淺談無(wú)線網(wǎng)絡(luò)安全new

1、清遠(yuǎn)職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)應(yīng)用系07網(wǎng)絡(luò)班淺談無(wú)線局域網(wǎng)技術(shù)安全發(fā)展余釗宏（07計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)）摘要：無(wú)線技術(shù)是新時(shí)代計(jì)算機(jī)通訊技術(shù)發(fā)展的趨勢(shì)，擺脫了傳統(tǒng)的由于通訊線路的束縛，大大方便人們的生活。無(wú)線局域網(wǎng)的覆蓋范圍為幾百米，在這樣的范圍內(nèi)，無(wú)線設(shè)備可以自由移動(dòng)，其適合于低移動(dòng)性的應(yīng)用環(huán)境。而且無(wú)線局域網(wǎng)的載頻為公用頻段，無(wú)需另外付費(fèi)，因而使用無(wú)線局域網(wǎng)的成本很低。無(wú)線局域網(wǎng)帶寬更會(huì)發(fā)展到上百兆的帶寬，能夠滿足絕大多數(shù)用戶的帶寬要求。基于以上原因，無(wú)線局域網(wǎng)在市場(chǎng)贏得熱烈的反響，并迅速發(fā)展成為一種重要的無(wú)線接入互聯(lián)網(wǎng)的技術(shù)。但由于無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線局域

2、網(wǎng)將面臨著更嚴(yán)峻的安個(gè)問(wèn)題。文章在闡述無(wú)線局域網(wǎng)安全發(fā)展概況的基礎(chǔ)上，分析了無(wú)線局域網(wǎng)的安全必要性，并從不同方面總結(jié)了無(wú)線局域網(wǎng)遇到的安全風(fēng)險(xiǎn)，同時(shí)重點(diǎn)分析了IEEE802. 11 b標(biāo)準(zhǔn)的安全性、影響因素及其解決方案，最后對(duì)無(wú)線局域網(wǎng)的安全技術(shù)發(fā)展趨勢(shì)進(jìn)行了展望。關(guān)鍵詞：無(wú)線局域網(wǎng)；標(biāo)準(zhǔn)；安全；趨勢(shì) Safe Development of Wireless LAN Technology Yu Zhaohong (07 Computer Network Technology )Abstract: Wireless technology is a new era of computer comm

3、unication technology trends, free from traditional restraints as communication lines, greatly facilitate the peoples lives. Wireless LAN coverage to hundreds of meters, in a range of wireless devices can move freely, its for low mobility applications.And wireless local area network for the common ca

4、rrier frequency band, without additional charge, and therefore low cost wireless LAN.Wireless local area network bandwidth, will develop to hundreds of megabytes of bandwidth to meet the bandwidth requirements of most users.For the above reasons, the wireless LAN market has won a warm response, and

5、quickly developed into an important technology for wireless access to the Internet.However, wireless LAN applications with great openness, the scope of the data transmission is difficult to control, so the wireless LAN will face more serious security problem. This paper presents the development of w

6、ireless LAN security profile based on the analysis of the need for wireless LAN security, and summarized from different aspects of wireless LAN security risks encountered in the same time, analyzed the IEEE802. 11 b standard security factorsand solutions, and finally the security of wireless LAN tec

7、hnology and future trends.Key words: wireless LAN; standards; security; trend 前言 無(wú)線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無(wú)線局域網(wǎng)使用無(wú)線電波代替雙絞線、同軸電纜等設(shè)備，省去了布線的麻煩，組網(wǎng)靈活。無(wú)線局域網(wǎng)（WLAN)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類(lèi)便攜機(jī)的入網(wǎng)要求，也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。無(wú)線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動(dòng)中聯(lián)網(wǎng)和在網(wǎng)間漫游的場(chǎng)合，并在不易架設(shè)有線的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。因此，WLAN已在軍隊(duì)、

