本文介紹并分析了無線局域網(wǎng)安全技術(shù)，包括訪問控制、認證、加密、數(shù)據(jù)完整性及不可否認性，介紹了目前流行的幾種無線局域網(wǎng)安全技術(shù)標準(WEP，WPA，WAPI)并闡述了其優(yōu)劣，最后對無線局域網(wǎng)安全測試系統(tǒng)進行了介紹。

　　1、引言

　　隨著無線局域網(wǎng)應(yīng)用的日益廣泛，其安全問題也越來越受到人們的關(guān)注。對于有線網(wǎng)絡(luò)，數(shù)據(jù)通過電纜傳輸?shù)教囟ǖ哪康牡?，通常在物理鏈路遭到破壞的情況下，數(shù)據(jù)才有可能泄露;而無線局域網(wǎng)中，數(shù)據(jù)是在空中傳播，只要在無線接入點(AP)覆蓋的范圍內(nèi)，終端都可以接收到無線信號，無線接入點(AP)不能將信號定向到一個特定的接收設(shè)備，因此無線局域網(wǎng)的安全問題顯得尤為突出。

　　2、無線局域網(wǎng)安全技術(shù)研究

　　為了保證安全通信，無線局域網(wǎng)中應(yīng)采取必要的安全技術(shù)，包括訪問控制、認證、加密、數(shù)據(jù)完整性及不可否認性等。

　　2.1 認證

　　認證提供了關(guān)于用戶的身份的保證，這意味著當用戶聲稱具有一個特別的身份時，認證將提供某種方法來證實這一聲明是正確的。用戶在訪問無線局域網(wǎng)之前，首先需要經(jīng)過認證驗證身份以決定其是否具有相關(guān)權(quán)限，再對用戶進行授權(quán)，允許用戶接入網(wǎng)絡(luò)，訪問權(quán)限內(nèi)的資源。

　　盡管不同的認證方式?jīng)Q定用戶身份驗證的具體流程不同，但認證過程中所應(yīng)實現(xiàn)的基本功能是一致的。目前無線局域網(wǎng)中采用的認證方式主要有PPPoE認證、WEB認證和802.1X認證。

　　2.1.1 基于PPPoE的認證

　　PPPoE認證是出現(xiàn)最早也是最為成熟的一種接入認證機制，現(xiàn)有的寬帶接入技術(shù)多數(shù)采用這種接入認證方式。在無線局域網(wǎng)中，采用PPPoE認證，只需對原有的后臺系統(tǒng)增加相關(guān)的軟件模塊，就可以到達認證的目的，從而大大節(jié)省投資，因此使用較為廣泛。圖1是基于PPPoE認證的無線局域網(wǎng)網(wǎng)絡(luò)框架。

　　PPPoE認證是一種成熟的認證方式，實現(xiàn)方便。但是由于它是基于用戶名/口令的認證方式，并只能實現(xiàn)網(wǎng)絡(luò)對用戶的認證。安全性有限;網(wǎng)絡(luò)中的接入服務(wù)器需要終結(jié)大量的PPP會話，轉(zhuǎn)發(fā)大量的IP數(shù)據(jù)包，在業(yè)務(wù)繁忙時，很可能成為網(wǎng)絡(luò)性能的瓶頸，因此使用PPPoE認證方式對組網(wǎng)方式和設(shè)備性能的要求較高;而且由于接入服務(wù)器與用戶終端之間建立的是點到點的連接。即使幾個用戶同屬于一個組播組，也要為每個用戶單獨復制一份數(shù)據(jù)流，才能夠支持組播業(yè)務(wù)的傳輸。

　　2.1.2 基于WEB的認證

　　WEB認證相比于PPPoE認證，一個非常重要的特點就是客戶端除了IE瀏覽器外不需要安裝認證客戶端軟件，給用戶免去了安裝、配置與管理客戶端軟件的煩惱，也給運營維護人員減少了很多相關(guān)的維護壓力。同時，WEB認證配合Portal服務(wù)器，還可在認證過程中向用戶推送門戶網(wǎng)站，有助于開展新的增值業(yè)務(wù)。圖2是基于WEB認證的無線局域網(wǎng)網(wǎng)絡(luò)框架。

　　在WEB認證過程中，用戶首先通過DHCP服務(wù)器獲得IP地址，使用這個地址可以與Portal服務(wù)器通信，也可訪問一些內(nèi)部服務(wù)器。在認證過程中，用戶的認證請求被重定向到Portal服務(wù)器，由Portal服務(wù)器向用戶推送認證界面。

