论文部分内容阅读
【摘要】 安全问题始终是制约无线局域网发展和无线局域网技术进一步推广的关键因素。经过分析目前无线局域网所采用的安全措施所存在的问题,提出了几种解决方案。
【关键词】 无线局域网;WLAN;安全;入侵;加密
一、传统无线网络的安全措施
(一)WEP加密算法
在无线局域网发展的早期阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题,有线等效保密(W iredEquivalent Privacy,WEP)协议被推出。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在无线局域网的链路层对数据进行加密和访问控制,具有很好的互操作性。WEP 是一种在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术,密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位(或者104位)通用密钥,和发送方为每个分组信息所确定的24位被称为IV密钥的加密密钥。但是,为了将IV密钥告诉给通信对象,IV密钥不经加密就直接嵌入到分组信息中被发送出去。40位的长度可以排列出2的40次方的密钥,现今RSA的破解速度,可在每秒破解出2.45×10^9的密钥,也就是说40位长度的加密数据,5分钟之内就可破解出来,于是厂商便纷纷推出了128位长度的加密密钥。但根据实际情况来看,128位长度密钥的破解也只是个时间问题。
端口访问控制技术(Port BasedNetworkAccess Control,IEEE 802.1x)和可扩展认证协议(ExtensibleAuthentication Protocol,EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE802.1x标准定义了基于端口的网络访问控制,可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败,使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计,但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商,它能够弥补WEP的弱点并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题,使用户能够以有线网络的速度进行工作。但是,配置 EAP 不是一件容易的事情。
服务区标识符(SSID):要求客户端出示正确的SSID才能访问无线接入点 AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其 SSID,用户自己配置客户端系统,致使很多人都知道该SSID,容易共享给非法用户。而且SSID只是一个简单口令,只能提供较低级别的安全。
(二)WPA 加密算法
Wi-Fi保护接入(Wi-FiProtectedAccessWi-Fi保护接入(Wi-Fi ProtectedAccess,WPA)是作为通向802.11i道路的不可缺失的一环而出现,并成为在IEEE802.11i标准确定之前代替 WEP 的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议(T emporalKeyIntegrityProtocol,TKIP)。WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制,满足 WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP 倍受指责的缺点。不过,WPA不能向后兼容某些遗留设备和操作系统。此外,除非无线局域网具有运行 WPA 和加快该协议处理速度的硬件,否则WPA将降低网络性能。WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。
二、WLAN 安全技术的改进
(一)加强控制和审查
容易访问不等于容易受到攻击,极端的手段是通过电磁屏蔽、降低发射功率来防止电磁波的泄露,而且可以通过强大的网络访问控制减少无线网络配置的风险。更可行的是在AP点之间构建VPN,用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。通过购置带VPN功能防火,在无线基站和AP之间建立VPN隧道, 提前整个无线网的安全性,有效保护数据的完整性、可信性和可确认性。针对非法的AP接入,定期进行站点审查。在入侵者使用网络之前,通过接收天线找到未被授权的网络。频繁的物理站点的监测可增加发现非法配置站点的存在几率,但是会花费很多的时间并且移动性极差。随着小型的手持式检测设备的发展,管理员将可以通过手持扫描设备随时到网络的任何位置进行检查。
(二)实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对 PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作;会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到;在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
(三)建立入侵检测体系
为了增强网络的安全性,无线局域网采用无线入侵检测系统(WIDS) 检测计算机网络中的入侵行为和误操作行为。基于无线与有线混合型网络的入侵检测系统是一种发展中的新的解决方案,这是一种基于规则的入侵检测系统。通过分布在网络中的嗅探器监听网络流量,捕获网络通信数据,然后将捕获到的数据包与本地规则库中的规则进行匹配,从而发现异常。嗅探器将异常信息向控制台报告,控制台作为集中式的管理器,负责收集所有嗅探器的报告,并以图形化的界面通知网络管理员,对入侵网络的行为采取进一步的措施;同时,网络管理员可以通过控制台的报告分析出网络漏洞,改进网络安全策略。
(四)多元化的无线安全策略
为了增加无线网络的安全机制,局域网用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。局域网可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理 MAC 地址表,但局域网需要评估和部署 AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在 AP内部进行维护。局域网内部可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。这种多层次策略,使每个用户均拥有一个独特的密钥,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥的有效期很短暂,限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。
随着WLAN的在各方面的广泛应用,对WLAN的攻击技术与手段必将越来越多,WLAN系统安全只是相对的,其安全技术的发展也是一个不断改善和升级的过程。只有把控制无线电源信号泄露,用户的认证和传输数据的加密等多种措施结合起来,从社会学角度来做好防范工作,才能构筑安全的无线局域网。
参考文献
[1]周靖.Dr Cyrus Peikari.无线网络安全.电子工业出版社,2004
[2]孙国学.无线局域网入侵检测系统解决方案.现代电信科技[J].2005(9):38~42
