無線局域接入網關鍵技術徹底研究

　　 
　　一、WLAN的安全機制
　　2004年的WLAN產品市場將面臨嚴峻考驗，低端產品市場將趨于產品的同質化和價格戰，如果不能順利向企業應用高端市場挺進，WLAN投資泡沫將開始出現。與此同時，越來越多的企業決策者認為安全問題是影響他們作出WLAN部署決定的首要因素。

　　
　　1.基本的WLAN安全
　　
　　業務組標識符(SSID)：無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。況且有的廠家支持any方式，只要無線客戶端處在AP范圍內，那么它都會自動連接到AP，這將繞過SSID的安全功能。
　　
　　物理地址(MAC)過濾：每個無線客戶端網卡都由惟一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。另外，非法用戶利用網絡偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。
　　
　　2、IEEE 802.11的安全技術
　　
　　(1)認證
　　
　　在無線客戶端和中心設備交換數據之前，它們之間必須先進行一次對話。在802.11b標準制定時，IEEE在其中加入了一項功能：當一個設備和中心設備對話后，就立即開始認證工作，在通過認證之前，設備無法進行其他關鍵通信。這項功能可以被設為shared key authentication和open authentication，默認的是后者。在默認設定下，任何設備都可以和中心設備進行通訊，而無法越過中心設備，去更高一級的安全區域。而在shared key authentication設定時，客戶機要先向中心設備發出連接請求，然后中心設備發回一串字符，要求客戶機使用WEP鑰匙返回密碼。只有在密碼正確的情況下，客戶機才可以和中心設備進行通信，并可以進入更高級別。
　　
　　使用認證方式有一個缺點，中心設備發回的字符是明文的。通過監聽通信過程，攻擊者可以在認證公式中得到2個未知數的值，明文的字符和客戶機返回的字符，而只有一個值還無法知道。通過RC4計算機通信加密算法，攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙，侵入者就可以通過中心設備，進入其他客戶端。諷刺的是，這項安全功能通常都應該設為“open authentication”，使得任何人都可以和中心設備通信，而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網絡安全相矛盾，但是實際上，這個安全層帶來的潛在危險遠大于其提供的幫助。
　　
　　(2)保密
　　
　　有線等效保密(WEP)：WEP雖然通過加密提供網絡的安全性，但存在許多缺陷：
　　
　　缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區內的所有用戶都共享同一把密鑰。WEP標準中并沒有規定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網絡。
　　
　　ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能夠篡改即加密數據包使各種各樣的非常簡單的攻擊成為可能。
　　
　　RC4算法存在弱點。在RC4中，人們發現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。利用認證與加密的安全漏洞，在很短的時間內，WEP密鑰即可被破解。
　　
　　3、IEEE 802.11i標準
　　
　　(1)認證-端口訪問控制技術(IEEE 802.1x)
　　
　　通過802.1X，當一個設備要接入中心設備時，中心設備就要求一組證書。用戶提供的證書被中心設備提交給服務器進行認證。這臺服務器稱為RADIUS，也就是temote Authentication Dial-In User Service，通常是用來認證撥號用戶的。這整個過程被包含在802.1X的標準EAP(擴展認證協議)中。EAP是一種認證方式集合，可以讓開發者以各種方式生成他們自己的證書發放方式，EAP也是802.1X中最主要的安全功能?，F在的EAP方式主要有四種。
　　
　　但是IEEE 802.1x提供的是無線客戶端與RADIUS服務器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務器之間基于其享密鑰完成認證過程協商出的會話密鑰的傳遞，該共享密鑰為靜態，人為手工管理，存在一定的安全隱患。
　　
　　(2)保密
　　
　　有線等效保密的改進方案-TKIP。
　　
