在今年无线领域所有的大肆宣传过后，正在发生一些有趣的事情。我们开始听到关于无线网络“路过式入侵（drive-by hacking）”事件的消息。从连接旧金山和硅谷的 101 高速公路周边地带到纽约、波士顿和伦敦的金融区和技术区，许多独立研究人员都发表了类似的报告。（请参阅 参考资料以获得这些事件以及其它事件的链接。）记者、研究人员和有道德的黑客坐在著名公司的停车场里，或者甚至是沿着城市的街道驾驶时进行通信，证实了企业确实部署了无线网络 ― 并且雇员正在使用无线网络。遗憾的是，部署这些技术虽有优点，但同时带来了暴露这些公司专用网的代价。

尽管上面引用的许多调查并没有危及任何易受攻击的公司的数字资产，但通过收集此类信息，证实了象安全性咨询公司 @Stake 的研究主管 Chris Wysopal 这样的安全性从业者所说的：“许多组织在研究他们所部署或构建的新技术对安全性的影响之前，就采取了行动”。

无线 LAN 不安全性

现在，已部署的最流行的无线局域网（WLAN）是 802.11b 网络。到处都可以获得接入点，并且适合于您的膝上型电脑的 802.11b WLAN NIC 卡定价也很合理。但是，尽管这种网络并不昂贵并且易于安装，却有两个内在的关键安全性缺陷 ― 薄弱的数据保护和认证机制，这些缺陷使它们成为了“路过式入侵”的首选目标。本文将概述哪些方面出了问题以及针对 802.11 标准进行什么改进以提高网络级别上的安全性。

WEP：为什么对包加密？

802.11 无线 LAN 中保护数据包的加密方案的正式名称是有线等效协议（Wired Equivalent Protocol）或简称为 WEP。但由于某些基本的安全性缺陷和大多数企业没有启用 WEP 的现实，该协议被比较不光彩地称为“为什么对包加密（Why Encrypt Packets）”协议。来自在伦敦、纽约和硅谷进行的独立调查的初步报告建议已部署的大多数无线 LAN 根本不要使用 WEP。

来自 Intel、加州大学伯克利分校和马里兰大学的研究人员首先揭示了 WEP 中的缺陷，今年他们都各自发表了关于在 WEP 中发现的各种缺陷的文章。但最具杀伤力的报告来自 Fluhrer、Mantin 和 Shamir，该报告描述了 AT&T 实验室和莱斯大学（Rice University）的 Stubblefield、Ioanndis 和 Rubin 实现的一种被动式攻击，这种攻击通过根据 Shamir 等人的文章中提议的攻击从而捕获隐藏的 WEP 密钥来实现。实现这种攻击只要几个小时。（请参阅 参考资料以获得这些文章的链接。）

从 WEP 中暴露的缺陷追溯其根源，可以找到标准中的两个问题：(1) 初始化向量（IV）的限制（请参阅侧栏“IV：小心使用”）与 (2) 使用静态 WEP 密钥因而冲突的几率很高这两个问题结合在一起。当在多个数据帧上同时使用带有相同 WEP 密钥的相同的 IV 时，IV 冲突就产生了所谓的“弱”WEP 密钥。当可以分析众多此类弱密钥时，就可以攻击 WEP 以暴露共享秘密。

因为某些早期的报告指出用于 WEP 加密的序列密码（RC4）是一个缺陷，所以这个问题值得重申。但这不是问题的本质，正如 RSA 实验室的高级研究工程师 Hikan Andersson 博士所解释的：“WEP 中暴露的缺陷可以追溯到组合初始化向量和 WEP 密钥以获得每个包的 RC4 密钥的方法。一些 IV 产生了‘弱’RC4 密钥，因而泄露 WEP 密钥上的信息。”

这个发现带来了决堤般的影响。在 Shamir 的报告发表后仅一个月，因特网上就出现了象 AirSnort 和 WEPCrack 这样作为脚本的免费工具，任何人都可以用它们来攻击 WEP。AirSnort 的作者们声称，他们的代码只要从 2,000 个带弱密钥的包中收集信息之后，就可以捕获 WEP 密钥。据估计，使用 128 位 WEP 加密生成的 1,600 万密钥中，就有 3,000 个弱密钥。（请记住 802.11b 实际上提倡使用 40 位的 WEP 加密，这就更脆弱了。现在，许多供应商比规范领先了一步，并在自己的产品中提供 128 位 WEP 加密，但即使是这种更严密的安全性，在新的工具面前也是很脆弱的。）

