论文部分内容阅读
摘要:随着无线网络的迅速发展,无线网络的安全缺陷逐渐地暴露出来,并且成为阻碍无线网络发展的首要因素。着重从无线局域网络的脆弱性入手,介绍WLAN存在的安全缺陷并分析其面临的安全威胁的种类。针对无线网络的安全问题的访问控制和数据加密方面对MAC、SSID、WEP、WPA、WAPI、802.lli这六个技术进行讨论。
关键词:无线局域网;MAC;SSID;WEP;WPA;802.lli;WAPI;安全问题;解决对策
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2011)0220194-01
随着计算机技术及其应用的不断发展,人们对计算机联网和通信的要求越来越高。同时,由于不同的地域或客观条件的制约,在许多情况下,有线通信及其组网的方式已不能满足应用的要求,于是具有诸多优点的无线计算机网络通信及其联网技术应运而生,在很多领域都得到了广泛的应用。随着无线基础设施的迅速普及,无线通信网络本身所固有的缺点,即通信的安全性不高,也成为了无线网络应用最突出的问题。
1、无线局域网络的结构
无线局域网由无线网络接口卡(NIC)、无线接点(AP)、计算机和有关设备组成。其中,无线网卡负责把PC机或其它设备与无线网络连接起来,而接入点则负责将多个无线的接入站聚合到有线的网络上。无线局域网采用电磁波作为载体,
扩展了用户的自由度与灵活性,使随时随地上网成为可能。
2、无线局域网络的缺点
1)无线局域网物理结构的开放性质,决定了它在提供了联网的方便性的同时,也使得它难以限制网络资源的物理访问。所以它比有线网络在安全性方面上更加脆弱。2)无线网络的移动性使得移动节点没有足够的物理防护,攻击者可能在任何位置通过移动设备实施攻击,安全管理难度更大。
3、无线局域网络所面临的安全威胁
无线网络可能受到的攻击分为两类:
1)关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。2)基于无线通信网络设计、部署和维护的独特方式而进行的攻击。
以下是无线网络常见的几种攻击:①进行搜索攻击。②信息泄露威胁。③欺骗和非授权访问。④网络接管与篡改。
4、安全对策
针对上面介绍无线网络安全的问题,以下着重以访问控制和数据加密两方面技术进行分析。
4.1访问控制
利用MAC地址访问控制和服務区域认证ID技术来防止非法无线设备入侵。
MAC地址访问控制技术:1)由于MAC地址在网卡出厂时就已经设定,可利用其唯一性作为无线网络访问控制依据。MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯。MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施。缺陷:MAC地址欺骗。由于MAC地址可以伪造,并且用户可以自行修改自己的MAC地址,所以侵入者可以通过窃听合法用户AP的通信,获取合法的MAC地址伪造自己的MAC地址,从而使自己的身份合法化。2)服务区域认证ID(SSID)。SSID是无线网络用于定位服务的一项功能。为了能够进行通讯,无线路由器和主机必须使用相同的SSID。服务区域认证对每一个AP内都会设置一个服务区域认证ID,只有当AP和无线终端的SSID相匹配时,AP才接受无线终端的访问并提供网络服务。缺陷:SSID广播功能。在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,这就相当于向黑客们敞开自己的大门。
4.2数据加密
IEEE802.ll作为应用范围最广的无线局域网技术,针对其突出的安全问题,近几年,各个组织和国家提出了多种的解决方案。从最开始的WEP协议,经历WPA,到802.lli协议。在这期间安全技术不断地进步,其中,中国也提出的自己无线网络安全标准-WAPI。下面从技术的发展过程来分析数据加密的安全对策。
4.2.1有线对等保密WEP。WEP是IEEE802.ll中最基本的无线安全加密措施。WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密功能启用,客户端尝试连接AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证对比。如果正确无误,才能获准存取网络的资源。缺陷:算法固有缺。WEP使用了RC4算法来加密数据包。RC4算法本身是一种安全的算法,但在RC4算法的无线实现中,由于初始向量(IV)的数值有限,带来了很多安全问题。侵入者只要能够取得足够的数据包,就可以获得WEP密钥。
