第七章無(wú)線局域網(wǎng)安全與QoSWLAN安全概述無(wú)線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn)，因此無(wú)線局域網(wǎng)得到越來(lái)越廣泛的使用。但是由于無(wú)線局域網(wǎng)信道開(kāi)放的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽(tīng)，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無(wú)線局域網(wǎng)發(fā)展的最重要因素。雖然一方面對(duì)無(wú)線局域網(wǎng)需求不斷增長(zhǎng)，但同時(shí)也讓許多潛在的用戶對(duì)不能夠得到可靠的安全保護(hù)而對(duì)最終是否采用無(wú)線局域網(wǎng)系統(tǒng)猶豫不決。就目前而言，有很多種無(wú)線局域網(wǎng)的安全技術(shù)，包括物理地址(MAC)過(guò)濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEP)、端口訪問(wèn)控制技術(shù)(IEEE802.1x)、WPA(Wi-FiProtectedAccess)、IEEE802.11i等。面對(duì)如此多的安全技術(shù)，應(yīng)該選擇哪些技術(shù)來(lái)解決無(wú)線局域網(wǎng)的安全問(wèn)題，才能滿足用戶對(duì)安全性的要求。

利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對(duì)于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有以下幾點(diǎn)：未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無(wú)線局域網(wǎng)的開(kāi)放式訪問(wèn)方式，非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅會(huì)占用寶貴的無(wú)線信道資源，增加帶寬費(fèi)用，降低合法用戶的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶沒(méi)有遵守運(yùn)營(yíng)商提出的服務(wù)條款，甚至可能導(dǎo)致法律糾紛。地址欺騙和會(huì)話攔截(中間人攻擊)在無(wú)線環(huán)境中，非法用戶通過(guò)偵聽(tīng)等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。另外，由于IEEE802.11沒(méi)有對(duì)AP身份進(jìn)行認(rèn)證，非法用戶很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。高級(jí)入侵(企業(yè)網(wǎng))一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)企業(yè)部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無(wú)線網(wǎng)絡(luò)，就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶面前。WLAN的安全威脅通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解

物理地址(MAC)過(guò)濾每個(gè)無(wú)線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識(shí)，可在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這種方法的效率會(huì)隨著終端數(shù)目的增加而降低，而且非法用戶通過(guò)網(wǎng)絡(luò)偵聽(tīng)就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來(lái)非法接入。基本的無(wú)線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解

服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配

無(wú)線客戶端必需設(shè)置與無(wú)線訪問(wèn)點(diǎn)AP相同的SSID，才能訪問(wèn)AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來(lái)的安全和訪問(wèn)性能的問(wèn)題?？梢酝ㄟ^(guò)設(shè)置隱藏接入點(diǎn)(AP)及SSID區(qū)域的劃分和權(quán)限控制來(lái)達(dá)到保密的目的，因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，通過(guò)提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全。基本的無(wú)線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解

有線對(duì)等保密(WEP)

在IEEE802.11中，定義了WEP來(lái)對(duì)無(wú)線傳送的數(shù)據(jù)進(jìn)行加密，WEP的核心是采用的RC4算法。在標(biāo)準(zhǔn)中，加密密鑰長(zhǎng)度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位?；镜臒o(wú)線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解

有線對(duì)等保密(WEP)

1、AP先產(chǎn)生一個(gè)IV，將其同密鑰串接(IV在前)作為WEPSeed，采用RC4算法生成和待加密數(shù)據(jù)等長(zhǎng)(長(zhǎng)度為MPDU長(zhǎng)度加上ICV的長(zhǎng)度)的密鑰序列;2、計(jì)算待加密的MPDU數(shù)據(jù)校驗(yàn)值ICV，將其串接在MPDU之后;3、將上述兩步的結(jié)果按位異或生成加密數(shù)據(jù);加密前的數(shù)據(jù)幀格式示意如下：

