劉志偉 萬振凱

【摘 要】下一代移動(dòng)互聯(lián)網(wǎng)將是基于Internet的核心網(wǎng)絡(luò)和無線接入網(wǎng)絡(luò),它們需要高效地融合有線和無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以支持新的網(wǎng)絡(luò)體系結(jié)構(gòu)、協(xié)議和控制機(jī)制,提供新的無線多媒體服務(wù)與應(yīng)用。但無線傳輸介質(zhì)具有在一定范圍內(nèi)提供開放接入特性,WLAN的安全性已成為一個(gè)嚴(yán)重的問題。本文對無線局域網(wǎng)安全體系結(jié)構(gòu)的方法與技術(shù)進(jìn)行了比較全面的研究,提出了一體化安全架構(gòu)?！娟P(guān)鍵詞】WLAN 一體化 IEEE 802.11 安全架構(gòu)1. 引言無線局域網(wǎng)(WLAN)技術(shù)作為一種網(wǎng)絡(luò)接入手段,以其頻帶免費(fèi)、組網(wǎng)靈活、易于遷移等優(yōu)點(diǎn),成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展方向之一。無線通信技術(shù)發(fā)展為企業(yè)和個(gè)人帶來了很多便利,它具有輕便、效率高、安裝成本低等優(yōu)點(diǎn)。無線局域網(wǎng)允許用戶在不斷開網(wǎng)絡(luò)連接的同時(shí),可以使用筆記本電腦方便地在辦公中移動(dòng)。但使用無線技術(shù)存在著一定的風(fēng)險(xiǎn),有些風(fēng)險(xiǎn)在有線網(wǎng)絡(luò)中就存在,還有的是無線網(wǎng)絡(luò)所特有的,其原因是無線網(wǎng)絡(luò)傳輸介質(zhì)的開放性。因此有線和無線安全一體化是WLAN安全未來發(fā)展的必然趨勢。2. WLAN網(wǎng)絡(luò)標(biāo)準(zhǔn)及技術(shù)WLAN標(biāo)準(zhǔn)是關(guān)于局部區(qū)域內(nèi)無線連接固定的、便攜的或移動(dòng)的終端而制定的MAC層和物理層的技術(shù)規(guī)約,涉及到所使用的無線頻率范圍、空中接口通信協(xié)議等技術(shù)規(guī)范與技術(shù)標(biāo)準(zhǔn)。隨著WLAN的迅猛發(fā)展,其標(biāo)準(zhǔn)也在不斷發(fā)展,總趨勢是數(shù)據(jù)傳輸速率更高、安全性更好、服務(wù)質(zhì)量更有保證。同時(shí)WLAN的標(biāo)準(zhǔn)之爭也成為眾人關(guān)注的話題。2.1 IEEE的802.11系列標(biāo)準(zhǔn)在眾多的WLAN標(biāo)準(zhǔn)中,人們熟悉的是IEEE802.11系列標(biāo)準(zhǔn)。此外,歐洲電信標(biāo)準(zhǔn)化組織(ETSI)提出了HiperLan/HiperLan2標(biāo)準(zhǔn),HomeRF工作組也提出了HomeRF/HomeRF2標(biāo)準(zhǔn)。而目前應(yīng)用最為廣泛的是IEEE的802.11系列標(biāo)準(zhǔn),下面主要介紹一下IEEE821.11系列標(biāo)準(zhǔn)。1997年6月26日,IEEE802.11標(biāo)準(zhǔn)制定完成,1997年11月26日正式發(fā)布。IEEE802.11標(biāo)準(zhǔn)的制定是無線局域網(wǎng)技術(shù)發(fā)展的一個(gè)里程碑。它規(guī)范了無線局域網(wǎng)絡(luò)的媒體訪問控制層(MAC)及物理層,使得各種不同廠商的無線產(chǎn)品得以互聯(lián)。IEEE802.11標(biāo)準(zhǔn)的頒布,使得無線局域網(wǎng)在各種有移動(dòng)要求的環(huán)境中被廣泛被接受。