|
無線局域網是高速發展的無線通信技術在計算機網絡中的應用,為通信的移動化、個人化和多媒體應用提供了實現的手段。 隨著無線局域網技術的高速發展,無線局域網的應用越來越廣泛,對其安全性也提出了更高的要求。 為解決現有無線局域網標準中存在的安全問題, 在深入研究IEEE802.11 標準、IEEE 802.1x 協議以及IEEE802.11i 草案的基礎上,提出了安全無線局域網(secure WLAN ,SWLAN) 的概念,在現有的IEEE802.11 協議中加入了新的接入控制方法, 采用802.1x 認證和密鑰管理協議以及TKIP 和AES 加密套件,增強了WLAN 的媒體接入控制功能,并且提供了許多在基本的IEEE 802.11 體系中沒有的安全措施, 包括安全性能協商、為AP 和STA 提供增強的認證機制、合理的密鑰管理方案、動態分配密鑰、增強的數據加密和封裝機制、管理和控制幀的保護等,從而增強了當前802.11 的媒體接入控制功能以改進無線局域網的安全性 。 安全無線局域網概述 SWLAN 構建 IEEE 802.11 協議邏輯上將無線媒質( wireless medium , WM ) 與分布系統媒質(dist ribution system medium ,DSM) 區分開來 。 邏輯媒質的多樣性使得網絡結構具有充分的靈活性。IEEE 802. 11 協議沒有規定分布式系統(DS) 的媒介,在安全無線局域網中本文采用了技術發展相對較成熟的有線網絡作為DS 的媒介。 根據組網原理,SWLAN 主要由以下部分組成: STA ,AP ,AC和AS ,分別為無線終端、接入點、認證接入控制器和認證服務器 。 其最簡單的構成如圖1 所示。 本文在IEEE 802.11 的ESS 網絡結構中的DS 中增加了實現接入控制業務的設備AC , 以及實現802.1x 認證模式的認證服務器設備AS ;STA 是移動用戶終端設備,實現用戶側的安全接入控制功能;AP 是無線局域網接入服務的提供者,實現安全接入控制的授權功能和密鑰管理功能;AS 是認證服務器設備,提供了服務器側安全接入控制的認證功能;AC 處于AP 與AS 之間,用于登記認證中AS 對STA 的認證結果以及STA 與AP 之間的安全關聯信息 。 SWLAN 的關鍵技術 SWLAN 的關鍵技術主要包括安全認證技術、加密技術及密鑰管理技術和WLAN 技術。 安全認證技術:通過IEEE 802.1x、EAP協議、RADIUS 協議的驗證,確認信息的發送者是否合法而不是冒充者,驗證消息的完整性,防止非法用戶的入侵以及惡意攻擊者的主動攻擊,對于開放環境中的無線局域網系統的安全性具有重要的意義。 加密技術及密鑰管理技術:應用對稱密碼、公鑰密碼和密鑰管理來隱蔽和保護需要保密的信息。 SWLAN 中支持基于RC4 的TKIP 和基于AES的AES-OCB 以及AES-CCM。 TKIP 是現有WEP(wired equivalent privacy) 的改進版,克服了WEP中已知的安全漏洞,仍采用流加密模式。 AES-OCB和AES2CCM 是采用不同加密模式的基于AES 的加密套件。 WLAN 技術:計算機網絡與無線通信技術相結合的產物,主要包括MAC 層和物理層技術。 通過對無線局域網媒體訪問接入控制、流量控制、數據傳輸速率控制和服務質量控制等, 將SWLAN 在802.11 協議功能的基礎上進行擴展和改進,從而使整個網絡通信的性能達到更好的狀態。 基于嵌入式系統的SWLAN 整體方案 無線局域網中的硬件設備主要有無線終端STA 和接入點AP ,AC 和AS ,可以在一般PC 機上采用軟件實現,不涉及硬件部分。 STA ,AP ,AC 和AS 各部分的實現方案如圖2 所示。 圖2 中,陰影部分為需要自主設計的模塊,其中較深部分為安全技術實現模塊。 STA 和AP 中的802.11 PHY 和802.3 PHY/ MAC 采用現成的網絡控制和收發芯片來實現,802.11 MAC 和加/ 解密模塊在基于嵌入式微處理器的開發板上實現。AC 在應用層采用軟件實現。 AS 放在一臺接入局域網的主機上,采用開放源代碼的Free-Radius ,通過對其進行配置,可以充當安全無線局域網的服務器。 AP 的設計與實現 AP 的主要功能 AP 是安全無線局域網中的一個重要設備,涉及到的軟硬件模塊最多,也是最難實現的一個設備。 AP 的實現是整個安全無線局域網實現的關鍵。 AP 提供了STA 與DS 以至于外部網絡的通信的橋梁和接入點,既要保證通信的流暢和通信的服務質量,又要保證整個網絡通信的安全性。 因此既要實現基本的STA 接入DS 的功能,又要為安全業務的實現提供必要的支持。 