|
为了保护无线局域网的数据能够安全传输,目前的各种WLAN系统采用了多种不同的安全机制。
在讨论无线局域网安全之前,先让我们来看一看网络安全是如何定义的。一般来说,网络的安全包括以下几个方面的内容:
1. 数据的安全性(Confidentiality):具体是指网络传输的信息不会被未经授权的用户所获取,这一点主要是通过各种数据加密方式来实现的。
2. 数据的完整性(Integrity):是指数据在传输的过程中,不会被非法修改,主要通过各种数据校验技术来实现。
3.数据来源的真实性(Authenticity):数据来自可靠的发送者,也就是合法用户的身份不会被非法入侵者所冒充。
无线局域网安全的最大问题在于无线通信设备是在自由空间中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。
因此,WLAN就面临一系列的安全问题,而这些问题在有线网络中并不存在。具体来说,在公众场合使用无线局域网来接入网络的用户,会担心临近的其他用户获取到自己所发送/接收到的各种数据;而在公司内部安装无线局域网的企业也会担心无线电波会穿透外墙,将公司的敏感数据泄漏出去。这就使得各种类型的用户在安装以及使用无线局域网之前,都会多一层对于数据安全方面的考虑。
在目前世界上主流的无线局域网IEEE 802.11协议中,规定了两种认证机制:开放系统认证和共享密钥认证。开放系统认证,允许任何用户接入到无线网络中来。从这个意义上来说,实际上并没有提供对数据的保护。这样对于用户而言,显然是难以让人接受的。而共享密钥认证需要用户在终端设备设置与场地中的具体AP设置相对应的密码,对于用户流动性很大的公共场合来说,共享密钥认证在操作上也具有相当大的难度。
为了给用户提供切实可行的安全解决方案,无线局域网设备的提供商提供了多种控制接入数据的方法。下面我们就来简单介绍一下目前应用中的各种安全机制。
封闭式网络
封闭式网络要求无线局域网中的各个终端设备必须在知道所要接入的无线网络标识SSID的情况下,才能够接入无线局域网,否则用户通过终端设备根本不会发觉这个区域具有无线局域网覆盖。
从前面安全性的定义而言,由于并没有对传输中的数据采取任何加密措施,因此封闭式网络只能为用户提供有限的数据来源真实性,而没有提供关于安全性和完整性的保护。对于入侵者而言,通过使用一些特定的无线局域网工具,可以抓取自由空间中所发送的各种数据包(无论这些数据的目的是什么地址)。通过对这些数据包的内容进行适当的分析,就可以很容易地获取到包括SSID在内的各种信息。通过获取到的SSID,入侵者还可以接入到网络中而不会被发现。
用户隔离
用户隔离是一个从公共WLAN运营中所发掘出来的需求。由于无线局域网接入设备AP的本质是无线的集线器,所以对广播报文是不做任何限制的。因此在同一个AP下接入的各个用户,可以在网络邻居中互相访问,这样就埋藏着很大的安全隐患。
用户隔离功能使得在同一个无线局域网中的用户不能通过网络邻居来互相访问,这样就大大增加了用户在公共区域使用无线局域网的安全性。
MAC地址过滤
MAC地址过滤是对用户所用的无线终端的MAC地址进行认证。仅当用户的MAC地址在AP等接入设备的MAC地址列表中的时候,用户才能够接入到网络中来。当需要使用网络的用户发生变化的时候,这种方式要求MAC地址列表必须随时更新。可以想像,在一些用户流动性比较大的场合,这一工作会是多么烦琐。因此,一般来说只有小型企业内部网络才会采用这种方式。
但是,与前面提到的封闭式网络相似,MAC地址过滤的方式也只能提供有限的数据来源真实性。入侵者利用网络侦听手段很容易就能够获取传输的信息。另外由于MAC地址也包含在传输的帧头中,这部分的信息也会被非法用户所获取。市面上的许多无线网卡都允许用户来设定MAC地址,因此入侵者可以通过将其MAC地址设定为合法用户的MAC地址来接入到无线网络。
Web Portal
Web Portal方式是用户在连接到AP等接入设备之后,AP会弹出一个登录菜单,由用户来输入用户名和密码。当用户将合法的用户名和密码提交到AP之后,AP会判断这个用户是否为合法用户,来允许或者是拒绝用户登录到网络。
使用Web Portal方式的时候,用户端设备在提交用户名和密码的时候,采用了加密技术,因此不会有用户名和密码的明文在无线媒介上进行传播。这样,入侵者无法通过监听信道上传输的数据,来获取用户的身份信息,从而伪装成合法的无线局域网用户。因此,相较封闭式网络和MAC地址过滤方式,Web Portal提供了更加完善的数据来源真实性。但是由于这种方式也未对无线媒介上所传输的数据进行加密,因此也不能提供无线数据的安全性和完整性。非法用户仍旧可以通过监听无线媒介上所传输的数据,来非法获取各种信息。
WEP
