文章编号:1003-6318(200402-0009-04无线局域网安全认证协议研究陶晓明1Ξ,孙树峰2,薛梅2(1.宁沪高速公路股份有限公司,江苏南京210004;2.华东师范大学计算机系,上海200062摘要:无线局域网的安全已经成为无线网络发展和应用的焦点问题之一.各大企业或组织纷纷致力于无线局域网安全的研究,IEEE成立专门的工作组TGi来解决WLAN的安全问题,先后推出IEEE802.1x和802.11i等系列协议.分析了802.11无线局域网的发展过程和基本安全手段,重点探讨无线局域网的安全认证协议802.1x和中国WAPI标准.关键词:无线局域网;访问控制;安全协议;IEEE802.1x;中国WAPI标准中图分类号:TP309文献标识码:A1无线局域网的发展1971年HawaiiUniversity创造了第一个基于包技术的无线电通讯网络ALOHNET,这是最早的无线局域网络WLAN(wirelesslocalareanetwork,包括7台计算机,采用双向星型拓扑横跨4座夏威夷的岛屿.无线局域网提供了在有限区域内的无线连接,以基站接入点AP(AccessPoint为中心,覆盖半径在10m到100m之间.为确保各厂商生产的WLAN设备具有兼容性与稳定性,1997年提出了IEEE802.11标准,1999年提出了IEEE802.11a和IEEE802.11b.初期的规格制定了在RF射频2.4GHz上的运行,提供了1Mbps、2Mbps的传输速率.IEEE802.11a和IEEE802.11b则分别工作在5.8GHz(5.725~5.850GHz和2.4GHz(2.4~2.4835GHz频段,并定义了802.11a中5Mbps、11Mbps到54Mbps速率的新物理层.2003年IEEE又通过了2.4GHz频段的802.11g标准,可兼容802.11b,并采用多载波调制OFDM支持54Mb/s的物理层速率.802.11标准主要集中在OSI模型的最低两层,其中数据链路层分为两个子层:媒质接入控制(MAC子层和逻辑链路控制(LLC子层.LLC子层完成与媒质接入无关的部分,无线局域网对逻辑链路控制子层是透明的,任何高层应用、协议都可以在其上运行.MAC层定义的是存取物理层(PHY的方法、机动性管理与无线电资源控制等.在数据传输上与有线以太网的定义差不多,不同的是数据碰撞处理的方式.在802.11标准中定义了避免碰撞的机制.2无线局域网基本安全措施无线局域网与有线网络相比,具有以下特点:(1信道开放,无法阻止攻击者窃听;(2传输电波在空气中的传播会因多种原因发生信号衰减,导致信息的不稳定;(3需要常常移动设备,容易丢失;(4用户不必与网络进行实际连接,使得攻击者伪装合法用户更容易.由于上述特点,WLAN通信必须具有较高的通信保密能力.无线局域网本身提供了一些基本的安全机制,WLAN从开始的802.11、802.1x到802.11i和WAPI都有一定的安全标准和措施,目前的安全手段主要通过在不同层次采取相应措施来保证通信的安全性:802.11接入点可以用一个服务集标识(ServiceSetIden2tifierSSID来配置.与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据.但这只能算是一个非常脆弱的安全.因为(1所有的网卡和接入点都知道SSID;(2SSID通过明文在大气中传送,甚至被接入点广播;(3无论关联是否允许,知道SSID是由本地网卡或驱动程序控制的;(4整个系统中没有提供任何加密措施.仅此它已不足以阻挡任何人,更何况专业黑客的攻击.802.11的安全性主要包括以有线同等保密(WiredE2quivalentPrivacyWEP算法为基础的身份验证服务和加密技术,用来防止未授权用户的访问.利用自动无线网络配置,可以指定进入网络时用于身份验证的网络密钥.也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密.启用第26卷第2期Vol.26No.2菏泽师范专科学校学报JournalofHezeTeachersCollege2004年5月May2004Ξ收稿日期:2003-12-24基金项目:“国家863”资助课题(2001AA143060.作者简介:陶晓明(1974-,男,江苏宁沪高速公路股份有限公司助理工程师,研究方向:无线系统的信息安全.孙树峰(1969-,男,讲师,华东师范大学计算机系博士,研究方向:信息系统分析与集成.数据加密时,生成秘密的共享加密密钥,可避免泄漏给偷听者.802.11支持两个子类型的网络身份验证服务:开放式和共享密钥.在开放式身份验证下,任何无线站都可请求身份验证.在共享密钥身份验证下,每个无线站都被假定为具有安全频道的秘密共享密钥,该安全频道独立于无线网络通讯频道.要使用共享密钥身份验证,必须具有一个网络密钥.启用WEP时可指定用于加密的网络密钥,也...