计算机网络论文

摘要:无线局域网的覆盖范围是几百米。在这样的范围内,无线设备可以自由移动,适合低移动性的应用环境。而且WLAN的载频是公共频段,不需要额外付费,所以使用WLAN的成本很低。WLAN的带宽会发展到几百兆,可以满足大部分用户的带宽需求。基于以上原因,WLAN在市场上赢得了热烈的反响,并迅速发展成为无线接入互联网的重要技术。但由于WLAN应用的极大开放性,数据传输范围难以控制,因此WLAN将面临更严重的安全问题。在阐述无线局域网安全发展概况的基础上,分析了无线局域网的安全必要性,从不同方面总结了无线局域网遇到的安全风险。同时,重点介绍了IEEE802的安全性、影响因素和解决方案。11 b标准,最后展望了无线局域网安全技术的发展趋势。

关键词:无线局域网;标准;安全性;趋势

无线局域网本质上是一种网络互联技术。无线局域网用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网是计算机网络和无线通信技术相结合的产物。它不仅能满足各种便携式计算机的网络接入要求,还能实现计算机局域网远程访问、传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,可以快速应用于需要网络间组网和漫游的场合,为难以架设有线土壤、距离较远的数据处理节点提供强大的网络支持。因此,无线局域网已广泛应用于军事、石油化工、医疗管理、工厂车间、库存控制、展览会议、金融服务、旅游服务、移动办公系统等行业,成为无线通信和互联网技术的新兴发展趋势之一。WLAN最大的优势是网络互联的移动性,可以大大提高用户获取信息的及时性和有效性,克服有线限制带来的不便。但由于WLAN应用的极大开放性,数据传输范围难以控制,因此WLAN将面临更严重的安全问题。

1.无线局域网安全发展综述

WLAN 802.11b公布后,迅速成为事实上的标准。遗憾的是,自诞生以来,其安全协议WEP就一直受到人们的质疑。加州大学伯克利分校的博里索夫、戈德堡和瓦格纳首先发表论文指出WEP协议中的设计错误,随后信息安全研究人员发表大量论文详细讨论WEP协议中的安全缺陷,并在实验中与工程技术人员合作破译WEP协议加密的无线传输数据。现在市面上可以买到可以截获无线传输数据的硬件设备,网上也可以下载到可以解密截获数据的黑客软件。WEP的不安全性已经是众所周知的事情了。人们期待WEP的安全性发生质的变化,一个新的增强的无线局域网安全标准出现了[1]。

我国于2001开始制定WLAN的安全标准。经过西安电子科技大学、Xi邮电大学、西电捷通无线网络通信有限公司等机构和企业的共同努力,历时两年多制定了《无线认证与安全基础设施WAPI》,成为国家标准,并于2003年6月开始实施。WAPI利用公钥技术,在可信第三方在场的情况下,验证移动终端和接入点是否持有合法证书,从而达到双向认证、访问控制、会话密钥生成等目的,达到安全通信的目的。WAPI的基本架构由移动终端、接入点和认证服务单元组成,类似于802.11工作组制定的安全草案中的基本认证架构。同时,我国的密码算法普遍不开放,虽然公开发布了WAPI标准,但学术界和工程界尚未开展对其安全性的讨论[2]。

强化安保草案也在两年多后设定了基本安保框架。在此期间,每月至少召开一次会议,会议的文件可以从网上下载,从中可以看到一些有趣的现象,比如AES-OCB算法。起初,工作组决定将该算法作为未来无线局域网的安全算法。一年后,它提出了另一种算法,CCMP作为默认,AES-OSB作为默认,半年后,它提出了CCMP作为默认,AES-OCB作为候选。几个月后,它干脆决定使用AES-OCB。还有很多其他的例子。从这个发展过程中,我们可以更清楚地了解WLAN安全标准的各个方面,这有利于WLAN安全的研究[3][4]。

