無線局域網(wǎng)安全性改進探析

摘 要:IEEE 802.1l標準和802.11b標準為WLAN定義了WEP協(xié)議——加密和認證機制.但是，WEP協(xié)議有很多的安全漏洞。首先簡要描述了WEP協(xié)議的加密和認證機制.然后總結(jié)了WEP協(xié)議的各種安全漏洞，最后重點描述了兩種不同條件下彌補漏洞的方案。

關(guān)鍵詞:無線局域網(wǎng);認證安全;WLAN;無線網(wǎng)絡(luò)協(xié)議;WEP協(xié)議

中圖分類號:TP

文獻標識碼:A

文章編號:1672-3198(2010)12-0300-01

1 加密過程

從明文到密文.經(jīng)過了兩次處理，一次用來加密明文，另一次求完整性校驗和防止篡改數(shù)據(jù)。40-bit的共享密鑰K與初始向量IV(InitializationVector)聯(lián)接起來，構(gòu)成密鑰。以該密鑰作為偽隨機數(shù)發(fā)生器(PRNC-Pseudorandom Number Generator)的種子，生成偽隨機數(shù)序列，作為晟后加密數(shù)據(jù)所用的實際密鑰。PRNG使用RC4算法產(chǎn)生偽隨機數(shù)序列。ICV是通過CRC-32算法生成的，長4個字節(jié)。明文與完整性校驗和連接在一起，再與偽隨機數(shù)序列做異或運算，從而產(chǎn)生密文，所以加密結(jié)果要比明文長4個字節(jié)。

2 認證過程

“開放系統(tǒng)認證”實際上就足不要身份認證。因為它甚至小需要STA(Station)提供正確的身份信息，所以“這種認證方式不具有安全性。保留這種認證方式的原因就是為了方便使用。“共享密鑰認證”的共享密鑰與用來加解密的密鑰相同。

3 WEP協(xié)議存在的安全漏洞

(1)使用共享密鑰這種方式加密和認證，當有很多的STA和AP都知道共享的密鑰時，密鑰的保街性很難得到保證。

(2)WEP協(xié)議的共享密鑰用來加密數(shù)據(jù)顯得過短，不能抵抗某些具有強大計算能力的組織或個人的窮舉攻擊或字典攻擊。

(3)WEP協(xié)議的初始向量IV為24-bit，難以保證不重復(fù)出現(xiàn)，大概每半天就將重復(fù)一次。WEP協(xié)議建議每個數(shù)據(jù)包使用不同的IV，但是由于IV的重復(fù)使用率較高，所以RC4密鑰流的加密方式對于已知明文攻擊的抵抗能力相對較弱。

(4)IV的使用方式在WEP協(xié)議中沒有明確定義.因而某些不合理的使用方式將導(dǎo)致其抵抗攻擊的能力大大降低，比如使用IV遞增方式，使得IV可以很容易地被預(yù)測到。

(5)可以采用某些手段使得即使使用ICV也無法檢測到數(shù)據(jù)包的變化，比如把密文C篡改為C’而不被發(fā)現(xiàn)。

4 彌補漏洞的高級方案

隨著計算機設(shè)備的計算能力的不斷提高，傳統(tǒng)采用的臨時辦法的抗攻擊能力將變得越來越弱。所以.新架設(shè)的WLAN基礎(chǔ)設(shè)施位該采用下述的高級方案來改善WLAN的安全性。高級方案的核心是用802 IX標準來進行加密和認證，它與802.11和802 11b標準所定義的加密和認證方式是不兼容的.所以該方案不足以針對上述所描述的各個漏洞而分別提出改進方案，而是一個全新的安全方案。

802 IX利用可擴展認證協(xié)泌EAP(Exlensible Authen-tieation Pmtoco)代替WEP協(xié)議的共享密鑰認證方式。EAP協(xié)議既可以用于無線網(wǎng)也可以用于有線網(wǎng)，而且提供了多種認證方法，如公鑰認證方法等。802 IX協(xié)議連提供了密鑰動態(tài)分配和更新的功能，有效地解決了WEP在密鑰管理方面的空白。身份認證和密鑰脅商的步驟如下:

(1)STA向AP提交聯(lián)網(wǎng)申請消息。

(2)AP應(yīng)以EAP—request消息來要求STA提供身份信息。同時，除了STA發(fā)往認證服務(wù)器(如RADIUS-RemoteAuthentication Dial In User Servieelalll)的EAP數(shù)據(jù)包之外，AP阻塞STA發(fā)出的所有其它數(shù)據(jù)包，如DHCP、0P3數(shù)據(jù)包等。直到STA成功登錄到同絡(luò)之后，這些數(shù)據(jù)包才被允許通過。

(3)STA同應(yīng)以EAP-response消息，其中含有用戶身份信息。

(4)認證服務(wù)器使用特定的認證方法來認證用戶的身份。下面以EAP為例說明認證過程，并假設(shè)認證服務(wù)器是RADIUS服務(wù)器。RADIUS服務(wù)器首先發(fā)出挑戰(zhàn)數(shù)據(jù)包。然后STA求出用戶口令與挑戰(zhàn)數(shù)據(jù)包串聯(lián)后的單向散列結(jié)果，發(fā)回給RADIUS服務(wù)器，RADIUS服務(wù)器從用戶數(shù)據(jù)庫中取得口令信息并執(zhí)行同樣的求散列操作，將計算結(jié)果與STA發(fā)回的數(shù)據(jù)比較，如果相同，則STA通過證.RADIUS服務(wù)器發(fā)送EAP消息給STA;反之，則不能通過身份驗證，RADIUS服務(wù)器發(fā)送EAP—rcject消息給STA。該過程反過來再執(zhí)行一次，就能實現(xiàn)STA對RADIUS服務(wù)器的認證。當雙向身份認證成功完成之后，STA與RADIus服務(wù)器之間要協(xié)商一個會話密鑰，該會話櫥鑰對每個STA都不同。

(5)RADIUS服務(wù)器發(fā)送會話密鑰到AP，這段是通過有線網(wǎng)傳輸?shù)模钥梢允褂妹魑膫鬏敗?/p>

(6)AP用會話密鑰加密廣播密鑰.并將加密結(jié)果發(fā)給STA，STA用會活密鑰解密而得到廣播密鑰。

(7)STA與AP按照AES(Advanced Encryption Stan-dard)協(xié)議，使用會話密鑰和廣播密鑰繼續(xù)會話。

參考文獻

[1]張堯?qū)W.透明計算:概念、結(jié)構(gòu)和示例[J].電子學報，2004，32(12A):169-174.

[2]周悅芝，張堯?qū)W，王勇.一種用于網(wǎng)絡(luò)計算的可定制啟動協(xié)議[J].軟件學報，2003，14(3).