无线局域网安全概述(精选8篇)
无线局域网安全概述 篇1
1 无线局域网的早期基本安全技术
1.1 SSID访问控制
SSID (Service Set Identifier) 也可以写为ESSID, 用来区分不同的网络, 最多可以有32个字符, 无线网卡设置了不同的SSID就可以进入不同的网络。SSID参数在缺省设定中是被AP无线接入点广播出去的, 客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果我们把这个广播禁止, 我们的无线网络就不会出现在其他人所搜索到的可用网络列表中, 在无法找到SSID的情况下是不能连接到网络的。需要注意的是, 如果黑客利用其他手段获取相应参数, 仍可接入目标网络。因此, 禁止SSID广播适用于一般SOHO环境当作简单口令安全方式。
1.2 MAC地址过滤
每一块无线网卡拥有唯一的MAC地址 (物理地址) , 由厂方出厂前设定, 无法更改。MAC地址过滤, 就是在AP中设置一组允许访问的MAC地址列表, AP会对收到的每个数据包都会做出判断, 只有符合设定标准的才能被转发, 否则将会被丢弃。
在搭建小型无线局域网时, 使用该方法最为简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。但对于大中型的无线局域网来说, 这种方式比较麻烦, 而且不能支持大量的移动客户端。另外, 如果非法用户利用网络侦听手段窃取到MAC地址, 非法用户仍可以通过假冒的MAC地址接入。
1.3 WEP加密
有线保密机制 (WEP-WiredEquivalentPrivacy) 是IEEE802.11b协议中最基本的无线安全加密措施。WEP采用的是一种对称密钥和算法, 通过访问控制阻止那些没有正确WEP密钥并且未经授权的用户访问网络, 仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流, 使得无线网络的安全达到与有线网络同样的安全等级。
WEP存在缺少密钥管理机制, 加密算法RC4被证明有弱点等缺陷, 其安全性受到了业界的质疑, 一般用于中小型企业的安全加密。
2 无线局域网安全的增强技术
2.1 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验3个部分组成, 是一个完整的安全方案。
WPA的认证分为两种, 第一种采用802.1x+EAP的方式, 用户提供认证所需的凭证。如用户名密码, 通过特定的用户认证服务器来实现。IEEE802.1x是一种基于端口的网络接入控制技术, 可以提供一个可靠的用户认证和密钥分发的框架, 可以控制用户只有在认证通过以后才能连接网络。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果, 如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。IEEE802.1x本身并不提供实际的认证机制, 需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型, 能与后台不同的认证服务器进行通讯, 如远程接入拨入用户服务 (RADIUS) 。在大型企业网络中, 通常采用这种方式。WPA也提供一种简化的模式, 它不需要专门的认证服务器, 这种模式叫做WPA预共享密匙 (WPA-PSK) , 仅要求在每个WLAN节点 (AP、STA等) 预先输入一个密匙即可实现, 只要密匙吻合, 客户就可以获得WLAN的访问权。由于这个密匙仅仅用于认证过程, 而不用于加密过程, 因此不会导致诸如使用WEP密匙来进行802.11预共享认证那样严重的安全问题。
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
WPA采用消息完整性校验 (MIC) 是为了防止攻击者从中间截获数据报文, 篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段 (MPDU) 进行CRC校验外, WPA为802.11的每个数据分组 (MSDU) 都增加了一个8个字节的消息完整性校验值, 这和802.11对每个数据分段 (MPDU) 进行ICV校验的目的不同。
2.2 IEEE802.11i
为了更进一步的增强WLAN技术的安全性能, IEEE802.11的工作组致力于制订被称为IEEE802.11i的新一代安全标准。IEEE802.11i安全协议标准致力于从长远角度来考虑解决IEEE802.11无线局域网的安全问题, 以满足大型企业、银行、证券等网络结构复杂而又对安全要求很高的应用环境。
为了增强WLAN的数据加密和认证性能, 定义了RSN (RobustSecurityNetwork) 的概念, 并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密匙管理方式, 在数据加密方面, 定义了TKIP (TemporalKeyIntegrityProtocol) 、CCMP (Counter-Mode/CBC-MACProtocol) 和WRAP (WirelessRobustAuthenticatedProtocol) 3种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法, 可以通过在现有的设备基础上升级硬件和驱动程序的方法, 达到提高WLAN安全性能的目的。CCMP机制基于AES (AdvancedEncryptionStandard) 加密算法和CCM (Counter-Mode/CBC-MAC) 认证方式。使得WLAN的安全程度大大提高, 是实现RSN的强制性要求, 由于AES对硬件要求比较高, 因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB (Offset Codebook) , 是一种可选的加密机制。
2.3 WAPI
2003年5月, 我国提出了无线局域网国家标准GB15629.11, 该标准较好地解决了无线局域网的安全问题。它和IEEE802.11i的主要区别在于安全加密技术的不同, 标准中包含了全新的WAPI (WLAN Authenticationand Pri-vacy Infrastructure) 安全机制。这种安全机制由WAI (WLAN Authentication Infrastructure) 和WPI (WLAN Pri-vacy Infrastructure) 两部分组成。WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密, WAPI能为用户WLAN系统提供全面的安全保护。
其中WAI采用公开密匙密码体制, 利用证书对WLAN系统中的STA和AP进行认证, WAI还定义了一种名为ASU (AuthenticationServiceUnit) 的实体, 用于管理参与信息交换的各方所需要的证书 (包括证书的产生、颁发、吊销和更新) 。证书里面包含有证书颁发者 (ASU) 的公匙和签名, 以及证书持有者的公匙和签名 (这里的签名采用的是WAPI特有的椭圆曲线数字签名算法) 是网络设备的数字身份凭证。
WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。有着比目前WEP、802.lx、WPA等安全协议更高的安全性。
2.4 VPN技术
目前已广泛应用的VPN安全技术也可用于无线局域网, 与IEEE802.11标准所采用的安全技术不同, VPN主要采用DES, 3DES等加密技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11安全技术结合起来, 这是在802.11i标准正式推出之前较为理想的无线局域网安全解决方案。
VPN协议包括2层的PPTP/L2TP协议和3层的IPSec协议, IPSec用于保护IP数据包或上层数据, IPSec采用诸如数据加密标准 (DES) 和168位三重数据加密标准 (3DES) 以及其它数据包鉴权算法来进行数据加密, 并使用数字证书来验证公钥, VPN在客户端与各级组织之间架起一条动态加密的隧道, 并支持用户身份验证, 实现高级别的安全。VPN支持中央安全管理, 不足之处是需要在客户机中进行数据的加密和解密, 增加了系统的负担, 另外要求在AP后面配备VPN集中器, 从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 就好像双重门锁, 提高了可靠性。
3 结束语
在无线局域网的未来发展中, 安全问题仍将是一个最重要的、迫切需要解决的问题。很多公司和机构提出了自己的安全协议和认证标准, 如WAPI、IEEE802.11i等, 主要是从加密技术和密钥管理技术两方面来提供安全保障。使用加密技术可以保证WLAN传输信息的机密性, 并能实现对无线网络的访问控制, 密钥管理技术为加密技术服务, 保证密钥生成、分发以及使用过程中不会被非法窃取。另外, 灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。
参考文献
[1]张勇.无线局域网安全技术[J].中国金融电脑, 2007 (3) .
