| 标题 | 无线局域网通信安全机制研究 |
| 范文 | 孟清,刘运,邝月娟 摘 要:随着无线局域网(WLAN)应用规模不断扩大,其通信安全问题备受业界关注。通过分析现有的WLAN在物理层、数据链路层和网络层三个层次的安全机制,从访问控制和数据加密两个方面指出了其局限性和缺陷,提出了运用隔离技术、升级加密方案和VPN技术等措施构建多层次的安全体系,确保WLAN通信安全。 关键词:无线局域网; 安全通信; 安全体系; VPN 中图分类号:TN918-34 文献标识码:A 文章编号:1004-373X(2011)09-0102-03 Study on Security Mechanism of Wireless LAN Communication MENG Qing1, LIU Yun2, KUANG Yue-juan1 (1. Hunan Mass Media College, Changsha 410100, China; 2. School of Computer Science, National Universi of Defense Technology, Changsha 410073, China) Abstract: With the development of wireless LAN, people pay more attention to the communication security. The limitation and flaw about access control and data encryption are pointed out on the basis of analysis of the safety mechanism in phy-sics layer, data link layer and network layer. A multilayer safety system built by isolation technology, upgrade encryption and VPN technology is put forward to ensure the communication security. Keywords: wireless ALN; safety communication; safety system; VPN 0 引 言 近年来,无线局域网(WLAN)的市场、应用和服务快速发展,规模不断扩大,但是由于WLAN无线信号的开放性和IEEE 802.11协议自身固有的脆弱性,出现了大量针对WLAN的攻击手段,非法用户在能够接收到无线信号的任何地方都可以发起对WLAN的攻击,基于WLAN的安全漏洞进行网络攻击事件不断增多,导致WLAN的安全无法得到保障,禁止使用WLAN的企业和组织也在逐渐增多,WLAN的安全问题也正变得越来越突出。 1 WLAN安全机制 WLAN是利用射频技术进行数据通信的开放式系统,其安全性与有线网络相比主要体现在物理层、数据链路层和网络层,其他层次安全性和有线网络类似。 1.1 物理层安全 目前各种WLAN物理层安全主要围绕无线信号的抗干扰、抗衰落和抗窃听三个方面展开。 WLAN主要标准有IEEE 802.11,IEEE 802.11b,IEEE 802.11a和IEEE 802.11g,为提高无线信号干扰、传输速率的性能,射频技术从直接序列扩频技术(DSSS)和跳频扩频(FHSS),发展到IEEE 802.11b的使用补码键控(CCK)到IEEE 802.11a使用的正交频分复用(OFDM),去年通过的IEEE 802.11n利用MIMO和OFDM相结合,在高速数据传输、安全性和QoS等方面进行了新的改进。 1.2 数据链路层安全 数据链路层安全主要围绕数据加密展开。 IEEE 802.11b采用有线等价保密协议(WEP)的加密方案[1]。WEP利用对称流密码技术的RC4算法进行加密,在当时情况下,WEP对于无线通信信号的保密性和完整性,防止非授权访问方面为WLAN提供一定程度安全措施,通过WEP提供与有线网络同级别的安全防护。 WLAN高速发展后,WEP的安全问题不断显现,IEEE 802.11i通过增加IV和密码长度等方法推出了WEP2加密方案,通过增加消息完整性代码(MIC)和包密钥混合函数推出了临时密钥完整性协议(TKIP)[2],最终提出了基于AES算法的WPA2。 