象 AirSnort 这样的网络嗅探器分析弱密钥以发现无线客户机和接入点之间的共享秘密。一旦发现了共享秘密，恶意的攻击者就获得了对无线 LAN 网络的访问权，并能够反过来解密在已泄密的网络上传递的数据包。

RC4 算法的发明者 Ron Rivest 在回应 WEP 中已发现的缺陷的公开声明中建议：“用户应该考虑通过诸如 MD5 之类的散列函数传递基本密钥以及任何计数器或初始化向量，来对它们进行预处理，以加强密钥调度算法。或者，可以通过在开始加密之前丢弃伪随机生成器的前 256 个输出字节来防止密钥调度算法中的缺陷。以上技术中的任意一种都足以挫败对 WEP 和 WEP2 的[Fluhrer、Mantin 和 Shamir]攻击。”

本文的主题是需要安全性专家参与标准开发和产品设计的最早期阶段。除非您是密码术和数论的博士，否则还是向专家咨询一下 ― 不要成为人们举例说明明年的密码术输家的轶闻人物。

回页首

强身份认证的重要性

但是网络安全性只能和作为其基础的认证系统一样强大。适当的认证技术可以防止许多流行的攻击，如“中间人”攻击和“拒绝服务”攻击。在当前的 802.11b 标准中，启用 WEP 允许通过基于密码的系统进行客户机认证，但系统对于前面所描述的攻击仍然是脆弱的。更糟的是，没有标识用于接入点认证的机制。

由 RSA Security、Cisco 和 Microsoft 在新的 802.1x 标准中引入的受保护的可扩展认证协议（Extensible Authentication Protocol）（EAP；请参阅 参考资料）改进了 802.11 标准（如 802.11b 或 802.11a）中的认证机制。该标准解决三个关键问题：

1. 它防止了将“无赖”接入点引入网络。
2. 它概述了通过多种广泛使用的认证方法，用户可以强有力地向接入点认证自己的方式。
3. 它允许当用户在组成网络的无线 LAN 的各个接入点之间漫游时，强有力地认证自己。

受保护的 EAP：用于漫游用户的强身份认证解决方案

受保护的 EAP 提案要求将 EAP 与传输层安全性（Transport Layer Security (TLS)）协议结合使用。EAP 和 TLS 都是因特网上广泛使用的 IETF 标准（请参阅 参考资料）。将这两种流行协议结合起来，就产生了保护无线 LAN 网络免遭被动窃听的客户机和服务器认证。

受保护的 EAP 分两个阶段起作用。TLS 阶段认证接入点，使用已加密的通道来保护正在交换的认证信息 ― 即使当用户在不同接入点之间漫游时也是如此。接下来，EAP 阶段认证无线客户机的用户。

第一阶段
TLS 握手（请参阅图 1）用于向无线客户机认证接入点。首先，无线客户机向后端服务器发送一个消息，宣布自己要连接到无线接入点。该消息通知服务器应该开始一个新连接，并告知服务器客户机所能理解的密码算法，以便能够理解两者之间发送的安全消息。在接收了这个消息之后，后端服务器用新建的会话标识、一个用于通信的算法列表以及一个公钥证书（该证书允许客户机信任它用来建立到网络连接的接入点）进行响应。无线客户机验证服务器证书的签名和有效性，然后通过生成秘钥并用从服务器证书获取的公钥加密它来进行响应。这个受保护的信息被发送回服务器，并且，如果服务器能够解密这个信息，则它被认证为：只有服务器的私钥能够解密用服务器公钥加密的消息。在这最后的交换之后，就完成了接入点认证，并建立了安全的 TLS 会话来保护第二阶段将要传递的用户认证凭证。

第二阶段
受保护的 EAP 的第二个阶段通过使用 EAP，提供了一个添加的保护层，它可以通过使用合适的 EAP 机制向用户提问以强有力地认证无线客户机的最终用户（请参阅图 2）。合适的 EAP 机制包括使用密码、智能卡、数字证书或时间同步令牌（如产生一次性通行代码提问的 RSA SecurID 令牌）。EAP 提问被传递到后端认证服务器，该服务器连接到位于公司无线 LAN 中的无线接入点。通用性实际上是这里的关键，因为 EAP 允许企业继续使用已向其雇员部署的任何合适的 EAP 方法，并将其使用扩展到无线 LAN。

