時間:2022-02-09 22:33:32
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇無線網絡安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:無線網絡;安全威脅;安全技術;安全措施
無線網絡的應用擴展了網絡用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。
1無線網絡存在的安全威脅
無線網絡一般受到的攻擊可分為兩類:一類是關于網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊;另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環境下也會發生。可見,無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。
1.1有線等價保密機制的弱點
IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學會)制定的802.11標準中,引入WEP(WiredEquivalentPrivacy,有線保密)機制,目的是提供與有線網絡中功能等效的安全措施,防止出現無線網絡用戶偶然竊聽的情況出現。然而,WEP最終還是被發現了存在許多的弱點。
(1)加密算法過于簡單。WEP中的IV(InitializationVector,初始化向量)由于位數太短和初始化復位設計,常常出現重復使用現象,易于被他人破解密鑰。而對用于進行流加密的RC4算法,在其頭256個字節數據中的密鑰存在弱點,容易被黑客攻破。此外,用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck,循環冗余校驗)只能確保數據正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗碼。
(2)密鑰管理復雜。802.11標準指出,WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網絡的部署者可以通過外部管理系統控制方式減少IV的沖突數量,使無線網絡難以被攻破。但由于這種方式的過程非常復雜,且需要手工進行操作,所以很多網絡的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱的,經不起黑客的攻擊。
1.2進行搜索攻擊
進行搜索也是攻擊無線網絡的一種方法,現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態,如果沒有關閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以破解的信息。
1.4無線網絡身份驗證欺騙
欺騙這種攻擊手段是通過騙過網絡設備,使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網絡或網卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協議/網際協議)的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
1.5網絡接管與篡改
同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP,那么所有來自無線網的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸人自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續接管連接,而不容易被別人發現。
1.6拒絕服務攻擊
無線信號傳輸的特性和專門使用擴頻技術,使得無線網絡特別容易受到DoS(DenialofService,拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設備使用相同的頻率,從而造成無線頻譜內出現沖突;②攻擊者發送大量非法(或合法)的身份驗證請求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當的目的地,那么所有的網絡用戶都將無法使用網絡。無線攻擊者可以利用高性能的方向性天線,從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者,可以通過發送多達無線AP無法處理的通信量進行攻擊。
1.7用戶設備安全威脅
由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰,因此只要得到了一塊無線網網卡,攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網絡的SSID及密鑰。
2無線網絡采用的安全技術
采用安全技術是消除無線網絡安全威脅的一種有效對策。無線網絡的安全技術主要有七種。
2.1擴展頻譜技術
擴頻技術是用來進行數據保密傳輸,提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。
一些無線局域網產品在ISM波段為2.4~2.483GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發送到每一個通道上,并在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統外的站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾,因而不用擔心網絡上的數據被其他用戶截獲。
2.2用戶密碼驗證
為了安全,用戶可以在無線網絡的適配器端使用網絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶,所以嚴格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權用戶使用。
2.3數據加密
數據加密技術的核心是借助于硬件或軟件,在數據包被發送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數據。此技術常用在對數據的安全性要求較高的系統中,例如商業用或軍用的網絡,能有效地起到保密作用。
此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產品,為用戶提供最好的性能、服務質量和技術支持。
2.4WEP配置
WEP是IEEE802.11b協議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權用戶訪問網絡;對數據進行加密,防止數據被攻擊者竊聽;防止數據被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。2.5防止入侵者訪問網絡資源
這是用一個驗證算法來實現的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線網絡的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。
2.6端口訪問控制技術
端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公司的無線接入解決方案。
2.7使用VPN技術
VPN(VirtualPrivateNetwork,虛擬專用網)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,它不屬于802.11標準定義;但是用戶可以借助VPN來抵抗無線網絡的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。因此,在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。
3無線網絡采取的安全措施
要排除無線網絡的安全威脅,另一種對策是采取如下八項安全措施。
3.1網絡整體安全分析
網絡整體安全分析是要對網絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時,要納入網絡的規劃計劃,及時采取措施,排除無線網絡的安全威脅。
3.2網絡設計和結構部署
選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作RAS(RemoteAccessServer,遠程訪問服務器);指定專用于無線網絡的IP協議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用戶和入侵者的影響;在網絡上,針對全部用戶使用一致的授權規則;在不會被輕易損壞的位置部署硬件。
3.3啟用WEP機制
要正確全面使用WEP機制來實現保密目標與共享密鑰認證功能,必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數據的完整性,防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實現WEP才能起作用;三是不使用預先定義的WEP密鑰,避免使用缺省選項;四是密鑰由用戶來設定,并且能夠經常更改;五是要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅,對于較大規模的無線網絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施;二是應該記錄無線網絡上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網絡,阻止非信任的MAC訪問網絡;三是可以使用日志記錄產生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。
3.5進行協議過濾
協議過濾是一種降低網絡安全風險的方式,在協議過濾器上設置正確適當的協議過濾會給無線網絡提供一種安全保障。過濾協議是個相當有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol,簡單網絡管理協議)訪問無線設備來修改配置的網絡用戶,還可以防止使用較大的ICMP協議(InternetControlMessageProtocol,網際控制報文協議)數據包和其他會用作拒絕服務攻擊的協議。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency,無線頻率)通信,但是通過防止SSID從AP向外界廣播,就可以克服這個缺點。封閉整個網絡,避免隨時可能發生的無效連接。把必要的客戶端配置信息安全地分發給無線網絡用戶。
3.7有效管理IP分配方式
分配IP地址有靜態地址和動態地址兩種方式,判斷無線網絡使用哪一個分配IP的方法最適合自己的機構,對網絡的安全至關重要。靜態地址可以避免黑客自動獲得IP地址,限制在網絡上傳遞對設備的第三層的訪問;而動態地址可以簡化WLAN的使用,可以降低那些繁重的管理工作。
3.8加強員工管理
加強單位內部員工的管理,禁止員工私自安裝AP;規定員工不得把網絡設置信息告訴單位外部人員;禁止設置P2P的Adhoc網絡結構;加強員工的學習和技術培訓,特別是對網絡管理人員的業務培訓。
此外,在布置AP的時候要在單位辦公區域以外進行檢查,通過調節AP天線的角度和發射功率防止AP的覆蓋范圍超出辦公區域,同時要加強對單位附近的巡查工作,防止外部人員在單位附近接入網絡。
參考文獻
[1]鐘章隊.無線局域網[M].北京:科學出版社,2004.
論文摘要:無線網絡作為一種新型的便捷性網絡資源,正在日益普及,尤其是在現代校園中的應用更是大勢所需,但是無線網絡的安全性成為其在普及應用中的一大難題。本文經過深入分析無線網絡的安全隱患,提出了相應的防范措施,并結合校園學習生活的特點,提出了在校園中的具體應用策略,望有助于相關人士的參考與借鑒。
1、常見的無線網絡安全措施
無線網絡受到安全威脅,主要是因為“接入關”這個環節沒有處理好,因此以下從兩方面著手來直接保障企業網線網絡的安全性。
1.1 MAC地址過濾
MAC地址過濾作為一種常見的有線網絡安全防范措施,憑借其操作手法和有線網絡操作交換機一致的特性,經過無線控制器將指定的無線網卡MAC地址下發至每個AP中,或者在AP交換機端實行設置,或者直接存儲于無線控制器中。
1.2 隱藏SSID
所謂SSID,即指用來區分不同網絡的標識符,其類似于網絡中的VLAN,計算機僅可和一個SSID網絡連接并通信,因此SSID就被定為區別不同網絡服務的標識。SSID最多由32個字符構成,當無線終端接入無線網絡時須要有效的SIID,經匹配SSID后方可接入。通常無線AP會廣播SSID,從而接入終端通過掃描即可獲知附近存在的無線網絡資源。比如windows XP系統自帶掃描功能,檢索附近的無線網絡資源、羅列出SSID信息。然而,為了網絡安全最好設置AP不廣播SSID,同時將其名字設置成難以猜解的長字符串。通過這種手段便于隱藏SSID,避免接入端利用掃描功能獲取到該無線網絡名稱,即使知道其存在也是難以通過輸入其全稱來接入此網絡的。
2、無線網絡安全措施的選擇
網絡的安全性和便捷性永遠是相互矛盾的關系,安全性高的網絡一定在使用前或使用中較為繁瑣,然而,科技的進步就是為了便捷我們的生活,因此,在對無線網絡進行設置時,需要兼顧安全性和便捷性這兩個主要方面,使其均衡地發展使用。
接入無線AP時選取WAP加密模式的方法,此外,SSID即使被隱藏,也會被攻擊者利用相關軟件探測到,所以無需進行隱藏SSID,增強接入便捷性,在接入時實行一次性輸入密碼完成設置任務。
與此同時,采用強制Portal+802.1X的認證方式,兩種方法的融合可以有效確保無線網絡的安全。來訪用戶更關注的是使用時的便捷性,對其安全性沒有過高要求。強制Portal認證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認證后即可獲取網絡資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費一定資金用來購置無線網絡入侵檢測設備展開主動性防御,是可以在一定程度上保障無線網絡安全性的。
其實,網絡安全技術是人類發明的,并依靠人的使用而發揮作用,所以網絡使用者是安全防線的最后一關,加強網絡使用者的安全意識,是保障無線網絡安全的根本。
3、校園無線網絡的應用
(1)在校園網絡建設中,無線網絡作為一種流程趨勢正在普及開來,同時其用戶也在日益增多。當前在校園網絡不同環境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機關辦公、機房電腦、教學樓、試驗室等眾多使用者;第二類是活動用戶群,主要包括教師的個人電腦和學生的自用電腦;第三類為臨時用戶群,特指在學術交流會時所使用電腦上網的群體。經過劃分出三類用戶群,便于無線網絡在接入Internet網絡時采取相應的安全策略,以保障整個校園無線網絡的安全性。
(2)校園無線網絡的安全措施除了進行WEP數據加密協議外,更要結合不同用戶群特點,制定相應的安全防范措施。對于固定用戶群可以實行綁定MAC地址,限制非法用戶的訪問,網絡信息中心通過統一分配IP地址來配置MAC地址,進行這種過濾策略保障無線網絡的安全運行;針對活動用戶群實行端口訪問控制,即連接工作站STA和訪問點AP,再利用802.1x認證AP服務,一旦認證許可,AP便為STA開通了邏輯端口,不然接入被禁止執行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點內置802.1x的認證,再作為Radius的客戶端把用戶的認證信息轉發至Radius服務器。802.1x不僅控制端口的訪問,還為用戶提供了認證系統及其計費功能。
AP隔離措施近似于有線網絡的VLAN,對無線客戶端進行全面隔離,僅可訪問AP所連接的固定網絡,進而增強接入Internet網絡的安全性;最后一類臨時用戶群,可以通過設置密碼限制訪問,無密碼者無法接入無線網絡,利用此手段保障授權用戶安全穩定的使用無線網絡,避免他人肆意進入無線網絡發生干擾,尤其適合于會議等臨時性場所的使用。
4、結語
建設校園無線網絡,可以為校園學習生活帶來極大的便捷性,但與此同時,其中也潛在著安全隱患,無線網絡技術需要不斷研究、完善,方可保證校園無線網絡的安全性、可靠性,實現校園的現代化網絡建設。
無線網絡中的威脅無處不在,不法分子利用網絡技術手段可以竊取校園中傳輸的重要數據,截取或篡改教學數據,嚴重威脅著學校中重要資料的安全性。只有結合上述相應手段,才能有效控制非法用戶侵入校園無線網絡,維持校園無線網絡的純凈度,實現健康資源的共享。其實,無線網絡的安全防范措施還有很多,須要在科學技術的發展進步中,不斷分析,進行完善,以共同打造美好的校園網絡學習生活為目標。
參考文獻
[1]孔雪蓮.淺談無線局域網中的安全及黑客防范[J].電腦知識與技術(學術交流),2007(13).