2.无线局域网的安全必要性

无线局域网给用户带来了极大的便利,但也存在许多安全问题。由于WLAN是通过无线电波在空中传输数据的,无法像有线网络那样通过保护通信线路来保护通信安全,所以数据发送方覆盖区域内几乎任何一个WLAN用户都可以访问这些数据,不可能将WLAN传输的数据只传输给一个目标接收方。防火墙通过无线电波对网络通信没有任何影响,任何人都可以在视线范围内拦截和插入数据。因此,无线网络和WLAN的应用虽然扩大了网络用户的自由度,但安装时间短,在增加用户或改变网络结构时灵活经济,可以在无线覆盖范围内提供全功能漫游服务。然而,这种自由也带来了新的挑战,包括安全。无线局域网必须考虑三个安全要素:信息机密性、认证和访问控制。如果这三个要素都没问题,不仅能保护传输中的信息不受伤害,还能保护网络和移动设备不受伤害。难点在于如何使用一个易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对使用最广泛的标准802.11bWLAN的攻击和窃听事件越来越频繁[5],因此对WLAN,尤其是广泛使用的IEEE802.11WLAN的安全研究,发现其可能存在的安全缺陷,研究相应的改进措施,并提出新的改进措施。

与有线网络相比,无线局域网无线传输的天然特性使其物理安全性要脆弱得多,所以首先要加强这方面的安全性。

在实际通信中,WLAN中的设备是逐跳的。要么用户设备向接入设备发送数据,由接入设备转发餐食,要么两个用户设备直接通信。每种通信方法都可以使用链路层加密来实现至少与有线连接相同的安全性。无线信号可能会被截获,但如果将无线信号携带的数据改成密文,并且加密强度足够高的话,监听者能够获取有用数据的可能性很小。此外,无线信号可能被修改或伪造,但如果在无线信号携带的数据中加入一部分由数据产生的冗余数据和用户持有的某种秘密,使接收方能够检测到数据被修改,那么无线信号的修改将是徒劳的。秘密的唯一性也将使得伪造数据被误认为合法数据的可能性极小。

这样,通过数据加密和数据完整性检查,可以为无线局域网提供类似有线网络的物理安全保护。对于WLAN中的主机来说,当面临病毒威胁时,可以采用最先进的反病毒措施和最新的反病毒工具,为系统增加安全外壳,比如安装硬件形式的病毒卡来防止病毒,或者安装软件来实时检测系统异常。PC、笔记本电脑等设备对抗病毒已经有上千年的历史,下一步的无线设备如何对抗病毒仍然是一个有待开发的领域。

对于DOS攻击或DDOS攻击,可以添加网关,利用包过滤或其他路由设置在网络外拦截恶意数据;通过对外部网络隐藏接入设备的IP地址,可以降低风险。对于内部恶意用户,需要通过审计分析、网络安全检测等手段找出恶意用户,并辅以其他管理手段,防范内部攻击。硬件丢失的威胁要求硬件设备和用户必须通过某种秘密或生物特征手段进行绑定,对用户的认证必须基于用户的身份而非硬件。例如,用MAC地址认证用户是不合适的[5]。

除了以上可能的需求,根据不同的用户,还会有不同的安全需求。对于安全性要求高的用户,可能会有对传输数据的不可否认性要求,对进出WLAN的数据有防泄露措施,以及WLAN瘫痪后的快速恢复。因此,WLAN的安全系统不可能提供所有的安全保障,只能结合用户和其他安全系统的具体需求,提供安全服务,构建安全网络。

在考虑与其他安全系统合作时,WLAN的安全将仅限于提供数据机密性服务、数据完整性服务、提供身份识别框架和访问控制框架、完成用户认证和授权、信息传输安全等安全服务。防病毒、防泄密、不可否认的数据传输、降低DoS攻击的风险,都将在特定的网络配置中与其他安全系统配合实现。

3.WLAN安全风险

安全风险是指无线局域网中资源面临的威胁。无线局域网的资源包括无线信道上传输的数据和无线局域网中的主机。

3.1对无线信道上传输的数据的威胁

因为无线电波可以绕过障碍物向外传播,所以WLAN中的信号在一定的覆盖范围内可以被听到而不被检测到。这和听广播是一样的。在广播塔的覆盖范围内,人们可以随时收听广播。如果无线电的灵敏度更高,他们就能听到更远的发射台发出的信号。当然,WLAN中无线信号的接收并不像收音机中那么简单,但是只要有相应的设备,WLAN中的信号总是可以接收到的,可以按照信号封装格式打开数据包读取数据的内容[6]。

另外,数据包只要封装成WLAN规定的格式,在网络上发送的时候也可以被其他设备读取。此外,如果使用一些信号拦截技术,数据包可以被拦截、修改,然后在数据包的接收者不知道的情况下被重发。

