WLAN認(rèn)證加密技術(shù)

時(shí)間：2011-05-10 14:23:00

關(guān)鍵字： WLAN 加密技術(shù) 802.1X 移動(dòng)終端

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]前言隨著移動(dòng)數(shù)據(jù)業(yè)務(wù)需求的急劇擴(kuò)大，運(yùn)營(yíng)商的主要業(yè)務(wù)增長(zhǎng)點(diǎn)已經(jīng)由傳統(tǒng)的語(yǔ)音業(yè)務(wù)過(guò)渡到高速數(shù)據(jù)業(yè)務(wù)。尤其是智能終端的普及，加速了移動(dòng)數(shù)據(jù)業(yè)務(wù)的需求，WLAN被國(guó)內(nèi)運(yùn)營(yíng)商用來(lái)分流2G/3G流量，在國(guó)內(nèi)大規(guī)模建設(shè)，W

前言

隨著移動(dòng)數(shù)據(jù)業(yè)務(wù)需求的急劇擴(kuò)大，運(yùn)營(yíng)商的主要業(yè)務(wù)增長(zhǎng)點(diǎn)已經(jīng)由傳統(tǒng)的語(yǔ)音業(yè)務(wù)過(guò)渡到高速數(shù)據(jù)業(yè)務(wù)。尤其是智能終端的普及，加速了移動(dòng)數(shù)據(jù)業(yè)務(wù)的需求，WLAN被國(guó)內(nèi)運(yùn)營(yíng)商用來(lái)分流2G/3G流量，在國(guó)內(nèi)大規(guī)模建設(shè)，WLAN正逐漸走到每個(gè)普通用戶身邊。在用戶享受WLAN帶來(lái)方便快捷的同時(shí)， WLAN的安全問(wèn)題往往被忽視。WLAN容易受到各種各樣的攻擊，WLAN的安全問(wèn)題是影響WLAN發(fā)展的制約因素之一，WLAN的安全問(wèn)題也逐漸受到運(yùn)營(yíng)商的重視。本文主要介紹目前采用的幾種常用加密認(rèn)證技術(shù)。

共享密鑰認(rèn)證（WEP）

共享密鑰認(rèn)證：基于WEP的共享密鑰認(rèn)證的目的就是實(shí)現(xiàn)訪問(wèn)控制，移動(dòng)終端和AP采用靜態(tài)WEP加密，AP和它所聯(lián)系的所有移動(dòng)終端都使用相同的加密密鑰。共享密鑰認(rèn)證作為最初的WLAN加密標(biāo)準(zhǔn)，由于其安全性較低，目前已經(jīng)很少使用。

802.1x

IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，該技術(shù)提供一個(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過(guò)以后才能連接網(wǎng)絡(luò)。IEEE 802.1x本身并不提供實(shí)際的認(rèn)證機(jī)制，需要和上層認(rèn)證協(xié)議（EAP）配合來(lái)實(shí)現(xiàn)用戶認(rèn)證和密鑰分發(fā)。EAP允許無(wú)線終端支持不同的認(rèn)證類(lèi)型，能與后臺(tái) 不同的認(rèn)證服務(wù)器進(jìn)行通信，如遠(yuǎn)程接入用戶服務(wù)（Radius）。

在采用認(rèn)證端口訪問(wèn)控制技術(shù)（IEEE802.1x）的WLAN中，無(wú)線用戶端安裝802.1x客戶端軟件，AP內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為RADIUS服務(wù)器的客戶端，負(fù)責(zé)用戶與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。一個(gè)用戶無(wú)線終端和一個(gè)AP的連接被視做一個(gè)邏輯端口，只有在端口認(rèn)證通過(guò)的情況下，用戶無(wú)線終端才能夠與AP進(jìn)行通信。

802.11i：IEEE定義的安全標(biāo)準(zhǔn)

IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過(guò)在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高 WLAN安全的目的。CCMP機(jī)制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無(wú)法通過(guò)在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。802.11i協(xié)議結(jié)構(gòu)如圖1所示。

802.11i草案標(biāo)準(zhǔn)中建議的認(rèn)證方案是基于802.1x和擴(kuò)展認(rèn)證協(xié)議（EAP）的，加密算法為高級(jí)加密標(biāo)準(zhǔn)（AES）。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以不斷演進(jìn)，與最新的安全水平保持同步，添加算法應(yīng)付新的威脅，并不斷提供保護(hù)無(wú)線局域網(wǎng)傳送的信息所需要的安全性。

