论文部分内容阅读
摘要:无线局域网在当今社会中得到越来越广泛的使用,成为计算机网络中至关重要一部分,但因其输介质的特殊性,安全问题成为一个阻碍其发展的问题。该文分析了当前无线局域网普遍存在的安全问题并结合无线局域网系列标准从不同侧面给出相应的保障措施。
关键词:WLAN;网络安全;安全保障
中圖分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5858-02
The Research on the Security of WLAN
LIU Bao-ju, XU Peng-fei
(College of International Education and Exchange of Pingdingshan University, Pingdingshan 467000, China)
Abstract:The WLAN is widely used in modern society. It is a necessary part of computer networks. But the security is still a key problem that preventing its development given the specialty of transport medium. The article analyzes the common security problems and provides the corresponding measures.
Key words:WLAN; network security; safety control
无线局城网(Wireless Local Area Network ,WLAN) 是计算机网络与无线通信技术相结合的产物,经过多年的发展,己经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,提高决策效率,还可以克服线缆限制引起的不便性。WLAN 的数据传播范围很难控制,因此在WLAN通信过程中要为传送的机密数据提供安全服务,包括机密性、完整性、不可抵赖性、有效性、身份认证与鉴别、访问控制等。无线网络可以让局域网的组建即节省时间又比有线网络更经济,通信更便利。布线及设备可以很方便的安装,快速而简单,终端与交换设备之间省去布线,允许网络到达以前有线不能到达或者不方便到达的地方,整个的安装费用和维护成本都明显低于有线的网络。WLAN 的可拓展性较强,可以配成不同的拓补图。在企业内的任何地点都可以存取实时信息,移动办公可以很方便的实现。通过无线网络可以不受限于时间和地点,满足于各行各业对于网络应用的需求,工作效率得到极大的提高。目前为止,WLAN主要应用于纵向行业应用。未来WLAN的应用主要在,医疗,教育,大型企业的办公区域。公司,会议厅,公共区域,分支办公室都是适合使用无线网络的场合。
1 无线局城网所存在的安全问题
无线网络的传输需要中心接入点(无线路由器)、“传输介质”(无线电波)、接收器(无线网卡)等。跟有线的网络在硬件上也基本一致。无线网络中WLAN 采用的是公共的电磁波作为传输媒体的。只要有条件都可以去窃听或干扰信息,对行为也不容易防备。有安全专家就指出,无线网络将成为黑客攻击的另一块热土。所以,我们在应用无线局域网的时候也应该考虑到其安全性。妨碍无线局域网的安全问题如下:
1) 基于无线网卡物理地址过滤防止非法用户接入。由于每个无线工作站的网卡都有惟一的物理地址,利用MAC 地址阻止未经授权的无限工作站接入。为AP设置基于MAC 地址的访问控制表,确保只有经过注册的设备才能进入网络。因此可以在AP 中手工维护一组允许访问的MAC 地址列表,实现物理地址过滤。但是MAC 地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP 中的MAC 地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
2) 如果网络中的AP 数量太多,可以使用802.1x 端口认证技术配合后台的RADIUS 认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
3) 基于802.1x 防止非法用户接入:802.1x 技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP 关联后,是否可以使用AP 的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
2 无线局城网的安全保障
为了保证无线局域网的安全性,IEEE802.11系列标准从多个层次定义了安全性控制手段。
2.1 业务组标识符
目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全——SSID 服务配置标示符和WEP无线加密协议。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密 包括软件手段和硬件手段。
2.2 MAC地址过滤
我们还可以在AP 中手工维护一组允许访问的MAC 地址列表(因为每个网卡都有一个且唯一的物理地址),从而实现物理地址过滤。
2.3 802.11的认证服务
802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通信的根据是能否通过认证。802.11标准定义了两种认证服务:
开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保