[2]荣莉, 罗莉.无线局域网安全的分析[J].电脑与电信, 2008 (5)
[3]薛红.浅谈无线局域网的安全技术[J].中国水运 (学术版) , 2007 (5) .
[4]卢伟良.浅析无线局域网的安全技术[J].广东科技, 2007 (4) .
[5]崔宏.新环境下的支撑:无线局域网的安全保障[J].通信世界, 2008 (15)
[6]贾光炯.浅谈无线局域网的安全性[J].广东通信技术, 2005 (2) .
无线局域网安全概述 篇2
1.无线局域网的优点
与有线网络相比,无线局域网具有以下优点:
安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(AccessPoint)设备,就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
易于扩展
无线局域网概述 篇3
随着网络的飞速发展,笔记本电脑的普及,人们对移动办公的要求越来越高。传统的有线局域网要受到布线的限制,如果建筑物中没有预留的线路,布线以及调试的工程量将非常大,而且线路容易损坏,给维护和扩容等带来不便,网络中的各节点的搬迁和移动也非常麻烦。因此高效快捷、组网灵活的无线局域网应运而生。
无线局域网WLAN (wireless local area networks) 是指去除了传统网络中的网络传输线缆,利用微波、射频(R F)等无线技术,取代旧式的双绞铜线构成网络,提供传统有线局域网的所有功能。网络所需的基础设施不需要埋在地下或隐藏在墙里,更重要的是能够随需移动或变化,使得无线局域网络能利用简单的存取构架让用户透过它,达到“信息随身化、便利走天下”的理想境界。
无线局域网络的相关设备在20世纪90年代初就已经出现,但是由于价格、性能、通用性等种种原因,没有得到广泛应用,仅在纵向企业中才有,如学校、护理中心、仓库和库存管理中。不过,今天的无线局域网情况大不相同,随着无线局域网技术的迅速发展,其应用已成为经济和切实可行的方法。
1,无线局域网的特点
无线局域网与生俱来的很多优越性决定了它的迅速崛起。与有线网络相比,无线局域网具有以下特点:
(1) 安装便捷一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。无线局域网免去了大量的布线工作,只需要安装一个或多个无线访问点(Access Point, AP)就可覆盖整个建筑的局域网络,而且便于管理和维护。
(2) 使用灵活在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网络的信号覆盖区域内任何一个位置都可以接入网络,而且无线局域网能够在不同运价商、不同国家的网络间漫游。在无线局域网中,各节点可随意移动,不受地理位置的限制。目前,AP可覆盖10-100m。
(3) 易于扩展无线局域网有多种配置方式,能够根据需要灵活选择。无线局域网每个AP可支持100多个用户的接入,只需在现有无线局域网基础上增加AP,就可以将几个用户的小型网络扩展为几千用户的大型网络。
(4) 经济节约由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造。使用无线局域网可以减少或避免以上情况的发生。
(5) 安全保密无线网络相对来说比较安全,通信以空气为介质,传输信号可以跨越很宽的频段,而且与自然背景噪音十分相似,这样一来,就使得窃听者用普通的方式难以偷听到数据。“加密”也是无线网络必备的一环,能有效提高其安全性。所有无线网络都可加设安全密码,窃听者即使千方百计地接收到数据,若无密码,想打开信息系统亦无计可施。
2,无线局域网的网络结构
通常无线局域网有两种类型,即:对等网络和基础结构网络。
(1) 对等网络这是最简单的无线局域网结构。一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同的工作组名、E S S I D和密码(如果适用的话),任何时间,只要两个或更多的无线接口互相都在彼此的范围之内,它们就可以建立一个独立的网络。这些根据要求建立起来的典型的网络在管理和预先设置方面没有要求。
(2) 基础结构网络在基础结构网络中,无线中继站(如无线接入访问点、无线H U B和无线网桥等设备)把无线局域网与有线网连接起来,并允许用户有效地共享网络资源。中继站不仅提供与有线网络的通讯,也为网上邻居解决了无线网络拥挤的状况。复合中继站能够有效扩大无线局域网的覆盖范围,实现漫游功能。
3,无线局域网技术
3.1蓝牙技术
蓝牙 (Bluetooth) 技术是一种短距的无线通讯技术,工作在2.4GHz ISM频段,其面向移动设备间的小范围连接,通过统一的短距离无线链路,在各种数字设备间实现灵活、安全、低成本、小功耗的话音以及数据通信。主要技术特点如下:
(1) 蓝牙的指定范围是10m,在加入额外的功率放大器后,可以将距离扩展到100m。辅助的基带硬件可以支持4个或者更多的语音信道。
(2) 提供低价、大容量的语音和数据网络,最高数据传输速率为723.2kb/s。
(3) 使用快速跳频 (1600跳/s) 避免干扰,在干扰下,使用短数据帧来尽可能增大容量。
(4) 支持单点和多点连接,可采用无线方式将若干蓝牙设备连成一个微波网,多个微波网又可互联成特殊分散网,形成灵活的多重微波网的拓扑结构,从而实现各类设备之间的快速通信。
(5) 任一蓝牙设备,都可根据IEEE802标准得到一个唯一的48bit的地址码,保证完成通信过程中设备的鉴权和通信的保密安全。
(6) 采用TDD方案来实现全双工传输,蓝牙的一个基带帧包括两个分组,首先是发送分组,然后是接收分组。蓝牙系统既支持电路交换也支持分组交换,支持实时同步定向联接和非实时的异步不定向联接。
3.2 HomeRF
HomeRF技术是由HRFWG (home RF working group)工作组开发的,该工作组1998年成立,主要由Intel、IBM、Companq、3com、Philips、Microsoft、Motorola等几家大公司组成,旨在制定PC和用户电子设备之间无线数字通信的开放性工业标准,为家庭用户建立具有互操作性的音频和数据通信网。HomeRF采用了IEEE 802.11标准的CSMA/CA模式,以竞争的方式来获取信道的控制权,在一个时间点上只能有一个接入点在网络中传输数据,提供了对“流业务”的真正意义上的支持,规定了高级别的优先权并采用了带有优先权的重发机制,确保了实时性“流业务”所需的带宽(2~1 1 M b/s)和低干扰、低误码。
HomeRF是针对现有无线通信标准的综合和改进。当进行数据通信时,采用IEEE 802.11规范中的TCP/IP传输协议;进行语音通信时,则采用数字增强型无绳通信标准。因此,接收端必须捕获传输信号的数据头和几个数据包,判断是音频还是数据包,进而切换到相应的模式。