目前IEEE己經(jīng)批準(zhǔn)了六個(gè)涉及物理層的主要標(biāo)準(zhǔn):802.11,802.11b,802.11a,802.11g和802.11n,后四個(gè)標(biāo)準(zhǔn)是802.11的升級。但802.11g及以往產(chǎn)品存在安全漏洞,為此IEEE802.11i針對IEEE802.11系列中的安全漏洞進(jìn)行了修補(bǔ),提出了MAC層安全增強(qiáng)標(biāo)準(zhǔn)和強(qiáng)健安全網(wǎng)絡(luò)的概念,考慮對遺留設(shè)備最大限度的向下兼容,在數(shù)據(jù)保護(hù)方面IEEE802.11i認(rèn)證基于成熟的802.1x、Radius體系,數(shù)據(jù)加密采用TKIP和AES-CCM,完整性校驗(yàn)采用Michael和CBC算法,在接入認(rèn)證方面802.11i引入了二層關(guān)聯(lián)后的上層協(xié)議認(rèn)證過程;在密鑰管理方面針對802.11缺乏自動(dòng)有效的密鑰管理缺陷,802.11i設(shè)計(jì)了密鑰協(xié)商的四次握手和組播密鑰握手協(xié)議。802.11i修補(bǔ)了802.11所有安全漏洞,這種修補(bǔ)大多利用已有框架、協(xié)議和方法,盡量避免重新設(shè)計(jì)新的密碼算法和協(xié)議。目前符合802.11i標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)產(chǎn)品正在普及當(dāng)中。2.1.1 802.1x接入認(rèn)證IEEE802.1x體系包括如下三個(gè)實(shí)體:圖2.1 802.1x體系架構(gòu)客戶端(Supplicant):接收認(rèn)證的客戶端,如WLAN終端(STA)。認(rèn)證系統(tǒng)(Authenticator):在無線網(wǎng)絡(luò)中就是無線接入點(diǎn)AP或者具有無線接入點(diǎn)AP功能的通信設(shè)備。其主要作用是完成用戶認(rèn)證信息(802.1x報(bào)文)在客戶端和認(rèn)證服務(wù)器之間的傳遞,控制用戶是否可以接入到網(wǎng)絡(luò)中。 認(rèn)證服務(wù)器(Authentication Server):檢驗(yàn)客戶端身份是否合法,通知認(rèn)證系統(tǒng)是否可以讓客戶端接入。一般普遍采用Radius作為認(rèn)證服務(wù)器。IEEE 802.1x并不是專為WLAN設(shè)計(jì)的,它已經(jīng)在有線網(wǎng)絡(luò)中被廣泛應(yīng)用。用這個(gè)成熟的認(rèn)證體系,確保了WLAN安全建立在一個(gè)成熟的基礎(chǔ)之上,實(shí)現(xiàn)有線和無線共用認(rèn)證體系。為適應(yīng)WLAN的特點(diǎn),IEEE 802.11i對IEEE 802.1x進(jìn)行增強(qiáng)補(bǔ)充,包括支持EAPOL-Key的協(xié)商過程等,以幫助完成設(shè)備端和客戶端進(jìn)行動(dòng)態(tài)密鑰協(xié)商和管理。IEEE 802.1x比較適合企業(yè)等應(yīng)用環(huán)境?？紤]到家庭等用戶不需要部署Radius來完成用戶身份認(rèn)證,所以802.11i還定義了預(yù)共享密鑰來讓用戶直接在WLAN設(shè)備和無線終端上配置PMK。此外為了確保兼顧漫游的安全和快速性,802.11i還定義了key cache和預(yù)認(rèn)證機(jī)制。2.1.2 IEEE 802.11i 4次握手無論是AES還是TKIP加密,密鑰的動(dòng)態(tài)協(xié)商是在WLAN終端和WLAN設(shè)備間(如AP)完成的。