|
無(wú)線局域網(wǎng)的安全技術(shù)研究
(作者未知) 2010/3/30
摘要: 隨著無(wú)線技術(shù)的發(fā)展�,無(wú)線局域網(wǎng)已經(jīng)成為IT行業(yè)的一個(gè)新的熱點(diǎn)�,漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分����。本文從分析無(wú)線局域網(wǎng)的安全威脅出發(fā)�,討論了無(wú)線局域網(wǎng)的幾種安全保密技術(shù)�。
關(guān)鍵詞無(wú)線局域網(wǎng);安全�����;802.11標(biāo)準(zhǔn)����;有線等效保密�;WAPI鑒別與保密
1 引言
經(jīng)過(guò)20多年的發(fā)展,無(wú)線局域網(wǎng)(Wireless Local Area Network�,WLAN)�����,已經(jīng)成為一種比較成熟的技術(shù)����,應(yīng)用也越來(lái)越廣泛���,是計(jì)算機(jī)有線網(wǎng)絡(luò)的一個(gè)必不可少的補(bǔ)充�。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性,它能大幅提高用戶訪問(wèn)信息的及時(shí)性和有效性����,還可以克服線纜限制引起的不便性。但由于無(wú)線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的�,它具有更大的開放性��,數(shù)據(jù)傳播范圍很難控制����,因此無(wú)線局域網(wǎng)將面臨著更嚴(yán)峻的安全問(wèn)題�。
無(wú)線局域網(wǎng)的安全問(wèn)題伴隨著市場(chǎng)與產(chǎn)業(yè)結(jié)構(gòu)的升級(jí)而日益凸現(xiàn),安全問(wèn)題已經(jīng)成為WLAN走入信息化的核心舞臺(tái)����,成為無(wú)線局域網(wǎng)技術(shù)在電子政務(wù)、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏����。
2 無(wú)線局域網(wǎng)的安全威脅
隨著公司無(wú)線局域網(wǎng)的大范圍推廣普及使用�,WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問(wèn)題也發(fā)生了很大的變化。任何人可以從任何地方����、于任何時(shí)間�、向任何一個(gè)目標(biāo)發(fā)起攻擊,而且我們的系統(tǒng)還同時(shí)要面臨來(lái)自外部�、內(nèi)部、自然等多方面的威脅��。
由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體����,傳輸信息的覆蓋范圍不好控制��,因此對(duì)越權(quán)存取和竊聽的行為也更不容易防備����。無(wú)線局域網(wǎng)必須考慮的安全威脅有以下幾種:
>所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在��;
>無(wú)線局域網(wǎng)的無(wú)需連線便可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試,一定程度上暴露了網(wǎng)絡(luò)的存在����;
>無(wú)線局域網(wǎng)使用的是ISM公用頻段,使用無(wú)需申請(qǐng)��,相鄰設(shè)備之間潛在著電磁破壞(干擾)問(wèn)題��;
>外部人員可以通過(guò)無(wú)線網(wǎng)絡(luò)繞過(guò)防火墻�����,對(duì)公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存���������;
>無(wú)線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱��,易被竊取���、竄改和插入��;
> 無(wú)線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾;
> 內(nèi)部員工可以設(shè)置無(wú)線網(wǎng)卡為P2P模式與外部員工連接���。
3 無(wú)線局域網(wǎng)的安全保障
自從無(wú)線局域網(wǎng)誕生之日起�����,安全性隱患與其靈活便捷的優(yōu)勢(shì)就一直共存,安全問(wèn)題的解決方案從反面制約和影響著無(wú)線局域網(wǎng)技術(shù)的推廣和應(yīng)用�����。為了保證無(wú)線局域網(wǎng)的安全性���,IEEE 802.11系列標(biāo)準(zhǔn)從多個(gè)層次定義了安全性控制手段。
3.1 SSID訪問(wèn)控制
服務(wù)集標(biāo)識(shí)符(Service Set Identifier�,SSID)這是人們最早使用的一種WLAN安全認(rèn)證方式��。服務(wù)集標(biāo)識(shí)符SSID��,也稱業(yè)務(wù)組標(biāo)識(shí)符�����,是一個(gè)WLAN的標(biāo)識(shí)碼���,相當(dāng)于有線局域網(wǎng)的工作組(WORKGROUP)�。無(wú)線工作站只有出示正確的SSID才能接入WLAN�����,因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令���,通過(guò)對(duì)AP點(diǎn)和網(wǎng)卡設(shè)置復(fù)雜的SSID(服務(wù)集標(biāo)識(shí)符),并根據(jù)需求確定是否需要漫游來(lái)確定是否需要MAC地址綁定���,同時(shí)禁止AP向外廣播SSID����。嚴(yán)格來(lái)說(shuō)SSID不屬于安全機(jī)制���,只不過(guò),可以用它作為一種實(shí)現(xiàn)訪問(wèn)控制的手段���。
3.2 MAC地址過(guò)濾
MAC地址過(guò)濾是目前WLAN最基本的安全訪問(wèn)控制方式�。MAC地址過(guò)濾屬于硬件認(rèn)證,而不是用戶認(rèn)證����。MAC地址過(guò)濾這種很常用的接入控制技術(shù)��,在運(yùn)營(yíng)商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用����,即只允許合法的MAC地址終端接入網(wǎng)絡(luò)�����。用無(wú)線局域網(wǎng)中��,AP只允許合法的MAC地址終端接入BSS����,從而避免了非法用戶的接入��。這種方式要求AP中的MAC地址列表必須及時(shí)更新�,但是目前都是通過(guò)手工操作完成,因此擴(kuò)展能力差��,只適合小型網(wǎng)絡(luò)規(guī)模���,同時(shí)這種方法的效率也會(huì)隨著終端數(shù)目的增加而降低�����。
3.3 802.11的認(rèn)證服務(wù)
802.11站點(diǎn)(AP或工作站)在與另一個(gè)站點(diǎn)通信之前都必須進(jìn)行認(rèn)證服務(wù),兩個(gè)站點(diǎn)能否通過(guò)認(rèn)證是能否相互通信的根據(jù)�����。802.11標(biāo)準(zhǔn)定義了兩種認(rèn)證服務(wù):開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證�。采用共享密鑰認(rèn)證的工作站必須執(zhí)行有線等效保密協(xié)議(Wires Equivalent Privacy,WEP)�。
WEP利用一個(gè)64位的啟動(dòng)源密鑰和RC4加密算法保護(hù)調(diào)制數(shù)據(jù)傳輸���。WEP為對(duì)稱加密���,屬于序列密碼。為了解決密鑰重用的問(wèn)題�����,WEP算法中引入了初始向量(Initialilization Vector�,IV),IV為一隨機(jī)數(shù)�����,每次加密時(shí)隨機(jī)產(chǎn)生����,IV與原密鑰結(jié)合作為加密的密鑰��。由于IV并不屬于密鑰的一部分��,所以無(wú)須保密����,多以明文形式傳輸��。
WEP協(xié)議自公布(未完��,下一頁(yè))
|