Wi-Fi接入的认证和安全.doc

Wi-Fi接入的认证和安全 刘 洁　叶银法 中国电信股份有限公司广东研究院 广州 510630 摘要：从介绍安全保障的必要性出发，分析了Wi-Fi 接入的认证和安全保证方案，重点体现无线接入环境的特点，与有线宽带在认证和安全考虑上的不同，最后举例说明实际网络建设中如何选择认证方式等安全性保证措施的实践。 关键词：接入有效性检验 链路认证 身份认证 加密 安全保护 1 引言 无线通信环境是一个开放的环境，这使得Wi-Fi接入信号面临被攻击和窃听的危险。不管是独立接入还是融合接入，安全问题成为用户选用Wi-Fi接入业务的主要担忧。对运营商来说，安全性直接关系到Wi-Fi业务的开展，甚至会影响其他宽带业务的发展，所以寻找有效的安全方案是运营商和用户的共同要求。对Wi-Fi安全性的考虑主要包括接入有效性检验、链路认证、身份认证、加密及加强安全保护等。 2 接入有效性检验 对有线接入来说，由于接入线路的独占性，基本上没有接入有效性检验的问题。接入有效性检验主要指无线终端只能接入SSID(支持服务集标识)一致的AP（接入点）。SSID区分网络，无线网卡设置了不同的SSID就可以进入不同的网络。SSID通常由AP广播，通过操作系统自带的扫描功能可以查看当前区域内的SSID。如果AP不广播SSID，用户就要手工设置SSID才能进入相应的网络。计算机之间要互相通信，必须设置相同的SSID。 由于SSID具有一定的公开性，知名品牌AP的默认SSID很多人都知道，如果计算机默认开启了“自动连接”功能，并且检测到周围有SSID相同的无线网络时，就会自动建立连接。从这点看，最好是在计算机的“网络连接”选项中关闭无线网卡的自动连接功能。另外，设置隐藏SSID可以避免外围的非法接入者自动发现私有网络的SSID。 3 链路认证 IEEE 802.11 标准定义了开放系统和共享密钥两种链路认证模式。开放系统认证模式允许任何用户的认证请求，AP可以接受SSID 值为空白的终端的接入，这种方式等同于没有进行认证。国外某些运营商在提供免费接入时采用这种模式。共享密钥认证模式要求参与认证的两端利用相同的共享密钥WEP(有线等效加密算法)进行身份认证。由于WEP密钥容易被解密，对提高安全性的作用不大。开放系统认证和共享密钥认证作为初始定义的认证方式，安全程度低，一般在简单的环境中采用。 链路认证方式快速、简单，对上层应用透明，对网络设备的要求低，往往是安全保障的基础，是经常采用的认证类型。PPPoE和IEEE 802.1x同样是基于链路层的认证技术，但有了进一步的改进，通过和RADIUS服务器的结合和交互，灵活地实现了用户的身份认证。 4 身份认证 身份认证的理念是对用户身份的合法性进行验证。目前，宽带接入身份认证的基本方法有PPPoE、DHCP＋、Web＋Portal、802.1x等。无线环境的开放性和终端的移动性决定了无线接入的安全认证需求有一定的特殊性，所以这些方法在应用上有一定的特点和限制。这几种认证方式的比较见表1，在实际操作中，往往需要综合采用几种认证方法，以达到取长补短的效果。 5 加密 在无线接入空间的开放性环境下，保密显得尤其重要。加密是实施Wi-Fi认证的安全组件，认证过程和加密密不可分，加密方法与认证方式往往是相辅相承的。目前主要的加密方法有以下几种。 ? PPPoE认证通过CHAP加密方式确保用户账号的安全性，采用128位的Challenge和MD5算法。CHAP是一种弱加密，安全性有限。 ? WEP是802.11定义的，该方法采用24位的初始化矢量、40位或128位的静态密钥，在链路层采用RC4 对称加密技术，比较容易被破解。 ? TKIP（临时密钥完整性协议）是对WEP的改进，采用48位的初始化矢量、128位的动态密钥，安全性得到很大提升，而且它可以在现有硬件中通过软件升级实现，适合作为一种过渡方案。 ? CCMP（密码块链接报文认证码协议）采用48位的初始化矢量、128位的动态密钥，但采用了AES（高级加密标准）算法，功能强大，安全性高，缺点是不能在现有硬件基础上升级，需要更新硬件。 ? WRAP（无线强壮性认证协议）与CCMP基本相同，不同的是它的AES采用不同的加密模式，WRAP和CCMP都是无线局域网安全标准802.11i定义的数据加密机制。 ? WAPI（无线局域网认证和保密架构）是我国自主开发的无线网络安全技术标准，已成为国内的强制标准。WAPI也包括认证和加密两大部分，采用特有的椭圆曲线加密算法，保密性高，但能否得到国际标准化组织的认同是它目前的最大问题。 6 加强性安全保护 从网络的分层体系来看，各层面都需要对安全性有所保证，所以除了上述的保护措施，需要适当采用其他方法，进一步强化安全保护。这些方