因此,在无线信道上传输的数据可能被截取、修改和伪造,这将极大地干扰无线网络的正常通信,并可能造成经济损失。

3.2对WLAN中主机的威胁

无线局域网是由多台主机通过无线技术连接而成的网络。对主机的攻击可能以病毒的形式出现。除了目前在有线网络上流行的病毒之外,还可能存在专门针对WLAN中的移动设备的无线病毒,比如手机或者PDA。当无线局域网与无线广域网或有线互联网连接时,无线病毒的威胁可能会加剧。

WLAN中的接入设备可能遭受来自外部网络或内部网的拒绝服务攻击。当无线局域网接入外网时,如果IP地址直接暴露在外网,那么针对这个IP的Dog或DDoS会使接入设备无法完成正常服务,导致网络瘫痪。当恶意用户接入网络时,通过不断发送垃圾数据或利用IP层协议的一些漏洞,接入设备会因资源耗尽而工作缓慢或崩溃,造成系统混乱。无线局域网中的用户设备具有一定的移动性,并且通常价值较高,这具有用户设备容易丢失的负面影响。硬件设备丢失会使基于硬件的识别失效,硬件设备中的所有数据都有可能被泄露。

这样,无线局域网中主机的操作系统面临病毒的挑战,接入设备面临拒绝服务攻击的威胁,用户设备要考虑丢失的后果。

4.WLAN安全性

无线局域网和有线局域网紧密结合,已经成为市场的主流产品。在WLAN中,数据传输是通过无线电波在空中广播的,所以数据可以被发射机覆盖范围内的任何WLAN终端接收到。安装无线局域网就像在任何地方安装以太网接口。因此,无线局域网的用户主要关心网络安全,包括访问控制和加密。除非无线局域网能提供和有线局域网一样的安全和管理能力,否则人们对使用无线局域网仍有顾虑。

4.1 IEEE 802.11 B标准的安全性

IEEE 802.11b标准定义了两种实现无线局域网接入控制和加密的方法:系统ID(SSID)和有线对等加密(WEP)[7][8]。

4.1.1认证

当一个站点与另一个站点建立网络连接时,它必须首先通过身份验证。执行认证的站点向相应的站点发送管理认证帧。IEEE 802.11b标准详细定义了两种认证服务:一种是开放系统认证,这是802.11b的默认认证模式。这种认证方法非常简单,由两个步骤组成:首先,想要认证另一个站点的站点发送包含发送站点身份的认证管理帧;然后,接收站发回一个帧,提醒它是否识别了认证站的身份。A * * *共享密钥认证:这种认证假设每个站点都通过独立于802.11网络的安全通道收到了一个秘密的* * *共享密钥,然后这些站点通过* * *共享密钥加密认证,加密算法是有线等效加密(WEP)。

4.1 .2 WEP

IEEE 802.11b指定了一种可选的加密方式,称为有线对等加密,即WEP。WEP为WLAN中的数据流提供了一种安全的方法。WEP是对称加密,加密和解密的密钥和算法是相同的。WEP的目标是:访问控制:防止没有正确WEP密钥的未授权用户访问网络。

加密:通过加密保护数据流,只允许拥有正确WEP密钥的用户解密。

IEEE 802.11b标准为WLAN提供了两种WEP加密方案。第一种方案可以为所有终端提供四个默认密钥,以享用一个子系统中的所有接入点和客户端适配器。当用户获得默认密钥后,他就可以安全地与子系统中的所有用户进行通信。默认密钥的问题是,当它被广泛分发时,可能会危及安全。在第二种方案中,在每个客户端适配器中建立用于联系其他用户的密钥表。该方案比第一种方案更安全,但是随着终端数量的增加,很难给每个终端分配密钥。

4.2影响安全的因素[9][10]

4.2.1硬件设备

在现有的WLAN产品中,常见的加密方法是静态地给用户分配一个密钥,该密钥或者存储在磁盘上,或者存储在WLAN客户端适配器的存储器中。这样,拥有客户适配器将拥有MAC地址和WEP密钥,并可用于访问接入点。如果多个用户* * *共享一个客户端适配器,这些用户实际上* * *共享MAC地址和WEP密钥。

当客户适配器丢失或被盗时,没有MAC地址和WEP密钥,合法用户无法访问它,但非法用户可以。网络管理系统不可能检测到这个问题,所以用户必须立即通知网络管理员。收到通知后,网络管理员必须更改访问MAC地址的安全表和WEP密钥,并为丢失或被盗的使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码的WEP密钥就越多。

