無線網(wǎng)絡(luò)安全技術(shù)論文
無線網(wǎng)絡(luò)安全技術(shù)論文
在充分體驗無線網(wǎng)絡(luò)給人們帶來的便利與豐富體驗的同時,安全威脅一直如影相隨,下面小編給大家分享無線網(wǎng)絡(luò)安全技術(shù)論文,大家快來跟小編一起欣賞吧。
無線網(wǎng)絡(luò)安全技術(shù)論文篇一
無線網(wǎng)絡(luò)安全技術(shù)分析
【 摘 要 】 文章首先分析了網(wǎng)線網(wǎng)絡(luò)面臨的安全隱患,基于此圍繞網(wǎng)絡(luò)安全的核心要素:認(rèn)證、加密、完整性,介紹分析了物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA?(Wi-Fi Protected Access)、IEEE 802.11i等無線網(wǎng)絡(luò)安全技術(shù)的原理,并結(jié)合典型應(yīng)用場合給出了相應(yīng)的無線網(wǎng)絡(luò)安全策略方案。
【 關(guān)鍵詞 】 身份認(rèn)證;數(shù)據(jù)加密;完整性校驗;WEP;WPA
1 引言
隨著無線上網(wǎng)本、iPad、智能手機等移動終端的不斷推陳出新,以WLAN技術(shù)為核心的移動寬帶互聯(lián)應(yīng)用呈爆炸式增長。與此同時,大量基于物聯(lián)網(wǎng)、云計算而生的企業(yè)級移動業(yè)務(wù)在園區(qū)網(wǎng)內(nèi)得到廣泛應(yīng)用,如智能電網(wǎng)、物流定位、無線語音、P2P共享等。無線網(wǎng)絡(luò)已經(jīng)深刻地改變了我們的生活與工作,無線網(wǎng)絡(luò)在為我們帶來豐富與便捷應(yīng)用的同時,安全威脅也在不斷蔓延,個人信息的泄漏、各類賬號密碼的被盜、私密信息的被公開,也在困擾著使用無線網(wǎng)絡(luò)的人們。
2 無線網(wǎng)絡(luò)的安全隱患
利用WLAN進行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有幾點。2.1 未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)
由于無線局域網(wǎng)的開放式訪問方式,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,不僅會占用寶貴的無線信道資源,增加帶寬費用,降低合法用戶的服務(wù)質(zhì)量,而且未經(jīng)授權(quán)的用戶沒有遵守運營商提出的服務(wù)條款,甚至可能導(dǎo)致法律糾紛。
2.2 地址欺騙和會話攔截
在無線環(huán)境中,非法用戶通過非法偵聽等手段獲得網(wǎng)絡(luò)中合法終端的MAC地址比有線環(huán)境中要容易得多,這些合法的MAC地址可以被用來進行惡意攻擊。
另外,由于IEEE802.11沒有對AP身份進行認(rèn)證,非法用戶很容易偽裝成AP進入網(wǎng)絡(luò),并進一步獲取合法用戶的鑒別身份信息,通過攔截會話實現(xiàn)網(wǎng)絡(luò)攻擊。
2.3 高級入侵
一旦攻擊者進入無線網(wǎng)絡(luò),它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)企業(yè)部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò),就會使整個網(wǎng)絡(luò)暴露在非法用戶面前。
3 無線網(wǎng)絡(luò)安全技術(shù)
為了應(yīng)對無線網(wǎng)絡(luò)中存在的各種安全威脅,相應(yīng)的無線安全技術(shù)也應(yīng)運而生,包括物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。上述的各類技術(shù)均是圍繞著網(wǎng)絡(luò)安全的核心要素:認(rèn)證性、加密性、完整性。
認(rèn)證性:確保訪問網(wǎng)絡(luò)資源的用戶身份是合法的。
加密性:確保所傳遞的信息即使被截獲了,攻擊者也無法獲取原始的數(shù)據(jù)。
完整性:如果所傳遞的信息被篡改,接收者能夠檢測到。
此外,還需要提供有效的密鑰管理機制,如密鑰的動態(tài)協(xié)商,以實現(xiàn)無線安全方案的可擴展性。
3.1 物理地址( MAC )過濾
每個無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識,可在AP中手動設(shè)置一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低,而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表,而MAC地址并不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認(rèn)證技術(shù)。
