通信學(xué)論文-無線網(wǎng)絡(luò)的安全性研究.doc

通信學(xué)論文-無線網(wǎng)絡(luò)的安全性研究【摘要】無線網(wǎng)絡(luò)采用空間傳播的電磁波作為信息的載體，任何人都有條件竊聽或干擾信息，因此在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是至關(guān)重要的。本文對(duì)無線網(wǎng)絡(luò)安全加密措施作了探討?！娟P(guān)鍵詞】無線網(wǎng)絡(luò)安全性研究電磁波從上個(gè)世紀(jì)90年代以來，移動(dòng)通信和Internet是信息產(chǎn)業(yè)發(fā)展最快的兩個(gè)領(lǐng)域，它們直接影響了億萬人的生活，移動(dòng)通信使人們可以任何時(shí)間、任何地點(diǎn)和任何人進(jìn)行通信，Internet使人們可以獲得豐富多彩的信息。那么如何把移動(dòng)通信和Internet結(jié)合起來，達(dá)到可以任何人、任何地方都能聯(lián)網(wǎng)呢?無線網(wǎng)絡(luò)解決了這個(gè)問題。無線網(wǎng)絡(luò)和個(gè)人通信網(wǎng)(PCN)代表了21世紀(jì)通信網(wǎng)絡(luò)技術(shù)的發(fā)展方向。PCN主要用于支持速率小于56bit/s的語音/數(shù)據(jù)通信，而無線網(wǎng)絡(luò)主要用于傳輸速率大于1Mbit/s的局域網(wǎng)和室內(nèi)數(shù)據(jù)通信，同時(shí)為未來多媒體應(yīng)用(語音、數(shù)據(jù)和圖像)提供了一種潛在的手段。計(jì)算機(jī)無線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補(bǔ)充，它是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的，使聯(lián)網(wǎng)的計(jì)算機(jī)可以自由移動(dòng)，能快速、方便的解決以有線方式不易實(shí)現(xiàn)的信道聯(lián)接問題。然而，由于無線網(wǎng)絡(luò)采用空間傳播的電磁波作為信息的載體，因此與有線網(wǎng)絡(luò)不同，輔以專業(yè)設(shè)備，任何人都有條件竊聽或干擾信息，因此在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是至關(guān)重要的。目前常用的計(jì)算機(jī)無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無線通訊媒介各有特點(diǎn)和適用性。紅外線和激光：易受天氣影響，也不具有穿透力，難以實(shí)際應(yīng)用。短波或超短波：類似電臺(tái)或是電視臺(tái)廣播，采用調(diào)幅、調(diào)頻或調(diào)相的載波，通信距離可到數(shù)十公里，早已用于計(jì)算機(jī)通信，但速率慢，保密性差，沒有通信的單一性。而且是窄寬通信，既干擾別人也易受其他電臺(tái)或電氣設(shè)備的干擾，可靠性差。并且頻道擁擠、頻段需專門申請(qǐng)。這使之不具備無線聯(lián)網(wǎng)的基本要求。微波：以微波收、發(fā)機(jī)作為計(jì)算機(jī)網(wǎng)的通信信道，因其頻率很高，故可以實(shí)現(xiàn)高的數(shù)據(jù)傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作，要求通信的兩點(diǎn)彼此可視，但其一定的穿透能力和可以控制的波角對(duì)通信是極有幫助的。綜合比較前述各種無線通信媒介，可看到有發(fā)展?jié)摿Φ氖遣捎梦⒉ㄍㄐ拧Ｋ哂袀鬏敂?shù)據(jù)率高(可達(dá)11Mbit/s)，發(fā)射功率小(只有100250mw)保密性好，抗干擾能力很強(qiáng)，不會(huì)與其他無線電設(shè)備或用戶互相發(fā)生干擾的特點(diǎn)。擴(kuò)展頻譜技術(shù)在50年前第一次被軍方公開介紹，它用來進(jìn)行保密傳輸。從一開始它就設(shè)計(jì)成抗噪聲，干擾、阻塞和未授權(quán)檢測。擴(kuò)展頻儲(chǔ)發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)。擴(kuò)展頻譜的實(shí)現(xiàn)方式有多種，最常用的兩種是直接序列和跳頻序列。無線網(wǎng)技術(shù)的安全性有以下4級(jí)定義：第一級(jí)，擴(kuò)頻、跳頻無線傳輸技術(shù)本身使盜聽者難以捉到有用的數(shù)據(jù)。第二級(jí)，采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。第三級(jí)，設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施，防止非法用戶入侵。第四級(jí)，設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽也難以理解其中的內(nèi)容。