WLAN無(wú)線(xiàn)局域網(wǎng)安全技術(shù)的選用

　　引:隨著(zhù)WLAN(無(wú)線(xiàn)局域網(wǎng))技術(shù)的快速發(fā)展，WLAN市場(chǎng)、服務(wù)和應用的增長(cháng)速度非常驚人，各級組織在選用WLAN產(chǎn)品時(shí)如何使用安全技術(shù)手段來(lái)保護WLAN中傳輸的數據——特別是敏感的、重要的數據的安全，是值得考慮的非常重要的問(wèn)題，必須確保數據不外泄和數據的完整性?！?

　　WLAN安全技術(shù)

　　有線(xiàn)網(wǎng)絡(luò )和無(wú)線(xiàn)網(wǎng)絡(luò )有著(zhù)不同的傳輸方式。有線(xiàn)網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制往往以物理端口接入方式進(jìn)行監控，數據通過(guò)雙絞線(xiàn)、光纖等介質(zhì)傳輸到特定的目的地，有線(xiàn)網(wǎng)絡(luò )輻射到空氣中的電磁信號強度很小，很難被竊聽(tīng)，一般情況下，只有在物理鏈路遭到盜用后數據才有可能泄漏。而無(wú)線(xiàn)網(wǎng)絡(luò )的數據傳輸是利用電磁波在空氣中輻射傳播，只要在接入點(diǎn)(AP，Access Point)覆蓋的范圍內，所有的無(wú)線(xiàn)終端都可以接收到無(wú)線(xiàn)信號。無(wú)線(xiàn)網(wǎng)絡(luò )的這種電磁輻射的傳輸方式是無(wú)線(xiàn)網(wǎng)絡(luò )安全保密問(wèn)題尤為突出的主要原因。

　　無(wú)線(xiàn)局域網(wǎng)絡(luò )產(chǎn)品的IEEE 802.11系列標準主要有802.11a(5GHz-1999年獲得通過(guò))、802.11b(11Mbps 2.4GHz-1999年獲得通過(guò))、802.11d(額外的規章制度)、802.11e(服務(wù)質(zhì)量)、802.11f(接入點(diǎn)間協(xié)議IAPP)、802.11g(2.4GHz-更高的數據速率>20Mbps-2003年5月獲得通過(guò))、802.11h(靈活的頻率選擇與傳輸電源控制機制)、802.11i(驗證與安全性-2004年6月獲得通過(guò))、802.1x(基于端口的網(wǎng)絡(luò )接入控制EAP-2003年6月獲得通過(guò))，下面將標準中涉及的安全技術(shù)加以闡述。

　　通常網(wǎng)絡(luò )的安全性主要體現在兩個(gè)方面：一是訪(fǎng)問(wèn)控制，它用于保證敏感數據只能由授權用戶(hù)進(jìn)行訪(fǎng)問(wèn)；另一個(gè)是數據加密，它用于保證傳送的數據只被所期望的用戶(hù)所接收和理解。無(wú)線(xiàn)局域網(wǎng)相對于有線(xiàn)局域網(wǎng)所增加的安全問(wèn)題主要是由于其采用了電磁波作為載體來(lái)傳輸數據信號，其他方面的安全問(wèn)題兩者是相同的。

　　* WLAN的訪(fǎng)問(wèn)控制技術(shù)

　　* 服務(wù)集標識SSID(Service Set Identifier)匹配

　　通過(guò)對多個(gè)無(wú)線(xiàn)AP設置不同的SSID標識字符串(最多32個(gè)字符)，并要求無(wú)線(xiàn)工作站出示正確的SSID才能訪(fǎng)問(wèn)AP，這樣就可以允許不同群組的用戶(hù)接入，并對資源訪(fǎng)問(wèn)的權限進(jìn)行區別限制。但是SSID只是一個(gè)簡(jiǎn)單的字符串，所有使用該無(wú)線(xiàn)網(wǎng)絡(luò )的人都知道該SSID，很容易泄漏；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因為任何人都可以通過(guò)工具或Windows XP自帶的無(wú)線(xiàn)網(wǎng)卡掃描功能就可以得到當前區域內廣播的SSID。所以，使用SSID只能提供較低級別的安全防護。

