開篇:寫作不僅是一種記錄�,更是一種創(chuàng)造���,它讓我們能夠捕捉那些稍縱即逝的靈感���,將它們永久地定格在紙上�����。下面是小編精心整理的12篇無線網(wǎng)絡(luò)安全論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
第1篇
關(guān)鍵詞:無線網(wǎng)絡(luò)�����;安全威脅�����;安全技術(shù)��;安全措施
無線網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述����。
1無線網(wǎng)絡(luò)存在的安全威脅
無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類:一類是關(guān)于網(wǎng)絡(luò)訪問控制�、數(shù)據(jù)機密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊�;另一類是基于無線通信網(wǎng)絡(luò)設(shè)計����、部署和維護(hù)的獨特方式而進(jìn)行的攻擊��。對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生�?����?梢姡瑹o線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。
1.1有線等價保密機制的弱點
IEEE(InstituteofElectricalandElectronicsEngineers�����,電氣與電子工程師學(xué)會)制定的802.11標(biāo)準(zhǔn)中�����,引入WEP(WiredEquivalentPrivacy�,有線保密)機制�,目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施,防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)。然而���,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。
(1)加密算法過于簡單����。WEP中的IV(InitializationVector���,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計�,常常出現(xiàn)重復(fù)使用現(xiàn)象�,易于被他人破解密鑰。而對用于進(jìn)行流加密的RC4算法����,在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點����,容易被黑客攻破�����。此外,用于對明文進(jìn)行完整性校驗的CRC(CyclicRedundancyCheck����,循環(huán)冗余校驗)只能確保數(shù)據(jù)正確傳輸�����,并不能保證其是否被修改,因而也不是安全的校驗碼�����。
(2)密鑰管理復(fù)雜���。802.11標(biāo)準(zhǔn)指出�,WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量���,使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜����,且需要手工進(jìn)行操作���,所以很多網(wǎng)絡(luò)的部署者為了方便����,使用缺省的WEP密鑰�����,從而使黑客對破解密鑰的難度大大減少����。
(3)用戶安全意識不強���。許多用戶安全意識淡薄����,沒有改變?nèi)笔〉呐渲眠x項,而缺省的加密設(shè)置都是比較簡單或脆弱的���,經(jīng)不起黑客的攻擊。
1.2進(jìn)行搜索攻擊
進(jìn)行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法�,現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件��。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的����,或即使加密功能是處于活動狀態(tài)���,如果沒有關(guān)閉AP(wirelessAccessPoint����,無線基站)廣播信息功能����,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier����,安全集標(biāo)識符)等可給黑客提供入侵的條件�����。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監(jiān)聽����。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息���,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如AiroPeek和TCPDump來監(jiān)聽和分析通信量,從而識別出可以破解的信息��。
1.4無線網(wǎng)絡(luò)身份驗證欺騙
欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備��,使得它們錯誤地認(rèn)為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機器發(fā)出的�����。達(dá)到欺騙的目的,最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址����。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol����,傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計原因�����,幾乎無法防止MAC/IP地址欺騙�����。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負(fù)擔(dān)�����,這種方案很少被采用����。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時候��,簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網(wǎng)身份驗證���。
1.5網(wǎng)絡(luò)接管與篡改
同樣因為TCP/IP設(shè)計的原因���,某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接��。如果攻擊者接管了某個AP��,那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機時需要使用的密碼和其他信息����。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進(jìn)行遠(yuǎn)程訪問�,而且這種攻擊通常不會引起用戶的懷疑�����,用戶通常是在毫無防范的情況下輸人自己的身份驗證信息����,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后����,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接����,而不容易被別人發(fā)現(xiàn)�����。
1.6拒絕服務(wù)攻擊
無線信號傳輸?shù)奶匦院蛯iT使用擴(kuò)頻技術(shù)��,使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService�����,拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機或網(wǎng)絡(luò)幾乎所有的資源�,使得合法用戶無法獲得這些資源�����。黑客要造成這類的攻擊:①通過讓不同的設(shè)備使用相同的頻率,從而造成無線頻譜內(nèi)出現(xiàn)沖突�;②攻擊者發(fā)送大量非法(或合法)的身份驗證請求���;③如果攻擊者接管AP�����,并且不把通信量傳遞到恰當(dāng)?shù)哪康牡兀敲此械木W(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)����。無線攻擊者可以利用高性能的方向性天線����,從很遠(yuǎn)的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者���,可以通過發(fā)送多達(dá)無線AP無法處理的通信量進(jìn)行攻擊�����。
1.7用戶設(shè)備安全威脅
由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰��,因此只要得到了一塊無線網(wǎng)網(wǎng)卡�����,攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說��,如果終端用戶的筆記本電腦被盜或丟失�����,其丟失的不僅僅是電腦本身�����,還包括設(shè)備上的身份驗證信息�,如網(wǎng)絡(luò)的SSID及密鑰�。
2無線網(wǎng)絡(luò)采用的安全技術(shù)
采用安全技術(shù)是消除無線網(wǎng)絡(luò)安全威脅的一種有效對策。無線網(wǎng)絡(luò)的安全技術(shù)主要有七種��。
2.1擴(kuò)展頻譜技術(shù)
擴(kuò)頻技術(shù)是用來進(jìn)行數(shù)據(jù)保密傳輸���,提供通訊安全的一種技術(shù)���。擴(kuò)展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去�,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點����。
一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4~2.483GHz范圍內(nèi)傳輸信號�����,在這個范圍內(nèi)可以得到79個隔離的不同通道����,無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18����、47�����、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發(fā)送到每一個通道上,并在每一通道上停留固定的時間���,在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統(tǒng)外的站點要接收和譯碼數(shù)據(jù)幾乎是不可能的�。使用不同的跳頻圖案��、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾,因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。
2.2用戶密碼驗證
為了安全,用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶���,所以嚴(yán)格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權(quán)用戶使用。
2.3數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件����,在數(shù)據(jù)包被發(fā)送之前就加密��,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中����,例如商業(yè)用或軍用的網(wǎng)絡(luò)���,能有效地起到保密作用�。
此外�,如果要求整體的安全保障,比較好的解決辦法也是加密�����。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中��,由制造商提供,另外還可選擇低價格的第三方產(chǎn)品����,為用戶提供最好的性能�����、服務(wù)質(zhì)量和技術(shù)支持。
2.4WEP配置
WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施����,其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)���;對數(shù)據(jù)進(jìn)行加密����,防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造�。此外�,WEP還提供認(rèn)證功能���。2.5防止入侵者訪問網(wǎng)絡(luò)資源
這是用一個驗證算法來實現(xiàn)的�。在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰����。這和有線網(wǎng)絡(luò)的加密很相似���。在這種情況下����,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個前提��。
2.6端口訪問控制技術(shù)
端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與AP關(guān)聯(lián)后�,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果�。如果認(rèn)證通過�����,則AP為用戶打開這個邏輯端口��,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外����,還提供基于用戶的認(rèn)證系統(tǒng)及計費����,特別適合于公司的無線接入解決方案�。
2.7使用VPN技術(shù)
VPN(VirtualPrivateNetwork,虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性�����,它不屬于802.11標(biāo)準(zhǔn)定義��;但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素�����,同時還可以提供基于RADIUS的用戶認(rèn)證以及計費。因此,在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問方法。
3無線網(wǎng)絡(luò)采取的安全措施
要排除無線網(wǎng)絡(luò)的安全威脅��,另一種對策是采取如下八項安全措施��。
3.1網(wǎng)絡(luò)整體安全分析
網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時���,要納入網(wǎng)絡(luò)的規(guī)劃計劃,及時采取措施,排除無線網(wǎng)絡(luò)的安全威脅�。
3.2網(wǎng)絡(luò)設(shè)計和結(jié)構(gòu)部署
選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件����,同時還要做到如下幾點:修改設(shè)備的默認(rèn)值���;把基站看作RAS(RemoteAccessServer��,遠(yuǎn)程訪問服務(wù)器)���;指定專用于無線網(wǎng)絡(luò)的IP協(xié)議�����;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權(quán)用戶和入侵者的影響�;在網(wǎng)絡(luò)上�����,針對全部用戶使用一致的授權(quán)規(guī)則���;在不會被輕易損壞的位置部署硬件�����。
3.3啟用WEP機制
要正確全面使用WEP機制來實現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能,必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性��,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流�����;二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰,避免使用缺省選項�;四是密鑰由用戶來設(shè)定��,并且能夠經(jīng)常更改;五是要使用最堅固的WEP版本,并與標(biāo)準(zhǔn)的最新更新版本保持同步。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅�,對于較大規(guī)模的無線網(wǎng)絡(luò)也是非?����?尚械倪x項。一是把MAC過濾器作為第一層保護(hù)措施���;二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個MAC地址,并配置在AP上�����,只允許這些地址訪問網(wǎng)絡(luò)�����,阻止非信任的MAC訪問網(wǎng)絡(luò)����;三是可以使用日志記錄產(chǎn)生的錯誤���,并定期檢查��,判斷是否有人企圖突破安全措施���。
3.5進(jìn)行協(xié)議過濾
協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風(fēng)險的方式���,在協(xié)議過濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個相當(dāng)有效的方法�,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol���,簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶����,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol�,網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務(wù)攻擊的協(xié)議。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency���,無線頻率)通信,但是通過防止SSID從AP向外界廣播����,就可以克服這個缺點�����。封閉整個網(wǎng)絡(luò),避免隨時可能發(fā)生的無效連接����。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶����。
3.7有效管理IP分配方式
分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式���,判斷無線網(wǎng)絡(luò)使用哪一個分配IP的方法最適合自己的機構(gòu),對網(wǎng)絡(luò)的安全至關(guān)重要�。靜態(tài)地址可以避免黑客自動獲得IP地址�,限制在網(wǎng)絡(luò)上傳遞對設(shè)備的第三層的訪問��;而動態(tài)地址可以簡化WLAN的使用���,可以降低那些繁重的管理工作。
3.8加強員工管理
加強單位內(nèi)部員工的管理���,禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員����;禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)����;加強員工的學(xué)習(xí)和技術(shù)培訓(xùn)��,特別是對網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)���。
此外��,在布置AP的時候要在單位辦公區(qū)域以外進(jìn)行檢查,通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要加強對單位附近的巡查工作�����,防止外部人員在單位附近接入網(wǎng)絡(luò)�。
參考文獻(xiàn)
[1]鐘章隊.無線局域網(wǎng)[M].北京:科學(xué)出版社,2004.
第2篇
論文摘要:無線網(wǎng)絡(luò)作為一種新型的便捷性網(wǎng)絡(luò)資源,正在日益普及�����,尤其是在現(xiàn)代校園中的應(yīng)用更是大勢所需��,但是無線網(wǎng)絡(luò)的安全性成為其在普及應(yīng)用中的一大難題�����。本文經(jīng)過深入分析無線網(wǎng)絡(luò)的安全隱患,提出了相應(yīng)的防范措施�����,并結(jié)合校園學(xué)習(xí)生活的特點�,提出了在校園中的具體應(yīng)用策略���,望有助于相關(guān)人士的參考與借鑒���。
1���、常見的無線網(wǎng)絡(luò)安全措施
無線網(wǎng)絡(luò)受到安全威脅��,主要是因為“接入關(guān)”這個環(huán)節(jié)沒有處理好����,因此以下從兩方面著手來直接保障企業(yè)網(wǎng)線網(wǎng)絡(luò)的安全性��。
1.1 MAC地址過濾
MAC地址過濾作為一種常見的有線網(wǎng)絡(luò)安全防范措施��,憑借其操作手法和有線網(wǎng)絡(luò)操作交換機一致的特性,經(jīng)過無線控制器將指定的無線網(wǎng)卡MAC地址下發(fā)至每個AP中�����,或者在AP交換機端實行設(shè)置�,或者直接存儲于無線控制器中。
1.2 隱藏SSID
所謂SSID,即指用來區(qū)分不同網(wǎng)絡(luò)的標(biāo)識符���,其類似于網(wǎng)絡(luò)中的VLAN,計算機僅可和一個SSID網(wǎng)絡(luò)連接并通信,因此SSID就被定為區(qū)別不同網(wǎng)絡(luò)服務(wù)的標(biāo)識���。SSID最多由32個字符構(gòu)成,當(dāng)無線終端接入無線網(wǎng)絡(luò)時須要有效的SIID,經(jīng)匹配SSID后方可接入���。通常無線AP會廣播SSID,從而接入終端通過掃描即可獲知附近存在的無線網(wǎng)絡(luò)資源�����。比如windows XP系統(tǒng)自帶掃描功能�����,檢索附近的無線網(wǎng)絡(luò)資源���、羅列出SSID信息��。然而,為了網(wǎng)絡(luò)安全最好設(shè)置AP不廣播SSID�����,同時將其名字設(shè)置成難以猜解的長字符串�����。通過這種手段便于隱藏SSID�,避免接入端利用掃描功能獲取到該無線網(wǎng)絡(luò)名稱�����,即使知道其存在也是難以通過輸入其全稱來接入此網(wǎng)絡(luò)的��。
2、無線網(wǎng)絡(luò)安全措施的選擇
網(wǎng)絡(luò)的安全性和便捷性永遠(yuǎn)是相互矛盾的關(guān)系�����,安全性高的網(wǎng)絡(luò)一定在使用前或使用中較為繁瑣���,然而���,科技的進(jìn)步就是為了便捷我們的生活���,因此�,在對無線網(wǎng)絡(luò)進(jìn)行設(shè)置時�,需要兼顧安全性和便捷性這兩個主要方面,使其均衡地發(fā)展使用���。
接入無線AP時選取WAP加密模式的方法,此外���,SSID即使被隱藏,也會被攻擊者利用相關(guān)軟件探測到,所以無需進(jìn)行隱藏SSID,增強接入便捷性,在接入時實行一次性輸入密碼完成設(shè)置任務(wù)�。
與此同時�����,采用強制Portal+802.1X的認(rèn)證方式,兩種方法的融合可以有效確保無線網(wǎng)絡(luò)的安全�。來訪用戶更關(guān)注的是使用時的便捷性�,對其安全性沒有過高要求���。強制Portal認(rèn)證方式免除安裝額外的客戶端軟件�,用戶通過瀏覽器認(rèn)證后即可獲取網(wǎng)絡(luò)資源。這種便捷的方法�����,其不足之處就是安全性較低�。倘若花費一定資金用來購置無線網(wǎng)絡(luò)入侵檢測設(shè)備展開主動性防御,是可以在一定程度上保障無線網(wǎng)絡(luò)安全性的�����。
其實�����,網(wǎng)絡(luò)安全技術(shù)是人類發(fā)明的,并依靠人的使用而發(fā)揮作用,所以網(wǎng)絡(luò)使用者是安全防線的最后一關(guān),加強網(wǎng)絡(luò)使用者的安全意識,是保障無線網(wǎng)絡(luò)安全的根本。
3���、校園無線網(wǎng)絡(luò)的應(yīng)用
(1)在校園網(wǎng)絡(luò)建設(shè)中�,無線網(wǎng)絡(luò)作為一種流程趨勢正在普及開來�,同時其用戶也在日益增多。當(dāng)前在校園網(wǎng)絡(luò)不同環(huán)境下,主要用戶分為以下幾類人群���,第一類為固定用戶群,包括機關(guān)辦公、機房電腦��、教學(xué)樓����、試驗室等眾多使用者;第二類是活動用戶群����,主要包括教師的個人電腦和學(xué)生的自用電腦���;第三類為臨時用戶群���,特指在學(xué)術(shù)交流會時所使用電腦上網(wǎng)的群體�����。經(jīng)過劃分出三類用戶群,便于無線網(wǎng)絡(luò)在接入Internet網(wǎng)絡(luò)時采取相應(yīng)的安全策略,以保障整個校園無線網(wǎng)絡(luò)的安全性����。
(2)校園無線網(wǎng)絡(luò)的安全措施除了進(jìn)行WEP數(shù)據(jù)加密協(xié)議外��,更要結(jié)合不同用戶群特點,制定相應(yīng)的安全防范措施。對于固定用戶群可以實行綁定MAC地址,限制非法用戶的訪問����,網(wǎng)絡(luò)信息中心通過統(tǒng)一分配IP地址來配置MAC地址,進(jìn)行這種過濾策略保障無線網(wǎng)絡(luò)的安全運行��;針對活動用戶群實行端口訪問控制,即連接工作站STA和訪問點AP����,再利用802.1x認(rèn)證AP服務(wù),一旦認(rèn)證許可,AP便為STA開通了邏輯端口��,不然接入被禁止執(zhí)行�����。802.1x需要工作站安裝802.1x的客戶端軟件�����,并在訪問點內(nèi)置802.1x的認(rèn)證����,再作為Radius的客戶端把用戶的認(rèn)證信息轉(zhuǎn)發(fā)至Radius服務(wù)器。802.1x不僅控制端口的訪問�����,還為用戶提供了認(rèn)證系統(tǒng)及其計費功能�。
AP隔離措施近似于有線網(wǎng)絡(luò)的VLAN�����,對無線客戶端進(jìn)行全面隔離��,僅可訪問AP所連接的固定網(wǎng)絡(luò)��,進(jìn)而增強接入Internet網(wǎng)絡(luò)的安全性��;最后一類臨時用戶群�����,可以通過設(shè)置密碼限制訪問,無密碼者無法接入無線網(wǎng)絡(luò),利用此手段保障授權(quán)用戶安全穩(wěn)定的使用無線網(wǎng)絡(luò)��,避免他人肆意進(jìn)入無線網(wǎng)絡(luò)發(fā)生干擾��,尤其適合于會議等臨時性場所的使用。
4���、結(jié)語
建設(shè)校園無線網(wǎng)絡(luò),可以為校園學(xué)習(xí)生活帶來極大的便捷性���,但與此同時���,其中也潛在著安全隱患,無線網(wǎng)絡(luò)技術(shù)需要不斷研究�����、完善���,方可保證校園無線網(wǎng)絡(luò)的安全性、可靠性,實現(xiàn)校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。
無線網(wǎng)絡(luò)中的威脅無處不在,不法分子利用網(wǎng)絡(luò)技術(shù)手段可以竊取校園中傳輸?shù)闹匾獢?shù)據(jù)����,截取或篡改教學(xué)數(shù)據(jù),嚴(yán)重威脅著學(xué)校中重要資料的安全性。只有結(jié)合上述相應(yīng)手段�����,才能有效控制非法用戶侵入校園無線網(wǎng)絡(luò),維持校園無線網(wǎng)絡(luò)的純凈度��,實現(xiàn)健康資源的共享。其實,無線網(wǎng)絡(luò)的安全防范措施還有很多,須要在科學(xué)技術(shù)的發(fā)展進(jìn)步中�����,不斷分析,進(jìn)行完善,以共同打造美好的校園網(wǎng)絡(luò)學(xué)習(xí)生活為目標(biāo)�����。
參考文獻(xiàn)
[1]孔雪蓮.淺談無線局域網(wǎng)中的安全及黑客防范[J].電腦知識與技術(shù)(學(xué)術(shù)交流)��,2007(13).
