| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
提要 安全问题是自无线局域网诞生以来一直困扰其发展的重要原因。本文研究现阶段无线局域网面临的主要安全问题,并介绍相应的解决办法。
关键词:无线局域网;安全
中图分类号:F49 文献标识码:A
一、无线局域网安全隐患
1、WEP加密安全隐患。WEP对MAC层的数据加密过程很简单,WEP利用了CR4加密算法。首先将共享密钥和一个24位初始向量IV作为伪随机产生器(PREG)的种子,产生一个与明文及其校验和ICV(在WEP算法中,采用了CRC-32计算校验和)等长度的密钥序列K,然后密钥序列K与明文及其校验和进行异或运算产生密文;最后将密文连同初始向量IV发送给接收方。接收方接收到消息后,利用共享密钥的一份本地拷贝和接收到的IV产生一个与K完全相同的密钥序列,与密文异或恢复出明文;同时,计算明文校验和ICV,通过比较ICV以判定接收到的消息是否合法。数据加密带来的问题是RC4加密算法(由于密钥是静态不变的,密钥序列的改变就由IV来决定)的缺陷;IV随机产生且与加密数据一起传送,IV本身并未加密;密钥序列重复使用;CRC-32带来的问题等。
2、用户身份认证安全隐患。802.11标准规定了两种认证方式:开放系统认证和共享密钥认证。前者是默认的认证方法,任何移动站点都可加入基本服务集(BSS),并可以与接入点(AP)通信,能“听到”所有未加密的数据。可见,这种方法根本没有提供认证,也不存在安全性;共享密钥认证是一种请求响应认证机制,它能够提供相对于开放系统认证方式比较高的安全系数,采用此种认证方式的STA必须实施WEP加密算法,认证过程为:AP在收到STA请求接入信息后,发送询问信息,STA对询问信息使用共享密钥进行加密并回送给AP,AP解密并校验信息的完整性。若成功,则允许STA接入WLAN,攻击者只需截获加密前后的询问信息,将二者进行“异或”运算就可以得到密钥序列,然后攻击者则可以向AP发送认证请求信息,并用得到的密钥序列加密询问信息,从而成功地通过AP认证,攻击者冒充合法身份接入WLAN。另外,802.11标准缺少一种双向认证机制,接入点可以验证客户机的身份,而客户机不能验证接入点的身份,如果一个虚假接入点被放置在无线局域网中,它可以通过“劫持”合法客户机成为产生拒绝访问的平台。
二、无线局域网安全措施
1、数据传输的安全性。在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据泄露。
(1)数据加密。IEEE802.11中的WEP。有线对等保密协议(WEP)是由IEEE802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密是存在固有缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11中的WPA。Wi-Fi保护接入(WPA)是由IEEE802.11标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。
(3)数据的访问控制。访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
2、安全培训及制度建设
(1)技术人员重视安全技术措施。从最基本的安全制度到最新的访问控制、数据加密协议,各级组织的网络技术主管部门都需要采用最高安全保护措施。采用的安全措施越多,其网络相对就越安全,数据安全才能得到保障。
(2)用户安全教育。各级组织的网络技术人员可以让办公室中的每位网络用户负责安全性,将所有网络用户作为“安全代理”,明确每位员工都负有安全责任并分担安全破坏费用。重要的是帮助员工了解不采取安全保护的危险性,特别需要向用户演示如何检查其电脑上的安全机制,并按需要激活这些机制,这样可以更轻松地管理和控制网络。
(3)安全制度建设。制定安全制度,进行定期安全检查。WLAN实施是危险的,网络技术人员应该公布关于无线网络安全的服务等级协议或政策,还应指定政策负责人,积极定期检查各级组织网络上的欺骗性或未知接入点。此外,更改接入点上的缺省管理密码和SSID,并实施动态密钥(802.1X)或定期配置密钥更新,这样有助于最大限度地减少非法接入网络的可能性。
(作者单位:中国铁通南阳分公司)
主要参考文献:
[1]赵伟艇.无线局域网的加密和访问控制安全性分析.微计算机信息,2007.21. |
|
|
|
