论文部分内容阅读
摘要: 在互联网高速发展的今天,无线网络将是未来发展的趋势,必将最终代替传统的有线网络。而现有的无线局域网的安全机制已无法满足人们对通信安全的需求, 解决无线网络的安全问题就显得尤为迫切, 所以对无线通信网络安全技术的研究是非常必要且有意义的。本文首先阐述了无线网络安全发展概况,重点阐述了无线网络中的不安全因素及安全机制。
关键词:无线网络;网络安全
中图分类号:TN711 文献标识码:A 文章编号:
前言
伴随着因特网蓬勃发展的步伐,另一种联网的方式已经悄悄茁壮成长,这就是无线网络。无线通信一直是人们梦寐以求的技术。借助无线网络技术,我们终于可以摆脱那些烦人的电缆和网线,无论何时何地,都可以轻松地接入互联网。但是由于标准、可靠性、安全性等原因,无线网络至今不能象有线网络那样普及。特别是安全性和有线网络还存在很大距离。为了适应无线网络发展的需要,各种安全技术也应运而生。其中许多技术都是借鉴了成熟的有线网络安全技术,并针对无线环境进行了优化。
一、无线网络安全发展概况
无线网络802.11 公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP 就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg 和Wagner 最早发表论文指出了WEP 协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP 协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP 协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP 不安全已经成一个广为人知的事情,人们期待WEP 在安全性方面有质的变化,新的增强的无线网络安全标准应运而生。我国从2001 年开始着手制定无线网络安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003 年12 月执行。WAPI 使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI 在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11 工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI 标准虽然是公开发布的,然而对其安全性的讨论在学术界和工程界目前还没有展开。增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB 算法,开始工作组决定使用该算法作为无线网络未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB 作为缺省,半年后又提议CCMP 作为缺省,AES-OCB 作为候选,又过了几个月,干脆把AES-OCB 算法完全删除,只使用CCMP 算法作为缺省的未来无线网络的算法。
二、无线网络中的不安全因素
无线网络除了具有有线网络所存在的不安全因素外, 还存在许多其他不安全因素。
1、信息篡改
信息篡改是指攻击者将窃听到的信息进行修改( 如删除或替代部分或全部信息) 之后再将信息传给原本的接受者, 其目的有两种: 恶意破坏合法用户的通信内容, 阻止合法用户建立通信链接; 将修改的消息传给接收者, 企图欺骗接受者相信修改后的消息。信息篡改攻击对物理网络中的信令传输构成很大的威胁。
2、服务后抵赖
服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3、无线窃听
在无线网络中所有的通信内容都是通过无线信道传送的, 任何具有适当无线设备的人均可通过窃听无线信道而获得所需信息。对于无线局域网其通信内容更容易被窃听, 因为它们都工作在全球统一公开的工业、科学和医疗频带, 虽然无线局域网通信设备的发射功率不是很高, 通信距离有限, 但实验证明通过高增益天线在其规定的通信距離外仍可有效的窃听。
4、假冒攻击
某个实体家装成另外一个实体访问无线网络, 即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中, 移动站与网络控制中心及其他移动站之间不存在任何固定的哦物理链接, 移动站必须通过无线信道传输其身份信息, 身份信息在无线信道中传输时可能被窃听, 当攻击者截获一合法用户的身份信息时, 可利用该用户的身份侵入网络, 这就是所谓的身份假冒攻击。在所谓不同的无线网络中, 身份假冒攻击的目标不同, 在移动通信网络中, 其工作频带是收费的, 移动用户必须付费才能通话, 攻击者假冒合法用户主要是逃避付费。而无线局域网中, 工作频带是免费的, 网络资源和信息是不公开的、收费的, 只有合法用户才能访问这些信息攻击者假冒合法用户主要是非法访问网络资源。
5、重传攻击
