论文部分内容阅读
[摘 要]本文针对无线局域网存在的安全问题,在分析信息过滤、访问认证和数据加密3个重要方面的基础上,比较不同机制的优势、存在漏洞和应用范围。提出适合现网实际需求的认证方式。
[关键词]无线局域网 信息过滤 访问认证 数据加密 WAP2
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2014)40-0156-01
1、引言
无线局域网安全问题主要源于信道开放,用户不必与网络进行“可视”的连接,使得攻击者伪装合法用户更为容易,同时微波信号在空气中的传播也会因为多种原因(例如障碍物、干扰源等)导致信号的损失。
针对不同用户需求,需要选择不同的安全等级,进行不同的设备搭配和软件设置。比如,对于家庭或小型的办公网络类型的用户会拥有较少数量的无线客户端,采用无线局域网自身的安全机制,如SSID过滤,MAC地址过滤和WEP加密等就可以提供一个足够安全的解决方案。对于一个公司来说,则应该有一个共同的安全性策略。其他的应该被包含在这个安全性协议的项目中,除了物理层的安全性能和基本的安全机制以外,还应该提供更加安全的应用解决方案,应该包括强大的数据加密和更加缜密的用户认证体系。
2、无线局域网安全机制
无线局域网的安全机制主要体现在信息过滤、访问认证和数据加密3个方面。信息过滤是将不满足用户要求的信息屏蔽在网络之外,访问认证保证敏感数据只能由授权用户进行访问,数据加密则保证发射的数据只能被所期望的用户接收和理解。访问认证和数据加密往往集中在一个安全协议中,比如在IEEE802.11中的有线等效加密(WEP)。
2.1、信息过滤机制
信息过滤是能够使用的基本的安全性机制。最常用的三种信息过滤机制:SSID过滤、MAC地址过滤和端口协议过滤。其中,前两种一般用于简单结构中,比如无线接入点,第三种是建立在路由基础上的功能,一般只有功能较强的无线基站才有,比如无线路由器。
2.1.1 SSID 过滤
SSID 过滤是用户所使用的无线客户端服务集标识(SSID)必须与被访问的无线接入点相匹配,否则就无法通过此AP进行数据通信。可以认为无线客户端存在基本服务集(BBS)或扩展服务集(ESS)环境是一个工作的“域”,SSID就是这个域名。在计算机的网络中需要访问特定的服务器时是需要登录网络域的。因此,也可以认为SSID是一个简单的口令,从而提供口令鉴别机制,实现一定的安全。
2.1.2 MAC地址过滤
MAC地址过滤可以将无线局域网只设定为给特定的无线客户端使用,因为每个无线客户端都有一个唯一的MAC地址。这种过滤机制的作用就是将每个无线客户端中唯一的物理MAC地址标识再生成一个管理列表,通过这个列表决定访问的用户是否可以进行数据通信。
2.1.3 协议端口过滤
协议端口过滤是无线局域网设备中比较高级的一种安全机制。这样,无线局域网能够过滤网络传输基于2~7层协议的数据包。为了明确Internet访问的目的,可以安装具有协议过滤设备,以便过滤出每一个协议,除了SMTP、POP3、HTTP 、HTTPS和任何直接的信息协议。
2.2、访问认证机制
访问认证机制是无线局域网中的一个工作站向另一个工作站或无线基站证明其身份的机制。一个相互关联必须经过成功的验证过程之后才能建立。在IEEE802.11标准的规定中,定义了两种类型的用户访问验证机制:开放式验证(Open System)和共享密钥(Share Key)。
2.2.1开放式验证
开放式验证是一种空的验证方法,它基本上没有任何验证过程。开放系统验证被IEEE802.11标准定义为无线局域网设备的默认状态。使用这个验证方法,一个无线客户端仅有个一个正确的SSID就可以关联任何使用开放式验证的无线基站。
2.2.2共享密钥验证
共享密钥验证是一种要求双方必须有一个公共密钥,这个过程只能在使用WEP机制的工作站之间进行,避免明文传输。WEP在无线客户端和无线基站上同时使用密钥,这些密钥必须正确地匹配两边工作的工作站才可以实现网络通信。
2.3 数据加密机制
2.3.1 WEP
WEP(Wired Equivalent Privacy有线等效加密)是一个简单的加密算法。一般情况下,WEP有两种类型是可用的:64位密钥和128位密钥。WEP使用RSA数据安全公司的使用伪随机数生成器(PRNG)RC4对称加密算法。这种加密机制通过将一个短密钥扩展成为任意长度的伪随机密钥流,发送端再用这个生成的伪随机密钥流与报文进行异或运算来产生密文。接收端用相同的密钥产生同样的密钥流来对密文进行异或运算而得到原始的报文。
WEP对于减少无意中的窃听风险是一个有效的解决方案。一个没有恶意试图获取访问的人,碰巧进入网络,不会有匹配的WEP密钥,将被阻止访问网络。
