无线局域网安全机制增强技术研究

无线局域网安全机制增强技术研究

张 芳， 蒋秦芹

(中国电子科技集团公司第三十研究所，四川 成都 610041)

【摘 要】在研究802.11无线局域网的安全问题的基础上，深入分析了目前它面临的安全威胁和仍未解决的安全漏洞，提出一套增强方案。在搭建的验证平台基础上，改进现有无线局域网设备驱动程序，解决了802.11链路帧不被Windows平台支持的限制，实现了一个具有创新性的保密安全隧道，满足特殊领域中对无线局域网的安全要求，并验证了实现无线局域网保密安全隧道的可行性。

【关键词】无线局域网；保密安全隧道；小端口驱动

【中图分类号】TN918.91 【文献标识码】A 【文章编号】1002-0802(2008)05-0116-02

Research of Improved Security Mechanism for WLAN

ZHANG Fang， JIANG Qin-qin

(No.30 Research Institute of CETC，Chengdu Sichuan 610041，China)

【Abstract】This paper, based on the research of the security of 802.11 WLAN, analyzes in-depth the present security threats and the bugs which have not been resolved yet, and proposes on enhanced scheme. Through depending on a experimental platform established, the existing 802.11 WLAN’s device driver is improved, even if that 802.11 link frame can't be captured by Windows platform. And in this paper the successful capture of raw 802.11 link frame is realized and an innovative confidential security tunnel to meet the request of WLAN’s security in special field is implemented, also the feasibility of confidential security tunnel is verified.

【Key words】WLAN；confidential security tunnel；Miniport Driver

0 引言

随着802.11无线局域网技术运用的日益广泛，在军民用网络中得到了大范围的普及,使得无线网络的安全问题越来越受到人们的关注，无线网络存在的安全脆弱性漏洞造成的影响也较为严重。攻击者不仅可以对数据帧实施窃听、截取和篡改，甚至可以对管理帧、控制帧实施攻击，以造成无线

[1]

资源被盗用以致整个网络瘫痪。虽然国内外有不少解决方

1 保密安全隧道增强技术

根据IEEE802.11协议规范，可知802.11无线局域网对数据链路帧头、控制帧、除认证帧外的管理帧等都没有进行加密，即使是将来期望达到的更高等级的802.11i安全标准，

[4]

也都不能从根本上杜绝一些底层的攻击手段。归咎原因，

就在于没有更好的考虑到无线网络的安全保密问题与有线网络有本质的区别，将802.11链路层的过多信息暴露在无线媒介中，而无线媒介的开放性正好便于攻击者实施监听、分析，以及发起各类主动攻击，造成无线局域网安全性等级低。因此，通过实现对整个数据链路帧、控制帧、管理帧的加密，就像把802.11帧信息隐藏在一个安全的加密隧道中，使得攻击者无法通过无线媒介获得更多有用的链路帧信息，更无法对现有802.11安全机制存在的固有缺陷进行攻击。如图1所示。通过这个保密安全隧道的增强，能够抵抗众多攻击手段，至于选用何种专用加密算法，可以根据具体的应用环境来选

案，例如：WEP、WPA、802.11i等

[2-3]

，但还是不能从根本上

解决它的先天不足，仍存在一些安全漏洞，可以造成整个网络的瘫痪，使得802.11无线局域网在安全性要求高的领域推广受到很大限制。

文中通过对802.11无线局域网协议的深入研究和分析，搭建安全保密测试平台，构建一个具有创新性的保密安全隧道，能够抵抗已知或可能存在的众多攻击，能够将它推广到对信息保密性和安全性有较高要求的特殊领域。

收稿日期：2008-01-03。

作者简介：张 芳（1979-），助工，主要从事计算机通信研究工作；蒋秦芹（1979-），工程师，主要从事网络安全技术研究工作。

116

择，具有较强的扩展性和灵活性。

保密安全隧道(专用加密算法)

图1 保密安全隧道逻辑层次

1.1实现原理

目前，针对802.11无线局域网协议安全分析工具大多都是基于Linux操作系统实现的，而Windows系统中基本上还是空白，主要原因就是由于Windows平台下的网络驱动接口标准（NDIS）不支持802.11链路帧，无线局域网信号经过物理层解调后，通过802.11MAC子层将解调后的数据即802.11数据帧，由网卡的MiniPort驱动转换成802.3以太网帧格式，再通过Windows系统的TCP/IP等协议层驱动去掉报头后，传送到应用业务层进行处理。按照传统有线网络封包拦截技术的原理，只能做到在协议层驱动或者在协议层与MiniPort之间的中间层驱动进行拦截，这样只能得到802.3以太网协议的数据帧，并非期望的802.11数据帧，更不能得到802.11管理帧和控制帧了。因此，在Windows平台上进行开发，提供更加底层的安全隧道服务是非常困难的。为了解决上述困难问题，主要通过改进无线网卡的MiniPort驱动程序，对802.11的MAC层数据接收/发送服务进行改进，能够接收到网络中所有的802.11数据帧、管理帧和控制帧，最后在Miniport驱动的最底层数据收发入口处，提供自定义加密算法的支持；真正实现802.11无线局域网的链路层加密，包括对其链路帧帧头进行加密，实现一个保密安全隧道。 1.2 数据接收改进方案