　　* 物理地址(MAC，Media Access Control)過(guò)濾

　　由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有唯一的類(lèi)似于以太網(wǎng)的48位的物理地址，因此可以在A(yíng)P中手工維護一組允許訪(fǎng)問(wèn)的MAC地址列表，實(shí)現基于物理地址的過(guò)濾。如果各級組織中的AP數量很多，為了實(shí)現整個(gè)各級組織所有AP的無(wú)線(xiàn)網(wǎng)卡MAC地址統一認證，現在有的AP產(chǎn)品支持無(wú)線(xiàn)網(wǎng)卡MAC地址的集中RADIUS認證。物理地址過(guò)濾的方法要求AP中的MAC地址列表必須及時(shí)更新，因此此方法維護不便、可擴展性差；而且MAC地址還可以通過(guò)工具軟件或修改注冊表偽造，因此這也是較低級別的訪(fǎng)問(wèn)控制方法。
* 端口訪(fǎng)問(wèn)控制技術(shù)(IEEE 802.1x)和可擴展認證協(xié)議(EAP)

　　由于以上兩種訪(fǎng)問(wèn)控制技術(shù)的可靠性、靈活性、可擴展性都不是很好，802.1x協(xié)議應運而生，802.1x定義了基于端口的網(wǎng)絡(luò )接入控制協(xié)議(Port Based Network Access Control)，其主要目是為了解決無(wú)線(xiàn)局域網(wǎng)用戶(hù)的接入認證問(wèn)題，802.1x架構的優(yōu)點(diǎn)是集中式、可擴展，雙向用戶(hù)驗證。有線(xiàn)局域網(wǎng)通過(guò)固定線(xiàn)路連接組建，計算機終端通過(guò)網(wǎng)線(xiàn)接入固定位置物理端口，實(shí)現局域網(wǎng)接入，這些固定位置的物理端口構成有線(xiàn)局域網(wǎng)的封閉物理空間。但是，由于無(wú)線(xiàn)局域網(wǎng)的網(wǎng)絡(luò )空間具有開(kāi)放性和終端可移動(dòng)性，所以很難通過(guò)網(wǎng)絡(luò )物理空間來(lái)界定終端是否屬于該網(wǎng)絡(luò )，因此，如何通過(guò)端口認證來(lái)防止非法的移動(dòng)終端接入本單位的無(wú)線(xiàn)網(wǎng)絡(luò )就成為一項非?，F實(shí)的問(wèn)題。

　　IEEE 802.1x提供了一個(gè)可靠的用戶(hù)認證和密鑰分發(fā)的框架，可以控制用戶(hù)只有在認證通過(guò)以后才能連接到網(wǎng)絡(luò )。但IEEE 802.1x本身并不提供實(shí)際的認證機制，需要和擴展認證協(xié)議EAP(Extensible Authentication Protocol)配合來(lái)實(shí)現用戶(hù)認證和密鑰分發(fā)。EAP允許無(wú)線(xiàn)終端使用不同的認證類(lèi)型，與后臺的認證服務(wù)器進(jìn)行通訊，如遠程認證撥號用戶(hù)服務(wù)器(RADIUS)交互。EAP的類(lèi)型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等類(lèi)型，EAP-TLS是現在普遍使用的，因為它是唯一被IETF(因特網(wǎng)工程任務(wù)組)接受的類(lèi)型。當無(wú)線(xiàn)工作站與無(wú)線(xiàn)AP關(guān)聯(lián)后，是否可以使用AP的受控端口要取決于802.1x的認證結果，如果通過(guò)非受控端口發(fā)送的認證請求通過(guò)了驗證，則AP為無(wú)線(xiàn)工作站打開(kāi)受控端口，否則一直關(guān)閉受控端口，用戶(hù)將不能上網(wǎng)。認證過(guò)程如圖1所示。

　　* WLAN的數據加密技術(shù)

　　* WEP(Wired Equivalent Privacy)有線(xiàn)等效保密

　　為了保證數據能安全地通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )傳輸而制定的一個(gè)加密標準，使用了共享秘鑰RC4加密算法，只有在用戶(hù)的加密密鑰與AP的密鑰相同時(shí)才能獲準存取網(wǎng)絡(luò )的資源，從而防止非授權用戶(hù)的監聽(tīng)以及非法用戶(hù)的訪(fǎng)問(wèn)。密鑰長(cháng)度最初為40位(5個(gè)字符)，后來(lái)增加到128位(13個(gè)字符)，有些設備可以支持152位加密。

