張莉萍++趙義
摘 要:無線局域網(wǎng)以其靈活性高、移動性強、易于擴散、廉價等優(yōu)勢在企事業(yè)內部、公共熱點地區(qū)、家庭乃至軍事領域都得到了廣泛應用,成為網(wǎng)絡體系結構的重要組成部分。伴隨著無線局域網(wǎng)的應用越來越廣泛,無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關概念和基本機制,從加密和認證兩個方面,重點分析了無線局域網(wǎng)的安全缺陷,最后討論了改進的安全措施和方案。
關鍵詞:無線局域網(wǎng);安全;加密;完整性保密算法
中圖分類號:TP393 文獻標識碼:A
1 引 言
無線局域網(wǎng)(WirelessLAN,WLAN)是一種利用無線方式,提供無線對等(如PC對PC、PC對集線器或打印機對集線器)和點到點(如LAN到LAN)連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動性,安裝便捷,易于進行網(wǎng)絡規(guī)劃和調整,故障定位容易,易于擴展等方面的優(yōu)勢,因此,在餐飲及零售,醫(yī)療,企業(yè),倉儲管理,貨柜集散場,監(jiān)視系統(tǒng),展示會場等諸多領域和行業(yè)得到了廣泛應用。
另一方面,無線局域網(wǎng)在能夠給網(wǎng)絡用戶帶來便捷和實用的同時,也存在著一些缺陷,特別是其安全性。本質上無線電波不要求建立物理的連接通道,無線信號是發(fā)散的。從理論上講,很容易監(jiān)聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
2 WLAN面臨的安全問題
要分析和設計一個系統(tǒng)的安全性,必須從攻防兩個對立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式,大致可分為常規(guī)安全威脅和非授權訪問威脅兩大類。
2.1 常規(guī)安全威脅
常規(guī)安全威脅指的是未經(jīng)授權的實體簡單地訪問網(wǎng)絡,但不修改其中內容的攻擊方式。被動攻擊可能是簡單的竊聽或流量分析。
2.2 非授權訪問威脅
非授權訪問威脅指的是未經(jīng)授權的實體接入網(wǎng)
圖 1 WLAN遇到的攻擊方式
絡,并修改消息,數(shù)據(jù)流或文件內容的一種攻擊方式??梢岳猛暾詸z驗檢測到這類攻擊,但無法防止這類攻擊。主動攻擊包括偽裝攻擊,重放攻擊,篡改攻擊和拒絕服務攻擊等。
此外還有中斷攻擊是對系統(tǒng)設備的硬攻擊,它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等,使系統(tǒng)不能正常工作。
3 WLAN的安全機制
在IEEE802.11的WLAN中通常使用以下幾種安全機制:
3.1 服務集標識符(SSID,Service Set ID)
通過對多個無線接入點AP設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。但是這只是一個簡單的口令,所有使用該網(wǎng)絡的人都知道該SSID,很容易泄漏,只能提供較低級別的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因為任何人都可以通過工具得到這個SSID。
3.2 物理地址(MAC,Media Access Controller) 過濾
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證
3.3 有線等效保密(WEP)算法
WEP算法是一種可選的鏈路層安全機制,用來提供訪問控制,數(shù)據(jù)加密和安全性檢驗等。802.11定義了WEP算法對數(shù)據(jù)進行加密,加密過程是使明文與一個等長的偽隨機序列按比特進行異或操作。其中的密鑰序列是由偽隨機碼產(chǎn)生器WEP PRNG產(chǎn)生的,加密過程如圖2所示,一個40比特的密鑰與一個24比特初始化
4 無線局域網(wǎng)安全改進措施
鑒于WEP協(xié)議的安全機制存在較多的安全缺陷,使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴重的威脅。為了提高無線局域網(wǎng)的安全性,必須引入更加安全的認證機制,加密機制以及控制機制。
4.1 智能卡
智能卡可以為無線局域網(wǎng)增加另外一層保護。在無線局域網(wǎng)的網(wǎng)絡適配器中引入一個SIM卡,用于存儲與安全相關的信息(可以采取SIM卡與無線網(wǎng)絡適配器分離的方式)。認證服務器為每個SIM卡分配一個客戶識別碼和一個與該識別碼唯一對應的客戶認證密鑰K1,分別存儲在認證服務器和SIM卡上。為了滿足同一個用戶登陸多個網(wǎng)絡的需要,SIM卡中存儲的客戶識別碼和客戶認證密鑰可以構成一個簡單的數(shù)據(jù)庫,針對不同的網(wǎng)絡可以自動或者用戶手動選擇合適的身份信息。
