WLAN一體化安全簡(jiǎn)析

田 雪

（中國(guó)電信黑龍江省哈爾濱市電信分公司，黑龍江 哈爾濱 150000）

WLAN技術(shù)標(biāo)準(zhǔn)制定者IEEE 802.11工作組從一開始就把安全作為關(guān)鍵的課題。最初的IEEE 802.11-1999協(xié)議所定義的WEP機(jī)制(WEP本意是"等同有線的安全")存在諸多缺陷，所以IEEE 802.11在2002年迅速成立了802.11i工作組，提出了AES-CCM等安全機(jī)制。此外，我國(guó)國(guó)家標(biāo)準(zhǔn)化組織針對(duì)802.11和802.11i標(biāo)準(zhǔn)中的不足對(duì)現(xiàn)有的WLAN安全標(biāo)準(zhǔn)進(jìn)行了改進(jìn)，制定了WAPI標(biāo)準(zhǔn)。

1 IEEE 802.11-1999安全標(biāo)準(zhǔn)

IEEE 802.11-1999把WEP機(jī)制作為安全的核心內(nèi)容，包括了：

1.1 身份認(rèn)證采用Open system認(rèn)證和共享密鑰認(rèn)證，前者無(wú)認(rèn)證可言，后者容易造成密鑰被竊取;

1.2 數(shù)據(jù)加密采用RC4算法

加密密鑰長(zhǎng)度有64位和128位兩種，其中有24Bit的IV是由WLAN系統(tǒng)自動(dòng)產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結(jié)果的規(guī)律，實(shí)現(xiàn)每次加密的結(jié)果都不同，但是長(zhǎng)度太短了。在流量較大的網(wǎng)絡(luò)，IV值很容易出現(xiàn)被重用。

1.3 完整性校驗(yàn)采用了ICV

802.11 報(bào)文中定義了ICV域，發(fā)送者使用(CRC-32)checksum算法計(jì)算報(bào)文的ICV,附加在MSDU后，ICV和MSDU一起被加密保護(hù)。接收者解密報(bào)文后，將本地計(jì)算的CRC-32結(jié)果和ICV進(jìn)行比較，如果不一致，則可以判定發(fā)生了報(bào)文篡改。CRC-32算法本身很弱，可以通過bit-flipping attack篡改報(bào)文，而讓接收者無(wú)法察覺。

1.4 密鑰管理不支持動(dòng)態(tài)協(xié)商，密鑰只能靜態(tài)配置，完全不適合企業(yè)等大規(guī)模部署場(chǎng)景。

2 中國(guó)WAPI安全標(biāo)準(zhǔn)

針對(duì)WLAN安全問題，中國(guó)制定了自己的WLAN安全標(biāo)準(zhǔn)：WAPI。與其它WLAN安全體制相比，WAPI認(rèn)證的優(yōu)越性集中體現(xiàn)在以下幾個(gè)方面：

2.1 支持雙向鑒別在WAPI安全體制下，STA和AP處于對(duì)等的地位，二者均具有驗(yàn)證使用的獨(dú)立身份，在公信的第三方AS控制下相互進(jìn)行鑒別：AP可以驗(yàn)證STA的合法性;而STA同樣也可以驗(yàn)證AP的合法性。這種雙向鑒別機(jī)制既可防止假冒的STA接入WLAN網(wǎng)絡(luò)，同時(shí)也可杜絕假冒的AP提供非法接入服務(wù)。而在其它WLAN安全體制下，只能實(shí)現(xiàn)AP對(duì)STA的單向鑒別。

2.2 使用數(shù)字證書WAPI使用數(shù)字證書作為用戶身份憑證，在方便了安全管理的同時(shí)也提升了WLAN網(wǎng)絡(luò)的安全性。當(dāng)STA或AP退出或加入WLAN網(wǎng)絡(luò)時(shí)，只需吊銷其證書或頒發(fā)新證書即可，這些操作均可在證書服務(wù)器上完成，管理非常方便。而其它WLAN安全機(jī)制則多使用用戶名和口令作為用戶的身份憑證，易被盜用。

通常入侵檢測(cè)系統(tǒng)主要提供如下功能：

2.2.1 非法AP檢測(cè)

可以自動(dòng)監(jiān)測(cè)非法設(shè)備(例如Rouge AP，或者Ad Hoc無(wú)線終端)，并適時(shí)上報(bào)網(wǎng)管中心，同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)。

2.2.2 白名單功能

支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無(wú)線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在AP上被丟棄，從而減少非法報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

2.2.3 黑名單功能

支持靜態(tài)配置黑名單和動(dòng)態(tài)黑名單功能，用戶可以通過配置方式或者設(shè)備實(shí)時(shí)檢測(cè)偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報(bào)文全部在AP上丟棄，從而減少攻擊報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