802.1x認(rèn)證過程既完成了用戶身份認(rèn)證,又協(xié)商出了Master key,基于后者可以計(jì)算出PMK。由于PMK只被WLAN終端和Radius server所知道,而802.11i密鑰協(xié)商過程無需Radius Server參與,所以Radius Server只將該P(yáng)MK傳遞給WLAN設(shè)備。整個(gè)802.11i密鑰協(xié)商過程由于涉及4次握手報(bào)文,所以一般稱為4次握手。4次握手結(jié)束后,將協(xié)商出用于單播密鑰加密的PTK和用于組播加密的GTK。PTK和GTK都是臨時(shí)的,滿足一定條件(如時(shí)間)就會重新動(dòng)態(tài)協(xié)商。2.1.3 TKIP加密TKIP與WEP一樣基于RC4加密算法,但相比WEP算法,將WEP密鑰長度由40位加長到128位,初始化向量IV長度由24位加長到48位,并對現(xiàn)有WEP進(jìn)行了改進(jìn),即追加了每發(fā)一個(gè)包重新生成一個(gè)新的密鑰(Per Packet Key)、消息完整性檢查(MIC)、具有序列功能的初始向量和密鑰生成和定期更新功能四種算法,提高了加密安全強(qiáng)度。此外基于4次握手所提供的會話密鑰動(dòng)態(tài)協(xié)商,更提高了安全性。雖然TKIP針對WEP加密做了極大改進(jìn)工作,但并不完美。TKIP加密和WEP加密一樣都是以RC4算法為核心,RC4算法本身存在一定缺陷,初始化向量IV長度增加也只在有限程度上提高破解難度,如延長破解信息收集時(shí)間不能從根本解決問題。因此TKIP只能作為一種過渡方案。CCMP加密CCMP提供了加密、認(rèn)證、完整性和重放保護(hù)。CCMP是基于CCM方式,該方式使用了AES(Advanced Encryption Standard)加密算法,結(jié)合用于加密的Counter Mode(CTR)和用于認(rèn)證和完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC),保護(hù)MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性。AES是一種對稱的塊加密技術(shù),提供比WEP/TKIP中RC4算法更高的加密性能。AES加密算法使用128bit分組加碼數(shù)據(jù),相比WEP攻擊者要獲取大量的密文,耗用很大資源,花費(fèi)更長時(shí)間破譯。AES具有應(yīng)用范圍廣、等待時(shí)間短、相對容易隱藏、吞吐量高的優(yōu)點(diǎn),算法在性能等各方面都優(yōu)于WEP和TKIP。AES-CCM目前是IEEE 802.11工作組在無線加密方面的終極方案。

3.無線入侵檢測系統(tǒng)前面介紹的安全標(biāo)準(zhǔn)都是一種被動(dòng)安全機(jī)制,即通過提高系統(tǒng)自身對威脅的免疫力來抵御進(jìn)攻。事實(shí)上對于DOS攻擊這些攻擊模式,這些安全手段無能為力。需要一種手段來幫助網(wǎng)絡(luò)管理者能主動(dòng)地發(fā)現(xiàn)網(wǎng)絡(luò)中隱患,第一時(shí)間主動(dòng)防御和反攻擊無線攻擊者。這種技術(shù)是無線入侵檢測系統(tǒng)。其基本原理是在網(wǎng)絡(luò)中部署一些AP并配置它們工作在監(jiān)聽模式,捕捉空間中傳播的無線報(bào)文。通過對這些報(bào)文的特征分析,識別出特定類型的攻擊方式,第一時(shí)間將安全威脅通知到管理員。此外系統(tǒng)還向干擾攻擊這些攻擊源,也結(jié)合無線定位系統(tǒng)對非法用戶和WLAN設(shè)備進(jìn)行位置定位。