　　WEP標準在保護網(wǎng)絡(luò )安全方面存在固有缺陷，例如一個(gè)服務(wù)區內的所有用戶(hù)都共享同一個(gè)密鑰，一個(gè)用戶(hù)丟失或者泄漏密鑰將使整個(gè)網(wǎng)絡(luò )不安全。另外，WEP加密有自身的安全缺陷，有許多公開(kāi)可用的工具能夠從互聯(lián)網(wǎng)上免費下載，用于入侵不安全網(wǎng)絡(luò )。而且黑客有可能發(fā)現網(wǎng)絡(luò )傳輸，然后利用這些工具來(lái)破解密鑰，截取網(wǎng)絡(luò )上的數據包，或非法訪(fǎng)問(wèn)網(wǎng)絡(luò )。

　　* WPA保護訪(fǎng)問(wèn)(Wi-Fi Protected Access)技術(shù)

　　WEP存在的缺陷不能滿(mǎn)足市場(chǎng)的需要，而最新的IEEE 802.11i安全標準的批準被不斷推遲，Wi-Fi聯(lián)盟適時(shí)推出了WPA技術(shù)，作為臨時(shí)代替WEP的無(wú)線(xiàn)安全標準協(xié)議，為IEEE 802.11無(wú)線(xiàn)局域網(wǎng)提供較強大的安全性能。WPA實(shí)際上是IEEE 802.11i的一個(gè)子集，其核心就是IEEE 802.1x和TKIP。
　新一代的加密技術(shù)TKIP，與WEP一樣基于RC4加密算法，但對現有的WEP進(jìn)行了改進(jìn)，使用了動(dòng)態(tài)會(huì )話(huà)密鑰。TKIP引入了48位初始化向量(IV)和IV順序規則(IV Sequencing Rules)、每包密鑰構建(Per-Packet Key Construction)、Michael消息完整性代碼(Message Integrity Code，MIC)以及密鑰重獲/分發(fā)4個(gè)新算法，極大提高了無(wú)線(xiàn)網(wǎng)絡(luò )數據加密安全強度。

　　WPA之所以比WEP更可靠，就是因為它改進(jìn)了WEP的加密算法。由于WEP密鑰分配是靜態(tài)的，黑客可以通過(guò)攔截和分析加密的數據，在很短的時(shí)間內就能破解密鑰。而在使用WPA時(shí)，系統頻繁地更新主密鑰，確保每一個(gè)用戶(hù)的數據分組使用不同的密鑰加密，即使截獲很多的數據，破解起來(lái)也非常地困難。

　　* WLAN驗證與安全標準—IEEE 802.11i

　　為了進(jìn)一步加強無(wú)線(xiàn)網(wǎng)絡(luò )的安全性和保證不同廠(chǎng)家之間無(wú)線(xiàn)安全技術(shù)的兼容，IEEE802.11工作組于2004年6月正式批準了IEEE 802.11i安全標準，從長(cháng)遠角度考慮解決IEEE 802.11無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題。IEEE 802.11i標準主要包含的加密技術(shù)是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard)，以及認證協(xié)議IEEE 802.1x。定義了強壯安全網(wǎng)絡(luò )RSN(Robust Security Network)的概念，并且針對WEP加密機制的各種缺陷做了多方面的改進(jìn)。

　　IEEE 802.11i規范了802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機制。其中TKIP可以通過(guò)在現有的設備上升級固件和驅動(dòng)程序的方法實(shí)現，達到提高WLAN安全的目的。CCMP機制基于A(yíng)ES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)認證方式，使得WLAN的安全程度大大提高，是實(shí)現RSN的強制性要求。AES是一種對稱(chēng)的塊加密技術(shù)，有128/192/256位不同加密位數，提供比WEP/TKIP中RC4算法更高的加密性能，但由于A(yíng)ES對硬件要求比較高，因此CCMP無(wú)法通過(guò)在現有設備的基礎上進(jìn)行升級實(shí)現。

　　* WLAN的其它數據加密技術(shù)——虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)