[2]蘆艷芳��,吳娜.淺談威脅無線網(wǎng)絡(luò)安全的途徑與防范措施[J].計算機光盤軟件與應(yīng)用��,2010(1).
第3篇
關(guān)鍵詞:無線網(wǎng)絡(luò);網(wǎng)絡(luò)安全
中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A 文章編號:
前言
伴隨著因特網(wǎng)蓬勃發(fā)展的步伐���,另一種聯(lián)網(wǎng)的方式已經(jīng)悄悄茁壯成長�,這就是無線網(wǎng)絡(luò)�。無線通信一直是人們夢寐以求的技術(shù)。借助無線網(wǎng)絡(luò)技術(shù)���,我們終于可以擺脫那些煩人的電纜和網(wǎng)線,無論何時何地�����,都可以輕松地接入互聯(lián)網(wǎng)�。但是由于標(biāo)準(zhǔn)、可靠性、安全性等原因���,無線網(wǎng)絡(luò)至今不能象有線網(wǎng)絡(luò)那樣普及����。特別是安全性和有線網(wǎng)絡(luò)還存在很大距離。為了適應(yīng)無線網(wǎng)絡(luò)發(fā)展的需要����,各種安全技術(shù)也應(yīng)運而生��。其中許多技術(shù)都是借鑒了成熟的有線網(wǎng)絡(luò)安全技術(shù)����,并針對無線環(huán)境進(jìn)行了優(yōu)化�����。
一��、無線網(wǎng)絡(luò)安全發(fā)展概況
無線網(wǎng)絡(luò)802.11 公布之后,迅速成為事實標(biāo)準(zhǔn)��。遺憾的是����,從它的誕生開始�,其安全協(xié)議WEP 就受到人們的質(zhì)疑��。美國加州大學(xué)伯克利分校的Borisov����,Goldberg 和Wagner 最早指出了WEP 協(xié)議中存在的設(shè)計失誤����,接下來信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP 協(xié)議中的安全缺陷�,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP 協(xié)議加密的無線傳輸數(shù)據(jù)?���,F(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到���,能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP 不安全已經(jīng)成一個廣為人知的事情��,人們期待WEP 在安全性方面有質(zhì)的變化,新的增強的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)運而生����。我國從2001 年開始著手制定無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��,經(jīng)過西安電子科技大學(xué)���、西安郵電學(xué)院��、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標(biāo)準(zhǔn)���,于2003 年12 月執(zhí)行。WAPI 使用公鑰技術(shù),在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認(rèn)證���、接入控制、會話密鑰生成等目標(biāo),達(dá)到安全通信的目的����。WAPI 在基本結(jié)構(gòu)上由移動終端、接入點和認(rèn)證服務(wù)單元三部分組成���,類似于802.11 工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的�����,WAPI 標(biāo)準(zhǔn)雖然是公開的�����,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開����。增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架�。其間每個月至少召開一次會議�����,會議的文檔可以從互聯(lián)網(wǎng)上下載��,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB 算法���,開始工作組決定使用該算法作為無線網(wǎng)絡(luò)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB 作為缺省�����,半年后又提議CCMP 作為缺省,AES-OCB 作為候選�,又過了幾個月�����,干脆把AES-OCB 算法完全刪除�����,只使用CCMP 算法作為缺省的未來無線網(wǎng)絡(luò)的算法。
二����、無線網(wǎng)絡(luò)中的不安全因素
無線網(wǎng)絡(luò)除了具有有線網(wǎng)絡(luò)所存在的不安全因素外, 還存在許多其他不安全因素。
1����、信息篡改
信息篡改是指攻擊者將竊聽到的信息進(jìn)行修改( 如刪除或替代部分或全部信息) 之后再將信息傳給原本的接受者, 其目的有兩種: 惡意破壞合法用戶的通信內(nèi)容, 阻止合法用戶建立通信鏈接; 將修改的消息傳給接收者, 企圖欺騙接受者相信修改后的消息�。信息篡改攻擊對物理網(wǎng)絡(luò)中的信令傳輸構(gòu)成很大的威脅。
2、服務(wù)后抵賴
服務(wù)后抵賴是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種威脅在電子商務(wù)中常見��。
3�����、無線竊聽
在無線網(wǎng)絡(luò)中所有的通信內(nèi)容都是通過無線信道傳送的, 任何具有適當(dāng)無線設(shè)備的人均可通過竊聽無線信道而獲得所需信息����。對于無線局域網(wǎng)其通信內(nèi)容更容易被竊聽, 因為它們都工作在全球統(tǒng)一公開的工業(yè)�����、科學(xué)和醫(yī)療頻帶, 雖然無線局域網(wǎng)通信設(shè)備的發(fā)射功率不是很高, 通信距離有限, 但實驗證明通過高增益天線在其規(guī)定的通信距離外仍可有效的竊聽���。
4���、假冒攻擊
某個實體家裝成另外一個實體訪問無線網(wǎng)絡(luò), 即所謂的假冒攻擊���。這是侵入某個安全防線的最為通用的方法�����。在無線網(wǎng)絡(luò)中, 移動站與網(wǎng)絡(luò)控制中心及其他移動站之間不存在任何固定的哦物理鏈接, 移動站必須通過無線信道傳輸其身份信息, 身份信息在無線信道中傳輸時可能被竊聽, 當(dāng)攻擊者截獲一合法用戶的身份信息時, 可利用該用戶的身份侵入網(wǎng)絡(luò), 這就是所謂的身份假冒攻擊。在所謂不同的無線網(wǎng)絡(luò)中, 身份假冒攻擊的目標(biāo)不同, 在移動通信網(wǎng)絡(luò)中, 其工作頻帶是收費的, 移動用戶必須付費才能通話, 攻擊者假冒合法用戶主要是逃避付費。而無線局域網(wǎng)中, 工作頻帶是免費的, 網(wǎng)絡(luò)資源和信息是不公開的�、收費的, 只有合法用戶才能訪問這些信息攻擊者假冒合法用戶主要是非法訪問網(wǎng)絡(luò)資源��。
5、重傳攻擊
重傳攻擊是指攻擊者將竊聽到的有效信息經(jīng)過一段時間后, 在傳給信息的接受者。其目的是利用曾經(jīng)有效的信息在改變了的情形下達(dá)到同樣的目的���。值得一提的是無線移動設(shè)備還存在失竊的威脅, 移動設(shè)備的功能不斷增強, 它不僅是一個通信工具, 還存儲著一些用戶信息, 防止移動設(shè)備中秘密信息的失竊也是很重要的�����。
三�����、無線網(wǎng)絡(luò)中的安全機制
無線網(wǎng)絡(luò)中的安全業(yè)務(wù)都需要相應(yīng)的安全機制來保證, 用加密技術(shù)實現(xiàn)保密性業(yè)務(wù), 通過訪問控制實現(xiàn)身份認(rèn)證業(yè)務(wù), 用消息認(rèn)證機制實現(xiàn)完整性業(yè)務(wù), 用數(shù)字簽名技術(shù)實現(xiàn)不可否認(rèn)性業(yè)務(wù)。
1、加密機制
保密性業(yè)務(wù)是通過加密技術(shù)實現(xiàn)的, 加密是一種最基本的安全機制, 加密過程如圖1 所示:
當(dāng)加密密鑰不等于解密密鑰, 即系統(tǒng)中每個用戶擁有兩個密鑰( 公開密鑰和秘密密鑰) , 則稱其為非對稱密碼系統(tǒng)或公鑰密碼系統(tǒng)����。任何人都可用一個用戶的公開密鑰將信息加密后傳給該用戶, 只有該用戶才能用其秘密密鑰解密, 其他人因不知道秘密密鑰而不能解密�����。公鑰密碼算法復(fù)雜, 因而不適合資源受限的無線通信設(shè)備, 但由于其不需要通信雙方共享任何秘密, 在密鑰管理方面有很大的優(yōu)越性。
2�、消息認(rèn)證機制
完整檢測技術(shù)用于提供消息認(rèn)證, 防止消息被篡改����。典型的完整性檢測技術(shù)是消息認(rèn)證碼, 其工作原理如圖2所示��。
3���、身份認(rèn)證機制
身份認(rèn)證技術(shù)提供通信雙方的身份認(rèn)證, 以防身份假冒��。它通過檢測證明方擁有什么或知道什么來確認(rèn)證明方的身份是否合法。密碼學(xué)中的身份認(rèn)證主要基于驗證明方是否知道某個秘密( 如證明方與驗證方之間共享的秘密密鑰, 或證明方自己的私有密鑰) , 基于共享秘密的身份認(rèn)證方案建立在運算簡單的單密鑰密碼算法和雜湊函數(shù)基礎(chǔ)上, 適合無線通信網(wǎng)絡(luò)中的身份認(rèn)證���。
4、不可否認(rèn)機制
數(shù)字簽名用于提供不可否認(rèn)性的安全機制, 防止抵賴�。數(shù)字簽名有以下優(yōu)點: 采用電子形式, 容易在網(wǎng)絡(luò)中傳輸; 只有知道秘密密鑰的人才能生成簽名, 因而很難偽造;可以對整個消急進(jìn)行簽名, 簽名后消息不可更改�。數(shù)字簽名大多基于公鑰密碼技術(shù), 在公鑰密碼系統(tǒng)中, 用戶的公開密鑰向所有人公開, 秘密密鑰只有自己知道, 用戶用自己的秘密密鑰對消急或消息的雜湊值簽名,然后將消息及簽名一起傳給驗證方, 驗證方利用簽名者的公開密鑰就可以鑒別簽名的真?zhèn)?����。因只有簽名者知道自己的秘密密鑰, 只有他才能形成數(shù)字簽名, 故簽名者一旦對某個消息簽名就無法抵賴。
結(jié)束語
可以預(yù)見��,隨著無線網(wǎng)絡(luò)安全事件的不斷出現(xiàn)���,能否為用戶提供優(yōu)質(zhì)的安全服務(wù), 將成為無線網(wǎng)絡(luò)運營商在商業(yè)競爭中能否取勝的關(guān)鍵�?��;诎踩?wù)的整體安全解決方案����,將成為未來
網(wǎng)絡(luò)信息安全的主流發(fā)展方向�。
參考文獻(xiàn)
第4篇
關(guān)鍵詞:無線網(wǎng)絡(luò);安全�;Portal認(rèn)證�����;802.1x
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)35-2103-01
Campus Wireless Network Security Strategy
LI Qiang
(Network Management Center of North University for Ethics,Yinchuan 750021,China)
Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.
