉及信息的發起端和終結端，因此它對于AP是透明的，即不需要AP對VPN的支持。而用戶既是EAP的客戶端又是VPN的客戶端。工作流程如下：

用戶利用VPN客戶端軟件連接VPN網關，并通過動態主機配置DHCP 服務獲取一個動態IP地址。由于需要對傳輸的數據進行加密，用于認證消息完整性的AH協議是可選的，但必須采用ESP協議。對于VPN網關與用戶間建立安全信道，可采用隧道或傳輸模式的ESP進行加/解密數據；對于跨越不同VPN網關的用戶之間，或用戶與固定終端間通信，必須采用ESP隧道模式建立安全隧道來實現數據的加/解密。無論采用何種模式的ESP，均由IKE動態生成密鑰，使得VPN網關每傳送一定數量的數據包，就重新生成并分發新的密鑰。

4 結束語

基于WLAN技術和嵌入式手持設備的企業檢修管理系統，能夠提高企業的電子信息化管理水平，真正達到對檢修過程全程管理，有利于企業對檢修人員的操作技能、操作時間等做到及時分析，有效管理。本系統采用該安全方案實現了對稱認證，要求客戶端和服務器在開始每次會話前提供認證證書，可有效避免中間人攻擊；能夠動態生成密鑰，為WLAN提供更高級別的安全和管理；通過VPN網關建立安全隧道，由IKE實施密鑰管理及動態加密，確保無線局域網與有線網絡混合環境下所傳輸數據的完整性、保密性。本系統已在某石化企業試用，軟件操作簡單、方便，企業檢修工作的準確性、及時性得到較大提高。

參考文獻：

[1] (美)Peikari， (美)CFogie，S. 無線網絡安全[M].北京: 電子工業出版社，2005.

[2] 劉乃安. 無線局域網(WLAN)， 原理、技術與應用[M]. 西安:西安電子科技大學出版社， 2004.395-405.

[3] Jyh-Cheng Chen， Ming-Chia Jiang， Vi-wen Liu.Wireless LAN Security And IEEE 802.11i[J]. Wireless Communications， IEEE， 2005， Volume 12， Issue 1:27-36.

[4] 楊磊，高海鋒，張根度. 應用于IEEE 802.1x的可擴展認證協議的安全分析[J].計算機工程， 2004，30(10):127-128.

[5] 王開云，劉淵，范曉嵐，姜建國.無線局域網802.11i與IPSec的比較分析[J]. 計算機工程與應用， 2006，(3):928-930.