3.2 服務(wù)區(qū)標(biāo)識符 ( SSID ) 匹配
無線客戶端必需與無線訪問點AP設(shè)置的SSID相同 ,才能訪問AP;如果設(shè)置的SSID與AP的SSID不同,那么AP將拒絕它通過接入上網(wǎng)。利用SSID設(shè)置,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題??梢酝ㄟ^設(shè)置隱藏接入點(AP)及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的,因此可以認(rèn)為SSID是一個簡單的口令,通過提供口令認(rèn)證機制,實現(xiàn)一定的安全。
3.3 WEP加密機制
IEEE 802.11-1999把WEP機制作為安全的核心內(nèi)容,包括幾個方面。
身份認(rèn)證:認(rèn)證采用了Open System認(rèn)證和共享密鑰認(rèn)證,前者無認(rèn)證可言,后者容易造成密鑰被竊取。
完整性校驗:完整性校驗采用了ICV域,發(fā)送端使用Checksum算法計算報文的ICV,附加在MSDU后,MSDU和ICV共同被加密保護。接收者解密報文后,將本地計算的CRC-32結(jié)果和ICV進行對比,如果不相等,則可以判定報文被篡改。CRC-32算法本身很弱,使用bit-flipping attack就可以篡改報文,同時讓接收者也無法察覺。
密鑰只能靜態(tài)配置,密鑰管理不支持動態(tài)協(xié)商,完全不能滿足企業(yè)等大規(guī)模部署的需求。
數(shù)據(jù)加密:數(shù)據(jù)加密采用加密算法RC4,加密密鑰長度有64位和128位兩種,其中24Bit的IV是由WLAN系統(tǒng)自動產(chǎn)生的,需要在AP和STA上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法,安全的漏洞在于IV。IV存在的目的是要破壞加密結(jié)果的規(guī)律,實現(xiàn)每次加密的結(jié)果都不同,但是長度太短了。在流量較大的網(wǎng)絡(luò),IV值很容易出現(xiàn)被重用。目前有很多軟件都可以在短短幾分鐘內(nèi)完成對WEP的破解。
3.4 WPA加密機制
在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,為 IEEE 802.11無線局域網(wǎng)提供更強大的安全性能。WPA是IEEE802.11i的一個子集,其核心就是IEEE802.1x和TKIP??梢哉J(rèn)為:WPA = 802.1x + EAP + TKIP + MIC?。 身份認(rèn)證:在802.11中只是停留在概念的階段,到了WPA中變得實用而又重要,它要求用戶必須提供某種形式的憑據(jù)來證明它是合法的,并擁有對某些網(wǎng)絡(luò)資源的使用權(quán)限,并且是強制性的。
WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP的方式,用戶提供認(rèn)證所需的憑證,例如賬戶口令,通過專用認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中,通常采用此種方式。不過面對中小型企業(yè)或者家庭用戶時,架設(shè)一臺專用的認(rèn)證服務(wù)器未免昂貴,維護也非常繁雜,針對此種情況WPA也提供一種簡化的方式,這種方式稱為WPA預(yù)共享密鑰(WPA-PSK),它不需要專門的認(rèn)證服務(wù)器,僅需要在每個WLAN節(jié)點預(yù)先輸入一個密鑰即可完成。只要密鑰相符,客戶就可以獲得無線局域網(wǎng)的訪問權(quán)。由于這把密鑰僅用于認(rèn)證過程,并不用于加密過程,因此會避免諸如使用WEP加密機制中認(rèn)證安全問題。
完整性校驗:是為防止攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設(shè)置的。802.11中對每個數(shù)據(jù)分段(MPDU)進行ICV校驗ICV本身的目的是為了保證數(shù)據(jù)在傳輸途中不會因為電磁干擾等物理因素導(dǎo)致報文出錯,因此采用相對簡單高效的CRC算法,但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相符合,可以說沒有任何安全的功能。WPA除了和802.11一樣繼續(xù)保留對每個數(shù)據(jù)分段(MPDU)進行CRC校驗外,WPA為802.11的每個數(shù)據(jù)分組(MSDU)都增加了一個8字節(jié)的消息完整性校驗值。而WPA中的MIC則是專門為了防止工具者的篡改而專門設(shè)定的,它采用Michael算法,安全性很高。當(dāng)MIC發(fā)生錯誤的時候,數(shù)據(jù)很可能已經(jīng)被篡改,系統(tǒng)很可能正在受到攻擊。此時,WPA還會采取一系列的對策,比如立刻更換組密鑰、暫停活動60秒等,來阻止攻擊者的攻擊。