[2]蘆艷芳,吳娜.淺談威脅無線網絡安全的途徑與防范措施[J].計算機光盤軟件與應用,2010(1).
關鍵詞:無線網絡;網絡安全
中圖分類號:TN711 文獻標識碼:A 文章編號:
前言
伴隨著因特網蓬勃發展的步伐,另一種聯網的方式已經悄悄茁壯成長,這就是無線網絡。無線通信一直是人們夢寐以求的技術。借助無線網絡技術,我們終于可以擺脫那些煩人的電纜和網線,無論何時何地,都可以輕松地接入互聯網。但是由于標準、可靠性、安全性等原因,無線網絡至今不能象有線網絡那樣普及。特別是安全性和有線網絡還存在很大距離。為了適應無線網絡發展的需要,各種安全技術也應運而生。其中許多技術都是借鑒了成熟的有線網絡安全技術,并針對無線環境進行了優化。
一、無線網絡安全發展概況
無線網絡802.11 公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協議WEP 就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg 和Wagner 最早指出了WEP 協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP 協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP 協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP 不安全已經成一個廣為人知的事情,人們期待WEP 在安全性方面有質的變化,新的增強的無線網絡安全標準應運而生。我國從2001 年開始著手制定無線網絡安全標準,經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,并成為國家標準,于2003 年12 月執行。WAPI 使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI 在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似于802.11 工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的,WAPI 標準雖然是公開的,然而對其安全性的討論在學術界和工程界目前還沒有展開。增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB 算法,開始工作組決定使用該算法作為無線網絡未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB 作為缺省,半年后又提議CCMP 作為缺省,AES-OCB 作為候選,又過了幾個月,干脆把AES-OCB 算法完全刪除,只使用CCMP 算法作為缺省的未來無線網絡的算法。
二、無線網絡中的不安全因素
無線網絡除了具有有線網絡所存在的不安全因素外, 還存在許多其他不安全因素。
1、信息篡改
信息篡改是指攻擊者將竊聽到的信息進行修改( 如刪除或替代部分或全部信息) 之后再將信息傳給原本的接受者, 其目的有兩種: 惡意破壞合法用戶的通信內容, 阻止合法用戶建立通信鏈接; 將修改的消息傳給接收者, 企圖欺騙接受者相信修改后的消息。信息篡改攻擊對物理網絡中的信令傳輸構成很大的威脅。
2、服務后抵賴
服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。
3、無線竊聽
在無線網絡中所有的通信內容都是通過無線信道傳送的, 任何具有適當無線設備的人均可通過竊聽無線信道而獲得所需信息。對于無線局域網其通信內容更容易被竊聽, 因為它們都工作在全球統一公開的工業、科學和醫療頻帶, 雖然無線局域網通信設備的發射功率不是很高, 通信距離有限, 但實驗證明通過高增益天線在其規定的通信距離外仍可有效的竊聽。
4、假冒攻擊
某個實體家裝成另外一個實體訪問無線網絡, 即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中, 移動站與網絡控制中心及其他移動站之間不存在任何固定的哦物理鏈接, 移動站必須通過無線信道傳輸其身份信息, 身份信息在無線信道中傳輸時可能被竊聽, 當攻擊者截獲一合法用戶的身份信息時, 可利用該用戶的身份侵入網絡, 這就是所謂的身份假冒攻擊。在所謂不同的無線網絡中, 身份假冒攻擊的目標不同, 在移動通信網絡中, 其工作頻帶是收費的, 移動用戶必須付費才能通話, 攻擊者假冒合法用戶主要是逃避付費。而無線局域網中, 工作頻帶是免費的, 網絡資源和信息是不公開的、收費的, 只有合法用戶才能訪問這些信息攻擊者假冒合法用戶主要是非法訪問網絡資源。
5、重傳攻擊
重傳攻擊是指攻擊者將竊聽到的有效信息經過一段時間后, 在傳給信息的接受者。其目的是利用曾經有效的信息在改變了的情形下達到同樣的目的。值得一提的是無線移動設備還存在失竊的威脅, 移動設備的功能不斷增強, 它不僅是一個通信工具, 還存儲著一些用戶信息, 防止移動設備中秘密信息的失竊也是很重要的。
三、無線網絡中的安全機制
無線網絡中的安全業務都需要相應的安全機制來保證, 用加密技術實現保密性業務, 通過訪問控制實現身份認證業務, 用消息認證機制實現完整性業務, 用數字簽名技術實現不可否認性業務。
1、加密機制
保密性業務是通過加密技術實現的, 加密是一種最基本的安全機制, 加密過程如圖1 所示:
當加密密鑰不等于解密密鑰, 即系統中每個用戶擁有兩個密鑰( 公開密鑰和秘密密鑰) , 則稱其為非對稱密碼系統或公鑰密碼系統。任何人都可用一個用戶的公開密鑰將信息加密后傳給該用戶, 只有該用戶才能用其秘密密鑰解密, 其他人因不知道秘密密鑰而不能解密。公鑰密碼算法復雜, 因而不適合資源受限的無線通信設備, 但由于其不需要通信雙方共享任何秘密, 在密鑰管理方面有很大的優越性。
2、消息認證機制
完整檢測技術用于提供消息認證, 防止消息被篡改。典型的完整性檢測技術是消息認證碼, 其工作原理如圖2所示。
3、身份認證機制
身份認證技術提供通信雙方的身份認證, 以防身份假冒。它通過檢測證明方擁有什么或知道什么來確認證明方的身份是否合法。密碼學中的身份認證主要基于驗證明方是否知道某個秘密( 如證明方與驗證方之間共享的秘密密鑰, 或證明方自己的私有密鑰) , 基于共享秘密的身份認證方案建立在運算簡單的單密鑰密碼算法和雜湊函數基礎上, 適合無線通信網絡中的身份認證。
4、不可否認機制
數字簽名用于提供不可否認性的安全機制, 防止抵賴。數字簽名有以下優點: 采用電子形式, 容易在網絡中傳輸; 只有知道秘密密鑰的人才能生成簽名, 因而很難偽造;可以對整個消急進行簽名, 簽名后消息不可更改。數字簽名大多基于公鑰密碼技術, 在公鑰密碼系統中, 用戶的公開密鑰向所有人公開, 秘密密鑰只有自己知道, 用戶用自己的秘密密鑰對消急或消息的雜湊值簽名,然后將消息及簽名一起傳給驗證方, 驗證方利用簽名者的公開密鑰就可以鑒別簽名的真偽。因只有簽名者知道自己的秘密密鑰, 只有他才能形成數字簽名, 故簽名者一旦對某個消息簽名就無法抵賴。
結束語
可以預見,隨著無線網絡安全事件的不斷出現,能否為用戶提供優質的安全服務, 將成為無線網絡運營商在商業競爭中能否取勝的關鍵。基于安全服務的整體安全解決方案,將成為未來
網絡信息安全的主流發展方向。
參考文獻
關鍵詞:無線網絡;安全;Portal認證;802.1x
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)35-2103-01
Campus Wireless Network Security Strategy
LI Qiang
(Network Management Center of North University for Ethics,Yinchuan 750021,China)
Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.