8、石化、醫(yī)護(hù)管理、工廠車(chē)間、庫(kù)存控制、展覽和會(huì)議、金融服務(wù)、旅游服務(wù)、移動(dòng)辦公系統(tǒng)等行業(yè)中得到了應(yīng)用，受到了廣泛的青睞，已成為無(wú)線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅提高用戶訪問(wèn)信息的及時(shí)性和有效性，還可以克服線纜限制引起的不便性。但由于無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線局域網(wǎng)將面臨著更嚴(yán)峻的安全問(wèn)題。1 無(wú)線局域網(wǎng)安全發(fā)展概況無(wú)線局域網(wǎng)（802.11b）公布之后，迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是，從它的誕生開(kāi)始，其安全協(xié)議WEP就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov，Goldberg

9、和Wagner最早發(fā)表論文指出了WEP協(xié)議中存在的設(shè)計(jì)失誤，接下來(lái)信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無(wú)線傳輸數(shù)據(jù)。現(xiàn)在，能夠截獲無(wú)線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買(mǎi)到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個(gè)廣為人知的事情，人們期待WEP在安全性方面有質(zhì)的變化，新的增強(qiáng)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。 我國(guó)從2001年開(kāi)始著手制定無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)，經(jīng)過(guò)西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時(shí)兩年多制定了無(wú)線認(rèn)證和保密基

10、礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書(shū)，以期完成雙向認(rèn)證、接入控制、會(huì)話密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成，類(lèi)似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國(guó)的密碼算法一般是不公開(kāi)的，WAPI標(biāo)準(zhǔn)雖然是公開(kāi)發(fā)布的，然而對(duì)其安全性的討論在學(xué)術(shù)界和工程界目前還沒(méi)有展開(kāi)。增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開(kāi)一次會(huì)議，會(huì)議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AE

11、S-OCB算法，開(kāi)始工作組決定使用該算法作為無(wú)線局域網(wǎng)未來(lái)的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過(guò)了幾個(gè)月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來(lái)無(wú)線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過(guò)程中，我們能夠更加清楚地認(rèn)識(shí)到無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面，有利于無(wú)線局域網(wǎng)安全的研究。2無(wú)線局域網(wǎng)的安全必要性WLAN在為用戶帶來(lái)巨大便利的同時(shí)，也存在著許多安全上的問(wèn)題。由于WLAN 通過(guò)無(wú)線電波在空中傳輸數(shù)據(jù)，不能采用類(lèi)似有線網(wǎng)絡(luò)那樣的通過(guò)保護(hù)通信線路的方式來(lái)保護(hù)通信安全，

12、所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過(guò)無(wú)線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，雖然無(wú)線網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由，它安裝時(shí)間短，增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì)，可提供無(wú)線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而，這種自由也同時(shí)帶來(lái)了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個(gè)：信息保密、身份驗(yàn)證和訪問(wèn)控制。如果這三個(gè)要素都沒(méi)有問(wèn)題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使

13、用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。國(guó)外一些最新的技術(shù)研究報(bào)告指出，針對(duì)目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽(tīng)事件正越來(lái)越頻繁5，故對(duì)WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發(fā)現(xiàn)其可能存在的安全缺陷，研究相應(yīng)的改進(jìn)措施，提出新的改進(jìn)方案，對(duì) WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。同有線網(wǎng)絡(luò)相比，無(wú)線局域網(wǎng)無(wú)線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?，所以首先要加?qiáng)這一方面的安全性。 無(wú)線局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)是逐跳的方式，要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備，飯由接入設(shè)備轉(zhuǎn)發(fā)，要么是兩臺(tái)用戶設(shè)備直接通信，每一種通信方式

14、都可以用鏈路層加密的方法來(lái)實(shí)現(xiàn)至少與有線連接同等的安全性。無(wú)線信號(hào)可能被偵聽(tīng)，但是，如果把無(wú)線信號(hào)承載的數(shù)據(jù)變成密文，并且，如果加密強(qiáng)度夠高的話，偵聽(tīng)者獲得有用數(shù)據(jù)的可能性很小。另外，無(wú)線信號(hào)可能被修改或者偽造，但是，如果對(duì)無(wú)線信號(hào)承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù)，以使得接收方可以檢測(cè)到數(shù)據(jù)是杏被更改，那么，對(duì)于無(wú)線信號(hào)的更改將會(huì)徒勞無(wú)功。而秘密的獨(dú)有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。 這樣，通過(guò)數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無(wú)線局域網(wǎng)提供一個(gè)類(lèi)似有線網(wǎng)的物理安全的保護(hù)。對(duì)于無(wú)線局域網(wǎng)中的主機(jī)，面臨病毒威脅時(shí)，可以用最先進(jìn)的防毒措施和最新的殺毒工