重传攻击是指攻击者将窃听到的有效信息经过一段时间后, 在传给信息的接受者。其目的是利用曾经有效的信息在改变了的情形下达到同样的目的。值得一提的是无线移动设备还存在失窃的威胁, 移动设备的功能不断增强, 它不仅是一个通信工具, 还存储着一些用户信息, 防止移动设备中秘密信息的失窃也是很重要的。
三、无线网络中的安全机制
无线网络中的安全业务都需要相应的安全机制来保证, 用加密技术实现保密性业务, 通过访问控制实现身份认证业务, 用消息认证机制实现完整性业务, 用数字签名技术实现不可否认性业务。
1、加密机制
保密性业务是通过加密技术实现的, 加密是一种最基本的安全机制, 加密过程如图1 所示:
当加密密钥不等于解密密钥, 即系统中每个用户拥有两个密钥( 公开密钥和秘密密钥) , 则称其为非对称密码系统或公钥密码系统。任何人都可用一个用户的公开密钥将信息加密后传给该用户, 只有该用户才能用其秘密密钥解密, 其他人因不知道秘密密钥而不能解密。公钥密码算法复杂, 因而不适合资源受限的无线通信设备, 但由于其不需要通信双方共享任何秘密, 在密钥管理方面有很大的优越性。
2、消息认证机制
完整检测技术用于提供消息认证, 防止消息被篡改。典型的完整性检测技术是消息认证码, 其工作原理如图2所示。
3、身份认证机制
身份认证技术提供通信双方的身份认证, 以防身份假冒。它通过检测证明方拥有什么或知道什么来确认证明方的身份是否合法。密码学中的身份认证主要基于验证明方是否知道某个秘密( 如证明方与验证方之间共享的秘密密钥, 或证明方自己的私有密钥) , 基于共享秘密的身份认证方案建立在运算简单的单密钥密码算法和杂凑函数基础上, 适合无线通信网络中的身份认证。
4、不可否认机制
数字签名用于提供不可否认性的安全机制, 防止抵赖。数字签名有以下优点: 采用电子形式, 容易在网络中传输; 只有知道秘密密钥的人才能生成签名, 因而很难伪造;可以对整个消急进行签名, 签名后消息不可更改。数字签名大多基于公钥密码技术, 在公钥密码系统中, 用户的公开密钥向所有人公开, 秘密密钥只有自己知道, 用户用自己的秘密密钥对消急或消息的杂凑值签名,然后将消息及签名一起传给验证方, 验证方利用签名者的公开密钥就可以鉴别签名的真伪。因只有签名者知道自己的秘密密钥, 只有他才能形成数字签名, 故签名者一旦对某个消息签名就无法抵赖。
结束语
可以预见,随着无线网络安全事件的不断出现,能否为用户提供优质的安全服务, 将成为无线网络运营商在商业竞争中能否取胜的关键。基于安全服务的整体安全解决方案,将成为未来
网络信息安全的主流发展方向。
参考文献
[1] 汪欣荣. 基于IPSec VPN 的手机安全系统研究[J]. 计算机安全,2009(1):52-54.
[2] 刘威鹏, 胡俊, 方艳湘, 等. 基于可信计算的终端安全体系结构研究与进展[J]. 计算机科学, 2007, 34(10): 257-269.
关键词:无线网络;网络安全
中图分类号:TN711 文献标识码:A 文章编号:
前言
伴随着因特网蓬勃发展的步伐,另一种联网的方式已经悄悄茁壮成长,这就是无线网络。无线通信一直是人们梦寐以求的技术。借助无线网络技术,我们终于可以摆脱那些烦人的电缆和网线,无论何时何地,都可以轻松地接入互联网。但是由于标准、可靠性、安全性等原因,无线网络至今不能象有线网络那样普及。特别是安全性和有线网络还存在很大距离。为了适应无线网络发展的需要,各种安全技术也应运而生。其中许多技术都是借鉴了成熟的有线网络安全技术,并针对无线环境进行了优化。
一、无线网络安全发展概况
无线网络802.11 公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP 就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg 和Wagner 最早发表论文指出了WEP 协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP 协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP 协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP 不安全已经成一个广为人知的事情,人们期待WEP 在安全性方面有质的变化,新的增强的无线网络安全标准应运而生。我国从2001 年开始着手制定无线网络安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003 年12 月执行。WAPI 使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI 在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11 工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI 标准虽然是公开发布的,然而对其安全性的讨论在学术界和工程界目前还没有展开。增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB 算法,开始工作组决定使用该算法作为无线网络未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB 作为缺省,半年后又提议CCMP 作为缺省,AES-OCB 作为候选,又过了几个月,干脆把AES-OCB 算法完全删除,只使用CCMP 算法作为缺省的未来无线网络的算法。
