劉志偉 萬振凱
【摘 要】下一代移動互聯網將是基于Internet的核心網絡和無線接入網絡,它們需要高效地融合有線和無線網絡基礎設施,以支持新的網絡體系結構、協議和控制機制,提供新的無線多媒體服務與應用。但無線傳輸介質具有在一定范圍內提供開放接入特性,WLAN的安全性已成為一個嚴重的問題。本文對無線局域網安全體系結構的方法與技術進行了比較全面的研究,提出了一體化安全架構。【關鍵詞】WLAN 一體化 IEEE 802.11 安全架構1. 引言無線局域網(WLAN)技術作為一種網絡接入手段,以其頻帶免費、組網靈活、易于遷移等優(yōu)點,成為無線通信與Internet技術相結合的新興發(fā)展方向之一。無線通信技術發(fā)展為企業(yè)和個人帶來了很多便利,它具有輕便、效率高、安裝成本低等優(yōu)點。無線局域網允許用戶在不斷開網絡連接的同時,可以使用筆記本電腦方便地在辦公中移動。但使用無線技術存在著一定的風險,有些風險在有線網絡中就存在,還有的是無線網絡所特有的,其原因是無線網絡傳輸介質的開放性。因此有線和無線安全一體化是WLAN安全未來發(fā)展的必然趨勢。2. WLAN網絡標準及技術WLAN標準是關于局部區(qū)域內無線連接固定的、便攜的或移動的終端而制定的MAC層和物理層的技術規(guī)約,涉及到所使用的無線頻率范圍、空中接口通信協議等技術規(guī)范與技術標準。隨著WLAN的迅猛發(fā)展,其標準也在不斷發(fā)展,總趨勢是數據傳輸速率更高、安全性更好、服務質量更有保證。同時WLAN的標準之爭也成為眾人關注的話題。2.1 IEEE的802.11系列標準在眾多的WLAN標準中,人們熟悉的是IEEE802.11系列標準。此外,歐洲電信標準化組織(ETSI)提出了HiperLan/HiperLan2標準,HomeRF工作組也提出了HomeRF/HomeRF2標準。而目前應用最為廣泛的是IEEE的802.11系列標準,下面主要介紹一下IEEE821.11系列標準。1997年6月26日,IEEE802.11標準制定完成,1997年11月26日正式發(fā)布。IEEE802.11標準的制定是無線局域網技術發(fā)展的一個里程碑。它規(guī)范了無線局域網絡的媒體訪問控制層(MAC)及物理層,使得各種不同廠商的無線產品得以互聯。IEEE802.11標準的頒布,使得無線局域網在各種有移動要求的環(huán)境中被廣泛被接受。目前IEEE己經批準了六個涉及物理層的主要標準:802.11,802.11b,802.11a,802.11g和802.11n,后四個標準是802.11的升級。但802.11g及以往產品存在安全漏洞,為此IEEE802.11i針對IEEE802.11系列中的安全漏洞進行了修補,提出了MAC層安全增強標準和強健安全網絡的概念,考慮對遺留設備最大限度的向下兼容,在數據保護方面IEEE802.11i認證基于成熟的802.1x、Radius體系,數據加密采用TKIP和AES-CCM,完整性校驗采用Michael和CBC算法,在接入認證方面802.11i引入了二層關聯后的上層協議認證過程;在密鑰管理方面針對802.11缺乏自動有效的密鑰管理缺陷,802.11i設計了密鑰協商的四次握手和組播密鑰握手協議。802.11i修補了802.11所有安全漏洞,這種修補大多利用已有框架、協議和方法,盡量避免重新設計新的密碼算法和協議。目前符合802.11i標準的無線網絡產品正在普及當中。2.1.1 802.1x接入認證IEEE802.1x體系包括如下三個實體:圖2.1 802.1x體系架構客戶端(Supplicant):接收認證的客戶端,如WLAN終端(STA)。認證系統(tǒng)(Authenticator):在無線網絡中就是無線接入點AP或者具有無線接入點AP功能的通信設備。其主要作用是完成用戶認證信息(802.1x報文)在客戶端和認證服務器之間的傳遞,控制用戶是否可以接入到網絡中。 認證服務器(Authentication Server):檢驗客戶端身份是否合法,通知認證系統(tǒng)是否可以讓客戶端接入。一般普遍采用Radius作為認證服務器。IEEE 802.1x并不是專為WLAN設計的,它已經在有線網絡中被廣泛應用。用這個成熟的認證體系,確保了WLAN安全建立在一個成熟的基礎之上,實現有線和無線共用認證體系。