技術前沿：無線局域網關鍵技術研究與展望

　　 
　　一、WLAN的安全機制
　　2004年的WLAN產品市場將面臨嚴峻考驗，低端產品市場將趨于產品的同質化和價格戰，如果不能順利向企業應用高端市場挺進，WLAN投資泡沫將開始出現。與此同時，越來越多的企業決策者認為安全問題是影響他們作出WLAN部署決定的首要因素。

　　
　　1.基本的WLAN安全
　　
　　業務組標識符(SSID)：無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。況且有的廠家支持any方式，只要無線客戶端處在AP范圍內，那么它都會自動連接到AP，這將繞過SSID的安全功能。
　　
　　物理地址(MAC)過濾：每個無線客戶端網卡都由惟一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。另外，非法用戶利用網絡偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。
　　
　　2、IEEE 802.11的安全技術
　　
　　(1)認證
　　
　　在無線客戶端和中心設備交換數據之前，它們之間必須先進行一次對話。在802.11b標準制定時，IEEE在其中加入了一項功能：當一個設備和中心設備對話后，就立即開始認證工作，在通過認證之前，設備無法進行其他關鍵通信。這項功能可以被設為shared key authentication和open authentication，默認的是后者。在默認設定下，任何設備都可以和中心設備進行通訊，而無法越過中心設備，去更高一級的安全區域。而在shared key authentication設定時，客戶機要先向中心設備發出連接請求，然后中心設備發回一串字符，要求客戶機使用WEP鑰匙返回密碼。只有在密碼正確的情況下，客戶機才可以和中心設備進行通信，并可以進入更高級別。
　　
　　使用認證方式有一個缺點，中心設備發回的字符是明文的。通過監聽通信過程，攻擊者可以在認證公式中得到2個未知數的值，明文的字符和客戶機返回的字符，而只有一個值還無法知道。通過RC4計算機通信加密算法，攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙，侵入者就可以通過中心設備，進入其他客戶端。諷刺的是，這項安全功能通常都應該設為“open authentication”，使得任何人都可以和中心設備通信，而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網絡安全相矛盾，但是實際上，這個安全層帶來的潛在危險遠大于其提供的幫助。
　　
　　(2)保密
　　
　　有線等效保密(WEP)：WEP雖然通過加密提供網絡的安全性，但存在許多缺陷：
　　
　　缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區內的所有用戶都共享同一把密鑰。WEP標準中并沒有規定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網絡。
　　
　　ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能夠篡改即加密數據包使各種各樣的非常簡單的攻擊成為可能。
　　
　　RC4算法存在弱點。在RC4中，人們發現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。利用認證與加密的安全漏洞，在很短的時間內，WEP密鑰即可被破解。
　　
　　3、IEEE 802.11i標準
　　
　　(1)認證-端口訪問控制技術(IEEE 802.1x)
　　
　　通過802.1X，當一個設備要接入中心設備時，中心設備就要求一組證書。用戶提供的證書被中心設備提交給服務器進行認證。這臺服務器稱為RADIUS，也就是temote Authentication Dial-In User Service，通常是用來認證撥號用戶的。這整個過程被包含在802.1X的標準EAP(擴展認證協議)中。EAP是一種認證方式集合，可以讓開發者以各種方式生成他們自己的證書發放方式，EAP也是802.1X中最主要的安全功能?，F在的EAP方式主要有四種。
　　
　　但是IEEE 802.1x提供的是無線客戶端與RADIUS服務器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務器之間基于其享密鑰完成認證過程協商出的會話密鑰的傳遞，該共享密鑰為靜態，人為手工管理，存在一定的安全隱患。
　　
　　(2)保密
　　
　　有線等效保密的改進方案-TKIP。
　　