Key words: wireless network;security;portal certificate;802.1 x
1 引言
在過去的很多年,計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在實施過程中工程量大,破壞性強,網中的各節點移動性不強。為了解決這些問題,無線網絡作為有線網絡的補充和擴展,逐漸得到的普及和發展。
在校園內,教師與學生的流動性很強,很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性,使有線網絡無法靈活滿足他們對網絡的需求,造成網絡互聯和Intemet接入瓶頸。
將無線網絡的技術引入校園網,在某些場所,如網絡教室,會議室,報告廳、圖書館等區域,可以率先覆蓋無線網絡,讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴大,最后做到全校無線的覆蓋。
2 校園網無線網絡安全現狀
在無線網絡技術成熟的今天,無線網絡解決方案能夠很好滿足校園網的種種特殊的要求,并且擁有傳統網絡所不能比擬的易擴容性和自由移動性,它已經逐漸成為一種潮流,成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成,在學校的教室、辦公室、會議室、甚至是校園草坪上,都有不少的教師和學生手持筆記本電腦通過無線上網,這都源于無線局域網拓展了現有的有線網絡的覆蓋范圍,使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時,無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種:① 基于MAC地址的認證。基于 MAC地址的認證就是MAC地址過濾,每一個無線接入點可以使用 MAC地址列表來限制網絡中的用戶訪問。實施 MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網絡。② 共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網絡的訪問權。③ 802.1x認證。802.1x協議稱為基于端口的訪問控制協議,它是個二層協議,需要通過 802.1x客戶端軟件發起請求,通過認證后打開邏輯端口,然后發起 DHCP請求獲得IP以及獲得對網絡的訪問。
可以說 ,校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認證或共享密鑰認證也沒有設置,更不用說像 802.1 x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網絡,進而進入校園網,就會對我們的校園網絡構成威脅。
3 校園網無線網絡安全解決方案
校園網內無線網絡建成后,怎樣才能有效地保障無線網絡的安全?前面提到的基于 MAC地址的認證存在兩個問題,一是數據管理的問題,要維護 MAC數據庫,二是 MAC可嗅探,也可修改;如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰;802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然 802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經有了很大的改善,IEEE 802.11i和 WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協議提供了本地支持。在大多數情況下,選擇無線客戶端身份驗證的依據是基于密碼憑據驗證,或基于證書驗證。建議在執行基于證書的客戶端身份驗證時使用EAP-TLS;在執行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協議版本2(MSCHAPv2),該協議在PEAP(Protected Extensible Authentication Protoco1)協議中,也稱作PEAP-EAP-MSCHAPv2。
考慮到校園群體的特殊性,為了保障校園無線網絡的安全,可對不同的群體采取不同的認證方法。在校園網內,主要分成兩類不同的用戶,一類是校內用戶,一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要,他們要求能夠隨時接入無線網絡,訪問校園網內資源以及訪問Internet。這些用戶的數據,如工資、科研成果 、研究資料和論文等的安全性要求比較高。對于此類用戶,可使用 802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關網站和收發郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網絡。
如圖所示,開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站,用戶只能訪問該網站中提供的服務,無法訪問校園網內部的其他受限資源,比如學校公共數據庫、圖書館期刊全文數據庫等。如果要訪問校園網以外的資源,必須通過強制Portal認證.認證通過就可以訪問Intemet。對于校內用戶,先由無線用戶終端發起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證,既可以防止非法用戶使用網絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數據的安全傳輸。
使用強制 Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制 Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過 SSL加密,但傳輸的數據沒有任何加密,任何人都可以監聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網內部資料,從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全,安全性要求比較高。802.1x認證方式安裝設置比較麻煩,設置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對校內用戶可使用802.1x認證方式,以保障傳輸數據的安全。
4 結束語
校園網各區域分別覆蓋無線局域網絡以后,用戶只需簡單的設置就可以連接到校園網,從而實現上網功能。特別是隨著迅馳技術的發展,將進一步促進校園網內無線網絡的建設。 現在,不少高校都已經實現了整個校園的無線覆蓋。但在建設無線網絡的同時,由于對無線網絡的安全不夠重視,對校園網無線網絡的安全考慮不夠。在這點上,學校信息化辦公室和網管中心應該牽頭,做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性。
參考文獻:
本系統是一個基于Java ME平臺的無線網絡移動端的俄羅斯方塊游戲,利用Java ME Wireless Toolkit(WTK)開發包工具在無線網絡移動端上實現經典的俄羅斯方塊游戲。論文開始部分對無線網絡移動系統開發中常使用幾種開發語言和環境作了比較,說明了選擇Java ME Wireless Toolkit作為開發環境的的原因并對它作了相關的介紹。并展示了在WTK中打開一個項目、把源文件打包成JAR包、產生混淆包的方法和過程。在系統設計時,遵循了無線網絡移動端程序的startApp、pauseApp、destroyApp的開發生命周期。在設計與實現方面,分成難度選擇、游戲規則、方塊處理這幾個模塊進行實現。在開發與實現的同時也講解了俄羅斯方塊這款古老而經典游戲的游戲背景、規則以及相關特性。最終展示了無線網絡移動端的游戲開發的基本開發過程和設計思路。
關鍵詞:無線網絡移動端;Java ME;俄羅斯方塊;游戲開發
1. 引言
1.1 系統綜述
綜合運用以前所學專業知識,在Java ME開發平臺上實現無線網絡移動端的俄羅斯方塊游戲。其研究主要包括以下內容:第一,克服有限的可視屏幕尺寸,使游戲正常顯示;第二,解決有限的可用內存調用問題,實現游戲流暢運行;第三,俄羅斯方塊游戲規則算法在Java ME平臺的實現,保證游戲可玩性;第四,游戲開始、結束等邏輯在游戲進行中的判斷。本系統在Windows XP的操作系統下,Java Micro Edition Wireless Toolkit 2.1為開發工具,用中文版UltraEdit做為代碼編輯器而實現的。
1.2 Java ME游戲開發背景
游戲開發是藝術與編程技術相結合的完美表現。利用Java的“Write once,run anywhere”特性,可以真正達到程序只寫一次,在任何平臺都可以執行。同時Java語言對面向對象的良好支持,使開發具有高效性。所以Java ME(Java Micro Edition)是廣大無線網絡移動端游戲開發廠商和游戲開發愛好者的首選平臺。
1.3 無線網絡移動端游戲發展現狀
縱觀IT產業的歷史,計算機游戲已經成為技術創新背后的動力之一。計算機游戲者渴望更加強大的硬件計算能力,渴望不受不同的軟件的限制——無論是將圖形強制在人工智能(AI)上還是網絡安全性。而無線網絡移動端游戲已成為IT產業中增長最快的部分之一。
關鍵詞:認知無線電;網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-8937(2015)36-0053-02
認知無線電技術可以在不影響授權用戶的前提下允許其他用戶動態接入空閑頻譜,這為解決無線頻譜資源短缺問題提供了一種可行的解決方案。認知無線電技術的概念一經提出便受到了人們的廣泛關注,相關研究取得了飛速進展。但認知無線電技術由于引入了頻譜感知、智能學習、動態頻譜分配等新技術,從而帶來了諸如模擬授權用戶攻擊、自私行為攻擊、虛假反饋攻擊等各種全新的安全問題。而認知無線電網絡的安全問題將影響到認知無線電技術的最終商用化。因此,對認知無線電網絡安全性方面的探索與實踐研究有著十分重要的意義。
1 認知無線電技術簡介
認知無線電(Cognitive Radio,CR)的概念最早由Joseph Mitolo博士提出,他指出認知無線電是一種通過感知自身周圍環境,進而通過與周圍環境交互來改變發射機參數的智能無線通信系統,其具備環境感知能力、學習能力、決策和自適應能力、相互協作的能力。
認知無線電確立了三個基本任務:
①頻譜感知:認知用戶的接收端感知周圍的無線頻譜環境,測量并估計環境中的干擾溫度,篩選可用的頻譜。
②信道估計:根據環境中的干擾溫度信息,實時計算出各個子信道的信道容量。
③動態頻譜資源管理:認知用戶的發射端根據已知的空閑頻譜和信道容量信息,動態調整其發射頻率和功率,從而確保信息的可靠傳輸。
認知無線電網絡通過允許非授權用戶自適應的感知授權頻譜,并機會式地使用空閑頻譜,使得非授權用戶可以在未取得授權的情況下接入傳輸條件更好、帶寬更寬的頻段,從而可以極大的改善頻譜利用率。認知無線電技術的提出和發展為解決當前頻譜資源緊張的問題提供了一種可靠的解決方案。
2 認知無線電網絡安全面臨的主要威脅
隨著各類無線設備的出現,頻譜資源日益緊張,在無線通信中 “認知”概念的引入,可以有效解決該問題,但也帶來了一系列新的無線網絡安全隱患,是認知無線電網絡能夠實現商用的一個難題。認知無線電網絡的安全性研究尚處于初始階段,隨著頻譜感知、智能學習、動態頻譜分配等一系列新技術的引入,其除了需要面對傳統無線網絡安全威脅,還面臨著諸如模擬授權用戶攻擊、自私行為攻擊、虛假反饋攻擊等各種全新的安全問題。
目前,認知無線電網絡安全防御機制研究主要集中在提高某種具體技術的安全性,尚未形成較為成熟的認知無線電安全體系。但也已有研究和相關文獻[1]涉及了該方面,為認知無線電網絡安全性研究提供了一定的借鑒。
2.1 物理層攻擊行為
認知無線電網絡在物理層引入了全新的頻譜感知和頻譜切換技術,認知用戶可以通過頻譜感知和切換技術檢測和篩選可用的空閑頻譜加以利用。因此,除了面臨傳統無線網絡物理層安全威脅外,認知無線電網絡物理層中還因相關新技術的應用而面臨一系列新的安全威脅。
其中最受關注的是:
①模擬授權用戶攻擊[2](Primary User Emulation Attack,PUEA)當網絡中的惡意節點檢測到一個可用空閑頻段時,其通過發送與授權用戶信號特征相似的傳輸信號,從而達到獨占此空閑頻段的目的。
②干擾授權用戶攻擊[3](Primary Receiver Jamming Attack)在認知無線電網絡中存在惡意節點參與到網絡的協作數據傳送過程中,造成對授權用戶接收機進行連續干擾。
2.2 鏈路層攻擊行為
認知無線電網絡的鏈路層負責將檢測到的空閑頻譜分配給需要的認知無線電用戶,其需要在確保在一定公平性的基礎上盡可能提高頻譜的利用率。因此認知無線電網絡鏈路層面臨的主要安全威脅是如何確保信道分配的公平性。
目前普遍存在的三種攻擊行為是:
①自私(惡意)行為攻擊[4](Selfish Behavior Attack)自私節點以損害網絡整體性能為代價,通過修改頻譜分配的效用函數來提高自身性能,但同時也會造成其他認知用戶可用頻譜資源減少。
②飽和控制信道攻擊[5](Control Channel Saturation Attacks):惡意節點通過持續不斷發送偽造的控制信息,從而達到公共控制信道數據飽和、網絡整體性能下降的目的。
③虛假反饋攻擊(False Feedback Attack):認知無線電網絡中的惡意節點向其他認知用戶反饋虛假的頻譜感知和分配信息,從而達到影響頻譜感知準確性和頻譜分配公平性的目的。
2.3 網絡層攻擊行為
