无线局域网安全技术研究[J].PDFVIP

6一80 无线局域网安全技术研究 孙树峰 贺 梁 顾君忠 (华东师范大学计算机系 上海 200062) 摘要:在基于802.11无线局域网的安全领域，目前人们普遍关注的是64位或128位WEP加密算 法或其他如VPN,802.1x或802.11i协议技术。在本文中主要就如何实现128位动态WEP加密技术 和对基于802.1x认证协议的可扩展ERADIUS(ExtendedRADUISServer)认证技术进行探讨。当然，在 我们的无线安全体系结构中，也离不开传统的ESSUI认证技术和对用户的MAC地址过滤技术。在文 章的前半部分，我们首先分析了目前在无线局域中常用的安全措施和它们的优缺点，接着提出了我们 的改进方案并介绍了无线局域网的安全结构和模型的实例，最后对在不同无线接人点(AP)之间漫游 用户的管理进行了简单的讨论。 关游移:动用”无线接人点安全策略扩展的ERADIUS认限动态吧密钥 1. 引言 从企业到家庭，移动通讯技术的应用越来越广泛，特别是无线局域网的迅猛发展，更使无线技术 的应用达到了空前的地步，一些公共场所如机场、旅馆、酒店等都配里了无线局域网，再加上成熟的蜂 窝技术和媒体技术，人们可以随时随地分享Internet带来的快乐，而其中无线接人点AP(AccessPoint) 是移动用户访间网络的基站。在一个典型的WLAN环境中，一个AP能够在几十至上百米的范围内 连接多个无线用户。在同时具有有线和无线网络的情况下，AP可以通过标准的Ethemet电缆与传统 的有线网络相连，作为无线网络和有线网络的连接点。 然而，有一些因素影响了无线网络的推广应用。首要的是安全问题，这必须从三个方面来加以考 虑:用户的身份认证、数据的传翰加密和用户的操作权限。在本文，我们主要就前两个方面讨论。 2.802.11协议的安全要索 2.1SSD或SiS 802.11协议本身就定义了多种基本的安全手段。首先，在通讯前所有的移动节点必须和无线接 人点(AP)建立连接，这要求移动台和AP配置为具有相同的网络服务集标识SSID(SeiviceSetIdentifi- er)或扩展服务集标识ESS1D(ExtendedServiceSetIdentifier)，每个AP具有唯一的ESili，这使得一组设 ti为相同网络ESSIII的用户可以使用此AP。也就是说，若移动用户想连接某一AP，则必须知道此AP 的ESSM，若AP的ESSUI设tI和用户的ESSID设置不一致，则用户无法访问此AP。这种方式提供了 无线网络最墓本的安全措施。 然而这种安全措施是十分有限的，现在许多无线网卡能自动搜索周围环境中的AP及AP的ES- SID等参数，并允许用户进行自由选择连接的AP，这是因为AP会定期以明文的形式广播自己的ES- SID。一般说，Pam是最大长度为32位的字符串，并区分大小写英文字母。 2.2MAC地址过油 在802.11无线局域网中最常用的安全措施是MAC地址过滤法。这需要在AP设备的永久性存 储器中存放一组用户的MAC地址列表，只有列表中的用户可以访问对应的AP，其他用户是被拒绝使 用此AP的。在移动用户向网络发出联网诸求后，AP首先检查自己的MAC地址列表，以判断此用户 是否允许访问网络。当然.管理员可以很方便地对AP中存储的用户MAC地址列表进行添加、删除等 6一81 修改，以控制可以访问AP的用户数量。这也许是目前在无线局域网中最简单、最基本的安全防范手 段。特别是对于AP数量不太多的无线局域网系统是比较适合的。 但是从某些角度看，使用MAC地址列表也是一种比较脆弱、麻烦的安全手段，因为许多无线网卡 支持通过重新配t的方法来改变网卡的MAC地址，另一方面，很多生产厂商为方便用户会把网卡的 MAC地址印刷在无线网卡背面的标签上。非法人侵者可以从无线电波中截获数据帧从而分析出合 法用户的MAC地址，进而修改自己的MAC地址，伪装成合法地址以访问网络。一般地说，AP设备所 支持的无线用户的数量是有限的，若在一个无线环境中，有上千个AP都采用手工方式配置用户MAC 地址列表，这将是十分麻烦的。如果允许一个用户在整个无线网络中漫游，则需要在每个AP的用户 MAC地址列表中加人该用户的MAC地