无线局域网安全认证技术.doc

无线局域网安全认证技术 安全认证整体综述 作为一种公共移动数据接入方式，PWLAN（公共无线局域网）的安全问题成为商业用户最关心的问题，包括合法用户身份信息(假冒)的安全，敏感商业信息的安全，防止黑客的攻击等等，成为影响人们使用PWLAN业务信心的关键问题。 目前无线局域网在全球快速发展，网络建设所采用的方法也都不尽相同，在某种程度上可以说是混乱的，在公共区域中尤为如此。根据Wi-Fi联盟的资料显示，目前最普遍接入方式是基于浏览器认证，亦称作通用接入方法（UAM）。通过浏览器认证，接入控制器将用户的浏览器重定位到一个本地Web服务器，其过程受TLS保护。用户到UAM登陆页面进行身份认证，在发送到Web服务器的表格中输入用户名和密码。这种方法的显著优点是配置简单，并且事实上移动用户只需支持Web浏览就可以访问接入系统。 虽然UAM简单并且易于采用，它有一些严重的缺陷。1）用户的经验。若用户的目的是使用诸如e-mail客户端的其它一些应用程序，进行网络访问的第一步，也就是打开浏览器，就并不习惯。2）企业用户经常需要进行VPN的配置，这与访问一个本地的Web服务器是相冲突的。3) 典型的，UAM把用户的认证信息暴露给所访问网络的Web服务器。这一特征对于不愿暴露用户数据库的运营商而言是无法接受的，即使是暴露给合法的漫游伙伴。4）除非用户手工检查服务器使用的证书以保护页面（用户极少这样做），用户的认证信息可能在不经意间透露给一个运行恶意无线接入点（AP）的攻击者。 开发接入控制器，就是为了解决PWLAN在安全认证方面的缺陷和弱点，针对PWLAN目前的现状，它背负着三大研究主题。 三大主题 实现WPA以及从UAM到WPA的平滑过渡技术是开发接入控制器的主题之一 从最初利用ESSID、MAC限制，防止非法无线设备入侵的访问控制，到基于WEP数据加密的解决方案，再到预定为去年年底发布的802.11i，以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI（无线局域网鉴别和保密基础结构），无线业界一直致力于WLAN的安全性提高方面的工作。那么，这么多的安全方案该采用哪种呢，下面我们具体讨论当前各种安全方案的特点： 1）业务组标识符（BSSID）：这是人们最早使用的一种安全认证方式，即为无线接入点AP设置BSSID，强迫无线终端接入固定SSID的AP来实现接入控制。 MAC地址过滤：这是一种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即AP只允许有合法MAC地址终端接入。 3）有线等价安全（WEP）：WEP协议是IEEE802.11标准中提出的认证加密方法。它使用RC4流密码来保证数据的保密性，通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度。 PPPoE认证：PPPoE是目前使用最多的一种认证技术。它的用户认证方式主要包括PAP 和CHAP两种，利用明文或弱加密的方式传送口令，不适用于开放的无线环境。 DHCP+WEB认证：此为基于应用层的认证方式，通过http协议获取用户输入的用户名 和密码，无须专门安装客户端软件，应用范围广。用户名和密码以明文（采用http1.0）或弱加密(采用http1.1中的MD5算法)方法传输。 802.1x协议 IEEE 802.1X协议，称为基于端口的访问控制协议（Port Based Network Access Control Protocol）是由IEEE于2001年6月提出的，符合IEEE 802协议集的局域网接入控制协议，主要目的是为了解决无线局域网用户的接入认证问题，能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段，达到接受合法用户接入，保护网络安全的目的。802.1x协议旗下的认证方式有很多种，其中大部分的认证协议支持STA和AS的相互认证，AP的身份认证由AP和AS之间设定的共享密钥完成。是目前厂家支持和应用范围最广的安全认证协议。 7) WAPI（WLAN Authentication and Privacy Infrastructure）中国在2003年5月份提出的无线局域网国家标准 GB15629.11。这种安全机制由 WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastruc－ture）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAI是建筑在公钥体系上的，STA和AP均需要配置公钥证书，ASU（Authentication Service Unit）是证书的颁发和核实机构，也就是说，WAI实现了STA和AP的互相认证。 作为PWLAN来说，除了在安全方面的考量之外，面对公众的网络中用户