通常入侵檢測系統(tǒng)主要提供如下功能:非法AP檢測可以自動(dòng)監(jiān)測非法設(shè)備(例如Rouge AP,或者Ad Hoc無線終端),適時(shí)上報(bào)網(wǎng)管中心,對非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù),最大程度地保護(hù)無線網(wǎng)絡(luò)。白名單功能支持靜態(tài)配置白名單功能,該功能一旦啟用,只有白名單上無線用戶才被認(rèn)為是合法用戶,其他非法用戶的報(bào)文全部在AP上被丟棄,減少非法報(bào)文對無線網(wǎng)絡(luò)的沖擊。黑名單功能支持靜態(tài)配置黑名單和動(dòng)態(tài)黑名單功能,用戶可以通過配置方式或者設(shè)備實(shí)時(shí)檢測偵聽的方式來確定設(shè)備是否被加入黑名單,被加入到黑名單中的設(shè)備發(fā)過來的報(bào)文全部在AP上丟棄,從而減少攻擊報(bào)文對無線網(wǎng)絡(luò)的沖擊。無線協(xié)議攻擊防御支持多種攻擊檢測,如DOS攻擊、Flood攻擊,去認(rèn)證、去連接報(bào)文的仿冒檢測及無線用戶Weak IV檢測。當(dāng)控制器檢測到上述攻擊后會產(chǎn)生告警或者日志,提醒管理員進(jìn)行相應(yīng)處理。無線協(xié)議攻擊防御可以和動(dòng)態(tài)黑名單配合使用,當(dāng)控制器檢測到攻擊時(shí),將發(fā)起攻擊的無線客戶端動(dòng)態(tài)添加到動(dòng)態(tài)黑名單中,從而保證WLAN系統(tǒng)不再被該設(shè)備攻擊。4.一體化安全技術(shù)WLAN應(yīng)用當(dāng)前存在一個(gè)突出問題是:多數(shù)情況無線網(wǎng)作為獨(dú)立的網(wǎng)絡(luò)與現(xiàn)有網(wǎng)絡(luò)(主要指有線網(wǎng))分開管理。這導(dǎo)致無線網(wǎng)需要單獨(dú)的管理系統(tǒng)和安全策略,使其管理成本居高不下。此外現(xiàn)有無線安全技術(shù)基本上都是針對物理層和鏈路層安全問題而設(shè)計(jì)的,而對于網(wǎng)絡(luò)層到應(yīng)用層的攻擊往往力不從心,例如無線入侵檢測系統(tǒng)可以有效的檢測和防御基于802.11管理協(xié)議的攻擊,但對于病毒攻擊卻無能為力。隨著無線網(wǎng)絡(luò)的大規(guī)模部署,如何將無線安全技術(shù)和現(xiàn)有成熟的有線安全技術(shù)有機(jī)地結(jié)合起來形成一套一體化的安全系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)者關(guān)注的焦點(diǎn)。從網(wǎng)絡(luò)發(fā)展來看,有線和無線網(wǎng)絡(luò)融合是未來網(wǎng)絡(luò)發(fā)展的趨勢,無線網(wǎng)絡(luò)安全也會從原有的單純強(qiáng)調(diào)無線網(wǎng)絡(luò)內(nèi)的安全逐漸演化為關(guān)注有線無線一體化安全。有線無線一體化安全方案主要包含以下幾個(gè)特點(diǎn):(1)有線、無線網(wǎng)絡(luò)共用一套安全架構(gòu);(2)有線、無線網(wǎng)絡(luò)共用一套端點(diǎn)準(zhǔn)入方案;(3)有線、無線用戶接入控制統(tǒng)一管理。4.1 一體化安全架構(gòu)當(dāng)前業(yè)界已經(jīng)有越來越多的廠商在現(xiàn)有的有線交換設(shè)備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機(jī)架式設(shè)備上安插不同的安全業(yè)務(wù)插卡,用戶可以將安全業(yè)務(wù)和交換設(shè)備無縫融合,可以檢測從有線和WLAN接入層到應(yīng)用層的多層協(xié)議,實(shí)現(xiàn)高度集成化的有線無線一體化安全解決方案。