无 线 局 域 网 的 最 大 优 点 (WLAN) 也 正 是 它 的 最 大 缺 点： 已 部 署 的 这 些 网 络 都 是 开 放 式 和 易 于 接 入 的。 为 满 足 当 今 的 要 求， 原 本 设 想 可 用 于 保 护 这 些 网 络 的 安 全 机 制 需 要 更 新。 对 于 各 种 无 线 数 据 接 入 方 法， 人 们 对 据 称 可 保 护 我 们 的 专 有 资 源 的 现 行 行 业 标 准 机 制 存 在 着 盲 目 依 赖。

2001 年 2 月， 无 线 以 太 网 兼 容 性 联 盟 (WECA) 发 布 了 一 份 关 于 无 线 局 域 网 安 全 性 的 声 明。 这 份 声 明 是 对 第 一 次 针 对 有 线 等 同 保 密 (WEP) － 用 于 Wi-Fi (IEEE 802.11b 标 准) 无 线 局 域 网 的 保 密 与 验 证 机 制 － 发 起 的 第 一 次 成 功 侵 入 所 作 出 的 反 应。

自 那 时 起， 又 进 行 了 数 次 攻 击 和 分 析， 严 重 阻 碍 了 面 向 无 线 局 域 网 的 可 互 操 作 的 安 全 解 决 方 案 的 进 展。 美 国 英 特 尔 公 司、 思 科 公 司、 加 州 大 学 伯 克 利 分 校 以 及 马 里 兰 大 学 的 论 文 都 指 出 了 WEP 标 准 中 的 无 数 缺 陷。

影 响 无 线 局 域 网 的 安 全 问 题

在 任 何 通 过 无 线 媒 介 传 输 数 据 的 环 境 中， 都 必 须 具 备 安 全 保 护 措 施， 并 对 其 实 施 有 效 管 理。 就 无 线 局 域 网 而 言， 由 于 不 能 信 赖 媒 介 的 基 本 物 理 特 性 来 提 供 最 低 层 次 的 保 护， 其 信 任 模 式 就 与 有 线 局 域 网 不 同。 换 句 话 说， 单 是 因 为 无 线 的 关 系， 无 线 局 域 网 就 容 易 召 来 窃 听！

无 线 局 域 网 的 安 全 系 统 要 做 到 有 效， 就 必 须 解 决 下 面 三 个 安 全 问 题：

• 提 供 接 入 控 制： 验 证 用 户， 授 权 他 们 接 入 特 定 的 资 源， 同 时 拒 绝 为 未 经 授 权 的 用 户 提 供 接 入
• 确 保 链 路 的 保 密 与 完 好： 防 止 未 经 授 权 的 用 户 读 取、 引 入 或 更 动 在 网 络 上 传 输 的 数 据
• 防 止 阻 断 服 务 攻 击： 确 保 没 有 一 个 用 户 或 一 小 批 用 户 可 占 用 某 个 接 入 点 的 所 有 可 用 带 宽， 阻 断 其 他 用 户 的 正 当 接 入。

初 期 802.11 安 全 实 现 方 式

验 证

802.11网 络 中 的 每 一 个 节 点 都 使 用 一 个 网 络 名 称 (被 称 为 SSID， 即 服 务 集 标 识)。 在 接 通 一 个 特 定 的 接 入 点 (AP) 之 前， 用 户 可 能 被 要 求 输 入 此 AP 的 SSID 和 密 码 通 行 字。 不 幸 的 是， SSID 定 期 被 AP 播 放， 可 轻 易 探 测 到； 通 行 字 未 经 加 密 即 发 送， 而 且 允 许 无 限 多 次 的 尝 试。 这 些 都 削 弱 了 SSID 作 为 验 证 令 牌 的 作 用。 Wi-Fi 卡 的 媒 体 接 入 控 制 (MAC) 地 址 亦 可 用 于 验 证 和 授 权。 MAC 是 一 个 48 位 的 独 特 序 列 号 码， 每 一 个 以 太 网
类 型 的 装 置 都 分 配 到 一 个。 尽 管 接 入 控 制 清 单 不 是 802.11 标 准 的 一 部 分， 很 多 卖 主 还 是 允 许 使 用 接 入 控 制。 经 过 授 权 的 MAC 地 址 清 单 可 储 存 在 每 一 个 AP 内， 只 允 许 AP 的 接 入 控 制 清 单 上 有 其 MAC 地 址 的 客 户 端 装 置 接 通 此 AP 。 但 此 种 方 式 的 问 题 是， 攻 击 者 可 轻 易 探 查 到 与 AP 连 接 的 客 户 端 装 置 的 MAC 地 址， 因 为 它 们 从 来 都 是 不 经 加 密 的。 多 数 Wi-Fi 客 户 端 装 置 允 许 经 由 软 件 更 动 MAC 地 址， 因 此， 一 旦 获 得 了 一 个 有 效
的 MAC 地 址， 攻 击 者 可 轻 易 假 冒 为 正 当 用 户。

