無線網(wǎng)絡安全技術論文

　　在充分體驗無線網(wǎng)絡給人們帶來的便利與豐富體驗的同時，安全威脅一直如影相隨，下面小編給大家分享無線網(wǎng)絡安全技術論文，大家快來跟小編一起欣賞吧。

　　無線網(wǎng)絡安全技術論文篇一

　　無線網(wǎng)絡安全技術分析

　　【 摘 要 】 文章首先分析了網(wǎng)線網(wǎng)絡面臨的安全隱患，基于此圍繞網(wǎng)絡安全的核心要素：認證、加密、完整性，介紹分析了物理地址( MAC )過濾、服務區(qū)標識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、WPA?(Wi-Fi Protected Access)、IEEE 802.11i等無線網(wǎng)絡安全技術的原理，并結合典型應用場合給出了相應的無線網(wǎng)絡安全策略方案。

　　【 關鍵詞 】 身份認證;數(shù)據(jù)加密;完整性校驗;WEP;WPA

　　1 引言

　　隨著無線上網(wǎng)本、iPad、智能手機等移動終端的不斷推陳出新，以WLAN技術為核心的移動寬帶互聯(lián)應用呈爆炸式增長。與此同時，大量基于物聯(lián)網(wǎng)、云計算而生的企業(yè)級移動業(yè)務在園區(qū)網(wǎng)內(nèi)得到廣泛應用，如智能電網(wǎng)、物流定位、無線語音、P2P共享等。無線網(wǎng)絡已經(jīng)深刻地改變了我們的生活與工作，無線網(wǎng)絡在為我們帶來豐富與便捷應用的同時，安全威脅也在不斷蔓延，個人信息的泄漏、各類賬號密碼的被盜、私密信息的被公開，也在困擾著使用無線網(wǎng)絡的人們。

　　2 無線網(wǎng)絡的安全隱患

　　利用WLAN進行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有幾點。2.1 未經(jīng)授權使用網(wǎng)絡服務

　　由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以未經(jīng)授權而擅自使用網(wǎng)絡資源，不僅會占用寶貴的無線信道資源，增加帶寬費用，降低合法用戶的服務質(zhì)量，而且未經(jīng)授權的用戶沒有遵守運營商提出的服務條款，甚至可能導致法律糾紛。

　　2.2 地址欺騙和會話攔截

　　在無線環(huán)境中，非法用戶通過非法偵聽等手段獲得網(wǎng)絡中合法終端的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。

　　另外，由于IEEE802.11沒有對AP身份進行認證，非法用戶很容易偽裝成AP進入網(wǎng)絡，并進一步獲取合法用戶的鑒別身份信息，通過攔截會話實現(xiàn)網(wǎng)絡攻擊。

　　2.3 高級入侵

　　一旦攻擊者進入無線網(wǎng)絡，它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)企業(yè)部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡，就會使整個網(wǎng)絡暴露在非法用戶面前。

　　3 無線網(wǎng)絡安全技術

　　為了應對無線網(wǎng)絡中存在的各種安全威脅，相應的無線安全技術也應運而生，包括物理地址( MAC )過濾、服務區(qū)標識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。上述的各類技術均是圍繞著網(wǎng)絡安全的核心要素：認證性、加密性、完整性。

　　認證性：確保訪問網(wǎng)絡資源的用戶身份是合法的。

　　加密性：確保所傳遞的信息即使被截獲了，攻擊者也無法獲取原始的數(shù)據(jù)。

　　完整性：如果所傳遞的信息被篡改，接收者能夠檢測到。

　　此外，還需要提供有效的密鑰管理機制，如密鑰的動態(tài)協(xié)商，以實現(xiàn)無線安全方案的可擴展性。

　　3.1 物理地址( MAC )過濾

　　每個無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標識，可在AP中手動設置一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低，而且非法用戶通過網(wǎng)絡偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認證技術。

