论文部分内容阅读
摘 要 本文在分析校园无线网络安全性问题和具体要求基础上,从公钥证书认证、口令认证和预共享密钥认证三个角度,探讨了校园无线网络安全认证方法的应用。
关键词 校园无线网络;安全认证;方法
中图分类号:TP39 文献标识码:A 文章编号:1671—7597(2013)042-085-01
伴随我国计算机技术和无线通信技术的快速发展,以方便、快捷、成本低廉诸多优势著称的无线局域网,得到各高校的普遍应用;但由于其特殊的灵活性,对校园无线网安全提出了更高要求;要保证校园无线网络的安全性,必须从鉴别用户身份角度来保证无线局域网的安全性,即从根源上阻止非法用户进入校园无线局域网。系统的探讨校园无线网络安全认证方法问题,对提高校园无线网络的安全性具有重要意义。
1 校园无线网络安全性问题
校园无线网络安全威胁,是指由人、物、事件等校园网络资源的保密性、完整性和可用性等造成的危险。传统的校园无线网络安全威胁,其包含硬件的破坏、病毒的入侵、黑客攻击等,除传统网络安全威胁外,校园无线局域网还面临着非授权访问、大功率干扰、被窃听等威胁;包括被动攻击和主动攻击。被动攻击,是指在未经授权情况下,实体单纯地访问网络而不修改具体“内容”,可能是简单的窃听或者流量分析。主动攻击,是指在未经授权情况下,实体接入网络在访问同时并对网络中的“内容”进行修改。上述所有问题的根源皆在于校园无线网络安全认证不过关。
2 校园无线网络安全性具体要求
2.1 合法性
校园无线网络只允许被确认的合法用户具备服务使用权限。当前的校园无线网络专门提供了身份验证安全机制;在访问校园无线网前要声明“身份”时,认证业务要通过某种方法确定这一声明的真实性,即确定某人或某事的合法性。
2.2 保密性
数据的保密性主要是通过使用特定密码技术,对敏感信息进行必要的加密,保证校园无线网络中敏感信息不被非法破译;同时为防止发生电磁泄漏,保证合法用户信息、权益,一般都采用抑制、屏蔽等措施。保密性是校园无线网络系统安全性的最基本要求。
2.3 完整性
信息的完整性是指在存储、传输信息过程中保证信息不被非法复制、窜改或者遭到恶意破坏;如果发生数据完整性破坏,则要有能力对其进行恢复。发生完整性破坏说明受到了主动攻击,要与日志记录、系统报警功能结合起来。
2.4 不可否认性
不可否认性是指保证双方关于信息的交换行为在事后不能被否认。
3 校园无线网络安全认证方法分析
3.1 基于公钥证书的认证方法
3.1.1 EAP-TLS
EAP-TLS,传输层安全认证协议,由微软开发的一种基于证书的双向认证方法;客户端、服务器要同时拥有有效证书。建立连接时,分别为客户端、服务器之间的数据交换分配ID和动态会话密钥,并选择合适的加密方法,保证认证过程的安全性和数据的完整性。认证双方在完成TLS协商后通过加密的TLS通道交换信息。EAP-TLS基于证书来实现用户和服务器之间的认证,这就意味着用户在被认证时也对网络进行认证,从而避免伪装AP。
3.1.2 EAP-TTLS
EAP-TTLS,隧道传输层安全认证协议,由Funk公司研制,是一种允许使用用户名、密码的认证方法,与EAP协同完成认证;其建立在EAP-TLS协议基础上,属于EAP-TLS协议的扩展,其主要使用EAP-TLS建立的TLS专用通道进行数据交换。EAP-TTLS能够有效防止匿名用户接入,从而保证接入终端的一致性;EAP-TTLS与EAP-TLS相比,只要求服务器拥有证书,证书开销即可大大的减少。
3.1.3 PEAP
PEAP为受保护可扩展认证协议,由微软、思科、RSA共同提出,它通过TLS来增强EAP身份认证安全性。此方法以EAP-TLS协议为基础,利用EAP-TLS建立专用连接保护客户端、服务器之间数据交换的保密性和完整性。PEAP支持多种认证方法保护用户身份,同时支持动态密钥交换和断续重传。与EAP-TTLS相同,属于服务器单向认证。
3.2 基于用户口令的认证方法
3.2.1 EAP-MD5
