無(wú)線局域網(wǎng)安全技術(shù)論文(2)
無(wú)線局域網(wǎng)安全技術(shù)論文
無(wú)線局域網(wǎng)安全技術(shù)論文篇二
論無(wú)線局域網(wǎng)的安全技術(shù)
摘要: 本文結(jié)合無(wú)線局域網(wǎng)發(fā)展的背景,從物理安全、存在的威脅兩方面分析了無(wú)線局域網(wǎng)的安全問(wèn)題,并介紹了解決問(wèn)題的幾種無(wú)線局域網(wǎng)安全技術(shù)。
關(guān)鍵詞: 無(wú)線;局域網(wǎng);安全技術(shù)
一、引言
近年來(lái),無(wú)線網(wǎng)在全世界取得了較大發(fā)展,無(wú)線局域網(wǎng)(WLAN,wIreland1ess Local Area Network)應(yīng)用也越來(lái)越多,它將擴(kuò)展有線局域網(wǎng)或在某些情況下取而代之??梢灶A(yù)見,未來(lái)無(wú)線局域網(wǎng)將依靠其無(wú)法比擬的靈活性、可移動(dòng)性和極強(qiáng)的擴(kuò)容性,使人們真正享受到簡(jiǎn)單、方便、快捷的連接。但是,與有線網(wǎng)絡(luò)一樣,無(wú)線局域網(wǎng)正受到眾多安全問(wèn)題的困擾,其中包括來(lái)自網(wǎng)絡(luò)用戶的攻擊、未認(rèn)證的用戶獲得存取權(quán)和來(lái)自公司或工作組外部的竊聽。由于無(wú)線媒體的開放性,竊聽是無(wú)線通信常見的問(wèn)題,使得無(wú)線網(wǎng)絡(luò)的安全性比有線網(wǎng)絡(luò)更受關(guān)注。
二、 無(wú)線局域網(wǎng)的安全問(wèn)題
目前,困擾無(wú)線局域網(wǎng)發(fā)展的因素己不是速度,而是安全、應(yīng)用和互聯(lián)互通方面的問(wèn)題,其中安全己成為制約無(wú)線局域網(wǎng)發(fā)展的重要因素。調(diào)查顯示,在所有不愿采用無(wú)線局域網(wǎng)的用戶中,有40%的原因來(lái)自安全問(wèn)題??梢?安全問(wèn)題不解決,無(wú)線局域網(wǎng)的應(yīng)用前景必將大受影響。與有線網(wǎng)絡(luò)相比較,無(wú)線局域網(wǎng)的安全問(wèn)題主要有兩個(gè)方面。
(一)物理安全
無(wú)線設(shè)備包括站點(diǎn)(STA,Station)和接入點(diǎn)(AP,Access Point)。站點(diǎn)通常由一臺(tái)PC或筆記本電腦加上一塊無(wú)線網(wǎng)絡(luò)接口卡構(gòu)成:接入點(diǎn)通常由一個(gè)無(wú)線輸出口和一個(gè)有線網(wǎng)絡(luò)接口構(gòu)成,其作用是提供無(wú)線和有線網(wǎng)絡(luò)之間的橋接。物理安全是關(guān)于這些無(wú)線設(shè)各自身的安全問(wèn)題。首先,無(wú)線設(shè)備存在許多的限制,這將對(duì)存儲(chǔ)在這些設(shè)備的數(shù)據(jù)和設(shè)備問(wèn)建立的通信鏈路安全產(chǎn)生潛在的影響。與個(gè)人計(jì)算機(jī)相比,無(wú)線設(shè)備如個(gè)人數(shù)字助理(PDA,Personal Digital Assistant)和移動(dòng)電話等,存在電池壽命短、顯示器小、有限的或不同的輸入方法、通信鏈路帶寬窄、內(nèi)存容量小、CPU處理速度小等缺陷。其次,無(wú)線設(shè)備雖有一定的保護(hù)措施,但是這些保護(hù)措施總是基于最小信息保護(hù)需求的。如果存儲(chǔ)重要信息的無(wú)線設(shè)備被盜,那么小偷就可能無(wú)限期地對(duì)設(shè)備擁有惟一的訪問(wèn)權(quán),不斷地獲取受保護(hù)的數(shù)據(jù)。因此,有必要加強(qiáng)無(wú)線設(shè)備的各種防護(hù)措施。
(二)存在的威脅
1、修改替換。在無(wú)線局域網(wǎng)中,通過(guò)增加功率或定向天線可以很容易使菜一結(jié)點(diǎn)的功率高于另一結(jié)點(diǎn)。這樣,較強(qiáng)結(jié)點(diǎn)可以屏蔽較弱結(jié)點(diǎn),用自己的數(shù)據(jù)取代,甚至?xí)嫫渌Y(jié)點(diǎn)做出的反應(yīng)。
2、傳遞信任。當(dāng)內(nèi)部網(wǎng)包括一部分無(wú)線局域網(wǎng)時(shí),就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。但在無(wú)線網(wǎng)絡(luò)環(huán)境下,受攻擊卻不能通過(guò)一條確定的路徑找到這個(gè)接口,這使得有效認(rèn)證機(jī)制顯得特別重要。在所有的情況下,參與通信的雙方都應(yīng)該能相互認(rèn)證。