2.2.4 無(wú)線協(xié)議攻擊防御

隨著無(wú)線網(wǎng)絡(luò)的大規(guī)模部署，如何將無(wú)線安全技術(shù)和現(xiàn)有成熟的有線安全技術(shù)有機(jī)地結(jié)合起來形成一套一體化的安全系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)者關(guān)注的焦點(diǎn)。從網(wǎng)絡(luò)發(fā)展來看，有線和無(wú)線網(wǎng)絡(luò)融合是未來網(wǎng)絡(luò)發(fā)展的趨勢(shì)，無(wú)線網(wǎng)絡(luò)安全也會(huì)從原有的單純強(qiáng)調(diào)無(wú)線網(wǎng)絡(luò)內(nèi)的安全逐漸演化為關(guān)注有線無(wú)線一體化安全。

3 以下分別進(jìn)行分析

當(dāng)前業(yè)界已經(jīng)有越來越多的廠商在現(xiàn)有的有線交換設(shè)備上集成無(wú)線交換功能、防火墻功能、入侵檢測(cè)功能、VPN功能。通過在機(jī)架式設(shè)備上安插不同的安全業(yè)務(wù)插卡，用戶可以將安全業(yè)務(wù)和交換設(shè)備無(wú)縫融合，可以檢測(cè)從有線和WLAN接入層到應(yīng)用層的多層協(xié)議，實(shí)現(xiàn)高度集成化的有線無(wú)線一體化安全解決方案。

這些安全業(yè)務(wù)插卡往往采用電信級(jí)硬件平臺(tái)，通過多內(nèi)核系統(tǒng)實(shí)現(xiàn)核心企業(yè)用戶對(duì)安全設(shè)備線性處理能力的需求，實(shí)現(xiàn)用戶網(wǎng)絡(luò)安全的深度防護(hù)。

3.1 基于一體化的安全架構(gòu)，在應(yīng)用層、IP層可以支持：

3.1.1 增強(qiáng)型狀態(tài)安全過濾：支持ASPF應(yīng)用層報(bào)文過濾協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過濾數(shù)據(jù)包，支持對(duì) FTP、HTTP、SMTP、RTSP、H.323 應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控。

3.1.2 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能等;支持智能防范蠕蟲病毒技術(shù)。

3.1.3 應(yīng)用層內(nèi)容過濾：可以有效識(shí)別和控制網(wǎng)絡(luò)中的各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬;能夠識(shí)別和控制IM協(xié)議，如QQ、MSN等;支持郵件過濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過濾;支持網(wǎng)頁(yè)過濾，提供HTTP URL和內(nèi)容過濾;支持應(yīng)用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

3.1.4 集中管理與審計(jì)：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。

一體化端點(diǎn)準(zhǔn)入

在實(shí)際網(wǎng)絡(luò)應(yīng)用中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對(duì)網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，使用戶蒙受嚴(yán)重?fù)p失。任何一臺(tái)終端的安全狀態(tài)(主要是指終端的防病毒能力、補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置)，都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。

有線無(wú)線接入控制統(tǒng)一管理

早期的無(wú)線網(wǎng)絡(luò)往往獨(dú)立于有線網(wǎng)絡(luò)建設(shè)和管理，網(wǎng)絡(luò)維護(hù)者往往要維護(hù)兩套獨(dú)立的認(rèn)證系統(tǒng)，維護(hù)工作量大。用戶需要記住兩套賬號(hào)密碼使用，便利性差。有線無(wú)線統(tǒng)一認(rèn)證系統(tǒng)可以既讓無(wú)線和有線用戶的認(rèn)證共用802.1x、計(jì)費(fèi)等多種公共服務(wù)，又可以實(shí)現(xiàn)對(duì)無(wú)線業(yè)務(wù)特有服務(wù)策略的控制，如基于無(wú)線SSID的控制用戶接入，實(shí)現(xiàn)對(duì)有線、無(wú)線用戶的統(tǒng)一管理，大大簡(jiǎn)化維護(hù)成本。

有線無(wú)線安全一體化代表了WLAN安全的最新發(fā)展方向，可以實(shí)現(xiàn)有線接入層到應(yīng)用層、WLAN接入層到應(yīng)用層、無(wú)線和有線終端準(zhǔn)入、及無(wú)線和有線用戶統(tǒng)一認(rèn)證的統(tǒng)一管理和控制。

[1][IEEE.802-11.2007]"Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)specifications",IEEE Standard 802.11,2007,

[2]WAPI實(shí)施指南 作者：寬帶無(wú)線IP標(biāo)準(zhǔn)工作組