论文部分内容阅读
【摘要】无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,使得安全性成为阻碍WLAN发展的最重要因素。
【关键词】无线局域网;系统;安全
0.引言
随着无线技术运用的日益广泛,无线网络的安全问题越来越受到人们的关注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收和理解。
本文通过分析无线局域网的主要安全需求,抗干扰,以及数据加密等几个方面,对无线局域网的安全进行设计
1.无线局域网主要安全需求
1.1无线网络自身安全性
无线局域网络在正常工作中,保证正常的无线网络系统安全工作状态是安全的前提。
无线网络工作安全状态是通过严谨的电磁环境分析、正确规划与工程施工、先进的高级安全加密和认证手段支持、无线网络系统配置参数科学设置、严格技术管理,堵塞安全漏洞来实现的。
1.2数据传输安全性
在无线局域网络中,第一个环节是数据信息在自由空间的开放传输的安全性,针对这一环节采用数据加密方式可以提高信息的传输安全性。根据加密算法的不同,破解的难易程度不同,因此在设计实施无线局域网络时,对加密算法的选定是根据不同角色不同安全要求确定。
1.3入网认证安全性
第二个环节是移动用户接入无线局域网络中的身份认定,是否合法。合法允许进入网络,非法则拒绝。认证的安全性包括认证的流程和方法,不同认证流程具有的安全程度不同。
对安全性要求高的需求,采用强力的认证方法提高无线系统的认证安全性。对安全性需求不高的需求,采用一般的认证安全性。
1.4防范网络非法攻击
防止网络非法攻击主要是针对在无线方面的攻击,攻击分类为:窃听、篡改、身份假冒、拒绝攻击。
攻击又分为无密钥攻击和有密钥攻击两种:无密钥攻击主要有窃听和中间人攻击(篡改)。对密钥攻击主要有字典攻击、算法攻击、强力密钥攻击等攻击手段。
1.5系统安全管理安全性
针对无线网络用户和操作管理人员的上网工作,规范其操作、运行、维护与管理安全规章制度。加强所有操作人员的安全概念和安全内意识。
2.无线局域网的抗干扰措施
许多干扰源会对WLAN的性能造成不利影响,例如:
无绳电话(2.4或5.xGHz)
蓝牙个人区域联网设备(2.4GHz)和蓝牙无线设备
脉冲雷达(美国正在研究将 5.4GHz频带用于脉冲雷达)
微波炉(在2.4GHz频带中50%的忙闲度将产生脉冲干扰。)
低能量RF光源(2.4GHz)
采用包括蜂窝、蓝牙与WLAN在内的多种无线技术的集成设备、手持终端与PDA中假讯号RF噪声满足新兴“全频段”要求的宽频带 5GHz设备。
综上所述,无线信道的干扰主要包括信道内干扰和邻信道干扰,为尽力减小信道干扰,本文采取了三个措施:
(1)限制无线网内使用其它工作在WLAN频道范围内的无线设备,如蓝牙,私自架设无线接入点(以下简称AP)等。
(2)在部署AP以前做好充分的现场测试,测试出满足覆盖全局的最小AP数,尽量减小相邻AP间覆盖范围的重叠。部署好所有AP以后,使用艾尔麦无线测试仪对全网无线信号进行测试,找出同一点统一信道存在多个AP信号的区域,在无线控制器上调整相应AP的发射功率,缩小相应AP的覆盖范围,减小干扰。
(3)充分利用集中式架构中无线控制器的作用,让其为所有AP动态分配信道,避免相邻AP使用同一信道,避免干扰。
3.数据加密机制的选择
在无线局域网中安全包括认证和数据加密,无线局域网的数据加密安全机制可采用WPA方式。
WPA安全机制:
WPA使用了一种称为Temporal Key Integrity Protocol(TKIP)临时密钥完整性协议的加密策略来加强数据的私密性,TKIP仍采用与WEP同样的RC4加密得法,但以不同的方式构造密钥。TKIP提供了对每个数据包密钥进行循环加密、消息完整性检查、密钥重生等新功能,这些功能完全克服了WEP中的缺点,使数据的保密性更好。
TKIP中密码使用的密钥长度不是40位,而是128位,并且密钥是由认证服务器自动生成和分发的。初始化向量(Initial Vector,IV)也由WEP的24比特增加到了48比特。这解决了WEP密钥长度过短的问题。
TKIP算法包括如下部分:
MIC(Message Integrity Code),即信息完整性代码,又叫Michael。由发送端根据MSDU(MAC服务数据单元)的源地址,目标地址和MSDU明文数据计算得出,并附加在分段存储前的MPDU(MAC层协议数据单元)数据中。