Key words: wireless network;security;portal certificate;802.1 x
1 引言
在過去的很多年,計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜�,構(gòu)成有線局域網(wǎng)�。但有線網(wǎng)絡(luò)在實施過程中工程量大�,破壞性強,網(wǎng)中的各節(jié)點移動性不強��。為了解決這些問題�,無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和擴(kuò)展,逐漸得到的普及和發(fā)展���。
在校園內(nèi),教師與學(xué)生的流動性很強���,很容易在一些地方人員聚集,形成“公共場所”���。而且隨著筆記本電腦的普及和Intemet接入需求的增長��,無論是教師還是學(xué)生都迫切要求在這些場所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動活動�。移動性與頻繁交替性����,使有線網(wǎng)絡(luò)無法靈活滿足他們對網(wǎng)絡(luò)的需求,造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸����。
將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)�����,在某些場所,如網(wǎng)絡(luò)教室����,會議室����,報告廳���、圖書館等區(qū)域�����,可以率先覆蓋無線網(wǎng)絡(luò)���,讓用戶能真正做到無線漫游�����,給工作和生活帶來巨大的便利��。隨后��,慢慢把無線的覆蓋范圍擴(kuò)大,最后做到全校無線的覆蓋。
2 校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀
在無線網(wǎng)絡(luò)技術(shù)成熟的今天�,無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求����,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動性�,它已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成��,在學(xué)校的教室���、辦公室、會議室、甚至是校園草坪上�����,都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng)��,這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍����,使隨時隨地的網(wǎng)絡(luò)接入成為可能����。但在使用無線網(wǎng)絡(luò)的同時,無線接入的安全性也面臨的嚴(yán)峻的考驗�����。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種:① 基于MAC地址的認(rèn)證�����。基于 MAC地址的認(rèn)證就是MAC地址過濾���,每一個無線接入點可以使用 MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施 MAC地址訪問控制后�,如果MAC列表中包含某個用戶的MAC地址��,則這個用戶可以訪問網(wǎng)絡(luò),否則如果列表中不包含某個用戶的MAC地址�,則該用戶不能訪問網(wǎng)絡(luò)�����。② 共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法�����。如果用戶有正確的共享密鑰���,那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)��。③ 802.1x認(rèn)證����。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議���,它是個二層協(xié)議�,需要通過 802.1x客戶端軟件發(fā)起請求,通過認(rèn)證后打開邏輯端口�����,然后發(fā)起 DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問�����。
可以說 ,校園網(wǎng)的不少無線接入點都沒有很好地考慮無線接入的安全問題���,就連最基本的安全,如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置�,更不用說像 802.1 x這樣相對來說比較難設(shè)置的認(rèn)證方法了�。如果我們提著筆記本電腦在某個校園內(nèi)走動��,會搜索到很多無線接入點�����,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入�。試想��,如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò),進(jìn)而進(jìn)入校園網(wǎng)�����,就會對我們的校園網(wǎng)絡(luò)構(gòu)成威脅。
3 校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案
校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后����,怎樣才能有效地保障無線網(wǎng)絡(luò)的安全?前面提到的基于 MAC地址的認(rèn)證存在兩個問題�����,一是數(shù)據(jù)管理的問題,要維護(hù) MAC數(shù)據(jù)庫���,二是 MAC可嗅探,也可修改��;如果采用共享密鑰認(rèn)證��,攻擊者可以輕易地搞到共享認(rèn)證密鑰�;802.1x定義了三種身份:申請者(用戶無線終端)�、認(rèn)證者(AP)和認(rèn)證服務(wù)器���。整個認(rèn)證的過程發(fā)生在申請者與認(rèn)證服務(wù)器之間����,認(rèn)證者只起到了橋接的作用。申請者向認(rèn)證服務(wù)器表明自己的身份���,然后認(rèn)證服務(wù)器對申請者進(jìn)行認(rèn)證,認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進(jìn)行通信����。
雖然 802.1x仍舊存在一定的缺陷�,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善���,IEEE 802.11i和 WAPI都參考了802.1x的機制����。802.1x選用EAP來提供請求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP-MD5����、EAP-TLS和PEAP等����。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持���。在大多數(shù)情況下��,選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證���,或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS�����;在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)�����,該協(xié)議在PEAP(Protected Extensible Authentication Protoco1)協(xié)議中��,也稱作PEAP-EAP-MSCHAPv2。
考慮到校園群體的特殊性�����,為了保障校園無線網(wǎng)絡(luò)的安全���,可對不同的群體采取不同的認(rèn)證方法����。在校園網(wǎng)內(nèi),主要分成兩類不同的用戶,一類是校內(nèi)用戶,一類是來訪用戶�����。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要,他們要求能夠隨時接入無線網(wǎng)絡(luò),訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)���,如工資、科研成果 、研究資料和論文等的安全性要求比較高�。對于此類用戶��,可使用 802.1x認(rèn)證方式對用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高�����,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet�,以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對這類用戶���,可采用DHCP+強制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)�����。
如圖所示����,開機后�����,來訪用戶先通過DHCP服務(wù)器獲得IP地址�����。當(dāng)來訪用戶打開瀏覽器訪問Intemet網(wǎng)站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站�����,用戶只能訪問該網(wǎng)站中提供的服務(wù)�����,無法訪問校園網(wǎng)內(nèi)部的其他受限資源�,比如學(xué)校公共數(shù)據(jù)庫���、圖書館期刊全文數(shù)據(jù)庫等����。如果要訪問校園網(wǎng)以外的資源����,必須通過強制Portal認(rèn)證.認(rèn)證通過就可以訪問Intemet。對于校內(nèi)用戶,先由無線用戶終端發(fā)起認(rèn)證請求����,沒通過認(rèn)證之前�����,不能訪問任何地方,并且不能獲得IP地址����?��?赏ㄟ^數(shù)字證書(需要設(shè)立證書服務(wù)器)實現(xiàn)雙向認(rèn)證����,既可以防止非法用戶使用網(wǎng)絡(luò)����,也可以防止用戶連入非法AP。雙向認(rèn)證通過后����,無線用戶終端從DHCP服務(wù)器獲得IP地址�。無線用戶終端獲得IP地址后���,就可以利用雙方約定的密鑰,運用所協(xié)商的加密算法進(jìn)行通信����,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。
使用強制 Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全�,具有一定的現(xiàn)實意義�。來訪用戶所關(guān)心的是方便和快捷��,對安全性的要求不高�����。強制 Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)�。采用此種方式����,對來訪用戶來說簡單���、方便�����、快速�����,但安全性比較差。雖然用戶名和密碼可以通過 SSL加密,但傳輸?shù)臄?shù)據(jù)沒有任何加密�,任何人都可以監(jiān)聽����。當(dāng)然���,必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶�,確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料��,從而保證校園網(wǎng)絡(luò)的高安全性���。校內(nèi)用戶所關(guān)心的主要是其信息的安全���,安全性要求比較高��。802.1x認(rèn)證方式安裝設(shè)置比較麻煩,設(shè)置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性��,因此針對校內(nèi)用戶可使用802.1x認(rèn)證方式����,以保障傳輸數(shù)據(jù)的安全。
4 結(jié)束語
校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后��,用戶只需簡單的設(shè)置就可以連接到校園網(wǎng)�,從而實現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展�����,將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)����。 現(xiàn)在,不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋�。但在建設(shè)無線網(wǎng)絡(luò)的同時����,由于對無線網(wǎng)絡(luò)的安全不夠重視�����,對校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不夠����。在這點上���,學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭�����,做好無線網(wǎng)絡(luò)的安全管理工作���,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證�,做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接��,確保無線網(wǎng)絡(luò)的高安全性����。
參考文獻(xiàn):
第5篇
本系統(tǒng)是一個基于Java ME平臺的無線網(wǎng)絡(luò)移動端的俄羅斯方塊游戲�,利用Java ME Wireless Toolkit(WTK)開發(fā)包工具在無線網(wǎng)絡(luò)移動端上實現(xiàn)經(jīng)典的俄羅斯方塊游戲。論文開始部分對無線網(wǎng)絡(luò)移動系統(tǒng)開發(fā)中常使用幾種開發(fā)語言和環(huán)境作了比較�����,說明了選擇Java ME Wireless Toolkit作為開發(fā)環(huán)境的的原因并對它作了相關(guān)的介紹���。并展示了在WTK中打開一個項目�����、把源文件打包成JAR包�����、產(chǎn)生混淆包的方法和過程����。在系統(tǒng)設(shè)計時,遵循了無線網(wǎng)絡(luò)移動端程序的startApp��、pauseApp��、destroyApp的開發(fā)生命周期�。在設(shè)計與實現(xiàn)方面���,分成難度選擇�、游戲規(guī)則、方塊處理這幾個模塊進(jìn)行實現(xiàn)�����。在開發(fā)與實現(xiàn)的同時也講解了俄羅斯方塊這款古老而經(jīng)典游戲的游戲背景����、規(guī)則以及相關(guān)特性。最終展示了無線網(wǎng)絡(luò)移動端的游戲開發(fā)的基本開發(fā)過程和設(shè)計思路。
關(guān)鍵詞:無線網(wǎng)絡(luò)移動端���;Java ME;俄羅斯方塊;游戲開發(fā)
1. 引言
1.1 系統(tǒng)綜述
綜合運用以前所學(xué)專業(yè)知識,在Java ME開發(fā)平臺上實現(xiàn)無線網(wǎng)絡(luò)移動端的俄羅斯方塊游戲����。其研究主要包括以下內(nèi)容:第一�����,克服有限的可視屏幕尺寸,使游戲正常顯示����;第二,解決有限的可用內(nèi)存調(diào)用問題,實現(xiàn)游戲流暢運行�;第三��,俄羅斯方塊游戲規(guī)則算法在Java ME平臺的實現(xiàn),保證游戲可玩性;第四,游戲開始����、結(jié)束等邏輯在游戲進(jìn)行中的判斷�。本系統(tǒng)在Windows XP的操作系統(tǒng)下�,Java Micro Edition Wireless Toolkit 2.1為開發(fā)工具,用中文版UltraEdit做為代碼編輯器而實現(xiàn)的���。
1.2 Java ME游戲開發(fā)背景
游戲開發(fā)是藝術(shù)與編程技術(shù)相結(jié)合的完美表現(xiàn)���。利用Java的“Write once��,run anywhere”特性,可以真正達(dá)到程序只寫一次,在任何平臺都可以執(zhí)行�����。同時Java語言對面向?qū)ο蟮牧己弥С?���,使開發(fā)具有高效性。所以Java ME(Java Micro Edition)是廣大無線網(wǎng)絡(luò)移動端游戲開發(fā)廠商和游戲開發(fā)愛好者的首選平臺。
1.3 無線網(wǎng)絡(luò)移動端游戲發(fā)展現(xiàn)狀
縱觀IT產(chǎn)業(yè)的歷史,計算機游戲已經(jīng)成為技術(shù)創(chuàng)新背后的動力之一�。計算機游戲者渴望更加強大的硬件計算能力����,渴望不受不同的軟件的限制——無論是將圖形強制在人工智能(AI)上還是網(wǎng)絡(luò)安全性���。而無線網(wǎng)絡(luò)移動端游戲已成為IT產(chǎn)業(yè)中增長最快的部分之一��。
第6篇
關(guān)鍵詞:認(rèn)知無線電;網(wǎng)絡(luò)安全
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1006-8937(2015)36-0053-02
認(rèn)知無線電技術(shù)可以在不影響授權(quán)用戶的前提下允許其他用戶動態(tài)接入空閑頻譜��,這為解決無線頻譜資源短缺問題提供了一種可行的解決方案。認(rèn)知無線電技術(shù)的概念一經(jīng)提出便受到了人們的廣泛關(guān)注,相關(guān)研究取得了飛速進(jìn)展����。但認(rèn)知無線電技術(shù)由于引入了頻譜感知、智能學(xué)習(xí)���、動態(tài)頻譜分配等新技術(shù),從而帶來了諸如模擬授權(quán)用戶攻擊�、自私行為攻擊���、虛假反饋攻擊等各種全新的安全問題�。而認(rèn)知無線電網(wǎng)絡(luò)的安全問題將影響到認(rèn)知無線電技術(shù)的最終商用化�。因此,對認(rèn)知無線電網(wǎng)絡(luò)安全性方面的探索與實踐研究有著十分重要的意義�。
1 認(rèn)知無線電技術(shù)簡介
認(rèn)知無線電(Cognitive Radio��,CR)的概念最早由Joseph Mitolo博士提出,他指出認(rèn)知無線電是一種通過感知自身周圍環(huán)境�����,進(jìn)而通過與周圍環(huán)境交互來改變發(fā)射機參數(shù)的智能無線通信系統(tǒng)�,其具備環(huán)境感知能力、學(xué)習(xí)能力����、決策和自適應(yīng)能力�、相互協(xié)作的能力��。
認(rèn)知無線電確立了三個基本任務(wù):
①頻譜感知:認(rèn)知用戶的接收端感知周圍的無線頻譜環(huán)境�,測量并估計環(huán)境中的干擾溫度��,篩選可用的頻譜����。
②信道估計:根據(jù)環(huán)境中的干擾溫度信息����,實時計算出各個子信道的信道容量。
③動態(tài)頻譜資源管理:認(rèn)知用戶的發(fā)射端根據(jù)已知的空閑頻譜和信道容量信息�����,動態(tài)調(diào)整其發(fā)射頻率和功率��,從而確保信息的可靠傳輸。
認(rèn)知無線電網(wǎng)絡(luò)通過允許非授權(quán)用戶自適應(yīng)的感知授權(quán)頻譜�����,并機會式地使用空閑頻譜���,使得非授權(quán)用戶可以在未取得授權(quán)的情況下接入傳輸條件更好����、帶寬更寬的頻段��,從而可以極大的改善頻譜利用率。認(rèn)知無線電技術(shù)的提出和發(fā)展為解決當(dāng)前頻譜資源緊張的問題提供了一種可靠的解決方案�。
2 認(rèn)知無線電網(wǎng)絡(luò)安全面臨的主要威脅
隨著各類無線設(shè)備的出現(xiàn)����,頻譜資源日益緊張��,在無線通信中 “認(rèn)知”概念的引入�,可以有效解決該問題��,但也帶來了一系列新的無線網(wǎng)絡(luò)安全隱患��,是認(rèn)知無線電網(wǎng)絡(luò)能夠?qū)崿F(xiàn)商用的一個難題。認(rèn)知無線電網(wǎng)絡(luò)的安全性研究尚處于初始階段����,隨著頻譜感知��、智能學(xué)習(xí)、動態(tài)頻譜分配等一系列新技術(shù)的引入��,其除了需要面對傳統(tǒng)無線網(wǎng)絡(luò)安全威脅��,還面臨著諸如模擬授權(quán)用戶攻擊、自私行為攻擊��、虛假反饋攻擊等各種全新的安全問題�。
目前,認(rèn)知無線電網(wǎng)絡(luò)安全防御機制研究主要集中在提高某種具體技術(shù)的安全性,尚未形成較為成熟的認(rèn)知無線電安全體系���。但也已有研究和相關(guān)文獻(xiàn)[1]涉及了該方面,為認(rèn)知無線電網(wǎng)絡(luò)安全性研究提供了一定的借鑒。
2.1 物理層攻擊行為
認(rèn)知無線電網(wǎng)絡(luò)在物理層引入了全新的頻譜感知和頻譜切換技術(shù)��,認(rèn)知用戶可以通過頻譜感知和切換技術(shù)檢測和篩選可用的空閑頻譜加以利用���。因此�����,除了面臨傳統(tǒng)無線網(wǎng)絡(luò)物理層安全威脅外��,認(rèn)知無線電網(wǎng)絡(luò)物理層中還因相關(guān)新技術(shù)的應(yīng)用而面臨一系列新的安全威脅。
其中最受關(guān)注的是:
①模擬授權(quán)用戶攻擊[2](Primary User Emulation Attack���,PUEA)當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點檢測到一個可用空閑頻段時,其通過發(fā)送與授權(quán)用戶信號特征相似的傳輸信號���,從而達(dá)到獨占此空閑頻段的目的。
②干擾授權(quán)用戶攻擊[3](Primary Receiver Jamming Attack)在認(rèn)知無線電網(wǎng)絡(luò)中存在惡意節(jié)點參與到網(wǎng)絡(luò)的協(xié)作數(shù)據(jù)傳送過程中��,造成對授權(quán)用戶接收機進(jìn)行連續(xù)干擾����。
2.2 鏈路層攻擊行為
認(rèn)知無線電網(wǎng)絡(luò)的鏈路層負(fù)責(zé)將檢測到的空閑頻譜分配給需要的認(rèn)知無線電用戶,其需要在確保在一定公平性的基礎(chǔ)上盡可能提高頻譜的利用率。因此認(rèn)知無線電網(wǎng)絡(luò)鏈路層面臨的主要安全威脅是如何確保信道分配的公平性����。
目前普遍存在的三種攻擊行為是:
①自私(惡意)行為攻擊[4](Selfish Behavior Attack)自私節(jié)點以損害網(wǎng)絡(luò)整體性能為代價��,通過修改頻譜分配的效用函數(shù)來提高自身性能��,但同時也會造成其他認(rèn)知用戶可用頻譜資源減少���。
②飽和控制信道攻擊[5](Control Channel Saturation Attacks):惡意節(jié)點通過持續(xù)不斷發(fā)送偽造的控制信息��,從而達(dá)到公共控制信道數(shù)據(jù)飽和、網(wǎng)絡(luò)整體性能下降的目的��。
③虛假反饋攻擊(False Feedback Attack):認(rèn)知無線電網(wǎng)絡(luò)中的惡意節(jié)點向其他認(rèn)知用戶反饋虛假的頻譜感知和分配信息��,從而達(dá)到影響頻譜感知準(zhǔn)確性和頻譜分配公平性的目的�����。
2.3 網(wǎng)絡(luò)層攻擊行為
在認(rèn)知無線電網(wǎng)絡(luò)中,網(wǎng)絡(luò)層面臨的主要安全威脅為對路由信息的篡改和破壞,如拜占庭黑洞攻擊(Black Hole Attack)����、急速泛洪攻擊(Flood Rushing Attack)��、蟲洞攻擊(Wormhole Attack)等。此外���,隨著認(rèn)知無線電網(wǎng)絡(luò)中頻譜感知技術(shù)的引入����,致使環(huán)境中的每個接收機都存在多個可用信道�����,在數(shù)據(jù)傳輸過程中為確保一跳鏈路的雙方使用相同的信道��,各個節(jié)點在進(jìn)行路由選擇的同時還需要對信道進(jìn)行選擇。認(rèn)知網(wǎng)絡(luò)中的惡意用戶可以通過發(fā)送虛假的路由和信道信息,從而誤導(dǎo)用戶選擇錯誤的路由和信道,達(dá)到信道間干擾嚴(yán)重��,網(wǎng)絡(luò)整體性能下降的目的�����。 2.4 高層攻擊行為
認(rèn)知無線電網(wǎng)絡(luò)中的高層攻擊行為包括對傳輸層的攻擊和對應(yīng)用層的攻擊�����。認(rèn)知無線電網(wǎng)絡(luò)的高層結(jié)構(gòu)與傳統(tǒng)無線網(wǎng)絡(luò)類似��,相關(guān)研究主要集中在空中接口部分��。其面臨的主要安全威脅有會話劫持攻擊(Session Hijacking Attack)、拒絕服務(wù)攻擊(Denial of Service���,DoS)、惡意代碼攻擊(Malicious Code Attack)等����。
3 認(rèn)知無線電網(wǎng)絡(luò)安全性分析
針對認(rèn)知無線電網(wǎng)絡(luò)物理層所面臨的主要安全威脅:模擬授權(quán)用戶攻擊��,2006年R.Chen、J.M.Park提出了模擬授權(quán)用戶攻擊的問題�,其具體表現(xiàn)形式為:當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點檢測到一個可用空閑頻段時�����,其通過發(fā)送與授權(quán)用戶信號特征相似的傳輸信號,從而達(dá)到獨占此空閑頻段的目的����。
通過相關(guān)研究證實傳統(tǒng)的頻譜檢測方法很難有效解決該威脅�����,因此R.Chen、J.M.Park提出了一種基于位置確認(rèn)的頻譜檢測方法來解決此種威脅���,該方法包括兩種位置確認(rèn)方的驗證算法:距離比驗證和距離差異驗證�。實驗表明上述兩種算法均可以檢測到網(wǎng)絡(luò)中是否存在惡意攻擊者,但還需提高其檢測的準(zhǔn)確性;解決該類威脅的另一種可能的方法是在授權(quán)用戶信號中加入用于計算哈希值的原始數(shù)據(jù),認(rèn)知用戶對接收到的原始數(shù)據(jù)做哈希值計算�����,通過比對計算結(jié)果同預(yù)先保留的參數(shù)值來確定其是否為惡意節(jié)點��。
針對認(rèn)知無線電網(wǎng)絡(luò)物理層所面臨的安全威脅���,最根本的解決方案還在于改善頻譜感知技術(shù)來實現(xiàn)頻譜利用的安全性�。為確保認(rèn)知用戶獲取環(huán)境中頻譜使用情況的準(zhǔn)確性����,可以建立實時無線電環(huán)境數(shù)據(jù)庫,通過將感知信息與數(shù)據(jù)庫比對�,可以有效減少類似模擬授權(quán)用戶攻擊和虛假反饋攻擊對認(rèn)知無線電網(wǎng)絡(luò)造成的安全威脅���。
認(rèn)知無線電網(wǎng)絡(luò)鏈路層所面臨的主要安全問題是如何確保信道分配的公平性��。目前,對認(rèn)知無線電網(wǎng)絡(luò)鏈路層安全構(gòu)成最大威脅的是自私行為攻擊�����。因此����,可以在認(rèn)知無線電信道感知和分配中引入信譽機制����,其設(shè)計可以借鑒Ad Hoc網(wǎng)絡(luò)中引入的信任/信譽模型��,首先需要收集各節(jié)點的行為信息����,綜合該節(jié)點之前參與頻譜感知和分配過程中信譽度的歷史記錄�����,從而進(jìn)行相關(guān)信譽度的計算,然后數(shù)據(jù)融合中心利用信譽度來對所有節(jié)點的匯報結(jié)果進(jìn)行可信度區(qū)分���,最后通過激勵或懲罰機制來使各節(jié)點間加強協(xié)作,減少自私行為��,讓信譽度高的認(rèn)知用戶在頻譜分配過程中發(fā)揮更大的作用�,從而提高頻譜感知和分配的公平性。
在認(rèn)知無線電網(wǎng)絡(luò)中�����,公共控制信道的安全性至關(guān)重要��,它能實現(xiàn)認(rèn)知無線電網(wǎng)絡(luò)各節(jié)點交換本地信道信息���。對于公共控制信道的攻擊會造成網(wǎng)絡(luò)通信效率急劇降低甚至癱瘓�����,因此必須確保公共控制信道及信道中信息的安全性。
解決公共控制信道面臨的安全性問題可從以下三方面考慮:
①可以通過在各節(jié)點間建立可靠的頻道列表來確保信道的安全;
②通過引入加密認(rèn)證體系使在認(rèn)知無線電網(wǎng)絡(luò)節(jié)點(接受、發(fā)射端)實現(xiàn)雙向認(rèn)證來確保信道的安全。
③可以借鑒Ad Hoc網(wǎng)絡(luò)中的節(jié)點分簇機制[6]�����,相關(guān)節(jié)點用戶自行組成一個本地協(xié)調(diào)組�。
每組用戶形成一個具有相同公共控制信道的多跳網(wǎng)絡(luò),通過這種方法可以防止由于控制信道擁塞造成的中斷,有效改善飽和控制信道攻擊。
4 結(jié) 語
認(rèn)知無線電網(wǎng)絡(luò)的安全問題將影響到認(rèn)知無線電技術(shù)的最終商用,而針對這方面的研究也會越來越深入,我們可以充分借鑒其它無線網(wǎng)絡(luò)安全性技術(shù),針對認(rèn)知無線電本身特點��,最終完善其相關(guān)安全技術(shù)�����。
參考文獻(xiàn):
[1] Jack L.Burbank. Security in cognitive radio networks: The required e
volution in approaches to wireless network security. IEEE Wireless
Communications Magazine,2009.
