首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > > 中国电子信息产业标准化热点专题 > 正文

WAPI打造安全互联的公共无线局域网

http://www.sina.com.cn 2003年08月26日 09:34 新浪科技

  随着技术和应用的不断发展和进步,WLAN(无线局域网)正从传统意义上的局域网技术正逐步演变为"公共无线局域网",成为包括中国网通、中国电信、中国移 动、中国联通等运营商密切关注的焦点,许多运营商已推出了WLAN服务,进一步探索WLAN的运营模式。作为运营商预演全业务竞争的热点,公共无线局域网服务在运营商的战略布局中具有特殊意义。但众所周知的是,WLAN技术在公共无线局域网领域的应用至今仍然存在四大瓶颈:安全问题、商业模式与定价、漫游与计费、WLAN终端的普及。随着无线局域网传输速率的提高和终端设备的热卖,公共无线局域网运营的瓶颈将更多的集中在安全问题以及与安全问题密切相关的商业模式、漫游与计费等。本文从运营商开展WLAN业务的现状及面临的问题出发,讨论了现有安全方案的特点,进而阐述WAPI(无线局域网鉴别与保密基础结构)及其应用,最后给出各种安全认证方案的比较和结论。

  1.运营商开展WLAN业务的现状及面临的问题

  目前,运营商提供WLAN服务所针对的主要客户群是企业客户、经常外出的商务人士和家庭用户等。所以运营商进行WLAN应用部署的主要区域分为:一、热点地区(Hot Spots),包括机场、车站、酒店、医院、咖啡厅等人员变动频繁的地方;二、商业楼宇,如租用的办公室、会议室等;三、临时服务区,有展览馆、体育馆、新闻中心等;四、家庭和SOHO用户;五、难以布线或布线成本太高的地区。对运营商来说在这些地区提供WLAN服务,扩展了网络的覆盖面积,赢得更多用户,增加网络使用率,获得丰厚收益;对这些场所来说,也会因此而改善服务设施,提高档次,吸引客户;对用户来说,则可以方便、快捷地访问网络。可以说运营商开展WLAN服务是一个"三赢"的好事。

  运营商级WLAN服务的对象属于高端用户,他们对服务的质量非常关注;而部署的区域又非常开放,再加上无线局域网利用无线电波在空中辐射传播数据的特性,在给运营商带来无限商机的同时,也带来了许多难题,最突出的就是安全和互联问题。

  首先,安全认证功能对运营商而言是用户管理功能的关键和基础;其次,企业用户和商业人士需要安全可靠的服务;另外,现有的无线局域网标准IEEE802.11中提出的安全方案已被广泛证实存在安全漏洞,难以满足用户的需求。

  设备间互联是运营商必须要考虑的问题。当前,虽然许多厂商的产品都宣称通过了wi-fi兼容性测试,但由于各厂商所提出和采用的安全解决方案不同,缺乏统一的标准,导致了不同的WLAN设备在启用安全功能时无法互通,这会造成运营商的设备管理极其复杂,需要针对不同的安全方案开发不同用户管理功能,导致运营和维护成本大大增加,也不利于保护投资,而用户因为无法在不同的安全AP(Access Point)间漫游,而降低客户满意度。

  另外,安全问题的解决不应该以牺牲其他WLAN的特性为代价。这方面表现比较突出的是涉及WLAN的漫游。在美国,WLAN运营商MobileStar建立了连接约140个机场/宾馆的WLAN公众网,必须支持客户可进行漫游。同时,许多大型机场等热点地区,本身就需要架设多个WLAN基站,也必须支持客户在其中漫游。而当前许多WLAN的安全解决方案都不支持漫游。如WEP、MAC地址过滤、VPN等。

  2.现有安全方案的特点

  图1、WLAN典型应用

  对于现有的WLAN产品,它的安全隐患主要有以下几点:

  容易侵入无线局域网在给用户带来方便的同时,也给入侵者来了方便。非法用户可以在能接收到无线信号的任何地方,发起对WLAN的攻击,如停车场攻击(parking slot attack)。

  l未经授权使用网络服务

  由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。

  l地址欺骗和会话拦截(中间人攻击)

  在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来恶意攻击时使用。

  另外,由于IEEE802.11没有对AP身份的认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现的网络入侵。

  l高级入侵(企业网)

  一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。

  下面,我们具体讨论当前各种安全方案的特点和不足:

  业务组标识符(BSSID)这是人们最早使用的一种安全认证方式,即为无线接入点AP设置BSSID,强迫无线终端接入固定SSID的AP来实现接入控制。但AP会不加密地广播包含BSSID的信标帧(beacon),非法用户很容易获得AP的BSSID,从而能方便地通过AP接入网络。况且有的厂家的AP还支持"any"BSSID方式,只要无线终端处在AP信号范围内,那么它都会自动连接到AP,这将绕过基于BSSID的安全功能。