Countermeasure,又称为反攻击策略,反攻击策略工作方式如下,系统将出现错误MIC的情况作为相关安全问题记录并跟踪。
TSC(TKIP Sequence Counter),即TKIP包序列计数器,用来记录MPUD的传送顺序。TSC可以为WLAN提供一个简单的防重播机制。
Cryptographic mixing function,加密混合函数,TKIP使用两次加密混合函数将临时密钥和TSC结合起来生成WEP种子密钥(WEP seed)。加密混合函数是为了解决WEP中存在的弱密钥攻击。
TKIP加密过程是这样的,TKIP从MSDU源地址,目标地址和数据明文中计算出MIC,并添加到MSDU,然后TKIP对MSDU进行分段,分成数个MPDU单元,TKIP给每个MPDU分配一个单调递增的TSC。对于每个MPDU,TKIP使用密钥混合函数计算生成WEP种子密钥。最后TKIP把WEP种子密钥和MPDU传输给WEP加密模块,产生MPDU密文,完成加密操作。
4.其它安全措施
在AP設备上还要进行一些安全设置,像以太网过滤、服务区标识符(SSID)匹配。
4.1以太网MAC过滤
在AP上还可以选择以太网MAC过滤作为附加的安全措施,并由此创建一个MAC地址列表,该列表可以通过无线接口与接入点相结合。当启用MAC地址列表时,接入点收到指令,只能转发从已授权的无线设备接收到的数据包。通过无线接口从未被授权的设备—包括其他的接入点—接收到的数据包将会被丢弃。从以太网端口接收到的数据包被继续转发到已授权的MAC地址。
但是在使用以太网MAC过滤时会有一些问题,任何加到网络中的无线设备必须获得明确的许可,才能将其加入过滤列表中。在与其他安全措施同时使用时,由于在数据包转发或丢弃时,需要对数据包报头进行检查,因此信息的吞吐量受到影响。
4.2服务区标识符(SSID)匹配
无线客户端必需设置与无线访问点AP相同的服务区标识符(SSID),才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的。 [科]
【参考文献】
[1]Mark Ciampa.王顺满等译.无线周域网设计与实现.科学出版社,2003.
[2]牛伟,郭世泽,吴志军等.无线局域网.人民邮电出版社,2003.
[3]熊江.无线局域网络安全性的研究.计算机科学,2003,7.
【关键词】无线局域网;系统;安全
0.引言
随着无线技术运用的日益广泛,无线网络的安全问题越来越受到人们的关注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收和理解。
本文通过分析无线局域网的主要安全需求,抗干扰,以及数据加密等几个方面,对无线局域网的安全进行设计
1.无线局域网主要安全需求
1.1无线网络自身安全性
无线局域网络在正常工作中,保证正常的无线网络系统安全工作状态是安全的前提。
无线网络工作安全状态是通过严谨的电磁环境分析、正确规划与工程施工、先进的高级安全加密和认证手段支持、无线网络系统配置参数科学设置、严格技术管理,堵塞安全漏洞来实现的。
1.2数据传输安全性
在无线局域网络中,第一个环节是数据信息在自由空间的开放传输的安全性,针对这一环节采用数据加密方式可以提高信息的传输安全性。根据加密算法的不同,破解的难易程度不同,因此在设计实施无线局域网络时,对加密算法的选定是根据不同角色不同安全要求确定。
1.3入网认证安全性
第二个环节是移动用户接入无线局域网络中的身份认定,是否合法。合法允许进入网络,非法则拒绝。认证的安全性包括认证的流程和方法,不同认证流程具有的安全程度不同。
对安全性要求高的需求,采用强力的认证方法提高无线系统的认证安全性。对安全性需求不高的需求,采用一般的认证安全性。
1.4防范网络非法攻击
防止网络非法攻击主要是针对在无线方面的攻击,攻击分类为:窃听、篡改、身份假冒、拒绝攻击。
攻击又分为无密钥攻击和有密钥攻击两种:无密钥攻击主要有窃听和中间人攻击(篡改)。对密钥攻击主要有字典攻击、算法攻击、强力密钥攻击等攻击手段。
1.5系统安全管理安全性
针对无线网络用户和操作管理人员的上网工作,规范其操作、运行、维护与管理安全规章制度。加强所有操作人员的安全概念和安全内意识。
2.无线局域网的抗干扰措施
许多干扰源会对WLAN的性能造成不利影响,例如:
无绳电话(2.4或5.xGHz)
蓝牙个人区域联网设备(2.4GHz)和蓝牙无线设备
脉冲雷达(美国正在研究将 5.4GHz频带用于脉冲雷达)