數(shù)據(jù)加密:WPA采用TKIP為加密引入了新的機制,它使用一種密鑰構(gòu)架和管理方法,通過由認(rèn)證服務(wù)器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強安全性。同時,TKIP采用802.1x/EAP構(gòu)架,認(rèn)證服務(wù)器在接受了用戶身份后,使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發(fā)到客戶端和AP,并建立起一個密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰,來加密無線通信數(shù)據(jù)報文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法,但其動態(tài)密鑰的特性很難被攻破。
3.5 IEEE 802.11i標(biāo)準(zhǔn)
為了進一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容, IEEE802.11工作組開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i ,并且致力于從長遠(yuǎn)角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標(biāo)準(zhǔn)針對802.11標(biāo)準(zhǔn)的安全缺陷,進行了如下改進。
身份認(rèn)證:802.11i的安全體系也使用802.1x認(rèn)證機制,通過無線客戶端與Radius 服務(wù)器之間動態(tài)協(xié)商生成PMK(Pairwise Master Key),再由無線客戶端和AP之間在這個PMK的基礎(chǔ)上經(jīng)過4次握手協(xié)商出單播密鑰以及通過兩次握手協(xié)商出組播密鑰,每一個無線客戶端與AP之間通訊的加密密鑰都不相同,而且會定期更新密鑰,很大程度上保證了通訊的安全。
完整性校驗:采用了CBC和Michoel算法實現(xiàn)完整性校驗。
數(shù)據(jù)加密:數(shù)據(jù)加密采用了CCMP加密,CCMP基于AES-CCM算法,結(jié)合了用于加密的CTR和用于完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC),保護MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性。
密鑰協(xié)商:通過4次握手過程進行動態(tài)協(xié)商密鑰。
4 無線網(wǎng)絡(luò)安全策略選擇
無線的網(wǎng)絡(luò)技術(shù)發(fā)展到今天給人們提供了多種選擇,雖然目前802.11i方興未艾,考慮到升級成本、部署難度、網(wǎng)絡(luò)效率等多方面的因素,在進行無線網(wǎng)絡(luò)安全策略選擇時,根據(jù)具體情況進行分析。如表1所示給出不同場合下,無線安全方案。
在充分體驗無線網(wǎng)絡(luò)給人們帶來的便利與豐富體驗的同時,安全威脅一直如影相隨,保證無線網(wǎng)絡(luò)安全也就成為了無線網(wǎng)絡(luò)應(yīng)用與發(fā)展中所有問題的焦點問題,WiFi聯(lián)盟推出的各項技術(shù)與標(biāo)準(zhǔn)不斷增強著無線網(wǎng)絡(luò)安全,加強了無線安全管理。安全技術(shù)與標(biāo)準(zhǔn)的完善不斷推動者無線網(wǎng)絡(luò)的應(yīng)用,同時無線網(wǎng)絡(luò)安全不僅與認(rèn)證、加密、完整性檢測等技術(shù)有關(guān),還需要入侵檢測系統(tǒng)、防火墻等技術(shù)的配合,因此無線網(wǎng)絡(luò)的安全是一個多層次的問題,根據(jù)實際情況,綜合利用各項技術(shù)設(shè)計無線網(wǎng)絡(luò)安全方案。
參考文獻
[1] 卡什(Cache, J.).無線網(wǎng)絡(luò)安全.北京:機械工業(yè)出版社,2012.3.
[2] 楊哲.無線網(wǎng)絡(luò)黑客攻防.北京:中國鐵道出版社,2011.11.
[3] 劉威.無線網(wǎng)絡(luò)技術(shù).北京:電子工業(yè)出版社,2012.1.
[4] 任偉.無線網(wǎng)絡(luò)安全問題初探.信息網(wǎng)絡(luò)安全,2012.1.
[5] 池水明,孫斌.無線網(wǎng)絡(luò)安全風(fēng)險及防范技術(shù)芻議.信息網(wǎng)絡(luò)安全,2012.3.
作者簡介:
張博(1976-),男,漢族,山西臨汾人,北京政法職業(yè)學(xué)院信息技術(shù)系教師,研究生碩士學(xué)位;研究方向:軟件工程。
點擊下頁還有更多>>>無線網(wǎng)絡(luò)安全技術(shù)論文