無線局域網(wǎng)安全認證協(xié)議研究

1、文章編號:1003-6318(200402-0009-04無線局域網(wǎng)安全認證協(xié)議研究陶曉明1,孫樹峰2,薛梅2(1.寧滬高速公路股份有限公司,江蘇南京210004;2.華東師范大學計算機系,上海200062關鍵詞:無線局域網(wǎng);訪問控制;安全協(xié)議;IEEE802.1x;中國WAPI標準中圖分類號:TP309文獻標識碼:A1無線局域網(wǎng)的發(fā)展1971年Hawaii University創(chuàng)造了第一個基于包技術的無線電通訊網(wǎng)絡ALOHN ET,這是最早的無線局域網(wǎng)絡WLAN(wireless local area network,包括7臺計算機,采用雙向星型拓撲橫跨4座夏威夷的島嶼.無線局域網(wǎng)提供了在有

2、限區(qū)域內(nèi)的無線連接,以基站接入點AP(Access Point為中心,覆蓋半徑在10m到100m之間.2無線局域網(wǎng)基本安全措施第26卷第2期Vol.26No.2菏澤師范?？茖W校學報Journal of Heze Teachers College2004年5月May2004收稿日期:2003-12-24基金項目:國家“863”資助課題(2001AA143060.作者簡介:陶曉明(1974-,男,江蘇寧滬高速公路股份有限公司助理工程師,研究方向:無線系統(tǒng)的信息安全.孫樹峰(1969-,男,講師,華東師范大學計算機系博士,研究方向:信息系統(tǒng)分析與集成.數(shù)據(jù)加密時,生成秘密的共享加密密鑰,可避免泄漏給

3、偷聽者.802.11支持兩個子類型的網(wǎng)絡身份驗證服務:開放式和共享密鑰.在開放式身份驗證下,任何無線站都可請求身份驗證.在共享密鑰身份驗證下,每個無線站都被假定為具有安全頻道的秘密共享密鑰,該安全頻道獨立于無線網(wǎng)絡通訊頻道.要使用共享密鑰身份驗證,必須具有一個網(wǎng)絡密鑰.啟用WEP 時可指定用于加密的網(wǎng)絡密鑰,也可以通過鍵入方式來親自指定密鑰.如果親自指定密鑰,還可以指定密鑰長度(64位或128位、密鑰格式(ASCII 字符或十六進制數(shù)字和密鑰索引(存儲特定密鑰的位置.原理上,密鑰長度越長,密鑰應該越安全.Scott Fluhrer 與Weizmann 研究院的Itsik Mantin 和Adi

4、 hamir 合作并發(fā)表了題為RC4密鑰時序算法缺點的論文,講述了關于WEP 標準的嚴重攻擊問題1.這篇論文闡明了RC4密鑰時序算法的幾個缺點,而這種算法是在應用軟件中廣泛采用的流式密碼.IEEE 的工作小組打算用向下兼容的WEP2取代WEP ,新協(xié)議將基于新的AES.這種改變會讓無線網(wǎng)絡供應商存在很大意見,因為他們已經(jīng)投入了很多資金到工作在WEP 上的產(chǎn)品上,并且密鑰采用了眾人皆知的RC4.針對這些問題,思科Aironet 系列產(chǎn)品加上了可以解決RC4密鑰時序算法的缺點的安全解決方案.這一方案通過對每個用戶采用一個動態(tài)WEP 加密密鑰,并使這個密鑰可以頻繁改變,大大地降低了這類攻擊的可行性.