具體的認證過程沿用現(xiàn)有的挑戰(zhàn)-應答模式:無線終端在附著成功之后向認證服務器提交自己的客戶識別碼,認證服務器產(chǎn)生一個隨機數(shù),發(fā)送至無線終端;無線終端利用客戶認證密鑰K1加密該隨機數(shù)后傳給認證服務器;認證服務器根據(jù)無線終端提供的客戶識別碼找到客戶認證密鑰K1,解密后與原隨機數(shù)進行對比,如果相同則通過認證。認證成功之后,認證服務器再產(chǎn)生一個偽隨機數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2,并用客戶認證密鑰加密后傳給客戶端。
4.2 虛擬專用網(wǎng)(VPN)
5 結束語
無線網(wǎng)絡安全需要不斷改善和升級,當前WLAN所使用的主要安全機制包括SSID,物理地址(MAC)過濾,有線對等保密機制等都已經(jīng)在實際使用中顯現(xiàn)出弊端。將智能卡,虛擬專用網(wǎng)以及802.1x端口控制技術和EAP認證機制相結合,可以使WLAN安全性得到較大的提高。隨著無線技術迅猛發(fā)展,無線通信安全尚待進一步發(fā)展和完善,將用戶的認證和傳輸數(shù)據(jù)的加密等多種措施結合起來,才能構筑安全的無線局域網(wǎng)。
參考文獻:
[1] S. Fluhrer, I. Martin, A. Shamir, Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http://www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.
[2] Wash R., Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http://www.crimelabs.net/docs/stream.htm. 2001-09-26.
[3] 錢進.無線局域網(wǎng)技術與應用[M].北京:電子工業(yè)出版社,2004.
[4] Dr.Cyrus Peikari, Seth Fogie著,周靖等譯.無線網(wǎng)絡安全 [M].北京:電子工業(yè)出版社,2004.
[5] 劉乃安.無線局域網(wǎng)-原理,技術及應用[M].西安:西安電子科技大學出版社,2004.
[6] Ron Rivest.RC4算法源代碼[EB/OL].http://www.qrst.de/ html/dsds/rc4.htm, 1994-09-17.
(本文審稿 黃 漢)
摘 要:無線局域網(wǎng)以其靈活性高、移動性強、易于擴散、廉價等優(yōu)勢在企事業(yè)內部、公共熱點地區(qū)、家庭乃至軍事領域都得到了廣泛應用,成為網(wǎng)絡體系結構的重要組成部分。伴隨著無線局域網(wǎng)的應用越來越廣泛,無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關概念和基本機制,從加密和認證兩個方面,重點分析了無線局域網(wǎng)的安全缺陷,最后討論了改進的安全措施和方案。
關鍵詞:無線局域網(wǎng);安全;加密;完整性保密算法
中圖分類號:TP393 文獻標識碼:A
1 引 言
無線局域網(wǎng)(WirelessLAN,WLAN)是一種利用無線方式,提供無線對等(如PC對PC、PC對集線器或打印機對集線器)和點到點(如LAN到LAN)連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動性,安裝便捷,易于進行網(wǎng)絡規(guī)劃和調整,故障定位容易,易于擴展等方面的優(yōu)勢,因此,在餐飲及零售,醫(yī)療,企業(yè),倉儲管理,貨柜集散場,監(jiān)視系統(tǒng),展示會場等諸多領域和行業(yè)得到了廣泛應用。
另一方面,無線局域網(wǎng)在能夠給網(wǎng)絡用戶帶來便捷和實用的同時,也存在著一些缺陷,特別是其安全性。本質上無線電波不要求建立物理的連接通道,無線信號是發(fā)散的。從理論上講,很容易監(jiān)聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
2 WLAN面臨的安全問題
要分析和設計一個系統(tǒng)的安全性,必須從攻防兩個對立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式,大致可分為常規(guī)安全威脅和非授權訪問威脅兩大類。