[2] 崔國華,盧社階.Ad hoc網(wǎng)絡(luò)中基于多徑路由協(xié)議的信譽機制[J].通信 學(xué)報���,2008,(5). 本文由wWw.DyLw.NeT提供,第一論 文 網(wǎng)專業(yè)教育教學(xué)論文和以及服務(wù)���,歡迎光臨dYlw.nET
[3] Wang Changdal,Ju Shiguang. Multilevel security model for ad hoc ne
tworks.Journal of Systems Engineering and Electronics��,2008����,(2).
[4] 孫麗艷.基于激勵機制的認(rèn)知無線電自私行為研究[J].計算機技術(shù)與 發(fā)展,2009�,(10).
[5] 薛楠�����,周賢偉.認(rèn)知無線電網(wǎng)絡(luò)誘騙攻擊問題及安全解決方案[J].電信 科學(xué),2009���,(5).
第7篇
[論文摘要]安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因,本文研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題,并介紹了相應(yīng)的解決辦法。
近年來,無線局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢等特點得以迅速發(fā)展����。但是,隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,無線局域網(wǎng)受到越來越多的威脅,無線網(wǎng)絡(luò)不但因為基于傳統(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊,還受到基于IEEE802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅,其安全問題也越來越受到重視��。
一、非法接入無線局域網(wǎng)
無線局域網(wǎng)采用公共的電磁波作為載體,而電磁波能夠穿越天花板�����、玻璃���、墻等物體,因此在一個無線局域網(wǎng)接入點(AccessPoint,AP)的服務(wù)區(qū)域中,任何一個無線客戶端(包括未授權(quán)的客戶端)都可以接收到此接入點的電磁波信號��。也就是說,由于采用電磁波來傳輸信號,未授權(quán)用戶在無線局域網(wǎng)(相對于有線局域網(wǎng))中竊聽或干擾信息就容易得多��。所以為了阻止這些非授權(quán)用戶訪問無線局域網(wǎng)絡(luò),必須在無線局域網(wǎng)引入全面的安全措施。
1.非法用戶的接入
(1)基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入
服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱,以此來區(qū)分不同的網(wǎng)絡(luò),最多可以有32個字符����。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)����。無線工作站必須提供正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)����。因此可以認(rèn)為SSID是一個簡單的口令,從而提供口令認(rèn)證機制,阻止非法用戶的接入,保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來,例如通過windowsXP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID����。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)����。
(2)基于無線網(wǎng)卡物理地址過濾防止非法用戶接入
由于每個無線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入�。為AP設(shè)置基于MAC地址的AccessControl(訪問控制表),確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾����。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認(rèn)證����。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證�����。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作�����。如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模����。
如果網(wǎng)絡(luò)中的AP數(shù)量太多,可以使用802.1x端口認(rèn)證技術(shù)配合后臺的RADIUS認(rèn)證服務(wù)器,對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證,杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò),盜用數(shù)據(jù)或進(jìn)行破壞。
(3)基于802.1x防止非法用戶接入
802.1x技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案�����。當(dāng)無線工作站與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果�。
如果認(rèn)證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網(wǎng)。
2.非法AP的接入
無線局域網(wǎng)易于訪問和配置簡單的特性,增加了無線局域網(wǎng)管理的難度��。因為任何人都可以通過自己購買的AP,不經(jīng)過授權(quán)而連入網(wǎng)絡(luò),這就給無線局域網(wǎng)帶來很大的安全隱患����。
(1)基于無線網(wǎng)絡(luò)的入侵檢測系統(tǒng)防止非法AP接入
使用入侵檢測系統(tǒng)IDS防止非法AP的接入主要有兩個步驟,即發(fā)現(xiàn)非法AP和清除非法AP。
發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡(luò)各處的探測器完成數(shù)據(jù)包的捕獲和解析,它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作,并報告給管理員或IDS系統(tǒng)。當(dāng)然通過網(wǎng)絡(luò)管理軟件,比如SNMP,也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址�。發(fā)現(xiàn)AP后,可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù),那么就是RogueAP識別每個AP的MAC地址�����、SSID、Vendor(提供商)、無線媒介類型以及信道���。判斷新檢測到AP的MAC地址、SSID�、Vendor(提供商)��、無線媒介類型或者信道異常,就可以認(rèn)為是非法AP。
當(dāng)發(fā)現(xiàn)非法AP之后,應(yīng)該立即采取的措施,阻斷該AP的連接,有以下三種方式可以阻斷AP連接:
①采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務(wù);
②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件,確定該非法AP的物理連接位置,從物理上斷開����。
(2)檢測出非法AP連接在交換機的端口,并禁止該端口
基于802.1x雙向驗證防止非法AP接入����。利用對AP的合法性驗證以及定期進(jìn)行站點審查,防止非法AP的接入�。在無線AP接入有線交換設(shè)備時,可能會遇到非法AP的攻擊,非法安裝的AP會危害無線網(wǎng)絡(luò)的寶貴資源,因此必須對AP的合法性進(jìn)行驗證。AP支持的IEEE802.1x技術(shù)提供了一個客戶機和網(wǎng)絡(luò)相互驗證的方法,在此驗證過程中不但AP需要確認(rèn)無線用戶的合法性,無線終端設(shè)備也必須驗證AP是否為虛假的訪問點,然后才能進(jìn)行通信���。通過雙向認(rèn)證,可以有效地防止非法AP的接入���。
(3)基于檢測設(shè)備防止非法AP的接入
在入侵者使用網(wǎng)絡(luò)之前,通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)��。對物理站點的監(jiān)測,應(yīng)當(dāng)盡可能地頻繁進(jìn)行�。頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率。選擇小型的手持式檢測設(shè)備,管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進(jìn)行檢測,清除非法接入的AP。
二�、數(shù)據(jù)傳輸?shù)陌踩?/p>
在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩?���。使用先進(jìn)的加密技術(shù),使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯;使用數(shù)據(jù)訪問控制能夠減少數(shù)據(jù)的泄露���。
1.數(shù)據(jù)加密
(1)IEEE802.11中的WEP
有線對等保密協(xié)議(WEP)是由IEEE802.11標(biāo)準(zhǔn)定義的,用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)���。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對稱加密算法,在鏈路層加密數(shù)據(jù)�����。
WEP加密是存在固有的缺陷的����。由于它的密鑰固定,初始向量僅為24位,算法強度并不算高,于是有了安全漏洞?,F(xiàn)在,已經(jīng)出現(xiàn)了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保護(hù)接入(WPA)是由IEEE802.11i標(biāo)準(zhǔn)定義的,用來改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法�����。它改變了密鑰生成方式,更頻繁地變換密鑰來獲得安全��。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造����。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)����。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進(jìn)行解析,也幾乎無法計算出通用密鑰�。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能,WEP中的缺點得以解決�����。
2.數(shù)據(jù)的訪問控制
訪問控制的目標(biāo)是防止任何資源(如計算資源����、通信資源或信息資源)進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露����、修改�����、銷毀以及指令等。用戶通過認(rèn)證,只是完成了接入無線局域網(wǎng)的第一步,還要獲得授權(quán),才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源,授權(quán)主要是通過訪問控制機制來實現(xiàn)��。
訪問控制也是一種安全機制,它通過訪問BSSID�、MAC地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制�。訪問控制可以基于下列屬性進(jìn)行:源MAC地址�、目的MAC地址��、源IP地址����、目的IP地址���、源端口�、目的端口�����、協(xié)議類型�����、用戶ID、用戶時長等�����。
3.其他安全性措施
許多安全問題都是由于AP沒有處在一個封閉的環(huán)境中造成的。所以,首先,應(yīng)注意合理放置AP的天線��。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離�����。例如,將天線遠(yuǎn)離窗戶附近,因為玻璃無法阻擋信號����。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外,必要時要增加屏蔽設(shè)備來限制無線局域網(wǎng)的覆蓋范圍�。其次,由于很多無線設(shè)備是放置在室外的,因此需要做好防盜、防風(fēng)����、防雨�����、防雷等措施,保障這些無線設(shè)備的物理安全。
綜合使用無線和有線策略�����。無線網(wǎng)絡(luò)安全不是單獨的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議配合�。制定結(jié)合有線和無線網(wǎng)絡(luò)安全策略,能夠最大限度提高安全水平�����。
為了保障無線局域網(wǎng)的安全,除了通過技術(shù)手段進(jìn)行保障之外,制定完善的管理和使用制度也是很有必要的��。
參考文獻(xiàn):
[1]趙偉艇:無線局域網(wǎng)的加密和訪問控制安全性分析.微計算機信息,2007年21期
第8篇
關(guān)鍵詞 無線局域網(wǎng),802.1x,認(rèn)證服務(wù)器����,安全協(xié)議���,WAPI
1 802.11無線局域網(wǎng)的安全機制
802.11無線局域網(wǎng)運作模式基本分為兩種:點對點(Ad Hoc)模式和基本(Infrastructure)模式���。點對點模式指無線網(wǎng)卡和無線網(wǎng)卡之間的直接通信方式�。只要PC插上無線網(wǎng)卡即可與另一具有無線網(wǎng)卡的PC連接�,這是一種便捷的連接方式,最多可連接256個移動節(jié)點��?;灸J街笩o線網(wǎng)絡(luò)規(guī)模擴(kuò)充或無線和有線網(wǎng)絡(luò)并存的通信方式,這也是802.11最常用的方式���。此時,插上無線網(wǎng)卡的移動節(jié)點需通過接入點AP(Access Point)與另一臺移動節(jié)點連接。接入點負(fù)責(zé)頻段管理及漫游管理等工作�����,一個接入點最多可連接1024個移動節(jié)點。當(dāng)無線網(wǎng)絡(luò)節(jié)點擴(kuò)增時,網(wǎng)絡(luò)存取速度會隨著范圍擴(kuò)大和節(jié)點的增加而變慢�,此時添加接入點可以有效控制和管理頻寬與頻段���。
與有線網(wǎng)絡(luò)相比較����,無線網(wǎng)絡(luò)的安全問題具有以下特點:(1)信道開放�,無法阻止攻擊者竊聽�����,惡意修改并轉(zhuǎn)發(fā)����;(2)傳輸媒質(zhì)―無線電波在空氣中的傳播會因多種原因(例如障礙物)發(fā)生信號衰減�����,導(dǎo)致信息的不穩(wěn)定���,甚至?xí)G失�;(3)需要常常移動設(shè)備(尤其是移動用戶),設(shè)備容易丟失或失竊;(4)用戶不必與網(wǎng)絡(luò)進(jìn)行實際連接�����,使得攻擊者偽裝合法用戶更容易��。由于上述特點�����,利用WLAN進(jìn)行通信必須具有較高的通信保密能力。
802.11無線局域網(wǎng)本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務(wù)集標(biāo)識SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)來配置����。與接入點有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)�。但這是一個非常脆弱的安全手段����。因為SSID通過明文在大氣中傳送�,甚至被接入點廣播,所有的網(wǎng)卡和接入點都知道SSID�。
802.11的安全性主要包括以有線同等保密WEP(Wired Equivalent Privacy)算法為基礎(chǔ)的身份驗證服務(wù)和加密技術(shù)�。WEP 是一套安全服務(wù)�,用來防止 802.11 網(wǎng)絡(luò)受到未授權(quán)用戶的訪問。啟用 WEP 時���,可以指定用于加密的網(wǎng)絡(luò)密鑰,也可自動提供網(wǎng)絡(luò)密鑰�。如果親自指定密鑰���,還可以指定密鑰長度(64 位或 128 位)�����、密鑰格式(ASCII 字符或十六進(jìn)制數(shù)字)和密鑰索引(存儲特定密鑰的位置)。原理上密鑰長度越長�����,密鑰應(yīng)該越安全��。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為《RC4秘鑰時序算法缺點》的論文�,講述了關(guān)于WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問題���。
另外���,這一安全機制的一個主要限制是標(biāo)準(zhǔn)沒有規(guī)定一個分配密鑰的管理協(xié)議�����。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節(jié)點�。當(dāng)這種移動節(jié)點的數(shù)量龐大時�����,將是一個很大的挑戰(zhàn)。
2 802.1x協(xié)議的體系
IEEE 802.1x協(xié)議起源于802.11����, 其主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題�����。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議,可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗證的網(wǎng)絡(luò)訪問權(quán)限�����。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉�����,對于合法用戶接入時���,打開端口���;對于非法用戶接入或沒有用戶接入時�����,則端口處于關(guān)閉狀態(tài)�����。
IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體:客戶端Supplicant System�����、認(rèn)證系統(tǒng)Authenticator System����、認(rèn)證服務(wù)器Authentication Server System���。
(1)客戶端:一般為一個用戶終端系統(tǒng)��,該終端系統(tǒng)通常要安裝一個客戶端軟件���,用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過程����。
(2)認(rèn)證系統(tǒng):通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備����。該設(shè)備對應(yīng)于不同用戶的端口有兩個邏輯端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一個邏輯接入點(非受控端口),允許驗證者和 LAN 上其它計算機之間交換數(shù)據(jù)��,而無需考慮計算機的身份驗證狀態(tài)如何�。非受控端口始終處于雙向連通狀態(tài)(開放狀態(tài)),主要用來傳遞EAPOL協(xié)議幀,可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個邏輯接入點(受控端口)����,允許經(jīng)驗證的 LAN 用戶和驗證者之間交換數(shù)據(jù)����。受控端口平時處于關(guān)閉狀態(tài)����,只有在客戶端認(rèn)證通過時才打開���,用于傳遞數(shù)據(jù)和提供服務(wù)�。受控端口可配置為雙向受控、僅輸入受控兩種方式���,以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認(rèn)證��,則受控端口處于未認(rèn)證(關(guān)閉)狀態(tài)�����,則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)��。
(3)認(rèn)證服務(wù)器:通常為RADIUS服務(wù)器,該服務(wù)器可以存儲有關(guān)用戶的信息�����,比如用戶名和口令�����、用戶所屬的VLAN�����、優(yōu)先級、用戶的訪問控制列表等����。當(dāng)用戶通過認(rèn)證后�,認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表,用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管����。
3 802.1x協(xié)議的認(rèn)證過程
利用IEEE 802.1x可以進(jìn)行身份驗證,如果計算機要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源�,可以指定計算機是否嘗試訪問該網(wǎng)絡(luò)的身份驗證��。以下步驟描述了利用接入點AP和RADIUS服務(wù)器對移動節(jié)點進(jìn)行身份驗證的基本方法。如果沒有有效的身份驗證密鑰�,AP會禁止所有的網(wǎng)絡(luò)流量通過���。
(1)當(dāng)一個移動節(jié)點(申請者)進(jìn)入一個無線AP認(rèn)證者的覆蓋范圍時�,無線AP會向移動節(jié)點發(fā)出一個問詢���。
(2)在受到來自AP的問詢之后��,移動節(jié)點做出響應(yīng)�,告知自己的身份����。
(3)AP將移動節(jié)點的身份轉(zhuǎn)發(fā)給RADIUS身份驗證服務(wù)器,以便啟動身份驗證服務(wù)����。
(4)RADIUS服務(wù)器請求移動節(jié)點發(fā)送它的憑據(jù)���,并且指定確認(rèn)移動節(jié)點身份所需憑據(jù)的類型���。
(5)移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS�。
(6)在對移動節(jié)點憑據(jù)的有效性進(jìn)行了確認(rèn)之后,RADIUS服務(wù)器將身份驗證密鑰發(fā)送給AP�����。該身份驗證密鑰將被加密,只有AP能夠讀出該密鑰���。(在移動節(jié)點和RADIUS服務(wù)器之間傳遞的請求通過AP的“非控制”端口進(jìn)行傳遞����,因為移動節(jié)點不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動節(jié)點通過“受控制”端口傳送數(shù)據(jù)��,因為它還沒有經(jīng)過身份驗證��。)
(7)AP使用從RADIUS服務(wù)器處獲得的身份驗證密鑰保護(hù)移動節(jié)點數(shù)據(jù)的安全傳輸--特定于移動節(jié)點的單播會話密鑰以及多播/全局身份驗證密鑰����。
全局身份驗證密鑰必須被加密����。這要求所使用的EAP方法必須能夠生成一個加密密鑰,這也是身份驗證過程的一個組成部分。傳輸層安全TLS(Transport Level Security)協(xié)議提供了兩點間的相互身份驗證、完整性保護(hù)、密鑰對協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機制。
移動節(jié)點可被要求周期性地重新認(rèn)證以保持一定的安全級。
4 802.1x協(xié)議的特點
IEEE 802.1x具有以下主要優(yōu)點:
(1)實現(xiàn)簡單����。IEEE 802.1x協(xié)議為二層協(xié)議��,不需要到達(dá)三層,對設(shè)備的整體性能要求不高����,可以有效降低建網(wǎng)成本�。
(2)認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離���。IEEE 802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能�,從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過認(rèn)證后�����,業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離�,對后續(xù)的數(shù)據(jù)包處理沒有特殊要求���,業(yè)務(wù)可以很靈活,尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢,所有業(yè)務(wù)都不受認(rèn)證方式限制�。
IEEE 802.1x同時具有以下不足