在公司的无线 LAN 内漫游并需要无缝连接的用户将感受到实际的好处。用户希望可移动性和便利。如果每次从一个会议室转到另一个会议室都要求用户认证他们自己，那么他们会希望放弃安全性以求得便利。“它是两星期规则”，RSA Security 系统工程师 Pete Wann 说，“只要用户觉得不方便，大约两星期内，企业中的安全性机制就会被除去。我们一次又一次看到这种情况。它实际上提出了在开始阶段 ― 产品开发阶段 ― 就构建对用户友好的安全性的重要性。”

并且这也是选择将 TLS 用于 802.1x 标准中的受保护的 EAP 的原因。使用 TLS 握手中提供的连接重建机制，允许用户在连接到同一后端服务器的不同接入点之间漫游时拥有了无缝的连接。如果会话标识仍然有效，那么，无线客户机和服务器可以共享旧秘密来协商新的握手并保持连接的有效和安全（请参阅图 3）。

回页首

未来将会怎样

随着时间的推移，我们可以预料多种 802.11 标准（如 802.11a）中会采用 802.1x。从安全性角度来看，这是个好消息，因为现在正在构建的产品将可以使用 802.1x。这些产品将通过允许企业采用与当前在企业中部署的相同的强身份认证解决方案，并将其用于无线 LAN 产品，从而使企业获益。此外，在无线 LAN 产品中实现 802.1x 将提供一个好处：允许用户更方便和更安全地漫游。它是解决漫游环境中用户和接入点认证的长期修正方法。

在加密方面，任务组 I 正在研究在长期方面修正 WEP 的解决方案。这个组本周在达拉斯（Dalla）开会以最终敲定其工作，我们可望于感恩节后得到该组的更多公开声明。12 月，当供应商跟进，宣布他们计划如何将任务组工作的成果结合到 WEP 的快速修正中以清除当前已部署的所有 802.11b 硬件中的弱点时，将会开始出现各种新闻。请关注这个领域。

有关更长期的解决方案，期待任务组 I 将其工作集成到 802.11i 标准中，该标准最终将取代 802.11b。得出以下结论似乎也是合乎逻辑的：任务组 I 的工作还将结合到 802.11a 标准中去，以保护明年能够向用户提供更高带宽的 WLAN 产品。现在，使用 802.11a 的供应商也应该开始评估 802.1x 标准中的受保护的 EAP 提案。

但是 802.11b 问题的教训实际上是说明编写出色的安全性协议的重要性，这些协议允许供应商提供高级别数据保护、用户认证和互操作性。仅当安全性专家在标准开发阶段的早期参与进来，这种情况才会发生。遗憾的是，802.11b 的教训证明了安全性业界长期支持的说法 ― 安全性仍然是亡羊补牢。802.11b 惨痛地证明了逆转这种趋势的重要性。802.1x 和任务组 I 的成果是迈向正确方向上的重要步骤。

回页首

致谢

特此感谢 @Stake 的 Chris Wysopal 以及 RSA Security 的 Magnus Nystrom、Dag Stroman、Hikan Andersson、Pete Wann 和 Mike Vergara。不仅因为他们每个人都花费了宝贵的时间接受访问或对本文进行审阅，还因为每人都在解决本文所描述的安全性问题的研究中担任了重要的角色。

参考资料

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文.
  
  
• Peter Shipley 在旧金山湾区（San Francisco Bay Area）发现的 不安全的 LAN。（PDF 格式文档。）
  
  
• Extremetech在 硅谷和纽约城区找到了更多不安全的网络。
  
  
• Orthus 和 RSA Security Survey 揭示了 伦敦的不安全 WLAN。
  
  
• 请访问 @Stake 的 主页。
  
  
• 请从 Intel（Microsoft Word 格式）、 加州大学伯克利分校（PDF）和 马里兰大学（PDF）查找关于 WEP 弱点的文章。
  
  
• Fluhrer、Mantin 和 Shamir描述了 Stubblefield、Ioanndis 和 Rubin使用隐藏的 WEP 密钥发动的一次成功的攻击。
  
  
• 请下载 AirSnort和 WEPCrack。
  
  
• 请阅读 RSA Security 的 WEP 报告。
  
  
• 找到更多关于 TLS 标准进展情况的内容。
  
  
• 阅读关于 用于用户认证的硬件令牌的示例。
  
  
• 请仔细阅读 IBM、 RSA Security和 Microsoft关于 IV 和密码术的研究。
  
  
• developerWorks 的 Larry Loeb 研究了 有线等效协议。
  
  
• 查看 IBM 的原型 Wireless Security Auditor。
  
  

关于作者

为本文评分

评论

回页首

内容

• 无线 LAN 不安全性
• 强身份认证的重要性
• 未来将会怎样
• 致谢
• 参考资料
• 关于作者
• 建议