　　2.1.3 基于802.1X的認證

　　802.1X認證是采用IEEE802.1X協(xié)議的認證方式的總稱。IEEE 802.1X協(xié)議由IEEE于2001年6月提出，是一種基于端口的訪問控制協(xié)議(Port Based Network Access Control Protocol)，能夠?qū)崿F(xiàn)對局域網(wǎng)設(shè)備的安全認證和授權(quán)。802.1X協(xié)議的基礎(chǔ)在于EAP(Extensible Authentication Protocol)認證協(xié)議，即IETF提出的PPP協(xié)議的擴展。EAP消息包含在IEEE 802.1X消息中，被稱為EAPOL(EAP over LAN)。IEEE 802.1X協(xié)議的體系結(jié)構(gòu)包括三個重要的部分，客戶端、認證系統(tǒng)和認證服務(wù)器。三者之間通過EAP協(xié)議進行通信，基于802.1X認證的無線局域網(wǎng)網(wǎng)絡(luò)框圖如圖3所示。可知，在一個802.1X的無線局域網(wǎng)認證系統(tǒng)中，認證不是由接入點AP完成，而是由一個專門的中心服務(wù)器完成。如果服務(wù)器使用Radius協(xié)議時，則稱為Radius服務(wù)器。用戶可以通過任何一臺PC登陸到網(wǎng)絡(luò)上，而且很多AP可以共享一個單獨的Radius服務(wù)器來完成認證，這使得網(wǎng)絡(luò)管理者能更容易地控制網(wǎng)絡(luò)接入。

　　802.1X使用EAP協(xié)議來完成認證，但EAP本身不是一個認證機制，而是一個通用架構(gòu)用來傳輸實際的認證協(xié)議。EAP的好處就是當一個新的認證協(xié)議發(fā)展出來的時候，基礎(chǔ)的EAP機制不需要隨著改變。目前有超過20種不同的EAP協(xié)議，而各種不同形態(tài)間的差異在于認證機制與密鑰管理的不同。其中比較有名的EAP協(xié)議包括：最基本的EAP-MD5;需要公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)的EAP-TTLS，PEAP，EAP-TLS與EAP-LEAP;基于SIM卡的EAP-AKA與EAP-SIM：基于密碼的EAP-SRP和EAP-SPEKE;基于預共享密鑰PSK(Pre Shared Key)的EAP-SKE，EAP PSK與EAP-FAST。

　　2.2 訪問控制

　　訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權(quán)的訪問，所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

　　2.3 加密

　　加密就是保護信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實體。加密又可細分為兩種類型：數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。數(shù)據(jù)保密業(yè)務(wù)使得攻擊者想要從某個數(shù)據(jù)項中推出敏感信息是困難的，而業(yè)務(wù)量保密業(yè)務(wù)使得攻擊者想要通過觀察網(wǎng)絡(luò)的業(yè)務(wù)流來獲得敏感信息也是十分困難的。

　　根據(jù)密碼算法所使用的加密密鑰和解密是否相同，由加密過程能否推導出解密過程(或是由解密過程推導出加密過程)，可將密碼體制分為單鑰密碼體制(也叫做對稱密碼體制、秘密密鑰密碼體制)和雙鑰密碼體制(也叫做非對稱密碼體制、公開密鑰密碼體制)。

　　2.3.1 單鑰密碼體制

　　分組密碼是一種常見的單鑰體制。其中有兩種著名的分組密碼：

　　數(shù)據(jù)加密標準DES(Data Encryption Standard)：DES的出現(xiàn)引起了學術(shù)界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實現(xiàn)DES算法的產(chǎn)品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

　　高級加密標準AES(Advanced Encryption Standard)：為了克服DES的缺點，美國國家標準和技術(shù)研究所(NIST)開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

　　2.3.2 雙鑰密碼體制

　　自從雙鑰密碼體制的概念被提出以后，相繼提出了許多雙鑰密碼方案。在不斷的研究和實踐中。有的被攻破了，有的不太實用。目前只有三種類型的雙鑰系統(tǒng)是有效和安全的，即：基于大整數(shù)分解困難性問題的RSA公鑰密碼;基于有限域的乘法群上的離散對數(shù)問題的DSA或E1 Gamal加密體制;基于橢圓曲線離散對數(shù)的橢圓曲線密碼體制(CCC)。

　　2.4 數(shù)據(jù)完整性

　　所謂數(shù)據(jù)完整性，是使接收方能夠確切地判斷所接收到的消息有沒有在傳輸過程中遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。

　　2.5 不可否認性

　　不可否認性是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務(wù)，也就是說，當接收方接收到一條消息后，能夠提供足夠的證據(jù)向第三方證明這條消息的確來自某個發(fā)送方，而使得發(fā)送方抵賴發(fā)送過這條消息的圖謀失敗。同理，當發(fā)送一條消息時，發(fā)送方也有足夠的證據(jù)證明某個接收方的確已經(jīng)收到這條消息。