3、基礎(chǔ)結(jié)構(gòu)攻擊?;A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞,如軟件臭蟲、錯(cuò)誤配置、硬件故障等。這種攻擊也會(huì)出現(xiàn)在無(wú)線局域網(wǎng)中。但是針對(duì)這種攻擊進(jìn)行的保護(hù)幾乎是不可能的,除非發(fā)生了,否則不可能知道臭蟲的存在。所能做的就是盡可能地降低破壞所造成的損失。
4、拒絕服務(wù)。無(wú)線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無(wú)線局域網(wǎng)相同頻率的干擾信號(hào)來(lái)干擾網(wǎng)絡(luò)的正常運(yùn)行,從而導(dǎo)致正常的用戶無(wú)法使用網(wǎng)絡(luò)。如果攻擊者有足夠功率的無(wú)線電收發(fā)器,就能容易地產(chǎn)生干擾信號(hào),以至于無(wú)線局域網(wǎng)無(wú)法使用這個(gè)無(wú)線電通道。
三、無(wú)線局域網(wǎng)安全技術(shù)
(一)服務(wù)集標(biāo)識(shí)符
服務(wù)集標(biāo)識(shí)符(SSID,Service Set Identifier)技術(shù)將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng),每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證,只有通過(guò)身份驗(yàn)證的用戶才能進(jìn)入相應(yīng)的子網(wǎng),防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò),同時(shí)對(duì)資源的訪問(wèn)權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無(wú)線接入點(diǎn)(AP)區(qū)分的標(biāo)志,無(wú)線接入用戶必須設(shè)定SSID才能和AP通信。通常,SSID須事先設(shè)置于所有使用者的無(wú)線網(wǎng)卡及AP中。嘗試連接到無(wú)線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID,這是惟一標(biāo)識(shí)網(wǎng)絡(luò)的字符串。
但是,SSID對(duì)于網(wǎng)絡(luò)中所有用戶都是相同的字符串,其安全性能差,人們可以輕易地從每個(gè)信息包的明文里竊取到它。一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易泄露給非法用戶。SSID實(shí)際是一個(gè)簡(jiǎn)單口令,可以提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。
(二)媒體訪問(wèn)控制
由于每個(gè)無(wú)線工作站的網(wǎng)卡都有惟一的物理地址,應(yīng)用媒體訪問(wèn)控制(MAC,Media Access Control)技術(shù),可在無(wú)線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)允許接入用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點(diǎn)將拒絕其接入請(qǐng)求。但因?yàn)镸AC地址在網(wǎng)上是以明碼模式傳送的,所以只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址,進(jìn)而偽裝使用者進(jìn)入內(nèi)部網(wǎng)絡(luò)偷取機(jī)密資料。其次,部分無(wú)線網(wǎng)卡允許通過(guò)軟件來(lái)更改其MAC地址,通過(guò)編程將想用的地址寫入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址,因此可通過(guò)訪問(wèn)控制的檢查而獲取訪問(wèn)受保護(hù)網(wǎng)絡(luò)的權(quán)限。另外,媒體訪問(wèn)控制屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新,由于目前都是手工操作,當(dāng)用戶增加時(shí),MAC地址擴(kuò)展困難,因此媒體訪問(wèn)控制只適合于小型網(wǎng)絡(luò)規(guī)模。
(三)Wi―Fi保護(hù)性接入