2.1 常規(guī)安全威脅
常規(guī)安全威脅指的是未經(jīng)授權的實體簡單地訪問網(wǎng)絡,但不修改其中內容的攻擊方式。被動攻擊可能是簡單的竊聽或流量分析。
2.2 非授權訪問威脅
非授權訪問威脅指的是未經(jīng)授權的實體接入網(wǎng)
圖 1 WLAN遇到的攻擊方式
絡,并修改消息,數(shù)據(jù)流或文件內容的一種攻擊方式??梢岳猛暾詸z驗檢測到這類攻擊,但無法防止這類攻擊。主動攻擊包括偽裝攻擊,重放攻擊,篡改攻擊和拒絕服務攻擊等。
此外還有中斷攻擊是對系統(tǒng)設備的硬攻擊,它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等,使系統(tǒng)不能正常工作。
3 WLAN的安全機制
在IEEE802.11的WLAN中通常使用以下幾種安全機制:
3.1 服務集標識符(SSID,Service Set ID)
通過對多個無線接入點AP設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。但是這只是一個簡單的口令,所有使用該網(wǎng)絡的人都知道該SSID,很容易泄漏,只能提供較低級別的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因為任何人都可以通過工具得到這個SSID。
3.2 物理地址(MAC,Media Access Controller) 過濾
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證
3.3 有線等效保密(WEP)算法
WEP算法是一種可選的鏈路層安全機制,用來提供訪問控制,數(shù)據(jù)加密和安全性檢驗等。802.11定義了WEP算法對數(shù)據(jù)進行加密,加密過程是使明文與一個等長的偽隨機序列按比特進行異或操作。其中的密鑰序列是由偽隨機碼產(chǎn)生器WEP PRNG產(chǎn)生的,加密過程如圖2所示,一個40比特的密鑰與一個24比特初始化
4 無線局域網(wǎng)安全改進措施
鑒于WEP協(xié)議的安全機制存在較多的安全缺陷,使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴重的威脅。為了提高無線局域網(wǎng)的安全性,必須引入更加安全的認證機制,加密機制以及控制機制。
4.1 智能卡
智能卡可以為無線局域網(wǎng)增加另外一層保護。在無線局域網(wǎng)的網(wǎng)絡適配器中引入一個SIM卡,用于存儲與安全相關的信息(可以采取SIM卡與無線網(wǎng)絡適配器分離的方式)。認證服務器為每個SIM卡分配一個客戶識別碼和一個與該識別碼唯一對應的客戶認證密鑰K1,分別存儲在認證服務器和SIM卡上。為了滿足同一個用戶登陸多個網(wǎng)絡的需要,SIM卡中存儲的客戶識別碼和客戶認證密鑰可以構成一個簡單的數(shù)據(jù)庫,針對不同的網(wǎng)絡可以自動或者用戶手動選擇合適的身份信息。
具體的認證過程沿用現(xiàn)有的挑戰(zhàn)-應答模式:無線終端在附著成功之后向認證服務器提交自己的客戶識別碼,認證服務器產(chǎn)生一個隨機數(shù),發(fā)送至無線終端;無線終端利用客戶認證密鑰K1加密該隨機數(shù)后傳給認證服務器;認證服務器根據(jù)無線終端提供的客戶識別碼找到客戶認證密鑰K1,解密后與原隨機數(shù)進行對比,如果相同則通過認證。認證成功之后,認證服務器再產(chǎn)生一個偽隨機數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2,并用客戶認證密鑰加密后傳給客戶端。
4.2 虛擬專用網(wǎng)(VPN)
5 結束語
無線網(wǎng)絡安全需要不斷改善和升級,當前WLAN所使用的主要安全機制包括SSID,物理地址(MAC)過濾,有線對等保密機制等都已經(jīng)在實際使用中顯現(xiàn)出弊端。將智能卡,虛擬專用網(wǎng)以及802.1x端口控制技術和EAP認證機制相結合,可以使WLAN安全性得到較大的提高。隨著無線技術迅猛發(fā)展,無線通信安全尚待進一步發(fā)展和完善,將用戶的認證和傳輸數(shù)據(jù)的加密等多種措施結合起來,才能構筑安全的無線局域網(wǎng)。
參考文獻:
[1] S. Fluhrer, I. Martin, A. Shamir, Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http://www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.
