無線局域網(wǎng)安全技術(shù)論文(2)
無線局域網(wǎng)安全技術(shù)論文
無線局域網(wǎng)安全技術(shù)論文篇二
論無線局域網(wǎng)的安全技術(shù)
摘要: 本文結(jié)合無線局域網(wǎng)發(fā)展的背景,從物理安全、存在的威脅兩方面分析了無線局域網(wǎng)的安全問題,并介紹了解決問題的幾種無線局域網(wǎng)安全技術(shù)。
關(guān)鍵詞: 無線;局域網(wǎng);安全技術(shù)
一、引言
近年來,無線網(wǎng)在全世界取得了較大發(fā)展,無線局域網(wǎng)(WLAN,wIreland1ess Local Area Network)應(yīng)用也越來越多,它將擴(kuò)展有線局域網(wǎng)或在某些情況下取而代之??梢灶A(yù)見,未來無線局域網(wǎng)將依靠其無法比擬的靈活性、可移動(dòng)性和極強(qiáng)的擴(kuò)容性,使人們真正享受到簡單、方便、快捷的連接。但是,與有線網(wǎng)絡(luò)一樣,無線局域網(wǎng)正受到眾多安全問題的困擾,其中包括來自網(wǎng)絡(luò)用戶的攻擊、未認(rèn)證的用戶獲得存取權(quán)和來自公司或工作組外部的竊聽。由于無線媒體的開放性,竊聽是無線通信常見的問題,使得無線網(wǎng)絡(luò)的安全性比有線網(wǎng)絡(luò)更受關(guān)注。
二、 無線局域網(wǎng)的安全問題
目前,困擾無線局域網(wǎng)發(fā)展的因素己不是速度,而是安全、應(yīng)用和互聯(lián)互通方面的問題,其中安全己成為制約無線局域網(wǎng)發(fā)展的重要因素。調(diào)查顯示,在所有不愿采用無線局域網(wǎng)的用戶中,有40%的原因來自安全問題。可見,安全問題不解決,無線局域網(wǎng)的應(yīng)用前景必將大受影響。與有線網(wǎng)絡(luò)相比較,無線局域網(wǎng)的安全問題主要有兩個(gè)方面。
(一)物理安全
無線設(shè)備包括站點(diǎn)(STA,Station)和接入點(diǎn)(AP,Access Point)。站點(diǎn)通常由一臺(tái)PC或筆記本電腦加上一塊無線網(wǎng)絡(luò)接口卡構(gòu)成:接入點(diǎn)通常由一個(gè)無線輸出口和一個(gè)有線網(wǎng)絡(luò)接口構(gòu)成,其作用是提供無線和有線網(wǎng)絡(luò)之間的橋接。物理安全是關(guān)于這些無線設(shè)各自身的安全問題。首先,無線設(shè)備存在許多的限制,這將對存儲(chǔ)在這些設(shè)備的數(shù)據(jù)和設(shè)備問建立的通信鏈路安全產(chǎn)生潛在的影響。與個(gè)人計(jì)算機(jī)相比,無線設(shè)備如個(gè)人數(shù)字助理(PDA,Personal Digital Assistant)和移動(dòng)電話等,存在電池壽命短、顯示器小、有限的或不同的輸入方法、通信鏈路帶寬窄、內(nèi)存容量小、CPU處理速度小等缺陷。其次,無線設(shè)備雖有一定的保護(hù)措施,但是這些保護(hù)措施總是基于最小信息保護(hù)需求的。如果存儲(chǔ)重要信息的無線設(shè)備被盜,那么小偷就可能無限期地對設(shè)備擁有惟一的訪問權(quán),不斷地獲取受保護(hù)的數(shù)據(jù)。因此,有必要加強(qiáng)無線設(shè)備的各種防護(hù)措施。
(二)存在的威脅
1、修改替換。在無線局域網(wǎng)中,通過增加功率或定向天線可以很容易使菜一結(jié)點(diǎn)的功率高于另一結(jié)點(diǎn)。這樣,較強(qiáng)結(jié)點(diǎn)可以屏蔽較弱結(jié)點(diǎn),用自己的數(shù)據(jù)取代,甚至?xí)嫫渌Y(jié)點(diǎn)做出的反應(yīng)。
2、傳遞信任。當(dāng)內(nèi)部網(wǎng)包括一部分無線局域網(wǎng)時(shí),就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。但在無線網(wǎng)絡(luò)環(huán)境下,受攻擊卻不能通過一條確定的路徑找到這個(gè)接口,這使得有效認(rèn)證機(jī)制顯得特別重要。在所有的情況下,參與通信的雙方都應(yīng)該能相互認(rèn)證。
3、基礎(chǔ)結(jié)構(gòu)攻擊?;A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞,如軟件臭蟲、錯(cuò)誤配置、硬件故障等。這種攻擊也會(huì)出現(xiàn)在無線局域網(wǎng)中。但是針對這種攻擊進(jìn)行的保護(hù)幾乎是不可能的,除非發(fā)生了,否則不可能知道臭蟲的存在。所能做的就是盡可能地降低破壞所造成的損失。
4、拒絕服務(wù)。無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號(hào)來干擾網(wǎng)絡(luò)的正常運(yùn)行,從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。如果攻擊者有足夠功率的無線電收發(fā)器,就能容易地產(chǎn)生干擾信號(hào),以至于無線局域網(wǎng)無法使用這個(gè)無線電通道。
三、無線局域網(wǎng)安全技術(shù)
(一)服務(wù)集標(biāo)識(shí)符
服務(wù)集標(biāo)識(shí)符(SSID,Service Set Identifier)技術(shù)將一個(gè)無線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng),每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證,只有通過身份驗(yàn)證的用戶才能進(jìn)入相應(yīng)的子網(wǎng),防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò),同時(shí)對資源的訪問權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無線接入點(diǎn)(AP)區(qū)分的標(biāo)志,無線接入用戶必須設(shè)定SSID才能和AP通信。通常,SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及AP中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID,這是惟一標(biāo)識(shí)網(wǎng)絡(luò)的字符串。