错误的访问点

Ieee 802.1 1b * *享受单向认证而非双向认证的密钥认证表。接入点对用户进行身份验证,但用户无法对接入点进行身份验证。如果在WLAN中放置一个假的接入点,它可以劫持合法用户的客户端适配器进行拒绝服务或攻击。

所以用户和认证服务器之间需要互相认证,并且每一方都能在合理的时间内证明自己是合法的。因为用户和身份验证服务器通过接入点进行通信,所以接入点必须支持相互身份验证。相互认证使得检测和隔离假冒接入点成为可能。

其他安全问题

标准WEP支持每个组的加密,但不支持每个组的身份验证。黑客可以从响应和传输的数据包中重建数据流,以形成欺骗性数据包。减少这种安全威胁的方法是经常更改WEP密钥。通过监控EEE802的控制通道和数据通道。11 b,黑客可以获得以下信息:客户端和接入点的MAC地址,内部主机的MAC地址,在线时间。黑客可以利用这些信息来研究提供给用户或设备的详细信息。为了减少这种黑客活动,终端应该使用每个周期的WEP密钥。

4.3完整的安全解决方案

无线局域网的完整安全方案基于IEEE802.11b比率。它是一个标准的、开放的安全方案,可以为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。其核心部分是:

可扩展身份验证协议(EAP)是远程身份验证拨入用户服务(RADIUS)的扩展。无线客户端适配器可以与RADIUS服务器通信。

当无线局域网实施安全方案时,BSS内的站只有在被认证之后才能与接入点结合。当站点在网络登录对话框等中输入用户名和密码时,客户端和RADIUS服务器(或其他认证服务器)进行双向认证,客户端通过提供用户名和密码进行认证。然后,RADIUS服务器和用户服务器确定客户端在当前登录期间使用的WEP密钥。所有敏感信息(如密码)都应该加密以避免攻击。

这种方案认证的过程是一个站点应该与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似结构中输入用户名和密码。使用IEEE802。lx协议,站点和RADIUS服务器通过有线LAN上的接入点相互验证。可以使用几种身份验证方法中的一种。

相互身份验证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户,并为用户提供适当级别的网络访问。这样,它为每个用户提供了与有线交换几乎相同的安全性。用户加载这个密钥,并在登录期间使用它。

RADIUS服务器发送给用户的WEP密钥称为周期密钥。接入点用时间密钥加密其广播密钥,并将加密的密钥发送给用户,用户用时间密钥解密。用户和接入点激活WEP,并在此期间的剩余时间内使用广播密钥进行通信。

网络安全是指防止信息和资源的丢失、破坏和不当使用。有线和无线网络都必须防止物理损坏、窃听、非法访问和各种内部(合法用户)攻击。

无线网络数据覆盖的区域可能会超过某个组织物理控制的区域,因此存在电子损坏(或干扰)的可能性。无线网络具有各种固有的安全机制,其代码清理和模式跳转是随机的。在整个传输过程中,频段和调制都在不断变化,定时和解码都采用了不规则的技术。

是可选的加密算法和IEEE 802.11的规定要求无线网络至少和有线网络一样安全(没有加密技术)。其中,认证提供访问控制并减少网络的非法使用,而加密可以减少破坏和窃听。目前除了基本的WEP安全机制,更多的安全机制正在涌现和发展[12]。

5.无线局域网安全技术的发展趋势

目前,无线局域网的发展势头非常强劲,但真正的应用前景并不十分明朗。主要表现在:第一,真正的安全;二是技术的未来发展方向;第三,WLAN更好的应用模式是什么;第四,除了PCMCIA卡和PDA之外,有没有更好的WLAN终端形式?第五,WLAN的市场规模。看来WLAN的真正腾飞不是自己一个人的事[13]。

无线局域网还需要与其他成熟的网络进行互动,实现互惠互利。欧洲是GSM网络的天下,WLAN的兴起让他们开始考虑WLAN和3G的互通。它们之间的优势互补必将使无线局域网和广域网的融合快速发展。目前,中兴通讯在国内已经实现了WLAN与CI}IVIA系统的互通,使用中兴通讯设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必将越走越宽。

互通中的安全问题必然首当其冲。IEEE的WLAN工作组已经决定将EAP-SIIVI纳入WLAN安全标准系列,与3G互通的认证标准EAP-AID也成为讨论的焦点。

无线网络的互通现在是一种趋势。802.11工作组新成立了WIG(无线互连工作组),旨在实现符合ETSI、IEEE和MMAC制定的标准的现有无线区域网络之间的互操作性。此外,3GPP也给出了WLAN和3G互通的两个草案,定义了互通的基本要求、模型和框架。还有一份爱立信公司的文件给出了在现有网络的基础上实现WLAN和G1VIS/GPRS的互通。