　　3.2 服務區(qū)標識符 ( SSID ) 匹配

　　無線客戶端必需與無線訪問點AP設置的SSID相同 ，才能訪問AP;如果設置的SSID與AP的SSID不同，那么AP將拒絕它通過接入上網(wǎng)。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設置隱藏接入點(AP)及SSID區(qū)域的劃分和權限控制來達到保密的目的，因此可以認為SSID是一個簡單的口令，通過提供口令認證機制，實現(xiàn)一定的安全。

　　3.3 WEP加密機制

　　IEEE 802.11-1999把WEP機制作為安全的核心內(nèi)容，包括幾個方面。

　　身份認證：認證采用了Open System認證和共享密鑰認證，前者無認證可言，后者容易造成密鑰被竊取。

　　完整性校驗：完整性校驗采用了ICV域，發(fā)送端使用Checksum算法計算報文的ICV，附加在MSDU后，MSDU和ICV共同被加密保護。接收者解密報文后，將本地計算的CRC-32結果和ICV進行對比，如果不相等，則可以判定報文被篡改。CRC-32算法本身很弱，使用bit-flipping attack就可以篡改報文，同時讓接收者也無法察覺。

　　密鑰只能靜態(tài)配置，密鑰管理不支持動態(tài)協(xié)商，完全不能滿足企業(yè)等大規(guī)模部署的需求。

　　數(shù)據(jù)加密：數(shù)據(jù)加密采用加密算法RC4，加密密鑰長度有64位和128位兩種，其中24Bit的IV是由WLAN系統(tǒng)自動產(chǎn)生的，需要在AP和STA上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結果的規(guī)律，實現(xiàn)每次加密的結果都不同，但是長度太短了。在流量較大的網(wǎng)絡，IV值很容易出現(xiàn)被重用。目前有很多軟件都可以在短短幾分鐘內(nèi)完成對WEP的破解。

　　3.4 WPA加密機制

　　在IEEE 802.11i 標準最終確定前，WPA標準是代替WEP的無線安全標準協(xié)議，為 IEEE 802.11無線局域網(wǎng)提供更強大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。可以認為：WPA = 802.1x + EAP + TKIP + MIC?。 　　身份認證：在802.11中只是停留在概念的階段，到了WPA中變得實用而又重要，它要求用戶必須提供某種形式的憑據(jù)來證明它是合法的，并擁有對某些網(wǎng)絡資源的使用權限，并且是強制性的。

　　WPA的認證分為兩種：第一種采用802.1x+EAP的方式，用戶提供認證所需的憑證，例如賬戶口令，通過專用認證服務器(一般是RADIUS服務器)來實現(xiàn)。在大型企業(yè)網(wǎng)絡中，通常采用此種方式。不過面對中小型企業(yè)或者家庭用戶時，架設一臺專用的認證服務器未免昂貴，維護也非常繁雜，針對此種情況WPA也提供一種簡化的方式，這種方式稱為WPA預共享密鑰(WPA-PSK)，它不需要專門的認證服務器，僅需要在每個WLAN節(jié)點預先輸入一個密鑰即可完成。只要密鑰相符，客戶就可以獲得無線局域網(wǎng)的訪問權。由于這把密鑰僅用于認證過程，并不用于加密過程，因此會避免諸如使用WEP加密機制中認證安全問題。

　　完整性校驗：是為防止攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設置的。802.11中對每個數(shù)據(jù)分段(MPDU)進行ICV校驗ICV本身的目的是為了保證數(shù)據(jù)在傳輸途中不會因為電磁干擾等物理因素導致報文出錯，因此采用相對簡單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相符合，可以說沒有任何安全的功能。WPA除了和802.11一樣繼續(xù)保留對每個數(shù)據(jù)分段(MPDU)進行CRC校驗外，WPA為802.11的每個數(shù)據(jù)分組(MSDU)都增加了一個8字節(jié)的消息完整性校驗值。而WPA中的MIC則是專門為了防止工具者的篡改而專門設定的，它采用Michael算法，安全性很高。當MIC發(fā)生錯誤的時候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時，WPA還會采取一系列的對策，比如立刻更換組密鑰、暫?；顒?0秒等，來阻止攻擊者的攻擊。