  MAC地址过滤这是一种很常用的接入控制技术,在运营商铺设的有线网络中也经常使用,即AP只允许有合法MAC地址终端接入。这种方法的效率会随着终端数目的增加而降低;而且非法用户通过网络侦听就可获得合法的MAC地址表,而实际中的许多PCMCIA网卡和操作系统(如Windwos NT、Linux等)都可方便地更改网卡的MAC地址,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。

  有线等价安全(WEP)WEP协议是IEEE802.11标准中提出的认证加密方法。它使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。由于其使用固定的加密密钥和过短的初始向量,加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。现已有专门的自由攻击软件airsnort。而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。另外,其实际使用中共享密钥的分发问题,即所有用户启用WEP时均从运营商处获取共享密钥,这不仅会使运营商运行和维护成本急剧增加,也会使用户感到使用不便,并且同一AP所管理的用户拥有相同的共享密钥,进一步人为地降低了系统地安全性。

  PPPoE认证PPPoE是目前使用最多的一种认证技术。它的用户认证方式主要包括PAP和CHAP两种,利用明文或弱加密的方式传送口令,不适用于开放的无线环境。并且由于PPPoE技术采用以太网报文封装PPP报文,在发现阶段和会话阶段都必须进行PPPoE的封装,效率较低,且会对电信运营商的高可靠性带来较大的隐患。同时认证完成后没有后续数据的加密过程,不能满足真正的安全需求。

  DHCP+WEB认证此为基于应用层的认证方式,通过http协议获取用户输入的用户名和密码,无须专门安装客户端软件,应用范围广。但其用户名和密码也是以明文(采用http1.0)或弱加密(采用http1.1中的MD5算法)方法传输,不适用于无线环境;另外由于涉及的网络层次较多,认证效率低下;客户在认证前必须先获得IP地址,使分配IP地址的DHCP服务器对用户而言是完全裸露的,容易被恶意攻击;标准不统一,依靠各厂商自行开发,不适宜需要广泛兼容性的环境;它同样也没有后续的数据加密过程,有安全隐患。

  虚拟专网(VPN)这种比较成熟的安全方案在无线环境中应用时存在很多问题。首先是运行的脆弱性,无线链路的质量比有线差得很多,会存在短时的数据中断,这对一般的TCP应用没有大的影响,但会导致VPN链路的中断,用户必须手工设置以恢复VPN连接。此外,它也缺少统一的开发标准,技术体制杂乱,没有通用性可言,这对于强调互通性的WLAN应用是相悖的。VPN的网络构架非常复杂,原本WLAN中存在的良好的扩展性,由于引入VPN反而成了难以克服的问题。最后,VPN产品的价格很高,成本问题也是阻碍它应用的主要障碍之一。

  802.1X协议IEEE提出的基于端口的访问控制协议,目前许多公司都将它当作解决WLAN安全的一个主要手段,但其仍有不少问题仍然有待改进。

  1)、802.1X并非专为WLAN所设计。在有线环境中,认证的隐含前提是终端已连接在网络上,而在有线网络中篡改、劫持传输的数据是相对困难的。而在无线环境中,其网络拓扑和特性都发生了质的变化,对数据的篡改、劫持、窃听都变得非常容易。事实上,正是因为这个原因,导致802.1X在WLAN中应用时,产生了许多问题。802.1x仅提供基本的认证框架,并非专为WLAN设计。

  2)、从802.1X的结构来看,它采用的是单向认证机制。即只有认证服务器(authentication server)对终端(相当于supplicant)的认证,当终端被认证通过时,认证服务器将验证者实体(在WLAN中即为无线接入点AP)中的受控端口打开,终端可以通过该端口访问网络,否则,终端被禁止进行发送数据。在上述的认证过程中,可以看出,终端始终处于被动的位置,缺少终端对无线接入点和认证服务器的认证机制。在有线环境下,单向认证机制是基本上可以保证网络安全的,而在无线条件下,没有完善的双向认证机制是遭致"中间人"(man-in-middle)攻击的主要原因。

  3)、802.1X中采用的上层协议并不完善。在802.1X结构中,采用EAP协议上层认证协议,但无论是EAP-MD5还是EAP-TLS,其认证成功信息(eapsuccess)都不包含完整性校验,易被篡改。而对终端(supplicant)来说,其状态从"未认证"转到"已认证"的充分必要条件就是EAP认证成功。因此,由于协议本身缺陷,即使上层采用了具有双向认证机制的EAP-TLS协议,也同样会存在缺乏双向认证的问题,因为"中间人"只要伪造一个认证成功信息,就可使终端进入"已认证"状态,达到欺骗终端,窃取其传输数据的目的。