4.2.2过渡技术WPA。鉴于WEP的脆弱性,IEEE802.ll组织早就着手制定新的安全标准IEEE802.lli。但标准的制定到正式发布需要较长的时间。因此Wi-Fi联盟在新标准推出之前,在802.lli草案的基础上,制定了一种称之为WPA,即无线保护接入的安全机制。WPA的核心就是IEEE802.lx和TKIP。缺陷:仍是算法所固有缺陷。由于WPA仍然采用比较薄弱的RC4加密算法,所以黑客只要监听到足够的数据包,同样可能被破解。
4.2.3“最终的解决方案”-802.lli。Wi-Fi联盟经过修订后重新推出基于IEEE802.lli标准的无线安全解决方案WPA2,即WPA的第二代。WPA与WPA2的主要区别是WPA2支持更好加密方式AES,使用这个方案,将使安全防范的效果进一步加强。
4.2.4中国自己的无线标准-WAPI。WAPI,无限局域网鉴别和保密基础结构。就在802.lli推出的同时,出于安全性考虑,我国也推出了自己的国家标准WAPI,并强制执行,虽然后来的发展有些曲折,但仅从技术上说,在当时WAPI的确提高了无线网络的安全性。
WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成,WAI和WPl分别实现对用户身份的鉴别和对数据加密。其中,WAI部分采用基于椭圆曲线的公钥证书体制,WPI采用国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密。WAPI能为用户的WLAN系统提供全面的安全保护。
5、结论
虽然目前大部分无线技术标准在安全方面都不可避免地会存在着一些安全缺陷,但随着无线网络安全技术发展,这些技术都已经提供了较好的安全基础,能够满足用户基本的应用需求。所以在使用无线网络时,用户可根据自己的需求适当地选择无线安全的措施,平衡安全与效率之间的关系,合理地构建一个相对安全的无线网络。
参考文献:
[1]ChristianBarnes,无线网络安全防护,林生、龚克译,北京:机械工业出版社,2003
[2]金纯、郑武、陈林等,无线网络安全:技术与策略[M],北京:电子工业出版社,2004
[3]王艳春、张晨霞,齐其妻哈尔大学学报[M],2005年6月《无线网络安全研究》
[4]吴越、孙皓,下一代无线网络安全技术[M],NEW SECURITY,2007,5
关键词:无线局域网;MAC;SSID;WEP;WPA;802.lli;WAPI;安全问题;解决对策
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2011)0220194-01
随着计算机技术及其应用的不断发展,人们对计算机联网和通信的要求越来越高。同时,由于不同的地域或客观条件的制约,在许多情况下,有线通信及其组网的方式已不能满足应用的要求,于是具有诸多优点的无线计算机网络通信及其联网技术应运而生,在很多领域都得到了广泛的应用。随着无线基础设施的迅速普及,无线通信网络本身所固有的缺点,即通信的安全性不高,也成为了无线网络应用最突出的问题。
1、无线局域网络的结构
无线局域网由无线网络接口卡(NIC)、无线接点(AP)、计算机和有关设备组成。其中,无线网卡负责把PC机或其它设备与无线网络连接起来,而接入点则负责将多个无线的接入站聚合到有线的网络上。无线局域网采用电磁波作为载体,
扩展了用户的自由度与灵活性,使随时随地上网成为可能。
2、无线局域网络的缺点
1)无线局域网物理结构的开放性质,决定了它在提供了联网的方便性的同时,也使得它难以限制网络资源的物理访问。所以它比有线网络在安全性方面上更加脆弱。2)无线网络的移动性使得移动节点没有足够的物理防护,攻击者可能在任何位置通过移动设备实施攻击,安全管理难度更大。
3、无线局域网络所面临的安全威胁
无线网络可能受到的攻击分为两类:
1)关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。2)基于无线通信网络设计、部署和维护的独特方式而进行的攻击。
以下是无线网络常见的几种攻击:①进行搜索攻击。②信息泄露威胁。③欺骗和非授权访问。④网络接管与篡改。
4、安全对策
针对上面介绍无线网络安全的问题,以下着重以访问控制和数据加密两方面技术进行分析。
4.1访问控制
利用MAC地址访问控制和服務区域认证ID技术来防止非法无线设备入侵。