這些安全業(yè)務(wù)插卡往往采用電信級硬件平臺,通過多內(nèi)核系統(tǒng)實(shí)現(xiàn)核心企業(yè)用戶對安全設(shè)備線性處理能力的需求,實(shí)現(xiàn)用戶網(wǎng)絡(luò)安全的深度防護(hù)?；谝惑w化的安全架構(gòu),在應(yīng)用層、IP層可以支持:增強(qiáng)型狀態(tài)安全過濾、抗攻擊防范能力、應(yīng)用層內(nèi)容過濾、集中管理與審計(jì)。 一旦在IP層、應(yīng)用層檢測到安全威脅(如病毒)并且這些攻擊來源于無線用戶,系統(tǒng)將自動(dòng)通知入侵檢測系統(tǒng)(模塊)將這些用戶加入到黑名單列表中,實(shí)現(xiàn)了有線和WLAN接入層到應(yīng)用層的統(tǒng)一控制。4.2 一體化端點(diǎn)準(zhǔn)入在實(shí)際網(wǎng)絡(luò)應(yīng)用中新的安全威脅不斷涌現(xiàn),病毒和蠕蟲日益肆虐,其繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大,經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓,使用戶蒙受嚴(yán)重?fù)p失。任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補(bǔ)丁級別和系統(tǒng)安全設(shè)置),都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。擁有合法身份的用戶除了被驗(yàn)證用戶名、密碼等信息外,還被檢查是否滿足安全策略的要求,包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統(tǒng)補(bǔ)丁等等。對于同時(shí)滿足了身份檢查和安全檢查的用戶,EAD會根據(jù)預(yù)定義策略為其分配對應(yīng)的網(wǎng)絡(luò)訪問權(quán)限,避免非授權(quán)的網(wǎng)絡(luò)訪問現(xiàn)象。4.3 有線無線接入控制統(tǒng)一管理早期無線網(wǎng)絡(luò)獨(dú)立于有線網(wǎng)絡(luò)建設(shè)和管理,維護(hù)者要維護(hù)兩套獨(dú)立的認(rèn)證系統(tǒng),工作量大。用戶要記住兩套賬號密碼使用便利性差。有線無線統(tǒng)一認(rèn)證系統(tǒng)可讓無線和有線用戶的認(rèn)證共用802.1x、計(jì)費(fèi)等多種公共服務(wù),又實(shí)現(xiàn)對無線業(yè)務(wù)特有服務(wù)策略控制,如基于無線SSID的控制用戶接入,實(shí)現(xiàn)對有線、無線用戶統(tǒng)一管理,簡化維護(hù)成本。5. 總結(jié)有線無線安全一體化代表了WLAN安全的最新發(fā)展方向,可以實(shí)現(xiàn)有線接入層到應(yīng)用層、WLAN接入層到應(yīng)用層、無線和有線終端準(zhǔn)入、及無線和有線用戶統(tǒng)一認(rèn)證的統(tǒng)一管理和控制。參考文獻(xiàn):[1] IEEE.Std 802.11i.2004.July 2004[2] 王順滿.無線局域網(wǎng)絡(luò)技術(shù)與安全.機(jī)械工業(yè)出版社.2005[3] H3C公司 史揚(yáng) 張海濤.WLAN一體化安全,2009(9)作者簡介:劉志偉(1981-),男,目前供職于天津商業(yè)大學(xué)寶德學(xué)院招生辦,天津工業(yè)大學(xué)計(jì)算機(jī)與軟件學(xué)院工程碩士研究生,主要研究方向:網(wǎng)絡(luò)安全。