802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會話�����,這一會話使用IETF的EAP(Extensible Authentication Protocol)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機制的體系結(jié)構(gòu)框架使得能夠在802.11實體之間發(fā)送EAP包,并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對MAC地址的認(rèn)證對802.1x來說是最基本的,如果沒有高層的每包認(rèn)證機制����,認(rèn)證端口沒有辦法標(biāo)識網(wǎng)絡(luò)申請者或其包�。而且實驗證明802.1x由于其設(shè)計缺陷其安全性已經(jīng)受到威脅�����,常見的攻擊有中間人MIM攻擊和會話攻擊�。
所以802.11與802.1x的簡單結(jié)合并不能提供健壯的安全無線環(huán)境���,必須有高層的清晰的交互認(rèn)證協(xié)議來加強���。幸運的是��,802.1x為實現(xiàn)高層認(rèn)證提供了基本架構(gòu)���。
5 802.1x認(rèn)證協(xié)議的應(yīng)用
IEEE 802.1x 使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識�、身份驗證�����、動態(tài)密鑰管理和記帳�。802.1x身份驗證可以增強安全性�����。IEEE 802.1x身份驗證提供對802.11無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗證的訪問權(quán)限。IEEE 802.1x 通過提供用戶和計算機標(biāo)識���、集中的身份驗證以及動態(tài)密鑰管理,可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度���。在此執(zhí)行下,作為 RADIUS 客戶端配置的無線接入點將連接請求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器��。中央 RADIUS 服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求����。如果準(zhǔn)予請求,根據(jù)所選身份驗證方法,該客戶端獲得身份驗證�,并且為會話生成唯一密鑰�。IEEE 802.1x為可擴(kuò)展的身份驗證協(xié)議 EAP 安全類型提供的支持使您能夠使用諸如智能卡��、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗證方法����。
擴(kuò)展身份驗證協(xié)議EAP是一個支持身份驗證信息通過多種機制進(jìn)行通信的協(xié)議���。利用802.1x����,EAP可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質(zhì)直接進(jìn)行封裝����。認(rèn)證者負(fù)責(zé)在申請者和身份驗證服務(wù)器之間轉(zhuǎn)遞消息��。身份驗證服務(wù)器可以是一臺遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)服務(wù)器。
以下舉一個例子��,說明對申請者進(jìn)行身份驗證所需經(jīng)過的步驟:
(1)認(rèn)證者發(fā)送一個EAP - Request/Identity(請求/身份)消息給申請者�。
(2)申請者發(fā)送一個EAP - Response/Identity(響應(yīng)/身份)以及它的身份給認(rèn)證者�����。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗證服務(wù)器�。
(3)身份驗證服務(wù)器利用一個包含口令問詢的EAP - Request消息通過認(rèn)證者對申請者做出響應(yīng)�。
(4)申請者通過認(rèn)證者將它對口令問詢的響應(yīng)發(fā)送給身份驗證服務(wù)器。
(5)如果身份驗證通過,授權(quán)服務(wù)器將通過認(rèn)證者發(fā)送一個EAP - Success響應(yīng)給申請者�。認(rèn)證者可以使用“Success”(成功)響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”��。
6 802.1x與智能卡
智能卡通常用在安全性要求比較高的場合����,并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合�����。這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)��;而智能卡能保護(hù)密鑰也是相當(dāng)重要的,一切秘密寓于密鑰之中�,為了能達(dá)到密碼所提供的安全服務(wù)�,密鑰絕對不能被泄密����,但為安全原因所增加的成本卻不能太多。
智能卡自身硬件的資源極為有限�。用其實現(xiàn)安全系統(tǒng)面臨著存儲器容量和計算能力方面受到的限制�����。目前市場上的大多數(shù)智能卡有128到1024字節(jié)的RAM,1 k到16 k字節(jié)的EEPROM����,6 k到16 k字節(jié)的ROM�,CPU通常為8比特的�����,典型的時鐘頻率為3.57 MHz。任何存儲或者是處理能力的增強都意味著智能卡成本的大幅度提高。
另外智能卡的數(shù)據(jù)傳送是相對慢的����,為提高應(yīng)用的效率�,基本的數(shù)據(jù)單元必須要小���,這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量���,其傳送時間的減少則意味著實用性的增強����。
將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點是:認(rèn)證更加安全;生成和管理密鑰方便���;節(jié)省內(nèi)存空間;節(jié)省帶寬���,提高實用性;節(jié)省處理時間,而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來的各優(yōu)點恰好彌補了智能卡硬件的各種局限,不僅能有效地降低智能卡的生產(chǎn)成本,也能提高智能卡的實用性�����。
7 發(fā)展方向和趨勢
802.11無線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流:
(1)WPA�����。802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段��,并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn),這種簡化適用于無線局域網(wǎng)的接入認(rèn)證、點對點物理或邏輯端口的接入認(rèn)證。WPA(Wi-Fi 受保護(hù)訪問)是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi 聯(lián)盟經(jīng)過努力���,于 2002 年 10 月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法��,以便開發(fā)更加穩(wěn)定的無線 LAN 安全解決方法來滿足 802.11的要求�。WPA 包括 802.1x 驗證和 TKIP 加密(一種更高級和安全的 WEP 加密形式)����,以進(jìn)一步形成和完善IEEE 802.11i標(biāo)準(zhǔn)。
(2)WAPI。我國已于2003年12月1日起強制執(zhí)行了新的無線局域網(wǎng)安全國家標(biāo)準(zhǔn)―無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)組成���。WAPI與已有安全機制相比具有其獨特優(yōu)點,充分體現(xiàn)了國家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機制相比在很多方面都進(jìn)行了改進(jìn)�����。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可,分配了用于WAPI協(xié)議的以太網(wǎng)類型字段,這也是我國目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議��。WAPI采用國家密碼管理委員會辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法���,分別用于WLAN設(shè)備的數(shù)字證書�、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證����、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)���。
參考文獻(xiàn):
[1]. IEEE’s “802.1x - Port Based Network Access Control” 2002年3月22日 URL:ieee802.org/1/pages/802.1x.html
[2]. Jim Geier “802.1x Offers Authentication and Key Management” 2002年5月7日 URL:80211-planet.com/tutorials/article/0��,,10724_1041171,00.html
[3]. Kristin Burke “Wireless Network Security 802.11/802.1x” 2002年5月31日 URL:cs.fsu.edu/~yasinsac/wns02/19b.pdf
[4]. Scott Fluhrer����, Itsik Mantin��, Adi Shamir “Weaknesses in the Key Scheduling Algorithm of RC4” 2001年7月25日 URL:drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
第9篇
關(guān)鍵詞:無線局域網(wǎng);標(biāo)準(zhǔn);安全;趨勢
前言 無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線��、同軸電纜等設(shè)備��,省去了布線的麻煩,組網(wǎng)靈活��。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物���。它既可滿足各類便攜機的入網(wǎng)要求����,也可實現(xiàn)計算機局域網(wǎng)遠(yuǎn)端接入、圖文傳真�����、電子郵件等功能��。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段���,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合���,并在不易架設(shè)有線的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持��。因此,WLAN已在軍隊���、石化、醫(yī)護(hù)管理�����、工廠車間����、庫存控制、展覽和會議�����、金融服務(wù)���、旅游服務(wù)��、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用,受到了廣泛的青睞����,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一����。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性���,它能大幅提高用戶訪問信息的及時性和有效性����,還可以克服線纜限制引起的不便性�����。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制���,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題。
1. 無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后���,迅速成為事實標(biāo)準(zhǔn)。遺憾的是�,從它的誕生開始��,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov��,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤�����,接下來信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作�����,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)?�,F(xiàn)在����,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到��,能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載��。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強的無線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運而生[1]�。
我國從2001年開始著手制定無線局域網(wǎng)安全標(biāo)準(zhǔn)�,經(jīng)過西安電子科技大學(xué)�、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標(biāo)準(zhǔn)��,于2003年12月執(zhí)行���。WAPI使用公鑰技術(shù)��,在可信第三方存在的條件下�,由其驗證移動終端和接入點是否持有合法的證書��,以期完成雙向認(rèn)證��、接入控制、會話密鑰生成等目標(biāo)��,達(dá)到安全通信的目的�。WAPI在基本結(jié)構(gòu)上由移動終端����、接入點和認(rèn)證服務(wù)單元三部分組成,類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)��。同時我國的密碼算法一般是不公開的����,WAPI標(biāo)準(zhǔn)雖然是公開的,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]��。
增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架���。其間每個月至少召開一次會議����,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象�����,例如AES-OCB算法����,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選���,AES-OSB作為缺省��,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月��,干脆把AES-OCB算法完全刪除��,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法�。其它的例子還有很多�。從這樣的發(fā)展過程中,我們能夠更加清楚地認(rèn)識到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面��,有利于無線局域網(wǎng)安全的研究[3][4]。
2.無線局域網(wǎng)的安全必要性
WLAN在為用戶帶來巨大便利的同時���,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數(shù)據(jù)��,不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全�����,所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù)��,要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用����,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)�。因此����,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,它安裝時間短�,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活�、經(jīng)濟(jì)�,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而����,這種自由也同時帶來了新的挑戰(zhàn)��,這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密�、身份驗證和訪問控制���。如果這三個要素都沒有問題了�,就不僅能保護(hù)傳輸中的信息免受危害��,還能保護(hù)網(wǎng)絡(luò)和移動設(shè)備免受危害����。難就難在如何使用一個簡單易用的解決方案�,同時獲得這三個安全要素���。國外一些最新的技術(shù)研究報告指出����,針對目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究�����,發(fā)現(xiàn)其可能存在的安全缺陷�����,研究相應(yīng)的改進(jìn)措施���,提出新的改進(jìn)方案��,對 WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響�。
同有線網(wǎng)絡(luò)相比���,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?�,所以首先要加強這一方面的安全性。
無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式�,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備�,飯由接入設(shè)備轉(zhuǎn)發(fā)��,要么是兩臺用戶設(shè)備直接通信���,每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性���。無線信號可能被偵聽�,但是�����,如果把無線信號承載的數(shù)據(jù)變成密文��,并且,如果加密強度夠高的話,偵聽者獲得有用數(shù)據(jù)的可能性很小�����。另外��,無線信號可能被修改或者偽造�����,但是,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù)���,以使得接收方可以檢測到數(shù)據(jù)是杏被更改,那么,對于無線信號的更改將會徒勞無功���。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。
這樣,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護(hù)。對于無線局域網(wǎng)中的主機,面臨病毒威脅時��,可以用最先進(jìn)的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼����,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對抗,接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域����。
對于DOS攻擊或者DDOS攻擊�,可以增加一個網(wǎng)關(guān)���,使用數(shù)據(jù)包過濾或其它路由設(shè)置�,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址�,可以減小風(fēng)險。對于內(nèi)部的惡意用戶����,則要通過審計分析�����,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊���。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶,并且對于用戶的認(rèn)證也必須基于用戶的身份而不是硬件來完成�����。例如���,用MAC地址來認(rèn)證用戶是不適當(dāng)?shù)腫5]����。
除了以上的可能需求之外,根據(jù)不同的使用者�����,還會有不同的安全需求���,對于安全性要求很高的用戶��,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對于進(jìn)出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施���,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證���,只能結(jié)合用戶的具體需求�����,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù),構(gòu)建安全的網(wǎng)絡(luò)�。
當(dāng)考慮與其它安全系統(tǒng)的合作時�,無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密�����,數(shù)據(jù)的完整����,提供身份識別框架和接入控制框架�����,完成用戶的認(rèn)證授權(quán)����,信息的傳輸安全等安全業(yè)務(wù)�。對于防病毒,防泄密�����,數(shù)據(jù)傳輸?shù)牟豢傻仲?��,降低DoS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)�。
3.無線局域網(wǎng)安全風(fēng)險
安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅�����。無線局域網(wǎng)的資源�,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機���。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播�����,因此����,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的�。這如用收音機收聽廣播的情況一樣,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠(yuǎn)一些的發(fā)射臺發(fā)出的信號。當(dāng)然�,無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單�,但只要有相應(yīng)的設(shè)備��,總是可以接收到無線局域網(wǎng)的信號�,并可以按照信號的封裝格式打開數(shù)據(jù)包�����,讀取數(shù)據(jù)的內(nèi)容[6]�����。
另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取���,并且,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截���、修改�,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。
因此����,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽�����、修改���、偽造����,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾��,并有可能造成經(jīng)濟(jì)損失�����。
3.2 無線局域網(wǎng)中主機面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外��,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備��,比如手機或者PDA的無線病毒�����。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。
對于無線局域網(wǎng)中的接入設(shè)備����,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后��,如果把IP地址直接暴露給外部網(wǎng)����,那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓���。當(dāng)某個惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰�,造成系統(tǒng)混亂����。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值�����,這造成的一個負(fù)面影響是用戶設(shè)備容易丟失����。硬件設(shè)備的丟失會使得基于硬件的身份識別失效���,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏��。