HomeRF采用对等网的结构,每一个节点相对独立,不受中央节点的控制。因此,任何一个节点离开网络都不会影响其它节点的正常工作。
3.3 HiperLAN
Hiper LAN (high performance radio LAN) 是由欧洲电信标准化协会的宽带无线电接入网络小组制定的无线局域网标准, 已推出HiperLAN1和HiperLAN2两个版本。HiperLAN1由于数据传输速率较低, 没有流行推广。HiperLAN2在欧洲得到了比较广泛的支持, 是目前比较完善的W L A N协议标准, 它具有如下特点:
(1) 高速的数据传输速率HiperLAN2工作在5GHz频段,采用了正交频分复用的调制,数据是通过M T和A P之间事先建立的信令链接进行传输的,可达到54Mb/s的传输速率。
(2) 自动频率分配AP在工作的过程中同时监听环境干扰信息和邻近的A P,进而根据无线信道是否被其它AP占用和环境干扰最小化的原则选择最合适的信道,自动频率分配是HiperLAN2的最大特色。
(3) 安全性支持HiperLAN2网络支持鉴权和加密。通过鉴权,使得只有合法的用户可以接入网络,而且只能接入通过鉴权的有效网络。
(4) 移动性支持在HiperLAN2中,M T必须通过“最近”的A P,或者说信噪比最高的AP来传输数据。因此当MT移动时,必须随时检测附近的A P,一旦发现其它AP有比当前AP更好的传输性能,就请求切换。切换之后,所有已经建立的链接将转移到新的AP之上,在切换过程中,通信不会中断。
(5) 网络与应用的独立性HiperLAN2的协议栈具有很大的灵活性,可以适应多种固定网络类型。因此HiperLAN2网络既可以作为交换式以太网的无线接入子网,也可以作为第三代蜂窝网络的接入网,并且这种接入对于网络层以上的用户部分来说是完全透明的。
3.4协议标准IEEE 802.11x
3.4.1 IEEE 802.11
1990年IEEE 802标准化委员会成立IEEE 802.11无线局域网标准工作组,主要研究工作在2.4GHz开放频段的无线设备和网络发展的全球标准。1997年6月,提出IEEE 802.11(别名:Wi-Fi, wireless fidelity,无线保真)标准,标准中物理层定义了数据传输的信号特征和调制。在物理层中,定义了两个RF传输方法和一个红外线传输方法,R F传输方法采用扩频调制技术来满足绝大多数国家工作规范。在该标准中RF传输标准是跳频扩频(F H S S)和直接序列扩频(D S S S),工作在2.4000~2.4835GHz频段。直接序列扩频采用BPSK和DQPSK调制技术,支持1Mb/s和2Mb/s数据速率,使用11位Barker序列,处理增益10.4dB。跳频扩频采用2~4电平GFSK调制技术,支持1Mb/s数据速率,共有22组跳频图案,包括79信道,在美国规定最低跳频速率为2.5跳/s。红外线传输方法工作在850~950nm段,峰值功率为2W,使用4或16电平pulse-positioning调制技术,支持数据速率为1Mb/s和2Mb/s。
3.4.2 IEEE 802.11b
1999年9月IEEE 802.11b被正式批准,它是在IEEE 802.11的基础上的进一步扩展,采用直接序列扩频(D S S S)技术和补偿编码键控(C C K)调制方式,其物理层分为PLCP和PMD子层。PLCP是专为写入M A C子层而准备的一个通用接口,并且提供载波监听和无干扰信道的评估;P M D子层则承担无线编码的任务。IEEE 802.11b实行动态传输速率,允许数据速率根据噪音状况在1 M b/s、2Mb/s、5.5Mb/s、11Mb/s等多种速率下自行调整。
3.4.3 IEEE 802.11a
IEEE 802.11a也是IEEE 802.11标准的补充,采用正交频分复用(O F D M)的独特扩频技术和QFSK调制方式,大大提高了传输速率和整体信号质量。I E E E802.11a和IEEE 802.11b都采用CSMA/CA协议,但物理层有很大的不同,802.11b工作在2.4000~2.4835GHz频段,而802.11a工作在5.15~8.825GHz频段,数据传输速率可达到54Mb/s。
3.4.4 IEEE 802.11g
2001年11月,IEEE 802实验性地批准一种新技术802.11g。它是一种混合标准,有两种调制方式:802.11b中采用的CCK和802.11a中采用的OFDM。因此,它既可以在2.4GHz频段提供11Mb/s数据传输速率,也可以在5 G H z频段提供54Mb/s数据传输速率。
3.4.5 IEEE 802.11i
IEEE 802.11i对WLAN的MAC层进行了修改与整合,定义了严格的加密格式和鉴权机制,以改善WLAN的安全性。主要包括两项内容:W i-F i保护访问(W P A)和强健安全网络(R S N),并于2004年初开始实行。
3.4.6 IEEE 802.11e/f/h
IEEE 802.11e标准对WLAN MAC层协议提出改进,以支持多媒体传输,以支持所有WLAN无线广播接口的服务质量保证QoS机制。IEEE 802.11f,定义访问节点之间的通讯,支持IEEE 802.11的接入点互操作协议(IAPP)。IEEE 802.11h用于802.11a的频谱管理技术。
4,无线局域网的安全技术
由于无线局域网采用公共的电磁波作为载体,更容易受到非法用户入侵和数据窃听。无线局域网必须考虑的安全因素有三个:信息保密、身份验证和访问控制。为了保障无线局域网的安全,主要有以下几种技术:
4.1物理地址(M A C)过滤
每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的M A C地址列表,以实现物理地址的访问过滤。
如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。这种方法要求M A C地址列表必须随时更新,可扩展性差。
4.2服务集标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。在无线局域网接入AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
4.3有线等效保密(WEP)
