自無(wú)線局域網(wǎng)（WLAN）技術(shù)一經(jīng)推出，給人們的工作和生活帶來(lái)極大的改變，然而，眾所周知，無(wú)線局域網(wǎng)（WLAN）的安全問(wèn)題，長(zhǎng)期以來(lái)一直困擾著WLAN技術(shù)的普及應(yīng)用。

欲更多了解WLAN介紹的請(qǐng)進(jìn)入。

為此，為了解決WLAN的安全問(wèn)題，人們?cè)谝恢钡牟粩嗯σ詫で螳@得更加安全的機(jī)制，多年來(lái)，人們開(kāi)發(fā)了不少的方法，但這些方法難盡人意，從已經(jīng)過(guò)時(shí)的基于SSID的接入控制和基于MAC過(guò)濾的接入控制；到802.11使用的基于OSA認(rèn)證和基于共享密匙認(rèn)證，再到后來(lái)802.11i使用的基于RADIUS的認(rèn)證。直到2003年我國(guó)的技術(shù)人員研究開(kāi)發(fā)出WAPI（WLAN Authentication and Privacy Infrastructure）技術(shù)后使之獲得了極大的突破，使WLAN的安全機(jī)制得到了空前的提高。下面對(duì)WLAN的安全機(jī)制的各種技術(shù)作以簡(jiǎn)單介紹。

1、基于業(yè)務(wù)集標(biāo)識(shí)符（SSID）的接入控制：

使用為無(wú)線接入點(diǎn)（AP，Access Point）設(shè)置業(yè)務(wù)集標(biāo)識(shí)（SSID，Service Set Identifier），強(qiáng)迫無(wú)線終端接入固定SSID的AP來(lái)實(shí)現(xiàn)接入控制。無(wú)線終端必需出示正確的SSID才能訪問(wèn)無(wú)線接入點(diǎn)AP，利用SSID，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來(lái)的安全和訪問(wèn)性能的問(wèn)題，因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，從而為無(wú)線局域網(wǎng)提供一定的安全性。然而AP會(huì)不加密地廣播包含SSID的信標(biāo)幀（beacon），非法用戶很容易獲得AP的SSID，從而能方便地通過(guò)AP接入網(wǎng)絡(luò)。另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶；而且許多WLAN的終端上只要將SSID設(shè)為“ANY”，就可接入任何一個(gè)有效的無(wú)線接入點(diǎn)。SSID是唯一的標(biāo)識(shí)網(wǎng)絡(luò)的字符串，但它對(duì)于網(wǎng)絡(luò)上的所有用戶都是相同的字符串，SSID根本沒(méi)有帶來(lái)安全性方面的好處。

2、基于MAC地址過(guò)濾的接入控制：

即AP只允許有合法MAC地址的無(wú)線終端接入。每個(gè)無(wú)線客戶端網(wǎng)卡都由惟一的物理地址標(biāo)識(shí)，因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。物理地址過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作，這種方法的效率會(huì)隨著終端數(shù)目的增加而降低；如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。而且非法用戶通過(guò)網(wǎng)絡(luò)偵聽(tīng)（sniffer）就可獲得合法的MAC地址表，而實(shí)際中的許多PCMCIA網(wǎng)卡和操作系統(tǒng)（如Windwos NT、Linux等）都可方便地更改網(wǎng)卡的MAC地址，因而非法用戶完全可以盜用合法用戶的MAC地址來(lái)非法接入。

3、開(kāi)放系統(tǒng)認(rèn)證（OSA）：

無(wú)線網(wǎng)絡(luò)在缺省情況下都運(yùn)行開(kāi)放系統(tǒng)認(rèn)證（Open System Authentication），即連接到無(wú)線網(wǎng)絡(luò)的任何人都被授予訪問(wèn)權(quán)。這主要是用在大學(xué)和機(jī)場(chǎng)，在那里，最終用戶是臨時(shí)的，而且管理加密密鑰是不可行的，只要用在公共場(chǎng)合，就不會(huì)使用數(shù)據(jù)加密的形式。實(shí)質(zhì)上為一種空認(rèn)證算法，幾乎無(wú)任何安全可言。

