WLAN认证加密技术

前言

随着移动数据业务需求的急剧扩大，运营商的主要业务增长点已经由传统的语音业务过渡到高速数据业务。尤其是智能终端的普及，加速了移动数据业务的需求，WLAN被国内运营商用来分流2G/3G流量，在国内大规模建设，WLAN正逐渐走到每个普通用户身边。在用户享受WLAN带来方便快捷的同时， WLAN的安全问题往往被忽视。WLAN容易受到各种各样的攻击，WLAN的安全问题是影响WLAN发展的制约因素之一，WLAN的安全问题也逐渐受到运营商的重视。本文主要介绍目前采用的几种常用加密认证技术。

共享密钥认证（WEP）

共享密钥认证：基于WEP的共享密钥认证的目的就是实现访问控制，移动终端和AP采用静态WEP加密，AP和它所联系的所有移动终端都使用相同的加密密钥。共享密钥认证作为最初的WLAN加密标准，由于其安全性较低，目前已经很少使用。

802.1x

IEEE 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台 不同的认证服务器进行通信，如远程接入用户服务（Radius）。

在采用认证端口访问控制技术（IEEE802.1x）的WLAN中，无线用户端安装802.1x客户端软件，AP内嵌802.1x认证代理，同时它还作为RADIUS服务器的客户端，负责用户与RADIUS服务器之间认证信息的转发。一个用户无线终端和一个AP的连接被视做一个逻辑端口，只有在端口认证通过的情况下，用户无线终端才能够与AP进行通信。

802.11i：IEEE定义的安全标准

IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高 WLAN安全的目的。CCMP机制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要 求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。802.11i协议结构如图1所示。

802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议（EAP）的，加密算法为高级加密标准（AES）。动态协商认证和加密算法使RSN可以不断演进，与最新的安全水平保持同步，添加算法应付新的威胁，并不断提供保护无线局域网传送的信息所需要的安全性。

802.11相关认证方式仅是无线终端设备的认证。在运营商的网络环境中，还需要针对用户进行认证、计费，此时需要通过802.1x+EAP方式或其他方式（PPPoE、DHCP+WEB）进行认证。

WPA：向IEEE 802.11i过渡的中间标准

在WLAN的发展过程中，市场对于提高WLAN安全的需求是十分紧迫的，IEEE 802.11i的进展并不能满足这一需要。在这种情况下，Wi-Fi联盟制定了WPA（Wi-Fi Protected Access）标准。这一标准采用了IEEE802.11i的草案，保证了与未来出现的协议的前向兼容。

STA通过了802.1x身份验证之后，AP会得到一个与STA相同的Session Key， AP与STA将该Session Key作为PMK（Pairwise Master Key，对于使用预共享密钥的方式来说，PSK就是PMK）。随后AP与STA通过EAPOL-KEY进行WPA的四次握手（4-Way Handshake）过程，如图2所示。

在这个过程中，AP和STA均确认了对方是否持有与自己一致的PMK，如不一致，四次握手过程就告失败。为了保证传输的完整性，在握手过程中使用了名为 MIC（Message Integrity Code）的检验码。在四次握手的过程中，AP与STA经过协商计算出一个512位的PTK（Pairwise Transient Key），并将该PTK分解成为五种不同用途的密钥。

WPA2是IEEE为进一步增强安全性，对WPA的加密算法进行了增强：采用了CCMP机制，通过强度更高的AES加密算法，来提升安全性。

WAPI：中国无线局域网安全标准

WAPI 是 Wireless LAN Authentication and Privacy Infrastructure (无限局域网鉴别和保密基础结构）的英文缩写，是WIFI的一种安全协议，同时也是中国无线局域网安全强制性标准。

WAPI 是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准。作为全球在此领域的两个标准之一，相比另一个由美国IEEE主导完成的公认存在严重安全缺陷的802．11i标准，WAPI具有明显的安全和技术优势，迄今未被发现有安全技术漏洞。

WAPI的工作原理如下图所示，整个系统有移动终端MT(Mobile Terminal)、AP和认证服务器AS组成；其中，认证服务器AS的主要功能是 负责证书的发放、验证与吊销等；移动终端MT与AP上都安装有AS发放的公钥证书，作为自己的数字身份凭证。当MT登录至无线接入点AP时，在使用或访问 网络之前必须通过AS进行双向身份验证。根据验证的结果，只有持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP。这样不仅可以防止非法移 动终端MT接入AP而访问网络并占用网络资源，而且还可以防止移动终端MT登录至非法AP而造成信息泄漏。

结束语

WLAN的安全问题越来越受运营商的重视，目前国内运营商的集采的WLAN设备，均要求支持以上加密认证技术，对WLAN的加密认证都有严格的要求。这些加密认证技术为用户享受安全、快捷、高速的WLAN网络提供了保证，保证了用户信息的安全。