WIFE通信安全机制理论与研究.docxVIP

WLAN业务的发展方兴未艾，作为一个CMRI人，最直观的感受莫过于使用CMRI提供的yf无线链接自由实现工位和会议室之间的无缝切换了。WLAN组网技术究竟使用什么方法保证我们的通信安全的？我们来对WLAN中的安全通信机制进行一个简述。　在介绍WLAN中的安全通信机制之前，先大略介绍一下Wi－Fi，这是了解WLAN诸安全机制的基础。　Wi-Fi　Wi-Fi是一个非营利组织，该组织的作用是定义和授权WLAN接入技术。通常将获得该组织授权的WLAN技术标准通称为Wi-Fi。Wi-Fi具有搭建简单、易于实现的优点。通过一个笔记本或PDA内置的无线网卡和一个AP即可实现。从原理上说，无线网卡是支持Wi-Fi的客户端，是一个无线接收器。AP是无线猫，是一个内置无线发射器的路由器。AP将从LAN接收到的有线信号转成无线信号，发射出去，由无线网卡接收。一般AP可以带3~4个网卡，发射范围在50米左右。　Wi-Fi使用2.4GHZ附近的空闲频段，技术标准包括802.11a、802.11b、802.11n和802.11g。其中，最常用的802.11b的速度可达11M，其余的速度均为54M。接入有效范围在100~300m，甚至可达公里级。Wi-Fi技术由于Intel的大力推广，得到了普及。Intel推出的WiMAX全面兼容Wi-Fi，并获得了更高的速度。　WLAN使用的安全通信协议，大致有三种，分别是WEP、WPA和WAPI。下面分别对其进行介绍。　WEP　WEP(Wired Equivalent Privacy)是802.11b采用的安全标准，用于提供一种加密机制，保护数据链路层的安全，使WLAN的数据传输安全达到与有线LAN相同的级别。WEP采用RC4算法实现对称加密。通过预置在AP和无线网卡间共享密钥。在通信时，WEP 标准要求传输程序创建一个特定于数据包的初始化向量（IV），将其与预置密钥相组合，生成用于数据包加密的加密密钥。接收程序接收此初始化向量，并将其与本地预置密钥相结合，恢复出加密密钥。　WEP允许40bit长的密钥，这对于大部分应用而言都太短。同时，WEP不支持自动更换密钥，所有密钥必须手动重设，这导致了相同密钥的长期重复使用。第三，尽管使用了初始化向量，但初始化向量被明文传递，并且允许在5个小时内重复使用，对加强密钥强度并无作用。此外，WEP中采用的RC4算法被证明是存在漏洞的。综上，密钥设置的局限性和算法本身的不足使得WEP存在较明显的安全缺陷，WEP提供的安全保护效果，只能被定义为“聊胜于无”。　WPA　WPA(Wi-Fi Protected Access)是保护Wi-Fi登录安全的装置。它分为WPA和WPA2两个版本，是WEP的升级版本，针对WEP的几个缺点进行了弥补。是802.11i的组成部分，在802.11i没有完备之前，是802.11i的临时替代版本。　不同于WEP，WPA同时提供加密和认证。它保证了数据链路层的安全，同时保证了只有授权用户才可以访问WLAN网络。WPA采用TKIP协议(Temporal Key Integrity Protocol)作为加密协议，该协议提供密钥重置机制，并且增强了密钥的有效长度，通过这些方法弥补了WEP协议的不足。认证可采取两种方法，一种采用802.11x协议方式，一种采用预置密钥PSK方式。　WAPI　WAPI(WLAN Authentication and Privacy Infrastructure) 是我国自主研发并大力推行的WLAN安全标准，它通过了IEEE （注意，不是Wi－Fi）认证和授权，是一种认证和私密性保护协议，其作用类似于802.11b中的WEP，但是能提供更加完善的安全保护。WAPI采用非对称（椭圆曲线密码）和对称密码体制（分组密码）相结合的方法实现安全保护，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。　WAPI的认证流程如下图所示。WAPI包括三个实体，分别是终端设备(MT)、接入点(AP)和认证服务器(AS)三部分组成。其中，MT和AP各具有数字证书。在MT对AP的认证中，MT向AP发送一个认证请求，由AP对这个认证请求进行应答，即产生认证请求的签名。但MT无需自己验证认证应答，而是由AS代为验证，并将验证结果转告MT。由于MT信任AS，AS可以验证AP，因此MT信任AS。同样地，AP也通过AS实现对MT证书的验证，并利用MT的签名认证MT。在后续的通信中，MT和AP可以利用对方的公钥产生会话密钥，保证通信过程的安全。WAPI除实现移动终端和AP之间的相互认证之外，还可以实现移动网络对移动终端及AP的认证。同时，AP和移动终端证书的验证交给AS完成，一方面减少了MT和AP的电量消耗，另一方面为MT和AP使用不同颁发者颁发的