有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。W E P使用4 0位钥匙,采用R S A开发的RC4对称加密算法,在链路层加密数据。W E P加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。W E P也提供认证功能,当加密机制功能启用,客户端要尝试连接上A P时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。4 0位W E P具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP也一般支持128位的钥匙,能够提供更高等级的安全加密。
4.4虚拟专用网络(VPN)
目前已广泛应用于广域网络及远程接入等领域的VPN (Virtual Private Networking)安全技术也可用于无线局域网域,与IEEE 802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES以及AES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE 802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案之一。
4.5 Wi-Fi保护访问(WPA)
WPA (wi-fi protected access) 技术是在2003年正式提出并推行的一项无线局域网安全技术, 将成为代替W E P的无线。WPA是IEEE 802.11i的一个子集, 其核心就是I E E E 8 0 2.1 x和T K I P (temporal key integrity protocol) 。新一代的加密技术TKIP与WEP一样基于R C 4加密算法, 且对现有的W E P进行了改进, 在现有的W E P加密引擎中增加了密钥细分 (每发一个包重新生成一个新的密钥) 、消息完整性检查 (M I C) 、具有序列功能的初始向量、密钥生成和定期更新功能等4种算法, 极大地提高了加密安全强度。另外W P A增加了为无线客户端和无线AP提供认证的IEEE 802.1x的RADIUS机制。
5,无线局域网的应用发展前景
在现阶段,中国市场上的无线局域网主要是应用于公众服务、企业内部网、校园网及地理位置较特殊的政府机构等领域。从发展趋势来看,随着产品价格和技术方面日渐成熟,校园网对无线局域网应用会增长迅速,尤其是高等教育和科研机构对无线局域网的需求不断增加,将为无线局域网创造广阔的空问,像现在北京大学校园就构建了校园无线局域网网络。另外,在政府内部,电子政务建设正如火如荼,无线局域网在政府的网络建设中有非比寻常的机会。从无线局域网的实际应用场景来看,目前大致有两类:
一类是企业自己建立的面向企业内部用户的WLAN网络,以替代企业有线网或作为有线网的补充。比如一个大型超市,通过WLAN网络,可以在超市内的任何柜台,通过手持终端,统计存货情况,交由中央系统处理,就可以快速、高效地掌握销售情况,适时进货。这类应用可以显著提高企业的信息化程度,促进企业的发展。随着企业对信息化的重视,这类应用必将得到迅速发展。
另一类是无线ISP在诸如写字楼、宾馆、机场等所谓的“热点”地区建设的WLAN网络,向公众移动数据用户提供互联网接入服务,并向用户收取网络接入费。这类WLAN网络一般还比较分散、独立。要建设可运营、可广域漫游的电信级W L A N网络,需解决诸如鉴权、计费等问题。目前在技术上主要有两种解决方案:一种是基于SIM卡的方案,以GSM、CDMA网络成功的漫游方案为基础,适合于拥有G S M或C D M A网络的运营商;另一种是基于用户名/密码的方案,以互联网上成功应用的RADIUS协议为基础,可针对WLAN的特性做相应扩展,这种方案比较适合于有ISP运营经验的运营商。对这两种方案的可靠性、稳定性,还需在实际运营中进行检验。随着互联网的发展,移动办公、移动商务的快速普及,W L A N的这类应用存在很大的市场潜力和发展机遇。
无线局域网虽然不能取代有线网络,但它有着传统网络无法比拟的优势,也正是这样的优势,使无线局域网市场的增长是毋庸置疑的。然而WLAN技术的应用给网络用户带来了便捷和实用的同时,也不能忽略其仍然存在着一些不足之处。一是性能:W L A N是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物等其它障碍物可能阻挡电磁波的传输,会影响网络的性能,需精良的覆盖设计。二是速率:无线信道的传输速率与有线信道相比要低得多。目前的最大传输速率为54Mbps,相对有线网络,只适合于个人终端和小规模网络应用。三是安全性:本质上无线电波不要求建立物理的连接通道,无线信号是发散的,很容易监听到无线电波广播范围内的任何信号,导致泄密。故需采用扩跳频技术以提高抗监听、破译性能。
综上所述,WLAN技术的成熟和普及仍然需要一个不断磨合的过程。从WLAN的进一步推广应用来看,将来的研究方向主要集中在以下几个方面:
安全性问题安全性始终是用户主要关心的问题,为了满足用户的需求,当前的技术仍需不断地改进与完善。目前市场上已有许多解决方案能够提供安全保护,如VPN、IPSec加密和利用IEEE 802.1x的E A P(可扩展鉴权协议),其中V P N是最安全的解决方案。
漫游切换问题WLAN的漫游问题是另一个至关重要的问题。在无线网络中,如果一边使用WLAN接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,I E T F制定了扩展IP网络移动性的系列标准,可保证用户的移动终端始终使用固定的IP地址进行网络通信。
无线网络管理问题除了系统结构、用户需求和典型应用等模块之外,一个好的无线网络管理系统还必须考虑以下因素:
(1) 标准的网管通信方式。网管子系统必须基于工业标准的管理协议,才能监视主机和子系统之间每条链路上的状态信息,并可根据状态信息快速分析和解决出现的问题。
(2) 网络监视和报告。监视和报告无线信号的变化以及接入点的业务类型和负载情况,自动发现进入无线网络体系结构的新设备。
(3) 有效地利用带宽。
WLAN与3G WLAN是否会对第三代移动通信系统构成威胁是业界关心的一个问题。实际上,WLAN与3G采用的是截然不同的两种技术,用于满足不同的需要。与3G不同的是,WLAN并不是一个完备的全网解决方案,而只用于满足小型用户群的需求。作为3G的一个重要补充,WLAN可用于在诸如机场候机厅、宾馆休息室等地方建立无线Internet连接。
结束语
无线局域网安全 篇4
无线局域网相当于有线局域网连接方式来讲, 无线的连接方式缺少了什么呢?应该是称职的“门卫”。所谓的无线局域网不安全性, 在一定的程度上是由于无线连接方式促成了连接更加方便, 导致了无线局域网的安全问题。如果设备已经连接到网络上, 那么两种连接方式安全性都是一样的。事实上任何网络都容易受到大量的安全风险和安全问题的困扰。与有线局域网相比, 无线局域网的安全问题主要在于信道开放, 使用者不必与网络进行“可视”的连接。这使得攻击者伪装合法用户更容易, 同时微波信号在空气中的传播业容易受到各种干扰导致信号的损失。
