技术前沿:无线局域网关键技术研究与展望
一、WLAN的安全机制
2004年的WLAN产品市场将面临严重考验,低端产品市场将趋于产品的同质化和价格战,假如不能顺利向企业应用高端市场挺进,WLAN投资泡沫将开始出现。与此同时,越来越多的企业决策者认为安全问题是影响他们作出WLAN部署决定的首要因素。
1.基本的WLAN安全
业务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很轻易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组答应访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;假如用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很轻易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
2、IEEE 802.11的安全技术
(1)认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他要害通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助。
(2)保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥治理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的治理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很轻易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
3、IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工治理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全要害的加密部分,TKIP没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
4、VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。假如要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
二 WLAN的切换与漫游
1、切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注重到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。假如站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
2、移动IP
在无线网络中,假如一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的非凡路由器对网络终端所处位置的网络进行治理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
3、切换与漫游存