SWLAN 中的AP 包括: IEEE 802.11 無線網絡接口:實現802.11的物理層和MAC 層協議,用于和無線終端進行通信。 IEEE 802.3 有線網絡端口:實現802.3的物理層和MAC 層協議,完成和有線網絡進行有效通信以及相應的安全協議數據的傳輸。 協議轉換模塊:實現IEEE 局域網中的LLC 功能,用于802.3 和802.11 之間的協議數據單元轉換功能。 同時也必須完成以太網數據和無線網絡數據幀格式的轉換。 認證和密鑰管理模塊:實現認證和密鑰配置功能,用于和無線終端進行開放系統認證,接收AS 的認證結果和進行密鑰配置,從而實現接入控制的功能。 數據加/ 解密模塊:實現通信中傳輸數據的加/ 解密功能,從而對通信中傳輸的數據進行有效的保護。 AP 總體設計 安全無線局域網的安全性必須在無線局域網的硬件平臺上實現,因此,硬件平臺的設計必然是整個無線局域網安全性研究的首要工作。 由于目前市場上無線局域網MAC 層控制芯片受知識產權保護,無法對安全功能進行重新改寫,所以,必須自主開發無線局域網IEEE 802.11 MAC 層控制功能,同時加入新的認證機制和數據加密的安全功能,從而實現整個無線局域網系統的安全性。AP 的結構如圖3 所示。 PHY層的實現采用了Intersil 公司的物理層套片,而MAC 層協議的實現采用基于嵌入式Linux 系統以及嵌入式微處理器MPC860 的硬件開發板。 加/ 解密由FPGA 實現,內部邏輯用硬件描述語言來完成。 通過用戶自主開發的MAC 層來控制無線端口、有線端口的數據收發,控制加/ 解密模塊對數據進行加/ 解密操作,并且控制認證模塊與AC 共同完成安全認證接入功能。 基于硬件平臺的MAC 層協議開發 AP 要有和AC 通過上層協議進行通信的能力,具有TCP/ IP 的高層協議棧,并且具有較好的可移植性,因此開發板的操作系統平臺選擇了嵌入式Linux 操作系統。 另外嵌入式微處理器采用了目前廣泛運用的通信處理器摩托羅拉公司的MPC860 ,基于這樣的嵌入式系統的開發作者采用了目前較為流行的交叉編譯方式。 交叉編譯調試環境建立在宿主機(即PC 機) 上,對應的硬件開發板稱作目標板,也被稱為宿主機目標板開發模式。 開發的軟件使用宿主機上的交叉編譯、匯編及連接工具形成可執行的二進制代碼(這種可執行代碼不能在宿主機上執行,只能在目標板上執行) 。 然后把可執行文件下載到硬件開發板上,應用程序作為可執行程序加載后運行,這樣IEEE 802.11 MAC 控制就可以在MPC860 開發板上實現。 MAC 層數據包收發的實現 整個系統由發送和接收2 條主線構成。 上層(LLC) 的數據通過數據通路進入MAC 層功能實體,到達包隊列模塊,并在這個緩存中暫時存儲。 當實載波和虛載波的發送條件都滿足時,發送協調模塊就會從中取走一個包來發送,當都不滿足發送條件時,需要通過退避模塊來完成必要的退避,從發送協調模塊出來的數據在數據緩沖區中被送到物理層的無線收發器發送出去。 數據的接收過程正好與之相反,由無線的物理層的收發控制芯片接收數據,由信道檢測模塊來檢測信道狀態,它直接從接收機那里得到實載波的信息,并且從接收到的數據包中得到虛載波信息,發送與否取決于它的判斷,數據單元過濾模塊對收到的數據進行過濾,對不同的序列號和碎片號的數據幀過濾,接收協調模塊和發送協調模塊共同組成了802.11 MAC 層協議的核心部分。 數據包加/ 解密的實現 IEEE 802.11 協議的基于RC4 加密算法的WEP 加密體制已經被證明存在安全漏洞。 因此SWLAN 針對加密算法進行了改進,提供了WEP改進的TKIP 以及基于AES 算法的加密套件的可選模式。 由于算法的復雜性,軟件實現在速度上不能滿足需求,為了解決這一瓶頸問題,本文把加/ 解密模塊集成在MAC 層內部,自己開發專用芯片來實現。 FPGA 是一類適合于開發AES 芯片的硬件設備,因為AES 中含有大量可并行處理的運算步驟,而并行處理正是FPGA 相對微處理器最大的優勢。 在硬件系統中增加了加/ 解密算法的硬件設備,還要在操作系統內核中加入為設備編寫的設備驅動程序,提供操作系統內核和硬件設備之間的接口。 設備驅動程序為應用程序屏蔽了硬件的細節,這樣在應用程序看來,硬件設備只是一個設備文件,應用程序可以像操作普通文件一樣對硬件設備進行操作。 因此數據收發模塊可以通過調用硬件驅動程序的方式,在數據發送之前將媒體控制層的數據幀進行加密;相應地在收到來自無線信道的數據后,在解析數據之前對數據包進行解密,其中密鑰的分配則按照802.1x 協議中規定的密鑰管理機制。 