  4)、没有解决数据加密问题。802.1X主要是认证方面的协议,虽然认证是解决其他安全问题的基础,但802.1X并未给出对数据加密的解决方案,而WLAN的特性决定了缺少数据加密是无法真正实现安全的。

  5)、基于802.1X的会话密钥协商效率较差。因为在802.1X体系中,无线接入点AP(即authenticator)在认证过程中只起了中转的作用,所以,现有的会话密钥协商算法都是在终端和远端的认证服务器之间进行,TKIP和EAP-TLS等均是如此,在认证服务器和终端完成会话密钥协商过程后,在由认证服务器将密钥发送到无线接入点AP,此后,终端和无线接入点AP之间才能传输加密数据。这个方案有两个主要的缺点:一是认证服务器负载过大,因为它需要对所有的AP下连接的全部终端进行会话密钥协商,如果再考虑会话密钥的动态协商,必然大大增加认证服务器的工作,使得认证服务器成为整个系统的性能瓶颈;二是效率低下,终端要和认证服务器进行会话密钥协商,而通常认证服务器都不在本地,密钥协商信息需从本地发往远端的服务器,再从远端的服务器发送到本地的无线接入点,传输时延增大,导致协商效率低下。此外会话密钥在网络上传输,违反密码学原理,存在安全隐患。

  6)、802.1X中无密钥管理的解决方案。802.1X中只提供了认证体系结构,对密钥的管理没有定义,许多厂商只好自行开发设计,相互之间存在不兼容的问题。

  7)、易用性较差。在大范围部署无线接入点AP时,若采用802.1X体系,每个无线接入点AP都必须和认证服务器间一一设置共享密钥,需网络管理员参与,工作量巨大。

  3.WAPI方案介绍及其应用

  WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时,本方案已由ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)审查并获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议。

  WAPI的工作原理如下图所示,整个系统有移 动终端MT(Mobile Terminal)、AP和认证服务器AS组成;其中,认证服务器AS的主要功能是负责证书的发放、验证与吊销等;移 动终端MT与AP上都安装有AS发放的公钥证书,作为自己的数字身份凭证。当MT登录至无线接入点AP时,在使用或访问网络之前必须通过AS进行双向身份验证。根据验证的结果,只有持有合法证书的移 动终端MT才能接入持有合法证书的无线接入点AP。这样不仅可以防止非法移 动终端MT接入AP而访问网络并占用网络资源,而且还可以防止移 动终端MT登录至非法AP而造成信息泄漏。

  图2、WAPI工作原理图

  WAPI工作原理如下:

  a)认证激活。当移 动终端MT登录至AP时,由AP向MT发送认证激活以启动整个认证过程。

  b)接入认证请求。MT向AP发出接入认证请求,即将MT证书与MT的当前系统时间发往AP,其中系统时间称为接入认证请求时间。

  c)证书认证请求。AP收到MT接入认证请求后,向AS发出证书认证请求,即将MT证书、接入认证请求时间、AP证书并利用AP的私钥对它们签名构成证书认证请求报文发送给AS。

  d)证书认证响应。AS收到AP的证书认证请求后,验证AP的签名以及AP和MT证书的合法性。验证完毕后,AS将MT证书认证结果信息(包括MT证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。

  e)接入认证响应。AP对AS返回的证书认证响应进行签名验证,得到MT证书的认证结果。AP将MT证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至MT。MT验证AS的签名后,得到AP证书的认证结果。MT根据该认证结果决定是否接入该AP。

  f)私钥验证请求。AP和MT都需要确认对方是否是证书的合法持有者,私钥验证请求包含实时产生的随机数,请求对方对其签名,以验证对方是否拥有该证书的私钥。该请求可由AP或MT发起。

  g)私钥验证响应。包含对私钥验证请求中随即数据的签名,提供自己是证书合法持有者的证明。

  h)至此MT与AP之间完成了证书认证过程。若认证成功,则AP允许MT接入,否则解除其登录。

  在证书双向认证结束后,若AP和MT可以利用合法证书的公钥进行会话密钥的协商,上述的私钥验证过程也可省略,实现密钥的集中、安全管理。

  WAPI的系统应用如下图:

  图3、WAPI的系统应用拓扑图

  1)当MT需要访问网络时,首先要登录至接入点AP,建立链路连接;

  2)MT登录至AP后,AP向MT发送认证通知帧,启动整个认证过程;

  3)MT向AP发起接入认证请求;AP把MT认证请求发往AS;AS验证AP和MT证书的合法性,并将认证结果发给AP。AP和MT分别得到相互的证书认证结果。如果证书认证成功,则AP和MT验证对方的私钥,以确认他们是证书的合法持有者。私钥验证结束后,整个认证过程结束。