802.11相關(guān)認(rèn)證方式僅是無(wú)線終端設(shè)備的認(rèn)證。在運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境中，還需要針對(duì)用戶進(jìn)行認(rèn)證、計(jì)費(fèi)，此時(shí)需要通過(guò)802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）進(jìn)行認(rèn)證。

WPA：向IEEE 802.11i過(guò)渡的中間標(biāo)準(zhǔn)

在WLAN的發(fā)展過(guò)程中，市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i的進(jìn)展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA（Wi-Fi Protected Access）標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)采用了IEEE802.11i的草案，保證了與未來(lái)出現(xiàn)的協(xié)議的前向兼容。

STA通過(guò)了802.1x身份驗(yàn)證之后，AP會(huì)得到一個(gè)與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對(duì)于使用預(yù)共享密鑰的方式來(lái)說(shuō)，PSK就是PMK）。隨后AP與STA通過(guò)EAPOL-KEY進(jìn)行WPA的四次握手（4-Way Handshake）過(guò)程，如圖2所示。

在這個(gè)過(guò)程中，AP和STA均確認(rèn)了對(duì)方是否持有與自己一致的PMK，如不一致，四次握手過(guò)程就告失敗。為了保證傳輸?shù)耐暾裕谖帐诌^(guò)程中使用了名為 MIC（Message Integrity Code）的檢驗(yàn)碼。在四次握手的過(guò)程中，AP與STA經(jīng)過(guò)協(xié)商計(jì)算出一個(gè)512位的PTK（Pairwise Transient Key），并將該P(yáng)TK分解成為五種不同用途的密鑰。

WPA2是IEEE為進(jìn)一步增強(qiáng)安全性，對(duì)WPA的加密算法進(jìn)行了增強(qiáng)：采用了CCMP機(jī)制，通過(guò)強(qiáng)度更高的AES加密算法，來(lái)提升安全性。

WAPI：中國(guó)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)

WAPI 是 Wireless LAN Authentication and Privacy Infrastructure (無(wú)限局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）的英文縮寫(xiě)，是WIFI的一種安全協(xié)議，同時(shí)也是中國(guó)無(wú)線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)。

WAPI 是我國(guó)首個(gè)在計(jì)算機(jī)寬帶無(wú)線網(wǎng)絡(luò)通信領(lǐng)域自主創(chuàng)新并擁有知識(shí)產(chǎn)權(quán)的安全接入技術(shù)標(biāo)準(zhǔn)。作為全球在此領(lǐng)域的兩個(gè)標(biāo)準(zhǔn)之一，相比另一個(gè)由美國(guó)IEEE主導(dǎo)完成的公認(rèn)存在嚴(yán)重安全缺陷的802．11i標(biāo)準(zhǔn)，WAPI具有明顯的安全和技術(shù)優(yōu)勢(shì)，迄今未被發(fā)現(xiàn)有安全技術(shù)漏洞。

WAPI的工作原理如下圖所示，整個(gè)系統(tǒng)有移動(dòng)終端MT(Mobile Terminal)、AP和認(rèn)證服務(wù)器AS組成；其中，認(rèn)證服務(wù)器AS的主要功能是負(fù)責(zé)證書(shū)的發(fā)放、驗(yàn)證與吊銷(xiāo)等；移動(dòng)終端MT與AP上都安裝有AS發(fā)放的公鑰證書(shū)，作為自己的數(shù)字身份憑證。當(dāng)MT登錄至無(wú)線接入點(diǎn)AP時(shí)，在使用或訪問(wèn) 網(wǎng)絡(luò)之前必須通過(guò)AS進(jìn)行雙向身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，只有持有合法證書(shū)的移動(dòng)終端MT才能接入持有合法證書(shū)的無(wú)線接入點(diǎn)AP。這樣不僅可以防止非法移動(dòng)終端MT接入AP而訪問(wèn)網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源，而且還可以防止移動(dòng)終端MT登錄至非法AP而造成信息泄漏。

結(jié)束語(yǔ)

WLAN的安全問(wèn)題越來(lái)越受運(yùn)營(yíng)商的重視，目前國(guó)內(nèi)運(yùn)營(yíng)商的集采的WLAN設(shè)備，均要求支持以上加密認(rèn)證技術(shù)，對(duì)WLAN的加密認(rèn)證都有嚴(yán)格的要求。這些加密認(rèn)證技術(shù)為用戶享受安全、快捷、高速的WLAN網(wǎng)絡(luò)提供了保證，保證了用戶信息的安全。