15、具來(lái)給系統(tǒng)增加安全外殼，比如安裝硬件形式的病毒卡預(yù)防病毒，或者安裝軟件用來(lái)時(shí)實(shí)檢測(cè)系統(tǒng)異常。PC機(jī)和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對(duì)抗，接下來(lái)的無(wú)線設(shè)備如何與病毒對(duì)抗還是一個(gè)待開(kāi)發(fā)領(lǐng)域。 對(duì)于DOS攻擊或者DDOS攻擊，可以增加一個(gè)網(wǎng)關(guān)，使用數(shù)據(jù)包過(guò)濾或其它路由設(shè)置，將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過(guò)對(duì)外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址，可以減小風(fēng)險(xiǎn)。對(duì)于內(nèi)部的惡意用戶，則要通過(guò)審計(jì)分析，網(wǎng)絡(luò)安全檢測(cè)等手段找出惡意用戶，并輔以其它管理手段來(lái)杜絕來(lái)自?xún)?nèi)部的攻擊。硬件丟失的威脅要求必須能通過(guò)某種秘密或者生物特征等方式來(lái)綁定硬件設(shè)備和用戶，并且對(duì)于用戶的認(rèn)證也必須基于用戶的身份而不是硬件來(lái)完成。例

16、如，用MAC地址來(lái)認(rèn)證用戶是不適當(dāng)?shù)?。 除了以上的可能需求之外，根據(jù)不同的使用者，還會(huì)有不同的安全需求，對(duì)于安全性要求很高的用戶，可能對(duì)于傳輸?shù)臄?shù)據(jù)要求有不可抵賴(lài)性，對(duì)于進(jìn)出無(wú)線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施，要求無(wú)線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以，無(wú)線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證，只能結(jié)合用戶的具體需求，結(jié)合其它的安全系統(tǒng)來(lái)一起提供安全服務(wù)，構(gòu)建安全的網(wǎng)絡(luò)。當(dāng)考慮與其它安全系統(tǒng)的合作時(shí)，無(wú)線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密性服務(wù)，數(shù)據(jù)的完整性服務(wù)，提供身份識(shí)別框架和接入控制框架，完成用戶的認(rèn)證授權(quán)，信息的傳輸安全等安全業(yè)務(wù)。對(duì)于防病毒，防泄密，數(shù)據(jù)傳輸?shù)牟豢傻仲?lài)，降低DoS攻

17、擊的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來(lái)實(shí)現(xiàn)。3無(wú)線局域網(wǎng)安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)是指無(wú)線局域網(wǎng)中的資源面臨的威脅。無(wú)線局域網(wǎng)的資源，包括了在無(wú)線信道上傳輸?shù)臄?shù)據(jù)和無(wú)線局域網(wǎng)中的主機(jī)。31 無(wú)線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅 由于無(wú)線電波可以繞過(guò)障礙物向外傳播，因此，無(wú)線局域網(wǎng)中的信號(hào)是可以在一定覆蓋范圍內(nèi)接聽(tīng)到而不被察覺(jué)的。這如用收音機(jī)收聽(tīng)廣播的情況一樣，人們?cè)陔娕_(tái)發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機(jī)收聽(tīng)廣播，如果收音機(jī)的靈敏度高一些，就可以收聽(tīng)到遠(yuǎn)一些的發(fā)射臺(tái)發(fā)出的信號(hào)。當(dāng)然，無(wú)線局域網(wǎng)的無(wú)線信號(hào)的接收并不像收音機(jī)那么簡(jiǎn)單，但只要有相應(yīng)的設(shè)備，總是可以接收到無(wú)線局域網(wǎng)的信號(hào)，并可以按照信號(hào)的