這樣�,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn)�,接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果�����。
4.無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起�����,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上��,數(shù)據(jù)傳輸是通過無線電波在空中廣播的���,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收���。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口�����。因此�,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性����,主要包括接入控制和加密兩個方面�。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力���,否則人們還是對使用無線局域網(wǎng)存在顧慮�����。
4.1 IEEE802. 11 b標(biāo)準(zhǔn)的安全性
IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)[7][8]�。
4.1.1認(rèn)證
當(dāng)一個站點與另一個站點建立網(wǎng)絡(luò)連接之前���,必須首先通過認(rèn)證��。執(zhí)行認(rèn)證的站點發(fā)送一個管理認(rèn)證幀到一個相應(yīng)的站點���。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一開放系統(tǒng)認(rèn)證(Open System Authentication):是802.11b默認(rèn)的認(rèn)證方式���。這種認(rèn)證方式非常簡單,分為兩步:首先��,想認(rèn)證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認(rèn)證管理幀��;然后���,接收站發(fā)回一個提醒它是否識別認(rèn)證站點身份的幀����。一共享密鑰認(rèn)證(Shared Key Authentication ):這種認(rèn)證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道����,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認(rèn)證,加密算法是有線等價加密(WEP )��。
4. 1 .2 WEP
IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密�,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密�����,加密和解密的密鑰及算法相同���。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò)����,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護(hù)數(shù)據(jù)流���。
IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當(dāng)用戶得到缺省密鑰以后�����,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信�。缺省密鑰存在的問題是當(dāng)它被廣泛分配時可能會危及安全���。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表�。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難�����。
4.2 影響安全的因素[9][10]
4. 2. 1硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中�,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上�����。這樣�����,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點���。如果多個用戶共享一個客戶適配器��,這些用戶有效地共享MAC地址和WEP密鑰���。
當(dāng)一個客戶適配器丟失或被竊的時候�����,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題����,因此用戶必須立即通知網(wǎng)絡(luò)管理員��。接到通知后��,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰���,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰�����。客戶端越多����,重新編碼WEP密鑰的數(shù)量越大����。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證�,而不是互相認(rèn)證。接入點鑒別用戶��,但用戶不能鑒別接入點��。如果一個虛假接入點放在無線局域網(wǎng)內(nèi)����,它可以通過劫持合法用戶的客戶適配器進(jìn)行拒絕服務(wù)或攻擊��。
因此在用戶和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的��,每一方在合理的時間內(nèi)證明自己是合法的。因為用戶和認(rèn)證服務(wù)器是通過接入點進(jìn)行通信的�,接入點必須支持相互認(rèn)證�����。相互認(rèn)證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標(biāo)準(zhǔn)WEP支持對每一組加密但不支持對每一組認(rèn)證�����。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流��,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測工EEE802. 11 b控制信道和數(shù)據(jù)信道�,黑客可以得到如下信息:客戶端和接入點MAC地址���,內(nèi)部主機MAC地址����,上網(wǎng)時間��。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細(xì)資料�����。為減少這種黑客活動,一個終端應(yīng)該使用每一個時期的WEP密鑰�����。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)���,是一個標(biāo)準(zhǔn)的開放式的安全方案����,它能為用戶提供最強的安全保障��,確保從控制中心進(jìn)行有效的集中管理。它的核心部分是:
擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol��,EAP)���,是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)的擴(kuò)展�?����?梢允篃o線客戶適配器與RADIUS服務(wù)器通信���。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時�����,在一個BSS范圍內(nèi)的站點只有通過認(rèn)證以后才能與接入點結(jié)合。當(dāng)站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時����,客戶端和RADIUS服務(wù)器(或其它認(rèn)證服務(wù)器)進(jìn)行雙向認(rèn)證��,客戶通過提供用戶名和密碼來認(rèn)證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息���,如密碼,都要加密使免于攻擊。
這種方案認(rèn)證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò)����,否則接入點將禁止站點使用網(wǎng)絡(luò)資源��。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802. lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進(jìn)行雙向認(rèn)證?��?梢允褂脦讉€認(rèn)證方法中的一個。
相互認(rèn)證成功完成后,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃壍木W(wǎng)絡(luò)接入���。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP�����,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信�。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失�、破壞和不適當(dāng)?shù)氖褂谩o論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害��、竊聽��、非法接入和各種內(nèi)部(合法用戶)的攻擊����。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域�,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制��,其代碼清理和模式跳躍是隨機的����。在整個傳輸過程中,頻率波段和調(diào)制不斷變化���,計時和解碼采用不規(guī)則技術(shù)。
正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全���。其中,認(rèn)證提供接入控制��,減少網(wǎng)絡(luò)的非法使用�����,加密則可以減少破壞和竊聽����。目前�����,在基本的WEP安全機制之外�����,更多的安全機制正在出現(xiàn)和發(fā)展之中[12]。
5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強勁�����,但是起真正的應(yīng)用前景還不是十分的明朗���。主要表現(xiàn)在:一是真正的安全保障���;二個是將來的技術(shù)發(fā)展方向����;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡���、PDA有沒有其他更好的形式;五是WLAN的市場規(guī)模��??磥頍o線局域網(wǎng)真正的騰飛并非一己之事[13]。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動��,達(dá)到互利互惠的目的�。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通���,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通����,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案��,這條路必定越走越寬。
互通中的安全問題也必然首當(dāng)其沖��,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標(biāo)準(zhǔn)系列里面�,并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點����。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢���。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現(xiàn)存的符合ETSI��,IEEE���,MMAC所制訂的標(biāo)準(zhǔn)的無線域網(wǎng)之間實現(xiàn)互通���。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案����,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上���,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。
不同類型無線局域網(wǎng)互通標(biāo)準(zhǔn)的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)�����。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊�,就可以在各地接入。當(dāng)然,用戶享用上述方便的同時���,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力。為了達(dá)到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備����,對用戶端設(shè)備����,比如客戶端軟件�����,影響要最小�,對經(jīng)營者管理和維護(hù)客戶端SW的要求要盡量少���,應(yīng)該支持現(xiàn)存的UICC卡�,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-, Response模式�。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣�,應(yīng)該支持雙向認(rèn)證�,所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認(rèn)證機制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全���,所選擇的無線局域網(wǎng)認(rèn)證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材����,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來保證完整性�����。所有的用于用戶和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時,這種情況是指當(dāng)用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡單地說����,就是用戶在運營商那里注冊����,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況����。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)�、3G-AAA(移動網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計帳服務(wù)器)���、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)�、OCS(在線計帳系統(tǒng))��。
對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游�����。在漫游情況下�,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶所注冊的歸屬網(wǎng)絡(luò)����。
在無線局域網(wǎng)與3G互通中有如下認(rèn)證要求:該認(rèn)證流程從用戶設(shè)備到無線局域網(wǎng)連接開始��。使用EAP方法,順次封裝基于USIM的用戶ID�����,AKA-Challenge消息����。具體的認(rèn)證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程��,有一點不同在于在認(rèn)證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限�����。
上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡�,同時還要實現(xiàn)USIM或者SIM的功能�。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷�����。
無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通��,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通�,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案�,這條路必定越走越寬��。
參考文獻(xiàn)
[1] 郭峰���,曾興雯�����,劉乃安����,《無線局域網(wǎng)》��,電子工業(yè)出版杜��,1997
[2] 馮錫生,朱榮��,《無線數(shù)據(jù)通信》1997
[3] 你震亞��,《現(xiàn)代計算機網(wǎng)絡(luò)教程》�,電子工業(yè)出版社����,1999
[4] 劉元安,《寬帶無線接入和無線局域網(wǎng)》�,北京郵電大學(xué)出版社��,2000
[5] 吳偉陵,《移動通信中的關(guān)鍵技術(shù)》��,北京郵電大學(xué)出版社�,2000
[6] 張公忠���,陳錦章�����,《當(dāng)代組網(wǎng)技術(shù)》�����,清華大學(xué)出版社,2000
[7] 牛偉,郭世澤�����,吳志軍等���,《無線局域網(wǎng)》�,人民郵電出版社,2003
[8] Jeffrey Wheat�,《無線網(wǎng)絡(luò)設(shè)計》��,莫蓉蓉等譯,機械工業(yè)出版社�,2002
[9] Gil Held�,《構(gòu)建無線局域網(wǎng)》���,沈金龍等澤����,人民郵電出版社,2002
[10] Christian Barnes等,《無線網(wǎng)絡(luò)安全防護(hù)》�,林生等譯��,機械工業(yè)出版社.2003
[11] Juha Heiskala等,《OFDM無線局域網(wǎng)》,暢曉春等譯��,電子工業(yè)出版社�,2003
[12] Eric Ouellet等�,《構(gòu)建Cisco無線局域網(wǎng)》,張穎譯�,科學(xué)出版社�,2003
[13] Mark Ciampa����,《無線周域網(wǎng)設(shè)計一與實現(xiàn)》,王順滿譯�����,科學(xué)出版社.2003
第10篇
【關(guān)鍵詞】:無線局域網(wǎng)��;標(biāo)準(zhǔn)����;安全���;趨勢
中圖分類號:TP3 文獻(xiàn)標(biāo)識碼:E 文章編號:1006-0510(2008)09066-05
前言
無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備����,省去了布線的麻煩��,組網(wǎng)靈活。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機的入網(wǎng)要求�����,也可實現(xiàn)計算機局域網(wǎng)遠(yuǎn)端接入����、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段����,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持���。因此,WLAN已在軍隊�����、石化����、醫(yī)護(hù)管理、工廠車間��、庫存控制���、展覽和會議��、金融服務(wù)����、旅游服務(wù)�����、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用���,受到了廣泛的青睞�,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一���。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性�����,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制��,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題�����。
1.無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后��,迅速成為事實標(biāo)準(zhǔn)。遺憾的是�����,從它的誕生開始����,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov����,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤�,接下來信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷�����,并與工程技術(shù)人員協(xié)作����,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在���,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載�。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強的無線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運而生����。
我國從2001年開始著手制定無線局域網(wǎng)安全標(biāo)準(zhǔn)�,經(jīng)過西安電子科技大學(xué)����、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)��,歷時兩年多制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI��,并成為國家標(biāo)準(zhǔn)��,于2003年12月執(zhí)行。WAPI使用公鑰技術(shù),在可信第三方存在的條件下�����,由其驗證移動終端和接入點是否持有合法的證書�,以期完成雙向認(rèn)證、接入控制、會話密鑰生成等目標(biāo)��,達(dá)到安全通信的目的���。WAPI在基本結(jié)構(gòu)上由移動終端�����、接入點和認(rèn)證服務(wù)單元三部分組成��,類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的,WAPI標(biāo)準(zhǔn)雖然是公開的���,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開。
增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB算法��,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法��,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省����,半年后又提議CCMP作為缺省�����,AES-OCB作為候選,又過了幾個月�,干脆把AES-OCB算法完全刪除�����,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多�。從這樣的發(fā)展過程中�����,我們能夠更加清楚地認(rèn)識到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面,有利于無線局域網(wǎng)安全的研究���。
