您现在的位置:
发布时间: 2004-1-8 9:30:49
摘 要 文章提出了在智能大厦建设和改造中应用越来越广泛的无线网络的信息安全问题及解决方案,介绍了新的无线网络安全机制WAPI。
关键词 智能建筑 无线网络安全解决方案 WAPI
自从1984年世界上第一栋智能大厦在美国建成以来,短短的20年间,智能建筑有了突飞猛进的发展。作为信息时代的必然产物,随着我国国民经济的蓬勃发展,大量的智能建筑不断兴建,而且,许多以前建成的大厦楼宇也进行着智能化建设改造。对后者来说,由于某些建筑物本身的历史价值或自身建筑结构的原因,是不便于破坏结构进行布线施工的,但无线网络的出现使这一难题迎刃而解,但同时也带来了无线网络的安全性问题。更安全的解决方案始终是人们追寻的目标。
1 无线网络的安全问题
&
nbsp; 网络安全对任何公司来说都是一个潜在的大问题。一旦黑客、病毒、商业间谍等侵入了网络,便能够得到企业网络的访问口令,登录到服务器上窃取信息,控制企业的Web站点,甚至中断整个企业网络的运行。许多企业对有线网络的安全防范意识比对无线网络要强。与此同时,另一些企业则过于担忧无线网络的安全性而不敢推广使用。对于已经应用无线网络的企业来说,为了不让网络破坏者有机可乘,需要为无线网络的安全做好充分准备。
1.1 WEP的安全隐患
无线网络最基本的安全措施是WEP(Wired Equivalent Privacy)。WEP是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能。由电子与电气工程师协会(IEEE)制定的WEP用来提供基本的安全性保证,防止故意窃听,利用一套基于40位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密,从而有效地保护网络。
尽管如此,人们却常犯一些错误,如没有开启WEP、将访问点设置在防火墙之内、使用缺省的WEP秘钥以及没有定期变更加密秘钥等。从理论上讲,WEP秘钥就是一套共享密码,它能够使用户对在无线网络上传送的加密数据进行解密。实际上,黑客、商业间谍就是在公司楼宇外通过笔记本电脑获取一串加密数据流,利用从互联网上得到的专用软件对其进行解密,从而得到企业网络的访问秘钥并进入公司的网络。
秘钥的管理不善也导致了黑客之类的入侵。企业网络系统管理员经常会为整个公司分配一个秘钥,也许会赋予每一个用户不同的秘钥,但这些用户却可能从来不对其进行变更。一旦获得了访问权限,他们便可以一直进行非法访问,并共享企业的重要资源。管理严格的小型企业网络可以使用方便的手动秘钥管理。但是,随着无线网络用户的增加,这种手动管理方式会变得非常烦杂,容易造成网络系统管理人员的工作疏忽。
1.2 通过动态安全链路(DSL)技术实现更好的安全性
目前,一些无线设备公司利用一种被称为动态安全链路(DSL)的技术来满足用户在无线局域网管理和认证等方面的需求。例如,当一台接入点设备与无线客户端设备协同工作时,动态安全链路会自动生成一个新的128位加密秘钥,其对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性,帮助用户从手工的输入工作中解脱出来。由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥,因此,即使黑客攻破加密防线并获取了网络的访问权,所获取的秘钥也只能工作几个小时,从而降低了企业可能面临的潜在损失。
为进一步提高安全性,动态安全链路技术还能够支持用户认证,即要求所有的用户在开始每一个会话之前提供用户名和密码。相对基于设备MAC地址的认证策略,基于用户的认证功能可以为企业网络实现较高级别的安全和管理能力。基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效,而且每当类似事件发生时,都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。
动态安全链路的另一个优势在于其自动和动态的秘钥管理能力完全是由访问点设备自身来实施,因此这套解决方案不需要增加任何服务器设备和其他基础设备。这种安全性实施策略非常适用于不需要大量资金就可实现无线局域网安全性的小型企业,同时对希望以非集中化方式来实现企业网络安全性的企业来说也是理想的选择。
1.3 大型网络需要更高的安全性
大型无线局域网络的安全性管理不仅需要可以自动变更秘钥的DSL功能,还需要更多安全性功能,从而来满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密秘钥管理技术、更加灵活的认证机制以及整个基础网络的集中用户管理,所有这些无法全部存储在一部无线局域网接入点设备的有限内存中。