在認知無線電網絡中,網絡層面臨的主要安全威脅為對路由信息的篡改和破壞,如拜占庭黑洞攻擊(Black Hole Attack)、急速泛洪攻擊(Flood Rushing Attack)、蟲洞攻擊(Wormhole Attack)等。此外,隨著認知無線電網絡中頻譜感知技術的引入,致使環境中的每個接收機都存在多個可用信道,在數據傳輸過程中為確保一跳鏈路的雙方使用相同的信道,各個節點在進行路由選擇的同時還需要對信道進行選擇。認知網絡中的惡意用戶可以通過發送虛假的路由和信道信息,從而誤導用戶選擇錯誤的路由和信道,達到信道間干擾嚴重,網絡整體性能下降的目的。 2.4 高層攻擊行為
認知無線電網絡中的高層攻擊行為包括對傳輸層的攻擊和對應用層的攻擊。認知無線電網絡的高層結構與傳統無線網絡類似,相關研究主要集中在空中接口部分。其面臨的主要安全威脅有會話劫持攻擊(Session Hijacking Attack)、拒絕服務攻擊(Denial of Service,DoS)、惡意代碼攻擊(Malicious Code Attack)等。
3 認知無線電網絡安全性分析
針對認知無線電網絡物理層所面臨的主要安全威脅:模擬授權用戶攻擊,2006年R.Chen、J.M.Park提出了模擬授權用戶攻擊的問題,其具體表現形式為:當網絡中的惡意節點檢測到一個可用空閑頻段時,其通過發送與授權用戶信號特征相似的傳輸信號,從而達到獨占此空閑頻段的目的。
通過相關研究證實傳統的頻譜檢測方法很難有效解決該威脅,因此R.Chen、J.M.Park提出了一種基于位置確認的頻譜檢測方法來解決此種威脅,該方法包括兩種位置確認方的驗證算法:距離比驗證和距離差異驗證。實驗表明上述兩種算法均可以檢測到網絡中是否存在惡意攻擊者,但還需提高其檢測的準確性;解決該類威脅的另一種可能的方法是在授權用戶信號中加入用于計算哈希值的原始數據,認知用戶對接收到的原始數據做哈希值計算,通過比對計算結果同預先保留的參數值來確定其是否為惡意節點。
針對認知無線電網絡物理層所面臨的安全威脅,最根本的解決方案還在于改善頻譜感知技術來實現頻譜利用的安全性。為確保認知用戶獲取環境中頻譜使用情況的準確性,可以建立實時無線電環境數據庫,通過將感知信息與數據庫比對,可以有效減少類似模擬授權用戶攻擊和虛假反饋攻擊對認知無線電網絡造成的安全威脅。
認知無線電網絡鏈路層所面臨的主要安全問題是如何確保信道分配的公平性。目前,對認知無線電網絡鏈路層安全構成最大威脅的是自私行為攻擊。因此,可以在認知無線電信道感知和分配中引入信譽機制,其設計可以借鑒Ad Hoc網絡中引入的信任/信譽模型,首先需要收集各節點的行為信息,綜合該節點之前參與頻譜感知和分配過程中信譽度的歷史記錄,從而進行相關信譽度的計算,然后數據融合中心利用信譽度來對所有節點的匯報結果進行可信度區分,最后通過激勵或懲罰機制來使各節點間加強協作,減少自私行為,讓信譽度高的認知用戶在頻譜分配過程中發揮更大的作用,從而提高頻譜感知和分配的公平性。
在認知無線電網絡中,公共控制信道的安全性至關重要,它能實現認知無線電網絡各節點交換本地信道信息。對于公共控制信道的攻擊會造成網絡通信效率急劇降低甚至癱瘓,因此必須確保公共控制信道及信道中信息的安全性。
解決公共控制信道面臨的安全性問題可從以下三方面考慮:
①可以通過在各節點間建立可靠的頻道列表來確保信道的安全;
②通過引入加密認證體系使在認知無線電網絡節點(接受、發射端)實現雙向認證來確保信道的安全。
③可以借鑒Ad Hoc網絡中的節點分簇機制[6],相關節點用戶自行組成一個本地協調組。
每組用戶形成一個具有相同公共控制信道的多跳網絡,通過這種方法可以防止由于控制信道擁塞造成的中斷,有效改善飽和控制信道攻擊。
4 結 語
認知無線電網絡的安全問題將影響到認知無線電技術的最終商用,而針對這方面的研究也會越來越深入,我們可以充分借鑒其它無線網絡安全性技術,針對認知無線電本身特點,最終完善其相關安全技術。
參考文獻:
[1] Jack L.Burbank. Security in cognitive radio networks: The required e
volution in approaches to wireless network security. IEEE Wireless
Communications Magazine,2009.
[2] 崔國華,盧社階.Ad hoc網絡中基于多徑路由協議的信譽機制[J].通信 學報,2008,(5). 本文由wWw.DyLw.NeT提供,第一論 文 網專業教育教學論文和以及服務,歡迎光臨dYlw.nET
[3] Wang Changdal,Ju Shiguang. Multilevel security model for ad hoc ne
tworks.Journal of Systems Engineering and Electronics,2008,(2).
[4] 孫麗艷.基于激勵機制的認知無線電自私行為研究[J].計算機技術與 發展,2009,(10).
[5] 薛楠,周賢偉.認知無線電網絡誘騙攻擊問題及安全解決方案[J].電信 科學,2009,(5).
[論文摘要]安全問題是自無線局域網誕生以來一直困擾其發展的重要原因,本文研究了現階段無線局域網面臨的主要安全問題,并介紹了相應的解決辦法。
近年來,無線局域網以它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢等特點得以迅速發展。但是,隨著無線局域網應用領域的不斷拓展,無線局域網受到越來越多的威脅,無線網絡不但因為基于傳統有線網絡TCP/IP架構而受到攻擊,還受到基于IEEE802.11標準本身的安全問題而受到威脅,其安全問題也越來越受到重視。
一、非法接入無線局域網
無線局域網采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、墻等物體,因此在一個無線局域網接入點(AccessPoint,AP)的服務區域中,任何一個無線客戶端(包括未授權的客戶端)都可以接收到此接入點的電磁波信號。也就是說,由于采用電磁波來傳輸信號,未授權用戶在無線局域網(相對于有線局域網)中竊聽或干擾信息就容易得多。所以為了阻止這些非授權用戶訪問無線局域網絡,必須在無線局域網引入全面的安全措施。
1.非法用戶的接入
(1)基于服務設置標識符(SSID)防止非法用戶接入
服務設置標識符SSID是用來標識一個網絡的名稱,以此來區分不同的網絡,最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令,從而提供口令認證機制,阻止非法用戶的接入,保障無線局域網的安全。SSID通常由AP廣播出來,例如通過windowsXP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。
(2)基于無線網卡物理地址過濾防止非法用戶接入
由于每個無線工作站的網卡都有惟一的物理地址,利用MAC地址阻止未經授權的無限工作站接入。為AP設置基于MAC地址的AccessControl(訪問控制表),確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。
如果網絡中的AP數量太多,可以使用802.1x端口認證技術配合后臺的RADIUS認證服務器,對所有接入用戶的身份進行嚴格認證,杜絕未經授權的用戶接入網絡,盜用數據或進行破壞。
(3)基于802.1x防止非法用戶接入
802.1x技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。
如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網。
2.非法AP的接入
無線局域網易于訪問和配置簡單的特性,增加了無線局域網管理的難度。因為任何人都可以通過自己購買的AP,不經過授權而連入網絡,這就給無線局域網帶來很大的安全隱患。
(1)基于無線網絡的入侵檢測系統防止非法AP接入
使用入侵檢測系統IDS防止非法AP的接入主要有兩個步驟,即發現非法AP和清除非法AP。
發現非法AP是通過分布于網絡各處的探測器完成數據包的捕獲和解析,它們能迅速地發現所有無線設備的操作,并報告給管理員或IDS系統。當然通過網絡管理軟件,比如SNMP,也可以確定AP接入有線網絡的具體物理地址。發現AP后,可以根據合法AP認證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關參數,那么就是RogueAP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認為是非法AP。
當發現非法AP之后,應該立即采取的措施,阻斷該AP的連接,有以下三種方式可以阻斷AP連接:
①采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務;
②網絡管理員利用網絡管理軟件,確定該非法AP的物理連接位置,從物理上斷開。
(2)檢測出非法AP連接在交換機的端口,并禁止該端口
基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查,防止非法AP的接入。在無線AP接入有線交換設備時,可能會遇到非法AP的攻擊,非法安裝的AP會危害無線網絡的寶貴資源,因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法,在此驗證過程中不但AP需要確認無線用戶的合法性,無線終端設備也必須驗證AP是否為虛假的訪問點,然后才能進行通信。通過雙向認證,可以有效地防止非法AP的接入。
(3)基于檢測設備防止非法AP的接入
在入侵者使用網絡之前,通過接收天線找到未被授權的網絡。對物理站點的監測,應當盡可能地頻繁進行。頻繁的監測可增加發現非法配置站點的存在幾率。選擇小型的手持式檢測設備,管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測,清除非法接入的AP。
二、數據傳輸的安全性
在無線局域網中可以使用數據加密技術和數據訪問控制保障數據傳輸的安全性。使用先進的加密技術,使得非法用戶即使截取無線鏈路中的數據也無法破譯;使用數據訪問控制能夠減少數據的泄露。
1.數據加密
(1)IEEE802.11中的WEP
有線對等保密協議(WEP)是由IEEE802.11標準定義的,用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙,采用RSA開發的RC4對稱加密算法,在鏈路層加密數據。
WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量僅為24位,算法強度并不算高,于是有了安全漏洞。現在,已經出現了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的,用來改進WEP所使用密鑰的安全性的協議和算法。它改變了密鑰生成方式,更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數據包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,WEP中的缺點得以解決。
2.數據的訪問控制
訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問,所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及指令等。用戶通過認證,只是完成了接入無線局域網的第一步,還要獲得授權,才能開始訪問權限范圍內的網絡資源,授權主要是通過訪問控制機制來實現。
訪問控制也是一種安全機制,它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。
3.其他安全性措施
許多安全問題都是由于AP沒有處在一個封閉的環境中造成的。所以,首先,應注意合理放置AP的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。例如,將天線遠離窗戶附近,因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到墻外,必要時要增加屏蔽設備來限制無線局域網的覆蓋范圍。其次,由于很多無線設備是放置在室外的,因此需要做好防盜、防風、防雨、防雷等措施,保障這些無線設備的物理安全。
綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全策略,能夠最大限度提高安全水平。
為了保障無線局域網的安全,除了通過技術手段進行保障之外,制定完善的管理和使用制度也是很有必要的。
參考文獻:
[1]趙偉艇:無線局域網的加密和訪問控制安全性分析.微計算機信息,2007年21期
關鍵詞 無線局域網,802.1x,認證服務器,安全協議,WAPI
1 802.11無線局域網的安全機制
802.11無線局域網運作模式基本分為兩種:點對點(Ad Hoc)模式和基本(Infrastructure)模式。點對點模式指無線網卡和無線網卡之間的直接通信方式。只要PC插上無線網卡即可與另一具有無線網卡的PC連接,這是一種便捷的連接方式,最多可連接256個移動節點。基本模式指無線網絡規模擴充或無線和有線網絡并存的通信方式,這也是802.11最常用的方式。此時,插上無線網卡的移動節點需通過接入點AP(Access Point)與另一臺移動節點連接。接入點負責頻段管理及漫游管理等工作,一個接入點最多可連接1024個移動節點。當無線網絡節點擴增時,網絡存取速度會隨著范圍擴大和節點的增加而變慢,此時添加接入點可以有效控制和管理頻寬與頻段。
與有線網絡相比較,無線網絡的安全問題具有以下特點:(1)信道開放,無法阻止攻擊者竊聽,惡意修改并轉發;(2)傳輸媒質―無線電波在空氣中的傳播會因多種原因(例如障礙物)發生信號衰減,導致信息的不穩定,甚至會丟失;(3)需要常常移動設備(尤其是移動用戶),設備容易丟失或失竊;(4)用戶不必與網絡進行實際連接,使得攻擊者偽裝合法用戶更容易。由于上述特點,利用WLAN進行通信必須具有較高的通信保密能力。
