無(wú)線網(wǎng)絡(luò)安全問(wèn)題的研

1、無(wú)線網(wǎng)絡(luò)安全技術(shù)的研究歡迎你contents_u1無(wú)線網(wǎng)絡(luò)的發(fā)展歷史u本課題研究目的腫 無(wú)線網(wǎng)絡(luò)的原理j 無(wú)線網(wǎng)絡(luò)的特點(diǎn)丄 無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié)韶常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全技術(shù) 丄 基于pki系統(tǒng)的雙向身分認(rèn)證安全方案-1二 =- 一 r = - - «j 本方案的工作流程本方案的優(yōu)點(diǎn)及不足無(wú)線局域網(wǎng)的歷史及發(fā)展無(wú)線局域網(wǎng)的歷史起源可 以追溯到半個(gè)多世紀(jì)前的第二次世界大戰(zhàn)期間，當(dāng)時(shí)美 國(guó)陸軍采用無(wú)線電信號(hào)用作資料傳輸他們研發(fā)出一套無(wú) 線電傳輸技術(shù)并且采用了相當(dāng)高強(qiáng)度的加密技術(shù)，美軍 和盟軍都廣泛使用這項(xiàng)技術(shù)。1971年，夏威夷大學(xué)的研 究人員從美軍在二戰(zhàn)時(shí)期應(yīng)用的這項(xiàng)技術(shù)中得到靈感， 創(chuàng)造了

2、第一個(gè)基于封包式技術(shù)的無(wú)線電通訊網(wǎng)絡(luò)。這個(gè) 被稱作alohnet的網(wǎng)絡(luò)包括7臺(tái)計(jì)算機(jī)，它們采用雙 向星型拓?fù)?，網(wǎng)絡(luò)橫跨四座夏威夷的島嶼，中心計(jì)算機(jī) 放置在瓦胡島上。它可以稱作無(wú)線局域網(wǎng)的鼻祖。本課題研究意近年來(lái)，計(jì)算機(jī)及通信科學(xué)發(fā)展突飛猛進(jìn)，隨著有線 網(wǎng)絡(luò)的快速發(fā)展和普及，無(wú)線網(wǎng)絡(luò)也在一定程度上得到了 發(fā)展，其在技術(shù)上變得的越來(lái)越成熟，越來(lái)越便捷，在信 息化變革中扮演了相當(dāng)重要的角色，同時(shí)在國(guó)防中也得到 了應(yīng)用。尤其以無(wú)線局域網(wǎng)（wlan）為代表的無(wú)線網(wǎng)絡(luò) 技術(shù)得到了高速發(fā)展和應(yīng)用。無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ) 充和延仲，其安全問(wèn)題不僅影響到用戶的自身，而且也隨 之影響到與之相聯(lián)的有線網(wǎng)絡(luò)用戶。因

3、此怎樣有效而又 安全地使用無(wú)線網(wǎng)絡(luò)又將成為人們關(guān)注的又一熱點(diǎn)問(wèn)題， 無(wú)線網(wǎng)絡(luò)的安全問(wèn)題必須引起足夠重視。這也是本課題究 研的tb發(fā)點(diǎn)所在無(wú)線局域網(wǎng)，是通過(guò)發(fā)射和接收裝置（無(wú)線設(shè)備 ）連接上交換機(jī)，工作站就通過(guò)無(wú)線網(wǎng)卡和無(wú)線設(shè) 備進(jìn)行通信，無(wú)線設(shè)備接收到信號(hào)就傳送給交換機(jī) 再用交換機(jī)連接到路由器，路由器接ainternet, 實(shí)現(xiàn)上網(wǎng).、擴(kuò)展頻譜方式八窄帶調(diào)制方式無(wú)線網(wǎng)絡(luò)的出現(xiàn)，許多有線網(wǎng)絡(luò)解決不了的問(wèn)題 迎刃而解?？梢栽诓幌駛鹘y(tǒng)網(wǎng)絡(luò)布線的同時(shí)，提供 有線網(wǎng)絡(luò)的所有功能，并能夠隨著用戶的需要隨意 的更改擴(kuò)展網(wǎng)絡(luò)，實(shí)現(xiàn)移動(dòng)應(yīng)用。無(wú)線網(wǎng)絡(luò)具有傳 統(tǒng)有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn)：靈活性，不受線纜的限制，可以

