無線網(wǎng)絡(luò)安全技術(shù)論文

無線網(wǎng)絡(luò)安全技術(shù)論文

　　在充分體驗(yàn)無線網(wǎng)絡(luò)給人們帶來的便利與豐富體驗(yàn)的同時(shí)，安全威脅一直如影相隨，下面小編給大家分享無線網(wǎng)絡(luò)安全技術(shù)論文，大家快來跟小編一起欣賞吧。

　　無線網(wǎng)絡(luò)安全技術(shù)論文篇一

　　無線網(wǎng)絡(luò)安全技術(shù)分析

　　【 摘 要 】 文章首先分析了網(wǎng)線網(wǎng)絡(luò)面臨的安全隱患，基于此圍繞網(wǎng)絡(luò)安全的核心要素：認(rèn)證、加密、完整性，介紹分析了物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA?(Wi-Fi Protected Access)、IEEE 802.11i等無線網(wǎng)絡(luò)安全技術(shù)的原理，并結(jié)合典型應(yīng)用場合給出了相應(yīng)的無線網(wǎng)絡(luò)安全策略方案。

　　【 關(guān)鍵詞 】 身份認(rèn)證;數(shù)據(jù)加密;完整性校驗(yàn);WEP;WPA

　　1 引言

　　隨著無線上網(wǎng)本、iPad、智能手機(jī)等移動(dòng)終端的不斷推陳出新，以WLAN技術(shù)為核心的移動(dòng)寬帶互聯(lián)應(yīng)用呈爆炸式增長。與此同時(shí)，大量基于物聯(lián)網(wǎng)、云計(jì)算而生的企業(yè)級(jí)移動(dòng)業(yè)務(wù)在園區(qū)網(wǎng)內(nèi)得到廣泛應(yīng)用，如智能電網(wǎng)、物流定位、無線語音、P2P共享等。無線網(wǎng)絡(luò)已經(jīng)深刻地改變了我們的生活與工作，無線網(wǎng)絡(luò)在為我們帶來豐富與便捷應(yīng)用的同時(shí)，安全威脅也在不斷蔓延，個(gè)人信息的泄漏、各類賬號(hào)密碼的被盜、私密信息的被公開，也在困擾著使用無線網(wǎng)絡(luò)的人們。

　　2 無線網(wǎng)絡(luò)的安全隱患

　　利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對(duì)于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有幾點(diǎn)。2.1 未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)

　　由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅會(huì)占用寶貴的無線信道資源，增加帶寬費(fèi)用，降低合法用戶的服務(wù)質(zhì)量，而且未經(jīng)授權(quán)的用戶沒有遵守運(yùn)營商提出的服務(wù)條款，甚至可能導(dǎo)致法律糾紛。

　　2.2 地址欺騙和會(huì)話攔截

　　在無線環(huán)境中，非法用戶通過非法偵聽等手段獲得網(wǎng)絡(luò)中合法終端的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。

　　另外，由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證，非法用戶很容易偽裝成AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過攔截會(huì)話實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。

　　2.3 高級(jí)入侵

　　一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)企業(yè)部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡(luò)，就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶面前。

　　3 無線網(wǎng)絡(luò)安全技術(shù)

　　為了應(yīng)對(duì)無線網(wǎng)絡(luò)中存在的各種安全威脅，相應(yīng)的無線安全技術(shù)也應(yīng)運(yùn)而生，包括物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。上述的各類技術(shù)均是圍繞著網(wǎng)絡(luò)安全的核心要素：認(rèn)證性、加密性、完整性。

　　認(rèn)證性：確保訪問網(wǎng)絡(luò)資源的用戶身份是合法的。

　　加密性：確保所傳遞的信息即使被截獲了，攻擊者也無法獲取原始的數(shù)據(jù)。

　　完整性：如果所傳遞的信息被篡改，接收者能夠檢測到。

　　此外，還需要提供有效的密鑰管理機(jī)制，如密鑰的動(dòng)態(tài)協(xié)商，以實(shí)現(xiàn)無線安全方案的可擴(kuò)展性。

　　3.1 物理地址( MAC )過濾

　　每個(gè)無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識(shí)，可在AP中手動(dòng)設(shè)置一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這種方法的效率會(huì)隨著終端數(shù)目的增加而降低，而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認(rèn)證技術(shù)。