WEP存在以下安全缺陷:(1)缺少密钥管理(2)完整性校验值(ICV)算法不合适,(3)RC4算法存在弱点
2.3.2 WPA
WPA(Wi-Fi Protected Access Wi-Fi保护接入)弥补了有线等效加密(WEP)方案的许多缺陷。除此之外,WPA还支持802.11x。但是WPA仍然使用流密码加密无线数据流。像有线等效加密(WEP)一样,WPA不仅是一种加密机制,作为IEEE 802.11i标准的子集,WPA包含了鉴别、加密和数据完整性校验3个组成部分,是一个完整的安全性措施,其核心是IEEE802.11x和暂时密钥完整协议(TKIP,Temporal Key Integrity Protocol)。
支持WPA的无线基站工作需要在开放式系统验证方式下,无线客户端以WPA模式与天线基站建立关联之后,如果网络中有RADIUS服务器作为鉴别服务器,那么无线客户端就使用802.11x方式进行鉴别:如果网络中没有RADIUS,无线客户端与无线基站就会采用预共享密钥(PSK)的方式。
WPA存在以下安全缺陷:(1)不能为独立基础服务集(IBSS)网络(2)WPA不能在网络上对多个接入点进行预检。(3)WPA不能支持高级加密标准(AES)
2.3.3 WAP2
WPA2(WPA第二版)是Wi-Fi联盟对采用IEEE 802.11i安全增强功能的产品的认证计划,支持“AES”加密方式。WPA2有两种风格:WPA2个人版和WPA2企业版。WPA2企业版需要一台具有802.1X功能的RADIUS服务器。没有RADIUS服务器的SOHO用户可以使用WPA2个人版,其口令长度为20个以上的随机字符,或者使用McAfee无线安全或者Witopia Secure My Wi-Fi等托管的RADIUS服务。目前,大多数企业和许多新的住宅Wi-Fi产品都支持WPA2。
综上所述,WEP安全性能最弱,但支持范围最广,WPA2作为WPA的升级版,安全性能最高,但部分不支持IEEE802.11g的设备不能使用。三种加密方式均用于无线接入方式,即接入网络时需连接AP,因而如果采用这三种加密方式,对AP设备安全性存在一定的冲击,所以运营商可采用dhcp+web认证的方式。
3、总结
本文通过对无线局域网安全机制的三个方面信息过滤、访问认证和数据加密进行分析,着重对数据加密的三种方式的特点、适用场景和存在的安全漏洞进行对比分析,结合现网实际情况得出符合网络需求的安全加密技术。
参考文献
[1] 无线网络安全策略与技术.金纯.郑武.电子工业出版社,2004年.
[关键词]无线局域网 信息过滤 访问认证 数据加密 WAP2
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2014)40-0156-01
1、引言
无线局域网安全问题主要源于信道开放,用户不必与网络进行“可视”的连接,使得攻击者伪装合法用户更为容易,同时微波信号在空气中的传播也会因为多种原因(例如障碍物、干扰源等)导致信号的损失。
针对不同用户需求,需要选择不同的安全等级,进行不同的设备搭配和软件设置。比如,对于家庭或小型的办公网络类型的用户会拥有较少数量的无线客户端,采用无线局域网自身的安全机制,如SSID过滤,MAC地址过滤和WEP加密等就可以提供一个足够安全的解决方案。对于一个公司来说,则应该有一个共同的安全性策略。其他的应该被包含在这个安全性协议的项目中,除了物理层的安全性能和基本的安全机制以外,还应该提供更加安全的应用解决方案,应该包括强大的数据加密和更加缜密的用户认证体系。
2、无线局域网安全机制
无线局域网的安全机制主要体现在信息过滤、访问认证和数据加密3个方面。信息过滤是将不满足用户要求的信息屏蔽在网络之外,访问认证保证敏感数据只能由授权用户进行访问,数据加密则保证发射的数据只能被所期望的用户接收和理解。访问认证和数据加密往往集中在一个安全协议中,比如在IEEE802.11中的有线等效加密(WEP)。
2.1、信息过滤机制
信息过滤是能够使用的基本的安全性机制。最常用的三种信息过滤机制:SSID过滤、MAC地址过滤和端口协议过滤。其中,前两种一般用于简单结构中,比如无线接入点,第三种是建立在路由基础上的功能,一般只有功能较强的无线基站才有,比如无线路由器。
2.1.1 SSID 过滤
SSID 过滤是用户所使用的无线客户端服务集标识(SSID)必须与被访问的无线接入点相匹配,否则就无法通过此AP进行数据通信。可以认为无线客户端存在基本服务集(BBS)或扩展服务集(ESS)环境是一个工作的“域”,SSID就是这个域名。在计算机的网络中需要访问特定的服务器时是需要登录网络域的。因此,也可以认为SSID是一个简单的口令,从而提供口令鉴别机制,实现一定的安全。
2.1.2 MAC地址过滤
