无线局域网安全传输协议标准与安全研究

1、无线局域网平安传输协议标准与平安研究 无线局域网平安传输协议标准与平安研究 摘要：无线局域网为智能监控系统提供了便捷高速的数据传输效劳，但是由于其完全暴露在外的无线传输链路，严重影响着监控系统传输数据的平安性。为解决这一问题，IEEE802.11委员会设计了一种全新的无线局域网平安协议：IEEE802.11i。以无线局域网的特性和可能存在的平安问题展开论述，着重说明IEEE802.11i协议的平安标准以及在认证和密钥管理阶段应对平安威胁的优势。 关键词：无线局域网；平安性；IEEE802.11i 中图分类号：TP309文献标识码：A文章编号文章编号：167278000010015103 0引言

2、 目前无线局域网已相当普及，不仅具有方便灵活的特点，而且其传输速度大大提高，大有赶超有线局域网以太网的趋势，例如802.11n标准的无线局域网已经到达了320Mbps。无线局域网具有运营本钱低、网络布线本钱低与管理配置方便的优点，特别适用于智能监控系统中在移动变化复杂和网络布线不确定的通信环境中。但是它在实际使用中也遇到了很多问题，其中网络局域网的平安性问题就是制约无线局域网开展的一个严重瓶颈。信息平安中的平安威胁是指人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险13。由于无线局域网的无线链路是完全暴露在外，它遭受的网络攻击主要集中在数据链路层与网络层，不但遭受来自

3、无线网络的攻击也可能遭受来自有线网络的攻击。 1无线局域网特性 1.1快捷、方便 无线局域网可以根据实际需要安排资源分配，不需要各个终端通过电缆进线连接通信。利用无线局域网，系统可以在无线访问节点AP信号覆盖的范围内通信，而不需要通过其他网络交换设备的支持进线通信。 1.2灵活的网络访问 在有线局域网内，如有额外的用户需要接入网络，必须改变网络拓扑，重新进线网络布线，这必然大大增加了经济本钱。在无线局域网中，只要有无线信号的覆盖，用户可以随时随地接入无线局域网，这样提高了网络访问的灵活性。 1.3站点和设备集成程度高 无线局域网可以通过无线电波的形式连接以太网设备，为系统用户提供经济、方便的网

4、络连接。无线站点之间无论是点对点还是单点对多点的连接都可以进行有效设置，广泛地应用到智能监控系统的通信环境中。无线技术能解决大量系统用户对唯一有线高速网络链路的争用，可以高效共享无线通讯链路。 2无线局域网的平安性威胁 无线局域网的平安性威胁主要表达在以下几个方面。 2.1播送侦听 在无线局域网中，由于无线链路的开放性使黑客可以使用 WEPcrack 与AirSnort 等无线探测软件进行侦听、记录无线局域网中的数据包。例如，在一个使用 802.11b 协议的无线局域网通信环境，数据传输速率到达理论最大值 11Mbps，无线接入点 AP 一直处于繁忙状态其数据流量为 3 000 Byte/s；

5、WLAN 中使用 WEP 协议对传输的数据进行加密处理。通过计算分析，大约超过 10h就能获得 WEP 协议重复使用初始化向量加密的数据包，攻击者可以成功破解出 WEP 的加密密钥。 2.2拒绝效劳攻击 拒绝效劳 DOS是非法用户大量使用系统资源，导致系统无法给系统合法用户提供效劳的一种攻击手段。在无线局域网中，黑客一般通过泛洪攻击、干扰无线通信频段、破坏通信信号等方式来阻止系统正常用户接入网络，甚至让无线网络不能正常工作。 2.3消息注入与主动侦听 目前绝大多数无线网络设备都支持IEEE802.11无线网络协议，这样黑客攻击者可以使用软件修改信息帧结构的某些字段，所以黑客可以产生或者修改无线

6、网络中数据帧。重发攻击是消息注入攻击的常用手段，这种方法不仅可以进行实时攻击也可以进行非实时攻击，并且不破坏网络传输的数据帧。入侵者可以通过捕获网络中传输的消息，并且将截获的会话消息帧格式保存下来，等待它需要对无线网络进行破坏的时候，就可以将保存的数据帧进行有机组合然后重放到网络中，也可以不经处理就直接放入网络，对无线局域网进行攻击。 2.4中间人攻击 中间人攻击指攻击者通过某些方式连接到无线网络中并完成了接入认证，复制或是篡改合法用户与无线接入点之间的传输数据而不被发现。它需要攻击者一直接入到无线网络中并且与各终端进行通信，攻击者通过对截获的数据信息进行分析欺骗终端节点和无线接入点。 2.5

7、MAC 欺骗 无线局域网的一种接入认证方式是通过终端网卡MAC地址进行认证，无线局域网只会对事先约定好的MAC地址终端认证并接入。虽然网卡的MAC地址是固化在网卡硬件上，但是可以通过软件的手段伪装MAC地址来进行MAC欺骗攻击。 无线局域网虽然遭受着严重的信息平安威胁，但是我们可以通过各种手段来实现无线局域网的身份认证、访问控制、数据机密性、数据完整性与不可否认性。在无线网络中实现信息平安的目的可以通过非密码机制手段与密码机制手段。非密码机制手段主要是无线电技术对无线局域网的无线信号进行处理来实现平安的目的，这样就需要对网络的硬件进行修改。 3IEEE802.11i平安标准 2004年6月IE

