淺談無線網絡安全new

1、清遠職業(yè)技術學院 計算機應用系07網絡班淺談無線局域網技術安全發(fā)展余釗宏（07計算機網絡技術）摘要：無線技術是新時代計算機通訊技術發(fā)展的趨勢，擺脫了傳統(tǒng)的由于通訊線路的束縛，大大方便人們的生活。無線局域網的覆蓋范圍為幾百米，在這樣的范圍內，無線設備可以自由移動，其適合于低移動性的應用環(huán)境。而且無線局域網的載頻為公用頻段，無需另外付費，因而使用無線局域網的成本很低。無線局域網帶寬更會發(fā)展到上百兆的帶寬，能夠滿足絕大多數用戶的帶寬要求。基于以上原因，無線局域網在市場贏得熱烈的反響，并迅速發(fā)展成為一種重要的無線接入互聯網的技術。但由于無線局域網應用具有很大的開放性，數據傳播范圍很難控制，因此無線局域

2、網將面臨著更嚴峻的安個問題。文章在闡述無線局域網安全發(fā)展概況的基礎上，分析了無線局域網的安全必要性，并從不同方面總結了無線局域網遇到的安全風險，同時重點分析了IEEE802. 11 b標準的安全性、影響因素及其解決方案，最后對無線局域網的安全技術發(fā)展趨勢進行了展望。關鍵詞：無線局域網；標準；安全；趨勢 Safe Development of Wireless LAN Technology Yu Zhaohong (07 Computer Network Technology )Abstract: Wireless technology is a new era of computer comm

3、unication technology trends, free from traditional restraints as communication lines, greatly facilitate the peoples lives. Wireless LAN coverage to hundreds of meters, in a range of wireless devices can move freely, its for low mobility applications.And wireless local area network for the common ca

4、rrier frequency band, without additional charge, and therefore low cost wireless LAN.Wireless local area network bandwidth, will develop to hundreds of megabytes of bandwidth to meet the bandwidth requirements of most users.For the above reasons, the wireless LAN market has won a warm response, and

5、quickly developed into an important technology for wireless access to the Internet.However, wireless LAN applications with great openness, the scope of the data transmission is difficult to control, so the wireless LAN will face more serious security problem. This paper presents the development of w

6、ireless LAN security profile based on the analysis of the need for wireless LAN security, and summarized from different aspects of wireless LAN security risks encountered in the same time, analyzed the IEEE802. 11 b standard security factorsand solutions, and finally the security of wireless LAN tec

7、hnology and future trends.Key words: wireless LAN; standards; security; trend 前言 無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備，省去了布線的麻煩，組網靈活。無線局域網（WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求，也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段，能迅速地應用于需要在移動中聯網和在網間漫游的場合，并在不易架設有線的地力和遠沖離的數據處理節(jié)點提供強大的網絡支持。因此，WLAN已在軍隊、

8、石化、醫(yī)護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統(tǒng)等行業(yè)中得到了應用，受到了廣泛的青睞，已成為無線通信與Internet技術相結合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著更嚴峻的安全問題。1 無線局域網安全發(fā)展概況無線局域網（802.11b）公布之后，迅速成為事實標準。遺憾的是，從它的誕生開始，其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov，Goldberg

9、和Wagner最早發(fā)表論文指出了WEP協議中存在的設計失誤，接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協議中的安全缺陷，并與工程技術人員協作，在實驗中破譯了經WEP協議加密的無線傳輸數據?，F在，能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到，能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情，人們期待WEP在安全性方面有質的變化，新的增強的無線局域網安全標準應運而生。 我國從2001年開始著手制定無線局域網安全標準，經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業(yè)的聯合攻關，歷時兩年多制定了無線認證和保密基

10、礎設施WAPI，并成為國家標準，于2003年12月執(zhí)行。WAPI使用公鑰技術，在可信第三方存在的條件下，由其驗證移動終端和接入點是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標，達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成，類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的，WAPI標準雖然是公開發(fā)布的，然而對其安全性的討論在學術界和工程界目前還沒有展開。增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議，會議的文檔可以從互聯網上下載，從中可以看到一些有趣的現象，例如AE

11、S-OCB算法，開始工作組決定使用該算法作為無線局域網未來的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過了幾個月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發(fā)展過程中，我們能夠更加清楚地認識到無線局域網安全標準的方方面面，有利于無線局域網安全的研究。2無線局域網的安全必要性WLAN在為用戶帶來巨大便利的同時，也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據，不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全，

12、所以在數據發(fā)射機覆蓋區(qū)域內的幾乎任何一個WLAN用戶都能接觸到這些數據，要將WLAN發(fā)射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用，任何人在視距范圍之內都可以截獲和插入數據。因此，雖然無線網絡和WLAN的應用擴展了網絡用戶的自由，它安裝時間短，增加用戶或更改網絡結構時靈活、經濟，可提供無線覆蓋范圍內的全功能漫游服務。然而，這種自由也同時帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個：信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網絡和移動設備免受危害。難就難在如何使