802.11無線局域網本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務集標識SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)來配置。與接入點有關的網卡必須知道SSID以便在網絡中發送和接收數據。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送,甚至被接入點廣播,所有的網卡和接入點都知道SSID。
802.11的安全性主要包括以有線同等保密WEP(Wired Equivalent Privacy)算法為基礎的身份驗證服務和加密技術。WEP 是一套安全服務,用來防止 802.11 網絡受到未授權用戶的訪問。啟用 WEP 時,可以指定用于加密的網絡密鑰,也可自動提供網絡密鑰。如果親自指定密鑰,還可以指定密鑰長度(64 位或 128 位)、密鑰格式(ASCII 字符或十六進制數字)和密鑰索引(存儲特定密鑰的位置)。原理上密鑰長度越長,密鑰應該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發表了題為《RC4秘鑰時序算法缺點》的論文,講述了關于WEP標準的嚴重攻擊問題。
另外,這一安全機制的一個主要限制是標準沒有規定一個分配密鑰的管理協議。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節點。當這種移動節點的數量龐大時,將是一個很大的挑戰。
2 802.1x協議的體系
IEEE 802.1x協議起源于802.11, 其主要目的是為了解決無線局域網用戶的接入認證問題。802.1x 協議又稱為基于端口的訪問控制協議,可提供對802.11無線局域網和對有線以太網絡的驗證的網絡訪問權限。802.1x協議僅僅關注端口的打開與關閉,對于合法用戶接入時,打開端口;對于非法用戶接入或沒有用戶接入時,則端口處于關閉狀態。
IEEE 802.1x協議的體系結構主要包括三部分實體:客戶端Supplicant System、認證系統Authenticator System、認證服務器Authentication Server System。
(1)客戶端:一般為一個用戶終端系統,該終端系統通常要安裝一個客戶端軟件,用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程。
(2)認證系統:通常為支持IEEE 802.1x協議的網絡設備。該設備對應于不同用戶的端口有兩個邏輯端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一個邏輯接入點(非受控端口),允許驗證者和 LAN 上其它計算機之間交換數據,而無需考慮計算機的身份驗證狀態如何。非受控端口始終處于雙向連通狀態(開放狀態),主要用來傳遞EAPOL協議幀,可保證客戶端始終可以發出或接受認證。第二個邏輯接入點(受控端口),允許經驗證的 LAN 用戶和驗證者之間交換數據。受控端口平時處于關閉狀態,只有在客戶端認證通過時才打開,用于傳遞數據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應不同的應用程序。如果用戶未通過認證,則受控端口處于未認證(關閉)狀態,則用戶無法訪問認證系統提供的服務。
(3)認證服務器:通常為RADIUS服務器,該服務器可以存儲有關用戶的信息,比如用戶名和口令、用戶所屬的VLAN、優先級、用戶的訪問控制列表等。當用戶通過認證后,認證服務器會把用戶的相關信息傳遞給認證系統,由認證系統構建動態的訪問控制列表,用戶的后續數據流就將接受上述參數的監管。
3 802.1x協議的認證過程
利用IEEE 802.1x可以進行身份驗證,如果計算機要求在不管用戶是否登錄網絡的情況下都訪問網絡資源,可以指定計算機是否嘗試訪問該網絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰,AP會禁止所有的網絡流量通過。
(1)當一個移動節點(申請者)進入一個無線AP認證者的覆蓋范圍時,無線AP會向移動節點發出一個問詢。
(2)在受到來自AP的問詢之后,移動節點做出響應,告知自己的身份。
(3)AP將移動節點的身份轉發給RADIUS身份驗證服務器,以便啟動身份驗證服務。
(4)RADIUS服務器請求移動節點發送它的憑據,并且指定確認移動節點身份所需憑據的類型。
(5)移動節點將它的憑據發送給RADIUS。
(6)在對移動節點憑據的有效性進行了確認之后,RADIUS服務器將身份驗證密鑰發送給AP。該身份驗證密鑰將被加密,只有AP能夠讀出該密鑰。(在移動節點和RADIUS服務器之間傳遞的請求通過AP的“非控制”端口進行傳遞,因為移動節點不能直接與RADIUS服務器建立聯系。AP不允許STA移動節點通過“受控制”端口傳送數據,因為它還沒有經過身份驗證。)
(7)AP使用從RADIUS服務器處獲得的身份驗證密鑰保護移動節點數據的安全傳輸--特定于移動節點的單播會話密鑰以及多播/全局身份驗證密鑰。
全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰,這也是身份驗證過程的一個組成部分。傳輸層安全TLS(Transport Level Security)協議提供了兩點間的相互身份驗證、完整性保護、密鑰對協商以及密鑰交換。我們可以使用EAP-TLS在EAP內部提供TLS機制。
移動節點可被要求周期性地重新認證以保持一定的安全級。
4 802.1x協議的特點
IEEE 802.1x具有以下主要優點:
(1)實現簡單。IEEE 802.1x協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本。
(2)認證和業務數據分離。IEEE 802.1x的認證體系結構中采用了“受控端口”和“非受控端口”的邏輯功能,從而可以實現業務與認證的分離。用戶通過認證后,業務流和認證流實現分離,對后續的數據包處理沒有特殊要求,業務可以很靈活,尤其在開展寬帶組播等方面的業務有很大的優勢,所有業務都不受認證方式限制。
IEEE 802.1x同時具有以下不足
802.1x認證是需要網絡服務的系統和網絡之間的會話,這一會話使用IETF的EAP(Extensible Authentication Protocol)認證協議。協議描述了認證機制的體系結構框架使得能夠在802.11實體之間發送EAP包,并為在AP和工作站間的高層認證協議建立了必要條件。對MAC地址的認證對802.1x來說是最基本的,如果沒有高層的每包認證機制,認證端口沒有辦法標識網絡申請者或其包。而且實驗證明802.1x由于其設計缺陷其安全性已經受到威脅,常見的攻擊有中間人MIM攻擊和會話攻擊。
所以802.11與802.1x的簡單結合并不能提供健壯的安全無線環境,必須有高層的清晰的交互認證協議來加強。幸運的是,802.1x為實現高層認證提供了基本架構。
5 802.1x認證協議的應用
IEEE 802.1x 使用標準安全協議(如RADIUS)提供集中的用戶標識、身份驗證、動態密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE 802.1x身份驗證提供對802.11無線網絡和對有線以太網網絡的經驗證的訪問權限。IEEE 802.1x 通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理,可將無線網絡安全風險減小到最低程度。在此執行下,作為 RADIUS 客戶端配置的無線接入點將連接請求和記帳郵件發送到中央 RADIUS 服務器。中央 RADIUS 服務器處理此請求并準予或拒絕連接請求。如果準予請求,根據所選身份驗證方法,該客戶端獲得身份驗證,并且為會話生成唯一密鑰。IEEE 802.1x為可擴展的身份驗證協議 EAP 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗證方法。
擴展身份驗證協議EAP是一個支持身份驗證信息通過多種機制進行通信的協議。利用802.1x,EAP可以用來在申請者和身份驗證服務器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質直接進行封裝。認證者負責在申請者和身份驗證服務器之間轉遞消息。身份驗證服務器可以是一臺遠程身份驗證撥入用戶服務(RADIUS)服務器。
以下舉一個例子,說明對申請者進行身份驗證所需經過的步驟:
(1)認證者發送一個EAP - Request/Identity(請求/身份)消息給申請者。
(2)申請者發送一個EAP - Response/Identity(響應/身份)以及它的身份給認證者。認證者將收到的消息轉發給身份驗證服務器。
(3)身份驗證服務器利用一個包含口令問詢的EAP - Request消息通過認證者對申請者做出響應。
(4)申請者通過認證者將它對口令問詢的響應發送給身份驗證服務器。
(5)如果身份驗證通過,授權服務器將通過認證者發送一個EAP - Success響應給申請者。認證者可以使用“Success”(成功)響應將受控制端口的狀態設置為“已授權”。
6 802.1x與智能卡
智能卡通常用在安全性要求比較高的場合,并與認證協議的應用相結合。這首先是由于智能卡能夠保護并安全的處理敏感數據;而智能卡能保護密鑰也是相當重要的,一切秘密寓于密鑰之中,為了能達到密碼所提供的安全服務,密鑰絕對不能被泄密,但為安全原因所增加的成本卻不能太多。
智能卡自身硬件的資源極為有限。用其實現安全系統面臨著存儲器容量和計算能力方面受到的限制。目前市場上的大多數智能卡有128到1024字節的RAM,1 k到16 k字節的EEPROM,6 k到16 k字節的ROM,CPU通常為8比特的,典型的時鐘頻率為3.57 MHz。任何存儲或者是處理能力的增強都意味著智能卡成本的大幅度提高。
另外智能卡的數據傳送是相對慢的,為提高應用的效率,基本的數據單元必須要小,這樣可以減少智能卡與卡終端之間的數據流量,其傳送時間的減少則意味著實用性的增強。
將802.1x與智能卡的應用相結合的優點是:認證更加安全;生成和管理密鑰方便;節省內存空間;節省帶寬,提高實用性;節省處理時間,而不需要增加硬件的處理等方面。802.1x安全認證協議所帶來的各優點恰好彌補了智能卡硬件的各種局限,不僅能有效地降低智能卡的生產成本,也能提高智能卡的實用性。
7 發展方向和趨勢
802.11無線局域網目前的安全標準主要有兩大發展主流:
(1)WPA。802.1x協議僅僅提供了一種用戶接入認證的手段,并簡單地通過控制接入端口的開/關狀態來實現,這種簡化適用于無線局域網的接入認證、點對點物理或邏輯端口的接入認證。WPA(Wi-Fi 受保護訪問)是一種新的基于IEEE標準的安全解決方法。Wi-Fi 聯盟經過努力,于 2002 年 10 月下旬宣布了基于此標準的解決方法,以便開發更加穩定的無線 LAN 安全解決方法來滿足 802.11的要求。WPA 包括 802.1x 驗證和 TKIP 加密(一種更高級和安全的 WEP 加密形式),以進一步形成和完善IEEE 802.11i標準。
(2)WAPI。我國已于2003年12月1日起強制執行了新的無線局域網安全國家標準―無線局域網鑒別和保密基礎結構WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由無線局域網鑒別基礎結構WAI(WLAN Authentication Infrastructure)和無線局域網保密基礎結構WPI(WLAN Privacy Infrastructure)組成。WAPI與已有安全機制相比具有其獨特優點,充分體現了國家標準的先進性。WAPI與已有安全機制相比在很多方面都進行了改進。它已由ISO/IEC授權的IEEE Registration Authority審查獲得認可,分配了用于WAPI協議的以太網類型字段,這也是我國目前在該領域惟一獲得批準的協議。WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密,從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
參考文獻:
[1]. IEEE’s “802.1x - Port Based Network Access Control” 2002年3月22日 URL:ieee802.org/1/pages/802.1x.html
[2]. Jim Geier “802.1x Offers Authentication and Key Management” 2002年5月7日 URL:80211-planet.com/tutorials/article/0,,10724_1041171,00.html
[3]. Kristin Burke “Wireless Network Security 802.11/802.1x” 2002年5月31日 URL:cs.fsu.edu/~yasinsac/wns02/19b.pdf
[4]. Scott Fluhrer, Itsik Mantin, Adi Shamir “Weaknesses in the Key Scheduling Algorithm of RC4” 2001年7月25日 URL:drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
關鍵詞:無線局域網;標準;安全;趨勢
前言 無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線局域網(WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。
1. 無線局域網安全發展概況
無線局域網802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線局域網安全標準應運而生[1]。