5、另外,這一安全機制的一個主要限制是標準沒有規(guī)定一個分配密鑰的管理協(xié)議.這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給無線臺 .當這種無線臺的數(shù)量龐大時,將是一個很大的挑戰(zhàn).為了提供一個更好的接入控制和安全性機制,需要在規(guī)范中包括密鑰管理協(xié)議.3IEEE 802.1x 協(xié)議體系IEEE 802.1x 協(xié)議的體系結(jié)構(gòu)主要包括3部分實體:客戶端Supplicant System 、認證系統(tǒng)Authenticator System 、認證服務器Authentication Server System (見圖1.圖1802.1x 認證框架(1客戶端:一般為一個用戶終端系統(tǒng),該終端系統(tǒng)通常要安

6、裝一個客戶端軟件,用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x 協(xié)議的認證過程.(2認證系統(tǒng):通常為支持IEEE 802.1x 協(xié)議的網(wǎng)絡設備.該設備對應于不同用戶的端口有兩個邏輯端口:受控(controlled Port 端口和非受控端口(uncontrolled Port .第一個邏輯接入點(非受控端口,允許驗證者和LAN 上其它計算機之間交換數(shù)據(jù),而無需考慮計算機的身份驗證狀態(tài)如何.非受控端口始終處于雙向連通狀態(tài)(開放狀態(tài),主要用來傳遞EAPOL 協(xié)議幀,可保證客戶端始終可以發(fā)出或接受認證.第二個邏輯接入點(受控端口,允許經(jīng)驗證的LAN 用戶和驗證者之間交換數(shù)據(jù).受控端口平時處于

7、關閉狀態(tài),只2004年菏澤師范?？茖W校學報第2期有在客戶端認證通過時才打開,用于傳遞數(shù)據(jù)和提供服務.受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應不同的應用程序.如果用戶未通過認證,則受控端口處于未認證(關閉狀態(tài),則用戶無法訪問認證系統(tǒng)提供的服務.(3認證服務器:通常為RADIUS服務器,該服務器可以存儲有關用戶的信息.當用戶通過認證后,認證服務器會把用戶的相關信息傳遞給認證系統(tǒng),由認證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表,用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管.以下步驟描述了利用AP和RADIUS服務器對移動節(jié)點進行身份驗證的基本步驟:(1當移動節(jié)點進入一個AP認證者的覆蓋范圍時,AP 會向移動

8、節(jié)點發(fā)出一個問詢.(2在受到來自AP的問詢之后,移動節(jié)點做出響應,告知自己的身份.(3AP將移動節(jié)點的身份轉(zhuǎn)發(fā)給RADIUS身份驗證服務器,以便啟動身份驗證服務.(4RADIUS服務器請求移動節(jié)點發(fā)送憑據(jù),并指定確認移動節(jié)點身份所需憑據(jù)類型.(5移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS.(6在對移動節(jié)點憑據(jù)的有效性進行確認后,RADIUS 服務器將身份驗證密鑰發(fā)送給AP.該身份驗證密鑰將被加密,只有AP能夠讀出該密鑰.(7AP使用從RADIUS服務器處獲得的身份驗證密鑰保護移動節(jié)點數(shù)據(jù)的安全傳輸.全局身份驗證密鑰必須被加密.這要求所使用的EAP 方法必須能夠生成一個加密密鑰,這也是身份驗證過程的一

9、個組成部分3.移動節(jié)點可被要求定時重新認證以保持一定安全級.4802.1x認證協(xié)議的優(yōu)缺點IEEE802.1x具有以下主要優(yōu)點:同時,IEEE802.1x又有以下不足之處:(3802.1x并非專為WLAN設計的,沒有充分考慮到無線應用的特點.它提供客戶端與RADIUS服務器之間的認證,而不是與AP之間的認證.采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中存在一定的安全隱患.AP與RADIUS服務器間基于共享密鑰協(xié)商出會話密鑰,該共享密鑰為靜態(tài)3,人為手工管理,存在一定安全隱患.5中國WAPI認證協(xié)議WAPI具有以下重要特點:(1全新的高可靠性安全認證與保密體制,更可靠的二層

