對無線區域網路安全性的研究
如今,無線區域網路已成為市場的主流,其安全性也不容忽視了。在無線區域網路上,資料傳輸是通過無線電波在空中廣播的,是以在發射機覆寫範圍内資料可以被任何無線區域網路終端接收。安裝一套無線區域網路就好象在任何地方都放置了以太網接口。是以,無線區域網路的用
如今,無線區域網路已成為市場的主流,其安全性也不容忽視了。在無線區域網路上,資料傳輸是通過無線電波在空中廣播的,是以在發射機覆寫範圍内資料可以被任何無線區域網路終端接收。安裝一套無線區域網路就好象在任何地方都放置了以太網接口。是以,無線區域網路的使用者主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線區域網路能夠提供等同于有線區域網路的安全性和管理能力,否則人們還是對使用無線區域網路存在顧慮。
一、IEEE802.11b标準的安全性
IEEE 802.11b标準定義了兩種方法實作無線區域網路的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)。
1、認證
當一個站點與另一個站點建立網絡連接配接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。 IEEE 802.11b标準詳細定義了兩種認證服務:-開放系統認證(Open System Authentication):是802.11b預設的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識别認證站點身份的幀。 -共享密鑰認證(Shared Key Authentication):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。 共享密鑰認證的過程如圖1所示,描述如下:
(1) 請求工作站向另一個工作站發送認證幀。
(2) 當一個站收到開始認證幀後,傳回一個認證幀,該認證幀包含WEP服務生成的128位元組的質詢文本。
(3) 請求工作站将質詢文本複制到一個認證幀中,用共享密鑰加密,然後再把幀發往響應工作站。
(4) 接收站利用相同的密鑰對質詢文本進行解密,将其和早先發送的質詢文本進行比較。如果互相比對,相應工作站傳回一個表示認證成功的認證幀;如果不比對,則傳回失敗認證幀。
圖1 共享密鑰認證
認證使用的辨別碼稱為服務組辨別符(SSID:Service Set Identifier),它提供一個最底層的接入控制。一個SSID是一個無線區域網路子系統内通用的網絡名稱,它服務于該子系統内的邏輯段。因為SSID本身沒有安全性,是以用SSID作為接入控制是不夠安全的。接入點作為無線區域網路使用者的連接配接裝置,通常廣播SSID。 2、WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線區域網路資料流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目标是: 接入控制:防止未授權使用者接入網絡,他們沒有正确的WEP密鑰。
加密:通過加密和隻允許有正确WEP密鑰的使用者解密來保護資料流。
IEEE 802.11b标準提供了兩種用于無線區域網路的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享—包括一個子系統内的所有接入點和客戶擴充卡。當使用者得到預設密鑰以後,就可以與子系統内所有使用者安全地通信。預設密鑰存在的問題是當它被廣泛配置設定時可能會危及安全。第二種方案中是在每一個客戶擴充卡建立一個與其它使用者聯系的密鑰表。該方案比第一種方案更加安全,但随着終端數量的增加給每一個終端配置設定密鑰很困難。
圖2 WEP加密過程
WEP加密的算法如圖2所示,過程如下:
(1) 在發送端,WEP首先利用一種綜合算法對MAC幀中的幀體字段進行加密,生成四位元組的綜合檢測值。檢測值和資料一起被發送,在接收端對檢測值進行檢查,以監視非法的資料改動。
(2) WEP程式将共用密鑰輸入僞随機數生成器生成一個鍵序,鍵序的長度等于明文和綜合檢測值的長度。
(3) WEP對明文和綜合檢測值進行模二加運算,生成密文,完成對資料的加密。僞随機數生成器可以完成密鑰的配置設定,因為每台終端隻用到共用密鑰,而不是長度可變的鍵序。
(4) 在接收端,WEP利用共用密鑰進行解密,複原成原先用來對幀進行加密的鍵序。