我國從2001年開始著手制定無線局域網安全標準,經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,并成為國家標準,于2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的,然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線局域網安全標準的方方面面,有利于無線局域網安全的研究[3][4]。
2.無線局域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據,不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網絡和WLAN的應用擴展了網絡用戶的自由,它安裝時間短,增加用戶或更改網絡結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫游服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網絡相比,無線局域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線局域網中的設備在實際通信時是逐跳的方式,要么是用戶設備發數據給接入設備,飯由接入設備轉發,要么是兩臺用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據,以使得接收方可以檢測到數據是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬件形式的病毒卡預防病毒,或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對于DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址,可以減小風險。對于內部的惡意用戶,則要通過審計分析,網絡安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當的[5]。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸的數據要求有不可抵賴性,對于進出無線局域網的數據要求有防泄密措施,要求無線局域網癱瘓后能夠迅速恢復等等。所以,無線局域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網絡。
當考慮與其它安全系統的合作時,無線局域網的安全將限于提供數據的機密,數據的完整,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對于防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。
3.無線局域網安全風險
安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源,包括了在無線信道上傳輸的數據和無線局域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射臺發出的信號。當然,無線局域網的無線信號的接收并不像收音機那么簡單,但只要有相應的設備,總是可以接收到無線局域網的信號,并可以按照信號的封裝格式打開數據包,讀取數據的內容[6]。
另外,只要按照無線局域網規定的格式封裝數據包,把數據放到網絡上發送時也可以被其它的設備讀取,并且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然后重新發送,而數據包的接收者并不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網絡的正常通信產生了極大的干擾,并有可能造成經濟損失。
3.2 無線局域網中主機面臨的威脅
無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現,除了目前有線網絡上流行的病毒之外,還可能會出現專門針對無線局域網移動設備,比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后,無線病毒的威脅可能會加劇。
對于無線局域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后,如果把IP地址直接暴露給外部網,那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網絡癱瘓。當某個惡意用戶接入網絡后,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效,同時硬件設備中的所有數據都可能會泄漏。
這樣,無線局域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的后果。
4.無線局域網安全性
無線局域網與有線局域網緊密地結合在一起,并且己經成為市場的主流產品。在無線局域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此,無線局域網的用戶主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力,否則人們還是對使用無線局域網存在顧慮。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)[7][8]。
4.1.1認證
當一個站點與另一個站點建立網絡連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然后,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素[9][10]
4. 2. 1硬件設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網絡管理系統不可能檢測到這種問題,因此用戶必須立即通知網絡管理員。接到通知后,網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證服務器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務器通信。
當無線局域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS服務器(或其它認證服務器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網絡,否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議,站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。
RADIUS服務器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內用時期密鑰和廣播密鑰通信。
網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網絡具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼采用不規則技術。
正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網絡的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中[12]。
5.無線局域網安全技術的發展趨勢
目前無線局域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什么比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線局域網真正的騰飛并非一己之事[13]。
無線局域網同樣需要與其他已經成熟的網絡進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網絡的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上,實現無線局域網和G1VIS/GPRS的互通。
不同類型無線局域網互通標準的制定,使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線局域網設備,對用戶端設備,比如客戶端軟件,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線局域網接入NW的密鑰分配方法,無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線局域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線局域網認證機制應該支持會話密鑰素材的協商,所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下:UE(用戶設備)、3G-AAA(移動網絡的認證、授權和計帳服務器)、HSS(歸屬業務服務器)、CG/CCF(支付網關/支付采集功能)、OCS(在線計帳系統)。
對于漫游的互通情況時,3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下,一種常用的方法是將歸屬網絡和訪問網絡分開,歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。
在無線局域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線局域網連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程,有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。
上述互通方案要求客戶端有能夠接入無線局域網的網卡,同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表,增加對于無線局域網的接入權限的判斷。
無線局域網的崛起使得人們開始考慮無線局域網和3G的互通,兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線局域網和CDMA系統的互通,而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻
[1] 郭峰,曾興雯,劉乃安,《無線局域網》,電子工業出版杜,1997
[2] 馮錫生,朱榮,《無線數據通信》1997
[3] 你震亞,《現代計算機網絡教程》,電子工業出版社,1999
[4] 劉元安,《寬帶無線接入和無線局域網》,北京郵電大學出版社,2000
[5] 吳偉陵,《移動通信中的關鍵技術》,北京郵電大學出版社,2000
[6] 張公忠,陳錦章,《當代組網技術》,清華大學出版社,2000
[7] 牛偉,郭世澤,吳志軍等,《無線局域網》,人民郵電出版社,2003
[8] Jeffrey Wheat,《無線網絡設計》,莫蓉蓉等譯,機械工業出版社,2002
[9] Gil Held,《構建無線局域網》,沈金龍等澤,人民郵電出版社,2002
[10] Christian Barnes等,《無線網絡安全防護》,林生等譯,機械工業出版社.2003
[11] Juha Heiskala等,《OFDM無線局域網》,暢曉春等譯,電子工業出版社,2003
[12] Eric Ouellet等,《構建Cisco無線局域網》,張穎譯,科學出版社,2003
[13] Mark Ciampa,《無線周域網設計一與實現》,王順滿譯,科學出版社.2003
【關鍵詞】:無線局域網;標準;安全;趨勢
中圖分類號:TP3 文獻標識碼:E 文章編號:1006-0510(2008)09066-05
前言
無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線局域網(WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。
1.無線局域網安全發展概況
無線局域網802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線局域網安全標準應運而生。
我國從2001年開始著手制定無線局域網安全標準,經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,并成為國家標準,于2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的,然而對其安全性的討論在學術界和工程界目前還沒有展開。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線局域網安全標準的方方面面,有利于無線局域網安全的研究。