13、用一個簡單易用的解決方案，同時獲得這三個安全要素。國外一些最新的技術研究報告指出，針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁5，故對WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發(fā)現其可能存在的安全缺陷，研究相應的改進措施，提出新的改進方案，對 WLAN 技術的使用、研究和發(fā)展都有著深遠的影響。同有線網絡相比，無線局域網無線傳輸的天然特性使得其物理安全脆弱得多，所以首先要加強這一方面的安全性。 無線局域網中的設備在實際通信時是逐跳的方式，要么是用戶設備發(fā)數據給接入設備，飯由接入設備轉發(fā)，要么是兩臺用戶設備直接通信，每一種通信方式

14、都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽，但是，如果把無線信號承載的數據變成密文，并且，如果加密強度夠高的話，偵聽者獲得有用數據的可能性很小。另外，無線信號可能被修改或者偽造，但是，如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據，以使得接收方可以檢測到數據是杏被更改，那么，對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。 這樣，通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機，面臨病毒威脅時，可以用最先進的防毒措施和最新的殺毒工

15、具來給系統(tǒng)增加安全外殼，比如安裝硬件形式的病毒卡預防病毒，或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗，接下來的無線設備如何與病毒對抗還是一個待開發(fā)領域。 對于DOS攻擊或者DDOS攻擊，可以增加一個網關，使用數據包過濾或其它路由設置，將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址，可以減小風險。對于內部的惡意用戶，則要通過審計分析，網絡安全檢測等手段找出惡意用戶，并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶，并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例

16、如，用MAC地址來認證用戶是不適當的5。 除了以上的可能需求之外，根據不同的使用者，還會有不同的安全需求，對于安全性要求很高的用戶，可能對于傳輸的數據要求有不可抵賴性，對于進出無線局域網的數據要求有防泄密措施，要求無線局域網癱瘓后能夠迅速恢復等等。所以，無線局域網的安全系統(tǒng)不可能提供所有的安全保證，只能結合用戶的具體需求，結合其它的安全系統(tǒng)來一起提供安全服務，構建安全的網絡。當考慮與其它安全系統(tǒng)的合作時，無線局域網的安全將限于提供數據的機密性服務，數據的完整性服務，提供身份識別框架和接入控制框架，完成用戶的認證授權，信息的傳輸安全等安全業(yè)務。對于防病毒，防泄密，數據傳輸的不可抵賴，降低DoS攻

17、擊的風險等都將在具體的網絡配置中與其它安全系統(tǒng)合作來實現。3無線局域網安全風險安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源，包括了在無線信道上傳輸的數據和無線局域網中的主機。31 無線信道上傳輸的數據所面臨的威脅 由于無線電波可以繞過障礙物向外傳播，因此，無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣，人們在電臺發(fā)射塔的覆蓋范圍內總可以用收音機收聽廣播，如果收音機的靈敏度高一些，就可以收聽到遠一些的發(fā)射臺發(fā)出的信號。當然，無線局域網的無線信號的接收并不像收音機那么簡單，但只要有相應的設備，總是可以接收到無線局域網的信號，并可以按照信號的

18、封裝格式打開數據包，讀取數據的內容6。 另外，只要按照無線局域網規(guī)定的格式封裝數據包，把數據放到網絡上發(fā)送時也可以被其它的設備讀取，并且，如果使用一些信號截獲技術，還可以把某個數據包攔截、修改，然后重新發(fā)送，而數據包的接收者并不能察覺。 因此，無線信道上傳輸的數據可能會被偵聽、修改、偽造，對無線網絡的正常通信產生了極大的干擾，并有可能造成經濟損失。32 無線局域網中主機面臨的威脅 無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現，除了目前有線網絡上流行的病毒之外，還可能會出現專門針對無線局域網移動設備，比如手機或者PDA的無線病毒。當無線局域網與無線廣

19、域網或者有線的國際互聯網連接之后，無線病毒的威脅可能會加劇。 對于無線局域網中的接入設備，可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后，如果把IP地址直接暴露給外部網，那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務，造成網絡癱瘓。當某個惡意用戶接入網絡后，通過持續(xù)的發(fā)送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰，造成系統(tǒng)混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效，同時硬件設備中的所有數據都可能會泄漏。這樣，無

20、線局域網中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設備面臨著拒絕服務攻擊的威脅，用戶設備則要考慮丟失的后果。4無線局域網安全性無線局域網與有線局域網緊密地結合在一起，并且己經成為市場的主流產品。在無線局域網上，數據傳輸是通過無線電波在空中廣播的，因此在發(fā)射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此，無線局域網的用戶主要關心的是網絡的安全性，主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力，否則人們還是對使用無線局域網存在顧慮。41 IEEE802. 11 b標準的安全性 IEEE 802.11b標

21、準定義了兩種方法實現無線局域網的接入控制和加密：系統(tǒng)ID（SSID）和有線對等加密（WEP）78。4.1.1認證 當一個站點與另一個站點建立網絡連接之前，必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務：一開放系統(tǒng)認證（Open System Authentication）：是802.11b默認的認證方式。這種認證方式非常簡單，分為兩步：首先，想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀；然后，接收站發(fā)回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證（Shared Key Authentication ）：這