　　3、無線局域網(wǎng)安全標準分析

　　3.1 IEEE802.11安全標準：WEP

　　IEEE 802.11標準通過有線對等保密協(xié)議WEP(Wired Equivalent Privacy)來實現(xiàn)認證與數(shù)據(jù)加密，認證模式有Open Authentication和Shared Key Authentication兩種。WEP使用RSA Data Security公司的Ron Rivest發(fā)明的RC4流密碼進行加密。屬于一種對稱的流密碼，支持可變長度的密鑰。

　　后來的研究表明，RC4密鑰算法有內(nèi)在設(shè)計缺陷。由于WEP中實施的RC4選擇了24位初始化向量IV(Initial Vector)，而且不能動態(tài)專用加密密鑰，因此這些缺陷在使用WEP的802.11加密幀中都有實際應(yīng)用。最典型的FMS攻擊已經(jīng)能夠捕獲100萬個包從而獲得靜態(tài)WEP密鑰。因此802.11中的WEP安全技術(shù)并不能夠為無線用戶提供足夠的安全保護。

　　3.2 IEEE802.11i與WPA安全標準

　　為了使WLAN技術(shù)從這種被動局面中解脫出來，IEEE 802.11i工作組致力于制訂新一代安全標準，主要包括加密技術(shù)：TKIP(Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard)，以及認證協(xié)議IEEE802.1x。

　　認證方面。IEEE 802.11i采用802.1x接入控制，實現(xiàn)無線局域網(wǎng)的認證與密鑰管理，并通過EAP-Key的四向握手過程與組密鑰握手過程，創(chuàng)建、更新加密密鑰，實現(xiàn)802.11i中定義的魯棒安全網(wǎng)絡(luò)(Robust Security Network，簡稱RSN)的要求。

　　數(shù)據(jù)加密方面，IEEE 802.1li定義了TKIP(Temporal Key Integrity Protocol)，CCMP(Counter-Mode/CBC-MAC Protocol和WRAP(Wireless Robust Authenticated Protocol)三種加密機制。

　　一方面，TKIP采用了擴展的48位IV和IV順序規(guī)則、密鑰混合函數(shù)(Key Mixing Function)，重放保護機制和Michael消息完整性代碼(安全的MIC碼)這4種有力的安全措施，解決了WEP中存在的安全漏洞，提高了安全性。就目前已知的攻擊方法而言，TKIP是安全的。另一方面，TKIP不用修改WEP硬件模塊，只需修改驅(qū)動程序，升級起來也具有很大的便利性。因此，采用TKIP代替WEP是合理的。

　　但是TKIP是基于RC4的，RC4已被發(fā)現(xiàn)存在問題，可能今后還會被發(fā)現(xiàn)其他的問題。另外，RC4一類的序列算法，其加解密操作只是簡單的異或運算，在無線環(huán)境下具有一定的局限性，因此TKIP只能作為一種短期的解決方案。

　　此外，802.11中配合AES使用的加密模式CCM和OCB，并在這兩種模式的基礎(chǔ)上構(gòu)造了CCMP和WRAP密碼協(xié)議。CCMP機制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)認證方式，使得WLAN的安全程度大大提高。是實現(xiàn)RSN的強制性要求。由于AES對硬件要求比較高。因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進行升級實現(xiàn)。WRAP機制則是基于AES加密算法和OCB(Offset Code book)。

　　由于市場對于提高WLAN安全的需求十分緊迫，在IEEE 802.11i標準最終確定前，Wi-Fi聯(lián)盟制定了WPA(Wi-Fi Protected Access)標準作為代替WEP的向802.11i過渡的無線安全標準。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

　　3.3 中國無線局域網(wǎng)安全標準：WAPI

　　WAPI，即無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WLAN Authentication and Privacy Infrastructure)是中國境內(nèi)惟一合法的無線網(wǎng)絡(luò)技術(shù)標準。WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護，旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。優(yōu)秀的認證和安全機制使WAPI非常適合于運營商的PWLAN運營。

　　WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WLAN Authentication Infrastructure，簡稱WAI)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WLAN Privacy Infrastructure，簡稱WPI)兩部分組成，WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸數(shù)據(jù)的加密。其中，WAI采用公開密鑰密碼體制，利用公鑰證書來對WLAN系統(tǒng)中的STA和AP進行認證。WAI定義了一種名為認證服務(wù)單元ASU(Authentication Service Unit)的實體，用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書里面包含有證書頒發(fā)者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法)，是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。WPI采用對稱密碼算法實現(xiàn)對MAC層MSDU的加、解密操作。