4、隨意增加和配置 工作站。低成木，無(wú)線網(wǎng)絡(luò)不需要大量的工程布線，同時(shí) 節(jié)省了線路維護(hù)的費(fèi)用。移動(dòng)性，不受時(shí)間、空間的限制，隨時(shí)隨地可以 上網(wǎng)。易安裝，和有線相比，無(wú)線網(wǎng)絡(luò)的組建、 配置、維護(hù)都更容易。更加的美觀，傳統(tǒng)的有線網(wǎng)絡(luò)很多情況下 都影響到了家庭的美觀，而無(wú)線網(wǎng)絡(luò)則沒(méi) 有這個(gè)問(wèn)題。但是，一切事物有利亦有弊。無(wú)線網(wǎng)絡(luò)也 同時(shí)有著許多的缺陷： (1)無(wú)線網(wǎng)絡(luò)的速度并不是非常的穩(wěn)定， 和有線相比，還有著很大的差距。 (2)安全性也是一個(gè)很大的問(wèn)題，無(wú)線網(wǎng) 絡(luò)是通過(guò)特定的無(wú)線電波傳送所1、網(wǎng)絡(luò)竊聽(tīng) y» 一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線 信號(hào)覆蓋范

5、圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并 破解（讀?。┩ㄐ?。這類攻擊是企業(yè)管理員 面臨的最大安全問(wèn)題。如果沒(méi)有基于加密的 強(qiáng)有力的安全服務(wù)，數(shù)據(jù)就很容易在空氣中 傳輸時(shí)被他人讀取并利用。2、中間人欺騙一s3在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法ap進(jìn)行的中間人欺騙攻擊。解決這種攻擊的通常做法是米用雙向認(rèn)證方法（即網(wǎng)絡(luò) 認(rèn)證用戶，同時(shí)用戶也認(rèn)證網(wǎng)絡(luò)）和基于應(yīng)用層的加密認(rèn)證（如https+web） o3、wep破解現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于ap信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù) 包，收集到足夠的wep弱密鑰加密的 包，并進(jìn)行分析以恢復(fù)wep密鑰。根 據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、wlan 內(nèi)發(fā)射信號(hào)

6、的無(wú)線主機(jī)數(shù)量，以及由 于802.11幀沖突引起的iv重發(fā)數(shù)量， 最快可以在兩個(gè)小時(shí)內(nèi)攻破wep密鑰o4、mca地址欺騙最即使ap起用了 mac地址過(guò)濾，使未授權(quán)的黑客的無(wú)線網(wǎng)卡不能連接ap,y 這并不意味著能阻止黑客進(jìn)行無(wú)線信 號(hào)偵聽(tīng)。通過(guò)某些軟件分析截獲的數(shù) 據(jù)，能夠獲得ap允許通信的stay mac地址，這樣黑客就能利用mac地 址偽裝等手段入侵網(wǎng)絡(luò)了。5、地址欺騙一仁二由于802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀與會(huì)話攔截不進(jìn)行認(rèn)證操作，攻擊者可以通過(guò)欺騙幀去重定向數(shù)據(jù)流和使arp表變得混亂，通過(guò)非常簡(jiǎn)單的方法，攻擊者 可以輕易獲得網(wǎng)絡(luò)屮站點(diǎn)的mac地址, 這些地址可以被用來(lái)惡意攻擊時(shí)使用o6、

7、高級(jí)監(jiān)聽(tīng)一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為 進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過(guò)精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng) 絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無(wú)線網(wǎng)絡(luò)可以通過(guò)簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。 即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì) 使網(wǎng)絡(luò)暴露出來(lái)從而遭到攻擊。常用無(wú)線網(wǎng)絡(luò)女至孜木 一、服務(wù)集標(biāo)識(shí)符（ssid）二、物理地址過(guò)濾（mac）三、連線對(duì)等保密（wep）四、wi-fi保護(hù)接入（wpa）五、國(guó)家標(biāo)準(zhǔn)（wapi）六、端口訪問(wèn)控制技術(shù)（802.1x）基于pki系統(tǒng)的雙向身份認(rèn)證安幻公鑰基礎(chǔ)設(shè)施pki是以公開(kāi)密鑰