　　數(shù)據(jù)加密：WPA采用TKIP為加密引入了新的機制，它使用一種密鑰構架和管理方法，通過由認證服務器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強安全性。同時，TKIP采用802.1x/EAP構架，認證服務器在接受了用戶身份后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到客戶端和AP，并建立起一個密鑰構架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密無線通信數(shù)據(jù)報文。TKIP的密鑰構架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法，但其動態(tài)密鑰的特性很難被攻破。

　　3.5 IEEE 802.11i標準

　　為了進一步加強無線網(wǎng)絡的安全性和保證不同廠家之間無線安全技術的兼容， IEEE802.11工作組開發(fā)了新的安全標準IEEE802.11i ，并且致力于從長遠角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標準針對802.11標準的安全缺陷，進行了如下改進。

　　身份認證：802.11i的安全體系也使用802.1x認證機制，通過無線客戶端與Radius 服務器之間動態(tài)協(xié)商生成PMK(Pairwise Master Key)，再由無線客戶端和AP之間在這個PMK的基礎上經(jīng)過4次握手協(xié)商出單播密鑰以及通過兩次握手協(xié)商出組播密鑰，每一個無線客戶端與AP之間通訊的加密密鑰都不相同，而且會定期更新密鑰，很大程度上保證了通訊的安全。

　　完整性校驗：采用了CBC和Michoel算法實現(xiàn)完整性校驗。

　　數(shù)據(jù)加密：數(shù)據(jù)加密采用了CCMP加密，CCMP基于AES-CCM算法，結合了用于加密的CTR和用于完整性的加密塊鏈接消息認證碼(CBC-MAC)，保護MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性。

　　密鑰協(xié)商：通過4次握手過程進行動態(tài)協(xié)商密鑰。

　　4 無線網(wǎng)絡安全策略選擇

　　無線的網(wǎng)絡技術發(fā)展到今天給人們提供了多種選擇，雖然目前802.11i方興未艾，考慮到升級成本、部署難度、網(wǎng)絡效率等多方面的因素，在進行無線網(wǎng)絡安全策略選擇時，根據(jù)具體情況進行分析。如表1所示給出不同場合下，無線安全方案。

　　在充分體驗無線網(wǎng)絡給人們帶來的便利與豐富體驗的同時，安全威脅一直如影相隨，保證無線網(wǎng)絡安全也就成為了無線網(wǎng)絡應用與發(fā)展中所有問題的焦點問題，WiFi聯(lián)盟推出的各項技術與標準不斷增強著無線網(wǎng)絡安全，加強了無線安全管理。安全技術與標準的完善不斷推動者無線網(wǎng)絡的應用，同時無線網(wǎng)絡安全不僅與認證、加密、完整性檢測等技術有關，還需要入侵檢測系統(tǒng)、防火墻等技術的配合，因此無線網(wǎng)絡的安全是一個多層次的問題，根據(jù)實際情況，綜合利用各項技術設計無線網(wǎng)絡安全方案。

　　參考文獻

　　[1] 卡什(Cache， J.).無線網(wǎng)絡安全.北京：機械工業(yè)出版社，2012.3.

　　[2] 楊哲.無線網(wǎng)絡黑客攻防.北京：中國鐵道出版社，2011.11.

　　[3] 劉威.無線網(wǎng)絡技術.北京：電子工業(yè)出版社，2012.1.

　　[4] 任偉.無線網(wǎng)絡安全問題初探.信息網(wǎng)絡安全，2012.1.

　　[5] 池水明，孫斌.無線網(wǎng)絡安全風險及防范技術芻議.信息網(wǎng)絡安全，2012.3.

　　作者簡介：

　　張博(1976-)，男，漢族，山西臨汾人，北京政法職業(yè)學院信息技術系教師，研究生碩士學位;研究方向：軟件工程。

點擊下頁還有更多>>>無線網(wǎng)絡安全技術論文