打开文本图片集
摘要摘 要:针对无线局域网接入认证过程,探讨传统无线局域网安全处理方法存在的不足。在分析802.lx协议的基础上,采用EAP—MD5协议作为认证框架,构建无线接入控制点,实现基于802.lx协议的EAPMD5认证。
关键词关键词:无线局域网(WLAN);802.11i协议;802.1x协议;WEP
DOIDOI:10.11907/rjdk.143468
中图分类号:TP393
文献标识码:A 文章编号文章编号:16727800(2014)009014402
0 引言
无线网络的安全性主要体现在访问控制和数据加密两个方面,访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证传送的数据只能被所期望的用户接收。为实现这一安全目标,IEEE802.11 标准中采用有线等效保密协议(wired equivalent privacy,WEP)设置安全机制,进行业务流加密和节点认证。但事实上,WEP 中存在诸多安全漏洞,如:初始化向量太短容易重用;缺少密钥管理而使用静态共享密钥;RC4 算法存在弱点;CRC32 算法过于简单;无抗重放保护;易受重排序和IP重定向攻击等。WEP 协议并没有达到人们期望的安全水平,WEP 机制既没有保障数据的安全性、保密性和完整性,也没有防止非授权访问。为更好地解决 802.11 中的安全问题,IEEE802 工作组推出了新一代安全标准IEEE802.11i。IEEE802.11i主要在 MAC层对IEEE802.11的安全机制进行了提升,从数据加密、身份认证、密钥管理等方面提升了IEEE802.11的安全性。
1 IEEE 802.11x和802.11i简介
IEEE 802.11x认证协议是一项基于端口的网络接入控制技术,该技术在网络设备物理接入级对接入设备进行认证和控制,提供一个可靠的用户认证和密钥分发框架,用户只有通过认证后才能连接网络。IEEE802.lx本身并不提供实际的认证机制,需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP无线终端支持不同的认证类型,能与后台不同的认证服务器进行通讯,如远程接入拨入用户服务(Radius)等。
IEEE 802.11i可为无线局域网用户提供了更可靠的安全解决方案,具有出色的可靠性和灵活性。作为新一代安全标准,其在兼容802.11中的安全机制的基础上引进了新的安全技术。从认证角度来看,它继承了802.11开放式系统认证方式和共享密钥认证方式,并且提出了基于802.11x的认证机制。从加密角度来看,它仍然保留了WEP,但提出了基于WEP的过渡解决方案TKIP。
2 无线局域网存在的安全问题
IEE802.11b标准提供两种手段来保证WLAN的安全。一是服务配置标识符(SSID),另一种是有线等效保密协议(WEP协议)。此两种方式均有其自身的缺陷,安全性较脆弱。
2.1 服务配置标示符的缺点
在服务配置标识符(SSID)方式中,无线客户端接收到接入点(AP)的SSID,就可以获得网络访问权限。如管理员没有修改AP厂商默认设置的SSID,甚至配置AP向外广播其SSID,这样其安全性将更低。
2.2 WEP协议的缺点
(1)WEP中用来生成密钥流的RC4算法存在弱密钥性。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。攻击者收集到足够多的使用弱密钥,并进行加密包处理后,只需尝试很少的密钥就可以将密钥破解。
(2)WEP协议本身存在一定缺陷,主要在于两个方面:①使用静态密钥;②受初始化向量(W)的限制。WEP协议并没有定义加密密钥的生成。在许多应用中,无线接入点AP和多个客户端之间使用同一个静态的密钥,而且很多WLAN为了方便密钥分发,常使用一个容易记忆的字符串。
WEP中使用初始化向量(W)的目在于对不同的数据帧使用不同的密钥流进行加密,以明文的方式附加在密文头部一起传输给解密端。WEP将初始化向量定义为24位值,但WEP协议没有指出如何来建立该值。此危险在于系统可以由为零的初始化向量开始,并以易于猜测的方式生成更多的初始化向量,且24位空间使得对不同的数据帧使用相同的密钥进行加密成为可能。
由于WEP协议中存在上述问题,当在多个数据帧上使用相同WEP密钥、相同初始化向量进行加密时,就产生了所谓的“弱RC4密钥”。黑客通过分析众多的此类弱密钥时,就可以攻击WEP协议以获取共享密钥。
3 基于802.1x的无线局域网安全认证实现
3.1 认证通信协议
802.lx协议在实现安全认证过程中,其客户端、认证系统、认证服务器之间通过通信协议EAP(扩展认证协议)进行交互。通过EAP协议,认证系统只需控制其受控端口的状态,而不干涉通过非受控端口在客户端和认证服务器之间传递的认证信息,就可实现认证流和业务流的完全分离。因此可以使用认证服务器来实现各种认证机制,认证系统仅需传送认证信息,并根据认证返回结果控制受控端口状态。