尽管WEP和DSL解决方案中的安全性功能已经本地化,即在无线局域网接入点设备内部进行管理 但是一个能够支持上千名用户,具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS(拨号用户远程认证服务)进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。
不论是对有线的以太网络还是无线的802.11网络,RADIUS都是标准化的网络登录技术。支持802.1x 协议的RADIUS技术,提高了企业级无线局域网用户的认证能力。
2 无线网络安全解决方案
由于各无线设备生产厂家之间的标准不兼容,可推荐使用同一知名公司产品,以3Com公司为例。3Com公司提供全线的无线局域网络产品,包括天线可弹出式XJACK无线网卡、无线工作组网桥、无线访问点AP2000、无线访问点AP6000、无线访问点AP8000以及大楼到大楼无线网桥。3Com公司的无线产品除了支持基本安全解决方案:服务区标识符匹配,物理地址过滤,WEP以及WEP2之外,还具有其它的扩展安全解决方案,从而满足不同层次的安全需求,为无线局域网提供全面、安全解决方案。这些安全解决方案包括:动态安全链路(DSL)技术,虚拟专用网络(VPN)技术以及端口访问控制(802.1x)技术。
2.1 动态安全链路(DSL)技术
考虑到WEP以及WEP2的不足之处,3Com公司对WEP加以扩展,提供目前无线局域网络市场上最高级别的第二层安全。动态安全链路技术采用128位钥匙,但与WEP2截然不同的是,动态安全链路技术采用的钥匙是动态分配的,而WEP2采用的钥匙是手工输入和维护的。动态安全链路技术针对每一个会话(Session)都自动生成一把钥匙,并且即使在同一个会话期间,对于每256个数据包,钥匙将自动改变一次。采用动态安全链路技术时,要求无线访问点AP中维护一个用户访问列表,而在用户端请求访问网络时进行用户名/口令的认证,只有认证通过之后才能连通。3Com公司支持动态安全链路技术的产品包括可弹出式XJACK无线网卡、无线工作组网桥(用于以台网设备接入无线网)、无线访问点AP6000以及无线访问点AP8000。
无线访问点AP6000的用户访问列表支持最多256个用户,允许128个用户同时访问;无线访问点AP8000的用户访问列表支持最多1000个用户,允许256个用户同时访问。
动态安全链路技术支持本地用户认证,适用于没有Radius服务器但又希望提供用户认证的环境。
2.2 虚拟专用网络(VPN)
虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。目前许多企业以及运营商已经采用VPN技术。只要具有IP的连通性,就可以建立VPN。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。严格来讲,VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案,也可以与WEP协议互补使用。
VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议。3Com公司在无线局域网VPN解决方案中支持IPsec协议。实际上,VPN只涉及发起端与终结端,因此对无线访问点AP来讲是透明的,并不需要在无线访问点支持VPN。3Com公司可以提供无线工作站的IPsec客户端软件,而采用SuperStack3防火墙作为VPN的终结端。
IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间、网络安全网关之间或主机与网关之间。在无线局域网环境,主要采用客户端到网关组网方式。3Com IPsec VPN可以提供目前最高级别的168位3DES加密算法,其安全程度明显好于WEP协议。
3Com公司IPsec VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN安全技术适合于具有中心Radius服务器,又需要提供安全认证和计费的网络环境,比如大中型企业网络或公共无线访问网络。3Com公司的所有无线组网方式都支持VPN。
2.3 端口访问控制技术(802.1x)
802.1x协议是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,可以用于局域网,也可以用于城域网。
802.1x引入了PPP协议定义的扩展认证协议EAP。众所周知,传统的PPP协议都采用PAP/CHAP或Microsoft的MS-CHAP认证方式,它们都是基于用户名/口令或Challenge/Response(对口令加密)方式,而作为扩展认证协议,EAP可以采用更多的认证机制,比如MD5、一次性口令、智能卡、公共密钥等等,从而提供更高级别的安全。