在全面介绍安全机制之前, 首先应该正确认识到无线局域网可能存在的安全问题。一个网络用户 (或者叫黑客) 能够通过几种方式搜索或试图获取对一个无线局域网访问的权限。这些方法主要包括:窃听 (被动攻击) 、非法登陆、连接、侦测和配置网络 (主动攻击) 和人为干扰。
2 无线局域网的安全措施
无线局域网的安全措施主要体现在:信息过滤、用户访问控制、数据加密三个方面。信息过滤暂时不满足用户要求的信息屏蔽在网络之外, 用户访问控制保证敏感数据只能由授权的用户进行访问, 数据加密保证发射的数据只能被所期望的用户接受和理解。后两者往往集中在一个安全协议中, 比如IEEE802.11中的有线等效加密和GB15629.11中的无线局域网的鉴别与加密基础结构 (WPAI) 。
2.1 信息过滤措施
信息过滤是能够使用的基本安全机制。常用的有3种信息过滤机制:MAC地址过滤、协议端口过滤、SSID过滤。其中, MAC地址过滤和SSID过滤一般用于简单的无线接入点AP中, 协议端口是建立在路由基础上的功能, 一般只有功能较强的无线接入点AP中才有, 比如无线路由器。
2.2 IEEE 802.11安全机制
在IE E E 8 02.11标准中规定的无线局域网连接过程包括4个步骤:扫描 (scan) 、连接 (join) 、链路验证 (authentication) 和关联 (association) 。
通常情况, 无线客户端会扫描整个周围环境寻找适合连接的无线接入点。实现数据传输时, 无线局域网要求一定的安全机制作为保障。
IEEE 802.11标准规定的安全机制包括两部分:一、访问认证机制;二数据加密机制, 也就是我们常常提到的有线等效加密 (wep) 。他们是现在常用的无线局域网系统中安全机制的主要形态和基础。
2.3 IEEE 802.1x协议
IEEE 802.11标准所规定的WEP安全机制最明显的不足在于缺乏使用者身份认证机制 (只对无线客户端设备的认证) 和动态数据加密密钥配送机制 (一般只是静态的密钥) 。为了解决无线局域网中的WEP安全机制的缺陷, 人们采用了将基于端口访问控制技术的安全机制结合到IEEE 802.11中的方式。IEEE802.1x协议起源于IEEE 802.11协议, 主要目的是为了解决无线局域网用户的接入验证问题。IEEE 802.1x基于互联网工程任务组 (internet engineering task force, IETF) 制定的可扩展验证协议 (extensible authentication protocol, EAP) , 采用对端口进行验证的方式
2.4 IEEE 802.11i安全标签
目前, 以IEEE 802.11标准规定的有线等效加密 (WEP) 为主的安全机制存在的问题主要为产品提供商和用户所关注, MAC地址过滤、WEP加密、SSID匹配都是一种基本的安全措施, 在很多情况下都不能满足安全需要。这使无线局域网技术受到很多的批评, 为了从这种被动的局面中解脱出来, 国际电气和电子工程师联合会 (IEEE) 制订了被称为IEEE 802.11i的安全标准。
2.5 国家标准GB15629.11
安全问题一直是笼罩在wlan便捷灵活的优势上的阴影, 已成为WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.1li, VPN等方式来保证wlan的安全, 但都没有从根本上解决wlan的安全问题。我国在2003年5月提出了无线局域网国家标准GB15629.11, 引入一种全新的安全机制——WAPI, 使wlan的安全问题再次成为人们关注焦点。WAPI机制已经由ISO/IEC授权的注册权威机构 (IEEE Registration Authority) 审查获得认可,
并且分配了用于该机制的以太类型号 (IEEE Ether Type Field) 0x88b4, 这是我国在这一领域向ISO/IEC提出并获得批准的唯一以太类型号。
2.6 VPN安全解决方案
在Wi-Fi推出初期, 专家也建议用户通过VPN进行无线连接。VPN采用DES, 3DES等技术保障数据传输的安全性。IPSec VPN和SSL VPN是目前两种最具有代表意义的VPN技术。IPSec VPN运行在网络层, 保护站点之间的数据传输安全, 要求远程接入者必须正确的安装和配置客户端软件或者接入设备, 将访问限制在特定的接入设备、客户端程序。用户认证机制和预定义的安全关系上, 提供了较高水平的安全性。SSL被预先安装在主机的浏览器中, 是一种无客户机的解决方案, 可以节省安装和维护成本。
2.7 用户认证方式的选择
在无线用户接入认证选择上, 主要是两种:802.1x和Web+DHCP。这两种方式对用户来说各有利弊。802.1x的认证方式总的来说安全性较高, 但它需要客户程序端, 这往往约束了他的普及。Web+DHCP的认证方式安全级别低, 但是用户使用方便。所以我们要根据实际情况来选择用户的认证方式。一般的原则是:在一些安全级别高的地方使用802.1x;在一些休闲娱乐场所一般使用Web+DHCP认证方式。
摘要:随着无线技术的运用变得广泛, 无线网络的安全问题也就变得越来越受人们的关注。通常网络的安全性主要体现在数据加密和访问控制这两个方面。对于有线网络来说。访问控制一般是通过物理端口接入方式进行监控的, 有线网络的数据输出通过电缆传输到特定的目的地。一般情况下, 只有在物理链路受到破坏的情况下, 数据才可能出现泄漏, 而无线网络的数据传输则是利用微波在空气中进行辐射传播的, 因此只要在无线接入点 (access point, AP) 覆盖范围内, 所有的无线终端都可以接收到无线信号。AP无法将无线信号定向到一个特定的接收设备, 因此无线传输的安全保密问题显得很重要。
关键词:无线网络,安全措施
参考文献
无线局域网安全技术与安全策略 篇5
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
无线局域网安全与防范 篇6
一、无线局域网常见安全问题
1. 容易侵入
无线局域网通过发射特定参数的信标帧, 让使用者能够轻松发现并使用, 而这也给攻击者提供了便利的条件, 入侵者借助高灵敏的天线既可不通过物理接入方式发起攻击。
2. 未授权接入使用服务
指的是在开放式的WLAN系统中, 非指定用户也可以接入AP, 导致合法用户可用的带宽减少, 并对合法用户的安全产生威胁。这主要是由于使用AP的用户很少对其默认配置做修改, 使得其都是按照原厂默认密钥, 入侵者正式借助这一点, 入侵WLAN网路。