密协议(Wires Equivalent privacy ,WEP),WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了解决密钥重用的问题,WEP算法中引入T 初始向量(Initialization Vector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV 并不属于密钥的一部分,因此无须保密,多以明文形式传输。
2.4 VPN的解决方案
通过在802.11b网络中部署已经验证的VPN安全机制,企业可以在无线客户机与企业网络之间建立安全的连接。在历经多年的实际考验之后,VPN仍是用户心中最受欢迎的解决方案。工作中,虚拟专用网(VPN)将在客户机和VPN网关之间建立一对一的安全连接。在802.11b网络中,VPN网关位于无线接入点后面。一般而言,网络的每一客户机均通过一个专用的VPN通道与网络连接。数据包经由无线网络从一台客户机向另一台发送时,首先需经过VPN通道,之后逐次通过接入点和VPN网关。随后数据包将通过无线局域网抵达另一个VPN网关,此处它们将进行加密,之后通过无线接入点发送至接收客户机。通过将VPN网关置于802.11b接入点后面,公司可以确保所有无线传输的信息都在严密保护之下。
2.5 WAPI安全性解决方案
无线局城网鉴别与保密基础结构(WLAN Authentication and privacy Infrastructure,WAPI)是我国无线局域网国家标准制定的,由无线局域网鉴别基础结构(W LAN Authentication Infrastructure,WAI) 和无线局域网保密基础结构(WLANprivacy Infrastructure,WPI) 组成。根据WAPI的实现要求,可以将WAPI无线局域网产品按功能分为下列模块:WAI证书管理、WAI证书鉴别、WAI密钥协商、WPI保密通信。
2.5.1 证书管理
无线局域网的鉴别与保密建立在公钥机制的基础上,无线局域网的每一个设备都必须分配一个属于自己的、唯一的公钥证书。公钥证书的管理包括分发、查询、更新、吊销和删除等。证书管理一般需要设立一个密钥管理中心,该中心负贵各设备证书的生成、发放等功能,必要时还可以作废某些证书。当网络中增加新的设备时,密钥管理中心根据该设备的名称、身份标志信息生成证书。终端设备可以通过申请的方式来获得证书,也可以有密钥管理中心来推送。公钥证书是WAI系统中最为重要的环节,凭借证书和私钥可以唯一地确定网络设备的身份,公钥证书是网络设备在网络环境中的数字凭证。通过与密码技术及安全协议相结合,确保证书的唯一性、不可伪造性等。
2.5.2 证书鉴别
实现网络的接入控制,需要对接入网络的无线工作站的身份进行鉴别和认证。在WLAN安全性实施方案中,访问控制权限通过身份鉴别来控制,鉴别的基本功能是实现对工作站用户证书的管理和工作站用户身份的鉴别。当工作站关联或者重新关联至A P时,必须进行相互的身份鉴别。若鉴别成功,则A P允许工作站接入网络,否则证书鉴别流程包含下列几个步骤:
l) 鉴别激活:当移动终端STA登录至AP时,由AP向STA发送认证激活以启动整个认证过程。
2) 接入鉴别请求:工作站STA向AP发出接入认证请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入认证请求时间。
3) 证书鉴别请求:AP收到STA接入认证请求后,向AS发出证书认证请求,即将STA证书、接入认证请求时问、AP证书及用A P的私钥对它们的签名,构成证书认证请求报文发送给AS。
4) 证书鉴别响应:AS收到AP的证书认证请求后,验证AP的签名以及AP和STA 证书的合法性。验证完毕后,AS将STA证书认证结果信息(包括STA证书、认证结果及A S对它们的签名)、AP证书认证结果信息(包括A P证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。
5) 接入鉴别响应:AP对AS返回的证书认证响应进行签名验证,得到STA 证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及A P对它们的签名组成接入认证响应报文回送至STA。STA 验证AS的签名后,得到A P证书的认证结果。STA根据该认证结果决定是否接入该AP。至此,工作站STA与AP之间完成了证书鉴别过程。为了更大程度上保证WLAN的安全需求,还可以进行私钥的验证,以确认AP和工作站STA是否是证书的合法持有者,私钥验证由请求和響应组成。
2.5.3 保密通信与密钥协商
为了保障无线局域网传输数据的安全,信息必须以密文的形式传输,防止传输的数据被窃听、伪造或篡改。WPI 保密通信解释采用国家密码管理委员会办公室批准的用于无线局城网的对称算法实现对数据的保护,即对MAC子层的介质服务数据单元进行加、解密处理,其中加解密处理的密钥由通信双方协商完成。当工作站STA与接入点AP成功进行证书鉴别后,便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA的任意一方发起,另一方进行响应。为了进一步提高通信的保密性能,在通信一段时间或交换一定数量的报文后,工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。
3 结束语
无线局域网是计算机网络中的一个重要的组成部分,其安全性尤为重要。本文提出的几种安全性措拖并不能解决WLAN中所出现的全部问题。此外还需要通过一些完善胡管理规定来规范。
参考文献:
[1] 赵昌建. 浅析无线局域网的安全防范措施[J].电脑知识与技术,2010(7):1600-1601.