MAC地址过滤可以将无线局域网只设定为给特定的无线客户端使用,因为每个无线客户端都有一个唯一的MAC地址。这种过滤机制的作用就是将每个无线客户端中唯一的物理MAC地址标识再生成一个管理列表,通过这个列表决定访问的用户是否可以进行数据通信。
2.1.3 协议端口过滤
协议端口过滤是无线局域网设备中比较高级的一种安全机制。这样,无线局域网能够过滤网络传输基于2~7层协议的数据包。为了明确Internet访问的目的,可以安装具有协议过滤设备,以便过滤出每一个协议,除了SMTP、POP3、HTTP 、HTTPS和任何直接的信息协议。
2.2、访问认证机制
访问认证机制是无线局域网中的一个工作站向另一个工作站或无线基站证明其身份的机制。一个相互关联必须经过成功的验证过程之后才能建立。在IEEE802.11标准的规定中,定义了两种类型的用户访问验证机制:开放式验证(Open System)和共享密钥(Share Key)。
2.2.1开放式验证
开放式验证是一种空的验证方法,它基本上没有任何验证过程。开放系统验证被IEEE802.11标准定义为无线局域网设备的默认状态。使用这个验证方法,一个无线客户端仅有个一个正确的SSID就可以关联任何使用开放式验证的无线基站。
2.2.2共享密钥验证
共享密钥验证是一种要求双方必须有一个公共密钥,这个过程只能在使用WEP机制的工作站之间进行,避免明文传输。WEP在无线客户端和无线基站上同时使用密钥,这些密钥必须正确地匹配两边工作的工作站才可以实现网络通信。
2.3 数据加密机制
2.3.1 WEP
WEP(Wired Equivalent Privacy有线等效加密)是一个简单的加密算法。一般情况下,WEP有两种类型是可用的:64位密钥和128位密钥。WEP使用RSA数据安全公司的使用伪随机数生成器(PRNG)RC4对称加密算法。这种加密机制通过将一个短密钥扩展成为任意长度的伪随机密钥流,发送端再用这个生成的伪随机密钥流与报文进行异或运算来产生密文。接收端用相同的密钥产生同样的密钥流来对密文进行异或运算而得到原始的报文。
WEP对于减少无意中的窃听风险是一个有效的解决方案。一个没有恶意试图获取访问的人,碰巧进入网络,不会有匹配的WEP密钥,将被阻止访问网络。
WEP存在以下安全缺陷:(1)缺少密钥管理(2)完整性校验值(ICV)算法不合适,(3)RC4算法存在弱点
2.3.2 WPA
WPA(Wi-Fi Protected Access Wi-Fi保护接入)弥补了有线等效加密(WEP)方案的许多缺陷。除此之外,WPA还支持802.11x。但是WPA仍然使用流密码加密无线数据流。像有线等效加密(WEP)一样,WPA不仅是一种加密机制,作为IEEE 802.11i标准的子集,WPA包含了鉴别、加密和数据完整性校验3个组成部分,是一个完整的安全性措施,其核心是IEEE802.11x和暂时密钥完整协议(TKIP,Temporal Key Integrity Protocol)。
支持WPA的无线基站工作需要在开放式系统验证方式下,无线客户端以WPA模式与天线基站建立关联之后,如果网络中有RADIUS服务器作为鉴别服务器,那么无线客户端就使用802.11x方式进行鉴别:如果网络中没有RADIUS,无线客户端与无线基站就会采用预共享密钥(PSK)的方式。
WPA存在以下安全缺陷:(1)不能为独立基础服务集(IBSS)网络(2)WPA不能在网络上对多个接入点进行预检。(3)WPA不能支持高级加密标准(AES)
2.3.3 WAP2
WPA2(WPA第二版)是Wi-Fi联盟对采用IEEE 802.11i安全增强功能的产品的认证计划,支持“AES”加密方式。WPA2有两种风格:WPA2个人版和WPA2企业版。WPA2企业版需要一台具有802.1X功能的RADIUS服务器。没有RADIUS服务器的SOHO用户可以使用WPA2个人版,其口令长度为20个以上的随机字符,或者使用McAfee无线安全或者Witopia Secure My Wi-Fi等托管的RADIUS服务。目前,大多数企业和许多新的住宅Wi-Fi产品都支持WPA2。
综上所述,WEP安全性能最弱,但支持范围最广,WPA2作为WPA的升级版,安全性能最高,但部分不支持IEEE802.11g的设备不能使用。三种加密方式均用于无线接入方式,即接入网络时需连接AP,因而如果采用这三种加密方式,对AP设备安全性存在一定的冲击,所以运营商可采用dhcp+web认证的方式。
3、总结
本文通过对无线局域网安全机制的三个方面信息过滤、访问认证和数据加密进行分析,着重对数据加密的三种方式的特点、适用场景和存在的安全漏洞进行对比分析,结合现网实际情况得出符合网络需求的安全加密技术。
参考文献
[1] 无线网络安全策略与技术.金纯.郑武.电子工业出版社,2004年.