資源描述:
《無(wú)線局域網(wǎng)的安全技術(shù)研究》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)���。
1���、無(wú)線局域網(wǎng)的安全技術(shù)研究摘要隨著無(wú)線技術(shù)的發(fā)展����,無(wú)線局域網(wǎng)已經(jīng)成為IT行業(yè)的一個(gè)新的熱點(diǎn)����,漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分。本文從分析無(wú)線局域網(wǎng)的安全威脅出發(fā)���,討論了無(wú)線局域網(wǎng)的幾種安全保密技術(shù)��。關(guān)鍵詞無(wú)線局域網(wǎng)����;安全��;802.11標(biāo)準(zhǔn)�;有線等效保密;AC地址綁定�,同時(shí)禁止AP向外廣播SSID。嚴(yán)格來(lái)說(shuō)SSID不屬于安全機(jī)制��,只不過(guò)��,可以用它作為一種實(shí)現(xiàn)訪問(wèn)控制的手段�����。3.2MAC地址過(guò)濾 MAC地址過(guò)濾是目前AC地址過(guò)濾屬于硬件認(rèn)證,而不是用戶認(rèn)證�。MAC地址過(guò)濾這種很常用的接入控制技術(shù),在運(yùn)營(yíng)商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用�,即只允許合法的MAC
2、地址終端接入網(wǎng)絡(luò)�。用無(wú)線局域網(wǎng)中,AP只允許合法的MAC地址終端接入BSS����,從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時(shí)更新�����,但是目前都是通過(guò)手工操作完成���,因此擴(kuò)展能力差,只適合小型網(wǎng)絡(luò)規(guī)模��,同時(shí)這種方法的效率也會(huì)隨著終端數(shù)目的增加而降低�����。3.3802.11的認(rèn)證服務(wù) 802.11站點(diǎn)(AP或工作站)在與另一個(gè)站點(diǎn)通信之前都必須進(jìn)行認(rèn)證服務(wù),兩個(gè)站點(diǎn)能否通過(guò)認(rèn)證是能否相互通信的根據(jù)�。802.11標(biāo)準(zhǔn)定義了兩種認(rèn)證服務(wù):開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。采用共享密鑰認(rèn)證的工作站必須執(zhí)行有線等效保密協(xié)議(WiresEquivalentPr
3�����、ivacy��,WEP)�����。WEP利用一個(gè)64位的啟動(dòng)源密鑰和RC4加密算法保護(hù)調(diào)制數(shù)據(jù)傳輸����。WEP為對(duì)稱加密,屬于序列密碼�����。為了解決密鑰重用的問(wèn)題����,WEP算法中引入了初始向量(InitialilizationVector,IV),IV為一隨機(jī)數(shù)���,每次加密時(shí)隨機(jī)產(chǎn)生���,IV與原密鑰結(jié)合作為加密的密鑰。由于IV并不屬于密鑰的一部分����,所以無(wú)須保密,多以明文形式傳輸��?! EP協(xié)議自公布以來(lái),它的安全機(jī)制就遭到了廣泛的抨擊���,主要問(wèn)題如下: (1)WEP加密存在固有的缺陷���,它的密鑰固定且比較短(只有64-24=40bits)�。 (2)IV的使用解決了密鑰重用的問(wèn)題��,
4����、但是IV的長(zhǎng)度太短�����,強(qiáng)度并不高����,同時(shí)IV多以明文形式傳輸�,帶來(lái)嚴(yán)重的安全隱患?! ?3)密鑰管理是密碼體制中最關(guān)鍵的問(wèn)題之一,但是802.11中并沒(méi)有具體規(guī)定密鑰的生成�、分發(fā)、更新�����、備份�����、恢復(fù)以及更改的機(jī)制?����! ?4)WEP的密鑰在傳遞過(guò)程中容易被截獲����。 所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險(xiǎn)�。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort���。4WLAN安全的增強(qiáng)性技術(shù) 隨著WLAN應(yīng)用的進(jìn)一步發(fā)展,802.11規(guī)定的安全方案難以滿足高端用戶的需求�����。為了推進(jìn)WLAN的發(fā)展和應(yīng)用�����,業(yè)
5�����、界積極研究�,開(kāi)發(fā)了很多增強(qiáng)WLAN安全性的方法����。4.1802.1x擴(kuò)展認(rèn)證協(xié)議 IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證�����、動(dòng)態(tài)密鑰管理����。基于802.1x認(rèn)證體系結(jié)構(gòu)�,其認(rèn)證機(jī)制是由用戶端設(shè)備����、接入設(shè)備、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成�。IEEE802.1x通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理��,可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下,作為RADIUS客戶端配置的無(wú)線接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器����。中央RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求���,根據(jù)所
6�����、選身份驗(yàn)證方法���,該客戶端獲得身份驗(yàn)證,并且為會(huì)話生成唯一密鑰。然后�,客戶機(jī)與AP激活poralKeyIntegrityProtocol,臨時(shí)密鑰完整性協(xié)議)為加密引入了新的機(jī)制����,它使用一種密鑰構(gòu)架和管理方法,通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成�����、分發(fā)密鑰來(lái)取代單個(gè)靜態(tài)密鑰����、把密鑰首部長(zhǎng)度從24位增加到128位等方法增強(qiáng)安全性�����。而且�,TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后����,使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后���,TKIP把這個(gè)密鑰通過(guò)安全通道分發(fā)到AP和客戶端���,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)���,使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯
7、一的數(shù)據(jù)加密密鑰����,來(lái)加密每一個(gè)無(wú)線通訊數(shù)據(jù)報(bào)文?��! ?3)消息完整性校驗(yàn) 除了保留802.11的CRC校驗(yàn)外����,GEier著,王群等譯.無(wú)線局域網(wǎng).人民郵電出版社[2]KavehPahlavan著.無(wú)線網(wǎng)絡(luò)通信原理與應(yīng)用.清華大學(xué)出版社[3]GB15629.11-2003:中華人民共和國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)
