無線局域網(wǎng)的認(rèn)證及加密技術(shù)應(yīng)用研究

摘 要 針對無線局域網(wǎng)中的安全問題，提出了無線局域網(wǎng)的安全系統(tǒng)，包括認(rèn)證、加密、WLAN三部分。深入研究三種對WEP的攻擊手段，并提出相關(guān)對策。研究表明IPSec VPN 并不能解決 MAC 層的安全問題，為此，采用同步偽隨機序列協(xié)議來實現(xiàn)。同步偽隨機序列安全協(xié)議是一個基于認(rèn)證的安全協(xié)議，采用通信雙方相互認(rèn)證、動態(tài)密鑰等方式來保障無線局域網(wǎng)信息傳輸過程中的 MAC 層的安全。并用 BAN形式邏輯上驗證了該方案的完備性。IPSec VPN 和同步偽隨機序列兩種方法的結(jié)合，可以較好地在現(xiàn)有無線網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，解決現(xiàn)有無線局域網(wǎng)所面臨的主要安全威脅。

關(guān)鍵詞 無線局域網(wǎng) 認(rèn)證 加密 同步偽隨機序列

無線局域網(wǎng)（WLAN）具有易于實施，減小成本和管理代價，靈活及效率高的特點，但是無線技術(shù)缺乏固有的物理保護(hù)，容易遭受更多的網(wǎng)絡(luò)安全攻擊，而且不容易檢測。最近的許多安全研究表明IEEE802.11的協(xié)議安全機制WEP和認(rèn)證也存在不少漏洞。因此，對無線局域網(wǎng)的安全性研究，特別是廣泛使用的 IEEE802.11 無線局域網(wǎng)的安全性研究，發(fā)現(xiàn)其可能存在的安全缺陷，研究相應(yīng)的改進(jìn)措施，提出新的改進(jìn)方案，對無線局域網(wǎng)技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。

1無線局域網(wǎng)安全性分析

1.1 無線局域網(wǎng)面臨的安全問題

無線局域網(wǎng)面臨的安全問題包括：容易侵入、非法的AP、未經(jīng)授權(quán)使用服務(wù)、服務(wù)和性能的限制、地址欺騙和會話攔截、流量分析與流量偵聽及高級入侵。最主要的安全問題是高級入侵。

一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。

1.2 無線局域網(wǎng)安全系統(tǒng)

無線局域網(wǎng)安全系統(tǒng)由認(rèn)證，加密，WLAN三部分組成。

認(rèn)證技術(shù)：通過IEEE802.1x，EAP，RADIUS協(xié)議驗證信息的發(fā)送者是合法的而不是冒充的，驗證信息的完整性，是防止主動攻擊的重要技術(shù)，對開放環(huán)境中的各種信息系統(tǒng)的安全性有重要作用。

加密技術(shù)：應(yīng)用對稱密鑰，公鑰密碼，密鑰管理來隱藏和保護(hù)需要保密的信息。

WLAN技術(shù)：是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，由MAC層和物理層組成。

2 認(rèn)證技術(shù)分析

IEEE 802.11標(biāo)準(zhǔn)定義了兩種身份認(rèn)證的方法：開放式身份認(rèn)證和共享密鑰認(rèn)證。802.1x協(xié)議起源于802.11協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。 802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。 體系結(jié)構(gòu)中包括三個部分，即請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分。

2.1 802.1x認(rèn)證流程

基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)證方法。

2.2 Diameter協(xié)議

Diameter協(xié)議由基礎(chǔ)協(xié)議、傳輸協(xié)議和一系列應(yīng)用擴展組成。Diameter協(xié)議應(yīng)用擴展主要包括Diameter移動IPv4/IPv6應(yīng)用、Diameter NASREQ應(yīng)用、Diameter SIP應(yīng)用、Diameter多媒體應(yīng)用、Diameter用戶會話移動性應(yīng)用等。

Diameter節(jié)點間的網(wǎng)絡(luò)連接是在Diameter節(jié)點啟動過程中動態(tài)建立的基于TCP或者SCTP傳輸協(xié)議上的套接字連接。

對于一個Diameter節(jié)點，其對端節(jié)點，或者基于靜態(tài)配置，或者基于動態(tài)，利用服務(wù)定位協(xié)議（Service Location Protocol，SLP）、域名服務(wù)器協(xié)議（Domain Name Server，DNS）發(fā)現(xiàn)。當(dāng)Diameter協(xié)議棧啟動時，Diameter節(jié)點會嘗試與每一個它所得知的對端節(jié)點建立套接字連接。