[2] Wash R., Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http://www.crimelabs.net/docs/stream.htm. 2001-09-26.
[3] 錢進.無線局域網(wǎng)技術與應用[M].北京:電子工業(yè)出版社,2004.
[4] Dr.Cyrus Peikari, Seth Fogie著,周靖等譯.無線網(wǎng)絡安全 [M].北京:電子工業(yè)出版社,2004.
[5] 劉乃安.無線局域網(wǎng)-原理,技術及應用[M].西安:西安電子科技大學出版社,2004.
[6] Ron Rivest.RC4算法源代碼[EB/OL].http://www.qrst.de/ html/dsds/rc4.htm, 1994-09-17.
(本文審稿 黃 漢)
摘 要:無線局域網(wǎng)以其靈活性高、移動性強、易于擴散、廉價等優(yōu)勢在企事業(yè)內部、公共熱點地區(qū)、家庭乃至軍事領域都得到了廣泛應用,成為網(wǎng)絡體系結構的重要組成部分。伴隨著無線局域網(wǎng)的應用越來越廣泛,無線局域網(wǎng)的安全性也越來越受到人們的重視。本文介紹了無線局域網(wǎng)安全的相關概念和基本機制,從加密和認證兩個方面,重點分析了無線局域網(wǎng)的安全缺陷,最后討論了改進的安全措施和方案。
關鍵詞:無線局域網(wǎng);安全;加密;完整性保密算法
中圖分類號:TP393 文獻標識碼:A
1 引 言
無線局域網(wǎng)(WirelessLAN,WLAN)是一種利用無線方式,提供無線對等(如PC對PC、PC對集線器或打印機對集線器)和點到點(如LAN到LAN)連接性的數(shù)據(jù)通信系統(tǒng)。由于無線局域網(wǎng)具有靈活性和移動性,安裝便捷,易于進行網(wǎng)絡規(guī)劃和調整,故障定位容易,易于擴展等方面的優(yōu)勢,因此,在餐飲及零售,醫(yī)療,企業(yè),倉儲管理,貨柜集散場,監(jiān)視系統(tǒng),展示會場等諸多領域和行業(yè)得到了廣泛應用。
另一方面,無線局域網(wǎng)在能夠給網(wǎng)絡用戶帶來便捷和實用的同時,也存在著一些缺陷,特別是其安全性。本質上無線電波不要求建立物理的連接通道,無線信號是發(fā)散的。從理論上講,很容易監(jiān)聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
2 WLAN面臨的安全問題
要分析和設計一個系統(tǒng)的安全性,必須從攻防兩個對立面入手。WLAN面臨的所有安全威脅均來自圖1所示的一種或多種攻擊方式,大致可分為常規(guī)安全威脅和非授權訪問威脅兩大類。
2.1 常規(guī)安全威脅
常規(guī)安全威脅指的是未經(jīng)授權的實體簡單地訪問網(wǎng)絡,但不修改其中內容的攻擊方式。被動攻擊可能是簡單的竊聽或流量分析。
2.2 非授權訪問威脅
非授權訪問威脅指的是未經(jīng)授權的實體接入網(wǎng)
圖 1 WLAN遇到的攻擊方式
絡,并修改消息,數(shù)據(jù)流或文件內容的一種攻擊方式??梢岳猛暾詸z驗檢測到這類攻擊,但無法防止這類攻擊。主動攻擊包括偽裝攻擊,重放攻擊,篡改攻擊和拒絕服務攻擊等。
此外還有中斷攻擊是對系統(tǒng)設備的硬攻擊,它是指破壞系統(tǒng)中的硬盤、線路和文件系統(tǒng)等,使系統(tǒng)不能正常工作。
3 WLAN的安全機制
在IEEE802.11的WLAN中通常使用以下幾種安全機制:
3.1 服務集標識符(SSID,Service Set ID)
通過對多個無線接入點AP設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。但是這只是一個簡單的口令,所有使用該網(wǎng)絡的人都知道該SSID,很容易泄漏,只能提供較低級別的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因為任何人都可以通過工具得到這個SSID。