不同类型的无线局域网互通标准的建立使得用户能够使用相同的设备接入无线局域网。3G和WLAN之间的互通使得用户可以向运营商注册并在任何地方接入。当然,在用户享受上述便利的同时,运营商或厂商必然会获利,利益驱动才是这种互通趋势的根本动力。为了实现互操作性安全性,有以下要求:支持传统的无线局域网设备,对客户端设备(如客户端软件)的影响最小,对运营商管理和维护客户端软件的要求最小,支持现有的UICC卡,不需要对卡进行任何更改,并且不能传输敏感数据,如存储在UICC卡中的长期密钥。UICC卡的认证接口应该是基于该密钥的挑战-应答模式。用户接入WLAN的安全级别应该和3 GPP接入的安全级别一样,应该支持双向认证。所选择的认证方案应考虑授权服务,并支持WLAN接入NW的密钥分发方法。为WLAN和3GPP之间的互通选择的认证机制应该至少提供3GPP系统认证的安全级别。WLAN的重新连接不应该危及3GPP系统的重新连接。WLAN所选择的认证机制应该支持会话密钥材料的协商,所选择的密钥协商和密钥分发机制应该能够防止中间人攻击。也就是说中间人无法获得会话密钥材料,WLAN技术要保证WLAN UE和WLAN AN之间经过特定认证后建立的连接可以使用生成的密钥材料来保证完整性。用于用户和网络认证的所有长期安全元素应存储在UICC卡中[14]。

对于非漫游情况下的互通,这种情况是指用户接入的热点区域在3GPP的归属网络范围内。简单来说就是用户向运营商注册,然后接入运营商本地网络内的热点的情况。WLAN和3G网络安全单元的功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计费服务器)、HSS(归属服务服务器)、CG/CCF(支付网关/支付收款功能)、OCS(在线计费系统)。

在漫游互通的情况下,3G网络是全球网络。借助3G网络的全球性质,还可以实现WLAN的漫游。在漫游的情况下,常见的方法是将归属网络与拜访网络分开,归属网络的AAA服务作为认证代理来查找用户注册的归属网络。

在WLAN和3G的互通中,有以下认证要求:认证过程从用户设备连接到WLAN开始。使用EAP方法,基于USIM的用户ID和AKA-Challenge消息被顺序封装。在用户设备和3GPAAA服务器之间执行特定的认证。遵循AKA过程,但是区别在于认证服务器应该检查用户是否可以访问WLAN。

上述互通方案要求客户端拥有可以接入无线局域网的网卡,同时实现USIM或SIM的功能。服务网络要求修改用户权限表,增加对无线局域网接入权限的判断。

WLAN的兴起使人们开始考虑WLAN和3G的互通,二者的优势互补必将使WLAN和WAN的融合快速发展。目前,中兴通讯在中国已经实现了WLAN和CDMA系统的互通,并针对使用中兴通讯设备的WLAN和GSM/GPRS系统的互通提出了解决方案。这条路一定会越走越宽。

参考资料:

[1]郭峰,曾兴文,刘乃安,无线局域网,电子工业出版社,1997。

[2]冯喜生,朱荣,《无线数据通信》1997

[3]游振亚,现代计算机网络教程,电子工业出版社,1999。

[4]刘远安,宽带无线接入与WLAN,北京邮电大学出版社,2000。

[5]吴·,《移动通信中的关键技术》,北京邮电大学出版社,2000。

[6]张,,当代网络技术,清华大学出版社,2000。

[7]牛伟、郭世泽、吴志军等。,无线局域网,人民邮电出版社,2003。

[8]杰弗里·麦,无线网络设计,莫蓉蓉译,机械工业出版社,2002年。

[9]吉尔·赫尔德,《构建无线局域网》,沈金龙等,人民邮电出版社,2002年。

[10]克里斯蒂安·巴恩斯等,无线网络安全保护,林升等译,机械工业出版社. 2003年。

[11] Juha Heiskala等,OFDM无线局域网,常等译,电子工业出版社,2003年。

[12] Eric Ouellet等人,《构建思科无线局域网》,张颖译,科学出版社,2003年。

需要原创的话参考我。