  4)AS向AP发送MT的授权信息。授权信息给出该合法MT的访问网络服务等级,如可占用的带宽等。

  5)AP和MT根据认证结果控制对网络的访问。如果认证成功,MT可访问网络。

  6)MT和AP开始网络信息数据的交换,即MT可以访问网络。

  通过上述描述可以看出,WAPI适合多种市场应用,如单点式(如家庭,SOHO),集中式(如企事业单位)和运营商应用。

  图4、WAPI的市场应用

  WAPI的特点:

  u采用基于公钥密码体系的证书机制,真正实现了移 动终端(MT)与无线接入点(AP)间双向鉴别。

  u用户只需安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无需再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展。

  u支持包括Windows98/2K/XP、Linux等操作系统。

  u提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。

  u满足家庭、企业、运营商等多种应用模式。

  u在不同场合,应用形式相同,使用方便,用户易接受。

  4.各种安全方案的比较

  我们将WAPI与现有的主要安全方案作一对比分析。

  表1、WEP与WAPI对比表:

 

WEP

WAPI

认证

特征

单向认证

双向认证

认证方法

认证简单

共享密钥认证

认证过程简单

无线用户与无线接入点地位对等,不仅实现无线接入点的接入控制,而且保证无线用户接入的安全性

客户端支持多证书,方便用户多处使用,充分保证其漫游功能

安全漏洞

鉴别易于伪造

降低了总安全性

加密

密钥

静态

动态(基于用户、基于鉴别、通信过程中动态更新)

安全强度

国家标准与法规

不符合

符合

  表2、WAPI和802.1X的对比表:

项目

WAPI

802.1X

认证机制(MTAP

双向认证

单向认证

密钥管理

全集中

APRADIUS手工共享密钥

MT漫游

支持

支持

认证对象

用户

用户

构建和扩展易用性

设计对象

WLAN

802协议网络

认证协议完善性

完善,强度高

协议存在缺陷

会话密钥协商

终端和AP协商,

效率高

终端和认证服务器协商,

效率低

是否通过安全审查

通过

未通过

  关于其他认证方案,如PPPoE和WEB认证,都缺少数据加密,无法防止"中间人"攻击和会话劫持,从根本上也无法防止用户帐号的盗用。

  5.结论

  综上所述,解决WLAN中存在的安全问题对运营商推出可运营、可管理、可盈利的宽带无线数据服务来说是非常有意义的。一方面,它可以提高客户的满意度。通过阻止非法用户侵入网络,保障合法用户的利益;符合用户的应用习惯,不论用户身处何处,都应只采用统一的认证方式,不会出现在家时使用PPPoE认证,在酒店使用WEB认证的情况;降低用户的使用成本,用户不应使用了WLAN而另行增加安全系统的成本,WLAN应提供等价于有线的安全。另一方面,安全认证也是运营商进行用户管理的基础,其他许多功能包括用户身份识别、计费和授权(如流量控制、策略路由等)都要以此为依据。

  因此,运营商开展WLAN应用应关注这些方面:1)安全。认证和数据加密都需要才能真正保证无线的安全。2)互联,即兼容性。选购产品应符合国家标准。3)可扩展性好,安装、维护方便。4)易用性强。要符合WLAN的应用特点,无论用户是在家中、公司或热点地区,其使用的认证方式是相同的。

  我们认为,WAPI完全满足运营商的应用需求。


评论】【推荐】【 】【打印】【关闭

    

爱普生照片纸——完全免费!
不见不散 约会新主张!

  进入欲望都市 喝冰锐朗姆酒 体验性感新生活
  注册新浪9M全免费邮箱
  说一口流利英语,其实不难? MBA联考培训特惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”
  第53届世界小姐中国总决赛报名开始

新 闻 查 询
关键词一
关键词二


search 摄像机 减肥 停电装备
 

新浪精彩短信
两性学堂
了解彼此性爱感受努力营造性爱意境
非常笑话
无限精彩——成人世界的快乐元素!
图片
铃声
·[韩 红] 青藏高原
·[王力宏] 这就是爱
·[陈晓东] 比我幸福
铃声搜索



企 业 服 务


新浪青岛站正式开通
新浪企业邮箱值得信赖
肺癌治疗重大突破
让企业和产品扬名海外


分 类 信 息
:北交大MBA直通车
   新浪分类全新改版
   夏季旅游-心的承诺
   12.8万读特色EMBA
 京腔京韵京商京息
分类信息刊登热线>>

 发表评论: 匿名发表 新浪会员代号:  密码:
每日2条,28元/月
原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
爆笑无比精彩无限,成人世界的快乐享受
一女士刚洗完澡,突然发现一个刷窗工在窗外盯着她。她…
每日2条,30元/月



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

版权所有 新浪网