18、封裝格式打開(kāi)數(shù)據(jù)包，讀取數(shù)據(jù)的內(nèi)容6。 另外，只要按照無(wú)線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取，并且，如果使用一些信號(hào)截獲技術(shù)，還可以把某個(gè)數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺(jué)。 因此，無(wú)線信道上傳輸?shù)臄?shù)據(jù)可能會(huì)被偵聽(tīng)、修改、偽造，對(duì)無(wú)線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟(jì)損失。32 無(wú)線局域網(wǎng)中主機(jī)面臨的威脅 無(wú)線局域網(wǎng)是用無(wú)線技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn)，除了目前有線網(wǎng)絡(luò)上流行的病毒之外，還可能會(huì)出現(xiàn)專(zhuān)門(mén)針對(duì)無(wú)線局域網(wǎng)移動(dòng)設(shè)備，比如手機(jī)或者PDA的無(wú)線病毒。當(dāng)無(wú)線局域網(wǎng)與無(wú)線廣

19、域網(wǎng)或者有線的國(guó)際互聯(lián)網(wǎng)連接之后，無(wú)線病毒的威脅可能會(huì)加劇。 對(duì)于無(wú)線局域網(wǎng)中的接入設(shè)備，可能會(huì)遭受來(lái)自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無(wú)線局域網(wǎng)和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對(duì)該IP的Dog或者DDoS會(huì)使得接入設(shè)備無(wú)法完成正常服務(wù)，造成網(wǎng)絡(luò)癱瘓。當(dāng)某個(gè)惡意用戶接入網(wǎng)絡(luò)后，通過(guò)持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會(huì)造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰，造成系統(tǒng)混亂。無(wú)線局域網(wǎng)中的用戶設(shè)備具有一定的可移動(dòng)性和通常比較高的價(jià)值，這造成的一個(gè)負(fù)面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會(huì)使得基于硬件的身份識(shí)別失效，同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會(huì)泄漏。這樣，無(wú)

20、線局域網(wǎng)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅，用戶設(shè)備則要考慮丟失的后果。4無(wú)線局域網(wǎng)安全性無(wú)線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起，并且己經(jīng)成為市場(chǎng)的主流產(chǎn)品。在無(wú)線局域網(wǎng)上，數(shù)據(jù)傳輸是通過(guò)無(wú)線電波在空中廣播的，因此在發(fā)射機(jī)覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無(wú)線局域網(wǎng)終端接收。安裝一套無(wú)線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此，無(wú)線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性，主要包括接入控制和加密兩個(gè)方面。除非無(wú)線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力，否則人們還是對(duì)使用無(wú)線局域網(wǎng)存在顧慮。41 IEEE802. 11 b標(biāo)準(zhǔn)的安全性 IEEE 802.11b標(biāo)

21、準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線局域網(wǎng)的接入控制和加密：系統(tǒng)ID（SSID）和有線對(duì)等加密（WEP）78。4.1.1認(rèn)證 當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過(guò)認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù)：一開(kāi)放系統(tǒng)認(rèn)證（Open System Authentication）：是802.11b默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡(jiǎn)單，分為兩步：首先，想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀；然后，接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證（Shared Key Authentication ）：這

22、種認(rèn)證先假定每個(gè)站點(diǎn)通過(guò)一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個(gè)秘密共享密鑰，然后這些站點(diǎn)通過(guò)共享密鑰的加密認(rèn)證，加密算法是有線等價(jià)加密（WEP ）。4. 1 .2 WEP IEEE 802.11b規(guī)定了一個(gè)可選擇的加密稱(chēng)為有線對(duì)等加密，即WEP。WEP提供一種無(wú)線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對(duì)稱(chēng)加密，加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò)，他們沒(méi)有正確的WEP密鑰。 加密：通過(guò)加密和只允許有正確WEP密鑰的用戶解密來(lái)保護(hù)數(shù)據(jù)流。IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無(wú)線局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的

23、終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶適配器。當(dāng)用戶得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶適配器建立一個(gè)與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。42 影響安全的因素910 4. 2. 1硬件設(shè)備 在現(xiàn)有的WLAN產(chǎn)品中，常用的加密方法是給用戶靜態(tài)分配一個(gè)密鑰，該密鑰或者存儲(chǔ)在磁盤(pán)上或者存儲(chǔ)在無(wú)線局域網(wǎng)客戶適配器的存儲(chǔ)器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶共享一個(gè)客戶適配器，這些用戶有效地

