刘志伟 万振凯
【摘 要】下一代移动互联网将是基于Internet的核心网络和无线接入网络,它们需要高效地融合有线和无线网络基础设施,以支持新的网络体系结构、协议和控制机制,提供新的无线多媒体服务与应用。但无线传输介质具有在一定范围内提供开放接入特性,WLAN的安全性已成为一个严重的问题。本文对无线局域网安全体系结构的方法与技术进行了比较全面的研究,提出了一体化安全架构。【关键词】WLAN 一体化 IEEE 802.11 安全架构1. 引言无线局域网(WLAN)技术作为一种网络接入手段,以其频带免费、组网灵活、易于迁移等优点,成为无线通信与Internet技术相结合的新兴发展方向之一。无线通信技术发展为企业和个人带来了很多便利,它具有轻便、效率高、安装成本低等优点。无线局域网允许用户在不断开网络连接的同时,可以使用笔记本电脑方便地在办公中移动。但使用无线技术存在着一定的风险,有些风险在有线网络中就存在,还有的是无线网络所特有的,其原因是无线网络传输介质的开放性。因此有线和无线安全一体化是WLAN安全未来发展的必然趋势。2. WLAN网络标准及技术WLAN标准是关于局部区域内无线连接固定的、便携的或移动的终端而制定的MAC层和物理层的技术规约,涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。随着WLAN的迅猛发展,其标准也在不断发展,总趋势是数据传输速率更高、安全性更好、服务质量更有保证。同时WLAN的标准之争也成为众人关注的话题。2.1 IEEE的802.11系列标准在众多的WLAN标准中,人们熟悉的是IEEE802.11系列标准。此外,欧洲电信标准化组织(ETSI)提出了HiperLan/HiperLan2标准,HomeRF工作组也提出了HomeRF/HomeRF2标准。而目前应用最为广泛的是IEEE的802.11系列标准,下面主要介绍一下IEEE821.11系列标准。1997年6月26日,IEEE802.11标准制定完成,1997年11月26日正式发布。IEEE802.11标准的制定是无线局域网技术发展的一个里程碑。它规范了无线局域网络的媒体访问控制层(MAC)及物理层,使得各种不同厂商的无线产品得以互联。IEEE802.11标准的颁布,使得无线局域网在各种有移动要求的环境中被广泛被接受。目前IEEE己经批准了六个涉及物理层的主要标准:802.11,802.11b,802.11a,802.11g和802.11n,后四个标准是802.11的升级。但802.11g及以往产品存在安全漏洞,为此IEEE802.11i针对IEEE802.11系列中的安全漏洞进行了修补,提出了MAC层安全增强标准和强健安全网络的概念,考虑对遗留设备最大限度的向下兼容,在数据保护方面IEEE802.11i认证基于成熟的802.1x、Radius体系,数据加密采用TKIP和AES-CCM,完整性校验采用Michael和CBC算法,在接入认证方面802.11i引入了二层关联后的上层协议认证过程;在密钥管理方面针对802.11缺乏自动有效的密钥管理缺陷,802.11i设计了密钥协商的四次握手和组播密钥握手协议。802.11i修补了802.11所有安全漏洞,这种修补大多利用已有框架、协议和方法,尽量避免重新设计新的密码算法和协议。目前符合802.11i标准的无线网络产品正在普及当中。2.1.1 802.1x接入认证IEEE802.1x体系包括如下三个实体:图2.1 802.1x体系架构客户端(Supplicant):接收认证的客户端,如WLAN终端(STA)。认证系统(Authenticator):在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息(802.1x报文)在客户端和认证服务器之间的传递,控制用户是否可以接入到网络中。 认证服务器(Authentication Server):检验客户端身份是否合法,通知认证系统是否可以让客户端接入。一般普遍采用Radius作为认证服务器。IEEE 802.1x并不是专为WLAN设计的,它已经在有线网络中被广泛应用。用这个成熟的认证体系,确保了WLAN安全建立在一个成熟的基础之上,实现有线和无线共用认证体系。