　　3.2 服務(wù)區(qū)標(biāo)識(shí)符 ( SSID ) 匹配

　　無線客戶端必需與無線訪問點(diǎn)AP設(shè)置的SSID相同 ，才能訪問AP;如果設(shè)置的SSID與AP的SSID不同，那么AP將拒絕它通過接入上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題?？梢酝ㄟ^設(shè)置隱藏接入點(diǎn)(AP)及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的，因此可以認(rèn)為SSID是一個(gè)簡單的口令，通過提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全。

　　3.3 WEP加密機(jī)制

　　IEEE 802.11-1999把WEP機(jī)制作為安全的核心內(nèi)容，包括幾個(gè)方面。

　　身份認(rèn)證：認(rèn)證采用了Open System認(rèn)證和共享密鑰認(rèn)證，前者無認(rèn)證可言，后者容易造成密鑰被竊取。

　　完整性校驗(yàn)：完整性校驗(yàn)采用了ICV域，發(fā)送端使用Checksum算法計(jì)算報(bào)文的ICV，附加在MSDU后，MSDU和ICV共同被加密保護(hù)。接收者解密報(bào)文后，將本地計(jì)算的CRC-32結(jié)果和ICV進(jìn)行對(duì)比，如果不相等，則可以判定報(bào)文被篡改。CRC-32算法本身很弱，使用bit-flipping attack就可以篡改報(bào)文，同時(shí)讓接收者也無法察覺。

　　密鑰只能靜態(tài)配置，密鑰管理不支持動(dòng)態(tài)協(xié)商，完全不能滿足企業(yè)等大規(guī)模部署的需求。

　　數(shù)據(jù)加密：數(shù)據(jù)加密采用加密算法RC4，加密密鑰長度有64位和128位兩種，其中24Bit的IV是由WLAN系統(tǒng)自動(dòng)產(chǎn)生的，需要在AP和STA上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結(jié)果的規(guī)律，實(shí)現(xiàn)每次加密的結(jié)果都不同，但是長度太短了。在流量較大的網(wǎng)絡(luò)，IV值很容易出現(xiàn)被重用。目前有很多軟件都可以在短短幾分鐘內(nèi)完成對(duì)WEP的破解。

　　3.4 WPA加密機(jī)制

　　在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前，WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為 IEEE 802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和TKIP?？梢哉J(rèn)為：WPA = 802.1x + EAP + TKIP + MIC?。 　　身份認(rèn)證：在802.11中只是停留在概念的階段，到了WPA中變得實(shí)用而又重要，它要求用戶必須提供某種形式的憑據(jù)來證明它是合法的，并擁有對(duì)某些網(wǎng)絡(luò)資源的使用權(quán)限，并且是強(qiáng)制性的。

　　WPA的認(rèn)證分為兩種：第一種采用802.1x+EAP的方式，用戶提供認(rèn)證所需的憑證，例如賬戶口令，通過專用認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中，通常采用此種方式。不過面對(duì)中小型企業(yè)或者家庭用戶時(shí)，架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免昂貴，維護(hù)也非常繁雜，針對(duì)此種情況WPA也提供一種簡化的方式，這種方式稱為WPA預(yù)共享密鑰(WPA-PSK)，它不需要專門的認(rèn)證服務(wù)器，僅需要在每個(gè)WLAN節(jié)點(diǎn)預(yù)先輸入一個(gè)密鑰即可完成。只要密鑰相符，客戶就可以獲得無線局域網(wǎng)的訪問權(quán)。由于這把密鑰僅用于認(rèn)證過程，并不用于加密過程，因此會(huì)避免諸如使用WEP加密機(jī)制中認(rèn)證安全問題。

　　完整性校驗(yàn)：是為防止攻擊者從中間截獲數(shù)據(jù)報(bào)文、篡改后重發(fā)而設(shè)置的。802.11中對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗(yàn)ICV本身的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)殡姶鸥蓴_等物理因素導(dǎo)致報(bào)文出錯(cuò)，因此采用相對(duì)簡單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報(bào)文相符合，可以說沒有任何安全的功能。WPA除了和802.11一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗(yàn)外，WPA為802.11的每個(gè)數(shù)據(jù)分組(MSDU)都增加了一個(gè)8字節(jié)的消息完整性校驗(yàn)值。而WPA中的MIC則是專門為了防止工具者的篡改而專門設(shè)定的，它采用Michael算法，安全性很高。當(dāng)MIC發(fā)生錯(cuò)誤的時(shí)候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時(shí)，WPA還會(huì)采取一系列的對(duì)策，比如立刻更換組密鑰、暫?；顒?dòng)60秒等，來阻止攻擊者的攻擊。