由于接收流程的改进方案需要在Miniport驱动的接收服务模块与WDC之间接口进行改进，因此，可以通过无线驱动控制（WDC）的事件句柄注册功能函数来注册一个数据接收事件的回调函数。当有USB数据消息接收到时，将会触发该回调函数；在该回调函数中，可以得到一个WDC接收信息的结构体，其成员正是硬件板卡所获得的各种网络信息，其中需要的数据帧、控制帧、管理帧等有用信息都在该结构体中。常规情况下首先拷贝WDC接收信息到缓存中，然后再调用Miniport的接收服务回调函数，将这些信息传送到接收服务模块中，进行帧的过滤等操作。因此，只要在注册的WDC回调函数中调用接收服务回调函数之前，判断是否设置了使用专用网络加密算法，如果设置，那么在此处对其调用相应的专用解密算法，恢复出原始的802.11帧结构，再通过接收服务回调函数转发给接收服务模块，便能实现一个保密安全隧道的正常接收功能。如图2所示。

图3 802.11发送流程改进原理

在WDC模块中，数据发送是通过其最底层帧发送函数模块来实现，此模块入口参数只需要设备信息指针和数据结构的描述符指针。因此只需要在调用该帧发送模块前，首先判断标志位是否需要进行专用网络加密，如果需要，那么首先利用模块参数描述符指针，调用专用加密算法模块对描述符中的缓冲区数据进行加密。待加密完成后，才调用相关的网卡唤醒功能，以及调用帧发送函数模块发送加密后的数据，就可以实现保密安全隧道的发送功能。

图2 802.11接收流程改进原理

1.3 数据发送改进方案

对发送流程的改进方案主要集中在Windows系统中的Miniport驱动里的WDC（无线驱动控制）模块。如图3所示。

2 实验结果分析

为了方便用Ethereal演示结果，专用网络加密模块接口中仅仅在帧控制域（涉及到协议版本和类型）和持续时间字段，按照802.11数据帧格式填入。其后所有字节数据全部填

（下转第124页）

117

进入图书访问服务器，并通过图书访问服务器，访问图书数据库服务器，进行图书下载、文献检索、资料查询操作。

4 结语

根据该实现方案开发出的应用软件，已经过严格测试，并在相关校园数字图书馆系统中正常运行。通过结合PKI技术，该系统能给管理用户授予管理图书馆的最高权限；普通用户被授予图书借阅权限、图书资料下载权限和访问权限、图书预定权限、文献查询权限等。长期的运行表明系统能很好地解决在图书馆数字化进程中所遇到的安全性问题。但是，图书馆数字化作为一个系统工程，它所面临的问题是复

图4 证书处理流程

杂的，不同的校园图书馆，所采用的实现方案在个性特征上是有差别的，如何实现各个校园数字图书馆间的互连互通，有待于作进一步的研究和开发相应的应用软件。

参考文献

1 张延广. 数字图书及其版权保护[J]. 大学图书情报学刊, 2001,(02):31-33.

2 周建峰, 马玉祥, 欧阳雄. 数字图书馆的安全性与管理[J]. 华北水利水电学院学报, 2002,(04):66-67.

3 蒋定德. PKI中签发用户证书机制的研究及实现[D]. 成都:电子科技大学硕士,2005.

图5 访问数字图书管流程

（3）访问数字图书馆流程在进入系统登录平台后，由用户提供电子身份证书，系统进行身份认证，判断证书的有效性和有效期，证书认证服务器返回认证结果。如果返回结果是合法用户，则授予用户访问数字图书馆的权限。用户则

4 Housley R. RSA Laboratories. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile[S].RFC3280，2002.

5 Housley R. SPYRUS. Internet X.509 Public Key Infrastructure，Certificate and CRL Profile[S].RFC2459，1999.

（上接第117页）

入1。实验结果如图4所示，完全符合预期结果。除了头四个字节按照802.11数据帧格式填入以便让协议分析软件识别外，其余字节全部为1，并且能够成功接收和解析，证明如果把自定义数据流全部换成专用加密算法加密后的密文，那么在无线信道中就成功构建了一个保密安全隧道。利用该保密安全隧道的扩展性和灵活性，继续进行工程化实现，便能够形成成熟的增强型802.11无线局域网，能够推广到安全等级要求较高的特殊领域。

3 结语

可以看出构建保密安全隧道，不仅能够提高现有无线局域网的安全等级，并且对现有的标准802.11无线局域网安全保密机制完全透明，兼容现有技术的基础上，通过底层改造，使得无线局域网更具有市场推广价值。

参考文献

1 金纯,陈林星,杨吉云.IEEE802.11无线局域网[M].北京:电子工业出版社,2004:2-70.

2 刘乃安.无线局域网(WLAN)—原理、技术与应用[M].西安:西安电子科技大学出版社,2004:13-200.

3 [美] Jim Geier.无线局域网[M].王群,礼馥娟,叶清扬等译.北京:人民邮电出版社,2001:15-47.

4 曹秀英,耿嘉,沈平,等.无线局域网安全系统[M].北京:电子工业出版

图4 保密安全隧道数据接收结果分析

124

社,2004:9-133.