1.3 网络层安全 网络层安全主要围绕WLAN访问控制和数据保密传输两方面展开。 IEEE 802.11b标准通过服务配置标识符SSID、身份认证和虚拟专用网VPN在网络提供网络层安全保障。 IEEE 802.11x认证协议通过对接入端口定义实现了访问控制。该协议将访问端口定义为非授权和授权端口控制用户数据传输,借助EAP认证协议为WLAN设备提供认证和授权[3]。 2 WLAN安全机制缺陷 随着WLAN应用范围不断扩大和对WLAN技术研究的深入,WLAN安全机制缺陷不断显现出来,主要集中在访问控制和数据加密两个方面。 2.1 访问控制 2.1.1 非法获取服务集标示(SSID) 为对网络资源访问的权限进行限制,无线客户端需要拥有正确的SSID才能访问无线接入点(AP)。AP初始化配置为广播SSID,恶意客户端只要在AP通信范围之内,就可以收到SSID,对于部分更改为不广播SSID的AP,恶意客户端通过扫描工具获得部分数据进行分析就可以得到SSID。 所以对于利用SSID进行权限限制只能提供低级别的安全防护。 2.1.2 恶意修改MAC地址 AP保存一张允许访问的MAC地址表,实现基于MAC地址过滤,对于较多的MAC可以利用集中的RADIUS认证。恶意客户端可以利用软件修改自己MAC和合法MAC一致,达到欺骗AP的目的。 所以对于利用MAC过滤进行权限限制也只能提供低级别的安全防护。 2.1.3 利用IEEE 802.11x认证缺陷 IEEE 802.11x认证是单向认证,即只有对认证申请者进行可信认证,而对认证服务器不进行认证。所以出现了恶意客户端假冒认证服务器向认证申请者发出确认报文挟持合法客户端的攻击。 IEEE 802.11x规定认证模式是可以协商的。所以恶意客户端利用该弱点协商一种最简单、最容易攻击的认证模式进行认证,利用协商认证模式弱点进行攻击。 IEEE 802.11x规定当客户端断开连接时,向服务器发送EAP-LOGOFF报文。恶意客户端通过伪造正常通信客户端的MAC等方法假冒客户端发送EAP-LOGOFF报文,造成合法客户端被迫断开连接,从而实现拒绝服务攻击。 2.2 数据加密 IEEE 802.11b使用的WEP加密方案中的IV由于长度过短和初始化复位的特点,在实际使用的时候容易出现重用现象,从而被攻击者破解密钥。 WEP使用循环冗余校验进行信息完整性验证,但是这种线性运行在不改变数据位数的情况下,篡改部分数据不会被发现。恶意客户端利用这一特点,修改部分数据,如IP地址,实现IP地址欺骗等攻击。 3 应对措施 由于WLAN传输介质的开放性为攻击者提供了有利条件,而且利用SSID限制、MAC地址过滤和WEP加密方案进行安全防护,目前都已经被验证有不少漏洞,但是由于技术研究与网络产品之间的传递滞后性,导致目前存在的大量支持旧标准的无线设备在很长一段时间内仍然处于主导地位,比如实际应用中WEP算法等仍然广泛应用于各种无线网络设备中,给攻击者打开方便之门,最近出现的“蹭网”现象就利用暴力破解加密算法原理的无线网卡实现,所以必需在现有的条件下对WLAN加强各级别安全防护。 3.1 运用WLAN用户隔离技术,建立初级防护体系 用户隔离技术就是将静态IP地址、MAC地址绑定和虚拟局域网(VLAN)端口三种措施结合起来进行防护。 对于IP地址分配,为管理和使用简单,管理员一般配置使用DHCP进行动态地址分配,IP地址范围是固定的地址池。对于恶意攻击来说,获知一个IP地址就可以简单推算出连续的IP地址,可以实施较大规模的集中攻击,实施数据修改、地址欺骗和会话拦截等行为。 所以对于小规模WLAN来说,关闭DHCP,通过为每个客户端提供固定、离散的IP地址,然后将IP地址与客户端网卡MAC进行绑定,最后在局域网交换机实施居于IP地址的WLAN规划,对客户端进行集中管理,这样增加无线网络攻击难度,建立初级防护体系,提高无线通信的安全性。 3.2 升级加密方案,加强密钥管理,防止恶意入侵 WEP加密体系在攻击技术不断进步的同时已经全面瓦解,为保障无线通信安全,在网络设备允许的情况下,建议使用WPA2进行加密,WPA2采用对称加密系统(AES),安全性相对WEP大大加强,其破解难度在使用杂乱字符下至少也要24 h以上,极大提供了攻击门槛。 