2.無線局域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據,不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網絡和WLAN的應用擴展了網絡用戶的自由,它安裝時間短,增加用戶或更改網絡結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫游服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁,故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網絡相比,無線局域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線局域網中的設備在實際通信時是逐跳的方式,要么是用戶設備發數據給接入設備,飯由接入設備轉發,要么是兩臺用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據,以使得接收方可以檢測到數據是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬件形式的病毒卡預防病毒,或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對于DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址,可以減小風險。對于內部的惡意用戶,則要通過審計分析,網絡安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當的。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸的數據要求有不可抵賴性,對于進出無線局域網的數據要求有防泄密措施,要求無線局域網癱瘓后能夠迅速恢復等等。所以,無線局域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網絡。
當考慮與其它安全系統的合作時,無線局域網的安全將限于提供數據的機密,數據的完整,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對于防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。
3.無線局域網安全風險
安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源,包括了在無線信道上傳輸的數據和無線局域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射臺發出的信號。當然,無線局域網的無線信號的接收并不像收音機那么簡單,但只要有相應的設備,總是可以接收到無線局域網的信號,并可以按照信號的封裝格式打開數據包,讀取數據的內容。
另外,只要按照無線局域網規定的格式封裝數據包,把數據放到網絡上發送時也可以被其它的設備讀取,并且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然后重新發送,而數據包的接收者并不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網絡的正常通信產生了極大的干擾,并有可能造成經濟損失。
3.2 無線局域網中主機面臨的威脅
無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現,除了目前有線網絡上流行的病毒之外,還可能會出現專門針對無線局域網移動設備,比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后,無線病毒的威脅可能會加劇。
對于無線局域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后,如果把IP地址直接暴露給外部網,那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網絡癱瘓。當某個惡意用戶接入網絡后,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效,同時硬件設備中的所有數據都可能會泄漏。
這樣,無線局域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的后果。
4.無線局域網安全性
無線局域網與有線局域網緊密地結合在一起,并且己經成為市場的主流產品。在無線局域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此,無線局域網的用戶主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力,否則人們還是對使用無線局域網存在顧慮。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)。
4.1.1認證
當一個站點與另一個站點建立網絡連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然后,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP )。
4.1.2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素
4.2.1 硬件設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網絡管理系統不可能檢測到這種問題,因此用戶必須立即通知網絡管理員。接到通知后,網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2 虛假接入點
IEEE802. 1 1b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證服務器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3 其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務器通信。
當無線局域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS服務器(或其它認證服務器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網絡,否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議,站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。
RADIUS服務器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內用時期密鑰和廣播密鑰通信。
網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網絡具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼采用不規則技術。
正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網絡的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中。
5.無線局域網安全技術的發展趨勢
目前無線局域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什么比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線局域網真正的騰飛并非一己之事。
無線局域網同樣需要與其他已經成熟的網絡進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網絡的互通,現在是一個趨勢。802.11工作組新成立了WIG,該工作組的目的在于使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上,實現無線局域網和G1VIS/GPRS的互通。
不同類型無線局域網互通標準的制定,使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線局域網設備,對用戶端設備,比如客戶端軟件,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線局域網接入NW的密鑰分配方法,無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線局域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線局域網認證機制應該支持會話密鑰素材的協商,所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下:UE(用戶設備)、3G-AAA(移動網絡的認證、授權和計帳服務器)、HSS(歸屬業務服務器)、CG/CCF(支付網關/支付采集功能)、OCS(在線計帳系統)。
對于漫游的互通情況時,3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下,一種常用的方法是將歸屬網絡和訪問網絡分開,歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。
在無線局域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線局域網連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程,有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。
美國電子電氣學會(IEEE) 802.11任務組于1997年6月推出IEEE802.11無線局域網標準,經過不斷的完善發展,現已成為最具影響力的無線局域網工業標準。到目前為止,已經的高速物理層標準如表1所示。
1.1 MIMO+OFDM技術分析
多入多出MIMO技術是一種在發射端和接收端同時使用多副天線的無線收發技術, 主要包括發射分集技術和空間復用技術。MIMO技術充分利用隨機衰落及多徑時延擴展,在不需要增加天線發送功率和頻譜資源情況下,利用MIMO信道提供的空間分集增益可以有效降低誤碼率,提高信道的容量和可靠性。MIMO收發模式可以用縮寫“Y*Z”來表示,分別代表發送天線數和接收天線數。IEEE802.11n設備默認支持2*2模式空間流,最多支持4*4模式無線鏈路進行空間復用;正交頻分復用OFDM技術是一種無線環境下多載波的高速擴頻傳輸技術,通過將給定頻域內的信道分成若干個正交子信道, 每個子信道都可以使用獨立的子載波(Sub Carrier),根據具體需要選擇不同調制方式進行調制,并且這些子載波可以并行發送,因此可以提高數據發送速度。同時,相互正交的子載波不但提高了頻譜利用率而且減小了子載波間的相互干擾。
MIMO可以有效利用多徑衰落提高信道容量,但對頻率選擇性衰落無能為力;OFDM技術可以有效利用頻率選擇性衰落,在不受帶寬和功率限制條件下, OFDM技術可以以任意速率傳輸。實際上WLAN只能在帶寬和功率受限的情況下提高信道傳輸能力。因此將MIMO和OFDM兩種技術相結合,可揚長避短實現最佳傳輸效果。MIMO-OFDM技術原理如圖1所示。
MIMO+OFDM技術在發送端將發送信息先進行信道編碼和MIMO編碼,然后將此Bit流進行串/并轉換分為多個分支,每個分支都進行OFDM處理,最后經MIMO陣列天線發送到無線信道中。接收端進行著與發射端進行相反的信號處理,并進行信道估計和同步等處理,最后恢復出與發送端發送一樣的比特流信息。
1.2 綁定的信道結構技術分析
比較不同通信系統的有效性時,單看它們的傳輸速率是不夠的,還應該看在這樣的傳輸速率下所占信道的寬度。所以真正衡量數字通信系統傳輸效率的應當是單位頻帶內的碼元傳輸速率,即頻譜效率(spectrum effectiveness),以比特每秒每赫茲為單位。
IEEE802.lln標準定義20MHz為強制信道,40MHz為可選信道。20MHz信道主要為了和802.11b/a/g兼容,且20MHz頻譜在世界范圍內都是可用的,可實現802.lln產品在全世界范圍統一。在每個信道20MHz帶寬下。IEEE802.lln使用了56個子載波,其中52個用于傳輸數據信號,4個用于傳輸導頻信號。40MHz信道由兩個相鄰的20MHz信道綁定在一起來實現的,其中心頻率處有三個空子載波(-1,0,1),原有的20MHz信道的中心頻率設定在新的40MHz信道的第+/-32個子載波處。-6至6是保護頻帶,為了增加吞吐量,40MHz信道使用的導頻子載波數是6個,數據子載波數是108個,子載波數總共為114個。盡管不是所有的子載波都可以用來傳輸數據,但子載波的數量仍然是越多越好,因為每多一個就意味著能多傳遞一組調制信號。因此,40MHz信道可提供比20MHz信道更高的數據吞吐量。
1.3 短保護間隔ShortGI技術分析
無線信號的收發過程并非一刻不停。為了保證收發效果,在接收發送之間或多次發送過程中,必須有一定的時間間隔,即保護間隔。在使用OFDM調制方式發送數據時,整個幀被劃分成不同的數據塊進行發送,在多徑環境下,后數據塊的前端比前一數據塊的末端更快到達接收機,從而引起數據塊間產生干擾。前后數據塊由不同路徑到達,前一數據塊尚未被接收機完全接收,后一數據塊卻由一個更短路徑到達。數據塊間干擾會降低射頻鏈路的SNR(signal to noise ratio)。GI是前后數據塊間的一段空白時間,可以為遲到信號提供更長的緩沖時間。
GI長度根據多徑狀態選擇。802.11a/g的GI時長為800ns, IEEE802.11n提供了一個可選項,當多徑情況較少、射頻環境較好時,允許用戶選擇啟用400 ns的保護間隔,即更短 GI (Short GI)特性,以得到更高的數據傳輸速率。在40MHz信道下,將保護間隔減小到最小的400ns,如果采用64-QAM調制方式、編碼率5/6、2個空間流來傳送,可將最大速率提升到300Mbps;如果采用64-QAM調制方式、編碼率5/6、4個空間流傳送, 可將最大速率提升到600Mbps,實現802.11n定義的最高速率。
1.4 低密度奇偶校驗碼編碼技術分析