有 线 等 同 保 密

除 了 上 述 措 施 外， 802.11标 准 还 定 义 了 一 套 结 合 接 入 控 制、 数 据 保 密 和 数 据 完 好 性 的 体 系， 称 为 有 线 等 同 保 密 (WEP)。 它 针 对 下 列 问 题：

• 接 入 控 制： Wi-Fi网 络 上 可 配 置 WEP ， 使 没 有 正 确 密 钥 的 用 户 不 能 得 到 接 入。 这 种 对 称 的 密 钥 从 40 位 到 128 位， 而 且 通 常 是 物 理 键 入 每 一 个 装 置， 保 存 起 来 以 备 后 用。 由 于 每 一 种 移 动 装 置 使 用 同 样 的 密 钥， 假 如 一 个 密 钥 暴 露 了 (如 笔 记 本 计 算 机 失 窃 了)， 那 其 它 所 有 装 置 都 需 要 改 动 密 钥。 WEP 目 前 还 不 提 供 这 种 密 钥 管 理 功 能
• 链 路 保 密 性： 802.11 标 准 采 用 WEP 作 为 加 密 算 法， 用 于 确 保 无 线 局 域 网 保 密 性。 具 体 算 法 是 基 于 一 种 称 为 RC4 的 标 准， 由 RSA 数 据 安 全 公 司 开 发。 IEEE 802.11 小 组 选 择 RC4 用 于 WEP 的 原 因 是 其 产 权 使 用 费 低 廉， 而 且 易 于 实 施， 使 作 为 小 组 成 员 的 各 家 卖 主 能 以 适 中 的 价 格 快 速 向 市 场 推 出 产 品。 不 过， RC4 只 是 一 种 低 层 次 的 流 密 码， 已 经 不 算 先 进 了， 而 且 必 须 以 合 适 的 方 式 实 施
• 链 路 与 数 据 完 好 性： 确 保 完 好 性 的 标 准 方 式， 是 在 传 输 前 在 每 一 个 数 据 块 上 附 加 某 种 形 式 的 讯 息 验 证 码。 在 WEP 中， 传 输 装 置 产 生 一 个 32 位 的 循 环 冗 余 码 (CRC-32) 校 验 码， 附 加 在 数 据 帧 上。 接 收 装 置 对 数 据 进 行 一 次 运 算， 假 如 答 案 与 校 验 码 相 符， 就 假 定 数 据 未 受 损。 这 是 一 种 相 当 基 本 的 做 法， 但 优 点 是 实 施 简 便。

WEP 的 致 命 缺 陷

WEP 未 能 构 成 一 个 优 良 安 全 体 系 的 原 因， 在 于 试 图 将 RC4 用 于 验 证 和 保 密 两 项 功 能。 RC4 固 然 是 一 种 没 什 么 不 好 的 加 密 算 法， 但 它 未 得 到 正 确 运 用。 RC4 明 确 警 告 永 远 不 要 两 次 使 用 同 样 的 密 钥 资 料 － 无 论 负 载 是 什 么 － 因 为 它 只 是 一 种 简 单 的 XOR 流 密 码。 在 实 地 演 示 中， 计 算 机 黑 客 可 在 数 小 时 内 破 解 WEP 加 密。