3. 地址欺骗和会话拦截 (中间人攻击)
在无线局域网络环境中, 一些非法用户通过侦听等手段取得网络中合法站点的MAC地址, 然后利用这些合法的MAC地址对局域网进行恶意的攻击, 另外, 由于IEEE802.11没有对AP身份进行认证, 非法用户很容易装扮成AP进入网络, 并进一步获取合法用户的鉴别身份信息, 通过会话拦截实现网络入侵。
4. 高级入侵 (企业网)
攻击一旦成功窃入无线局域网络, 攻击者既可以进一步对其它系统也进行攻击, 虽然一些企业都安装了相应的防火墙, 但是其安全隐患仍然是存在的, 尤其一旦防火墙被突破, 整个网络就都暴漏在了攻击者面前。
二.无线局域网安全防范策略研究
1.基于WEP技术的安全防范技术
加密技术是一种最基本的无线网络保护方式, 只需我们利用简单的设置AP以及无线网卡等设备既可以完成WEP加密。但是, 大多数设备商为了省事在出厂时都将设备的WEP功能关闭了。WEP加密技术是所有经过Wi Fi TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用途是:为用户提供可控的网络, 严防未授权用户使用网络, WEP实现了对数据的加密, 可以有效的防止数据被窃听, 篡改和伪造。
WEP加密所利用的是静态保密密钥技术, 处于无线局域网终端的用用通过相同的密钥来访问无线网络, 并通过WEP认证之后, 加密机制开始启动, 用户将AP所发出的Challenge Packet加密后送回到存取点, 在进行认证核对, 当信息无误后, 才获得试用无线资源的权力。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
WEP技术很适合一些小型的企业、家庭等用户, 即方便, 同时也不会让用户投入过多的花销, 配置方便, 安全性较好, 并且对于终端的访问控制到数据链路中的数据加密都定义了有效的解决方案。为用户带来较大的便利, 同时使无线网络的使用范围被进一步推广。
2.通过MAC和ESSID对非法用户访问进行限制
除了WEP加密技术之外, 还有很多措施我们可以利用, 无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制我们也应该充分利用起来, 这些都包含在IEEE802.11b协议之中。当用户的终端设备连上AP时, AP都会对其的ESSID进行核对, 看是否与自身的ID一直, 只有匹配的ID才能够被允许使用网络资源, 不匹配的将被拒绝服务。再有就是通过MAC地址进行访问限制, 在我们的无线网卡中都内设一个唯一的MAC地址, 所以我们只需在AP中设置一张“MAC地址控制表” (Access Control) , 这样就只有MAC合法的用户才能够连接到无线局域网络之中, 否则将被拒绝。通过ESSID和MAC地址访问限制可以为无线网络的使用加上牢靠的一把锁, 可以有效的提升无线局域网的安全性, 并且设置简单, 便于网络管理员控制无线网络, 并且经济有效。
3.无线局域网络中应用VPN技术
如果每一项安全措施都是阻挡黑客进入网络前门的门锁, 如ESSID的变化、MAC地址的过滤功能和动态改变的WEP密钥, 那么, 虚拟网 (VPN) 则是保护网络后门安全的关键。 (下转99页) (上接86页)
VPN具有比WEP协议更高层的网络安全性 (第三层) , 能够支持用户和网络间端到端的安全隧道连接。VPN技术为用户建立起专用的网络通道, 其安全性通过隧道技术、加密和认证技术给与了很好的解决。尤其在Intranet VPN中, 运用了高强度的加密技术来保护敏感信息;VPN可分为三大类: (1) 企业各部门与远程分支之间的Intranet VPN; (2) 企业网与远程 (移动) 雇员之间的远程访问 (Remote Access) VPN; (3) 企业与合作伙伴、客户、供应商之间的Extranet VPN。
4.无线入侵检测系统
入侵检测系统 (IDS) 是通过分析网络中的传输数据来判断破坏系统和入侵事件。以前的入侵检测系统仅能检测和对破坏系统作出反应。如今, 入侵检测系统已用于无线局域网, 其可以有效地监视网络中用户的活动状态, 并判断入侵事件的类型, 对一些用户的非法行为进行检测, 并对网络中出现的异常流量进行及时报警。同时, 无线入侵检测系统还能检测来自MAC地址的欺骗行为。其根据顺序分析法来识别哪些无线上网的WAP用户, 网络供应商提供计费式无线入侵检测系统, 用户可以获得优良的检测性能, 同时还将获得对于入侵的解决方案。
三、结语
无线局域网络安全受到诸多方面的挑战, 我们应该不断地给予完善, 依据不同的安全问题, 对无线网络的固有物理特性和组网结构进行透彻的分析, 在不同的层面采取恰当的措施, 保障无线网络的安全可用是完全可行的。H
无线局域网安全机制分析 篇7
关键词:无线局域网,网络安全,WEP,802.11i,802.1x
0 引言
无线局域网 (WLAN) 是计算机网络与无线通信技术结合的产物, 其出现为用户提供了一种崭新的网络接方式。WLAN具有用户使用灵活、网络易于扩展、建网成本要低等优点, 使其在全球范围内迅速普及, 蓬勃发展。但由于无线网络所特有的网络使用环境的开放性, 使其比有线网络面临更多的网络安全威胁, 其安全问题一直是业界研究的重点。
1 无线局域网面临的网络威胁
根据对无线局域网安全性要求, 和近年来对无线局域网的攻击实例分析来看, 对无线局域网的攻击行为主要集中在两方面, 第一是攻击者利用无线局域网认证机制的缺陷, 非法获取合法身份后, 以此作为进入有线网络的切入点, 进一步攻击有线网络;第二通过对无线局域网的无线信号截取、窃听, 获取网络中的通信数据。因此无线局域网安全机制的重点是网络的认证机制和空口无线信号加密机制的研究。
2 无线局域网安全机制
2.1 早期无线局域网安全技术
服务集标识符 (SSID) :无线局域网中SSID标示不同的无线接入点AP, 接入终端STA必需出示正确的SSID才能访问网络。因此STA必须知道正确的SSID, 才能在网络中发送和接收数据。AP在网络中不断广播自身的SSID, 非法入侵者能够非常容易获取此信息。
物理地址 (MAC) 过滤机制:和有线局域网一样, WLAN中通信的STA的网络物理地址是MAC地址, 因此可在AP中维护一个合法用户的MAC地址列表, 只有在表中的合法用户才能够接入WLAN。但在WLAN中通过截取数据帧, 分析出合法MAC地址, 再对入侵主机的MAC地址进行伪装, 即可完成对WLAN的入侵。
2.2 有线对等保密机制 (WEP)