微波炉(在2.4GHz频带中50%的忙闲度将产生脉冲干扰。)
低能量RF光源(2.4GHz)
采用包括蜂窝、蓝牙与WLAN在内的多种无线技术的集成设备、手持终端与PDA中假讯号RF噪声满足新兴“全频段”要求的宽频带 5GHz设备。
综上所述,无线信道的干扰主要包括信道内干扰和邻信道干扰,为尽力减小信道干扰,本文采取了三个措施:
(1)限制无线网内使用其它工作在WLAN频道范围内的无线设备,如蓝牙,私自架设无线接入点(以下简称AP)等。
(2)在部署AP以前做好充分的现场测试,测试出满足覆盖全局的最小AP数,尽量减小相邻AP间覆盖范围的重叠。部署好所有AP以后,使用艾尔麦无线测试仪对全网无线信号进行测试,找出同一点统一信道存在多个AP信号的区域,在无线控制器上调整相应AP的发射功率,缩小相应AP的覆盖范围,减小干扰。
(3)充分利用集中式架构中无线控制器的作用,让其为所有AP动态分配信道,避免相邻AP使用同一信道,避免干扰。
3.数据加密机制的选择
在无线局域网中安全包括认证和数据加密,无线局域网的数据加密安全机制可采用WPA方式。
WPA安全机制:
WPA使用了一种称为Temporal Key Integrity Protocol(TKIP)临时密钥完整性协议的加密策略来加强数据的私密性,TKIP仍采用与WEP同样的RC4加密得法,但以不同的方式构造密钥。TKIP提供了对每个数据包密钥进行循环加密、消息完整性检查、密钥重生等新功能,这些功能完全克服了WEP中的缺点,使数据的保密性更好。
TKIP中密码使用的密钥长度不是40位,而是128位,并且密钥是由认证服务器自动生成和分发的。初始化向量(Initial Vector,IV)也由WEP的24比特增加到了48比特。这解决了WEP密钥长度过短的问题。
TKIP算法包括如下部分:
MIC(Message Integrity Code),即信息完整性代码,又叫Michael。由发送端根据MSDU(MAC服务数据单元)的源地址,目标地址和MSDU明文数据计算得出,并附加在分段存储前的MPDU(MAC层协议数据单元)数据中。
Countermeasure,又称为反攻击策略,反攻击策略工作方式如下,系统将出现错误MIC的情况作为相关安全问题记录并跟踪。
TSC(TKIP Sequence Counter),即TKIP包序列计数器,用来记录MPUD的传送顺序。TSC可以为WLAN提供一个简单的防重播机制。
Cryptographic mixing function,加密混合函数,TKIP使用两次加密混合函数将临时密钥和TSC结合起来生成WEP种子密钥(WEP seed)。加密混合函数是为了解决WEP中存在的弱密钥攻击。
TKIP加密过程是这样的,TKIP从MSDU源地址,目标地址和数据明文中计算出MIC,并添加到MSDU,然后TKIP对MSDU进行分段,分成数个MPDU单元,TKIP给每个MPDU分配一个单调递增的TSC。对于每个MPDU,TKIP使用密钥混合函数计算生成WEP种子密钥。最后TKIP把WEP种子密钥和MPDU传输给WEP加密模块,产生MPDU密文,完成加密操作。
4.其它安全措施
在AP設备上还要进行一些安全设置,像以太网过滤、服务区标识符(SSID)匹配。
4.1以太网MAC过滤
在AP上还可以选择以太网MAC过滤作为附加的安全措施,并由此创建一个MAC地址列表,该列表可以通过无线接口与接入点相结合。当启用MAC地址列表时,接入点收到指令,只能转发从已授权的无线设备接收到的数据包。通过无线接口从未被授权的设备—包括其他的接入点—接收到的数据包将会被丢弃。从以太网端口接收到的数据包被继续转发到已授权的MAC地址。
但是在使用以太网MAC过滤时会有一些问题,任何加到网络中的无线设备必须获得明确的许可,才能将其加入过滤列表中。在与其他安全措施同时使用时,由于在数据包转发或丢弃时,需要对数据包报头进行检查,因此信息的吞吐量受到影响。
4.2服务区标识符(SSID)匹配
无线客户端必需设置与无线访问点AP相同的服务区标识符(SSID),才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的。 [科]
【参考文献】
[1]Mark Ciampa.王顺满等译.无线周域网设计与实现.科学出版社,2003.
[2]牛伟,郭世泽,吴志军等.无线局域网.人民邮电出版社,2003.
[3]熊江.无线局域网络安全性的研究.计算机科学,2003,7.