2.無線局域網(wǎng)的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題���。由于WLAN 通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全���,所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù),要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的�。而防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用��,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此�,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由��,它安裝時間短���,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟(jì)���,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而����,這種自由也同時帶來了新的挑戰(zhàn)���,這些挑戰(zhàn)其中就包括安全性�����。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制�����。如果這三個要素都沒有問題了���,就不僅能保護(hù)傳輸中的信息免受危害���,還能保護(hù)網(wǎng)絡(luò)和移動設(shè)備免受危害��。難就難在如何使用一個簡單易用的解決方案����,同時獲得這三個安全要素��。國外一些最新的技術(shù)研究報告指出�����,針對目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽事件正越來越頻繁�����,故對WLAN安全性研究���,特別是廣泛使用的IEEE802.11WLAN的安全性研究���,發(fā)現(xiàn)其可能存在的安全缺陷�,研究相應(yīng)的改進(jìn)措施���,提出新的改進(jìn)方案����,對 WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。
同有線網(wǎng)絡(luò)相比�,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?,所以首先要加強這一方面的安全性�����。
無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式��,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā),要么是兩臺用戶設(shè)備直接通信��,每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性�。無線信號可能被偵聽,但是,如果把無線信號承載的數(shù)據(jù)變成密文�,并且���,如果加密強度夠高的話��,偵聽者獲得有用數(shù)據(jù)的可能性很小。另外���,無線信號可能被修改或者偽造��,但是�����,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù)�����,以使得接收方可以檢測到數(shù)據(jù)是杏被更改,那么,對于無線信號的更改將會徒勞無功��。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小���。
這樣�����,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護(hù)����。對于無線局域網(wǎng)中的主機�����,面臨病毒威脅時���,可以用最先進(jìn)的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼����,比如安裝硬件形式的病毒卡預(yù)防病毒���,或者安裝軟件用來時實檢測系統(tǒng)異常��。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對抗,接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域�。
對于DOS攻擊或者DDOS攻擊�,可以增加一個網(wǎng)關(guān)��,使用數(shù)據(jù)包過濾或其它路由設(shè)置����,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址�����,可以減小風(fēng)險����。對于內(nèi)部的惡意用戶�����,則要通過審計分析�,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶���,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊�����。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶���,并且對于用戶的認(rèn)證也必須基于用戶的身份而不是硬件來完成。例如�����,用MAC地址來認(rèn)證用戶是不適當(dāng)?shù)摹?/p>
除了以上的可能需求之外����,根據(jù)不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶��,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對于進(jìn)出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施�����,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等���。所以��,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證����,只能結(jié)合用戶的具體需求���,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù)�����,構(gòu)建安全的網(wǎng)絡(luò)���。
當(dāng)考慮與其它安全系統(tǒng)的合作時��,無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密,數(shù)據(jù)的完整����,提供身份識別框架和接入控制框架,完成用戶的認(rèn)證授權(quán),信息的傳輸安全等安全業(yè)務(wù)��。對于防病毒�����,防泄密����,數(shù)據(jù)傳輸?shù)牟豢傻仲?���,降低DoS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)。
3.無線局域網(wǎng)安全風(fēng)險
安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源��,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機�。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此���,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣��,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播��,如果收音機的靈敏度高一些���,就可以收聽到遠(yuǎn)一些的發(fā)射臺發(fā)出的信號��。當(dāng)然,無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單,但只要有相應(yīng)的設(shè)備�����,總是可以接收到無線局域網(wǎng)的信號���,并可以按照信號的封裝格式打開數(shù)據(jù)包�,讀取數(shù)據(jù)的內(nèi)容����。
另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包�,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取���,并且��,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截��、修改����,然后重新發(fā)送�����,而數(shù)據(jù)包的接收者并不能察覺。
因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽���、修改、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟(jì)損失。
3.2 無線局域網(wǎng)中主機面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)��。對于主機的攻擊可能會以病毒的形式出現(xiàn)����,除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后�,無線病毒的威脅可能會加劇�。
對于無線局域網(wǎng)中的接入設(shè)備��,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊�����。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后����,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù)�����,造成網(wǎng)絡(luò)癱瘓�����。當(dāng)某個惡意用戶接入網(wǎng)絡(luò)后��,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂��。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值���,這造成的一個負(fù)面影響是用戶設(shè)備容易丟失���。硬件設(shè)備的丟失會使得基于硬件的身份識別失效��,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏����。
這樣����,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅�����,用戶設(shè)備則要考慮丟失的后果�����。
4.無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上���,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收�。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口����。因此����,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面����。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力�����,否則人們還是對使用無線局域網(wǎng)存在顧慮���。
4.1 IEEE802. 11 b標(biāo)準(zhǔn)的安全性
IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)��。
4.1.1認(rèn)證
當(dāng)一個站點與另一個站點建立網(wǎng)絡(luò)連接之前,必須首先通過認(rèn)證�����。執(zhí)行認(rèn)證的站點發(fā)送一個管理認(rèn)證幀到一個相應(yīng)的站點�。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一開放系統(tǒng)認(rèn)證(Open System Authentication):是802.11b默認(rèn)的認(rèn)證方式����。這種認(rèn)證方式非常簡單,分為兩步:首先,想認(rèn)證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認(rèn)證管理幀;然后����,接收站發(fā)回一個提醒它是否識別認(rèn)證站點身份的幀���。一共享密鑰認(rèn)證(Shared Key Authentication ):這種認(rèn)證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道�,已經(jīng)接收到一個秘密共享密鑰���,然后這些站點通過共享密鑰的加密認(rèn)證�,加密算法是有線等價加密(WEP )。
4.1.2 WEP
IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密,即WEP��。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法�����。WEP是一種對稱加密�����,加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰�����。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護(hù)數(shù)據(jù)流��。
IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無線局域網(wǎng)的WEP加密方案��。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當(dāng)用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當(dāng)它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表����。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難�����。
4.2 影響安全的因素
4.2.1 硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中����,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上�。這樣���,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點�。如果多個用戶共享一個客戶適配器���,這些用戶有效地共享MAC地址和WEP密鑰���。
當(dāng)一個客戶適配器丟失或被竊的時候����,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以�。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題���,因此用戶必須立即通知網(wǎng)絡(luò)管理員�����。接到通知后�,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰�����,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰?����?蛻舳嗽蕉?��,重新編碼WEP密鑰的數(shù)量越大�����。
4.2.2 虛假接入點
IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證���,而不是互相認(rèn)證�。接入點鑒別用戶���,但用戶不能鑒別接入點�����。如果一個虛假接入點放在無線局域網(wǎng)內(nèi)�����,它可以通過劫持合法用戶的客戶適配器進(jìn)行拒絕服務(wù)或攻擊。
因此在用戶和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的��,每一方在合理的時間內(nèi)證明自己是合法的�����。因為用戶和認(rèn)證服務(wù)器是通過接入點進(jìn)行通信的����,接入點必須支持相互認(rèn)證�����。相互認(rèn)證使檢測和隔離虛假接入點成為可能。
4.2.3 其它安全問題
標(biāo)準(zhǔn)WEP支持對每一組加密但不支持對每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包��。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰�����。通過監(jiān)測工EEE802. 11 b控制信道和數(shù)據(jù)信道�,黑客可以得到如下信息:客戶端和接入點MAC地址�����,內(nèi)部主機MAC地址�����,上網(wǎng)時間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細(xì)資料。為減少這種黑客活動����,一個終端應(yīng)該使用每一個時期的WEP密鑰���。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)�,是一個標(biāo)準(zhǔn)的開放式的安全方案�,它能為用戶提供最強的安全保障,確保從控制中心進(jìn)行有效的集中管理。它的核心部分是:
擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol,EAP)��,是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)的擴(kuò)展??梢允篃o線客戶適配器與RADIUS服務(wù)器通信����。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時����,在一個BSS范圍內(nèi)的站點只有通過認(rèn)證以后才能與接入點結(jié)合�。當(dāng)站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認(rèn)證服務(wù)器)進(jìn)行雙向認(rèn)證,客戶通過提供用戶名和密碼來認(rèn)證���。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼���,都要加密使免于攻擊。
這種方案認(rèn)證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò)�,否則接入點將禁止站點使用網(wǎng)絡(luò)資源�。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼�。用IEEE802. lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進(jìn)行雙向認(rèn)證?�?梢允褂脦讉€認(rèn)證方法中的一個�����。
相互認(rèn)證成功完成后�����,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰�。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶���,用戶用時期密鑰來解密����。用戶和接入點激活WEP����,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信����。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂?。無論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害���、竊聽����、非法接入和各種內(nèi)部(合法用戶)的攻擊��。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域�,這樣就存在電子破壞(或干擾)的可能性�。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制,其代碼清理和模式跳躍是隨機的��。在整個傳輸過程中���,頻率波段和調(diào)制不斷變化�,計時和解碼采用不規(guī)則技術(shù)。
正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全�。其中�,認(rèn)證提供接入控制�����,減少網(wǎng)絡(luò)的非法使用����,加密則可以減少破壞和竊聽�。目前,在基本的WEP安全機制之外���,更多的安全機制正在出現(xiàn)和發(fā)展之中。
5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強勁����,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:一是真正的安全保障;二個是將來的技術(shù)發(fā)展方向��;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡����、PDA有沒有其他更好的形式���;五是WLAN的市場規(guī)模�?����?磥頍o線局域網(wǎng)真正的騰飛并非一己之事��。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動,達(dá)到互利互惠的目的����。歐洲是GSM網(wǎng)的天下�,而WLAN的崛起使得他們開始考慮WLAN和3G的互通����,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通��,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案����,這條路必定越走越寬。
互通中的安全問題也必然首當(dāng)其沖��,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標(biāo)準(zhǔn)系列里面��,并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG,該工作組的目的在于使現(xiàn)存的符合ETSI��,IEEE����,MMAC所制訂的標(biāo)準(zhǔn)的無線域網(wǎng)之間實現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架�。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上�,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通����。
不同類型無線局域網(wǎng)互通標(biāo)準(zhǔn)的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊���,就可以在各地接入。當(dāng)然�,用戶享用上述方便的同時�����,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力。為了達(dá)到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備����,對用戶端設(shè)備����,比如客戶端軟件�,影響要最小,對經(jīng)營者管理和維護(hù)客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡�����,不應(yīng)該要求該卡有任何改動�����,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸����。對于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-, Response模式�。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣���,應(yīng)該支持雙向認(rèn)證���,所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認(rèn)證機制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級別����,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全�����,所選擇的無線局域網(wǎng)認(rèn)證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長期的安全要素應(yīng)該可以在一張UICC卡中存下。
對于非漫游情況的互通時����,這種情況是指當(dāng)用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)�����。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況�����。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)�、3G-AAA(移動網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)��、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)�、OCS(在線計帳系統(tǒng))��。
對于漫游的互通情況時�����,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下�����,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開���,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶所注冊的歸屬網(wǎng)絡(luò)�����。
在無線局域網(wǎng)與3G互通中有如下認(rèn)證要求:該認(rèn)證流程從用戶設(shè)備到無線局域網(wǎng)連接開始���。使用EAP方法�����,順次封裝基于USIM的用戶ID,AKA-Challenge消息��。具體的認(rèn)證在用戶設(shè)備和3GPAAA服務(wù)器之間展開��。走的是AKA過程�����,有一點不同在于在認(rèn)證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。
第11篇
