商波 吴作鹏
编者按:安全问题,业已成为2004年人们最关心的话题,也是网络领域不灭的热点。在无线局域网内,其安全协议经历了WEP、WPA到802.11i(也有人称其为WPA2)的转变。而目前正在制定且即将被批准的无线局域网安全协议802.11i,是否可以解决WEP中RC4算法的弱密钥性以及过渡标准WPA遗留的安全问题呢?
敏感论点之一:据悉,更强的加密技术有可能迫使用户购买新的节点和网卡。而有一种言论则是说,如果发现软硬件都需要升级,精明的用户可能会继续采用他们的现行设备。
记者旁白:让用户再次投入,需要给出足够的理由,新的安全协议足够让用户掏腰包吗?
敏感论点之二:由于WPA2采用AES作为其内核,因此需要升级处理能力以支持协处理需要。
记者旁白:如果软硬件都需要升级,那对于企业而言,如何过渡,如何处理新旧产品之间的关系,这也是需要考虑的问题?
无线局域网存在一个公开的秘密:目前普遍采用的无线局域网安全协议WEP/WPA存在安全性漏洞和缺点。简单地说,现行标准并没有提供使用者验证的功能,而且也无法在无线设备和接入点之间,提供交互验证的能力。怀有恶意的使用者,可以通过许多下载的工具,轻易地破解网络中传输的“加密”信息。
为了强化无线网络安全性,解决目前无线网络安全方面的漏洞,IEEE成立的802.11i工作小组开发了新的无线网络机制,其中新增了几项新技术:首先,802.11i协议使用了EAP(Extensible Authentication通信协议)以及802.1x,强迫使用者必须进行验证以及交互验证;第二,使用了MIC(Message Integrit Code,信息完整性编码)检测传送的字节是否有被修改的情况;第三,使用TKIP(Temporal Key Integrity通信协议),使加密的过程由原来的静态变为动态,让攻击者更难以破解。为了能提供更高级别的加密保护,802.11i采用新的WLAN架构,支持新的AES(Advanced Encryption Standard)标准。
网络的门镜
802.11i协议在两个不同的层面上整合了三个主要部件。较低的一层包含了强化的加密算法(也就是TKIP和CCMP);上层则包含了身份认证802.1x和EAP。802.1x标准可以确保使用者无法任意建立网络连接,也就是除了通过认证的流量之外,其他信息无法直接通过无线设备连接到网络。我们可把802.1x标准比喻成门上的窥视镜,你从窥视镜确认来者的身份之后,才决定是否让来客进入,802.1x标准可以让你确认试图访问网络的用户是否为授权的使用者,然后才决定是否允许他们接入网络。
802.1x标准可以提供使用者的验证,较之WEP提供的系统验证,则具有更高的信度以及防护能力。另外,802.1x标准的验证机制是基于动态分配加密密钥的方式,该机制主要涉及三个主要部分:访问者(无线网络设备)、验证者(AP)以及验证服务器(如果在环境中没有验证服务器,AP也可以担当验证者以及验证服务器的角色)。当验证步骤完全成功时,AP才允许无线设备和验证服务器进行沟通。这样,无线设备在通过验证之前,不能发送或接收HTTP、DHCP、SMTP或任何其他类型的流量,而WEP则无法提供如此严格的存取控制。
802.11原有安全标准的另外一个缺点是缺少相互验证。当使用支持WEP的无线设备时,可以对AP进行验证,但是AP或验证服务器不需要验证无线访问设备。802.11i标准使用EAP(可扩展认证协议,Extensible Authentication Protocol),可以在验证服务器和无线访问设备之间进行相互认证,以防止黑客的入侵,解决了用户身份审核的问题。
802.11i标准中,验证通信协议位于OSI模型中比较高的层,所以802.11i并不指定特定的验证通信协议,因此不同的厂商可能会选择使用不同的通信协议来实现EAP。例如,Cisco的系统使用基于储存密码架构的验证方式,也就是所谓的LEAP(Lightweight Extensible Authentication通信协议)。其他厂商包括Microsoft,则使用EAP以及EAP-TLS(EAP-Transport Layer Security),通过数字凭证进行验证。还有一种方式是PEAP(Protected EAP),表现为只有服务器使用数字凭证。
网络的钥匙
802.11i无线安全标准,基于两种方法提供了比WEP更好的安全性以及防护能力。第一种方法是如图1所示的,前面所提到的TKIP结构可以与以前很多WLAN产品兼容。同时,TKIP能与WEP配合使用,提供给WEP密钥内容,也就是可以产生新的动态密钥资料。WEP目前的RC4加密算法结构,只能提供有限的保护。TKIP提高了密钥生成程序的复杂性,使攻击者无法找到加密的密钥。通过TKIP,客户只需要进行软件的更新,而不需要更换新的设备就能得到保护。
第二种方法,如图2所示,是将AES算法与CBC-MAC(Cipher Block Chaining Message Authentication Code)结合,也就是所谓的CCM通信协议(CCMP)。AES是比RC4更强的算法,但是需要使用更多的处理资源,而另外需要考虑的是,AES无法与目前的WLAN产品兼容,所以只能在新的WLAN结构中使用这种方式。
网络新选择
当我们使用了802.1x、EAP、AES和TKIP之后,还需要了解其中的一些问题,这些是建立安全WLAN网络环境必须的。首先,IEEE 802.11i工作小组所建立的TKIP,是为了快速修正WEP的严重问题。TKIP在算法上与WEP相同,也是使用RC4算法,但这种算法并不是最理想的选择。使用AES能把原来的问题解决得更好,但是AES无法与目前的802.11架构兼容。第二,一些新的协议、技术的加入,与原有802.11混合在一起,使得整个网络结构更加复杂,同时也增加了处理的步骤。新的技术让生产厂商有更多的可选择性,但同时也带来了兼容性的问题。第三,对于用户来说,在购买设备之前,需要了解产品能提供什么样的功能,有什么样的兼容性的要求。例如,从公司A购买了AP,然后从公司B和C购买了无线网卡,可能就有功能搭配不上的问题。
从企业角度而言,随着无线网络应用的推进,企业需要更加注重无线网络安全的问题,针对不同的用户需求,提出一系列不同级别的无线安全技术解决方案,从传统的WEP加密到IEEE 802.11i,从MAC地址限制到IEEE 802.1x安全认证技术,要分别考虑能满足单一的家庭用户、大型企业、运营商等不同级别的安全需求。
在仓库物流、医院等环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时单一的WEP已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心,并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的接入。
在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在HotSpot公共地区(如机场、咖啡吧等)通过无线接入Internet,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,就有可能造成服务盗用的问题,这种服务盗用对于无线接入服务提供商来说是不可接受的损失,表中专业级解决方案可以较好地满足用户需求,通过用户隔离技术、IEEE802.1x认证、VPN+Radius的用户认证以及计费方式确保用户的安全。
摘自《计算机世界报》
|