(5) 工作站計算綜合檢測值,随後确認計算結果與随幀一起發送來的值是否比對。如果綜合檢測失敗,工作站不會把MSDU(媒體服務單元)送到LLC(邏輯鍊路控制)層,并向MAC管理程式發回失敗聲明。
二、影響安全的因素
1、硬體裝置
在現有的WLAN産品中,常用的加密方法是給使用者靜态配置設定一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線區域網路客戶擴充卡的存儲器上。這樣,擁有客戶擴充卡就有了MAC位址和WEP密鑰并可用它接入到接入點。如果多個使用者共享一個客戶擴充卡,這些使用者有效地共享MAC位址和WEP密鑰。
當一個客戶擴充卡丢失或被竊的時候,合法使用者沒有MAC位址和WEP密鑰不能接入,但非法使用者可以。網絡管理系統不可能檢測到這種問題,是以使用者必須立即通知網絡管理者。接到通知後,網絡管理者必須改變接入到MAC位址的安全表和WEP密鑰,并給與丢失或被竊的客戶擴充卡使用相同密鑰的客戶擴充卡重新編碼靜态加密密鑰。用戶端越多,重新編碼WEP密鑰的數量越大。
2、虛假接入點
IEEE802.11b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒别使用者,但使用者不能鑒别接入點。如果一個虛假接入點放在無線區域網路内,它可以通過劫持合法使用者的客戶擴充卡進行拒絕服務或攻擊。
是以在使用者和認證伺服器之間進行互相認證是需要的,每一方在合理的時間内證明自己是合法的。因為使用者和認證伺服器是通過接入點進行通信的,接入點必須支援互相認證。互相認證使檢測和隔離虛假接入點成為可能。
3、其它安全問題
标準WEP支援對每一組加密但不支援對每一組認證。從響應和傳送的資料包中一個黑客可以重建一個資料流,組成欺騙性資料包。減輕這種安全威脅的方法是經常更換WEP密鑰。
通過監測IEEE802.11b控制信道和資料信道,黑客可以得到如下資訊:
用戶端和接入點MAC位址
内部主機MAC位址
上網時間
黑客可以利用這些資訊研究提供給使用者或裝置的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
三、完整的安全解決方案
無線區域網路完整的安全方案以IEEE802.11b為基礎,是一個标準的開放式的安全方案,它能為使用者提供最強的安全保障,確定從控制中心進行有效的集中管理。它的核心部分是:
擴充認證協定(Extensible Authentication Protocol,EAP),是遠端認證撥入使用者服務(RADIUS)的擴充。可以使無線客戶擴充卡與RADIUS伺服器通信。
IEEE 802.1X, 一個控制端口接入的提議标準。
當無線區域網路執行安全保密方案時,在一個BSS範圍内的站點隻有通過認證以後才能與接入點結合。當站點在網絡登入對話框或類似的東西内輸入使用者名和密碼時,用戶端和RADIUS伺服器(或其它認證伺服器)進行雙向認證,客戶通過提供使用者名和密碼來認證。然後 RADIUS伺服器和使用者伺服器确定用戶端在目前登入期内使用的WEP密鑰。所有的敏感資訊,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:
一個站點要與一個接入點連接配接。
除非站點成功登入到網絡,否則接入點将禁止站點使用網絡資源。
使用者在網絡登入對話框和類似的結構中輸入使用者名和密碼。
用IEEE802.1x協定,站點和RADIUS伺服器在有線區域網路上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。例如:RADIUS伺服器向使用者發送一個認證請求,用戶端對使用者提供的密碼進行一種hash運算來響應這個請求,并把結果送到RADIUS伺服器;利用使用者資料庫提供的資訊,RADIUS伺服器建立自己的響應并與用戶端的響應相比較。一旦伺服器認證了使用者,就進行相反的處理使使用者認證RADIUS伺服器。
互相認證成功完成後,RADIUS伺服器和使用者确定一個WEP密鑰來區分使用者并提供給使用者适當等級的網絡接入。以此給每一個使用者提供與有線交換幾乎相同的安全性。使用者加載這個密鑰并在該登入期内使用。
RADIUS伺服器發送給使用者的WEP密鑰,稱為時期密鑰。
接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給使用者,使用者用時期密鑰來解密。
使用者和接入點激活WEP,在這時期剩餘的時間内用時期密鑰和廣播密鑰通信。
認證的全部過程如圖3所示。
圖3 基于IEEE802.1x的安全傳輸