無線網(wǎng)的站點(diǎn)上應(yīng)使用口令控制，如NovellNetWare和MicrosoftNT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)。口令應(yīng)處于嚴(yán)格的控制之下并經(jīng)常變更。假如用戶的數(shù)據(jù)要求更高的安全性，要采用最高級(jí)別的網(wǎng)絡(luò)整體加密技術(shù)，數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到局域網(wǎng)之前要用軟件加密或硬件的方法加密，只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù)，讀取這些數(shù)據(jù)。無線局域網(wǎng)還有些其他好的安全性。首先無線接入點(diǎn)會(huì)過濾掉那些對(duì)相關(guān)無線站點(diǎn)而言毫無用處的網(wǎng)絡(luò)數(shù)據(jù)，這就意味著大部分有線網(wǎng)絡(luò)數(shù)據(jù)根本不會(huì)以電波的形式發(fā)射出去；其次，無線網(wǎng)的節(jié)點(diǎn)和接入點(diǎn)有個(gè)與環(huán)境有關(guān)的轉(zhuǎn)發(fā)范圍限制，這個(gè)范圍一般是很小。這使得竊聽者必須處于節(jié)點(diǎn)或接入點(diǎn)附近。最后，無線用戶具有流動(dòng)性，可能在一次上網(wǎng)時(shí)間內(nèi)由一個(gè)接入點(diǎn)移動(dòng)至另一個(gè)接入點(diǎn)，與之對(duì)應(yīng)，進(jìn)行網(wǎng)絡(luò)通信所使用的跳頻序列也會(huì)發(fā)生變化，這使得竊聽幾乎無可能。無論是否有無線網(wǎng)段，大多數(shù)的局域網(wǎng)都必須要有一定級(jí)別的安全措施。在內(nèi)部好奇心、外部入侵和電線竊聽面前，甚至有線網(wǎng)都顯得很脆弱。沒有人愿意冒險(xiǎn)將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意入侵之前。而且，如果用戶的數(shù)據(jù)相當(dāng)機(jī)密，比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù)，那么，為了確保機(jī)密，必須采取特殊措施。常見的無線網(wǎng)絡(luò)安全加密措施可以采用為以下幾種。一、服務(wù)區(qū)標(biāo)示符(SSID)無線工作站必需出示正確的SSD才能訪問AP，因此可以認(rèn)為SSID是一個(gè)簡單的口令，從而提供一定的安全。如果配置AP向外廣播其SSID，那么安全程序?qū)⑾陆?；由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式，只要無線工作站在任何AP范圍內(nèi)，客戶端都會(huì)自動(dòng)連接到AP，這將跳過SSID安全功能。二、物理地址(MAC)過濾每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新，目前都是手工操作；如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。三、連線對(duì)等保密(WEP)在鏈路層采用RC4對(duì)稱加密技術(shù)，鑰匙長40位，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網(wǎng)絡(luò)的安全性，但也存在許多缺陷：一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全；40位鑰匙在今天很容易破解；鑰匙是靜態(tài)的，并且要手工維護(hù)，擴(kuò)展能力差。為了提供更高的安全性，802.11提供了WEP2，該技術(shù)與WEP類似。WEP2采用128位加密鑰匙，從而提供更高的安全。四、虛擬專用網(wǎng)絡(luò)(VPN)虛擬專用網(wǎng)絡(luò)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，目前許多企業(yè)以及運(yùn)營商已經(jīng)采用VPN技術(shù)。VPN可以替代連線對(duì)等保密解決方案以及物理地址過濾解決方案。采用VPN技術(shù)的另外一個(gè)好處是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義，因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案。五、端口訪問控制技術(shù)(802.1x)該技術(shù)也是用于無線網(wǎng)絡(luò)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)802.1x要求工作站安裝802.1x客戶端軟件，無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它作為Radius客戶端，將用戶