[2] 王玲.IEEE802.11 无线局域网技术及安全性研究[J].电脑开发与应用,2007(2):20-21.
[3] 包时红.无线局域网的安全机制[J].计算机工程,2007(7):207-209.
关键词:WLAN;网络安全;安全保障
中圖分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5858-02
The Research on the Security of WLAN
LIU Bao-ju, XU Peng-fei
(College of International Education and Exchange of Pingdingshan University, Pingdingshan 467000, China)
Abstract:The WLAN is widely used in modern society. It is a necessary part of computer networks. But the security is still a key problem that preventing its development given the specialty of transport medium. The article analyzes the common security problems and provides the corresponding measures.
Key words:WLAN; network security; safety control
无线局城网(Wireless Local Area Network ,WLAN) 是计算机网络与无线通信技术相结合的产物,经过多年的发展,己经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,提高决策效率,还可以克服线缆限制引起的不便性。WLAN 的数据传播范围很难控制,因此在WLAN通信过程中要为传送的机密数据提供安全服务,包括机密性、完整性、不可抵赖性、有效性、身份认证与鉴别、访问控制等。无线网络可以让局域网的组建即节省时间又比有线网络更经济,通信更便利。布线及设备可以很方便的安装,快速而简单,终端与交换设备之间省去布线,允许网络到达以前有线不能到达或者不方便到达的地方,整个的安装费用和维护成本都明显低于有线的网络。WLAN 的可拓展性较强,可以配成不同的拓补图。在企业内的任何地点都可以存取实时信息,移动办公可以很方便的实现。通过无线网络可以不受限于时间和地点,满足于各行各业对于网络应用的需求,工作效率得到极大的提高。目前为止,WLAN主要应用于纵向行业应用。未来WLAN的应用主要在,医疗,教育,大型企业的办公区域。公司,会议厅,公共区域,分支办公室都是适合使用无线网络的场合。
1 无线局城网所存在的安全问题
无线网络的传输需要中心接入点(无线路由器)、“传输介质”(无线电波)、接收器(无线网卡)等。跟有线的网络在硬件上也基本一致。无线网络中WLAN 采用的是公共的电磁波作为传输媒体的。只要有条件都可以去窃听或干扰信息,对行为也不容易防备。有安全专家就指出,无线网络将成为黑客攻击的另一块热土。所以,我们在应用无线局域网的时候也应该考虑到其安全性。妨碍无线局域网的安全问题如下:
1) 基于无线网卡物理地址过滤防止非法用户接入。由于每个无线工作站的网卡都有惟一的物理地址,利用MAC 地址阻止未经授权的无限工作站接入。为AP设置基于MAC 地址的访问控制表,确保只有经过注册的设备才能进入网络。因此可以在AP 中手工维护一组允许访问的MAC 地址列表,实现物理地址过滤。但是MAC 地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP 中的MAC 地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
2) 如果网络中的AP 数量太多,可以使用802.1x 端口认证技术配合后台的RADIUS 认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
3) 基于802.1x 防止非法用户接入:802.1x 技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP 关联后,是否可以使用AP 的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
2 无线局城网的安全保障
为了保证无线局域网的安全性,IEEE802.11系列标准从多个层次定义了安全性控制手段。
2.1 业务组标识符
目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全——SSID 服务配置标示符和WEP无线加密协议。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密 包括软件手段和硬件手段。
2.2 MAC地址过滤
我们还可以在AP 中手工维护一组允许访问的MAC 地址列表(因为每个网卡都有一个且唯一的物理地址),从而实现物理地址过滤。
2.3 802.11的认证服务
802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通信的根据是能否通过认证。802.11标准定义了两种认证服务:
开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保
