WLAN認證加密技術

前言

隨著移動數據業(yè)務需求的急劇擴大，運營商的主要業(yè)務增長點已經由傳統(tǒng)的語音業(yè)務過渡到高速數據業(yè)務。尤其是智能終端的普及，加速了移動數據業(yè)務的需求，WLAN被國內運營商用來分流2G/3G流量，在國內大規(guī)模建設，WLAN正逐漸走到每個普通用戶身邊。在用戶享受WLAN帶來方便快捷的同時， WLAN的安全問題往往被忽視。WLAN容易受到各種各樣的攻擊，WLAN的安全問題是影響WLAN發(fā)展的制約因素之一，WLAN的安全問題也逐漸受到運營商的重視。本文主要介紹目前采用的幾種常用加密認證技術。

共享密鑰認證（WEP）

共享密鑰認證：基于WEP的共享密鑰認證的目的就是實現訪問控制，移動終端和AP采用靜態(tài)WEP加密，AP和它所聯(lián)系的所有移動終端都使用相同的加密密鑰。共享密鑰認證作為最初的WLAN加密標準，由于其安全性較低，目前已經很少使用。

802.1x

IEEE 802.1x是一種基于端口的網絡接入控制技術，該技術提供一個可靠的用戶認證和密鑰分發(fā)的框架，可以控制用戶只有在認證通過以后才能連接網絡。IEEE 802.1x本身并不提供實際的認證機制，需要和上層認證協(xié)議（EAP）配合來實現用戶認證和密鑰分發(fā)。EAP允許無線終端支持不同的認證類型，能與后臺 不同的認證服務器進行通信，如遠程接入用戶服務（Radius）。

在采用認證端口訪問控制技術（IEEE802.1x）的WLAN中，無線用戶端安裝802.1x客戶端軟件，AP內嵌802.1x認證代理，同時它還作為RADIUS服務器的客戶端，負責用戶與RADIUS服務器之間認證信息的轉發(fā)。一個用戶無線終端和一個AP的連接被視做一個邏輯端口，只有在端口認證通過的情況下，用戶無線終端才能夠與AP進行通信。

802.11i：IEEE定義的安全標準

IEEE 802.11i規(guī)定使用802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現有的設備上升級固件和驅動程序的方法達到提高 WLAN安全的目的。CCMP機制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全程度大大提高，是實現RSN的強制性要 求。由于AES對硬件要求比較高，因此CCMP無法通過在現有設備的基礎上進行升級實現。802.11i協(xié)議結構如圖1所示。

802.11i草案標準中建議的認證方案是基于802.1x和擴展認證協(xié)議（EAP）的，加密算法為高級加密標準（AES）。動態(tài)協(xié)商認證和加密算法使RSN可以不斷演進，與最新的安全水平保持同步，添加算法應付新的威脅，并不斷提供保護無線局域網傳送的信息所需要的安全性。

802.11相關認證方式僅是無線終端設備的認證。在運營商的網絡環(huán)境中，還需要針對用戶進行認證、計費，此時需要通過802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）進行認證。

WPA：向IEEE 802.11i過渡的中間標準

在WLAN的發(fā)展過程中，市場對于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i的進展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA（Wi-Fi Protected Access）標準。這一標準采用了IEEE802.11i的草案，保證了與未來出現的協(xié)議的前向兼容。

STA通過了802.1x身份驗證之后，AP會得到一個與STA相同的Session Key， AP與STA將該Session Key作為PMK（Pairwise Master Key，對于使用預共享密鑰的方式來說，PSK就是PMK）。隨后AP與STA通過EAPOL-KEY進行WPA的四次握手（4-Way Handshake）過程，如圖2所示。

在這個過程中，AP和STA均確認了對方是否持有與自己一致的PMK，如不一致，四次握手過程就告失敗。為了保證傳輸的完整性，在握手過程中使用了名為 MIC（Message Integrity Code）的檢驗碼。在四次握手的過程中，AP與STA經過協(xié)商計算出一個512位的PTK（Pairwise Transient Key），并將該PTK分解成為五種不同用途的密鑰。

WPA2是IEEE為進一步增強安全性，對WPA的加密算法進行了增強：采用了CCMP機制，通過強度更高的AES加密算法，來提升安全性。

WAPI：中國無線局域網安全標準

WAPI 是 Wireless LAN Authentication and Privacy Infrastructure (無限局域網鑒別和保密基礎結構）的英文縮寫，是WIFI的一種安全協(xié)議，同時也是中國無線局域網安全強制性標準。

WAPI 是我國首個在計算機寬帶無線網絡通信領域自主創(chuàng)新并擁有知識產權的安全接入技術標準。作為全球在此領域的兩個標準之一，相比另一個由美國IEEE主導完成的公認存在嚴重安全缺陷的802．11i標準，WAPI具有明顯的安全和技術優(yōu)勢，迄今未被發(fā)現有安全技術漏洞。

WAPI的工作原理如下圖所示，整個系統(tǒng)有移動終端MT(Mobile Terminal)、AP和認證服務器AS組成；其中，認證服務器AS的主要功能是 負責證書的發(fā)放、驗證與吊銷等；移動終端MT與AP上都安裝有AS發(fā)放的公鑰證書，作為自己的數字身份憑證。當MT登錄至無線接入點AP時，在使用或訪問 網絡之前必須通過AS進行雙向身份驗證。根據驗證的結果，只有持有合法證書的移動終端MT才能接入持有合法證書的無線接入點AP。這樣不僅可以防止非法移 動終端MT接入AP而訪問網絡并占用網絡資源，而且還可以防止移動終端MT登錄至非法AP而造成信息泄漏。

結束語

WLAN的安全問題越來越受運營商的重視，目前國內運營商的集采的WLAN設備，均要求支持以上加密認證技術，對WLAN的加密認證都有嚴格的要求。這些加密認證技術為用戶享受安全、快捷、高速的WLAN網絡提供了保證，保證了用戶信息的安全。