8、EE委员会提出了新无线局域网平安标准802.11i，在这个无线局域网平安标准中提出了无线局域网的新的平安体系RSN，即强健平安网络，旨在提高无线网的平安能力，该标准主要包括802.1x 认证机制、基于TKIP 和AES 的数据加密机制以及密钥管理技术，目标是实现身份识别、接入控制、数据的机密性、抗重放攻击、数据完整性校验【2】。 在IEEE802.11i平安标准中主要完成3个功能，分别是数据加密、身份认证与密钥管理。 在网络数据加密方面，此标准中定义了TKIP、CCMP 和WRAP 3 种加密方式，其中TKIP机制采用WEP平安标准中的RC4流密码作为核心加解密算法；CCMP机制采用AES加解

9、密算法和CCM加解密鉴别方法，使得无线局域网的平安性大大提升，这些是强健平安网络的强制要求；WRAP机制基于OCB模式的AES加解密算法，这种方式可以同维护时数据的机密性和完整性，但它在RSN中是可选的。 在身份认证方面，IEEE802.11i平安标准采用802.1x和可扩展认证协议。其中IEEE802.1x是一种基于端口的网络接入控制技术，用户只有成功通过身份认证才能接入无线网络。这个协议中包含3个实体，分别是客户端、认证者和认证效劳器。对于无线局域网来说，客户端发起请求接入无线网络，客户端必须装有802.1x客户端软件，这种客户端通常被称为终端。认证者是客户端需要访问的控制端口，一般是无线

10、局域网中的AP，在认证的过程中认证者的作用只是传递数据，所有认证算法的执行过程都是通过客户端终端盒认证效劳器之间执行。认证效劳器执行具体的认证算法，通知认证者是否可以让客户端终端访问指定的效劳，并且身份认证需要的信息都存储在这台效劳器上，它就是经常提到的RADIUS 效劳器。802.1x 本身不提供具体的认证机制，它需要和上层效劳一起完成用户的身份认证和密钥交换，在这里802.1x协议使用EAP协议作为认证信息交换机制，EAP 消息封装在EAPOL 分组中。这里EAP是身份认证信息的承载体，对各种认证技术有很好的兼容性。EAP-TLS 采用基于证书的传输层平安方式在使用强加密方式的客户端终端和

11、认证效劳器之间提供双向认证， 并生成加密无线传输数据的密钥， 具有高度可靠的平安性能。【3】 在密钥管理方面，IEEE802.11i平安标准主要负责各种密钥的生成和密钥生命周期的管理。用户终端每次参加AP都需要实时身份认证和生成新密钥，每次离开AP就意味着原来密钥生命周期结束。在此平安标准中包含两种密钥：一种是用于单个用户的密钥，另一种是用于小组组播的密钥。单播密钥首先由身份认证生成的主会话密钥生成主密钥，然后再由主密钥生成加密传输数据的临时密钥。 平安的RSNA建立过程分为6个阶段，分别如下所述。 第一阶段：无线网络信号发现与平安配置参数确定。AP有两种工作方式，一种是在某一个特定频率的信道

12、发送信标帧，表示AP无线接入点的存在，同时会在这些信息中包含自己的平安信息参数。另外一种方式是AP会监听某些特定频率的信道，如果收到无线终端的探询请求帧，那么它就对这些请求帧做出应答。同时无线终端也可以主动或是被动地发现并连接这些无线接入点。 第二阶段：无线认证接入。无线终端从众多可以访问的AP中选择一个，然后与此AP进行认证连接，注意此时的认证是很脆弱的，只是进行简单的口令认证。这时它们也交换平安信息参数，以确定下一步如何进行IEEE802.1x的认证。 第三阶段：IEEE802.1x与EAP 认证。产生一个组播密钥，并将这个密钥发送到该组。此阶段是无线终端与RADIUS认证效劳器之间执行E

13、AP-TLS双向认证协议，认证者AP只是进行数据中转的功能。执行完双向认证协议之后，RADIUS认证效劳器一方面认证了无线终端的身份为合法用户同时也生成了共享密钥也就是主会话密钥。之后RADIUS认证效劳器与无线终端都是用相同的算法从主会话密钥推导出主密钥，客户端与认证效劳器就都拥有了相同的主密钥。 第四阶段：四次握手生成单播密钥。此阶段无线终端与认证者AP进行四次握手，通过这四次握手认证者AP确认无线终端拥有主密钥，同时确定平安机制，生成临时密钥用于以后数据传输中的数据加密。这时IEEE802.1x的端口翻开，进行数据传输。 第五阶段：组播密钥生成。当存在组播时才会有这个阶段。 第六阶段：数据传输。这是无线终端与认证者AP通过协商的加密组件与产生的临时密钥对传输的数据进行加密传输。这时就可以传输数据了。 4结语 无线局域网具备快捷、方便、灵活的优点，其网络访问、站点和设备的集成程度高但存在着潜在的平安问题，比方播送侦听、拒绝效劳攻击、消息注入与主动侦听、MAC 欺骗等。针对这些问题，本文论述了IEEE802.11i协议的平安