Wi―Fi保護(hù)性接入(WPA,wi―Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。其原理為根據(jù)通用密鑰,配合表示計(jì)算機(jī)MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過(guò)這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。這樣,無(wú)論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。
WPA標(biāo)準(zhǔn)采用了TKIP(Temporal Key Integrity Protoc0l)、EAP和802.1x等技術(shù),在保持Wi―Fi認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上,解決802.11在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。因此,WPA在提高數(shù)據(jù)加密能力、增強(qiáng)網(wǎng)絡(luò)安全性能和接入控制能力方面具有重要意義。WPA是一種比WEP更為強(qiáng)大的加密方法。作為802.11i標(biāo)準(zhǔn)的子集,WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成都分,是一個(gè)完整的安全性方案。
(四)國(guó)家標(biāo)準(zhǔn)WAPI
國(guó)家標(biāo)準(zhǔn)WAPI (WAPI,WLAN Authentication and Privacy infrastructure),即無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),是針對(duì)IEEE802.11中WEP協(xié)議的安全問(wèn)題,在中國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GBl5629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對(duì)稱密鑰密碼體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。
WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制,真正實(shí)現(xiàn)了移動(dòng)終端(MT,Movable Terminator)與無(wú)線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游,方便用戶使用。另外,它充分考慮了市場(chǎng)應(yīng)用,從應(yīng)用模式上可分為單點(diǎn)式和集中式兩種。單點(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用,集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè),可以和運(yùn)營(yíng)商的管理系統(tǒng)結(jié)合起來(lái),共同搭建安全的無(wú)線應(yīng)用平臺(tái)。采用WAPI能夠徹底扭轉(zhuǎn)目前WLAN多種安全機(jī)制并存且互不兼容的現(xiàn)狀,從而從根本上解決安全和兼容性問(wèn)題。
四、結(jié)語(yǔ)
無(wú)線局域網(wǎng)具有隨時(shí)連線、成本低廉、速度快、部署簡(jiǎn)易、美觀和機(jī)動(dòng)性強(qiáng)等優(yōu)勢(shì)。但容易遭竊聽或干擾,同樣面臨安全問(wèn)題。常用的安全技術(shù)有服務(wù)集標(biāo)識(shí)符等技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,新的安全認(rèn)證與識(shí)別技術(shù)也會(huì)不斷涌。
參考文獻(xiàn):
[1]王惠勇. 無(wú)線局域網(wǎng)及其安全技術(shù)[J]. 電腦與電信, 2009,(02) .
[2]楊改貞. 無(wú)線局域網(wǎng)中的安全及WPA加密技術(shù)研究[J]. 電腦應(yīng)用技術(shù), 2006,(03) .
[3]劉國(guó)強(qiáng). 無(wú)線局域網(wǎng)技術(shù)概述[J]. 科學(xué)大眾, 2009,(04) .
[4]伍向陽(yáng). 無(wú)線局域網(wǎng)安全解決方案淺析[J]. 中國(guó)科教創(chuàng)新導(dǎo)刊, 2009,(08) .
看了“無(wú)線局域網(wǎng)安全技術(shù)論文”的人還看:
1.無(wú)線網(wǎng)絡(luò)安全技術(shù)的論文三篇
2.關(guān)于無(wú)線網(wǎng)絡(luò)安全技術(shù)研究的論文
3.網(wǎng)絡(luò)安全技術(shù)論文1000字