　　目前Wi-Fi推薦的無線局域網安全解決方案WPA(Wi-Fi Protected Aclearcase/" target="_blank" >ccess)以及制定中的IEEE 802.11i標準均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比于WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，由于WEP算法的安全漏洞是由于WEP機制本身引加性高斯噪聲信道起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，并不能從根本上解決問題，因為作為安全關鍵的加密部分，TKIP沒有脫離WEP的核心機制。
　　
　　目前正在制定中的IEEE 802.11i標準的終極加密解決方案為基于IEEE 802.1x認證的CCMP(CBC-MAC Protoco1)加密技術，即以AES(Advanced Encryption Standard)為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。
　　
　　4、VPN技術
　　
　　作為一種比較可靠的網絡安全解決方案，VPN技術在有線網絡中，尤其是企業有線網絡應用中得到了一定程度的采用。然而，無線網絡的應用特點在很大程度上阻礙了VPN技術的應用，主要體現在以下幾個方面：
　　
　　運行的脆弱性：眾所周知，因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是無線應用的特點之一，因此用戶通信鏈路出現短時中斷不足為奇。這種情況對于普通的TCP／IP應用影響不顯敏感，但對于VPN鏈路影響巨大，一旦發生中斷，用戶將不得不通過手動設置以重新恢復VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業務)的WLAN用戶是不可忍受的。
　　
　　通用性問題：VPN技術在國內，甚至在國際上沒有一個統一的開發標準，各公司基于自有技術與目的開發自有專用產品，導致技術體制雜亂，沒有通用型可言。這對于強調互通性的WLAN應用是相悖的。
　　
　　網絡的擴展性問題：VPN技術在提供網絡安全的同時，大大限制了網絡的可擴展性能，這主要是由于VPN網絡架設的復雜性導致的。如果要改變一個VPN網絡的拓撲結構或內容，用戶往往將不得不重新規劃并進行網絡配置，這對于一個中型以上的網絡兒乎是不可思議的。
　　
　　成本問題：上述的3個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。另一個重要因素是VPN產品本身的價格就很高，對于中小型網絡用戶甚至超過WLAN設備的采購費用。
　　
　　5、WAPI
　　
　　技術標準是所有產業健康發展的基石，對無線局域網產業而言，以往一直存在缺乏統一標準和安全保障兩大瓶頸。目前WEAN國際標準可靠安全機制的軟肋使得安全問題的壓力大部分遺留給了WLAN產業鏈上的芯片設計、設備制造、系統集成甚至最終用戶等各個環節，各設備廠商和系統集成商各行其道，市場中出現大量專有的安全標準和解決方案，這些方案要么影響網絡性能要么限制了網絡的可用性和擴展性，當然最致命的是，這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎協改。對于大多數并不熟悉WLAN安全技術的最終用戶而言，WEP／WPA／SSID／VPN／802.1x等名目繁多、花樣翻新，往往又價格不斐的WLAN安全方案讓他們無所適從。
　　
　　最新頒布并且即將強制執行的WLAN國家標準對目前中國WLAN市場的發展和格局將產生深遠影響。WLAN國家標準依據我國的無線電管理法規對我國無線局域網相關產品的發射功率、信道數等作出了明確規定，標準還強調和規定了無線局域網安全技術的應用要求。適用于獨立的無線局域網設備以及提供無線局域網相關功能的獨立或嵌入式軟件模塊。同時該標準與相應國際標準的區別主要表現在對安全機制的嚴格要求，即用WAPI協議取代了IEEE802.11標準中先天不足的WEP協議。雖然WAPI作為被中國政府認可并最終頒布的WLAN安全機制，有著比目前WEP、802.lx、WPA等安全協議更高的安全性，但是能否獲得最終的成功還有待于廠商的支持和市場的考驗。
　　
　　二　WLAN的切換與漫游
　　1、切換與漫游
　　
　　WLAN的切換指的是在相同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。
　　
　　加入現有的服務區有兩種方法：主動掃描和被動掃描。主動掃描要求站點查找接入點，從接入點設備中接受同步信息。也可通過被動掃描獲得同步信息，可偵聽每個接入點周期性所發送的信標幀。一旦站點定位了接入點，并取得了同步信息，就必須交換驗證信息。這些

原文轉自：http://www.kjueaiud.com