加密前的數(shù)據(jù)幀格式示意如下：基本的無(wú)線局域網(wǎng)安全技術(shù)

有線對(duì)等保密(WEP)

WEP解密原理圖如下：1、找到解密密鑰;2、將密鑰和IV串接(IV在前)作為RC4算法的輸入生成和待解密數(shù)據(jù)等長(zhǎng)的密鑰序列;3、將密鑰序列和待解密數(shù)據(jù)按位異或，最后4個(gè)字節(jié)是ICV，前面是數(shù)據(jù)明文;4、對(duì)數(shù)據(jù)明文計(jì)算校驗(yàn)值ICV'，并和ICV比較，如果相同則解密成功，否則丟棄該數(shù)據(jù)?；镜臒o(wú)線局域網(wǎng)安全技術(shù)端口訪問(wèn)控制技術(shù)(IEEE802.1x)

802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)與關(guān)閉，對(duì)于合法用戶(根據(jù)帳號(hào)和密碼)接入時(shí)，該端口打開(kāi)，而對(duì)于非法用戶接入或沒(méi)有用戶接入時(shí)，則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問(wèn)題，是各種認(rèn)證技術(shù)中最簡(jiǎn)化的實(shí)現(xiàn)方案。在802.1x協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問(wèn)控制的用戶認(rèn)證和授權(quán)。

客戶端：一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。

認(rèn)證系統(tǒng)：在無(wú)線網(wǎng)絡(luò)中就是無(wú)線接入點(diǎn)AP或者具有無(wú)線接入點(diǎn)AP功能的通信設(shè)備。其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開(kāi)或關(guān)閉端口。

認(rèn)證服務(wù)器：通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)(用戶名和口令)來(lái)判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)，并根據(jù)認(rèn)證結(jié)果向認(rèn)證系統(tǒng)發(fā)出打開(kāi)或保持端口關(guān)閉的狀態(tài)?；镜臒o(wú)線局域網(wǎng)安全技術(shù)端口訪問(wèn)控制技術(shù)(IEEE802.1x)

在具有802.1x認(rèn)證功能的無(wú)線網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)WLAN用戶需要對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)之前必須先要完成以下的認(rèn)證過(guò)程。1.當(dāng)用戶有網(wǎng)絡(luò)連接需求時(shí)打開(kāi)802.1x客戶端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給AP，開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。2.AP收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?lái)。3.客戶端程序響應(yīng)AP發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給AP。AP將客戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。4.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給AP，由AP傳給客戶端程序。5.客戶端程序收到由AP傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)，并通過(guò)AP傳給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過(guò)的消息，并向AP發(fā)出打開(kāi)端口的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持AP端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)?；镜臒o(wú)線局域網(wǎng)安全技術(shù)端口訪問(wèn)控制技術(shù)(IEEE802.1x)

這里要提出的一個(gè)值得注意的地方是:在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候，沒(méi)有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對(duì)口令信息進(jìn)行了不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ希沤^了由于下級(jí)接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問(wèn)題。基本的無(wú)線局域網(wǎng)安全技術(shù)WPA(Wi-FiProtectedAccess)

WPA=802.1x+EAP+TKIP+MIC

在IEEE802.11i標(biāo)準(zhǔn)最終確定前，WPA標(biāo)準(zhǔn)是代替WEP的無(wú)線安全標(biāo)準(zhǔn)協(xié)議，為IEEE802.11無(wú)線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和TKIP。