3.2 物理地址(MAC,Media Access Controller) 過濾
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證
3.3 有線等效保密(WEP)算法
WEP算法是一種可選的鏈路層安全機制,用來提供訪問控制,數(shù)據(jù)加密和安全性檢驗等。802.11定義了WEP算法對數(shù)據(jù)進行加密,加密過程是使明文與一個等長的偽隨機序列按比特進行異或操作。其中的密鑰序列是由偽隨機碼產(chǎn)生器WEP PRNG產(chǎn)生的,加密過程如圖2所示,一個40比特的密鑰與一個24比特初始化
4 無線局域網(wǎng)安全改進措施
鑒于WEP協(xié)議的安全機制存在較多的安全缺陷,使得目前數(shù)量眾多的無線局域網(wǎng)面臨嚴重的威脅。為了提高無線局域網(wǎng)的安全性,必須引入更加安全的認證機制,加密機制以及控制機制。
4.1 智能卡
智能卡可以為無線局域網(wǎng)增加另外一層保護。在無線局域網(wǎng)的網(wǎng)絡適配器中引入一個SIM卡,用于存儲與安全相關的信息(可以采取SIM卡與無線網(wǎng)絡適配器分離的方式)。認證服務器為每個SIM卡分配一個客戶識別碼和一個與該識別碼唯一對應的客戶認證密鑰K1,分別存儲在認證服務器和SIM卡上。為了滿足同一個用戶登陸多個網(wǎng)絡的需要,SIM卡中存儲的客戶識別碼和客戶認證密鑰可以構成一個簡單的數(shù)據(jù)庫,針對不同的網(wǎng)絡可以自動或者用戶手動選擇合適的身份信息。
具體的認證過程沿用現(xiàn)有的挑戰(zhàn)-應答模式:無線終端在附著成功之后向認證服務器提交自己的客戶識別碼,認證服務器產(chǎn)生一個隨機數(shù),發(fā)送至無線終端;無線終端利用客戶認證密鑰K1加密該隨機數(shù)后傳給認證服務器;認證服務器根據(jù)無線終端提供的客戶識別碼找到客戶認證密鑰K1,解密后與原隨機數(shù)進行對比,如果相同則通過認證。認證成功之后,認證服務器再產(chǎn)生一個偽隨機數(shù)作為傳輸過程中的數(shù)據(jù)加密密鑰K2,并用客戶認證密鑰加密后傳給客戶端。
4.2 虛擬專用網(wǎng)(VPN)
5 結束語
無線網(wǎng)絡安全需要不斷改善和升級,當前WLAN所使用的主要安全機制包括SSID,物理地址(MAC)過濾,有線對等保密機制等都已經(jīng)在實際使用中顯現(xiàn)出弊端。將智能卡,虛擬專用網(wǎng)以及802.1x端口控制技術和EAP認證機制相結合,可以使WLAN安全性得到較大的提高。隨著無線技術迅猛發(fā)展,無線通信安全尚待進一步發(fā)展和完善,將用戶的認證和傳輸數(shù)據(jù)的加密等多種措施結合起來,才能構筑安全的無線局域網(wǎng)。
參考文獻:
[1] S. Fluhrer, I. Martin, A. Shamir, Weakness in the Key Scheduling Algorithm of RC4 [EB/OL]. http://www.cs.umd. edu/waa/class-puds/rc4_ksaproc.ps.2001-07-15.
[2] Wash R., Lecture Notes on Stream Ciphers and RC4 [EB/OL]. http://www.crimelabs.net/docs/stream.htm. 2001-09-26.
[3] 錢進.無線局域網(wǎng)技術與應用[M].北京:電子工業(yè)出版社,2004.
[4] Dr.Cyrus Peikari, Seth Fogie著,周靖等譯.無線網(wǎng)絡安全 [M].北京:電子工業(yè)出版社,2004.
[5] 劉乃安.無線局域網(wǎng)-原理,技術及應用[M].西安:西安電子科技大學出版社,2004.
[6] Ron Rivest.RC4算法源代碼[EB/OL].http://www.qrst.de/ html/dsds/rc4.htm, 1994-09-17.
(本文審稿 黃 漢)