802.1x

IEEE 始 终 明 白 WEP 对 称 密 钥 方 式 的 安 全 影 响 以 及 实 施 问 题， 而 思 科 与 微 软 提 议 了 一 种 称 为 802.1x 的 解 决 方 案， 为 任 何 以 太 网 端 口 － 有 线 或 无 线 － 提 供 接 入 控 制。 目 前 正 等 候IEEE标 准 组 织 的 批 准。

802.1x 仍 然 使 用 WEP 算 法， 但 在 一 个 移 动 装 置 每 次 接 通 AP 时 都 产 生 和 散 布 一 个 新 的 对 称 密 钥， 也 就 是 每 一 次 用 户 会 话 有 一 个 新 的 密 钥。

这 就 大 幅 减 少 了 与 同 样 的 密 钥 一 起 传 输 的 数 据 量， 因 而 基 本 上 可 挫 败 伯 克 利 大 学 所 使 用 的 攻 击 方 法。

802.1x 采 用 Radius/LDAP 服 务 器 来 验 证 用 户 和 管 理 密 钥。 验 证 数 据 (用 户 名 和 通 行 字) 采 用 LEAP (轻 量 级 可 扩 展 验 证 协 议) 传 送。 新 的 WEP 密 钥 用 上 次 会 话 所 用 的 WEP 密 钥 对 其 加 密， 再 传 输 到 移 动 装 置， 或 用 默 认 的 WEP 密 钥 传 输 到 移 动 装 置。

问 题 难 以 解 决 吗？

由 于 无 线 局 域 网 的 环 境 与 有 线 局 域 网 完 全 不 同， 需 要 一 种 不 同 的 解 决 方 案。 为 无 线 局 域 网 保 障 安 全 的 早 期 方 式， 是 创 建 等 同 于 有 线 系 统 的 保 密 性： 那 是 一 个 必 要 因 素， 而 不 是 一 个 充 分 的 解 决 方 案。

链 路 层 安 全 的 设 计 宗 旨， 是 提 供 从 一 点 到 另 一 点 的 保 护 机 制。 其 基 础 假 设 是， 在 此 链 路 上 通 行 的 任 何 数 据 都 被 认 为 是 “生 来 平 等” 的， 即 所 传 输 的 数 据 之 间 没 有 内 在 差 异。 运 用 于 无 线 局 域 网 时， 链 路 层 (层 2) 安 全 只 提 供 关 于 网 络 接 入 的 粗 糙 决 策 (接 受 或 是 拒 绝)。

与 其 说 是 有 线 局 域 网 的 链 路 延 伸， 不 如 说 无 线 局 域 网 更 象 传 统 的 客 户 端／服 务 器 环 境。 无 线 网 络 要 求 能 够 精 确 识 别 数 据 的 来 源， 并 判 定 该 业 务 流 是 否 属 于 该 链 路。 从 根 本 上 说， 就 是 没 有 什 么 数 据 能 获 得 成 批 处 理。

为 无 线 局 域 网 提 供 验 证、 授 权、 服 务 控 制 和 安 全 管 理 的 传 统 基 础 设 施 解 决 方 案， 要 求 对 数 个 网 络 构 件 进 行 配 置 和 集 成。 这 些 构 件 往 往 都 有 不 同 的 用 户 界 面， 在 部 署 无 线 解 决 方 案 时 可 能 带 来 高 度 的 复 杂 性 和 配 置 错 误 的 风 险。

类 似 地， 最 终 用 户 对 安 全 性 可 能 关 心， 也 可 能 不 关 心； 在 很 多 情 况 下， 雇 主 的 关 心 程 度 比 他 们 高 得 多。 假 如 安 全 系 统 使 用 起 来 太 难 或 太 繁 琐， 用 户 会 设 法 绕 过 它。 因 此， 使 安 全 性 尽 可 能 透 明 是 一 项 关 键 设 计 目 标。