在成功建立一個套接字連接，即對等連接后，兩個Diameter節(jié)點將進(jìn)行能力協(xié)商，交換協(xié)議版本、所支持的應(yīng)用協(xié)議、安全模式等信息。能力協(xié)商是通過Diameter的能力交換請求（Capabilities-Exchange-Request，CER）和能力交換響應(yīng)（Capabilities-Exchange-Answer，CEA）兩個Diameter消息的交互實現(xiàn)的。能力協(xié)商之后，應(yīng)該把有關(guān)對端所支持的應(yīng)用等信息保存在高速緩存中，這樣就可以防止把對端不認(rèn)識的消息和AVP發(fā)送給對端。

2.3 Diameter協(xié)議與RADlUS協(xié)議的比較

與RADIUS協(xié)議相比較而言，Diameter的優(yōu)勢主要表現(xiàn)在以下幾個方面：①更好的傳輸性能；②更好的代理性；③更好的會話控制；④更強的安全性。

通過分析可以看出，Diameter協(xié)議在高密集性和高復(fù)雜性的網(wǎng)絡(luò)環(huán)境中，極大地彌補了RADIUS協(xié)議所欠缺之處，并通過一系列應(yīng)用擴展大大地增強了Diameter的適用性。

3 WEP加密

3.1 RC4算法

WEP中采用的RC4算法是一種對稱流加密算法。RC4算法屬于二進(jìn)制異或同步流密碼算法，其密鑰長度可變，在WEP中，密鑰長度可選擇128bit或64bit。

RC4算法由偽隨機數(shù)產(chǎn)生算法（Pseudo Random Generation Algorithm，PRGA）和密鑰調(diào)度算法（Key Schedule Algorithm，KSA）兩部分構(gòu)成。其中PRGA為RC4算法的核心，用于產(chǎn)生與明文相異或的偽隨機數(shù)序列；KSA算法的功能是將密鑰映射為偽隨機數(shù)發(fā)生器的初始化狀態(tài)，完成RC4算法的初始化。

狀態(tài)盒的初始化狀態(tài)僅僅依賴于加密密鑰K，因此，若已知加密密鑰就可完全破解RC4。加密密鑰完全且唯一確定了偽隨機數(shù)序列，相同的密鑰總是產(chǎn)生相同的序列。另外，RC4算法本身并不提供數(shù)據(jù)完整性校驗功能，此功能的實現(xiàn)必須由其他方法實現(xiàn)。

3.2 RC4和WEP

WEP 加密使用共享密鑰和 RC4 加密算法。訪問點（AP）和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包，傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢查和組合在一起。然后，WEP 標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量（IV），后者與密鑰相組合在一起，用于對數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進(jìn)行解密。

在理論上，這種方法優(yōu)于單獨使用共享私鑰的顯式策略，因為這樣增加了一些特定于數(shù)據(jù)包的數(shù)據(jù)，應(yīng)該使對方更難于破解。實際上并不是這樣。其弱點主要有以下三個方面：①密鑰流重用；②信息修改；③接入控制。

4 結(jié)論

本文研究了無線局域網(wǎng)中的安全問題，提出了無線局域網(wǎng)的安全系統(tǒng)，包括認(rèn)證，加密，WLAN三部分。深入研究三種對WEP的攻擊手段，并且提出了相關(guān)對策。IPSec VPN 并不能解決 MAC 層的安全問題，為此，采用同步偽隨機序列協(xié)議來實現(xiàn)。同步偽隨機序列安全協(xié)議是一個基于認(rèn)證的安全協(xié)議，采用通信雙方相互認(rèn)證、動態(tài)密鑰等方式來保障無線局域網(wǎng)信息傳輸過程中的 MAC 層的安全。并用 BAN形式邏輯上驗證了該方案的完備性。

參考文獻(xiàn)：

[1]曹秀英，耿嘉，沈平，等.無線局域網(wǎng)安全系統(tǒng)第一版[M].北京：電子工業(yè)出版社，2004.

[2] Dr.Cyrus Peikari Seth Fogie，周婧，等譯.無線網(wǎng)絡(luò)安全第二版[M].北京：電子工業(yè)出版社，2005.

[3]劉楊，李臘元.基于WEP協(xié)議的無線局域網(wǎng)安全性分析與測試[J].武漢理工大學(xué)學(xué)報（交通科學(xué)與工程版），2006，30（1）：60-62.

[4]孫樹峰，賀石，興方，等.802.11無線局域網(wǎng)安全技術(shù)研究[J].華東師范大學(xué)學(xué)報（計算機版），2006，40（3）：40-59.

作者簡介：

羅開國（1970.5～），男（漢族），湖南省瀏陽市人，湖南信息科學(xué)職業(yè)學(xué)院電子及信息技術(shù)系講師，主要從事信息技術(shù)研究。