密协议(Wires Equivalent privacy ,WEP),WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了解决密钥重用的问题,WEP算法中引入T 初始向量(Initialization Vector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV 并不属于密钥的一部分,因此无须保密,多以明文形式传输。
2.4 VPN的解决方案
通过在802.11b网络中部署已经验证的VPN安全机制,企业可以在无线客户机与企业网络之间建立安全的连接。在历经多年的实际考验之后,VPN仍是用户心中最受欢迎的解决方案。工作中,虚拟专用网(VPN)将在客户机和VPN网关之间建立一对一的安全连接。在802.11b网络中,VPN网关位于无线接入点后面。一般而言,网络的每一客户机均通过一个专用的VPN通道与网络连接。数据包经由无线网络从一台客户机向另一台发送时,首先需经过VPN通道,之后逐次通过接入点和VPN网关。随后数据包将通过无线局域网抵达另一个VPN网关,此处它们将进行加密,之后通过无线接入点发送至接收客户机。通过将VPN网关置于802.11b接入点后面,公司可以确保所有无线传输的信息都在严密保护之下。
2.5 WAPI安全性解决方案
无线局城网鉴别与保密基础结构(WLAN Authentication and privacy Infrastructure,WAPI)是我国无线局域网国家标准制定的,由无线局域网鉴别基础结构(W LAN Authentication Infrastructure,WAI) 和无线局域网保密基础结构(WLANprivacy Infrastructure,WPI) 组成。根据WAPI的实现要求,可以将WAPI无线局域网产品按功能分为下列模块:WAI证书管理、WAI证书鉴别、WAI密钥协商、WPI保密通信。
2.5.1 证书管理
无线局域网的鉴别与保密建立在公钥机制的基础上,无线局域网的每一个设备都必须分配一个属于自己的、唯一的公钥证书。公钥证书的管理包括分发、查询、更新、吊销和删除等。证书管理一般需要设立一个密钥管理中心,该中心负贵各设备证书的生成、发放等功能,必要时还可以作废某些证书。当网络中增加新的设备时,密钥管理中心根据该设备的名称、身份标志信息生成证书。终端设备可以通过申请的方式来获得证书,也可以有密钥管理中心来推送。公钥证书是WAI系统中最为重要的环节,凭借证书和私钥可以唯一地确定网络设备的身份,公钥证书是网络设备在网络环境中的数字凭证。通过与密码技术及安全协议相结合,确保证书的唯一性、不可伪造性等。
2.5.2 证书鉴别
实现网络的接入控制,需要对接入网络的无线工作站的身份进行鉴别和认证。在WLAN安全性实施方案中,访问控制权限通过身份鉴别来控制,鉴别的基本功能是实现对工作站用户证书的管理和工作站用户身份的鉴别。当工作站关联或者重新关联至A P时,必须进行相互的身份鉴别。若鉴别成功,则A P允许工作站接入网络,否则证书鉴别流程包含下列几个步骤:
l) 鉴别激活:当移动终端STA登录至AP时,由AP向STA发送认证激活以启动整个认证过程。
2) 接入鉴别请求:工作站STA向AP发出接入认证请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入认证请求时间。
3) 证书鉴别请求:AP收到STA接入认证请求后,向AS发出证书认证请求,即将STA证书、接入认证请求时问、AP证书及用A P的私钥对它们的签名,构成证书认证请求报文发送给AS。
4) 证书鉴别响应:AS收到AP的证书认证请求后,验证AP的签名以及AP和STA 证书的合法性。验证完毕后,AS将STA证书认证结果信息(包括STA证书、认证结果及A S对它们的签名)、AP证书认证结果信息(包括A P证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。
5) 接入鉴别响应:AP对AS返回的证书认证响应进行签名验证,得到STA 证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及A P对它们的签名组成接入认证响应报文回送至STA。STA 验证AS的签名后,得到A P证书的认证结果。STA根据该认证结果决定是否接入该AP。至此,工作站STA与AP之间完成了证书鉴别过程。为了更大程度上保证WLAN的安全需求,还可以进行私钥的验证,以确认AP和工作站STA是否是证书的合法持有者,私钥验证由请求和響应组成。
2.5.3 保密通信与密钥协商
为了保障无线局域网传输数据的安全,信息必须以密文的形式传输,防止传输的数据被窃听、伪造或篡改。WPI 保密通信解释采用国家密码管理委员会办公室批准的用于无线局城网的对称算法实现对数据的保护,即对MAC子层的介质服务数据单元进行加、解密处理,其中加解密处理的密钥由通信双方协商完成。当工作站STA与接入点AP成功进行证书鉴别后,便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA的任意一方发起,另一方进行响应。为了进一步提高通信的保密性能,在通信一段时间或交换一定数量的报文后,工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。
3 结束语
无线局域网是计算机网络中的一个重要的组成部分,其安全性尤为重要。本文提出的几种安全性措拖并不能解决WLAN中所出现的全部问题。此外还需要通过一些完善胡管理规定来规范。
参考文献:
[1] 赵昌建. 浅析无线局域网的安全防范措施[J].电脑知识与技术,2010(7):1600-1601.
[2] 王玲.IEEE802.11 无线局域网技术及安全性研究[J].电脑开发与应用,2007(2):20-21.
[3] 包时红.无线局域网的安全机制[J].计算机工程,2007(7):207-209.