为适应WLAN的特点,IEEE 802.11i对IEEE 802.1x进行增强补充,包括支持EAPOL-Key的协商过程等,以帮助完成设备端和客户端进行动态密钥协商和管理。IEEE 802.1x比较适合企业等应用环境。考虑到家庭等用户不需要部署Radius来完成用户身份认证,所以802.11i还定义了预共享密钥来让用户直接在WLAN设备和无线终端上配置PMK。此外为了确保兼顾漫游的安全和快速性,802.11i还定义了key cache和预认证机制。2.1.2 IEEE 802.11i 4次握手无论是AES还是TKIP加密,密钥的动态协商是在WLAN终端和WLAN设备间(如AP)完成的。802.1x认证过程既完成了用户身份认证,又协商出了Master key,基于后者可以计算出PMK。由于PMK只被WLAN终端和Radius server所知道,而802.11i密钥协商过程无需Radius Server参与,所以Radius Server只将该PMK传递给WLAN设备。整个802.11i密钥协商过程由于涉及4次握手报文,所以一般称为4次握手。4次握手结束后,将协商出用于单播密钥加密的PTK和用于组播加密的GTK。PTK和GTK都是临时的,满足一定条件(如时间)就会重新动态协商。2.1.3 TKIP加密TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥长度由40位加长到128位,初始化向量IV长度由24位加长到48位,并对现有WEP进行了改进,即追加了每发一个包重新生成一个新的密钥(Per Packet Key)、消息完整性检查(MIC)、具有序列功能的初始向量和密钥生成和定期更新功能四种算法,提高了加密安全强度。此外基于4次握手所提供的会话密钥动态协商,更提高了安全性。虽然TKIP针对WEP加密做了极大改进工作,但并不完美。TKIP加密和WEP加密一样都是以RC4算法为核心,RC4算法本身存在一定缺陷,初始化向量IV长度增加也只在有限程度上提高破解难度,如延长破解信息收集时间不能从根本解决问题。因此TKIP只能作为一种过渡方案。CCMP加密CCMP提供了加密、认证、完整性和重放保护。CCMP是基于CCM方式,该方式使用了AES(Advanced Encryption Standard)加密算法,结合用于加密的Counter Mode(CTR)和用于认证和完整性的加密块链接消息认证码(CBC-MAC),保护MPDU数据和IEEE 802.11 MPDU帧头部分域的完整性。AES是一种对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能。AES加密算法使用128bit分组加码数据,相比WEP攻击者要获取大量的密文,耗用很大资源,花费更长时间破译。AES具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点,算法在性能等各方面都优于WEP和TKIP。AES-CCM目前是IEEE 802.11工作组在无线加密方面的终极方案。
3.无线入侵检测系统前面介绍的安全标准都是一种被动安全机制,即通过提高系统自身对威胁的免疫力来抵御进攻。事实上对于DOS攻击这些攻击模式,这些安全手段无能为力。需要一种手段来帮助网络管理者能主动地发现网络中隐患,第一时间主动防御和反攻击无线攻击者。这种技术是无线入侵检测系统。其基本原理是在网络中部署一些AP并配置它们工作在监听模式,捕捉空间中传播的无线报文。通过对这些报文的特征分析,识别出特定类型的攻击方式,第一时间将安全威胁通知到管理员。此外系统还向干扰攻击这些攻击源,也结合无线定位系统对非法用户和WLAN设备进行位置定位。通常入侵检测系统主要提供如下功能:非法AP检测可以自动监测非法设备(例如Rouge AP,或者Ad Hoc无线终端),适时上报网管中心,对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。白名单功能支持静态配置白名单功能,该功能一旦启用,只有白名单上无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,减少非法报文对无线网络的冲击。