【关键词】 无线局域网;WLAN;安全;入侵;加密
一、传统无线网络的安全措施
(一)WEP加密算法
在无线局域网发展的早期阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题,有线等效保密(W iredEquivalent Privacy,WEP)协议被推出。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在无线局域网的链路层对数据进行加密和访问控制,具有很好的互操作性。WEP 是一种在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术,密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位(或者104位)通用密钥,和发送方为每个分组信息所确定的24位被称为IV密钥的加密密钥。但是,为了将IV密钥告诉给通信对象,IV密钥不经加密就直接嵌入到分组信息中被发送出去。40位的长度可以排列出2的40次方的密钥,现今RSA的破解速度,可在每秒破解出2.45×10^9的密钥,也就是说40位长度的加密数据,5分钟之内就可破解出来,于是厂商便纷纷推出了128位长度的加密密钥。但根据实际情况来看,128位长度密钥的破解也只是个时间问题。
端口访问控制技术(Port BasedNetworkAccess Control,IEEE 802.1x)和可扩展认证协议(ExtensibleAuthentication Protocol,EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE802.1x标准定义了基于端口的网络访问控制,可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败,使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计,但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商,它能够弥补WEP的弱点并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题,使用户能够以有线网络的速度进行工作。但是,配置 EAP 不是一件容易的事情。
服务区标识符(SSID):要求客户端出示正确的SSID才能访问无线接入点 AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其 SSID,用户自己配置客户端系统,致使很多人都知道该SSID,容易共享给非法用户。而且SSID只是一个简单口令,只能提供较低级别的安全。
(二)WPA 加密算法
Wi-Fi保护接入(Wi-FiProtectedAccessWi-Fi保护接入(Wi-Fi ProtectedAccess,WPA)是作为通向802.11i道路的不可缺失的一环而出现,并成为在IEEE802.11i标准确定之前代替 WEP 的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议(T emporalKeyIntegrityProtocol,TKIP)。WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制,满足 WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP 倍受指责的缺点。不过,WPA不能向后兼容某些遗留设备和操作系统。此外,除非无线局域网具有运行 WPA 和加快该协议处理速度的硬件,否则WPA将降低网络性能。WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。
二、WLAN 安全技术的改进
(一)加强控制和审查
容易访问不等于容易受到攻击,极端的手段是通过电磁屏蔽、降低发射功率来防止电磁波的泄露,而且可以通过强大的网络访问控制减少无线网络配置的风险。更可行的是在AP点之间构建VPN,用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。通过购置带VPN功能防火,在无线基站和AP之间建立VPN隧道, 提前整个无线网的安全性,有效保护数据的完整性、可信性和可确认性。针对非法的AP接入,定期进行站点审查。在入侵者使用网络之前,通过接收天线找到未被授权的网络。频繁的物理站点的监测可增加发现非法配置站点的存在几率,但是会花费很多的时间并且移动性极差。随着小型的手持式检测设备的发展,管理员将可以通过手持扫描设备随时到网络的任何位置进行检查。
(二)实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对 PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作;会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次“通信回合”都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到;在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
(三)建立入侵检测体系
为了增强网络的安全性,无线局域网采用无线入侵检测系统(WIDS) 检测计算机网络中的入侵行为和误操作行为。基于无线与有线混合型网络的入侵检测系统是一种发展中的新的解决方案,这是一种基于规则的入侵检测系统。通过分布在网络中的嗅探器监听网络流量,捕获网络通信数据,然后将捕获到的数据包与本地规则库中的规则进行匹配,从而发现异常。嗅探器将异常信息向控制台报告,控制台作为集中式的管理器,负责收集所有嗅探器的报告,并以图形化的界面通知网络管理员,对入侵网络的行为采取进一步的措施;同时,网络管理员可以通过控制台的报告分析出网络漏洞,改进网络安全策略。
(四)多元化的无线安全策略
为了增加无线网络的安全机制,局域网用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。局域网可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理 MAC 地址表,但局域网需要评估和部署 AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在 AP内部进行维护。局域网内部可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。这种多层次策略,使每个用户均拥有一个独特的密钥,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥的有效期很短暂,限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。
随着WLAN的在各方面的广泛应用,对WLAN的攻击技术与手段必将越来越多,WLAN系统安全只是相对的,其安全技术的发展也是一个不断改善和升级的过程。只有把控制无线电源信号泄露,用户的认证和传输数据的加密等多种措施结合起来,从社会学角度来做好防范工作,才能构筑安全的无线局域网。
参考文献
[1]周靖.Dr Cyrus Peikari.无线网络安全.电子工业出版社,2004
[2]孙国学.无线局域网入侵检测系统解决方案.现代电信科技[J].2005(9):38~42