　　虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)是指在一個(gè)公共IP網(wǎng)絡(luò )平臺上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數據的網(wǎng)絡(luò )安全。它不屬于802.11標準定義，是以另外一種強大的加密方法來(lái)保證傳輸安全的技術(shù)，可以和其它的無(wú)線(xiàn)安全技術(shù)一起使用。VPN協(xié)議包括二層的PPTP/L2TP協(xié)議和三層的IPSec協(xié)議，IPSec用于保護IP數據包或上層數據，IPSec采用諸如數據加密標準(DES)和168位三重數據加密標準(3DES)以及其它數據包鑒權算法來(lái)進(jìn)行數據加密，并使用數字證書(shū)來(lái)驗證公鑰，VPN在客戶(hù)端與各級組織之間架起一條動(dòng)態(tài)加密的隧道，并支持用戶(hù)身份驗證，實(shí)現高級別的安全。VPN支持中央安全管理，不足之處是需要在客戶(hù)機中進(jìn)行數據的加密和解密，增加了系統的負擔，另外要求在A(yíng)P后面配備VPN集中器，從而提高了成本。無(wú)線(xiàn)局域網(wǎng)的數據用VPN技術(shù)加密后再用無(wú)線(xiàn)加密技術(shù)加密，就好像雙重門(mén)鎖，提高了可靠性。

　　建設WLAN時(shí)的安全事項

　　* 制定安全規劃

　　各級組織在建設WLAN時(shí)，在有數據安全需求時(shí)，保護網(wǎng)絡(luò )中重要數據傳輸的安全是非常重要的問(wèn)題，必須確保重要數據不外泄和完整性，制定合理的安全規劃。

　　* 從訪(fǎng)問(wèn)控制考慮

　　不論是對有線(xiàn)的以太網(wǎng)絡(luò )還是無(wú)線(xiàn)的802.11網(wǎng)絡(luò )，RADIUS都是標準化的網(wǎng)絡(luò )登錄技術(shù)。支持802.1x 協(xié)議的RADIUS技術(shù)，提高了WLAN的用戶(hù)認證能力，802.1x技術(shù)能夠為用戶(hù)帶來(lái)高效、靈活的無(wú)線(xiàn)網(wǎng)絡(luò )安全解決方案。所以，選用802.1x技術(shù)的無(wú)線(xiàn)產(chǎn)品是各級組織WLAN訪(fǎng)問(wèn)控制的最佳選擇，而沒(méi)有技術(shù)和設備條件的各級組織在訪(fǎng)問(wèn)控制上起碼要使用SSID匹配和物理地址過(guò)濾技術(shù)。

　　* 從數據加密考慮

　　無(wú)線(xiàn)網(wǎng)絡(luò )的數據完全是在空氣中傳輸，只要處于該無(wú)線(xiàn)信號覆蓋范圍內，就很容易通過(guò)其他無(wú)線(xiàn)設備截取信息，因此，保密性和安全性對無(wú)線(xiàn)產(chǎn)品尤為重要。WPA、TKIP、AES等數據加密技術(shù)提供了較高的安全性，各級組織必須選用有這類(lèi)安全加密標準的產(chǎn)品，128位的WEP加密技術(shù)是迫不得已的選擇。

　　* 選購合適的產(chǎn)品

　　* 傳輸性能及功耗

　　無(wú)線(xiàn)產(chǎn)品目前主要有IEEE802.11b、IEEE802.11a、IEEE802.11g標準。802.11b技術(shù)運行在2.4GHz頻段，能夠提供11Mbps的數據傳輸速率，802.11b產(chǎn)品成本較低，對電源要求較低，得到了眾多廠(chǎng)商的廣泛支持和普遍應用；運行于5GHz頻段的802.11a規范能夠提供高達54Mbps的數據傳輸速率；802.11g標準是專(zhuān)門(mén)設計用來(lái)提升802.11b網(wǎng)絡(luò )的性能與應用，運行在2.4GHz頻段的802.11g標準將設備的數據傳輸速率提升到了20Mbps之上，最高可以提供54Mbps的數據傳輸速率，802.11g+甚至可以達到108Mbps。802.11a／g調制的功效比802.11b高出二至三倍。這使得我們在WLAN上操作時(shí)，移動(dòng)設備的電池壽命能夠獲得顯著(zhù)改善。盡管802.11b在某個(gè)時(shí)間瞬間所耗的功率可能較少，但在802.11b網(wǎng)絡(luò )上傳輸／接收有意義的應用數據量的時(shí)間卻可能比 802.11a／g 無(wú)線(xiàn)局域網(wǎng)長(cháng)出五倍，支持更長(cháng)的傳輸／接收時(shí)間所需的功率使802.11b的功效大大低于802.11a／g。所以，在產(chǎn)品選型上，盡量選用802.11a／g的產(chǎn)品。