為適應WLAN的特點,IEEE 802.11i對IEEE 802.1x進行增強補充,包括支持EAPOL-Key的協商過程等,以幫助完成設備端和客戶端進行動態(tài)密鑰協商和管理。IEEE 802.1x比較適合企業(yè)等應用環(huán)境??紤]到家庭等用戶不需要部署Radius來完成用戶身份認證,所以802.11i還定義了預共享密鑰來讓用戶直接在WLAN設備和無線終端上配置PMK。此外為了確保兼顧漫游的安全和快速性,802.11i還定義了key cache和預認證機制。2.1.2 IEEE 802.11i 4次握手無論是AES還是TKIP加密,密鑰的動態(tài)協商是在WLAN終端和WLAN設備間(如AP)完成的。802.1x認證過程既完成了用戶身份認證,又協商出了Master key,基于后者可以計算出PMK。由于PMK只被WLAN終端和Radius server所知道,而802.11i密鑰協商過程無需Radius Server參與,所以Radius Server只將該PMK傳遞給WLAN設備。整個802.11i密鑰協商過程由于涉及4次握手報文,所以一般稱為4次握手。4次握手結束后,將協商出用于單播密鑰加密的PTK和用于組播加密的GTK。PTK和GTK都是臨時的,滿足一定條件(如時間)就會重新動態(tài)協商。2.1.3 TKIP加密TKIP與WEP一樣基于RC4加密算法,但相比WEP算法,將WEP密鑰長度由40位加長到128位,初始化向量IV長度由24位加長到48位,并對現有WEP進行了改進,即追加了每發(fā)一個包重新生成一個新的密鑰(Per Packet Key)、消息完整性檢查(MIC)、具有序列功能的初始向量和密鑰生成和定期更新功能四種算法,提高了加密安全強度。此外基于4次握手所提供的會話密鑰動態(tài)協商,更提高了安全性。雖然TKIP針對WEP加密做了極大改進工作,但并不完美。TKIP加密和WEP加密一樣都是以RC4算法為核心,RC4算法本身存在一定缺陷,初始化向量IV長度增加也只在有限程度上提高破解難度,如延長破解信息收集時間不能從根本解決問題。因此TKIP只能作為一種過渡方案。CCMP加密CCMP提供了加密、認證、完整性和重放保護。CCMP是基于CCM方式,該方式使用了AES(Advanced Encryption Standard)加密算法,結合用于加密的Counter Mode(CTR)和用于認證和完整性的加密塊鏈接消息認證碼(CBC-MAC),保護MPDU數據和IEEE 802.11 MPDU幀頭部分域的完整性。AES是一種對稱的塊加密技術,提供比WEP/TKIP中RC4算法更高的加密性能。AES加密算法使用128bit分組加碼數據,相比WEP攻擊者要獲取大量的密文,耗用很大資源,花費更長時間破譯。AES具有應用范圍廣、等待時間短、相對容易隱藏、吞吐量高的優(yōu)點,算法在性能等各方面都優(yōu)于WEP和TKIP。AES-CCM目前是IEEE 802.11工作組在無線加密方面的終極方案。
3.無線入侵檢測系統(tǒng)前面介紹的安全標準都是一種被動安全機制,即通過提高系統(tǒng)自身對威脅的免疫力來抵御進攻。事實上對于DOS攻擊這些攻擊模式,這些安全手段無能為力。需要一種手段來幫助網絡管理者能主動地發(fā)現網絡中隱患,第一時間主動防御和反攻擊無線攻擊者。這種技術是無線入侵檢測系統(tǒng)。其基本原理是在網絡中部署一些AP并配置它們工作在監(jiān)聽模式,捕捉空間中傳播的無線報文。通過對這些報文的特征分析,識別出特定類型的攻擊方式,第一時間將安全威脅通知到管理員。此外系統(tǒng)還向干擾攻擊這些攻擊源,也結合無線定位系統(tǒng)對非法用戶和WLAN設備進行位置定位。通常入侵檢測系統(tǒng)主要提供如下功能:非法AP檢測可以自動監(jiān)測非法設備(例如Rouge AP,或者Ad Hoc無線終端),適時上報網管中心,對非法設備的攻擊可以進行自動防護,最大程度地保護無線網絡。白名單功能支持靜態(tài)配置白名單功能,該功能一旦啟用,只有白名單上無線用戶才被認為是合法用戶,其他非法用戶的報文全部在AP上被丟棄,減少非法報文對無線網絡的沖擊。黑名單功能支持靜態(tài)配置黑名單和動態(tài)黑名單功能,用戶可以通過配置方式或者設備實時檢測偵聽的方式來確定設備是否被加入黑名單,被加入到黑名單中的設備發(fā)過來的報文全部在AP上丟棄,從而減少攻擊報文對無線網絡的沖擊。