二、无线网络中的不安全因素
无线网络除了具有有线网络所存在的不安全因素外, 还存在许多其他不安全因素。
1、信息篡改
信息篡改是指攻击者将窃听到的信息进行修改( 如删除或替代部分或全部信息) 之后再将信息传给原本的接受者, 其目的有两种: 恶意破坏合法用户的通信内容, 阻止合法用户建立通信链接; 将修改的消息传给接收者, 企图欺骗接受者相信修改后的消息。信息篡改攻击对物理网络中的信令传输构成很大的威胁。
2、服务后抵赖
服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3、无线窃听
在无线网络中所有的通信内容都是通过无线信道传送的, 任何具有适当无线设备的人均可通过窃听无线信道而获得所需信息。对于无线局域网其通信内容更容易被窃听, 因为它们都工作在全球统一公开的工业、科学和医疗频带, 虽然无线局域网通信设备的发射功率不是很高, 通信距离有限, 但实验证明通过高增益天线在其规定的通信距離外仍可有效的窃听。
4、假冒攻击
某个实体家装成另外一个实体访问无线网络, 即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中, 移动站与网络控制中心及其他移动站之间不存在任何固定的哦物理链接, 移动站必须通过无线信道传输其身份信息, 身份信息在无线信道中传输时可能被窃听, 当攻击者截获一合法用户的身份信息时, 可利用该用户的身份侵入网络, 这就是所谓的身份假冒攻击。在所谓不同的无线网络中, 身份假冒攻击的目标不同, 在移动通信网络中, 其工作频带是收费的, 移动用户必须付费才能通话, 攻击者假冒合法用户主要是逃避付费。而无线局域网中, 工作频带是免费的, 网络资源和信息是不公开的、收费的, 只有合法用户才能访问这些信息攻击者假冒合法用户主要是非法访问网络资源。
5、重传攻击
重传攻击是指攻击者将窃听到的有效信息经过一段时间后, 在传给信息的接受者。其目的是利用曾经有效的信息在改变了的情形下达到同样的目的。值得一提的是无线移动设备还存在失窃的威胁, 移动设备的功能不断增强, 它不仅是一个通信工具, 还存储着一些用户信息, 防止移动设备中秘密信息的失窃也是很重要的。
三、无线网络中的安全机制
无线网络中的安全业务都需要相应的安全机制来保证, 用加密技术实现保密性业务, 通过访问控制实现身份认证业务, 用消息认证机制实现完整性业务, 用数字签名技术实现不可否认性业务。
1、加密机制
保密性业务是通过加密技术实现的, 加密是一种最基本的安全机制, 加密过程如图1 所示:
当加密密钥不等于解密密钥, 即系统中每个用户拥有两个密钥( 公开密钥和秘密密钥) , 则称其为非对称密码系统或公钥密码系统。任何人都可用一个用户的公开密钥将信息加密后传给该用户, 只有该用户才能用其秘密密钥解密, 其他人因不知道秘密密钥而不能解密。公钥密码算法复杂, 因而不适合资源受限的无线通信设备, 但由于其不需要通信双方共享任何秘密, 在密钥管理方面有很大的优越性。
2、消息认证机制
完整检测技术用于提供消息认证, 防止消息被篡改。典型的完整性检测技术是消息认证码, 其工作原理如图2所示。
3、身份认证机制
身份认证技术提供通信双方的身份认证, 以防身份假冒。它通过检测证明方拥有什么或知道什么来确认证明方的身份是否合法。密码学中的身份认证主要基于验证明方是否知道某个秘密( 如证明方与验证方之间共享的秘密密钥, 或证明方自己的私有密钥) , 基于共享秘密的身份认证方案建立在运算简单的单密钥密码算法和杂凑函数基础上, 适合无线通信网络中的身份认证。
4、不可否认机制
数字签名用于提供不可否认性的安全机制, 防止抵赖。数字签名有以下优点: 采用电子形式, 容易在网络中传输; 只有知道秘密密钥的人才能生成签名, 因而很难伪造;可以对整个消急进行签名, 签名后消息不可更改。数字签名大多基于公钥密码技术, 在公钥密码系统中, 用户的公开密钥向所有人公开, 秘密密钥只有自己知道, 用户用自己的秘密密钥对消急或消息的杂凑值签名,然后将消息及签名一起传给验证方, 验证方利用签名者的公开密钥就可以鉴别签名的真伪。因只有签名者知道自己的秘密密钥, 只有他才能形成数字签名, 故签名者一旦对某个消息签名就无法抵赖。
结束语
可以预见,随着无线网络安全事件的不断出现,能否为用户提供优质的安全服务, 将成为无线网络运营商在商业竞争中能否取胜的关键。基于安全服务的整体安全解决方案,将成为未来
网络信息安全的主流发展方向。
参考文献
[1] 汪欣荣. 基于IPSec VPN 的手机安全系统研究[J]. 计算机安全,2009(1):52-54.
[2] 刘威鹏, 胡俊, 方艳湘, 等. 基于可信计算的终端安全体系结构研究与进展[J]. 计算机科学, 2007, 34(10): 257-269.