24、共享MAC地址和WEP密鑰。 當(dāng)一個(gè)客戶適配器丟失或被竊的時(shí)候，合法用戶沒(méi)有MAC地址和WEP密鑰不能接入，但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測(cè)到這種問(wèn)題，因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后，網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰。客戶端越多，重新編碼WEP密鑰的數(shù)量越大。4.2.2虛假接入點(diǎn) IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證，而不是互相認(rèn)證。接入點(diǎn)鑒別用戶，但用戶不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無(wú)線局域網(wǎng)內(nèi)，它可以通過(guò)劫持合法用戶的客戶適配器進(jìn)行拒絕服務(wù)或攻擊。 因此

25、在用戶和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的，每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩艉驼J(rèn)證服務(wù)器是通過(guò)接入點(diǎn)進(jìn)行通信的，接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測(cè)和隔離虛假接入點(diǎn)成為可能。4.2.3其它安全問(wèn)題 標(biāo)準(zhǔn)WEP支持對(duì)每一組加密但不支持對(duì)每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流，組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過(guò)監(jiān)測(cè)工EEE802. 11 b控制信道和數(shù)據(jù)信道，黑客可以得到如下信息：客戶端和接入點(diǎn)MAC地址，內(nèi)部主機(jī)MAC地址，上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細(xì)資料。為減少這種黑客活動(dòng)，一個(gè)終端應(yīng)該使用每一個(gè)

26、時(shí)期的WEP密鑰。43 完整的安全解決方案 無(wú)線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)，是一個(gè)標(biāo)準(zhǔn)的開(kāi)放式的安全方案，它能為用戶提供最強(qiáng)的安全保障，確保從控制中心進(jìn)行有效的集中管理。它的核心部分是： 擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP），是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)（RADIUS）的擴(kuò)展?？梢允篃o(wú)線客戶適配器與RADIUS服務(wù)器通信。當(dāng)無(wú)線局域網(wǎng)執(zhí)行安全保密方案時(shí)，在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過(guò)認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話框或類(lèi)似的東西內(nèi)輸入用戶名和密碼時(shí)，客戶端和RADIUS服務(wù)器（或其它認(rèn)證服務(wù)器）進(jìn)行雙向

27、認(rèn)證，客戶通過(guò)提供用戶名和密碼來(lái)認(rèn)證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。這種方案認(rèn)證的過(guò)程是：一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò)，否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對(duì)話框和類(lèi)似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802. lx協(xié)議，站點(diǎn)和RADIUS服務(wù)器在有線局域網(wǎng)上通過(guò)接入點(diǎn)進(jìn)行雙向認(rèn)證?？梢允褂脦讉€(gè)認(rèn)證方法中的一個(gè)。 相互認(rèn)證成功完成后，RADIUS服務(wù)器和用戶確定一個(gè)WEP密鑰來(lái)區(qū)分用戶并提供給用戶適當(dāng)?shù)燃?jí)的網(wǎng)絡(luò)接入。以此給每一個(gè)用戶提供與有線交換幾乎相同的安全性。用戶加

28、載這個(gè)密鑰并在該登錄期內(nèi)使用。RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰，稱(chēng)為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶，用戶用時(shí)期密鑰來(lái)解密。用戶和接入點(diǎn)激活WEP，在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。 網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂?。無(wú)論有線絡(luò)還是無(wú)線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽(tīng)、非法接入和各種內(nèi)部（合法用戶）的攻擊。 無(wú)線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無(wú)線網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制，其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過(guò)程中，頻率波段和調(diào)制不斷變化，計(jì)時(shí)和解

29、碼采用不規(guī)則技術(shù)。 正是可選擇的加密運(yùn)算法則和IEEE 802.11的規(guī)定要求無(wú)線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)（不使用加密技術(shù)）一樣安全。其中，認(rèn)證提供接入控制，減少網(wǎng)絡(luò)的非法使用，加密則可以減少破壞和竊聽(tīng)。目前，在基本的WEP安全機(jī)制之外，更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中12。5無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì) 目前無(wú)線局域網(wǎng)的發(fā)展勢(shì)頭十分強(qiáng)勁，但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在：一是真正的安全保障；二個(gè)是將來(lái)的技術(shù)發(fā)展方向；三是WLAN有什么比較好的應(yīng)用模式；四是WLAN的終端除PCMCIA卡、PDA有沒(méi)有其他更好的形式；五是WLAN的市場(chǎng)規(guī)模?？磥?lái)無(wú)線局域網(wǎng)真正的騰飛并非一己之事13。