無線協議攻擊防御支持多種攻擊檢測,如DOS攻擊、Flood攻擊,去認證、去連接報文的仿冒檢測及無線用戶Weak IV檢測。當控制器檢測到上述攻擊后會產生告警或者日志,提醒管理員進行相應處理。無線協議攻擊防御可以和動態(tài)黑名單配合使用,當控制器檢測到攻擊時,將發(fā)起攻擊的無線客戶端動態(tài)添加到動態(tài)黑名單中,從而保證WLAN系統(tǒng)不再被該設備攻擊。4.一體化安全技術WLAN應用當前存在一個突出問題是:多數情況無線網作為獨立的網絡與現有網絡(主要指有線網)分開管理。這導致無線網需要單獨的管理系統(tǒng)和安全策略,使其管理成本居高不下。此外現有無線安全技術基本上都是針對物理層和鏈路層安全問題而設計的,而對于網絡層到應用層的攻擊往往力不從心,例如無線入侵檢測系統(tǒng)可以有效的檢測和防御基于802.11管理協議的攻擊,但對于病毒攻擊卻無能為力。隨著無線網絡的大規(guī)模部署,如何將無線安全技術和現有成熟的有線安全技術有機地結合起來形成一套一體化的安全系統(tǒng)已經成為網絡建設者關注的焦點。從網絡發(fā)展來看,有線和無線網絡融合是未來網絡發(fā)展的趨勢,無線網絡安全也會從原有的單純強調無線網絡內的安全逐漸演化為關注有線無線一體化安全。有線無線一體化安全方案主要包含以下幾個特點:(1)有線、無線網絡共用一套安全架構;(2)有線、無線網絡共用一套端點準入方案;(3)有線、無線用戶接入控制統(tǒng)一管理。4.1 一體化安全架構當前業(yè)界已經有越來越多的廠商在現有的有線交換設備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設備上安插不同的安全業(yè)務插卡,用戶可以將安全業(yè)務和交換設備無縫融合,可以檢測從有線和WLAN接入層到應用層的多層協議,實現高度集成化的有線無線一體化安全解決方案。這些安全業(yè)務插卡往往采用電信級硬件平臺,通過多內核系統(tǒng)實現核心企業(yè)用戶對安全設備線性處理能力的需求,實現用戶網絡安全的深度防護。基于一體化的安全架構,在應用層、IP層可以支持:增強型狀態(tài)安全過濾、抗攻擊防范能力、應用層內容過濾、集中管理與審計。 一旦在IP層、應用層檢測到安全威脅(如病毒)并且這些攻擊來源于無線用戶,系統(tǒng)將自動通知入侵檢測系統(tǒng)(模塊)將這些用戶加入到黑名單列表中,實現了有線和WLAN接入層到應用層的統(tǒng)一控制。4.2 一體化端點準入在實際網絡應用中新的安全威脅不斷涌現,病毒和蠕蟲日益肆虐,其繁殖的本性使其對網絡的破壞程度和范圍持續(xù)擴大,經常引起系統(tǒng)崩潰、網絡癱瘓,使用戶蒙受嚴重損失。任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設置),都將直接影響到整個網絡的安全。擁有合法身份的用戶除了被驗證用戶名、密碼等信息外,還被檢查是否滿足安全策略的要求,包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統(tǒng)補丁等等。對于同時滿足了身份檢查和安全檢查的用戶,EAD會根據預定義策略為其分配對應的網絡訪問權限,避免非授權的網絡訪問現象。4.3 有線無線接入控制統(tǒng)一管理早期無線網絡獨立于有線網絡建設和管理,維護者要維護兩套獨立的認證系統(tǒng),工作量大。用戶要記住兩套賬號密碼使用便利性差。有線無線統(tǒng)一認證系統(tǒng)可讓無線和有線用戶的認證共用802.1x、計費等多種公共服務,又實現對無線業(yè)務特有服務策略控制,如基于無線SSID的控制用戶接入,實現對有線、無線用戶統(tǒng)一管理,簡化維護成本。5. 總結有線無線安全一體化代表了WLAN安全的最新發(fā)展方向,可以實現有線接入層到應用層、WLAN接入層到應用層、無線和有線終端準入、及無線和有線用戶統(tǒng)一認證的統(tǒng)一管理和控制。參考文獻:[1] IEEE.Std 802.11i.2004.July 2004[2] 王順滿.無線局域網絡技術與安全.機械工業(yè)出版社.2005[3] H3C公司 史揚 張海濤.WLAN一體化安全,2009(9)作者簡介:劉志偉(1981-),男,目前供職于天津商業(yè)大學寶德學院招生辦,天津工業(yè)大學計算機與軟件學院工程碩士研究生,主要研究方向:網絡安全。