一、WLAN的安全机制
2004年的WLAN产品市场将面临严峻考验,低端产品市场将趋于产品的同质化和价格战,如果不能顺利向企业应用高端市场挺进,WLAN投资泡沫将开始出现。与此同时,越来越多的企业决策者认为安全问题是影响他们作出WLAN部署决定的首要因素。
1.基本的WLAN安全
业务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
2、IEEE 802.11的安全技术
(1)认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助。
(2)保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
3、IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
4、VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术*杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
二 WLAN的切换与漫游
1、切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注意到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。如果站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
2、移动IP
在无线网络中,如果一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器对网络终端所处位置的网络进行管理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
3、切换与漫游存在的问题
在没有启用加密协议的情况下,相同的SSID(AP)之间的业务连接由AC(无线接入控制器)控制,AP仅仅起到二层透、传的作用。在不同的SSID(AP)之间,由于IP地址发生改变,业务必然中断,需要重新进行连接进行认证与计费。
如果采用安全加密机制,例如采用默认设置WEP协议,每当到一个新的接入点的时候需手工输入40bit或104bit的密钥,即麻烦又不安全。在实际使用中,采用加密措施对漫游切换带来了很大的麻烦,因为必须及时通知用户更改新的接入点的密钥。如何才能安全分发和保存这些新的密钥也是难题,所以大多数运营商多没有采用加密措施如WEP加密。
三、WLAN的覆盖与天线技术
802.11的频率范围2400-2483.5MHz,14个子频道,频带宽为22MHz,最多可以提供3个不重叠的频道同时工作(1,6,11),最多可提供33MHz的传输容量。
1、室外覆盖
室外覆盖的两种常用的方式:宏蜂窝和微蜂窝;在某些功率限制较小的场合如农村、野战环境、大的运动场地,可以通过加大基站发射功率和接收灵敏度以及提高基站天线高度的方法来提高单个基站的覆盖范围。
(1)宏蜂窝
只有在基站位于开阔地的时候,接收机的输入功率能够满足标准的无线局域网接收机的灵敏度要求,如果适当提高基站灵敏度和功率,则可以覆盖更大的范围,而对于城市或城郊来说,如果应用宏蜂窝,则无线局域网收发设备的功率和灵敏度都要大幅度增加,这对于城市频谱、电磁兼容限制以及成本增加来说,都是不能允许的,因此,不推荐使用宏蜂窝进行布网,除非在大范围的开阔地应用。
(2)微蜂窝
微蜂窝覆盖可以在城市或城郊进行网络覆盖,一般可设在建筑物顶部,或在专门搭建的发射塔上,也可以借助某些已有的设施,如路灯、站牌等安装AP,进行链路计算,确定满足接收机灵敏度的最大范围,针对覆盖区域性状和大小的要求,也要进行天线选型以满足重点区域的良好覆盖。综合以上因素,在一定区域内确定所有微蜂窝基站的位置,从而完成覆盖。
2、室内覆盖
室内传播环境与室外相比,覆盖距离更小,环境变化更大,不受雨、雪、云等天气的影响,但受建筑物的大小、形状、结构、房间布局及室内陈设的影响,最重要的是建筑材料的影响。室内障碍物不仅有砖墙,而且包括木材、玻璃、金属和其他材料。这些因素导致室内传播环境远较室外复杂。
室内通常要采用微蜂窝、室内分布式天线和泄漏电缆或它们之间的组合以覆盖盲区。
3、天线技术
在发射功率受到限制的情况下,天线技术成为提高覆盖的重要手段。在室外应使用高增益的全向天线,在室内应使用定向天线,并采用分集接收和智能天线技术。同时应尽量避免频率和电磁干扰。
分集接收是在发射机和接收机之间的多个独立信道,因此当独立的通道本质上是空间的话,就可得到天线分集和极化鉴别,也就是说,在接收机和发射机的天线单元之间存在充分的间隔,各自信号相互之间就没有或很少有相关性,天线分集可用来提高信号的链路性能或是增加数据的吞吐量。
天线分集技术可以化为两大类,即发射和接收分集。
(1)接收分集
在接收机中使用多个天线称之为接收分集,是相当容易实现。本质上能接收发射信号流的多个拷贝,采用合适的信号处理技术有效地把这些拷贝信号组合在一起。随着天线数量的增加,中断的可能性就降到了零,而且有效信道逼近于加性高斯噪声信道。两种最普遍的接收分集技术是选择和最佳比率组合。
(2)发射分集
多单元的发射机天线阵列在新兴的无线局域网网络中,特别在接入点将发挥越来越重要的作用。事实上,当与经适当设计的信号处理算法一起使用时,这样的阵列会极大地提高性能。
四、结束语
WLAN技术仍然处在高速发展和变化之中,目前普遍使用的是802.1lb的产品,必然要向传输速率更高的802.11a和802.llg演进,特别是802.1lg很可能成为主流。运营商和产品制造商应抓住难得的机遇,共同努力缩短演进的进程。在安全方面,对于已经大量使用802.1lb的产品可以通过软件升级过渡到WPA,并使用集成多种功能的接入点(AP)设备来降低使用成本。虽然采用安全加密措施必然对802.11b的性能会有一定的影响,并且带来使用的不方便,但是这是商用网必须做的,因为这是长期盈利的前提条件。并且逐渐升级过渡到可以和802.1lb设备兼容的802.11g设备,但是在这种混合模式下,由于802.llb和802.llg采用不同的调制方式,因此对实际传输效率有一定的影响。另外,必须认识到无线局域网设计与实施的复杂性,重视在正式部署前的勘察与测试工作,制定切实可行的组网方案。
如果说无线局域网是一只希望展翅高飞的小鸟,那么至少目前它还需要更为坚实有力的翅膀,去实现人们在任何时间任何地点与世界互联的梦想。