　　WAPI整個系統(tǒng)由移動終端MT(Mobile Terminal)、AP和認證服務(wù)單元ASU組成;其中，ASU完成認證機構(gòu)CA(Certificate Authority)的功能，負責證書的發(fā)放、驗證與吊銷等;移動終端MT與AP上都安裝有ASU發(fā)放的公鑰證書，作為自己的數(shù)字身份憑證。當MT登錄至無線接入點AP時，在使用或訪問網(wǎng)絡(luò)之前必須通過ASU進行雙向身份驗證。根據(jù)驗證的結(jié)果，只有持有合法證書的移動終端MT才能接入持有合法證書的無線接入點AP。這樣不僅可以防止非法移動終端MT接入AP而訪問網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源，而且還可以防止移動終端MT登錄至非法AP而造成信息泄漏。

　　4、無線局域網(wǎng)安全測試

　　運營級無線局域網(wǎng)安全測試系統(tǒng)主要包括以下設(shè)備：

　　端站(Station，簡稱STA)

　　端站STA是無線局域網(wǎng)中的數(shù)字鏈路終端設(shè)備，可以通過不用接口接入或嵌入到數(shù)字終端設(shè)備中，如PC、PDA或手持式終端設(shè)備。

　　接入點(Access Point，簡稱AP)

　　無線接入點AP下行通過標準的空中接口協(xié)議于STA通信，而上行通過有線網(wǎng)絡(luò)進行數(shù)據(jù)的分發(fā)，從而達到無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的互通。

　　接入控制器(Access Controller，簡稱AC)

　　接入控制器AC相當于無線局域網(wǎng)與傳送網(wǎng)之間的網(wǎng)關(guān)，將來自不同AP的數(shù)據(jù)進行業(yè)務(wù)匯聚，反之將來自業(yè)務(wù)網(wǎng)的數(shù)據(jù)分發(fā)到不同AP，此外還負責用戶的接入認證功能，執(zhí)行AAA代理功能。

　　AAA服務(wù)器

　　AAA服務(wù)器是實現(xiàn)認證、授權(quán)和計費(AAA，Authentication，Authorization & Accounting)功能的網(wǎng)絡(luò)服務(wù)器。認證服務(wù)器保存用戶的認證信息和相關(guān)屬性，當接收到認證申請時，支持在數(shù)據(jù)庫中對用戶數(shù)據(jù)的查詢。在認證完成后，授權(quán)服務(wù)器根據(jù)用戶信息授權(quán)用戶具有不同的屬性。計費服務(wù)器完成用戶計費信息的處理，并根據(jù)用戶簽約信息中的計費屬性，實現(xiàn)預付費、后付費業(yè)務(wù)等。

　　目前的AAA服務(wù)器主要為支持Radius協(xié)議的服務(wù)器，未來還可以采用Diameter協(xié)議。

　　Portal服務(wù)器

　　Portal服務(wù)器即門戶服務(wù)器，與AC配合共同完成無線局域網(wǎng)用戶門戶網(wǎng)站頁面的推送，提供Portal業(yè)務(wù)。

　　管理服務(wù)器

　　管理服務(wù)器主要負責實現(xiàn)無線局域網(wǎng)的網(wǎng)絡(luò)管理功能，包括配置管理、故障管理、性能管理、安全管理等。

　　測試系統(tǒng)主要由熱點地區(qū)的無線局域網(wǎng)接入網(wǎng)絡(luò)和后臺的服務(wù)系統(tǒng)組成，其中，接入網(wǎng)絡(luò)主要由接入點AP和接入控制器AC構(gòu)成，而后臺服務(wù)系統(tǒng)完成認證、計費、應(yīng)用服務(wù)和網(wǎng)管等功能。同時由于目前還存在基于七號信令網(wǎng)的SIM認證，因此系統(tǒng)中還包含鑒權(quán)服務(wù)器AS和用戶數(shù)據(jù)庫HLR/Auc。認證中心的主要設(shè)備是Radius服務(wù)器，用來存儲用戶的身份信息，并完成用戶的認證和鑒權(quán)等功能。計費中心則主要完成用戶的計費功能。應(yīng)用服務(wù)器可為用戶提供WWW，F(xiàn)TP等多種應(yīng)用服務(wù)。網(wǎng)管中心則實現(xiàn)無線局域網(wǎng)的配置、安全、性能等多方面的管理，保障無線局域網(wǎng)的可靠運行。

　　5、結(jié)束語

　　無線局域網(wǎng)目前正處于蓬勃發(fā)展時期，而無線局域網(wǎng)的安全問題也是業(yè)界尤為關(guān)注的焦點之一。只有在現(xiàn)有的無線局域網(wǎng)安全框架基礎(chǔ)上，運用相關(guān)的關(guān)鍵技術(shù)搭建一個增強的、有足夠安全性的無線局域網(wǎng)，才能推動無線局域網(wǎng)的實際應(yīng)用，尤其是在企業(yè)、機關(guān)等重要部門中的使用。也只有這樣，無線局域網(wǎng)才能安全順利地與其他有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)乃至3G網(wǎng)絡(luò)實現(xiàn)互聯(lián)互通，并發(fā)揮其巨大的潛力。