10、(鏈路層以下安全系統(tǒng),完整的用戶和AP雙向認證5,集中式或分布集中式認證管理,證書和密鑰的雙認證,靈活多樣的證書管理與分發(fā)體制,可控的會話協(xié)商動態(tài)密鑰,高強度的加密算法,可擴展或升級的全嵌入式認證與算法模塊,支持帶安全的越區(qū)切換.(2支持SNMP網(wǎng)絡管理,符合中國國家標準.(3WAPI考慮了市場應用,從應用模式上可分為單點式和集中式兩種:單點式主要用于家庭和小型公司的小范圍應用;集中式主要用于熱點地區(qū)和大型企業(yè),可以和運營商的管理系統(tǒng)結(jié)合起來,共同搭建安全的無線應用平臺.2004年陶曉明,等:無線局域網(wǎng)安全認證協(xié)議研究第2期6WAPI的組成和認證過程整個系統(tǒng)可認為有移動節(jié)點M T(Mobile

11、 Terminal、AP 和認證服務器AS組成.認證服務器AS的主要功能是負責證書的發(fā)放、驗證與吊銷等;移動節(jié)點M T與AP上都安裝有AS發(fā)放的公鑰證書,作為自己的數(shù)字身份憑證.當M T登錄至AP時,在使用或訪問網(wǎng)絡之前必須通過AS進行雙向身份驗證.根據(jù)驗證的結(jié)果,只有持有合法證書的移動節(jié)點M T才能接入持有合法證書的無線接入點AP.這樣不僅可以防止非法移動節(jié)點M T接入AP而訪問網(wǎng)絡并占用網(wǎng)絡資源,而且還可以防止移動節(jié)點M T登錄至非法AP而造成信息泄漏.當移動節(jié)點登錄至無線接入點AP時,移動節(jié)點與無線接入點AP通過認證服務器AS進行雙向證書認證;認證成功后,移動節(jié)點與無線接入點AP進行會話

12、密鑰協(xié)商;其主要步驟包括:證書認證.所述的證書認證是指采用認證服務器AS對移動節(jié)點和無線接入點AP進行證書認證.會話密鑰協(xié)商.采用公鑰密碼技術,解決了WLAN中沒有對移動節(jié)點進行有效的安全接入控制,克服了無線鏈路的數(shù)據(jù)通信保密的克服了局限性,不僅實現(xiàn)了對移動節(jié)點的接入控制,而且保障了移動節(jié)點接入的安全性、通信的高保密性.經(jīng)過認證激活、接入認證請求、證書認證請求、證書認證響應、接入認證響應、密鑰協(xié)商請求、密鑰協(xié)商響應7個步驟,完成移動節(jié)點M T與AP之間的證書認證過程5.若認證成功,則AP允許移動節(jié)點M T接入,否則解除其登錄.其認證的具體步驟如下:(1認證激活.當移動節(jié)點M T登錄至AP時,由

13、AP向M T發(fā)送認證激活以啟動整個認證過程的開始.(2接入認證請求.M T向AP發(fā)出接入認證請求,即將M T的證書與M T的當前系統(tǒng)時間發(fā)往AP,其中系統(tǒng)時間稱為接入認證請求時間.(3證書認證請求.AP收到M T接入認證請求后,首先記錄認證請求時間,然后向AS發(fā)出證書認證請求,即將M T 證書、接入認證請求時間、AP證書并利用AP的私鑰對它們簽名構(gòu)成證書認證請求報文發(fā)送給AS.(4證書認證響應.AS收到AP的證書認證請求后,驗證AP的簽名以及AP和M T證書的合法性.驗證完畢后,AS 將M T證書認證結(jié)果信息(包括M T證書、認證結(jié)果及AS對它們的簽名、AP證書認證結(jié)果信息(包括AP證書、認證

14、結(jié)果、接入認證請求時間及AS對它們的簽名構(gòu)成證書認證響應報文發(fā)回給AP.(5接入認證響應.AP對AS返回的證書認證響應進行簽名驗證,得到M T證書的認證結(jié)果.AP將M T證書認證結(jié)果信息、AP證書認證結(jié)果信息以及AP對它們的簽名組成接入認證響應報文回送至M T.M T驗證AS的簽名后,得到AP 證書的認證結(jié)果.M T根據(jù)該認證結(jié)果決定是否接入該AP.(6密鑰協(xié)商請求.M T(或AP產(chǎn)生一串隨機數(shù)Rand1,利用AP(或M T的公鑰加密后,向AP(或M T發(fā)出密鑰協(xié)商請求.此請求包含請求方所有的備選會話算法信息.(7密鑰協(xié)商響應.AP(或M T收到M T(或AP發(fā)來的密鑰協(xié)商請求后,首先進行會話