对于密钥管理,建议用户定期进行更换,有必要时可以启用独立的认证服务器实施密钥的分配和管理。 3.3 引入虚拟专用网(VPN)技术,确保无线通信安全 在小型WALN中可以运用WLAN用户隔离技术建立起初级防护体系,但是对于大型的WALN中由于节点众多,维护IP地址、MAC地址列表和AP的WEP加密密钥都是难以实行的管理任务,可见大型的、安全性要求高的WALN利用隔离技术已经不符合要求,必须引入新的无线通信安全体系。 VPN是一种在公用网络上建立私有网的技术,主要采用隧道、认证、加密和访问控制技术在公网上建立一个临时、安全的连接。实施VPN的目的就是要在不安全的公网上进行安全的通信,同样可以在开放的WALN中实施VPN,实现无线客户端同安全网关保护的局域网之间进行数据的安全传输。因此在WLAN中引入该技术将极大提高无线通信安全性。 在WALN中引入VPN技术后,WLAN利用VPN的用户认证机制确保只有己被授权的无线客户端才能够进行无线通信连接、发送和接收数据。VPN的加密体系采用MD5等加密算法确保即使恶意节点拦截窃听到传输数据,没有充足的时间和精力它也不能将这些信息解密。VPN的数据认证体系确保在WLAN传输的数据的完整性,保证所有业务流都是来自WLAN认证的设备。 4 结 语 随着国内无线城市、三网融合等应用即将进入实际运行,WLAN的应用范围还将不断扩大,因此WALN的安全问题也将越来越受到重视。加强WLAN安全管理,根据WALN规模,适当运用用户隔离技术、升级加密方案和VPN技术等措施,在一定程度上可以确保无线通信的安全性。相信随着WLAN安全技术研究的不断完善,合理构建多层次的安全体系,制定规范和有效的管理措施,相信在将来,无线局域网将以它的灵活性在新的应用领域发挥更加重要的作用。 参考文献 [1] SITHIRASENAN E, MUTHUKKUMARASAMY V D. IEEE 802.11i WLAN security protocol-a software engineer′s model [C]// Proceedings of the 4th Asia Pacific Security Conference on Information Technology. Australia: SCIT, 2005: 39-50. [2]陈卓,王瑞民.TKIP的MIC-Michael算法和安全性分析[J].计算机工程与设计,2006,27(7):1149-1150. [3]薛雨杨,周颢.无线局域网802.1 X协议安全性分析与检测[J].西安交通大学学报,2009,43(10):52-55. [4]SITHIRASENAN E, MUTHUKKUMARASAMY V. An early warning system for IEEE 802.11i wireless networks [C]// Proceedings of the 1st Australian Conference on Broadband Wireless and Ultra Wideband. Australian: BWUW, 2006: 25-30. [5]王茂才,戴光明,宋军,等.无线局域网安全性研究[J].计算机应用研究,2007,24(1):158-160. [6]赵伟艇,史玉珍.基于802.11i的无线局域网安全加密技术研究[J].计算机工程与设计,2010,31(4):760-762. [7]阴国富.无线局域网安全加密算法的研究[J].现代电子技术,2009,32(20):91-92. [8]王军号.基于IEEE 802.11标准的无线局域网安全策略研究[J].贵州大学学报:自然科学版,2009,26(6):88-90. [9]张军.无线局域网信息安全问题探析[J].重庆科技学院学报:社会科学版,2009,11(3):119-121. [10]王志新,许林英.无线局域网安全性研究[J].微处理机,2009,30(3):43-45. [11]李宇,缪海燕.改进基于WEP协议的无线局域网的安全[J].计算机应用,2007,27(6):250-251. 注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。