IEEE802.11n采用LDPC糾錯編碼技術。在數字通信的領域中,廣泛使用糾錯編碼技術改善數字信道通信可靠性。糾錯編碼主要包括分組碼、卷積碼、LDPC碼和Turbo碼。LDPC是一類可以用非常稀疏的Parity-Check(奇偶校驗矩陣)定義的線性分組糾錯碼,其特點是:不僅有逼近Shannon限的良好性能,而且具有譯碼復雜度較低、較大的靈活性、可驗證性、可并行操作、適合硬件實現等優良特性。因此, 結合LDPC編碼技術的IEEE802.11n性能更加優越。
2 IEEE802.11n MAC層關鍵技術分析
IEEE802.11n物理層數據速率盡管非常高,但為了保持與802.11a/b/g的兼容, MAC層的幀間隔時間IFS(InterFrame Space)保持不變, PHY層包頭、廣播幀、組播幀和控制幀必須統一802.11數據速率發送,這導致MAC層的吞吐量受限。為此IEEE802.11n在原有的MAC層傳輸協議數據包切割和多速率傳輸基礎上提出了幀聚合、雙向傳輸、塊確認、減少幀間隔等關鍵技術,進一步提高MAC層數據吞吐量。同時,引入IEEE802.lle進一步擴展IEEE802.11n的服務質量Qos(Quality of Service)。
2.1 無線媒體訪問控制技術分析
IEEE802.11無線局域網MAC層具有無線媒體訪問、網絡連接、數據驗證和加密三個主要功能。其中無線媒體訪問協議稱為基于分布方式的無線媒體訪問控制協議(distributed function wireless MAC,DFW-MAC),它支持自組織結構(Ad hoc)和基礎結構(infrastructure)兩種類型的WLAN。IEEE802.11nMAC層在原有IEEE802.11標準分布協調功能(distr ibuted coordination function,DCF)和點協調功能(point coordination function,PCF)兩種無線媒體訪問控制方式基礎上,引入IEEE802.lle擴展支持Qos的HCF(Hybrid coordination function)信道接入方式。HCF包括可以提供優先級服務的增強型DCF(enhanced distributed channel access,EDCA)和可滿足參數化QoS要求的HCCA(HCF controlled channel access,HCCA)兩種接入方式。其中,DCF是IEEE 802.11最基本的媒體訪問控制方法, 是HCF和PCF的基礎,它提供基于競爭的數據接入服務,在所有站點(station, STA)上都進行實現。
DCF協議采用兩路握手的基本接入機制 (basic access)和可選的四路握手RTS/CTS兩種工作機制,它們都基于載波偵聽沖突避免多路訪問CSMA/CA技術和二進制指數退避算法。Basic access的接入時序如圖2(a)所示,發送端在發送數據之前,先監聽信道狀態,如果沒有人使用信道并維持大于等于DIFS時間段后,就立即占用信道并送出數據。反之必須等到信道空閑DIFS時間段后,進入退避過程進行競爭信道使用。
RTS/CTS機制可以有效解決隱藏終端從而達到減少碰撞損失的目的,其接入時序如圖2(b)所示。發送端發送數據前,先發送RTS報文 (Request to Send)給目標端,目標端收到后,向自己范圍內所有站點廣播CTS(Clear to Send )報文,隨后開始占用信道傳送數據信息。RTS/CTS可以確保隨后的數據傳輸不會發生碰撞。由于RTS/CTS封包很小,所以傳送的無效開銷比發生碰撞的開銷小很多。圖中NAV(network allocation vector)表示一個減法計時器,值的大小表示信道將被占用的時間長短。其它站點的NAV取值由當前信道上傳送的MAC幀中Duration域所攜帶的傳輸持續時間信息確定。
2.2 數據包聚合技術分析
IEEE802.11n主要有數據幀、控制幀和管理幀三種幀(Frame)類型。數據幀(Data Frame)負責在工作站之間搬運數據;控制幀(Control Frame )負責區域的清空、信道的取得以及載波監聽的維護,并于收到數據時予以肯定確認,借此提高工作站之間數據傳送的可靠性,包括RTS 幀、CTS 幀、ACK 幀、BlockAckReq幀和BlockAck等九種類型幀;管理幀(Management Frame)負責監督,主要用來加入或退出無線網絡以及處理接入點之間關聯的轉移事宜。Data Frame和Management Frame格式如圖3所示。
IEEE802.11n在MAC層對幀結構進行了進一步優化。 MAC幀主要包括MAC Header和Frame body兩個部分,為了向前兼容,MAC Header必須以基本速率發送。為了降低此部分發送時間上的開銷,IEEE802.11n將多個MAC幀進行聚合,使其共用一個PHY Header,從而有效提高負載的傳輸效率。根據聚合所在的子層的不同分為MAC層服務數據單元聚合(A-MSDU)、MAC層協議數據單元聚合(A-MPDU)、物理層協議數據單元聚合(A-PPDU)和物理層協議數據單元突發傳輸(PPDU Bursting) 四種。A-MSDU在邏輯鏈路控制層(LLC)和MAC層之間實現,A-MPDU在MAC層和PHY層之間實現,A-PPDU和 (PPDU Bursting)在PHY層實現。其中A-MSDU和A-MPDU聚合過程如圖4所示。
圖4中DA是數據包的最終接收實體的地址,SA是發送數據包的MAC實體地址,Padding是填充字段,Delimiter是分隔符。A-MSDU中每個MSDU具有相同的MAC Header、PHY Header和FCS,因此A-MSDU聚合度很高且發往同一個目的地址,同時傳輸可靠性較差,只適合小數據包MSDU的批量發送。A-MPDU中每個MSDU具有獨立的MAC Header和FCS,因此A-MPDU可發往不同的目的地址且具有較高的傳輸可靠性,效率比較前者略底;采用A-PPDU和PPDU聚合方式傳輸,雖然可靠性提高了,但在PHY層數據速率很高且聚合個數較多時效率下降很快。
2.3雙向傳輸機制(reverse direction function)分析
雙向傳輸機制是指通過高效利用傳輸機會TXOP(Transmission Opportunity),實現無線網絡高速傳輸的一種機制。TXOP是一個有限的時間區間,當發送方站點通過競爭獨占信道之后,在TXOP時間內發送完自己的數據后,如果TXOP時間還有剩余,就可以通知接受方在剩余的TXOP時間內,進行反向傳輸而無需再競爭信道的使用權。雙向傳輸機制實例如圖5所示。
雙向傳輸機制主要用于在EDCA、HCCA和非TXOP的DCF信道接入機制,并且發送方要傳輸數據量較少時,通過提高站點TXOP利用率來提高系統的吞吐量。
2.4 塊應答(Block Ack)技術分析
802.11協議為了提高數據傳輸的可靠性,規定接收端每收一個數據幀,應該立即采用ACK應答。因此,當采用這種方式接收端在收到聚合幀A-MPDU后,就需要對其中的每一個MPDU進行處理并逐個發送應答幀ACK。在高速的802.11n中,為了降低每一次由于競爭使用信道和多ACK應答帶來的時間損耗,接收方在連續接收多個數據幀后通過Block Acknowledgement方式,使用一個ACK幀來完成對多個MPDU的應答,以降低這種情況下ACK幀的數量,這種方式就叫做Block ACK方式。Block ACK有延遲型Block ACK和立即型Block ACK兩種方式,Block ACK方式也可使用于非聚合的MPDU。塊應答與幀間間隔實例如圖6所示。
2.5 精簡幀間間隔(Reduced InterFrame Spacing)技術分析
幀間間隔IFS(InterFrame Space)是指在收發雙方傳輸數據幀時,每兩個數據幀之間要有一個固定的時間間隔。在802.11網絡中,有四種不同的幀間隔時間,這四種IFS按照時間從短到長的順序依次為:SIFS(Short InterFrame Space)、PIFS(PCF InterFrame Space)、DIFS(DCF InterFrame Space)和EIFS(Extended InterFrame Space)。在IEEE 802.11不同標準中,aSlotTime和不同類型幀間間隔時間的值不同,如表2所示。
其中SIFS是最小幀間隔,發送方和接收方數據幀傳輸時使用,采用SIFS的節點具有訪問無線鏈路的最高優先級,如圖6(a) (b) (c)所示。DFC接入方式時使用DIFS時間間隔,PCF接入方式時使用PIFS時間間隔,EIFS時間間隔用于收發雙方差錯處理。此外,還有支持Qos的仲裁幀間間隔AIFS,AIFS值的大小應根據數據類型設置。在802.11n網絡中采用精簡幀間間隔RIFS, 如圖6(b) (c)所示,把原來的每發一個兩個幀幀間間隔從SIFS的10μs或16μs調整為RIFS的2μs ,以適應IEEE802. 11n高傳輸速率要求。
3 結束語
基于IEEE802.11n技術的無線局域網絡不再是簡單的接入層,已經成為與3G網絡對等的移動互聯網中重要的高速數據承載平臺。目前,基于802.11n技術的運營商網絡和終端市場份額在逐步擴大,已經超過了50%甚至更高的份額。但由于現有終端大部分只支持802.11a/b/g標準,所以要組建純802.11n標準的網絡面臨著用戶發展的問題。在向高速802.11n無線局域網發展過程中,必需考慮與原有802.11a/b/g標準的兼容。在802.11n發展初期,運營商可先采用雙頻設備組網,等到大部分終端都支持802.11n標準后,再通過對設備的重新配置等手段統一為802.11n單模組網。同時,在利用802.11n技術組網時還需要根據具體的復雜的無線環境,科學規劃頻率資源,合理配置網絡參數,并進一步深入研究802.lln多信道管理、鏈路自適應、網絡安全、天線選擇以及與影響系統吞吐量提升的相關技術,以便使用戶享受到IEEE802.11n帶來的安全、高速、高質量的無線網絡服務體驗。
參考文獻:
[1] 郭剛,陸曉峰.IEEE802.11n MAC性能優化策略分析[J].計算機工程與科學,2009,31(3):13-15.
.電信工程技術與標準化,2011,(4):1-6.
[3] 毛建兵,毛玉明.基802.11的多信道MAC協議性能分析[J].計算機研究與發展,2009 46(10):1651-1659.
[4] 溫景容,甄巖,武穆清.IEEE 802.11e EDCA在Ad Hoc網絡中應用仿真分析[J].小型微型計算機系統,2010,(5):908-911.
汽車正在成為黑客們的下一個目標。各大影院熱映的《速度與激情6》已經生動地為看客們展示了未來黑客們的入侵——或許,在未來,當某個“重要人物”駕駛智能轎車飛速奔赴目的地時,千里之外的黑客,只是輕輕動了動手指,就讓他的汽車再也開不起來,從而使他的計劃“泡了湯”。
8月初,在位于拉斯維加斯舉行的全球規模最大的國際黑客大會(Def Con hacking convention)上,Twitter公司軟件安全工程師米勒(Charlie Miller)和IOActive安全公司智能安全總監瓦拉賽克(Chris Valasek)——這兩位曾因尋找到微軟和蘋果軟件的漏洞而名聲大振的工程師,在獲得美國政府許可的情況下,了他們攻擊汽車數月后的研究。
“壞小子”們在長達100頁的白皮書中,詳細闡述攻擊豐田普銳斯(Prius)和福特翼虎(Escape)關鍵系統的方法——他們讓以每小時130公里速度行駛的豐田普銳斯突然剎車,當然也可以讓汽車突然加速,甚至控制方向盤。還讓福特翼虎在慢速行駛時剎車失靈,司機不論用多大力氣踩剎車都于事無補。
當然,他們的研究并非為了為非作歹,“殺人于無形之中”,而是為了搶在不法分子之前找到系統漏洞,這類黑客被稱為“白帽黑客”。
米勒和瓦拉賽克希望他們的數據能激勵其他“白帽黑客”去發現更多的汽車安全漏洞,這樣就能夠加以修復。米勒調侃道:“與其相信福特和豐田的眼光,我倒寧可相信100名安全研究人士的眼力。”
這樣看來,似乎汽車“太智能”也會帶來困擾。當移動互聯網技術進入汽車,汽車更像是一個個“移動終端”時候,如何來保證未來的駕駛安全?其實早在2011年,就有學術界人士談到如何利用藍牙系統和無線網絡入侵汽車,不過在當時,學術界人士對細節秘而不宣,甚至拒絕透露他們入侵了什么型號的車輛。
被研究的“對象”有點坐不住了。豐田發言人漢森(John Hanson)稱豐田正對此加以評估。他稱,豐田在汽車電子安全方面投入了大量資金,但還是存在一些漏洞。而福特發言人戴奇(Craig Daitch)稱,福特認真看待其車輛的電子安全。但他指出,由于米勒和瓦拉賽克的攻擊方法必須要坐在目標車輛里才能實現,因此實際風險是相對較低的。
同樣被暴露出軟件存在漏洞的還有大眾汽車旗下的4個豪華車品牌。英國伯明翰大學的加西亞(Flavio D. Garcia)、荷蘭內梅亨大學的維杜特(RoelVerdult)和艾齊(BarisEge)一直致力于研究如何突破奧迪、保時捷、賓利和蘭博基尼等大眾汽車集團旗下豪華車品牌的Megamos Crypto防護系統。三人發現了車輛內部的獨特邏輯代碼,以及能夠允許車輛識別點火鑰匙的特征。而目前,除了大眾以外,不少其他車企的點火鑰匙也使用Megamos Crypto邏輯。
“白帽三劍客”基于研究撰寫的論文原本計劃在今年8月美國華盛頓Usenix安全研討會上發表,但此舉遭到大眾汽車反對,大眾稱,論文泄露啟動密碼可能“使得某些人,尤其是經驗豐富的犯罪集團獲得利器,輕易地突破車輛安全系統并實施盜竊”。
大眾近而向英國高等法院提訟,并獲得了英國高院的支持。英國高院了暫時性禁令,阻止他們,其所屬的兩所大學的內部刊物也表示將遵從禁令,暫緩發表該論文。
對此,專家們表示不滿,認為只是在進行“合法的學術研究”,目的是為所有人改善安全狀況。被法院禁止后,三人決定退出今年的研討會。
盡管還沒有消費者因汽車被黑造成事故,但美國國家公路交通安全管理局發表的一份聲明中表示:“電子控制和連接越來越多,它強化了交通安全和效率,但給抵抗潛在缺陷帶來新挑戰。”
安全專家也在表示,由于對計算機依賴程度日益增加的新無線技術能夠使汽車更安全、能耗更低、更現代化,汽車遭黑客攻擊已開始由以前的理論轉入現實世界。