15、算法協(xié)商,若響應方不支持請求方的所有備選會話算法,則向請求方響應會話算法協(xié)商失敗;否則在請求方提供的備選算法中選擇一種自己支持的算法;再利用本地的私鑰解密協(xié)商數(shù)據(jù),得到M T(或AP產(chǎn)生的隨機數(shù)Rand1,然后產(chǎn)生一串隨機數(shù)Rand2,利用M T (或AP的公鑰加密后再發(fā)送給M T(或AP.密鑰協(xié)商成功后,M T與AP將自己與對方產(chǎn)生的隨機數(shù)據(jù)進行模2和運算生成會話密鑰5,利用協(xié)商的會話算法對通信數(shù)據(jù)進行加解密.即:會話密鑰=(Rand1mod2+(Rand2mod2為了提高通信的保密性,在通信一段時間或交換一定數(shù)量的數(shù)據(jù)之后,通信雙方可重新進行會話密鑰的協(xié)商.7結(jié)束語802.1x協(xié)議僅僅提供

16、了一種用戶接入認證的手段,并簡單地通過控制接入端口的開/關狀態(tài)來實現(xiàn)2,這種簡化適用于無線局域網(wǎng)的接入認證、點對點物理或邏輯端口的接入認證,但不能充分保障無線局域網(wǎng)的安全.從理論上講,中國WAPI標準可以有效保證無線局域網(wǎng)信息的全面安全,但目前WAPI正在制訂和實施中,特別是支持產(chǎn)品的商業(yè)化運作還有一段距離,但我們相信:WAPI標準將在研發(fā)和應用中不斷地優(yōu)化和改善.參考文獻:1Scott Fluhrer,Itsik Mantin,Adi Shamir.Weaknesses inthe K ey Scheduling Algorithm of RC4EB/OL.2001207225/200320

17、3207.1x.html,2002203222/2002207222.tutorials/article/0,10724-1041171,00.html,2002205207/2002210215.4Kristin Burke.Wireless Network Security802.11/802.wns02/19b.pdf,2002205231/2003202212.5張寧.安全與互聯(lián)J/OL.通信技術與標準.2003,articleid=37,2003209225/2004202218.(下轉(zhuǎn)第29頁2004年菏澤師范?？茖W校學報第2期11Savage J J,Wood R H.Entha

18、lpy of Dilution of AqueousMixtures of Amides,Sugars,Urea,Ethylene G lycol andPentaerythritol at25;Enthalpy of Interaction of the Hydrocarbon,Amide,and Hydroxyl Functional Gropes in Dilute Aqueous S olutionJ.J.S olution Chem., 1976,5(10:733-750.H eterotactic E nthalpic Interaction of2Amino Acids-Meth

19、anol-W ater T ernary SystemsPAN G Xian2hong1,ZHU Yan2,CAO Xiao2qun2,WAN G Yu2min2(1.Chemistry and Chemical Engineering Dept,Taishan Medical College,Taian271000,Shandong,China;2.Pharmacy Dept,Taishan Medical College,Taian271000,Shandong,ChinaAbstract:There is currently considerable interest in the th

20、ermodynamic properties of aqueous solutions and mixed aqueous solvents of various amino acids.The principle purpose for studying such systems is to obtain the infor2 mation that contributes to the growing body of knowledge about solute solvation and solute interactions in aque2 ous media,and a bette

21、r understanding of their role played in the conformational stability and unfolding behavior of proteins.Heterotactic enthalpies of mixing and dilution of aqueous methanol solutions and aqueous amino acids (glycine,L2alanine,L2prolinesolutions have been determined at298.15K by flow microcalorimetric system of2277Thermal Activity Monitor.The data have been analyzed according to the McMillan2Mayer theory to ob2 tain the enthalpic interaction coefficients.The interaction of different amino ac