为增强WLAN的网络安全性, IEEE802.1定义了有线对等保密 (Wired Equivalent Privacy, WEP) 安全机制。WEP分为认证和加密两个部分, 只有通过认证的用户才能以合法用户的身份接入网络, 同时WEP通过对数据加密来保证传输过程的数据安全性性。
WEP认证采用共享密钥认证, 在认证机制上存在两个漏洞。首先认证只是单向认证, AP并没有向STA证明它的合法性。其次在认证质询和认证回复两条消息中, 认证质询使用是明文, 而认证回复是密文。因此如果入侵者收集到一对认证消息, 完全可以计算出密钥。
在加密机制上, WEP使用了40位或104位的对称流密码RC4算法。密钥包含公共初始向量IV和密钥Key两部分, 使用Ⅳ的目的就是想利用Ⅳ的变化使加密的每个数据包的密钥不同, 避免相同的明文生成相同的密文。由于WEP机制中使用的密钥只能是预先配置的4组中的一个, 因此其实质上是静态WEP加密。同时AP运用此相同的加密密匙服务于整个网络, 因此一旦一个用户的密匙泄露, 整网所有用户就处在网络加密被破解的境地。
2.3 802.11i无线安全标准
基于WEP安全机制的脆弱性, 为了解决WALN网络安全缺陷, IEEE制定了802.11i新一代WLAN网络安全标准。在用户认证方面, 标准通过引入802.1x端口认证协议和EAP协议增强用户接入认证功能;在数据加密方面, 定义了TKIP、WRAP和CCMP三种加密机制。在网络兼容性方面, 定义了两阶段网络:过渡安全网络TSN和健壮安全网络RSN的概念。
2.3.1 802.1x 访问控制协议
802.1x是一个基于端口的访问控制协议, 网络由3个实体构成:STA、AP和认证服务器AS构成。AP内置IEEE 802.1x认证代理功能, 同时它还作为AS服务器 (通常是RADIUS服务器) 的客户端, 其上存在有两个逻辑端口:控制端口和非控制端口。非控制端口始终打开, 保证随时接收STA发出的EAPOL报文;AS收到AP转发的认证请求后, 采用RADIUS协议对认证请求进行封装, AS认证结果为合法用户后, AP的控制端口打开, 用户接入网络。否则AP拒绝用户的接入请求。引入802.1x访问控制协议还可为网络提供密钥管理、密匙分配等功能, 强健了802.11的网络访问控制机制。
2.3.2 802.11i加密机制
TKIP是一个过渡性的方案, 为兼容现有WLAN设备, TKIP依然采用WEP机制里的RC4作为核心加密算法, 但在以下方面进行了加强和优化:在消息完整性校验方面, 摒弃了WEP的CRC;加大了IV的长度, 改变了IV的选择机制, 这样避免了IV的重用, 同时建立了对消息重发的保护机制;引入了密匙管理功能, 网络的认证、加密使用不同的密匙。这些措施提供了网络安全性, 但由于其核心仍然是RC4加密算法, 因此并没有从根本上解决问题。
CCMP使用高级加密算法AES核心加密算法和CCM模式协议。AES使用的迭代分组加密算法比RC4对称流密码具有更高的安全性, CCM采用计数器模式进行加密, 密码分组链接消息鉴别码CBC-MAC模式完成消息完整性检测。这些设计使采用CCMP机制的WLAN的网络安全性有了质的提高。但由于CCMP对硬件要求很高, 现有网络设备无法通过升级实现。在802.11i制定的强健安全网络RSN的强制性要求。
WRAP制基于AES加密算法和OCB, 是一种可选的加密机制。
2.3.3强健安全网络 (RSN)
为构建一个安全的无线局域网络, IEEE在802.11i中提出了RSN概念, RSN要求WLAN的访问控制采取802.1X协议结合EAP和PEAP协议实现认证;数据加密算法需使用AES。RSN是一个抽象的网络安全机制实现框架, 此框架可用多种接入方式实现, 如PPPOE、WEB/Portal、DHCP等。具体到无线局域网, RSN构建在802.1x之上。在802.11i标准中。采取RSN构建的WLAN将认证和授权进行了分离, 网络边缘的AP通过802.1x的逻辑端口的访问控制功能, 实现对接入用户的授权管理, 同时也将接入风险限制在各个网络接入端;用户的认证信息通过EAP协议封装, 发往AS服务器进行集中认证, 提高了认证的安全性, 同时也更便于对用户的集中管理;最后由于RSN框架实现的灵活性, 网络构建具有极大的灵活性, 可方便地应用新的网络技术以及新的密码算法, 使网络能更好的面对新的网络攻击。
3 无线局域网组网安全性技术
WLAN网络设计、规划的科学性和合理性同样是保证WALN网络安全性的重要保证, 如何有效利用各种网络组网技术, 是构造一个安全的WLAN网络重要的手段。
3.1 虚拟局域网 (VLAN)
IEEE802.1Q定义的VLAN标准, 通过在普通MAC帧头中加入TAG字段的机制, 实现了虚拟局域网技术。应用表明VLAN的应用很好的限制了网络的二层互通。科学的规划网络设备的VLAN归属, 能极大的提高网络的安全性, 能将网络薄弱点 (如AP) 被突破后, 带来的整网网络安全威胁, 限制在局部小范围。
3.2 网络地址转换 (NAT)
NAT实现了将IP数据包中的IP转换为其它IP的功能, 缓解了IPV4中IP地址枯竭的问题;同时网络中使用NAT转换后, 能很好的隐藏内网的网络结构, 保护内网主机不受外部的攻击。因此在考虑WLAN组网方案时, 通过合理地在接入路由器上设置NAT功能, 将WLAN网络和内网进行隔离, 可大大提高内网重要主机的三层网络安全。
176网络安全技术与应用2014.7
3.3 虚拟专用网络 (VPN)
VPN是指利用网络隧道技术在公网上构建一个临时的、安全的私有通道的技术, VPN的建立首先需要通过认证认证, 在隧道中传输的用户数据使用加密技术加密, 是在不可信的公网上传递私有信息的有效解决方案。VPN具有应用环境广泛、管理灵活以及使用成本低等特点。根据具体的网络架构可在网络的二、三层部署, 二层常用的隧道协议有PPTP、L2F、L2TP;三层常用的隧道协议有GRE、IPSec。对于企业级WLAN, VPN方案是替代WEP等弱安全保障机制的最佳替代者。此时AP设置为开放式接入模式, WLAN的认证、访问控制交给网络中的VPN认证服务器处理, 从而可以经济地实现对老网络安全性的升级。
4 结束语
WLAN因其用户使用灵活、网络易于扩展、建网成本要低等优点, 得到了快速的发展;但其特有的网络安全性问题, 也不断收到来自网络的安全挑战。随着WLAN安全机制的不断成熟, 并结合各种网络组网安全技术的应用, WLAN会更好的服务于未来的网络社会。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
[2]周超, 周城, 郭亮.IEEE802.1X的安全性分析及改进[J].计算机应用, 2011, 31 (5) :1165-1270.
