1无线网络中的安全机制
在传统的无线网络接入控制中,无线网络被划分为可信和不可信两个部分,无线接入控制系统由申请方(客户端)、认证方(无线接入控制点)和授权方组成。在无线网络发展过程中,认证方和授权方是一个实体,后来随着网络的复杂才独立出授权方。认证方式包括开放系统认证和共享密钥认证两类,前者也叫空认证,是默认的认证机制,采用这种认证方式的客户端都可以认证成功;后者是可选认证,需要WEP协议的支持。客户端首先向认证方(AP)发送认证请求,AP给客户端返回一个质询文本,客户端利用WEP协议中的加密算法加密此文本,并再次返回给AP;AP将被加密的质询文本解密后,和发送给客户端的质询文本明文比对,如果两者一致就认为客户端认证成功。WEP协议在完整性保护、无线接入控制等方面尚存在一定缺陷,802.11i标准中用AES算法代替了RC4算法,为在用户接入网络时在网络入口处进行接入控制,使用了802.1X标准。802.1X标准的正式名称是“基于端口的网络接入控制”,其中端口并不仅仅限于实际的物理端口,逻辑端口等都可以被看作是无线网络中的通信信道。802.1X标准的实体和传统的无线网络类似,也包含申请者、认证者以及认证服务器三部分[2]。
申请者一般是支持WLAN的客户端,如手机以及PC等,客户端上要安装IEEE802.1X软件。认证方的作用是控制接入,每个用户的认证方都有受控端和非受控端两个逻辑端口,前者只有在认证通过后才打开,后者一直打开,目的是传输认证报文。认证服务器保存了所有需要认证用户的相关信息,以决定用户是否可以接入无线网络。这三方都只是逻辑实体,实际应用中可以对应多个物理设备,也可以对应一个物理设备。无线网络中安全机制的安全性能主要取决于三点:加解密算法的长度、密钥长度以及密钥的分配管理策略。密钥管理的目的是安全的维护密钥的生成、销毁等过程。密钥的分配过程如下[3]:认证方与认证服务器建立一个安全通道,然后借助认证及密钥交换的方式产生会话主密钥(MSK);接下来申请方及认证方会用MSK计算得到成对的主密钥(PMK),PMK被通过安全通道传送给认证方;然后申请方和认证方借助EAPoL-Key的四步握手机制确定密钥的有效性,并得到用于完整性校验的临时密钥PTK;最后,申请方和认证方协商得到组密钥,用于保护广播数据。
2无线接入点安全协议分析
我国的无线安全标准是基于WAPI协议的,WAPI协议和认证服务器共同完成用户认证过程。在鉴别及密钥协商方面,WAPI协议的过程主要是[4]:用户的无线设备和接入控制设备建立无线链路,此过程完成后会触发对无线设备的认证过程;认证服务器认证接入点的身份,并将认证结果发送给客户端,认证成功的话就直接进入到密钥协商的过程,并允许用户接入无线网络,否则不允许用户接入。WAPI协议借助数字证书验证双方身份,每次客户端首次或重新连接到无线网络时、或者密钥更新时,都会激活证书的鉴别过程。如果客户端和无线接入点的证书鉴别成功,就会进入单播密钥协商阶段,此时接入点向无线终端发送密钥协商请求报文,对方生成对应的响应报文并发回接入点,无线终端收到接入点的确认报文后,开始进行数据传输。单播密钥协商阶段完成后,会进入组播密钥协商过程。单播密钥协商过程中生成的通告密钥(NMK)被用于对报文加密,组播密钥的信息是利用交互组播密钥协商报文得到的。客户端和接入点都得到NMK后,就能够用SHA算法计算得到长度为256位的组播密钥。在经过身份认证、单播密钥协商以及组播密钥更新三阶段后,就可以实现无线接入点的安全控制。正是因为其在无线接入点上的安全控制方案,WAPI才成为中国的自主无线安全护理医学论文标准。
作者:王陈喜 单位:云南电网公司怒江供电局
相关专题:企业品牌策略研究论文 防灾科技学院学报