WLAN中的安全機制簡述

WLAN業(yè)務的發(fā)展方興未艾，作為一個CMRI人，最直觀的感受莫過于使用CMRI提供的yf無線鏈接自由實現(xiàn)工位和會議室之間的無縫切換了。WLAN組網(wǎng)技術究竟使用什么方法保證我們的通信安全的？我們來對WLAN中的安全通信機制進行一個簡述。

在介紹WLAN中的安全通信機制之前，先大略介紹一下Wi－Fi，這是了解WLAN諸安全機制的基礎。

Wi-Fi

Wi-Fi是一個非營利組織，該組織的作用是定義和授權(quán)WLAN接入技術。通常將獲得該組織授權(quán)的WLAN技術標準通稱為Wi-Fi。Wi-Fi具有搭建簡單、易于實現(xiàn)的優(yōu)點。通過一個筆記本或PDA內(nèi)置的無線網(wǎng)卡和一個AP即可實現(xiàn)。從原理上說，無線網(wǎng)卡是支持Wi-Fi的客戶端，是一個無線接收器。AP是無線貓，是一個內(nèi)置無線發(fā)射器的路由器。AP將從LAN接收到的有線信號轉(zhuǎn)成無線信號，發(fā)射出去，由無線網(wǎng)卡接收。一般AP可以帶3~4個網(wǎng)卡，發(fā)射范圍在50米左右。

Wi-Fi使用2.4GHZ附近的空閑頻段，技術標準包括802.11a、802.11b、802.11n和802.11g。其中，最常用的802.11b的速度可達11M，其余的速度均為54M。接入有效范圍在100~300m，甚至可達公里級。Wi-Fi技術由于Intel的大力推廣，得到了普及。Intel推出的WiMAX全面兼容Wi-Fi，并獲得了更高的速度。

WLAN使用的安全通信協(xié)議，大致有三種，分別是WEP、WPA和WAPI。下面分別對其進行介紹。

WEP

WEP(Wired Equivalent Privacy)是802.11b采用的安全標準，用于提供一種加密機制，保護數(shù)據(jù)鏈路層的安全，使WLAN的數(shù)據(jù)傳輸安全達到與有線LAN相同的級別。WEP采用RC4算法實現(xiàn)對稱加密。通過預置在AP和無線網(wǎng)卡間共享密鑰。在通信時，WEP 標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量（IV），將其與預置密鑰相組合，生成用于數(shù)據(jù)包加密的加密密鑰。接收程序接收此初始化向量，并將其與本地預置密鑰相結(jié)合，恢復出加密密鑰。

WEP允許40bit長的密鑰，這對于大部分應用而言都太短。同時，WEP不支持自動更換密鑰，所有密鑰必須手動重設，這導致了相同密鑰的長期重復使用。第三，盡管使用了初始化向量，但初始化向量被明文傳遞，并且允許在5個小時內(nèi)重復使用，對加強密鑰強度并無作用。此外，WEP中采用的RC4算法被證明是存在漏洞的。綜上，密鑰設置的局限性和算法本身的不足使得WEP存在較明顯的安全缺陷，WEP提供的安全保護效果，只能被定義為“聊勝于無”。

WPA

WPA(Wi-Fi Protected Access)是保護Wi-Fi登錄安全的裝置。它分為WPA和WPA2兩個版本，是WEP的升級版本，針對WEP的幾個缺點進行了彌補。是802.11i的組成部分，在802.11i沒有完備之前，是802.11i的臨時替代版本。

不同于WEP，WPA同時提供加密和認證。它保證了數(shù)據(jù)鏈路層的安全，同時保證了只有授權(quán)用戶才可以訪問WLAN網(wǎng)絡。WPA采用TKIP協(xié)議(Temporal Key Integrity Protocol)作為加密協(xié)議，該協(xié)議提供密鑰重置機制，并且增強了密鑰的有效長度，通過這些方法彌補了WEP協(xié)議的不足。認證可采取兩種方法，一種采用802.11x協(xié)議方式，一種采用預置密鑰PSK方式。

WAPI

WAPI(WLAN Authentication and Privacy Infrastructure) 是我國自主研發(fā)并大力推行的WLAN安全標準，它通過了IEEE （注意，不是Wi－Fi）認證和授權(quán)，是一種認證和私密性保護協(xié)議，其作用類似于802.11b中的WEP，但是能提供更加完善的安全保護。WAPI采用非對稱（橢圓曲線密碼）和對稱密碼體制（分組密碼）相結(jié)合的方法實現(xiàn)安全保護，實現(xiàn)了設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。

WAPI的認證流程如下圖所示。WAPI包括三個實體，分別是終端設備(MT)、接入點(AP)和認證服務器(AS)三部分組成。其中，MT和AP各具有數(shù)字證書。在MT對AP的認證中，MT向AP發(fā)送一個認證請求，由AP對這個認證請求進行應答，即產(chǎn)生認證請求的簽名。但MT無需自己驗證認證應答，而是由AS代為驗證，并將驗證結(jié)果轉(zhuǎn)告MT。由于MT信任AS，AS可以驗證AP，因此MT信任AS。同樣地，AP也通過AS實現(xiàn)對MT證書的驗證，并利用MT的簽名認證MT。在后續(xù)的通信中，MT和AP可以利用對方的公鑰產(chǎn)生會話密鑰，保證通信過程的安全。

WAPI除實現(xiàn)移動終端和AP之間的相互認證之外，還可以實現(xiàn)移動網(wǎng)絡對移動終端及AP的認證。同時，AP和移動終端證書的驗證交給AS完成，一方面減少了MT和AP的電量消耗，另一方面為MT和AP使用不同頒發(fā)者頒發(fā)的公鑰證書提供了可能。