实际上802.1x运行在无线网设备关联之后,其认证层次包括两方面:客户端到802.1x认证端,认证端到认证服务器。802.1x定义客户端到认证端采用EAP over LAN协议,认证端到认证服务器采用EAP over Radius协议。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。
3Com公司的无线访问点AP8000支持802.1x标准并提供三种上层认证方式,包括EAP-MD5,EAP-TLS,以及3Com Serial Authentication。
2.3.1 EAP-MD5
该功能通过Radius服务器提供简单的集中用户认证。在这种方式下,Radius服务器不需要证书或者安装在无线工作站中的其它安全信息。用户注册时,Radius服务器只是检查用户名和口令,如果匹配,就通知无线访问点允许该客户端访问网络服务。
EAP-MD5是一种单向认证机制,只能保证客户端到服务器的认证,并不保证服务器到客户端的认证。3Com 802.1x的代理软件以及Microsoft XP操作系统都支持EAP-MD5。
2.3.2 EAP-TLS
EAP-TLS既提供认证,又提供动态会话钥匙分发。EAP-TLS认证机制是在无线客户端和服务器之间提供互相认证。所有的无线客户端以及服务器都需要事先申请一个标准的X.509证书并安装,在认证的时候客户端和服务器要相互交换证书。在交换证书的同时,客户端和服务器要协商出一个基于会话的钥匙,一旦认证通过,服务器将会话钥匙传给客户端并通知无线访问点允许该客户端使用网络服务。目前,只有Windows XP支持EAP-TLS。
2.3.3 3Com Serial Authentication
Serial Authentication是3Com公司专有的上层认证机制,该机制采用两个过程:EAP-TLS和EAP-MD5。3Com Serial Authentication还支持动态钥匙更新功能,即认证通过以后,无线访问点和客户端将定期更新用于加密的钥匙,从而扩展网络的安全性。
3Com公司扩展802.1x标准的3种安全机制:EAP-MD5,EAP-TLS以及Serial Authentication这3种机制都可以很好地满足拥有中心Radius服务器的大型企业或运营商的需求。
3 新的无线网络安全机制WAPI
3.1 当前安全机制的缺陷
我们还可以从其他产品制造厂商、系统集成商中得到不同的解决方案,这是由于目前采用的安全机制仍存在技术缺陷,国际标准虽然采用了WEP、WPA、802.11x、802.11i、VPN等方式试图保证WLAN安全,但它们要么只是将有线局域网安全机理通过技术转接到无线网络上,要么在技术上很容易被破译。如,802.1x并不是专为WLAN设计的,没有考虑到无线应用的特点。它提供客户端与RADIUS服务器之间的认证,而不是与AP之间的认证。从有线网络扩展而来的VPN虽然比较安全,但无线网络的应用特点使VPN的应用遇到运行脆弱、吞吐量性能瓶颈、通用性和网络扩展性差及由此产生的成本问题等等。
3.2 更先进的WAPI
2003年5月12日发布,要求12月1日强制执行的无线局域网(WLAN)国家标准包含了由宽带无线IP标准工作组制定的新的安全机制WAPI,它已由ISO/IEC授权的IEEE Registration Authority审查获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加/解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI具有几个重要特点:全新的高可靠性安全认证与保密体制,更可靠的二层(链路层)以下安全系统,完整的“用户—接入点”双向认证,集中式或分布集中式认证管理,证书—密钥双认证,灵活多样的证书管理与分发体制,可控的会话协商动态密钥,高强度的加密算法,可扩展或升级的全嵌入式认证与算法模块,支持带安全的越区切换;支持SNMP网络管理,完全符合国家标准,通过国家商用密码管理部门安全审查,符合《国家商用密码管理条例》。
4 结束语
当前无线网络安全机制存在技术缺陷,企业在成本核算的基础上,采用合理的解决方案并实行严格的网络系统管理可以得到较满意的安全保证。新的WAPI标准更先进,采用WAPI可以彻底扭转目前无线网络采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。
新标准执行以后,会促进无线设备厂商提供更多性价比高的产品和更安全的解决方案,这将大大促进无线网络在大厦智能化建设和改造中的推广和应用。&
参考文献
1 3COM公司技术资料
2 3COM网站.《多层次无线连接安全策略》
3 陈翔.《WAPI无线局域网新安全机制》 中国计算机报,2003;7