資源描述:
《無(wú)線(xiàn)局域網(wǎng)技術(shù)安全發(fā)展的研究》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1、無(wú)線(xiàn)局域網(wǎng)技術(shù)安全發(fā)展的研究摘要:無(wú)線(xiàn)局域網(wǎng)的覆蓋范圍為幾百米,在這樣一個(gè)范圍內(nèi),無(wú)線(xiàn)設(shè)備可以自由移動(dòng),其適合于低移動(dòng)性的應(yīng)用環(huán)境。而且無(wú)線(xiàn)局域網(wǎng)的載頻為公用頻段,無(wú)需另外付費(fèi),因而使用無(wú)線(xiàn)局域網(wǎng)的成本很低。無(wú)線(xiàn)局域網(wǎng)帶寬更會(huì)發(fā)展到上百兆的帶寬,能夠滿(mǎn)足絕大多數(shù)用戶(hù)的帶寬要求?;谝陨显?,無(wú)線(xiàn)局域網(wǎng)在市場(chǎng)贏得熱烈的反響,并迅速發(fā)展成為一種重要的無(wú)線(xiàn)接入互聯(lián)網(wǎng)的技術(shù)。但由于無(wú)線(xiàn)局域網(wǎng)應(yīng)用具有很大的開(kāi)放性,數(shù)據(jù)傳播范圍很難控制,因此無(wú)線(xiàn)局域網(wǎng)將面臨著更嚴(yán)峻的安個(gè)問(wèn)題。本文在闡述無(wú)線(xiàn)局域網(wǎng)安全發(fā)展概況的基礎(chǔ)上,分析了無(wú)線(xiàn)局域
2、網(wǎng)的安全必要性,并從不同方面總結(jié)了無(wú)線(xiàn)局域網(wǎng)遇到的安全風(fēng)險(xiǎn),同時(shí)重點(diǎn)分析了IEEE802.11b標(biāo)準(zhǔn)的安全性、影響因素及其解決方案,最后對(duì)無(wú)線(xiàn)局域網(wǎng)的安全技術(shù)發(fā)展趨勢(shì)進(jìn)行了展望。關(guān)鍵詞:無(wú)線(xiàn)局域網(wǎng);標(biāo)準(zhǔn);安全;趨勢(shì)前言無(wú)線(xiàn)局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無(wú)線(xiàn)局域網(wǎng)使用無(wú)線(xiàn)電波代替雙絞線(xiàn)、同軸電纜等設(shè)備,省去了布線(xiàn)的麻煩,組網(wǎng)靈活。無(wú)線(xiàn)局域網(wǎng)和有線(xiàn)對(duì)等加密[7][8]。認(rèn)證當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前,必須首先通過(guò)認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一開(kāi)放系
3、統(tǒng)認(rèn)證:是默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡(jiǎn)單,分為兩步:首先,想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀;然后,接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證:這種認(rèn)證先假定每個(gè)站點(diǎn)通過(guò)一個(gè)獨(dú)立于網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個(gè)秘密共享密鑰,然后這些站點(diǎn)通過(guò)共享密鑰的加密認(rèn)證,加密算法是有線(xiàn)等價(jià)加密。4.1.2WEPIEEE規(guī)定了一個(gè)可選擇的加密稱(chēng)為有線(xiàn)對(duì)等加密,即WEP。WEP提供一種無(wú)線(xiàn)局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對(duì)稱(chēng)加密,加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止
4、未授權(quán)用戶(hù)接入網(wǎng)絡(luò),他們沒(méi)有正確的WEP密鑰。加密:通過(guò)加密和只允許有正確WEP密鑰的用戶(hù)解密來(lái)保護(hù)數(shù)據(jù)流。IEEE標(biāo)準(zhǔn)提供了兩種用于無(wú)線(xiàn)局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶(hù)適配器。當(dāng)用戶(hù)得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶(hù)安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶(hù)適配器建立一個(gè)與其它用戶(hù)聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。4.2影響安全的因素[
5、9][10]4.2.1硬件設(shè)備在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶(hù)靜態(tài)分配一個(gè)密鑰,該密鑰或者存儲(chǔ)在磁盤(pán)上或者存儲(chǔ)在無(wú)線(xiàn)局域網(wǎng)客戶(hù)適配器的存儲(chǔ)器上。這樣,擁有客戶(hù)適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶(hù)共享一個(gè)客戶(hù)適配器,這些用戶(hù)有效地共享MAC地址和WEP密鑰。當(dāng)一個(gè)客戶(hù)適配器丟失或被竊的時(shí)候,合法用戶(hù)沒(méi)有MAC地址和WEP密鑰不能接入,但非法用戶(hù)可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測(cè)到這種問(wèn)題,因此用戶(hù)必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密
6、鑰,并給與丟失或被竊的客戶(hù)適配器使用相同密鑰的客戶(hù)適配器重新編碼靜態(tài)加密密鑰。客戶(hù)端越多,重新編碼WEP密鑰的數(shù)量越大。虛假接入點(diǎn)IEEE802.11b共享密鑰認(rèn)證表采用單向認(rèn)證,而不是互相認(rèn)證。接入點(diǎn)鑒別用戶(hù),但用戶(hù)不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無(wú)線(xiàn)局域網(wǎng)內(nèi),它可以通過(guò)劫持合法用戶(hù)的客戶(hù)適配器進(jìn)行拒絕服務(wù)或攻擊。因此在用戶(hù)和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的,每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩?hù)和認(rèn)證服務(wù)器是通過(guò)接入點(diǎn)進(jìn)行通信的,接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測(cè)和隔離虛假接入點(diǎn)成為可能。其它安全
7、問(wèn)題標(biāo)準(zhǔn)WEP支持對(duì)每一組加密但不支持對(duì)每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過(guò)監(jiān)測(cè)工EEE802.11b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶(hù)端和接入點(diǎn)MAC地址,內(nèi)部主機(jī)MAC地址,上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶(hù)或設(shè)備的詳細(xì)資料。為減少這種黑客活動(dòng),一個(gè)終端應(yīng)該使用每一個(gè)時(shí)期的WEP密鑰。4.3完整的安全解決方案無(wú)線(xiàn)局域網(wǎng)完整的安全方案以比為基礎(chǔ),是一個(gè)標(biāo)準(zhǔn)的開(kāi)放式的安全方案,它能為用戶(hù)提供最強(qiáng)的安全保障,確
8、保從控制中心進(jìn)行有效的集中管理。它的核心部分是:擴(kuò)展認(rèn)證協(xié)議,是遠(yuǎn)程認(rèn)證撥入用戶(hù)服務(wù)的擴(kuò)展??梢允篃o(wú)線(xiàn)客戶(hù)適配器與RADIUS服務(wù)器通信。當(dāng)無(wú)線(xiàn)局域網(wǎng)執(zhí)行安全保密方案時(shí),在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過(guò)認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話(huà)框或類(lèi)似的東西內(nèi)輸入用戶(hù)名和密碼時(shí),客戶(hù)端和RADIUS服務(wù)器進(jìn)行雙向