認(rèn)證

在802.11中幾乎形同虛設(shè)的認(rèn)證階段，到了WPA中變得尤為重要起來(lái)，它要求用戶必須提供某種形式的證據(jù)來(lái)證明它是合法用戶，并擁有對(duì)某些網(wǎng)絡(luò)資源的訪問(wèn)權(quán)，并且是強(qiáng)制性的。WPA的認(rèn)證分為兩種：第一種采用802.1x+EAP的方式，用戶提供認(rèn)證所需的憑證，如用戶名密碼，通過(guò)特定的用戶認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來(lái)實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中，通常采用這種方式。但是對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶，架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免代價(jià)過(guò)于昂貴，維護(hù)也很復(fù)雜，因此WPA也提供一種簡(jiǎn)化的模式，它不需要專門(mén)的認(rèn)證服務(wù)器，這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)，僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無(wú)線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。只要密鑰吻合，客戶就可以獲得WLAN的訪問(wèn)權(quán)。由于這個(gè)密鑰僅僅用于認(rèn)證過(guò)程，而不用于加密過(guò)程，因此不會(huì)導(dǎo)致諸如使用WEP密鑰來(lái)進(jìn)行802.11共享認(rèn)證那樣嚴(yán)重的安全問(wèn)題?；镜臒o(wú)線局域網(wǎng)安全技術(shù)WPA(Wi-FiProtectedAccess)

WPA=802.1x+EAP+TKIP+MIC

加密

WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來(lái)取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)度從24位增加到48位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰通過(guò)安全通道分發(fā)到AP和客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來(lái)加密每一個(gè)無(wú)線通信數(shù)據(jù)報(bào)文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬(wàn)億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法，但其動(dòng)態(tài)密鑰的特性很難被攻破。消息完整性校驗(yàn)(MIC)，是為了防止攻擊者從中間截獲數(shù)據(jù)報(bào)文、篡改后重發(fā)而設(shè)置的。除了和802.11一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗(yàn)外，WPA為802.11的每個(gè)數(shù)據(jù)分組(MSDU)都增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值，這和802.11對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗(yàn)的目的不同。ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢硪蛩貙?dǎo)致報(bào)文出錯(cuò)，因此采用相對(duì)簡(jiǎn)單高效的CRC算法，但是黑客可以通過(guò)修改ICV值來(lái)使之和被篡改過(guò)的報(bào)文相吻合，可以說(shuō)沒(méi)有任何安全的功能。而WPA中的MIC則是為了防止黑客的篡改而定制的.基本的無(wú)線局域網(wǎng)安全技術(shù)IEEE802.11i為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線安全技術(shù)的兼容，IEEE802.11工作組開(kāi)發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE802.11無(wú)線局域網(wǎng)的安全問(wèn)題。IEEE802.11i標(biāo)準(zhǔn)已在2004年6月24美國(guó)新澤西的IEEE標(biāo)準(zhǔn)會(huì)議上正式獲得批準(zhǔn)。

認(rèn)證：11i的安全體系也使用802.1x認(rèn)證機(jī)制，通過(guò)無(wú)線客戶端與radius服務(wù)器之間動(dòng)態(tài)協(xié)商生成PMK(PairwiseMasterKey)，再由無(wú)線客戶端和AP之間在這個(gè)PMK的基礎(chǔ)上經(jīng)過(guò)4次握手協(xié)商出單播密鑰以及通過(guò)兩次握手協(xié)商出組播密鑰，每一個(gè)無(wú)線客戶端與AP之間通訊的加密密鑰都不相同，而且會(huì)定期更新密鑰，很大程度上保證了通訊的安全.

CCMP加密：ccmp提供了加密，認(rèn)證，完整性和重放保護(hù)。ccmp是基于ccm方式的，該方式使用了AES(AdvancedEncryptionStandard)加密算法。CCM方式結(jié)合了用于加密的CounterMode(CTR)和用于認(rèn)證和完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC、CiphyBlockChaingMessageAutenticationCode)。CCM保護(hù)MPDU數(shù)據(jù)和IEEE802.11MPDU幀頭部分域的完整性?；镜臒o(wú)線局域網(wǎng)安全技術(shù)1、采用端口訪問(wèn)技術(shù)（802.1x）進(jìn)行控制，防止非授權(quán)的非法接入和訪