论无线局域网的安全技术
来源:用户上传
作者: 乐玮琳
摘要: 本文结合无线局域网发展的背景,从物理安全、存在的威胁两方面分析了无线局域网的安全问题,并介绍了解决问题的几种无线局域网安全技术。
关键词: 无线;局域网;安全技术
一、引言
近年来,无线网在全世界取得了较大发展,无线局域网(WLAN,wIreland1ess Local Area Network)应用也越来越多,它将扩展有线局域网或在某些情况下取而代之。可以预见,未来无线局域网将依靠其无法比拟的灵活性、可移动性和极强的扩容性,使人们真正享受到简单、方便、快捷的连接。但是,与有线网络一样,无线局域网正受到众多安全问题的困扰,其中包括来自网络用户的攻击、未认证的用户获得存取权和来自公司或工作组外部的窃听。由于无线媒体的开放性,窃听是无线通信常见的问题,使得无线网络的安全性比有线网络更受关注。
二、 无线局域网的安全问题
目前,困扰无线局域网发展的因素己不是速度,而是安全、应用和互联互通方面的问题,其中安全己成为制约无线局域网发展的重要因素。调查显示,在所有不愿采用无线局域网的用户中,有40%的原因来自安全问题。可见,安全问题不解决,无线局域网的应用前景必将大受影响。与有线网络相比较,无线局域网的安全问题主要有两个方面。
(一)物理安全
无线设备包括站点(STA,Station)和接入点(AP,Access Point)。站点通常由一台PC或笔记本电脑加上一块无线网络接口卡构成:接入点通常由一个无线输出口和一个有线网络接口构成,其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设各自身的安全问题。首先,无线设备存在许多的限制,这将对存储在这些设备的数据和设备问建立的通信链路安全产生潜在的影响。与个人计算机相比,无线设备如个人数字助理(PDA,Personal Digital Assistant)和移动电话等,存在电池寿命短、显示器小、有限的或不同的输入方法、通信链路带宽窄、内存容量小、CPU处理速度小等缺陷。其次,无线设备虽有一定的保护措施,但是这些保护措施总是基于最小信息保护需求的。如果存储重要信息的无线设备被盗,那么小偷就可能无限期地对设备拥有惟一的访问权,不断地获取受保护的数据。因此,有必要加强无线设备的各种防护措施。
(二)存在的威胁
1、修改替换。在无线局域网中,通过增加功率或定向天线可以很容易使菜一结点的功率高于另一结点。这样,较强结点可以屏蔽较弱结点,用自己的数据取代,甚至会代替其他结点做出的反应。
2、传递信任。当内部网包括一部分无线局域网时,就会为攻击者提供一个不需要物理安装的接口用于网络入侵。但在无线网络环境下,受攻击却不能通过一条确定的路径找到这个接口,这使得有效认证机制显得特别重要。在所有的情况下,参与通信的双方都应该能相互认证。
3、基础结构攻击。基础结构攻击是基于系统中存在的漏洞,如软件臭虫、错误配置、硬件故障等。这种攻击也会出现在无线局域网中。但是针对这种攻击进行的保护几乎是不可能的,除非发生了,否则不可能知道臭虫的存在。所能做的就是尽可能地降低破坏所造成的损失。
4、拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击,攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。如果攻击者有足够功率的无线电收发器,就能容易地产生干扰信号,以至于无线局域网无法使用这个无线电通道。
三、无线局域网安全技术
(一)服务集标识符
服务集标识符(SSID,Service Set Identifier)技术将一个无线局域网分为几个需要不同身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份验证的用户才能进入相应的子网,防止未被授权的用户进入本网络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点(AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常,SSID须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID,这是惟一标识网络的字符串。
但是,SSID对于网络中所有用户都是相同的字符串,其安全性能差,人们可以轻易地从每个信息包的明文里窃取到它。一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易泄露给非法用户。SSID实际是一个简单口令,可以提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(二)媒体访问控制
由于每个无线工作站的网卡都有惟一的物理地址,应用媒体访问控制(MAC,Media Access Control)技术,可在无线局域网的每一个AP设置一个允许接入用户的MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。但因为MAC地址在网上是以明码模式传送的,所以只要监听网络便可从中截取或盗用该MAC地址,进而伪装使用者进入内部网络偷取机密资料。其次,部分无线网卡允许通过软件来更改其MAC地址,通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址,因此可通过访问控制的检查而获取访问受保护网络的权限。另外,媒体访问控制属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,由于目前都是手工操作,当用户增加时,MAC地址扩展困难,因此媒体访问控制只适合于小型网络规模。
(三)Wi―Fi保护性接入
Wi―Fi保护性接入(WPA,wi―Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示计算机MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。这样,无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还具有防止数据中途被篡改的功能和认证功能。
WPA标准采用了TKIP(Temporal Key Integrity Protoc0l)、EAP和802.1x等技术,在保持Wi―Fi认证产品硬件可用性的基础上,解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。因此,WPA在提高数据加密能力、增强网络安全性能和接入控制能力方面具有重要意义。WPA是一种比WEP更为强大的加密方法。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成都分,是一个完整的安全性方案。
(四)国家标准WAPI
国家标准WAPI (WAPI,WLAN Authentication and Privacy infrastructure),即无线局域网鉴别与保密基础结构,是针对IEEE802.11中WEP协议的安全问题,在中国无线局域网国家标准GBl5629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT,Movable Terminator)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。另外,它充分考虑了市场应用,从应用模式上可分为单点式和集中式两种。单点式主要用于家庭和小型公司的小范围应用,集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。采用WAPI能够彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而从根本上解决安全和兼容性问题。
四、结语
无线局域网具有随时连线、成本低廉、速度快、部署简易、美观和机动性强等优势。但容易遭窃听或干扰,同样面临安全问题。常用的安全技术有服务集标识符等技术。随着网络技术的发展,新的安全认证与识别技术也会不断涌。
参考文献:
[1]王惠勇. 无线局域网及其安全技术[J]. 电脑与电信, 2009,(02) .
[2]杨改贞. 无线局域网中的安全及WPA加密技术研究[J]. 电脑应用技术, 2006,(03) .
[3]刘国强. 无线局域网技术概述[J]. 科学大众, 2009,(04) .
[4]伍向阳. 无线局域网安全解决方案浅析[J]. 中国科教创新导刊, 2009,(08) .
转载注明来源:https://www.xzbu.com/2/view-427177.htm