EAP_MD5,通过RADIUS服务器提供集中式用户认证,服务器不需要证书,只检查用户名、口令的正确性,匹配则允许用户接入,不匹配则拒绝接入。EAP-MD5是一种典型的一次性握手散列函数,常与802.11安全协议WEP/WEP2组合使用,保护无线网络的安全性。
3.2.2 LEAP
LEAP,轻量级扩展认证协议,由思科公司提出,其基于802.1X协议产生的一种扩展认证方法,采用双向认证和密钥集中管理方式,并对WEP加密,属于集中认证方式。并且可以强制重新认证超时的WEP密钥,生成新的WEP密钥,能够有效防止攻击者在长时间监听、获取足够多数据包后计算出密钥。
3.2.3 EAP-SRP
远程安全口令认证协议,其基于用户名、口令来认证,能有效抵御多种消极和积极攻击。部署方法简单、实现容易,但其不支持双向认证,是一种典型的单向认证方式,与其它口令认证方式相比安全性比较较低。
3.3 基于预共享密钥的认证方法
3.3.1 EAP-PSK
EAP为预共享密钥认证,可以在多种网络系统中使用,尤其是IEEE802.11无线网络。EAP-PSK协议包括三部分:第一部分,认证密钥和通过密钥推演密钥;输入AES-128模块产生预共享密钥。第二部分,认证密钥交换协议;通过认证密钥来认证参与实体。第三部分,受保护通道协议;其在实体通过认证基础上建立专用通道来进行会话,由KDK随机产生会话密钥。
3.3.2 EAP—FAST
通过安全隧道灵活验证的EAP方式,由思科公司开发,是一种与PEAP、LEAP同样安全、方便的认证方法,是对LEAP的改进,它解决了LEAP的安全漏洞问题。协议过程包括两个阶段:1)建立TLS通道,该通道由基于称为PAC的预共享密钥建立,存在有效期,在有效期结束时需要重新进行认证更新。2)采用TLV编码数据对用户进行认证。
参考文献
[1]张博,高松.无线网络安全技术分析[J].信息安全与技术,2013(02).
[2]李萃,王赜,吴秀虹.一种基于位置的动态网络安全认证机制[J].计算机工程与应用,2012(11).
关键词 校园无线网络;安全认证;方法
中图分类号:TP39 文献标识码:A 文章编号:1671—7597(2013)042-085-01
伴随我国计算机技术和无线通信技术的快速发展,以方便、快捷、成本低廉诸多优势著称的无线局域网,得到各高校的普遍应用;但由于其特殊的灵活性,对校园无线网安全提出了更高要求;要保证校园无线网络的安全性,必须从鉴别用户身份角度来保证无线局域网的安全性,即从根源上阻止非法用户进入校园无线局域网。系统的探讨校园无线网络安全认证方法问题,对提高校园无线网络的安全性具有重要意义。
1 校园无线网络安全性问题
校园无线网络安全威胁,是指由人、物、事件等校园网络资源的保密性、完整性和可用性等造成的危险。传统的校园无线网络安全威胁,其包含硬件的破坏、病毒的入侵、黑客攻击等,除传统网络安全威胁外,校园无线局域网还面临着非授权访问、大功率干扰、被窃听等威胁;包括被动攻击和主动攻击。被动攻击,是指在未经授权情况下,实体单纯地访问网络而不修改具体“内容”,可能是简单的窃听或者流量分析。主动攻击,是指在未经授权情况下,实体接入网络在访问同时并对网络中的“内容”进行修改。上述所有问题的根源皆在于校园无线网络安全认证不过关。
2 校园无线网络安全性具体要求
2.1 合法性
校园无线网络只允许被确认的合法用户具备服务使用权限。当前的校园无线网络专门提供了身份验证安全机制;在访问校园无线网前要声明“身份”时,认证业务要通过某种方法确定这一声明的真实性,即确定某人或某事的合法性。
2.2 保密性
数据的保密性主要是通过使用特定密码技术,对敏感信息进行必要的加密,保证校园无线网络中敏感信息不被非法破译;同时为防止发生电磁泄漏,保证合法用户信息、权益,一般都采用抑制、屏蔽等措施。保密性是校园无线网络系统安全性的最基本要求。
2.3 完整性
