WLAN 中 协议的安全和应用研究
摘要 首先分析了 无线局域网的组网原理和基本安全手段,重点讨论了广泛应
用的安全协议―IEEE 认证协议,最后简单地介绍了 IEEE 协议的特点、应
用和发展方向。
数据,因为它还没有经过身份验证。)(7)AP 使用从 RADIUS 服务器处获得的身份验证
密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验
证密钥。全局身份验证密钥必须被加密。这要求所使用的 EAP 方法必须能够生成一个加密
密钥,这也是身份验证过程的一个组成部分。传输层安全 TLS(Transport Level Security
)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以
使用 EAP-TLS 在 EAP 内部提供 TLS 机制。移动节点可被要求周期性地重新认证以保持一
定的安全级。4 协议的特点 IEEE 具有以下主要优点:(1)实现简
单。IEEE 协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以
有效降低建网成本。(2)认证和业务数据分离。IEEE 的认证体系结构中采用了“
受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后
,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其
在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。IEEE
同时具有以下不足 认证是需要网络服务的系统和网络之间的会话,这一会
话使用 IETF 的 EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制
的体系结构框架使得能够在 实体之间发送 EAP 包,并为在 AP 和工作站间的高层
认证协议建立了必要条件。对 MAC 地址的认证对 来说是最基本的,如果没有高层
的每包认证机制,认证端口没有办法标识网络申请者或其包。而且实验证明 由于
其设计缺陷其安全性已经受到威胁,常见的攻击有中间人 MIM 攻击和会话攻击。所以
与 的简单结合并不能提供健壮的安全无线环境,必须有高层的清晰的交互
认证协议来加强。幸运的是, 为实现高层认证提供了基本架构。5 认证
协议的应用 IEEE 使用标准安全协议(如 RADIUS)提供集中的用户标识、身份验
证、动态密钥管理和记帐。 身份验证可以增强安全性。IEEE 身份验证提供
对 无线网络和对有线以太网网络的经验证的访问权限。IEEE 通过提供用
户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低
程度。在此执行下,作为 RADIUS 客户端配置的无线接入点将连接请求和记帐邮件发送到
中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予
请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。IEEE
为可扩展的身份验证协议 EAP 安全类型提供的支持使您能够使用诸如智能卡、证
书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。扩展身份验证协议 EAP 是一
个支持身份验证信息通过多种机制进行通信的协议。利用 ,EAP 可以用来在申请
者和身份验证服务器之间传递验证信息。这意味着 EAP 消息需要通过 LAN 介质直接进行
封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台
远程身份验证拨入用户服务(RADIUS)服务器。以下举一个例子,说明对申请者进行身
份验证所需经过的步骤: (1)认证者发送一个 EAP - Request/Identity(请求/身份)消
息给申请者。(2)申请者发送一个 EAP - Response/Identity(响应/身份)以及它的身份
给认证者。认证者将收到的消息转发给身份验证服务器。(3)身份验证服务器利用一个
包含口令问询的 EAP - Request 消息通过认证者对申请者做出响应。(4)申请者通过认
证者将它对口令问询的响应发送给身份验证服务器。(5)如果身份验证通过,授权服务
器将通过认证者发送一个 EAP - Success 响应给申请者。认证者可以使用“Success”(成功
)响应将受控制端口的状态设置为“已授权”。6 与智能卡智能卡通常用在安
全性要求比较高的场合,并与认证协议的应用相结合。这首先是由于智能卡能够保护并安
全的处理敏感数据;而智能卡能保护密钥也是相当重要的,一切秘密寓于密钥之中,为了
能达到密码所提供的安全服务,密钥绝对不能被泄密,但为安全原因所增加的成本却不能
太多。智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算能力
方面受到的限制。目前市场上的大多数智能卡有 128 到 1024 字节的 RAM,1 k 到 16 k
字节的 EEPROM,6 k 到 16 k 字节的 ROM,CPU 通常为 8 比特的,典型的时钟频率为
MHz。任何存储或者是处理能力的增强都意味着智能卡成本的大幅度提高。另外智
能卡的数据传送是相对慢的,为提高应用的效率,基本的数据单元必须要小,这样可以减
少智能卡与卡终端之间的数据流量,其传送时间的减少则意味着实用性的增强。将
与智能卡的应用相结合的优点是:认证更加安全;生成和管理密钥方便;节省内
存空间;节省带宽,提高实用性;节省处理时间,而不需要增加硬件的处理等方面。
安全认证协议所带来的各优点恰好弥补了智能卡硬件的各种局限,不仅能有效地
降低智能卡的生产成本,也能提高智能卡的实用性。7 发展方向和趋势 无
线局域网目前的安全标准主要有两大发展主流:(1)WPA。 协议仅仅提供了一种
用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于
无线局域网的接入认证、点对点物理或逻辑端口的接入认证。WPA(Wi-Fi 受保护访问)
是一种新的基于 IEEE 标准的安全解决方法。Wi-Fi 联盟经过努力,于 2002 年 10 月下旬
宣布了基于此标准的解决方法,以便开发更加稳定的无线 LAN 安全解决方法来满足
的要求。WPA 包括 验证和 TKIP 加密(一种更高级和安全的 WEP 加密形
式),以进一步形成和完善 IEEE 标准。(2)WAPI。我国已于 2003 年 12 月 1
日起强制执行了新的无线局域网安全国家标准―无线局域网鉴别和保密基础结构 WAPI(
WLAN Authentication and Privacy Infrastructure)。WAPI 由无线局域网鉴别基础结构 WAI
(WLAN Authentication Infrastructure)和无线局域网保密基础结构 WPI(WLAN Privacy
Infrastructure)组成。WAPI 与已有安全机制相比具有其独特优点,充分体现了国家标准
的先进性。WAPI 与已有安全机制相比在很多方面都进行了改进。它已由 ISO/IEC 授权的
IEEE
Registration Authority 审查获得认可,分配了用于 WAPI 协议的以太网类型字段,这也是
我国目前在该领域惟一获得批准的协议。WAPI 采用国家密码管理委员会办公室批准的公
开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于 WLAN 设备的
数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控
制和用户信息在无线传输状态下的加密保护。