3.2 认证环境搭建
IEE802.1x认证系统通过EAP协议在客户端和认证服务器之间互相交换认证信息(见图1)。
图1 认证环境
在AP和客户端之间,EAP协议报文通过EAPOL封装格式,直接承载在LAN环境中。在AP与Radius服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over Radius),承载于Radius协议中,也可以由AP进行终结。
AP和认证功能相分离, Radius服务器可以使用多种不同的认证机制对客户端进行认证。在非共享网络段有线LAN中,一般实现MD5challenge认证机制;在共享网络段有线LAN和WLAN中,通常实现双向认证。设备端会根据Radius服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
3.3 EAP—MD5认证方式实现
EAP-MD5认证方式是通过Radius服务器提供简单的集中用户认证。用户注册时,服务器核验用户名与密码,只有通过认证才允许客户端访问网络业务。该认证方式用户密码采用MD5加密算法,以保证认证信息安全。
客户端首先发出EAPOLStart信息,如果网络上有支持802.lx服务的AP,该AP收到EAPOLStart信息即通过EAPOL发出EAPPacket,EAPidentity要求使用者确认身份,使用端程序收到EAPidentity后要求用户输入账号与密码。
AP与Radius服务器使用的通讯协议为Radius Protocol(Radius承载的EAP),AP收到用户EAP信息后,将EAP信息加到Radius Protocol Attribute上,并传送给Radius服务器。Radius服务器送出AccessChallenge(Radius Protocol),用户端程序将使用者的密码经由Hash(散列)后产生的结果透过AP,然后以AccessRequest(Radius Protocol)方式返给Radius。Radius服务器端收到此项要求后,经过Hash处理,比对密码是否一致,如果一致,就传送AccessAccept(Radius Protocol)信息给AP,如果两者不同,表示该用户身份确认有误,发送AccessReject(Radius protocol)给AP,AP送EAPOLFail信息,此时使用者端的802.lx程序显示无法登录。
图2 EAPMD5认证交互示意图
EAPMD5的功能是通过Radius服务器提供简单的集中用户认证。通过此方式,Radius服务器不需要安装证书,用户请求接入时,Radius服务器只检查用户名和口令。如果匹配,就通知无线访问点,允许该客户端访问网络服务。为安全起见,可与标准的802.H安全协议WEP/WEPZ组合使用,采用40位/l28位共享密钥实现加密。
4 结语
本文介绍了IEEE 802.1x和802.11i协议,分析了WEP协议存在的缺点,讨论了其局限性。在此基础上提出基于EAP—MD5认证方式解决身份认证问题。由于协议本身存在一定缺陷,应用中需采取其它方法对协议加以改进,以更好地实现接入控制和认证。
参考文献参考文献:
[1] 曹秀英,耿嘉,沈平.无线局域网安全系统[M ].北京:电子工业出版社,2004.
[2] NEILS FERUGSON.Michael:an improved MIC for 802.11 WEP[S].IEEE 802.1102/020r0 Jan 17,2002.
[3] DOUG WHITING,RUSS HOUSLEY,NEIL FERGUSON.AES encryption&authentication using CTR mode&CBCMAC[S].IEEE 802.1102/001r2.May 5,2002.
[4] BAKIRDAN A,QADDOUR J,JALOZIE I K.Security algorithms inwireless LAN:proprietary or nonproprietary[J].IEEE GLOBECOM,2003(11):14251429.
[5] APOSTOLOPOULOS G,PERIS V,SAHA D.Transport layer security:how much does it really cost[C].Eighteenth AnnualJoint Conference of the IEEE Computer and Communications Societies,1999(1):717725.
[6] 张仕斌.网络安全技术[M].北京:清华大学出版社,2004.
[7] NETWORK MAGAZINE.Roadblocks for war drivers:stop WiFi from making private networks public[Z],2002124.
责任编辑(责任编辑:陈福时)