MAC地址访问控制技术:1)由于MAC地址在网卡出厂时就已经设定,可利用其唯一性作为无线网络访问控制依据。MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯。MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施。缺陷:MAC地址欺骗。由于MAC地址可以伪造,并且用户可以自行修改自己的MAC地址,所以侵入者可以通过窃听合法用户AP的通信,获取合法的MAC地址伪造自己的MAC地址,从而使自己的身份合法化。2)服务区域认证ID(SSID)。SSID是无线网络用于定位服务的一项功能。为了能够进行通讯,无线路由器和主机必须使用相同的SSID。服务区域认证对每一个AP内都会设置一个服务区域认证ID,只有当AP和无线终端的SSID相匹配时,AP才接受无线终端的访问并提供网络服务。缺陷:SSID广播功能。在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,这就相当于向黑客们敞开自己的大门。
4.2数据加密
IEEE802.ll作为应用范围最广的无线局域网技术,针对其突出的安全问题,近几年,各个组织和国家提出了多种的解决方案。从最开始的WEP协议,经历WPA,到802.lli协议。在这期间安全技术不断地进步,其中,中国也提出的自己无线网络安全标准-WAPI。下面从技术的发展过程来分析数据加密的安全对策。
4.2.1有线对等保密WEP。WEP是IEEE802.ll中最基本的无线安全加密措施。WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密功能启用,客户端尝试连接AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证对比。如果正确无误,才能获准存取网络的资源。缺陷:算法固有缺。WEP使用了RC4算法来加密数据包。RC4算法本身是一种安全的算法,但在RC4算法的无线实现中,由于初始向量(IV)的数值有限,带来了很多安全问题。侵入者只要能够取得足够的数据包,就可以获得WEP密钥。
4.2.2过渡技术WPA。鉴于WEP的脆弱性,IEEE802.ll组织早就着手制定新的安全标准IEEE802.lli。但标准的制定到正式发布需要较长的时间。因此Wi-Fi联盟在新标准推出之前,在802.lli草案的基础上,制定了一种称之为WPA,即无线保护接入的安全机制。WPA的核心就是IEEE802.lx和TKIP。缺陷:仍是算法所固有缺陷。由于WPA仍然采用比较薄弱的RC4加密算法,所以黑客只要监听到足够的数据包,同样可能被破解。
4.2.3“最终的解决方案”-802.lli。Wi-Fi联盟经过修订后重新推出基于IEEE802.lli标准的无线安全解决方案WPA2,即WPA的第二代。WPA与WPA2的主要区别是WPA2支持更好加密方式AES,使用这个方案,将使安全防范的效果进一步加强。
4.2.4中国自己的无线标准-WAPI。WAPI,无限局域网鉴别和保密基础结构。就在802.lli推出的同时,出于安全性考虑,我国也推出了自己的国家标准WAPI,并强制执行,虽然后来的发展有些曲折,但仅从技术上说,在当时WAPI的确提高了无线网络的安全性。
WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成,WAI和WPl分别实现对用户身份的鉴别和对数据加密。其中,WAI部分采用基于椭圆曲线的公钥证书体制,WPI采用国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密。WAPI能为用户的WLAN系统提供全面的安全保护。
5、结论
虽然目前大部分无线技术标准在安全方面都不可避免地会存在着一些安全缺陷,但随着无线网络安全技术发展,这些技术都已经提供了较好的安全基础,能够满足用户基本的应用需求。所以在使用无线网络时,用户可根据自己的需求适当地选择无线安全的措施,平衡安全与效率之间的关系,合理地构建一个相对安全的无线网络。
参考文献:
[1]ChristianBarnes,无线网络安全防护,林生、龚克译,北京:机械工业出版社,2003
[2]金纯、郑武、陈林等,无线网络安全:技术与策略[M],北京:电子工业出版社,2004
[3]王艳春、张晨霞,齐其妻哈尔大学学报[M],2005年6月《无线网络安全研究》
[4]吴越、孙皓,下一代无线网络安全技术[M],NEW SECURITY,2007,5