本文分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点,介绍了最新发展的无线局域网安全机制,展望了无限局域网安全的发展方向。
无线局域网(Wireless Local Area Network,WLAN)是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。无线局域网技术具有传统局域网无法比拟的灵活性。最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,提高决策效率,还可以克服线缆限制引起的不便性。但是,无线局域网的网络空间具有开放性和终端可移动性,很难通过网络物理空间来界定终端是否属于该网络。由于无线电波暴露在空中,时刻都面临着来自外部的黑客监听的威胁。因此安全性是无线网络需要持续考虑并解决的问题。
一、 无线局域网的基本安全技术
1、 访问控制
为了提高无线网络的安全性,在IEEE802.11b协议中包含了一些基本的安全措施,包括:无线网络设备的服务区域认证ID(ESSID)、MAC地址访问控制以及WEP加密等技术。IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID,每当无线终端设备要连上AP时,AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,AP才接受无线终端的访问并提供网络服务,如果不符就拒绝给予服务。利用ESSID可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。
另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC 地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。使用ESSID和MAC地址来限制控制访问权限的方法相当于在无线网络的入口增加了一把锁,提高了无线网络使用的安全性。在搭建小型无线局域网时,使用该方法最为简单、快捷,网络管理员只需要通过简单的配置就可以完成访问权限的设置,十分经济有效。
2、数据加密
有线对等保密机制(Wired Equivalent Privacy,WEP)用于在无限局域网中保护链路层数据。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在链路层加密数据和访问控制。WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。WEP算法主要是防止无线传输信息被窃听,同时也能防止非法用户入侵网络。在一个运行WEP协议的网络上,所有用户都要使用共享密钥,也就是说用户在终端设备上需设置密码并要和其相连的接入点设置的密码相对应,才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。但是由于WEP机制实质上还是静态WEP加密,同时AP和它所联系的所有移动终端都使用相同的加密密钥,使用同一AP的用户也使用相同的加密密钥,因此带来以下的问题:一旦一个用户丢失或者泄漏密钥将使整个网络不安全,而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。
二、 新一代无线安全技术
1、 RADIUS远程认证拨入用户协议
RADIUS认证机制是在认证过程中提供认证信息的安去方法,无线终端和RADIUS服务器在有限局域网上通过接入点进行双向认证。企业不需要管理每个无线接入点内部的MAC地址表或用户,通过在RADIUS系统内设置单一数据库,就可以简化管理,又能提供一种更有效的可扩展集中认证机制,接入点的作用如同一个RADIUS用户,它可以收集用户认证信息并把这些信息传递到制定的RADIUS服务器上。RADIUS服务器接收用户的各种连接请求,进行用户鉴别,对接入点作出响应,向用户提供服务所必须的信息。接入点对RADIUS服务器的回复相应起作用,许可或拒绝网络接入。扩展认证协议(EAP)是RADIUS的扩展,可以使无线客户端适配器与RADIUS服务器通信。
2、802.1X端口访问控制机制
802.1X标准,这是一种基于端口访问控制技术的安全机制,针对以太网而提出的基于端口进行网络控制的安全性标准。尽管802.1X标准的初衷是为有线以太网设计指定的,但它也适用于符合802.11标准的无限局域网,被认为是WLAN的一种增强性网络安全解决方案。这个MAC地址层安全协议存在于安全过程中的认证阶段。应用802.1X,当一个设备请求接入AP时,AP需要一个信任集。用户必须提供一定形式的证明让AP通过一个标准的RADIUS服务器进行鉴别和授权。
当无线终端与AP关联后,是否可以使用AP的服务器要取决于802.1X的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户接入网络。对验证服务器与AP之间的数据通信进行加密处理,将802.11与RADIUS服务器和802.1X标准相结合,可以为WLAN提供认证和加密这两项安全措施外,还可以提供密钥管理功能,快速重置密钥,使用802.1X周期性地把这些密钥传送给各相关用户,这正是802.11缺乏的。
3、虚拟专用网络(VPN,Virtual Private Network)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它是部署于公共网络基础设施中的一种网络,能实现与专用网络相同的安全性、可管理性以及服务质量策略。简言之,VPN就是在客户端与企业LAN之间架起了一条128 位动态加密的“秘密隧道”,并且支持用户身份验证。通过透明运行在WLAN 上的VPN,便可实现高级别的安全。
VPN协议包括第二层PPTP/ L2TP协议及第三层的IPsec协议。IPsec 是标准的第三层安全协议,用于保护IP 数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间,或主机与网关之间。在无线局域网环境,主要采用客户端到网关组网方式。SMC公司在无线局域网VPN解决方案中支持包括
PPTP/L2TP/IPsec所有这些协议,3Com公司在无线局域网VPN解决方案中支持IPsec协议,它们都可以提供目前最高级别的168位3DES加密算法,其安全程度远远好于WEP协议。
VPN技术不属于802.11标准定义,它是一种以更强大,更可靠的加密方法来保证传输安全新的一种技术,严格来讲它可以替代WEP解决方案以及MAC 地址过滤解决方案,也可以与WEP协议互补使用。VPN安全技术适合于具有中心Radius服务器,又需要提供安全认证和计费的网络环境,因此成本比较高,目前只适用于大型企业、行业和对安全要求高的特殊场合。
4、WPA(Wi-Fi Protected Access )和强健安全网络(Robust Security Network)
在采用WEP安全标准的情况下,拥有WLAN的网络不能成为企业的核心网,只能是接入网,所以必须解决WLAN的安全问题。因此,最近推出的802.11i标准,是围绕802.1X基于端口的用户和设备认证展开的。主要包括两个方面:WPA和RSN。
1 ) 无线保护访问(WPA)规范
无线保护访问(Wi-Fi Protected Access)的Wi-Fi联盟的规范包括为资料加密以及网络访问控制而新制定的802.11i标准。WPA采用密钥集成协议(Temporal Key Integrity Protocol, TKIP)和算法进行加密。TKIP与WEP同样基于RC4加密算法,但是TKIP引入4个新算法。WPA使用IEEE802.1X端口访问控制协议进行访问控制,这是最近才完成的既控制登录有线也控制登录无线局域网的标准。运用WEP技术,每一个用户都有自己的加密密钥,并且可以定期更改密钥。在企业里,用户身份证将通过认证服务器进行,与WEP相比,它能扩展更多的用户。家庭网络用户通过“预共享密钥”模式就能使用,不需要身份认证服务器。WPA的主要目的是在老设备上引入安全孔概念,通过固件和驱动程序升级。
2 )强健安全网络(RSN)
强健安全网络在接入点和移动设备之间使用动态身份验证方法和机密运算法则。在802.11i标准草案中所建议的身份验证是以802.1X协议和“可扩展身份验证协议”(EPA)为依据的。加密运算法则使用的是“高级加密标准”AES加密算法。
认证和加密算法的动态谈判能使RSN具有灵活的升级能力,随着安全技术的进步,可以加入新的算法,对付新的威胁。使用动态谈判、802.1X、EAP和AES明显比WEP和WPA安全性更高。但RSN对硬件要求较高,只有拥有加速处理算法硬件的新设备,才能显示出WLAN产品所能期望的性能。
三、结论
无线网络安全是一个不断改善和升级的过程,当前WLAN所使用的主要安全机制包括SSID、物理地址(MAC)过滤、有线对等保密机制(WEP)都已经在实际应用中暴露出弊端。将802.1X端口控制技术、EAP认证机制和AES加密算法相结合,可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展,无线安全尚待进一步发展和完善,将用户的认证和传输数据的加密等多种措施结合起来,才能构筑安全可靠的无线局域网。