加急见刊

无线网络的安全通信探索

柯俊霄  2009-07-24

[论文关键词]无线网络 安全通信 手段 对比

[论文摘要]探讨无线网络中实现安全通信的若干手段,并对比它们之间的差异,供同行参考。

一、引言

无线通信采用无线电波传输,具有保密性强、移动性高、抗干扰性好、架设与维护容易等特点,还能支持移动计算,越来越成为室外通信的最佳方案。目前无线通信可以实现计算机局域网、无线接入、网际互联、图文传真、电子邮件、互联网浏览、数据采集和遥测遥控等,已经成为现代通信手段的重要组成部分。因此,无线网络的安全通信技术成为业界的研究热点。

二、无线网络的安全通信措施

(一)WLAN的安全保障

虽然目前广泛使用的跳频扩频技术可以让人难于截取,但也只是对普通人难而已,随着通信技术的飞速发展,相信很快就会普及起来。

IEEE802.11标准制定了如下3种方法来为WLAN的数据通信提供安全保障:

1.使用802.11的服务群标识符SSID。但是,在一个中等规模的WLAN上,即使每年只进行两次基本群标识符的人工修改,也足以证明这是一个低效的不可靠的安全措施。

2.使用设备的MAC地址来提供安全防范,显然这也是一个低水平的防护手段。

3.安全机制相比前两种效果要好得多,即WEP(Wired Equivalent Privacy)。它是采用RC4算法来加密传输的网络分组,通过WEP协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接(即网络适配器验证,而不是利用网络资源进行加密的),还有其他的一些不可靠问题,人们在重要点的加密场合,都不使用WEP安全协议。

(二)VPN与IPSec的作用

VPN首先是用于在Internet上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域,甚至在不同的国家。VPN是一个加密了的隧道,在隧道中它对IP中的所有数据进行封装。在VPN中最常用的两种隧道协议是,点对点隧道协议PPTP和第二层隧道化协议LTP,它们分别是由微软和Cisco公司开发的。还有一种现在也在VPN中广泛使用的有隧道功能的协议即IPSec,它还是一个IETF建议IP层安全标准。IPSec首先是作为IPv4的附加系统实现的,而IPv6则将该协议功能作为强制配置了。

(三)IPSec协议及其实施

IPSec协议包括如下:验证头AH(Authentication),封装安全载荷ESP(Encapsulation Security Payload),Internet密钥交换IKE(Internet Key Exchange),Internet安全关联和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)及转码。IPSec体系定义了主机和网关应该提供的各科能力,讨论了协议的语义,以及牵涉到IPSec协议同TCP/IP协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、载荷头的格式以及它们提供的服务,还定义了包的处理规则。转码方式定义了如何对数据进行转换,以保证其安全。这些内容包括:算法、密钥大小、转码程序和算法专用信息。IKE可以为IPSec协议生成密钥。还有一个安全策略的问题,它决定了两个实体间是否能够通信,采取哪一种转码方式等。

IPSec的工作模式有如下2种:

1.通道模式:这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时,也要选用通道模式。在通道模式中,IPSec模块在一个正常的普通IP 数据包内封装了IPSec头,并增加了一个外部IP头。

2.传送模式:在传送模式中,AH和ESP保护的是传送头,在这种模式中,AH和ESP会拦截从传送层到网络层的数据包,并根据具体情况提供保护。例如:A、B是两个已配置好的主机,它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证,则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。

(四)一个实现无线通信加密的方法

在给出下面加密方案之前,首先确定加密的位置:综前所述,选择在TCP/IP协议的IP层进行加密(当然也含了解密功能,下同)处理,可以达到既便利又满足尽可能与上下游平台无关性。 为了叙述方便,笔者定义一个抽象实体:加密模块,当它是一台PC或工控机时,它就是具备基本网络协议解析与转换功能的安全(加密)网关;当它是一个DSP或FPGA芯片时,它就是一个具备网络协议功能的加密芯片;当它是一个与操作系统内核集成的软件模块时,它就是一个加密模块。至此,就形成如下加密方案的雏形:

1.在无线网络的桥路器或是无线Hub与有线LAN间置一加密模块,这时可用一台功能强劲的PC或是工控机(方便户外携带使用),最好是双CPU的,具备强大的数学运算能力,实现网络层到链路层之间的功能和IP数据包的加解密功能。

2.Black Box:对FPGA(Field Programmable Gate Array)进行集群,初定为由3块FPGA芯片构成,1块加密,1块解密,1块进行协议处理。之所以要求集群,是基于这样一个事实:由独立的一块100-1000MIPS的FPGA芯片完成协议处理和加解密这样超强度的运算处理,缺乏可行性。

3.在购买第三方厂商的无线HUB及桥路器时,与厂商进行技术合作,要求他们在设备上提供FPGA的接口,逻辑上FPGA只完成IP包数据的加解密功能,不涉及协议处理(由厂商的软硬件平台完成)。但这涉及知识产权归属的问题,对厂商来说,由他们来实现这一点是非常容易的。

三、小结

网络协议是数据传输安全的基础,加密技术是数据传输完全的核心技术,通讯传输机制是数据传输安全的实现方式,网络管理是数据传输安全的保障,网络数据的安全传输是在多方面机制的共同作用下实现的。因此,研究网络安全机制也应从网络协议、网络管理、网络传输、数据加密及安全认证机制等多方面进行探讨,网络的安全性应当在网络运行机制中的各个环节中得到保障。

参考文献:

[1]赵冬梅、徐宁、马建峰,无线网络安全的风险评估[J].网络安全技术与应用,2006.(03).

[2]张东黎,无线网络安全与认证[J].网络安全技术与应用,2005.(04).

[3]黄晶,确保无线网络安全 实现文件安全共享[J].微电脑世界,2002.(23).

[4]张昕楠,消除无线网络安全风险[J].软件世界,2006,(01).

下载