4、共享密鑰認(rèn)證（SKA）：

共享密鑰認(rèn)證（SKA，Shared Key Authentication）方法要求在無(wú)線終端和接入點(diǎn)上都使用有線對(duì)等保密（WEP，Wired Equivalent Privacy）算法。如果用戶有正確的共享密鑰，那么就授予對(duì)WLAN的訪問(wèn)權(quán)。WEP雖然通過(guò)加密提供網(wǎng)絡(luò)的安全性，但WEP技術(shù)本身存在許多缺陷：如缺少密鑰管理、ICV算法不合適、RC4算法存在弱點(diǎn)等，具體解釋詳見(jiàn)下表4中。

表4：WEP技術(shù)本身存在的缺陷

因此利用認(rèn)證與加密的安全漏洞，在短至幾分鐘的時(shí)間內(nèi)，WEP密鑰即可被破解。最初制定的標(biāo)準(zhǔn)使用40位密鑰，而新的版本使用 128 位（實(shí)際上是 104 位）密鑰。而這些安全漏洞和WEP對(duì)加密算法的使用機(jī)制有關(guān)，即使增加密鑰長(zhǎng)度也不可能增加安全性。

5、基于端口的網(wǎng)絡(luò)訪問(wèn)控制：

基于端口的網(wǎng)絡(luò)訪問(wèn)控制的方法是由802.11i協(xié)議所規(guī)定的，它實(shí)際上是利用IEEE 802.1x協(xié)議，802.1x協(xié)議提供無(wú)線客戶端與RADIUS服務(wù)器之間的認(rèn)證，而不是客戶端與無(wú)線接入點(diǎn)AP之間的認(rèn)證；采用的用戶認(rèn)證信息僅僅是用戶名與口令，在存儲(chǔ)、使用和認(rèn)證信息傳遞中存在很大安全隱患，如泄漏、丟失；無(wú)線接入點(diǎn)AP與RADIUS服務(wù)器之間基于共享密鑰完成認(rèn)證過(guò)程協(xié)商出的會(huì)話密鑰的傳遞，該共享密鑰為靜態(tài)，人為手工管理，存在一定的安全隱患。這是因?yàn)?/span>802.1x并非專為WLAN設(shè)計(jì)，沒(méi)有充分考慮WLAN的特點(diǎn)。首先，它只提供了端口的單向認(rèn)證機(jī)制，只有認(rèn)證者（authenticator，相當(dāng)于AP）對(duì)申請(qǐng)者（supplicant, 相當(dāng)于終端）的認(rèn)證，這在有線環(huán)境下不成問(wèn)題，但在WLAN中會(huì)招致中間人（man-in-middle）攻擊；另外，802.11的認(rèn)證、登錄狀態(tài)和802.1x間的認(rèn)證狀態(tài)不同步，會(huì)話可被很簡(jiǎn)單地截獲。

在上述幾種方法中都不同程度存在安全隱患。其中1、2種方法由于安全性太低已淘汰使用；第3種方法也僅用于公開(kāi)場(chǎng)合，也無(wú)安全可言；第4、5種方法分別為IEEE 802.11協(xié)議和802.11i協(xié)議所使用。

6、基于對(duì)等訪問(wèn)控制的安全接入基礎(chǔ)結(jié)構(gòu)（WAPI）

該方法是由我國(guó)技術(shù)人員研究制定的，發(fā)布于GB 15629.11-2003標(biāo)準(zhǔn)中。實(shí)現(xiàn)了終端和網(wǎng)絡(luò)接入節(jié)點(diǎn)（AP）之間的雙向鑒別和保密、適用于當(dāng)前和下一代主流網(wǎng)絡(luò)物理拓?fù)湫螒B(tài)的、支持IP接入網(wǎng)安全接入體系架構(gòu)，普遍適用于有線和無(wú)線IP接入網(wǎng)絡(luò)。該安全接入基礎(chǔ)結(jié)構(gòu)提出三元獨(dú)立實(shí)體T-A-S（終端-接入點(diǎn)-服務(wù)器）安全模型，三實(shí)體以獨(dú)立身份執(zhí)行安全接入過(guò)程，終端和接入點(diǎn)以對(duì)等方式完成雙向鑒別，并可直接進(jìn)行密鑰交換。與傳統(tǒng)安全接入技術(shù)如IEEE 802.1x相比，該安全接入基礎(chǔ)結(jié)構(gòu)解除了接入點(diǎn)和鑒別服務(wù)器實(shí)體間的依賴關(guān)系，參與安全接入的各實(shí)體具備了身份可區(qū)分性，簡(jiǎn)化了網(wǎng)絡(luò)實(shí)現(xiàn)，提高了密鑰協(xié)商效率；更重要的是實(shí)現(xiàn)了終端和接入點(diǎn)之間的雙向鑒別，為網(wǎng)絡(luò)接入的安全性和應(yīng)用的多樣化奠定了基礎(chǔ)。

