移動(dòng)無線局域網(wǎng)的安全防護(hù)[2]

  虛擬SIM卡認(rèn)證是以RADIUS認(rèn)證方式為基礎(chǔ)發(fā)展起來的一種認(rèn)證方式。它一般在城域網(wǎng)的管理中心，設(shè)置AAA服務(wù)器，并在路由器上設(shè)置重新定向，用戶上網(wǎng)時(shí)，被定向到登錄頁面，用戶在登錄頁面上輸入正確的手機(jī)號碼和相應(yīng)的隨機(jī)密碼才能訪問。其認(rèn)證過程要首先通過移動(dòng)電話發(fā)送一條特定的短消息到AAA服務(wù)器；AAA服務(wù)器收到短信后，在用戶的數(shù)據(jù)庫中添加賬號；AAA服務(wù)器將用戶賬號信息發(fā)送給手機(jī)用戶，相關(guān)的賬號信息包括用戶的登錄用戶名、隨機(jī)登錄密碼、本次賬號較高費(fèi)用限額、賬號有效時(shí)限等信息，用戶根據(jù)手機(jī)接收到的賬號信息通過計(jì)算機(jī)接入WLAN。這種方式存在的最大問題是短信業(yè)務(wù)的服務(wù)質(zhì)量。短信息采用無確認(rèn)方式，發(fā)出短信后有可能會(huì)丟失，也有可能會(huì)有很長時(shí)間的延遲，這會(huì)影響WLAN用戶的登錄。如要實(shí)施這種方式的認(rèn)證，對現(xiàn)行的短信息業(yè)務(wù)必須重新設(shè)置或者把普通的短信與WLAN用戶的短信區(qū)分開，這要在軟件方面增加一定的難度。

  基于SIM卡認(rèn)證可以將中國移動(dòng)GSM/GPRS網(wǎng)絡(luò)與WLAN有機(jī)結(jié)合起來。該方式最大的優(yōu)點(diǎn)是使用方便，用戶可以方便地根據(jù)網(wǎng)絡(luò)的實(shí)際情況選擇GPRS、WLAN等方式上網(wǎng)，同時(shí)由于WLAN收費(fèi)最終是通過GSM/GPRS計(jì)費(fèi)網(wǎng)關(guān)實(shí)現(xiàn)的，這樣電話和上網(wǎng)的費(fèi)用就合成一張賬單，簡化了用戶的繳費(fèi)手續(xù)。而且，WLAN用戶在漫游方面也可以借助于現(xiàn)有的移動(dòng)運(yùn)營上的數(shù)據(jù)庫方便地實(shí)現(xiàn)用戶漫游和計(jì)費(fèi)，可以最大限度地發(fā)揮現(xiàn)有的資源，不需要做很大的改動(dòng)。SIM卡也是獨(dú)一無二的，因此可以有效防止非法用戶接入WLAN。綜上所述，基于SIM卡的認(rèn)證方式，即指AS接受來自AC的用戶認(rèn)證服務(wù)請求，對WLAN用戶進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果通知AC。

  加密算法

  現(xiàn)在大部分的無線局域網(wǎng)采用有限等價(jià)保密的方法對信息進(jìn)行加密，這也是802.11工作小組提出的加密方法。WEP算法是明文與其等長的偽隨機(jī)密鑰序列按位模二相加的一種算法，WEP使用的是40位的RC4算法，它屬于流密碼，這是一種一次性將1byte明文變換為1byte密文的對稱密碼，密文通過把明文與密鑰流（偽隨機(jī)序列）進(jìn)行異或運(yùn)算產(chǎn)生，解密時(shí)把相同的密鑰流與密文異或即可。由于流密碼具有這樣的特點(diǎn)，它對消息的完整性要求很高。此外，在流密碼實(shí)現(xiàn)時(shí)一定要防止出現(xiàn)密鑰重用。因?yàn)楣粽邤r截了兩段用同一密鑰流加密的密文，就可以對這兩段密文進(jìn)行異或，從而得到兩段明文的異或值，再輔以統(tǒng)計(jì)學(xué)手段，攻擊者就有可能得到明文。而如果存在大量的重復(fù)密鑰流的話，攻擊成功的可能性就大大增加了。WEP中采用完整性校驗(yàn)和初始化向量的防護(hù)措施。但是，完整性校驗(yàn)域采用的是CRC－32校驗(yàn)和，作為通信報(bào)文的一部分，CRC－32校驗(yàn)和也要經(jīng)過加密。然而，CRC算法是線性的，這意味著CRC校驗(yàn)和將體現(xiàn)出強(qiáng)烈的數(shù)據(jù)關(guān)聯(lián)性，這與密碼學(xué)強(qiáng)調(diào)的隨機(jī)性原則大為相悖，使敵手的攻擊變得相當(dāng)容易；而且WEP對初始化向量的操作也存在不足。正是由于WEP存在很多弱點(diǎn)，使WLAN的安全性大大下降，因此本文提出了采用高級編碼標(biāo)準(zhǔn)（AES）的加密方法，此算法會(huì)使WLAN的安全性大為提高。

[1]  [2]  [3]