30、 無(wú)線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動(dòng)，達(dá)到互利互惠的目的。歐洲是GSM網(wǎng)的天下，而WLAN的崛起使得他們開(kāi)始考慮WLAN和3G的互通，兩者之間的優(yōu)勢(shì)互補(bǔ)性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?，F(xiàn)在國(guó)內(nèi)中興通訊己經(jīng)實(shí)現(xiàn)了WLAN和CIIVIA系統(tǒng)的互通，而對(duì)于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案，這條路必定越走越寬?；ネㄖ械陌踩珕?wèn)題也必然首當(dāng)其沖，IEEE的無(wú)線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)系列里面，并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點(diǎn)。 無(wú)線網(wǎng)絡(luò)的互通，現(xiàn)在是一個(gè)趨勢(shì)。802.11工作組新成立了WIG

31、（Wireless lnterworking Grouq），該工作組的目的在于使現(xiàn)存的符合ETSI，IEEE，MMAC所制訂的標(biāo)準(zhǔn)的無(wú)線域網(wǎng)之間實(shí)現(xiàn)互通。另外3GPP也給出了無(wú)線局域網(wǎng)和3G互通的兩個(gè)草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛(ài)立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上，實(shí)現(xiàn)無(wú)線局域網(wǎng)和G1VIS/GPRS的互通。 不同類(lèi)型無(wú)線局域網(wǎng)互通標(biāo)準(zhǔn)的制定，使得用戶可以使用同一設(shè)備接入無(wú)線局域網(wǎng)。3G和無(wú)線局域網(wǎng)的互通者可以使用戶在一個(gè)運(yùn)營(yíng)商那里注冊(cè)，就可以在各地接入。當(dāng)然，用戶享用上述方便的同時(shí)，必然會(huì)使運(yùn)營(yíng)商或制造商獲得利潤(rùn)，而利潤(rùn)的驅(qū)動(dòng)，則是這個(gè)互通風(fēng)潮的根本動(dòng)力。

32、為了達(dá)到互通的安全，有以下需求：支持傳統(tǒng)的無(wú)線局域網(wǎng)設(shè)備，對(duì)用戶端設(shè)備，比如客戶端軟件，影響要最小，對(duì)經(jīng)營(yíng)者管理和維護(hù)客戶端SW的要求要盡量少，應(yīng)該支持現(xiàn)存的UICC卡，不應(yīng)該要求該卡有任何改動(dòng)，敏感數(shù)據(jù)，比如存在UICC卡中的長(zhǎng)期密鑰不能傳輸。對(duì)于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-, Response模式。用戶對(duì)無(wú)線局域網(wǎng)接入的安全級(jí)別應(yīng)該和3GPP接入一樣，應(yīng)該支持雙向認(rèn)證，所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù)，應(yīng)該支持無(wú)線局域網(wǎng)接入NW的密鑰分配方法，無(wú)線局域網(wǎng)與3GPP互通所選擇的認(rèn)證機(jī)制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級(jí)別，無(wú)線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全，所選擇的無(wú)線局域網(wǎng)認(rèn)證機(jī)制應(yīng)該支持會(huì)話密鑰素材的協(xié)商，所選擇的無(wú)線局域網(wǎng)密鑰協(xié)商和密鑰分配機(jī)制應(yīng)該能防止中間人攻擊。也就是說(shuō)中間人不能得到會(huì)話密鑰素材，無(wú)線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無(wú)線局域網(wǎng)UE和無(wú)線局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來(lái)保證完整性。所有的用于用戶和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長(zhǎng)期的安全要素應(yīng)該可以在一張UICC卡中存下14。對(duì)于非漫游情況的互通時(shí)，這種情況是指當(dāng)用戶接入的熱點(diǎn)地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡(jiǎn)單地說(shuō)，就是用戶在運(yùn)營(yíng)商那里注冊(cè)，然后在該運(yùn)營(yíng)商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點(diǎn)地區(qū)接入時(shí)的一種情況。無(wú)線局