22、種認證先假定每個站點通過一個獨立于802.11網絡的安全信道，已經接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密（WEP ）。4. 1 .2 WEP IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡，他們沒有正確的WEP密鑰。 加密：通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的

23、終端共享一包括一個子系統(tǒng)內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統(tǒng)內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。42 影響安全的因素910 4. 2. 1硬件設備 在現有的WLAN產品中，常用的加密方法是給用戶靜態(tài)分配一個密鑰，該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器，這些用戶有效地

24、共享MAC地址和WEP密鑰。 當一個客戶適配器丟失或被竊的時候，合法用戶沒有MAC地址和WEP密鑰不能接入，但非法用戶可以。網絡管理系統(tǒng)不可能檢測到這種問題，因此用戶必須立即通知網絡管理員。接到通知后，網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰?？蛻舳嗽蕉?，重新編碼WEP密鑰的數量越大。4.2.2虛假接入點 IEEE802. 1 1b共享密鑰認證表采用單向認證，而不是互相認證。接入點鑒別用戶，但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內，它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。 因此

25、在用戶和認證服務器之間進行相互認證是需要的，每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的，接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。4.2.3其它安全問題 標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流，組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監(jiān)測工EEE802. 11 b控制信道和數據信道，黑客可以得到如下信息：客戶端和接入點MAC地址，內部主機MAC地址，上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動，一個終端應該使用每一個

26、時期的WEP密鑰。43 完整的安全解決方案 無線局域網完整的安全方案以IEEE802.11b比為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是： 擴展認證協議（Extensible Authentication Protocol，EAP），是遠程認證撥入用戶服務（RADIUS）的擴展?？梢允篃o線客戶適配器與RADIUS服務器通信。當無線局域網執(zhí)行安全保密方案時，在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時，客戶端和RADIUS服務器（或其它認證服務器）進行雙向

27、認證，客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。這種方案認證的過程是：一個站點要與一個接入點連接。除非站點成功登錄到網絡，否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議，站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。 相互認證成功完成后，RADIUS服務器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加

28、載這個密鑰并在該登錄期內使用。RADIUS服務器發(fā)送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內用時期密鑰和廣播密鑰通信。 網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部（合法用戶）的攻擊。 無線網絡傳播數據所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無線網絡具有各種內在的安全機制，其代碼清理和模式跳躍是隨機的。在整個傳輸過程中，頻率波段和調制不斷變化，計時和解

29、碼采用不規(guī)則技術。 正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網絡至少要和有線網絡（不使用加密技術）一樣安全。其中，認證提供接入控制，減少網絡的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現和發(fā)展之中12。5無線局域網安全技術的發(fā)展趨勢 目前無線局域網的發(fā)展勢頭十分強勁，但是起真正的應用前景還不是十分的明朗。主要表現在：一是真正的安全保障；二個是將來的技術發(fā)展方向；三是WLAN有什么比較好的應用模式；四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式；五是WLAN的市場規(guī)模?？磥頍o線局域網真正的騰飛并非一己之事13。

30、 無線局域網同樣需要與其他已經成熟的網絡進行互動，達到互利互惠的目的。歐洲是GSM網的天下，而WLAN的崛起使得他們開始考慮WLAN和3G的互通，兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網的融合迅速發(fā)展。現在國內中興通訊己經實現了WLAN和CIIVIA系統(tǒng)的互通，而對于使用中興設備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案，這條路必定越走越寬?；ネㄖ械陌踩珕栴}也必然首當其沖，IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面，并且與3G互通的認證標準EAP-AID也成為討論的焦點。 無線網絡的互通，現在是一個趨勢。802.11工作組新成立了WIG

31、（Wireless lnterworking Grouq），該工作組的目的在于使現存的符合ETSI，IEEE，MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上，實現無線局域網和G1VIS/GPRS的互通。 不同類型無線局域網互通標準的制定，使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊，就可以在各地接入。當然，用戶享用上述方便的同時，必然會使運營商或制造商獲得利潤，而利潤的驅動，則是這個互通風潮的根本動力。

32、為了達到互通的安全，有以下需求：支持傳統(tǒng)的無線局域網設備，對用戶端設備，比如客戶端軟件，影響要最小，對經營者管理和維護客戶端SW的要求要盡量少，應該支持現存的UICC卡，不應該要求該卡有任何改動，敏感數據，比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣，應該支持雙向認證，所選的認證方案應該顧及到授權服務，應該支持無線局域網接入NW的密鑰分配方法，無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統(tǒng)認證的安全級別，無線局域網的重連接不應該危及3GPP系統(tǒng)重連接的安全，所選擇的無線局域網認證機制應該支持會話密鑰素材的協商，所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材，無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下14。對于非漫游情況的互通時，這種情況是指當用戶接入的熱點地區(qū)是在3GPP的歸屬網絡范圍內。簡單地說，就是用戶在運營商那里注冊，然后在該運營商的本地網絡范圍內的熱點地區(qū)接入時的一種情況。無線局