WEP的全称是有线对等保密机制(Wired Equivalent Privacy),是IEEE 802.11的共享密钥机制中所规定的加密方式。目前WEP广泛使用在各个无线局域网系统中。WEP采用RC4加密机制,RC4是一种流加密机制。这种加密机制通过将一个短密钥扩展成为任意长度的伪随机密钥流,发送端再用这个生成的伪随机密钥流与报文进行异或运算来产生密文。接收端用相同的密钥产生同样的密钥流,并且用这个密钥流来对密文进行异或运算来得到原始的报文。
标准的WEP采用40位的密钥,并和24位的初始化向量(IV)组成64位的RC4密钥。现在市场上存在的128位密钥是由104位的共享密钥加上24位的IV构成的。
在WEP机制中,通过对传输帧的字段加密来保证数据的安全性,通过在传输的数据之后加入完整性校验码(ICV)来保证数据的完整性,通过在收发两端共享密钥来对数据来源的真实性进行认证。
从以上的描述可以看出,WEP机制为无线局域网提供了较为全面的安全性(包括数据安全性、完整性和数据来源真实性),但是WEP机制自身却存在安全上的隐患。在WEP机制中采用40位的共享密钥和16位的IV共同生成RC4密钥,本来是为了防止入侵者根据不变的密钥流中所包含的冗余信息来还原密钥流。但是为了让接收端得到与发送端相同的RC4密钥,IV需要在数据帧中以不加密的方式进行传输。这样,实际上就将IV泄漏出去了。而且由于RC4这种类型的流加密机制的固有缺陷,使得当IV出现一些特定值的时候,会泄漏大量有关密文的信息。在2001年,AT&T的两名员工和一名莱斯大学的学生,在仅使用市面上出售的WLAN客户端设备的情况下,就成功破解了WEP加密机制。
这一攻击活动引起了对于WLAN网络安全的广泛注意。一些厂商推出了如使用更长的WEP密钥,或者避免出现不安全的IV值等新的安全方法,但都不能从根本上解决WEP的安全问题。
802.1x
为了解决WLAN中的WEP机制的缺陷,目前人们采用将802.1x机制结合到802.11中的方式。802.1x基于IETF制定的EAP建议,采用对端口进行认证的方式。在WLAN的具体应用中,一个用户无线终端和一个AP的连接被视做一个逻辑端口,只有在端口认证通过的情况下,用户无线终端才能够与AP进行通信。
802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器(网络中的服务器)。整个认证的过程从逻辑上来讲,发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
另外,802.1x可以支持多种认证模式,其中包括EAP SIM认证。这种采用SIM卡进行认证的方式在提供安全认证的同时,还使移动运营商可以通过现有的设备来进行WLAN运营。因此AP设备是否支持EAP SIM认证,对于经营WLAN业务的移动运营商而言非常重要。目前,GSM委员会正在制定通过SIM卡方式进行WLAN用户认证的建议。
虽然802.1x仍旧存在一定的缺陷,但相较WEP方式已经有了很大的改善。目前最新的WPA、IEEE 802.11i和WAPI都参考了802.1x的机制。
VPN
VPN(虚拟专用网络)利用Internet或其他网络为用户提供隧道通信方式。VPN分为PPTP、L2TP和IPSec几种方式,具有与专用网络类似的安全性能。在具体VPN应用中,用户首先需要登录到一个VPN服务器,随后用户所传输的数据帧就会在进行加密之后作为数据部分封装到新的传输帧中,再在网络上进行传输。
VPN虽然能够提供完善的安全保护,但由于其复杂程度较高,而且产品的价格高,因此仅适用于企业使用,而并不适合普通用户。另一方面,如果在WLAN中存在NAT,则会出现一些与VPN兼容的问题。
SSL
SSL(安全套接字层)协议本来是设计用来进行web安全传输的协议,是采用非对称密钥进行加密的一种方式。这种方式也可以被应用到WLAN中来。由WLAN运营商或者企业服务器为AP及合法的WLAN用户发布证书和私钥。在客户端进行网络接入的时候,AP和WLAN用户相互对彼此的证书进行认证,认证完成之后会协商一个会话密钥,之后的通信都会用这个会话密钥进行保护。
SSL无需客户端安装额外的软件,使用十分方便,并且能够提供十分强大的安全性能。目前应用中的SSL加密大部分只使用了单向认证,但为了提供全面的安全性,双向认证必然会是SSL应用发展的一个趋势。
除了这些已在使用中的安全机制以外,还有一些新的诸如IEEE 802.11i、WPA和WAPI这样的协议正在推广中。这些协议经过专家的评估,被认为能够为WLAN通信提供足够的安全性。
能够为WLAN提供何种程度的安全性,是衡量网络接入设备AP性能的一个重要指标。一些简单的AP设备只能为用户提供最基本的一些网络安全机制,而运营级别的AP则要完善得多。朗通环球公司的AP设备就能够为用户提供前文所述的各种安全机制(包括支持绝大部分AP都不提供的EAP SIM认证),给予WLAN最为全面的安全保护。
|