　　數(shù)據(jù)加密：WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。同時(shí)，TKIP采用802.1x/EAP構(gòu)架，認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰通過安全通道分發(fā)到客戶端和AP，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來加密無線通信數(shù)據(jù)報(bào)文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法，但其動(dòng)態(tài)密鑰的特性很難被攻破。

　　3.5 IEEE 802.11i標(biāo)準(zhǔn)

　　為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， IEEE802.11工作組開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i ，并且致力于從長遠(yuǎn)角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標(biāo)準(zhǔn)針對(duì)802.11標(biāo)準(zhǔn)的安全缺陷，進(jìn)行了如下改進(jìn)。

　　身份認(rèn)證：802.11i的安全體系也使用802.1x認(rèn)證機(jī)制，通過無線客戶端與Radius 服務(wù)器之間動(dòng)態(tài)協(xié)商生成PMK(Pairwise Master Key)，再由無線客戶端和AP之間在這個(gè)PMK的基礎(chǔ)上經(jīng)過4次握手協(xié)商出單播密鑰以及通過兩次握手協(xié)商出組播密鑰，每一個(gè)無線客戶端與AP之間通訊的加密密鑰都不相同，而且會(huì)定期更新密鑰，很大程度上保證了通訊的安全。

　　完整性校驗(yàn)：采用了CBC和Michoel算法實(shí)現(xiàn)完整性校驗(yàn)。

　　數(shù)據(jù)加密：數(shù)據(jù)加密采用了CCMP加密，CCMP基于AES-CCM算法，結(jié)合了用于加密的CTR和用于完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC)，保護(hù)MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性。

　　密鑰協(xié)商：通過4次握手過程進(jìn)行動(dòng)態(tài)協(xié)商密鑰。

　　4 無線網(wǎng)絡(luò)安全策略選擇

　　無線的網(wǎng)絡(luò)技術(shù)發(fā)展到今天給人們提供了多種選擇，雖然目前802.11i方興未艾，考慮到升級(jí)成本、部署難度、網(wǎng)絡(luò)效率等多方面的因素，在進(jìn)行無線網(wǎng)絡(luò)安全策略選擇時(shí)，根據(jù)具體情況進(jìn)行分析。如表1所示給出不同場合下，無線安全方案。

　　在充分體驗(yàn)無線網(wǎng)絡(luò)給人們帶來的便利與豐富體驗(yàn)的同時(shí)，安全威脅一直如影相隨，保證無線網(wǎng)絡(luò)安全也就成為了無線網(wǎng)絡(luò)應(yīng)用與發(fā)展中所有問題的焦點(diǎn)問題，WiFi聯(lián)盟推出的各項(xiàng)技術(shù)與標(biāo)準(zhǔn)不斷增強(qiáng)著無線網(wǎng)絡(luò)安全，加強(qiáng)了無線安全管理。安全技術(shù)與標(biāo)準(zhǔn)的完善不斷推動(dòng)者無線網(wǎng)絡(luò)的應(yīng)用，同時(shí)無線網(wǎng)絡(luò)安全不僅與認(rèn)證、加密、完整性檢測等技術(shù)有關(guān)，還需要入侵檢測系統(tǒng)、防火墻等技術(shù)的配合，因此無線網(wǎng)絡(luò)的安全是一個(gè)多層次的問題，根據(jù)實(shí)際情況，綜合利用各項(xiàng)技術(shù)設(shè)計(jì)無線網(wǎng)絡(luò)安全方案。

　　參考文獻(xiàn)

　　[1] 卡什(Cache， J.).無線網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2012.3.

　　[2] 楊哲.無線網(wǎng)絡(luò)黑客攻防.北京：中國鐵道出版社，2011.11.

　　[3] 劉威.無線網(wǎng)絡(luò)技術(shù).北京：電子工業(yè)出版社，2012.1.

　　[4] 任偉.無線網(wǎng)絡(luò)安全問題初探.信息網(wǎng)絡(luò)安全，2012.1.

　　[5] 池水明，孫斌.無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防范技術(shù)芻議.信息網(wǎng)絡(luò)安全，2012.3.

　　作者簡介：

　　張博(1976-)，男，漢族，山西臨汾人，北京政法職業(yè)學(xué)院信息技術(shù)系教師，研究生碩士學(xué)位;研究方向：軟件工程。

點(diǎn)擊下頁還有更多>>>無線網(wǎng)絡(luò)安全技術(shù)論文