面 向 无 线 局 域 网 的 完 善 安 全 体 系

为 保 障 安 全， 无 线 局 域 网 需 要 提 供 改 进 的 接 入 控 制， 并 确 保 链 路 保 密 性 和 完 好 性。

接 入 控 制

对 最 终 用 户 的 验 证 技 术， 已 随 着 远 程 接 入 系 统 的 发 展 而 成 熟。 验 证 是 关 于 识 别 请 求 服 务 之 用 户 的 能 力。 采 用 最 新 技 术， 同 一 系 统 中 可 部 署 数 种 机 制。 验 证 需 要 在 用 户 层 面 进 行， 而 不 是 在 机 器 层 面。 理 想 情 况 下， 安 全 结 构 可 支 持 与 所 需 保 护 的 信 息 价 值 相 称 的 多 因 素 验 证。

验 证 的 威 力 来 自 于 多 种 信 息 因 素 的 综 合 使 用， 即： 你 知 道 的 (通 行 字)， 你 拥 有 的 (硬 件 令 牌 卡、 数 字 证 书)， 你 的 特 征 (生 物 测 量 数 据)。

授 权 是 确 定 一 个 已 通 过 验 证 的 用 户 是 否 具 有 访 问 所 请 求 之 资 源 的 特 权 的 过 程。

验 证 与 授 权 的 结 合 通 常 被 称 为 接 入 控 制。

管 理 联 网 系 统 的 一 个 挑 战 性 问 题 是 安 全 管 理。 现 今， 安 全 管 理 复 杂、 成 本 高， 而 且 易 于 出 错， 因 为 管 理 员 通 常 为 系 统 上 的 每 一 个 用 户 分 别 制 订 接 入 控 制 清 单。

基 于 角 色 的 接 入 控 制 (RBAC) 是 一 种 已 获 得 强 烈 认 同 的 技 术， 因 为 它 在 大 型 联 网 系 统 中 减 小 了 安 全 管 理 的 复 杂 性 和 成 本。

RBAC 确 定 须 由 特 定 职 位 人 员 执 行 的 任 务， 并 为 雇 员 分 配 合 适 的 角 色， 从 而 简 化 了 安 全 管 理。 RBAC 安 全 管 理 与 组 织 结 构 紧 密 相 符。 每 一 个 用 户 被 分 配 到 一 个 或 多 个 角 色， 而 每 一 个 角 色 被 分 配 到 该 角 色 用 户 被 许 可 的 一 个 或 多 个 特 权。

链 路 保 密 性 与 完 好 性

有 下 列 类 别 的 要 求：

• 隧 道 建 立： 需 要 采 用 IPSec 和 PPTP 之 类 的 通 信 协 议， 以 提 供 各 种 密 钥 管 理 和 加 密 算 法 谈 判 操 作。 这 些 通 信 协 议 内 在 的 压 缩 能 力， 也 有 助 于 在 无 线 环 境 中 提 高 性 能
• 探 测 假 冒 接 入 点： 防 止 闯 入 者 将 他 们 自 己 的 接 入 点 连 接 到 网 络 上， 以 捕 捉 用 户 的 通 行 字， 发 起 ‘混 入 者 攻 击’
• 探 测 无 赖 接 入 点： 防 止 用 户 利 用 不 良 配 置 或 设 计， 安 装 未 经 授 权 的 接 入 点， 以 作 为 提 供 企 业 网 络 无 保 护 接 入 的 ‘后 门’
• 针 对 无 线 链 路 进 行 优 化： 可 移 动 性 是 有 线 网 和 无 线 网 之 间 的 另 一 项 根 本 差 异。 为 使 安 全 解 决 方 案 透 明， 达 到 用 户 的 期 望， 必 须 在 企 业 内 任 何 地 方 提 供 经 验 证 的 无 缝 移 动 切 换
• 防 止 阻 断 服 务： 由 于 无 线 网 结 构 带 来 的 潜 在 带 宽 瓶 颈， 有 必 要 确 保 一 个 用 户 或 一 小 批 用 户 无 法 占 用 一 个 接 入 点 上 的 所 有 可 用 带 宽， 阻 止 其 他 正 当 用 户 的 接 入 及 获 得 可 接 受 的 网 络 性 能 水 平。