8、技術(shù)為基礎(chǔ)，以 數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。在網(wǎng)絡(luò)通信中，最需要的安全保證 包括四個(gè)方面：身份認(rèn)證、數(shù)據(jù)保密、數(shù)據(jù)完 整性和不可否認(rèn)性。pki可以完全提供以上四個(gè) 方面的保障。目前，pki在信息安全領(lǐng)域日益受 到得視，符合x(chóng).509標(biāo)準(zhǔn)的數(shù)字證書(shū)在網(wǎng)絡(luò)中得 到越來(lái)越多的應(yīng)用。在此，我們提岀了一個(gè)比 較具體的基于pki的無(wú)線局域網(wǎng)認(rèn)證和密鑰分發(fā) 的主案，在本方案中使用的數(shù)字證書(shū)機(jī)制進(jìn)行 身份認(rèn)證，要求認(rèn)證者和申請(qǐng)者都支持?jǐn)?shù)字證 書(shū)技術(shù)。設(shè)計(jì)方案工整個(gè)身份認(rèn)證系統(tǒng)由用戶mt、接入點(diǎn)ap 和認(rèn)證服務(wù)器組成：其中，認(rèn)證服務(wù)器的主 要功能是負(fù)

9、責(zé)證書(shū)的發(fā)放、驗(yàn)證與吊銷等； 用戶與ap上都安裝有認(rèn)證服務(wù)器發(fā)放的數(shù)字 證書(shū)（證書(shū)包含as的公鑰以及證書(shū)持冇者的 身份和公鑰）作為自己的數(shù)字身份憑證。當(dāng) 用戶登錄至無(wú)線接入點(diǎn)ap時(shí)，在使用或訪問(wèn) 網(wǎng)絡(luò)之前必須通過(guò)as進(jìn)行雙向身份驗(yàn)證。根 據(jù)驗(yàn)證的結(jié)果，只有持有合法證書(shū)的用戶才 能接入持有合法證書(shū)的無(wú)線接入點(diǎn)af屮體 的認(rèn)證過(guò)程如圖4.3所示，具體為：(3)修改mac地址讓過(guò)濾功能形同虛設(shè)： 雖然無(wú)線網(wǎng)絡(luò)應(yīng)用方面提供了諸如mac地 址過(guò)濾的功能，很多用戶也確實(shí)使用該功能保 護(hù)無(wú)線網(wǎng)絡(luò)安全，但是由于mac地址是可以隨 意修改的，通過(guò)注冊(cè)表或網(wǎng)卡屬性都可以偽造 mac地址信息。所以當(dāng)通過(guò)無(wú)線數(shù)據(jù)sn

10、ifferl 具查找到有訪問(wèn)權(quán)限mac地址通訊信息后，就 可以將非法入侵主機(jī)的mac地址進(jìn)行偽造，從 而讓mac地址過(guò)濾功能形同虛設(shè)。1,當(dāng)用戶mt登錄到接入點(diǎn)ap時(shí)，ap向用戶 發(fā)送隨機(jī)數(shù)ra。2, 用戶收到ra后生成隨機(jī)數(shù)rb,向ap發(fā) 送請(qǐng)求幀，其中包括用戶的數(shù)字證書(shū)及ra、 rb,數(shù)字證書(shū)中有用戶的身份信息和公鑰， ra由用戶私鑰簽名。3, 接入點(diǎn)ap接收到用戶的請(qǐng)求后驗(yàn)證隨機(jī) 數(shù)ra, ap陰塞所有其它請(qǐng)求直到認(rèn)證完成， 驗(yàn)證ra成功后，ap向認(rèn)證服務(wù)器發(fā)送自己的 數(shù)字證書(shū)、用戶的數(shù)字證書(shū)和rb,并使用自 己的私鑰進(jìn)行簽名。企業(yè)無(wú)線網(wǎng)絡(luò)所面臨的安荃威助(5)服務(wù)和性能的限制:無(wú)線局域

11、網(wǎng)的傳輸帶寬是有限的，由于物理 層的開(kāi)銷，使無(wú)線局域網(wǎng)的實(shí)際最高有效吞吐量 僅為標(biāo)準(zhǔn)的一半，并且該帶寬是被ap所有用戶共享的。無(wú)線帶寬可以被幾種方式吞噬：來(lái)自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過(guò)無(wú)線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的ping流量，就會(huì) 輕易地吞噬ap有限的帶寬;如果發(fā)送廣播流量， 就會(huì)同時(shí)阻塞多個(gè)ap;攻擊者可以在同無(wú)線網(wǎng)絡(luò)相同的無(wú)線信道內(nèi)發(fā)送信號(hào)，這樣被攻擊的網(wǎng)絡(luò) 就會(huì)通過(guò)csma/ca機(jī)制進(jìn)行自動(dòng)適應(yīng)，同樣影響無(wú)線網(wǎng)絡(luò)的傳輸;另外，傳輸較大的數(shù)據(jù)文件或 者復(fù)雜的client/server系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò) 流量。4, 認(rèn)證服務(wù)器接收到ap的請(qǐng)求后，首先使用 ap的公鑰對(duì)a

