基于IEEE+802.11i协议标准的WLAN电信级应用安全系统设计.pdf

标 准 与 规 范 2015年 第10期 电信工程技术与标准化 基于IEEE 802.11i协议标准的WLAN 电信级 应用安全系统设计 严晗 （中国移动通信集团广东有限公司，广州 510600） 摘　要　本文从WLAN技术的背景以及可能存在的风险威胁出发，通过分析当前WLAN的若干种常用认证方法的优 劣，最后提出了一种较为安全并且具备可操作性的解决方案，即以IEEE 802.11i-2004国际标准为核心，在 IEEE 802.11i标准框架下，采用802.1X/EAP方式实现强壮网络联合安全的强身份认证，完成身份认证后， 使用基于AES算法（FIPS PUB 197-2001）的CCMP实现数据必威体育官网网址性与完整性保护。 关键词　无线局域网；IEEE 802.11i；EAP-TLS；CCMP 中图分类号 TN918 文献标识码 A 文章编号 1008-5599（2015）10-0028-06 WLAN 相比有线网络具有更大的灵活性和成本优 据通道，确保网络的安全性和数据的必威体育官网网址性。 势，然而由其带来的脆弱性也是急剧增加，并且网络的 无线延伸带来的威胁并不会仅仅局限于网络的无线部 1 威胁分析 分，各种验证证明，无线网络的脆弱性在很大程度上是 由于认证和加密手段过于薄弱而造成的，而正是由于这 WLAN 面临的各种威胁可以归纳为主动威胁与被 种脆弱性，导致无线网络很有可能成为整个网络体系中 动威胁两大类，具体威胁分类如图 1 所示。 最薄弱的部分，通过无线网络渗透，攻击者可以轻易绕 开传统的边界安全控制措施，直接进入内部网络，进 而可以轻易在内部网络实现数据嗅探和其它攻击行为， 获取各种敏感信息。通常情况下，WLAN 采用 WEP 和 WPA/WPA2 的加密方式，但无法确保安全性，而 IPSec VPN 又因为成本高，部署复杂等原因无法大规模 部署。本方案通过对目前流行的通用加密协议和方法进 图1 WLAN面临的威胁分类 行研究，建立简单、高效、经济、可靠的认证和加密方式， 无需进行任何复杂繁琐的配置就能够建立自己的加密数 面对上述各种威胁，解决方案必须能够具备足够的 收稿日期 ：2015-09-08 28 2015年10月 第 10 期（第28卷 总第217期）月刊 2015年 第10期 标 准 与 规 范 电信工程技术与标准化 安全能力以进行应对，确保无线局域网具备较好的安全 能减少维护工作的工作量。 能力，尤其是在无线认证与加密方面。 3 方案设计 2 设计原则 3.1 常见 WLAN 安全技术分析 （1） 安全性 ：解决方案应具备较好的安全性，能够 各种常见 WLAN 安全技术对比如表 1 所示。 实现强身份验证、强数据加密，以抵抗伪认证、密钥破解、 由上述分析可知，静态 WEP 安全性能很差，完全 嗅探等。 不适合于对安全要求较高的环境，并且口令管理也极难 （2） 简单易用性 ：解决方案应具备简单易用的特点， 实现真正的必威体育官网网址性。VPN 和 IPSec 虽然在很多环境下都 使得最终用户能够顺利迁移到新的认证加密体系下，迁 能够提供很好的安全性，但其毕竟不是为无线网络设计 移前后，在登陆认证等操作过程中尽量减少用户操作步