[3]王茂才, 戴光明, 宋军等.无线局域网的安全性研究.计算机应用研究2007, 12 (01) :158~160.
无线局域网安全性探讨 篇8
现有无线局域网安全技术包括了访问控制、认证、加密、数据完整性及不可否认性等。认证提供了关于用户的身份的保证, 这意味着当用户声称具有一个特别的身份时, 认证将提供某种方法来证实这一声明是正确的。目前, 主要的认证方式有PPPoE认证、WEB认证和802.1X认证。访问控制可通过访问SSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。为了使数据不被未得到授权的对象获得, 需要采取加密手段。数据完整性需要判断出接收的信息没有在传输过程中遭到篡改、乱排等破坏, 如果发生了还要求可以从完整性体制中恢复出原来的数据。不可否认性是防止传输双方否认自己有接发数据行为而采取的安全机制。
2 无线局域网存在的安全威胁和隐患
无线局域网面临的安全威胁主要分为主动和被动攻击, 主动攻击指未经授权的对象接入网络篡改、破坏数据内容, 包括伪装攻击、重放攻击、篡改攻击、拒绝服务攻击等。被动攻击指对象简单的访问网络, 但不修改其中内容, 可能是窃听或流量分析等行为。
无线局域网安全隐患存在于对身份认证的欺骗、MAC地址访问控制、算法方面的缺陷。
3 无线局域网安全标准分析
IEEE802.11安全标准:WEP。
IEEE 802.11标准通过有线对等保密协议WEP (Wired Equivalent Privacy) 来实现认证与数据加密, 认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密, 属于一种对称的流密码, 支持可变长度的密钥。
在IEEE 802.11的WLAN中主要有服务区标识符 (SSID) 、MAC地址过滤、WEP算法 (RC4密钥) 几种安全机制。服务区标识符识别连接在WLAN上的AP, 接入的客户端必须与网络中的AP持相同的SSID。MAC地址过滤剔除了被允许访问的客户端地址列表之外的接入请求, 也是一种访问控制方式。WEP算法是一种可选的链路层安全机制, 用来提供访问控制、数据加密、安全性检验等, 需要预先配置客户端和AP的共享WEP密钥 (静态WEP密钥) , 接送双方进行加密解密。
在WEP协议中客户端并不对AP的身份进行认证, 这种单向的认证方式使假冒AP出现成为可能。MAC地址控制缺陷首先在于地址是以明文传送的, 攻击者可以嗅探到合法的MAC地址, 其次无线设备允许通过软件重新配置地址, 攻击者可以修改MAC地址冒充合法用户访问网络。RC4密钥算法存在固有的缺陷。WEP算法实际是利用RC4流密码算法作为伪随机数产生器, 将初始变量IV (Initial Vector) 和WEP密钥组合为种子生成WEP密钥流, 再由该密钥流与WEP数据帧负载进行异或运算完成加密。RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。WEP帧数据负载第一个字节很容易辨别, 固定为逻辑链路控制的802.2头信息, 攻击者利用辨别的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节;另外初始变量只有24位, 算法强度不高。攻击者可以截获它再结合第一个字节密钥流输出和RC4密钥特点, 计算出WEP密钥。典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。
IEEE802.11i与WPA安全标准。
为解决上述缺陷, IEEE 802.11i工作组制订了新一代安全标准, 主要包括加密技术:TKIP (Temporal Key Integrity Protocol) 和AES (Advanced Encryption Standard) , 及认证协议IEEE802.1x。
认证方面, IEEE 802.11i采用802.1x接入控制, 实现无线局域网的认证与密钥管理, 并通过EAP-Key的四向握手过程与组密钥握手过程, 创建、更新加密密钥, 实现802.11i中定义的鲁棒安全网络 (Robust Security Network, 简称RSN) 的要求。加密方面, IEEE 802.1li定义了TKIP (Temporal Key Integrity Protocol) , CCMP (Counter-Mode/CBC-MAC Protocol和WRAP (Wireless Robust Authenticated Protocol) 3种加密机制。一方面, TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数 (Key Mixing Function) , 重放保护机制和Michael消息完整性代码 (安全的MIC码) 这4种安全措施, 解决了WEP中存在的安全漏洞, 提高了安全性, 但是TKIP是基于RC4的, 类似RC4已发现的问题, 还有可能产生。RC4类算法的异或运算过于简单, 在无线环境下具有一定的局限性。此外, 802.11中配合AES使用的加密模式CCM和OCB, 并在这两种模式的基础上构造了CCMP和WRAP密码协议。
WPA (Wi-Fi Protected Access) 标准是IEEE802.11i的一个子集, 其核心就是IEEE802.1x和TKIP。
中国无线局域网安全标准:WAPI。
WAPI, 即无线局域网鉴别和保密基础结构 (WLAN Authentication and Privacy Infrastructure) , 这是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法, 实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护, 旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状, 从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。
4 结论
无线技术有着广阔的前景, 不断发展更加完善的安全技术是促进无线技术推广应用的基础, 是和其它多种网络互联的需要, 如此才能发挥其灵活方便的特点带给人们更多的效益。
参考文献
[1]刘乃安.无线局域网—原理、技术及应用[M].西安:西安电子科技大学出版社, 2004.
[2]钱进.无线局域网技术与应用[M].北京:电子工业出版社, 2004.
【无线局域网安全概述】推荐阅读:
无线局域网安全论文07-06
无线局域网安全技术10-08
无线局域网安全措施11-04
无线局域网安全分析11-22
无线局域网安全与防范05-08
无线局域网及安全技术08-21
无线局域网的安全防护08-09
企业无线局域网06-04
无线局域网技术06-10
无线局域网协议06-11