信息的完整性是指在存储、传输信息过程中保证信息不被非法复制、窜改或者遭到恶意破坏;如果发生数据完整性破坏,则要有能力对其进行恢复。发生完整性破坏说明受到了主动攻击,要与日志记录、系统报警功能结合起来。
2.4 不可否认性
不可否认性是指保证双方关于信息的交换行为在事后不能被否认。
3 校园无线网络安全认证方法分析
3.1 基于公钥证书的认证方法
3.1.1 EAP-TLS
EAP-TLS,传输层安全认证协议,由微软开发的一种基于证书的双向认证方法;客户端、服务器要同时拥有有效证书。建立连接时,分别为客户端、服务器之间的数据交换分配ID和动态会话密钥,并选择合适的加密方法,保证认证过程的安全性和数据的完整性。认证双方在完成TLS协商后通过加密的TLS通道交换信息。EAP-TLS基于证书来实现用户和服务器之间的认证,这就意味着用户在被认证时也对网络进行认证,从而避免伪装AP。
3.1.2 EAP-TTLS
EAP-TTLS,隧道传输层安全认证协议,由Funk公司研制,是一种允许使用用户名、密码的认证方法,与EAP协同完成认证;其建立在EAP-TLS协议基础上,属于EAP-TLS协议的扩展,其主要使用EAP-TLS建立的TLS专用通道进行数据交换。EAP-TTLS能够有效防止匿名用户接入,从而保证接入终端的一致性;EAP-TTLS与EAP-TLS相比,只要求服务器拥有证书,证书开销即可大大的减少。
3.1.3 PEAP
PEAP为受保护可扩展认证协议,由微软、思科、RSA共同提出,它通过TLS来增强EAP身份认证安全性。此方法以EAP-TLS协议为基础,利用EAP-TLS建立专用连接保护客户端、服务器之间数据交换的保密性和完整性。PEAP支持多种认证方法保护用户身份,同时支持动态密钥交换和断续重传。与EAP-TTLS相同,属于服务器单向认证。
3.2 基于用户口令的认证方法
3.2.1 EAP-MD5
EAP_MD5,通过RADIUS服务器提供集中式用户认证,服务器不需要证书,只检查用户名、口令的正确性,匹配则允许用户接入,不匹配则拒绝接入。EAP-MD5是一种典型的一次性握手散列函数,常与802.11安全协议WEP/WEP2组合使用,保护无线网络的安全性。
3.2.2 LEAP
LEAP,轻量级扩展认证协议,由思科公司提出,其基于802.1X协议产生的一种扩展认证方法,采用双向认证和密钥集中管理方式,并对WEP加密,属于集中认证方式。并且可以强制重新认证超时的WEP密钥,生成新的WEP密钥,能够有效防止攻击者在长时间监听、获取足够多数据包后计算出密钥。
3.2.3 EAP-SRP
远程安全口令认证协议,其基于用户名、口令来认证,能有效抵御多种消极和积极攻击。部署方法简单、实现容易,但其不支持双向认证,是一种典型的单向认证方式,与其它口令认证方式相比安全性比较较低。
3.3 基于预共享密钥的认证方法
3.3.1 EAP-PSK
EAP为预共享密钥认证,可以在多种网络系统中使用,尤其是IEEE802.11无线网络。EAP-PSK协议包括三部分:第一部分,认证密钥和通过密钥推演密钥;输入AES-128模块产生预共享密钥。第二部分,认证密钥交换协议;通过认证密钥来认证参与实体。第三部分,受保护通道协议;其在实体通过认证基础上建立专用通道来进行会话,由KDK随机产生会话密钥。
3.3.2 EAP—FAST
通过安全隧道灵活验证的EAP方式,由思科公司开发,是一种与PEAP、LEAP同样安全、方便的认证方法,是对LEAP的改进,它解决了LEAP的安全漏洞问题。协议过程包括两个阶段:1)建立TLS通道,该通道由基于称为PAC的预共享密钥建立,存在有效期,在有效期结束时需要重新进行认证更新。2)采用TLV编码数据对用户进行认证。
参考文献
[1]张博,高松.无线网络安全技术分析[J].信息安全与技术,2013(02).
[2]李萃,王赜,吴秀虹.一种基于位置的动态网络安全认证机制[J].计算机工程与应用,2012(11).