　　目前Wi-Fi推薦的無線局域網安全解決方案WPA(Wi-Fi Protected Aclearcase/" target="_blank" >ccess)以及制定中的IEEE 802.11i標準均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比于WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，由于WEP算法的安全漏洞是由于WEP機制本身引加性高斯噪聲信道起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，并不能從根本上解決問題，因為作為安全關鍵的加密部分，TKIP沒有脫離WEP的核心機制。
　　
　　目前正在制定中的IEEE 802.11i標準的終極加密解決方案為基于IEEE 802.1x認證的CCMP(CBC-MAC Protoco1)加密技術，即以AES(Advanced Encryption Standard)為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。
　　
　　4、VPN技術
　　
　　作為一種比較可靠的網絡安全解決方案，VPN技術在有線網絡中，尤其是企業有線網絡應用中得到了一定程度的采用。然而，無線網絡的應用特點在很大程度上阻礙了VPN技術的應用，主要體現在以下幾個方面：
　　
　　運行的脆弱性：眾所周知，因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是無線應用的特點之一，因此用戶通信鏈路出現短時中斷不足為奇。這種情況對于普通的TCP/IP應用影響不顯敏感，但對于VPN鏈路影響巨大，一旦發生中斷，用戶將不得不通過手動設置以重新恢復VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業務)的WLAN用戶是不可忍受的。
　　
　　通用性問題：VPN技術在國內，甚至在國際上沒有一個統一的開發標準，各公司基于自有技術與目的開發自有專用產品，導致技術體制雜亂，沒有通用型可言。這對于強調互通性的WLAN應用是相悖的。
　　
　　網絡的擴展性問題：VPN技術在提供網絡安全的同時，大大限制了網絡的可擴展性能，這主要是由于VPN網絡架設的復雜性導致的。如果要改變一個VPN網絡的拓撲結構或內容，用戶往往將不得不重新規劃并進行網絡配置，這對于一個中型以上的網絡兒乎是不可思議的。
　　
　　成本問題：上述的3個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。另一個重要因素是VPN產品本身的價格就很高，對于中小型網絡用戶甚至超過WLAN設備的采購費用。
　　
　　二　WLAN的切換與漫游
　　1、切換與漫游
　　
　　WLAN的切換指的是在相同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。
　　
　　加入現有的服務區有兩種方法：主動掃描和被動掃描。主動掃描要求站點查找接入點，從接入點設備中接受同步信息。也可通過被動掃描獲得同步信息，可偵聽每個接入點周期性所發送的信標幀。一旦站點定位了接入點，并取得了同步信息，就必須交換驗證信息。這些信息的交互在接入點和站點之間產生，每個設備給出預設的口令。在站點經過驗證后，關聯過程就開始了。在關聯過程中，交換站點信息和接入點服務的能力信息是一群接入點得到的站點當前位置的信息。一旦關聯過程結束，該站點就能夠發送和接收幀。當站點離開它的接入點發生漫游時，注意到接入點的鏈路信號正在變弱。站點使用它的掃描功能查找另一個接入點，或利用上一次掃描得到的信息選取另一個接入點。一旦找到新的接入點，站點就向它發送重新關聯請求。如果站點接收到重新關聯響應，它就擁有一個新的接入點并且漫游成功。
　　
　　2、移動IP
　　
　　在無線網絡中，如果一邊使用無線局域網接入服務，一邊移動接入位置，那么一旦移動終端超越子網覆蓋范圍，IP數據包就無法到達移動終端，正在進行的通信將被中斷。為此，IETF制定了擴展IP網絡移動性的系列標準。所謂移動IP，就是指在IP網絡上的多個子網內均可使用同一IP地址的技術。這種技術是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網絡終端所處位置的網絡進行管理來實現的。在移動IP系統中，可保證用戶的移動終端始終使用固定的IP地址進行網絡通信，不管在怎樣的移動過程中皆可建立TCP連接并不會發生中斷。在無線局域網系統中，廣泛的應用移動IP技術可以突破網絡的地域范圍限制，并可克服在跨網段時使用動態主機配置協議(DHCP)方式所造成的通信中斷、權限變化等問題。
　　
　　3、切換與漫游存

原文轉自：http://www.kjueaiud.com