美國電子電氣學(xué)會(IEEE) 802.11任務(wù)組于1997年6月推出IEEE802.11無線局域網(wǎng)標(biāo)準(zhǔn)���,經(jīng)過不斷的完善發(fā)展����,現(xiàn)已成為最具影響力的無線局域網(wǎng)工業(yè)標(biāo)準(zhǔn)。到目前為止���,已經(jīng)的高速物理層標(biāo)準(zhǔn)如表1所示。
1.1 MIMO+OFDM技術(shù)分析
多入多出MIMO技術(shù)是一種在發(fā)射端和接收端同時使用多副天線的無線收發(fā)技術(shù)����, 主要包括發(fā)射分集技術(shù)和空間復(fù)用技術(shù)�����。MIMO技術(shù)充分利用隨機衰落及多徑時延擴(kuò)展,在不需要增加天線發(fā)送功率和頻譜資源情況下,利用MIMO信道提供的空間分集增益可以有效降低誤碼率���,提高信道的容量和可靠性�。MIMO收發(fā)模式可以用縮寫“Y*Z”來表示���,分別代表發(fā)送天線數(shù)和接收天線數(shù)��。IEEE802.11n設(shè)備默認(rèn)支持2*2模式空間流��,最多支持4*4模式無線鏈路進(jìn)行空間復(fù)用;正交頻分復(fù)用OFDM技術(shù)是一種無線環(huán)境下多載波的高速擴(kuò)頻傳輸技術(shù)��,通過將給定頻域內(nèi)的信道分成若干個正交子信道���, 每個子信道都可以使用獨立的子載波(Sub Carrier)��,根據(jù)具體需要選擇不同調(diào)制方式進(jìn)行調(diào)制���,并且這些子載波可以并行發(fā)送�,因此可以提高數(shù)據(jù)發(fā)送速度�����。同時,相互正交的子載波不但提高了頻譜利用率而且減小了子載波間的相互干擾���。
MIMO可以有效利用多徑衰落提高信道容量,但對頻率選擇性衰落無能為力;OFDM技術(shù)可以有效利用頻率選擇性衰落���,在不受帶寬和功率限制條件下, OFDM技術(shù)可以以任意速率傳輸。實際上WLAN只能在帶寬和功率受限的情況下提高信道傳輸能力。因此將MIMO和OFDM兩種技術(shù)相結(jié)合,可揚長避短實現(xiàn)最佳傳輸效果。MIMO-OFDM技術(shù)原理如圖1所示。
MIMO+OFDM技術(shù)在發(fā)送端將發(fā)送信息先進(jìn)行信道編碼和MIMO編碼�����,然后將此Bit流進(jìn)行串/并轉(zhuǎn)換分為多個分支����,每個分支都進(jìn)行OFDM處理,最后經(jīng)MIMO陣列天線發(fā)送到無線信道中。接收端進(jìn)行著與發(fā)射端進(jìn)行相反的信號處理��,并進(jìn)行信道估計和同步等處理��,最后恢復(fù)出與發(fā)送端發(fā)送一樣的比特流信息�����。
1.2 綁定的信道結(jié)構(gòu)技術(shù)分析
比較不同通信系統(tǒng)的有效性時,單看它們的傳輸速率是不夠的,還應(yīng)該看在這樣的傳輸速率下所占信道的寬度�。所以真正衡量數(shù)字通信系統(tǒng)傳輸效率的應(yīng)當(dāng)是單位頻帶內(nèi)的碼元傳輸速率���,即頻譜效率(spectrum effectiveness)��,以比特每秒每赫茲為單位。
IEEE802.lln標(biāo)準(zhǔn)定義20MHz為強制信道�����,40MHz為可選信道����。20MHz信道主要為了和802.11b/a/g兼容��,且20MHz頻譜在世界范圍內(nèi)都是可用的���,可實現(xiàn)802.lln產(chǎn)品在全世界范圍統(tǒng)一�。在每個信道20MHz帶寬下��。IEEE802.lln使用了56個子載波���,其中52個用于傳輸數(shù)據(jù)信號��,4個用于傳輸導(dǎo)頻信號。40MHz信道由兩個相鄰的20MHz信道綁定在一起來實現(xiàn)的��,其中心頻率處有三個空子載波(-1�,0,1)�����,原有的20MHz信道的中心頻率設(shè)定在新的40MHz信道的第+/-32個子載波處。-6至6是保護(hù)頻帶����,為了增加吞吐量��,40MHz信道使用的導(dǎo)頻子載波數(shù)是6個,數(shù)據(jù)子載波數(shù)是108個��,子載波數(shù)總共為114個�����。盡管不是所有的子載波都可以用來傳輸數(shù)據(jù)��,但子載波的數(shù)量仍然是越多越好����,因為每多一個就意味著能多傳遞一組調(diào)制信號。因此����,40MHz信道可提供比20MHz信道更高的數(shù)據(jù)吞吐量�。
1.3 短保護(hù)間隔ShortGI技術(shù)分析
無線信號的收發(fā)過程并非一刻不停����。為了保證收發(fā)效果,在接收發(fā)送之間或多次發(fā)送過程中����,必須有一定的時間間隔���,即保護(hù)間隔�����。在使用OFDM調(diào)制方式發(fā)送數(shù)據(jù)時,整個幀被劃分成不同的數(shù)據(jù)塊進(jìn)行發(fā)送�,在多徑環(huán)境下�����,后數(shù)據(jù)塊的前端比前一數(shù)據(jù)塊的末端更快到達(dá)接收機,從而引起數(shù)據(jù)塊間產(chǎn)生干擾�����。前后數(shù)據(jù)塊由不同路徑到達(dá)���,前一數(shù)據(jù)塊尚未被接收機完全接收��,后一數(shù)據(jù)塊卻由一個更短路徑到達(dá)。數(shù)據(jù)塊間干擾會降低射頻鏈路的SNR(signal to noise ratio)。GI是前后數(shù)據(jù)塊間的一段空白時間,可以為遲到信號提供更長的緩沖時間。
GI長度根據(jù)多徑狀態(tài)選擇���。802.11a/g的GI時長為800ns, IEEE802.11n提供了一個可選項,當(dāng)多徑情況較少���、射頻環(huán)境較好時,允許用戶選擇啟用400 ns的保護(hù)間隔,即更短 GI (Short GI)特性�,以得到更高的數(shù)據(jù)傳輸速率�。在40MHz信道下����,將保護(hù)間隔減小到最小的400ns,如果采用64-QAM調(diào)制方式、編碼率5/6�、2個空間流來傳送�����,可將最大速率提升到300Mbps;如果采用64-QAM調(diào)制方式、編碼率5/6�����、4個空間流傳送����, 可將最大速率提升到600Mbps,實現(xiàn)802.11n定義的最高速率。
1.4 低密度奇偶校驗碼編碼技術(shù)分析
IEEE802.11n采用LDPC糾錯編碼技術(shù)。在數(shù)字通信的領(lǐng)域中�����,廣泛使用糾錯編碼技術(shù)改善數(shù)字信道通信可靠性。糾錯編碼主要包括分組碼���、卷積碼、LDPC碼和Turbo碼���。LDPC是一類可以用非常稀疏的Parity-Check(奇偶校驗矩陣)定義的線性分組糾錯碼�����,其特點是:不僅有逼近Shannon限的良好性能�����,而且具有譯碼復(fù)雜度較低、較大的靈活性、可驗證性���、可并行操作、適合硬件實現(xiàn)等優(yōu)良特性。因此����, 結(jié)合LDPC編碼技術(shù)的IEEE802.11n性能更加優(yōu)越��。
2 IEEE802.11n MAC層關(guān)鍵技術(shù)分析
IEEE802.11n物理層數(shù)據(jù)速率盡管非常高,但為了保持與802.11a/b/g的兼容�����, MAC層的幀間隔時間IFS(InterFrame Space)保持不變����, PHY層包頭、廣播幀、組播幀和控制幀必須統(tǒng)一802.11數(shù)據(jù)速率發(fā)送,這導(dǎo)致MAC層的吞吐量受限。為此IEEE802.11n在原有的MAC層傳輸協(xié)議數(shù)據(jù)包切割和多速率傳輸基礎(chǔ)上提出了幀聚合、雙向傳輸�����、塊確認(rèn)���、減少幀間隔等關(guān)鍵技術(shù)���,進(jìn)一步提高M(jìn)AC層數(shù)據(jù)吞吐量����。同時�����,引入IEEE802.lle進(jìn)一步擴(kuò)展IEEE802.11n的服務(wù)質(zhì)量Qos(Quality of Service)����。
2.1 無線媒體訪問控制技術(shù)分析
IEEE802.11無線局域網(wǎng)MAC層具有無線媒體訪問���、網(wǎng)絡(luò)連接����、數(shù)據(jù)驗證和加密三個主要功能。其中無線媒體訪問協(xié)議稱為基于分布方式的無線媒體訪問控制協(xié)議(distributed function wireless MAC���,DFW-MAC),它支持自組織結(jié)構(gòu)(Ad hoc)和基礎(chǔ)結(jié)構(gòu)(infrastructure)兩種類型的WLAN�����。IEEE802.11nMAC層在原有IEEE802.11標(biāo)準(zhǔn)分布協(xié)調(diào)功能(distr ibuted coordination function���,DCF)和點協(xié)調(diào)功能(point coordination function��,PCF)兩種無線媒體訪問控制方式基礎(chǔ)上����,引入IEEE802.lle擴(kuò)展支持Qos的HCF(Hybrid coordination function)信道接入方式���。HCF包括可以提供優(yōu)先級服務(wù)的增強型DCF(enhanced distributed channel access�,EDCA)和可滿足參數(shù)化QoS要求的HCCA(HCF controlled channel access,HCCA)兩種接入方式�。其中���,DCF是IEEE 802.11最基本的媒體訪問控制方法��, 是HCF和PCF的基礎(chǔ),它提供基于競爭的數(shù)據(jù)接入服務(wù)�,在所有站點(station�, STA)上都進(jìn)行實現(xiàn)�����。
DCF協(xié)議采用兩路握手的基本接入機制?。╞asic access)和可選的四路握手RTS/CTS兩種工作機制��,它們都基于載波偵聽沖突避免多路訪問CSMA/CA技術(shù)和二進(jìn)制指數(shù)退避算法�。Basic access的接入時序如圖2(a)所示�,發(fā)送端在發(fā)送數(shù)據(jù)之前,先監(jiān)聽信道狀態(tài)��,如果沒有人使用信道并維持大于等于DIFS時間段后��,就立即占用信道并送出數(shù)據(jù)�����。反之必須等到信道空閑DIFS時間段后,進(jìn)入退避過程進(jìn)行競爭信道使用�����。
RTS/CTS機制可以有效解決隱藏終端從而達(dá)到減少碰撞損失的目的���,其接入時序如圖2(b)所示���。發(fā)送端發(fā)送數(shù)據(jù)前���,先發(fā)送RTS報文?。≧equest to Send)給目標(biāo)端�,目標(biāo)端收到后,向自己范圍內(nèi)所有站點廣播CTS(Clear to Send )報文���,隨后開始占用信道傳送數(shù)據(jù)信息。RTS/CTS可以確保隨后的數(shù)據(jù)傳輸不會發(fā)生碰撞。由于RTS/CTS封包很小�����,所以傳送的無效開銷比發(fā)生碰撞的開銷小很多���。圖中NAV(network allocation vector)表示一個減法計時器����,值的大小表示信道將被占用的時間長短。其它站點的NAV取值由當(dāng)前信道上傳送的MAC幀中Duration域所攜帶的傳輸持續(xù)時間信息確定。
2.2 數(shù)據(jù)包聚合技術(shù)分析
IEEE802.11n主要有數(shù)據(jù)幀����、控制幀和管理幀三種幀(Frame)類型��。數(shù)據(jù)幀(Data Frame)負(fù)責(zé)在工作站之間搬運數(shù)據(jù);控制幀(Control Frame )負(fù)責(zé)區(qū)域的清空、信道的取得以及載波監(jiān)聽的維護(hù)����,并于收到數(shù)據(jù)時予以肯定確認(rèn)�����,借此提高工作站之間數(shù)據(jù)傳送的可靠性,包括RTS 幀、CTS 幀�、ACK 幀���、BlockAckReq幀和BlockAck等九種類型幀;管理幀(Management Frame)負(fù)責(zé)監(jiān)督����,主要用來加入或退出無線網(wǎng)絡(luò)以及處理接入點之間關(guān)聯(lián)的轉(zhuǎn)移事宜�����。Data Frame和Management Frame格式如圖3所示����。
IEEE802.11n在MAC層對幀結(jié)構(gòu)進(jìn)行了進(jìn)一步優(yōu)化�。 MAC幀主要包括MAC Header和Frame body兩個部分,為了向前兼容�����,MAC Header必須以基本速率發(fā)送�。為了降低此部分發(fā)送時間上的開銷,IEEE802.11n將多個MAC幀進(jìn)行聚合,使其共用一個PHY Header�,從而有效提高負(fù)載的傳輸效率����。根據(jù)聚合所在的子層的不同分為MAC層服務(wù)數(shù)據(jù)單元聚合(A-MSDU)�、MAC層協(xié)議數(shù)據(jù)單元聚合(A-MPDU)、物理層協(xié)議數(shù)據(jù)單元聚合(A-PPDU)和物理層協(xié)議數(shù)據(jù)單元突發(fā)傳輸(PPDU Bursting) 四種。A-MSDU在邏輯鏈路控制層(LLC)和MAC層之間實現(xiàn),A-MPDU在MAC層和PHY層之間實現(xiàn)���,A-PPDU和 (PPDU Bursting)在PHY層實現(xiàn)。其中A-MSDU和A-MPDU聚合過程如圖4所示��。
圖4中DA是數(shù)據(jù)包的最終接收實體的地址���,SA是發(fā)送數(shù)據(jù)包的MAC實體地址����,Padding是填充字段���,Delimiter是分隔符��。A-MSDU中每個MSDU具有相同的MAC Header���、PHY Header和FCS�����,因此A-MSDU聚合度很高且發(fā)往同一個目的地址,同時傳輸可靠性較差�����,只適合小數(shù)據(jù)包MSDU的批量發(fā)送��。A-MPDU中每個MSDU具有獨立的MAC Header和FCS��,因此A-MPDU可發(fā)往不同的目的地址且具有較高的傳輸可靠性,效率比較前者略底���;采用A-PPDU和PPDU聚合方式傳輸,雖然可靠性提高了�,但在PHY層數(shù)據(jù)速率很高且聚合個數(shù)較多時效率下降很快��。
2.3雙向傳輸機制(reverse direction function)分析
雙向傳輸機制是指通過高效利用傳輸機會TXOP(Transmission Opportunity),實現(xiàn)無線網(wǎng)絡(luò)高速傳輸?shù)囊环N機制��。TXOP是一個有限的時間區(qū)間�����,當(dāng)發(fā)送方站點通過競爭獨占信道之后���,在TXOP時間內(nèi)發(fā)送完自己的數(shù)據(jù)后���,如果TXOP時間還有剩余,就可以通知接受方在剩余的TXOP時間內(nèi)����,進(jìn)行反向傳輸而無需再競爭信道的使用權(quán)�����。雙向傳輸機制實例如圖5所示。
雙向傳輸機制主要用于在EDCA、HCCA和非TXOP的DCF信道接入機制���,并且發(fā)送方要傳輸數(shù)據(jù)量較少時�����,通過提高站點TXOP利用率來提高系統(tǒng)的吞吐量。
2.4 塊應(yīng)答(Block Ack)技術(shù)分析
802.11協(xié)議為了提高數(shù)據(jù)傳輸?shù)目煽啃?����,?guī)定接收端每收一個數(shù)據(jù)幀����,應(yīng)該立即采用ACK應(yīng)答。因此����,當(dāng)采用這種方式接收端在收到聚合幀A-MPDU后�,就需要對其中的每一個MPDU進(jìn)行處理并逐個發(fā)送應(yīng)答幀ACK���。在高速的802.11n中����,為了降低每一次由于競爭使用信道和多ACK應(yīng)答帶來的時間損耗���,接收方在連續(xù)接收多個數(shù)據(jù)幀后通過Block Acknowledgement方式����,使用一個ACK幀來完成對多個MPDU的應(yīng)答,以降低這種情況下ACK幀的數(shù)量,這種方式就叫做Block ACK方式���。Block ACK有延遲型Block ACK和立即型Block ACK兩種方式,Block ACK方式也可使用于非聚合的MPDU。塊應(yīng)答與幀間間隔實例如圖6所示���。
2.5 精簡幀間間隔(Reduced InterFrame Spacing)技術(shù)分析
幀間間隔IFS(InterFrame Space)是指在收發(fā)雙方傳輸數(shù)據(jù)幀時,每兩個數(shù)據(jù)幀之間要有一個固定的時間間隔。在802.11網(wǎng)絡(luò)中��,有四種不同的幀間隔時間����,這四種IFS按照時間從短到長的順序依次為:SIFS(Short InterFrame Space)、PIFS(PCF InterFrame Space)、DIFS(DCF InterFrame Space)和EIFS(Extended InterFrame Space)。在IEEE 802.11不同標(biāo)準(zhǔn)中���,aSlotTime和不同類型幀間間隔時間的值不同,如表2所示。
其中SIFS是最小幀間隔��,發(fā)送方和接收方數(shù)據(jù)幀傳輸時使用�,采用SIFS的節(jié)點具有訪問無線鏈路的最高優(yōu)先級,如圖6(a) (b)?����。╟)所示��。DFC接入方式時使用DIFS時間間隔��,PCF接入方式時使用PIFS時間間隔,EIFS時間間隔用于收發(fā)雙方差錯處理。此外�����,還有支持Qos的仲裁幀間間隔AIFS��,AIFS值的大小應(yīng)根據(jù)數(shù)據(jù)類型設(shè)置。在802.11n網(wǎng)絡(luò)中采用精簡幀間間隔RIFS�����, 如圖6(b)?�。╟)所示���,把原來的每發(fā)一個兩個幀幀間間隔從SIFS的10μs或16μs調(diào)整為RIFS的2μs ����,以適應(yīng)IEEE802. 11n高傳輸速率要求���。
3 結(jié)束語
基于IEEE802.11n技術(shù)的無線局域網(wǎng)絡(luò)不再是簡單的接入層���,已經(jīng)成為與3G網(wǎng)絡(luò)對等的移動互聯(lián)網(wǎng)中重要的高速數(shù)據(jù)承載平臺。目前���,基于802.11n技術(shù)的運營商網(wǎng)絡(luò)和終端市場份額在逐步擴(kuò)大,已經(jīng)超過了50%甚至更高的份額�����。但由于現(xiàn)有終端大部分只支持802.11a/b/g標(biāo)準(zhǔn)���,所以要組建純802.11n標(biāo)準(zhǔn)的網(wǎng)絡(luò)面臨著用戶發(fā)展的問題��。在向高速802.11n無線局域網(wǎng)發(fā)展過程中�����,必需考慮與原有802.11a/b/g標(biāo)準(zhǔn)的兼容���。在802.11n發(fā)展初期����,運營商可先采用雙頻設(shè)備組網(wǎng),等到大部分終端都支持802.11n標(biāo)準(zhǔn)后��,再通過對設(shè)備的重新配置等手段統(tǒng)一為802.11n單模組網(wǎng)�。同時,在利用802.11n技術(shù)組網(wǎng)時還需要根據(jù)具體的復(fù)雜的無線環(huán)境����,科學(xué)規(guī)劃頻率資源��,合理配置網(wǎng)絡(luò)參數(shù),并進(jìn)一步深入研究802.lln多信道管理�����、鏈路自適應(yīng)�、網(wǎng)絡(luò)安全、天線選擇以及與影響系統(tǒng)吞吐量提升的相關(guān)技術(shù)���,以便使用戶享受到IEEE802.11n帶來的安全、高速�、高質(zhì)量的無線網(wǎng)絡(luò)服務(wù)體驗����。
參考文獻(xiàn):
[1] 郭剛���,陸曉峰.IEEE802.11n MAC性能優(yōu)化策略分析[J].計算機工程與科學(xué)��,2009���,31(3):13-15.
.電信工程技術(shù)與標(biāo)準(zhǔn)化,2011,(4):1-6.
[3] 毛建兵����,毛玉明.基802.11的多信道MAC協(xié)議性能分析[J].計算機研究與發(fā)展����,2009 46(10):1651-1659.
[4] 溫景容���,甄巖���,武穆清.IEEE 802.11e EDCA在Ad Hoc網(wǎng)絡(luò)中應(yīng)用仿真分析[J].小型微型計算機系統(tǒng)�����,2010��,(5):908-911.
第12篇
汽車正在成為黑客們的下一個目標(biāo)。各大影院熱映的《速度與激情6》已經(jīng)生動地為看客們展示了未來黑客們的入侵——或許�,在未來��,當(dāng)某個“重要人物”駕駛智能轎車飛速奔赴目的地時,千里之外的黑客�,只是輕輕動了動手指����,就讓他的汽車再也開不起來,從而使他的計劃“泡了湯”����。
8月初�,在位于拉斯維加斯舉行的全球規(guī)模最大的國際黑客大會(Def Con hacking convention)上�����,Twitter公司軟件安全工程師米勒(Charlie Miller)和IOActive安全公司智能安全總監(jiān)瓦拉賽克(Chris Valasek)——這兩位曾因?qū)ふ业轿④浐吞O果軟件的漏洞而名聲大振的工程師,在獲得美國政府許可的情況下,了他們攻擊汽車數(shù)月后的研究����。
“壞小子”們在長達(dá)100頁的白皮書中����,詳細(xì)闡述攻擊豐田普銳斯(Prius)和福特翼虎(Escape)關(guān)鍵系統(tǒng)的方法——他們讓以每小時130公里速度行駛的豐田普銳斯突然剎車��,當(dāng)然也可以讓汽車突然加速�����,甚至控制方向盤。還讓福特翼虎在慢速行駛時剎車失靈�,司機不論用多大力氣踩剎車都于事無補�。
當(dāng)然�����,他們的研究并非為了為非作歹����,“殺人于無形之中”��,而是為了搶在不法分子之前找到系統(tǒng)漏洞�,這類黑客被稱為“白帽黑客”����。
米勒和瓦拉賽克希望他們的數(shù)據(jù)能激勵其他“白帽黑客”去發(fā)現(xiàn)更多的汽車安全漏洞,這樣就能夠加以修復(fù)。米勒調(diào)侃道:“與其相信福特和豐田的眼光�,我倒寧可相信100名安全研究人士的眼力�?����!?/p>
這樣看來,似乎汽車“太智能”也會帶來困擾����。當(dāng)移動互聯(lián)網(wǎng)技術(shù)進(jìn)入汽車���,汽車更像是一個個“移動終端”時候���,如何來保證未來的駕駛安全���?其實早在2011年�,就有學(xué)術(shù)界人士談到如何利用藍(lán)牙系統(tǒng)和無線網(wǎng)絡(luò)入侵汽車���,不過在當(dāng)時����,學(xué)術(shù)界人士對細(xì)節(jié)秘而不宣,甚至拒絕透露他們?nèi)肭至耸裁葱吞柕能囕v�。
被研究的“對象”有點坐不住了���。豐田發(fā)言人漢森(John Hanson)稱豐田正對此加以評估�。他稱�����,豐田在汽車電子安全方面投入了大量資金�,但還是存在一些漏洞�。而福特發(fā)言人戴奇(Craig Daitch)稱,福特認(rèn)真看待其車輛的電子安全��。但他指出,由于米勒和瓦拉賽克的攻擊方法必須要坐在目標(biāo)車輛里才能實現(xiàn)�,因此實際風(fēng)險是相對較低的��。
同樣被暴露出軟件存在漏洞的還有大眾汽車旗下的4個豪華車品牌�。英國伯明翰大學(xué)的加西亞(Flavio D. Garcia)、荷蘭內(nèi)梅亨大學(xué)的維杜特(RoelVerdult)和艾齊(BarisEge)一直致力于研究如何突破奧迪��、保時捷�、賓利和蘭博基尼等大眾汽車集團(tuán)旗下豪華車品牌的Megamos Crypto防護(hù)系統(tǒng)。三人發(fā)現(xiàn)了車輛內(nèi)部的獨特邏輯代碼�,以及能夠允許車輛識別點火鑰匙的特征��。而目前,除了大眾以外���,不少其他車企的點火鑰匙也使用Megamos Crypto邏輯。
“白帽三劍客”基于研究撰寫的論文原本計劃在今年8月美國華盛頓Usenix安全研討會上發(fā)表����,但此舉遭到大眾汽車反對��,大眾稱,論文泄露啟動密碼可能“使得某些人�,尤其是經(jīng)驗豐富的犯罪集團(tuán)獲得利器��,輕易地突破車輛安全系統(tǒng)并實施盜竊”。
大眾近而向英國高等法院提訟�����,并獲得了英國高院的支持��。英國高院了暫時性禁令����,阻止他們��,其所屬的兩所大學(xué)的內(nèi)部刊物也表示將遵從禁令�����,暫緩發(fā)表該論文。
對此����,專家們表示不滿,認(rèn)為只是在進(jìn)行“合法的學(xué)術(shù)研究”,目的是為所有人改善安全狀況。被法院禁止后���,三人決定退出今年的研討會。
盡管還沒有消費者因汽車被黑造成事故,但美國國家公路交通安全管理局發(fā)表的一份聲明中表示:“電子控制和連接越來越多�����,它強化了交通安全和效率�,但給抵抗?jié)撛谌毕輲硇绿魬?zhàn)。”
安全專家也在表示�����,由于對計算機依賴程度日益增加的新無線技術(shù)能夠使汽車更安全��、能耗更低�、更現(xiàn)代化���,汽車遭黑客攻擊已開始由以前的理論轉(zhuǎn)入現(xiàn)實世界�。