　　* 安全指標

　　制定了安全規劃后，在選擇無(wú)線(xiàn)產(chǎn)品時(shí)，要仔細查看設備是否提供SSID、IEEE802.1X、MAC地址綁定、WEP、WPA、TKIP、AES等安全機制，以保證無(wú)線(xiàn)網(wǎng)絡(luò )的順利部署。

　　* 硬件安裝

　　合理布置無(wú)線(xiàn)AP及工作站的位置，同樣對網(wǎng)絡(luò )安全性十分重要。例如，應將AP置于接近建筑物中心的地方，遠離外向墻壁或窗戶(hù)。這樣不僅可使所有辦公室能夠更好地接入WLAN，而且還可減少來(lái)自外界的干擾，而且還應靈活地減少接入點(diǎn)廣播強度，僅覆蓋所需區域，減少被竊聽(tīng)的機會(huì )。

　　* 安全培訓及制度建設

　　* 技術(shù)人員重視安全技術(shù)措施

　　從最基本的安全制度到最新的訪(fǎng)問(wèn)控制、數據加密協(xié)議，各級組織的網(wǎng)絡(luò )技術(shù)主管部門(mén)都需要采用最高安全保護措施。采用的安全措施越多，其網(wǎng)絡(luò )相對就越安全，數據安全才能得到保障。

　　* 用戶(hù)安全教育

　　各級組織的網(wǎng)絡(luò )技術(shù)人員可以讓辦公室中的每位網(wǎng)絡(luò )用戶(hù)負責安全性，將所有網(wǎng)絡(luò )用戶(hù)作為“安全代理”，明確每位員工都負有安全責任并分擔安全破壞費用，以幫助管理風(fēng)險。重要的是幫助員工了解不采取安全保護的危險性，特別需要向用戶(hù)演示如何檢查其電腦上的安全機制，并按需要激活這些機制，這樣可以更輕松地管理和控制網(wǎng)絡(luò )。

　　* 安全制度建設

　　制定安全制度，進(jìn)行定期安全檢查。WLAN實(shí)施是危險的，網(wǎng)絡(luò )技術(shù)人員應該公布關(guān)于無(wú)線(xiàn)網(wǎng)絡(luò )安全的服務(wù)等級協(xié)議或政策，還應指定政策負責人，積極定期檢查各級組織網(wǎng)絡(luò )上的欺騙性或未知接入點(diǎn)。此外，更改接入點(diǎn)上的缺省管理密碼和SSID，并實(shí)施動(dòng)態(tài)密鑰(802.1X)或定期配置密鑰更新，這樣有助于最大限度地減少非法接入網(wǎng)絡(luò )的可能性。

　　WLAN的發(fā)展及對策

　　WLAN的各項技術(shù)均處在快速的發(fā)展過(guò)程當中，總的發(fā)展方向是速度會(huì )越來(lái)越快，安全性會(huì )越來(lái)越高。研制中的IEEE 802.16的WiMax標準能夠在50公里的城域范圍內進(jìn)行高速無(wú)線(xiàn)數據傳輸和互聯(lián)網(wǎng)接入，速度將達到70Mbps；近兩年來(lái)，還有許多短距離無(wú)線(xiàn)技術(shù)也日益走向成熟，UWB、ZigBee和RFID便是其中比較典型的技術(shù)，其中UWB是一種短距離、高速率的無(wú)線(xiàn)傳輸技術(shù)，它能在10米左右的范圍內實(shí)現每秒數百兆至數千兆的數據傳輸速率，而且，UWB具有抗干擾性能強、能量消耗少、保密性好等諸多優(yōu)點(diǎn)，可廣泛應用于室內通信、安全檢測、位置測定等諸多領(lǐng)域。但無(wú)線(xiàn)網(wǎng)絡(luò )的安全性問(wèn)題不會(huì )在短期內徹底解決，因為“矛”與“盾”總是在相互對抗中不斷促進(jìn)、不斷提高的，各種解密技術(shù)、黑客技術(shù)也在快速發(fā)展、更新中，所以沒(méi)有絕對的安全性。

　　各級組織根據自身的數據安全需求對WLAN安全及其標準給予足夠的關(guān)注，選用合適的WLAN安全技術(shù)，提供足夠的安全防護，可以讓各級組織更安心的享受WLAN的自由，同時(shí)也保證各級組織重要數據的安全，促進(jìn)各級組織健康、快速地發(fā)展。