黑名单功能支持静态配置黑名单和动态黑名单功能,用户可以通过配置方式或者设备实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AP上丢弃,从而减少攻击报文对无线网络的冲击。无线协议攻击防御支持多种攻击检测,如DOS攻击、Flood攻击,去认证、去连接报文的仿冒检测及无线用户Weak IV检测。当控制器检测到上述攻击后会产生告警或者日志,提醒管理员进行相应处理。无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,将发起攻击的无线客户端动态添加到动态黑名单中,从而保证WLAN系统不再被该设备攻击。4.一体化安全技术WLAN应用当前存在一个突出问题是:多数情况无线网作为独立的网络与现有网络(主要指有线网)分开管理。这导致无线网需要单独的管理系统和安全策略,使其管理成本居高不下。此外现有无线安全技术基本上都是针对物理层和链路层安全问题而设计的,而对于网络层到应用层的攻击往往力不从心,例如无线入侵检测系统可以有效的检测和防御基于802.11管理协议的攻击,但对于病毒攻击却无能为力。随着无线网络的大规模部署,如何将无线安全技术和现有成熟的有线安全技术有机地结合起来形成一套一体化的安全系统已经成为网络建设者关注的焦点。从网络发展来看,有线和无线网络融合是未来网络发展的趋势,无线网络安全也会从原有的单纯强调无线网络内的安全逐渐演化为关注有线无线一体化安全。有线无线一体化安全方案主要包含以下几个特点:(1)有线、无线网络共用一套安全架构;(2)有线、无线网络共用一套端点准入方案;(3)有线、无线用户接入控制统一管理。4.1 一体化安全架构当前业界已经有越来越多的厂商在现有的有线交换设备上集成无线交换功能、防火墙功能、入侵检测功能、VPN功能。通过在机架式设备上安插不同的安全业务插卡,用户可以将安全业务和交换设备无缝融合,可以检测从有线和WLAN接入层到应用层的多层协议,实现高度集成化的有线无线一体化安全解决方案。这些安全业务插卡往往采用电信级硬件平台,通过多内核系统实现核心企业用户对安全设备线性处理能力的需求,实现用户网络安全的深度防护。基于一体化的安全架构,在应用层、IP层可以支持:增强型状态安全过滤、抗攻击防范能力、应用层内容过滤、集中管理与审计。 一旦在IP层、应用层检测到安全威胁(如病毒)并且这些攻击来源于无线用户,系统将自动通知入侵检测系统(模块)将这些用户加入到黑名单列表中,实现了有线和WLAN接入层到应用层的统一控制。4.2 一体化端点准入在实际网络应用中新的安全威胁不断涌现,病毒和蠕虫日益肆虐,其繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使用户蒙受严重损失。任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满足安全策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户,EAD会根据预定义策略为其分配对应的网络访问权限,避免非授权的网络访问现象。4.3 有线无线接入控制统一管理早期无线网络独立于有线网络建设和管理,维护者要维护两套独立的认证系统,工作量大。用户要记住两套账号密码使用便利性差。有线无线统一认证系统可让无线和有线用户的认证共用802.1x、计费等多种公共服务,又实现对无线业务特有服务策略控制,如基于无线SSID的控制用户接入,实现对有线、无线用户统一管理,简化维护成本。5. 总结有线无线安全一体化代表了WLAN安全的最新发展方向,可以实现有线接入层到应用层、WLAN接入层到应用层、无线和有线终端准入、及无线和有线用户统一认证的统一管理和控制。参考文献:[1] IEEE.Std 802.11i.2004.July 2004[2] 王顺满.无线局域网络技术与安全.机械工业出版社.2005[3] H3C公司 史扬 张海涛.WLAN一体化安全,2009(9)作者简介:刘志伟(1981-),男,目前供职于天津商业大学宝德学院招生办,天津工业大学计算机与软件学院工程硕士研究生,主要研究方向:网络安全。