SWLAN 中改進的認證過程的實現 由STA 廣播連接請求, 所在區域的AP 向STA 發送連接應答消息,并在應答消息中聲明所支持的802.1x 認證和所有數據保護方法; STA 向建立連接的AP 發送IEEE 802。11 的開放系統認證請求消息;AP 向建立連接的STA 發送IEEE802.11 的開放系統認證應答消息; 通過IEEE802.11 開放系統認證后, STA 向AP 發送建立安全關聯的請求,并在安全關聯請求消息中聲明支持802.1x 認證和選定的數據保護方法。 AP 收到STA 的安全關聯請求后,向AC 發送802.1x 認證請求消息,請求AC 采用802.1x 認證協議,利用AS 對STA 進行認證,如果認證成功,將在AS 和STA 之間建立相互的信任關系,并建立對等主密鑰PMK,再根據由有線協議保證的AS ,AC 和AP 之間的相互信任關系,實現了AP 與STA 之間的相互認證;AS 將STA 的PMK發送給AC ,AC 登記STA 的關聯信息和PMK 信息后,將PMK發送給AP ;AP 收到PMK后采用802.1x 密鑰管理協議的4 步握手協議,在STA 與AP 之間協商對等臨時密鑰PTK;AP 再通過組密鑰分配協議分配組臨時密鑰GTK;如果以上802.1x 認證和密鑰管理協議成功,AP 向STA 發送安全關聯成功應答消息,這樣AP 與STA 就可以建立安全的關聯,并且通過GTK 進行通信。 否則AP 向STA 發送安全關聯失敗應答消息。 這里引入的AC 與AP 共同構成了接入控制系統,并在AC 上軟件實現802.1x 認證協議中認證者的角色,不僅降低了AP 的硬件復雜度,而且為AP 與AC 建立安全隧道提供了基于IEEE 802.1x協議的解決方案。 此外,充分利用IEEE 802.11 協議中原有的關聯服務,將802.1x 認證協議、4 步握手協議和組密鑰分配協議歸入建立安全關聯的過程中,也是對原有協議的改進。 SWLAN 的安全認證及接入過程中, 采用802.1x 認證協議和802.1x 密鑰管理的4 步握手協議,增強了認證和密鑰管理的安全強度,實現了動態的密鑰分配,并且允許不修改現有標準MAC層的前提下引入更強的認證方案,這樣不僅避免了對已有MAC 層硬件技術做太大的改動,而且增強了認證和密鑰管理方案的靈活性和可擴展性,便于選擇更安全可靠的認證協議。 利用多線程和消息隊列的軟件設計方法 本系統的MAC 層協議的開發是基于嵌入式Linux 操作系統進行軟件開發的。 Linux 系統本身開放源代碼,正在被廣泛運用于嵌入式系統中。 另外,Linux 提供了豐富的線程庫,并且規定了嚴格的線程同步通信機制,而線程的優點就是能用盡量小的系統開銷實現多任務,因此在嵌入式Linux 系統開發也是從線程的角度來考慮任務處理。 在軟件開發的過程中,整個軟件體系按各個功能模塊劃分,它們是并行運行的任務,需要并發地執行,這就需要操作系統上執行多任務操作。 而且各個功能模塊并不是獨立運行的,它們之間需要進行實時的消息通信,即信號交互,此外消息還要攜帶信息(例如需要被處理的數據包、STA 目前的狀態、AP 是否處于競爭期等) ,另一個正在運行的模塊一旦讀到了此消息,就要根據信號的不同類型而做相應的處理,或者進行狀態的切換。 模塊與模塊之間(線程間) 信號交互需要運用Linux 系統進程間通信的方法,這也是軟件設計的重點與難點所在。Linux 系統中的IPC (interprocess communication) 函數提供了系統中多個進程之間相互通信的方法,包括管道、命名管道、消息隊列、信號量、共享存儲區等。 基于對軟件需求的分析以及Linux 系統IPC 機制的分析,軟件設計采用了多線程編程,用線程與各功能模塊相對應,各線程并發地執行,它們之間利用消息隊列來進行消息通信。 多線程之間還牽涉到一個同步的問題,本文使用了互斥鎖和信號量。 互斥鎖mutex 是一種簡單的加鎖方法來控制共享資源的存取。 但它只有2 個狀態:鎖定和非鎖定。 而信號量通過允許線程阻塞和等待另一個線程的信號方法,彌補了mutex 的不足,當接收到一個信號時,阻塞線程將會被喚醒,并試圖獲得相關的mutex 鎖。 通過信號量的使用實現了線程同步機制。 結語 本文在IEEE 802.11 標準以及IEEE 802.1x協議的基礎上提出了安全無線局域網系統,改進了現有IEEE 802.11 標準的接入控制方法和加密方法。 同時本文還闡述了其關鍵技術和實現方法。SWLAN 通過增強了IEEE 802.11 的媒體接入控制功能,提高了無線局域網的安全性。 同時,考慮到新的安全接入控制方案對原有無線局域網的影響,本系統結合了IEEE 802.11 的已有功能,使得對現有設備的改進更為方便,降低了新的接入控制方法對原有無線局域網性能的影響。 |