但是,SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串,其安全性能差,人們可以輕易地從每個(gè)信息包的明文里竊取到它。一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易泄露給非法用戶。SSID實(shí)際是一個(gè)簡單口令,可以提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。
(二)媒體訪問控制
由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址,應(yīng)用媒體訪問控制(MAC,Media Access Control)技術(shù),可在無線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)允許接入用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點(diǎn)將拒絕其接入請求。但因?yàn)镸AC地址在網(wǎng)上是以明碼模式傳送的,所以只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址,進(jìn)而偽裝使用者進(jìn)入內(nèi)部網(wǎng)絡(luò)偷取機(jī)密資料。其次,部分無線網(wǎng)卡允許通過軟件來更改其MAC地址,通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址,因此可通過訪問控制的檢查而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限。另外,媒體訪問控制屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新,由于目前都是手工操作,當(dāng)用戶增加時(shí),MAC地址擴(kuò)展困難,因此媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。
(三)Wi―Fi保護(hù)性接入
Wi―Fi保護(hù)性接入(WPA,wi―Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。其原理為根據(jù)通用密鑰,配合表示計(jì)算機(jī)MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。這樣,無論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。
WPA標(biāo)準(zhǔn)采用了TKIP(Temporal Key Integrity Protoc0l)、EAP和802.1x等技術(shù),在保持Wi―Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上,解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。因此,WPA在提高數(shù)據(jù)加密能力、增強(qiáng)網(wǎng)絡(luò)安全性能和接入控制能力方面具有重要意義。WPA是一種比WEP更為強(qiáng)大的加密方法。作為802.11i標(biāo)準(zhǔn)的子集,WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成都分,是一個(gè)完整的安全性方案。
(四)國家標(biāo)準(zhǔn)WAPI
國家標(biāo)準(zhǔn)WAPI (WAPI,WLAN Authentication and Privacy infrastructure),即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),是針對IEEE802.11中WEP協(xié)議的安全問題,在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GBl5629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。
WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制,真正實(shí)現(xiàn)了移動(dòng)終端(MT,Movable Terminator)與無線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游,方便用戶使用。另外,它充分考慮了市場應(yīng)用,從應(yīng)用模式上可分為單點(diǎn)式和集中式兩種。單點(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用,集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè),可以和運(yùn)營商的管理系統(tǒng)結(jié)合起來,共同搭建安全的無線應(yīng)用平臺(tái)。采用WAPI能夠徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀,從而從根本上解決安全和兼容性問題。
四、結(jié)語
無線局域網(wǎng)具有隨時(shí)連線、成本低廉、速度快、部署簡易、美觀和機(jī)動(dòng)性強(qiáng)等優(yōu)勢。但容易遭竊聽或干擾,同樣面臨安全問題。常用的安全技術(shù)有服務(wù)集標(biāo)識(shí)符等技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,新的安全認(rèn)證與識(shí)別技術(shù)也會(huì)不斷涌。
參考文獻(xiàn):
[1]王惠勇. 無線局域網(wǎng)及其安全技術(shù)[J]. 電腦與電信, 2009,(02) .
[2]楊改貞. 無線局域網(wǎng)中的安全及WPA加密技術(shù)研究[J]. 電腦應(yīng)用技術(shù), 2006,(03) .
[3]劉國強(qiáng). 無線局域網(wǎng)技術(shù)概述[J]. 科學(xué)大眾, 2009,(04) .
[4]伍向陽. 無線局域網(wǎng)安全解決方案淺析[J]. 中國科教創(chuàng)新導(dǎo)刊, 2009,(08) .
看了“無線局域網(wǎng)安全技術(shù)論文”的人還看:
1.無線網(wǎng)絡(luò)安全技術(shù)的論文三篇
2.關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文