無(wú)線局域網(wǎng)認(rèn)證和保密結(jié)構(gòu)（WAPI，WLAN Authentication and Privacy Infrastructure）安全機(jī)制由無(wú)線局域網(wǎng)認(rèn)證基礎(chǔ)結(jié)構(gòu)（WAI，WLAN Authentication Infrastructure）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WPI，WLAN Privacy Infrastructure）兩部分組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的安全保護(hù)。

WAI采用公開(kāi)密鑰密碼體制，涉及的密碼算法按照1999年10月7日頒布的中華人民共和國(guó)國(guó)務(wù)院令第273號(hào)《商用密碼管理?xiàng)l例》執(zhí)行。WAI利用證書(shū)來(lái)對(duì)WLAN系統(tǒng)中的STA和AP進(jìn)行認(rèn)證。WAI定義了一種名為認(rèn)證服務(wù)單元（ASU，Authentication Service Unit）的實(shí)體，用于管理參與信息交換各方所需要的證書(shū)（包括證書(shū)的產(chǎn)生、頒發(fā)、吊銷(xiāo)和更新）。證書(shū)里面包含有證書(shū)頒發(fā)者（ASU）的公鑰和簽名以及證書(shū)持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法），是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。其雙向鑒別過(guò)程簡(jiǎn)單描述詳見(jiàn)下表6。

表6：WAI定義的STA和AP雙向鑒別過(guò)程簡(jiǎn)述

從上面的描述我們可以看出，WAI中對(duì)STA和AP進(jìn)行了雙向認(rèn)證，因此對(duì)于采用“假”AP的攻擊方式具有很強(qiáng)的抵御能力。在STA和AP的證書(shū)都鑒別成功之后，雙方將會(huì)進(jìn)行密鑰協(xié)商。首先雙方進(jìn)行密鑰算法協(xié)商。隨后，STA和AP各自會(huì)產(chǎn)生一個(gè)隨機(jī)數(shù)，用自己的私鑰加密之后傳輸給對(duì)方。最后通信的兩端會(huì)采用對(duì)方的公鑰將對(duì)方所產(chǎn)生的隨機(jī)數(shù)還原，再將這兩個(gè)隨機(jī)數(shù)模2運(yùn)算的結(jié)果作為會(huì)話密鑰，并依據(jù)之前協(xié)商的算法采用這個(gè)密鑰對(duì)通信的數(shù)據(jù)加密。由于會(huì)話密鑰并沒(méi)有在信道上進(jìn)行傳輸，因此就增強(qiáng)了其安全性。為了進(jìn)一步提高通信的保密性，WAPI還規(guī)定，在通信一段時(shí)間或者交換一定數(shù)量的數(shù)據(jù)之后，STA和AP之間可以重新協(xié)商會(huì)話密鑰。

WPI采用對(duì)稱密碼算法實(shí)現(xiàn)對(duì)MAC層MSDU進(jìn)行的加、解密操作。

在我國(guó)國(guó)家標(biāo)準(zhǔn)GB 15629-2003中對(duì)WAPI進(jìn)行了詳細(xì)的規(guī)范，尤其是WAI的鑒別過(guò)程，它定義基于端口的接入控制的受控端口和非受控端口。

欲詳細(xì)了解國(guó)家標(biāo)準(zhǔn)GB 15629-2003具體內(nèi)容的請(qǐng)進(jìn)入。

欲進(jìn)一步了解我國(guó)WLAN標(biāo)準(zhǔn)情況的請(qǐng)進(jìn)入。