|
随着移动互联网的大潮,人们对随时随地享受网速更快、费用更低甚至是免费的网络访问有着庞大的需求。无线WLAN所具备的高带宽、低成本的特性正是满足这种庞大需求的高速无线联网的接入技术,使得越来越多的区域提供无线WLAN的接入服务。做为一项开放性的公共服务,并且是通过开放性媒介(空气),使用电磁波作为载体来传输数据信号,无线通信双方是没有物理线缆连接的。如果无线信号在空气中传输的过程未采取适当的加密保护,数据传输的风险就会大大增加。任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。因此在WLAN中确保传输的信号安全显得尤为重要。 无线WLAN的安全基本措施一般来说有以下4个方面:信息过滤、链路认证、数据安全以及接入认证。 1.信息过滤 通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。如果AP停止广播SSID(静默),那么STA必须主动提供正确的SSID才能与AP相连。所以通过设置SSID的方式可以过滤一部分非法用户,但由于一般情况下,用户自己配置客户端系统,通过共享会使得越来越多人的都知道该SSID,很容易共享给非法用户。 2.链路认证 链路认证即WLAN链路关联身份验证,是一种低级的身份验证机制。在STA同AP进行关联时发生,该行为早于接入认证。任何一个STA试图连接网络前,都必须进行链路身份验证进行身份确认。可以把链路身份验证看作是STA连接到网络时的握手过程的起点,是网络连接过程中的第一步。常用的链路认证方案包括开放系统身份认证和共享密钥身份认证。 开放系统认证 第一步,STA请求认证。STA发出认证请求,请求中包含STA的ID(通常为 MAC 地址)。 第二步,AP返回认证结果。AP发出认证响应,响应报文中包含表明认证是成功还是失败的消息。如果认证结果为成功,那么STA和AP 就通过双向认证。 共享密钥认证 共享密钥认证需要STA和AP配置相同的共享密钥。具体过程如下。 第一步,STA先向AP发送认证请求; 第二步,AP会随机产生一个Challenge包(即一个字符串)发送给STA; 第三步,STA会将接收到字符串拷贝到新的消息中,用密钥加密后再发送给AP; 第四步,AP接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给STA的字符串进行比较。如果相同,则说明STA拥有无线设备端相同的共享密钥,即通过了共享密钥认证;否则共享密钥认证失败。 3.数据安全 通过对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了 WLAN数据的安全性保护。 在WLAN中通过有线等效加密(WEP)、暂时密钥集成协议(TKIP)和高级加密标准 AES-CCMP等三种方式进行数据加密,以保证信息的传输过程不被恶意窃取。 有线等效加密(WEP) WEP是MAC层加密算法,保护终端与AP间的安全基,于对称密钥的RC4算法。WEP加密采用静态的密钥,所有STA采用相同的密钥访问无线网络。 WEP加密可以在Open system、Shared key链路认证方式中使用。 开放系统认证:WEP密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。 共享密钥认证:如果双方密钥不一致,客户端就不能通过 Shared key认证,无法上线。即当 WEP和 Shared key认证方式配合使用时,WEP也可以作为一种认证方法。 有线等效加密(WEP)的缺点是
暂时密钥集成协议(TKIP) 为增强WEP加密机制而设计的过渡方案。它也和WEP加密机制一样使用的是RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护,主要体现在以下几点:静态WEP的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥,而TKIP的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥;TKIP将密钥的长度由WEP的40位加长到128位,初始化向量IV的长度由24位加长到48位,提高了WEP加密的安全性;TKIP支持MIC认证(Message Integrity Check,信息完整性校验)和防止重放攻击功能。 发送端会使用加密算法计算一个MIC(message integrity code,消息完整码),TKIP只要在MSDU进行分片前将MIC追加到MSDU后面,形成一个新的MSDU就好了,分片的事,它不管,那是MPDU的事情。接收端收到MPDU分片以后,会先将它们重组成一个MSDU,然后进行MIC的校验。 高级加密标准 AES-CCMP CCMP加密在802.11i修正案中定义,用于取代TKIP和WEP加密。 CCMP加密使用的AES算法中都是使用的128bit的密钥和128bit的加密块,CCM主要有两个参数:M=8,表示MIC是8个字节;L=2,表示长度域是两个字节一共16位,这样就可以满足MPDU最大的长度。同时CCM需要给每个session指定不同的temporal key,而且每一个被加密的MPDU都需要一个指定的临时值,所以CCMP使用了一个48bit的PN(packet number),对同一个PN的使用将会使安全保证失效。 简单来说,TKIP主要是用来加强WEP加密,这个升级主要体现在算法上,使用TKIP加密,并不需要进行硬件的升级,也就是说只要你的硬件支持WEP加密,那么同时也能够支持更安全的TIKP加密,同过软件升级来达到安全系数提高的目的,这种做法更加的平滑,也更容易被市场接受。但是CCMP不同,它必须要更新的硬件支持才能使用,所以TKIP成了从WEP过渡到CCMP的中间产物,按照标准来说,如果你的设备可以用TKIP加密,就不要用WEP加密,如果可以支持CCMP加密,就不要用TKIP。
4.接入认证 接入认证是一种增强WLAN安全性的解决方案。当STA同AP关联后,是否可以使用AP的无线接入服务要取决于接入认证的结果。如果认证通过,则AP为STA打开网络连接端口,否则不允许用户连接网络。常用的接入认证方案有预共享密钥(Pre-shared key,PSK)接入认证、MAC认证、WEB认证和等认证方案。 PSK(Pre-shared key)认证方式 该方式要求在STA侧预先配置Key,AP通过4次握手Key协商协议来验证STA侧Key的合法性。
MAC地址认证 是一种基于端口和 MAC地址对用户的网络访问权限进行控制的认证方法。通过手工维护一组允许访问的 MAC地址列表,实现对客户端物理地址过滤。
需要在设备上预先配置允许访问的 MAC 地址列表,如果客户端的 MAC 地址不在允许访问的 MAC地址列表,将被拒绝其接入请求。 WEB认证 这种认证方式也是最常见的一种认证方式,也称为Portal认证,能够基于网页的形式向用户提供身份认证和个性化的信息服务。Portal认证系统的典型组网方式由四个基本要素组成:认证客户端、接入设备、Portal服务器与认证服务器。在无线WLANWEB认证技术里面,客户端就是指终端的浏览器、接入设备就是指无线AP,Portal服务器和认证服务器可以集成在AC控制里。 整个认证的过程如下: ①用户访问网站,经过NAS重定向到SMP(内置Portal),SMP推送认证页面; ②用户填入用户名、密码,提交页面,向SMP发起连接请求; ③SMP 向 NAS发起认证请求; ④NAS 向 SMP发起RADIUS认证,获得RADIUS认证结果; ⑤NAS 向 SMP发送认证结果; ⑥SMP 回应确认收到认证结果的报文; ⑦开始记账; ⑧SMP 将认证结果填入页面,和门户网站一起推送给客户;
以下文章有助于了解无线相关的知识,有需要的可以浏览。 |
|
|