12、p的數(shù)字證書(shū)解簽名，然后對(duì)ap的 身份進(jìn)行驗(yàn)證。若認(rèn)證服務(wù)器ap為合法的ap, 則再對(duì)用戶的數(shù)字證書(shū)rb解簽名，然后驗(yàn)明用 戶的身份。在ap和用戶的身份都認(rèn)證成功后， 認(rèn)證服務(wù)器向ap發(fā)送驗(yàn)證成功幀，其中有認(rèn)證 服務(wù)器的數(shù)字證書(shū)和隨機(jī)數(shù)rc,認(rèn)證服務(wù)器先 用自己的私鑰簽名再使用ap的公鑰加密，從而 使ap與認(rèn)證服務(wù)器建立信任關(guān)系。5, ap收到驗(yàn)證成功幀后先用自己的私鑰解密, 然后用認(rèn)證服務(wù)器的公鑰解簽名，并將認(rèn)證服務(wù) 器的數(shù)字證書(shū)和rc先用自己的私鑰簽名，再用 用戶的公鑰加密后發(fā)給用戶。6,用戶收到此回應(yīng)后首先用自己的私鑰解密，然 后用認(rèn)證服務(wù)器的公鑰解簽名，并對(duì)認(rèn)證服務(wù)器 的身份進(jìn)行驗(yàn)證。

13、驗(yàn)證成功后向認(rèn)證服務(wù)器發(fā)送 隨機(jī)數(shù)rd,用自己的私鑰簽名，并用認(rèn)證服務(wù)器 公鑰加密。7,認(rèn)證服務(wù)器收到后，用自己的私鑰解密，并用用戶的公鑰解簽名。用戶和認(rèn)證服務(wù)器用隨機(jī)數(shù)rb、rc和rd為種子產(chǎn)生會(huì)話密鑰。然后認(rèn)證服務(wù)器產(chǎn)生臨時(shí)密鑰，用自己的私鑰簽名, 并用ap的公鑰加密，發(fā)送給ap。,ap接收到以后，先用自己的私鑰解密，再用認(rèn)證服務(wù)器的公鑰解簽名，得到臨時(shí)密鑰，并9, 認(rèn)證服務(wù)器將臨時(shí)密鑰用 自己的私鑰簽名，并用會(huì)話密鑰加 密發(fā)送給用戶。10, 用戶收到以后，用會(huì)密鑰 解密，用認(rèn)證服務(wù)器的公鑰解簽名, 得到臨吋密鑰，用戶與ap都得到 了臨時(shí)密鑰，雙方使用臨時(shí)密鑰加 密算法進(jìn)行保密通信。眸決萬(wàn)

14、法一、本方案優(yōu)點(diǎn) 該主案與wep機(jī)制的安全性相比，提供 了更好的安全性保障，方案具備以下特點(diǎn) 1,提供用戶與認(rèn)證服務(wù)器的雙向認(rèn)證， 防止攻擊者利用wep的單向認(rèn)證機(jī)制進(jìn)行 假冒攻擊和接放中間人攻擊。 2實(shí)現(xiàn)了認(rèn)證密鑰與加密密鑰的分離，會(huì)話 密鑰在認(rèn)證中動(dòng)態(tài)生成，臨時(shí)密鑰的及時(shí) 更新，增強(qiáng)了密鑰的安全性，防止密鑰長(zhǎng) 期不變帶來(lái)的安全隱患。 3,使用國(guó)際通行的分組密碼算法，不使 用流密碼算法，防止密鑰流復(fù)用問(wèn)題。 4,使用數(shù)字簽名機(jī)制，提供了防止篡改 和不可否認(rèn)性。該方案存的不足 1,身份認(rèn)證的性能優(yōu)化，為了確保安全，身份 認(rèn)證機(jī)制采用基于數(shù)字證書(shū)的雙向身份認(rèn)證機(jī)制,效率比效低，雖然用戶認(rèn)證的時(shí)間在認(rèn)證屮所 點(diǎn)的比率比效小，但還是會(huì)影響到用戶的效率， 需要提咼身份證證的效率。 2,每個(gè)站點(diǎn)需有一定的計(jì)算能力，不方便，并 且操作的同步不易實(shí)現(xiàn)。此外，臨時(shí)密鑰生期的 確定應(yīng)結(jié)合實(shí)際情況還確定，因?yàn)榧词故且粋€(gè)局 域網(wǎng)，其網(wǎng)絡(luò)通訊量隨時(shí)間變化而不同，過(guò)分頻 繁的更換臨時(shí)密鑰會(huì)造成浪