国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

您現(xiàn)在的位置: 通信界 >> 無線通信 >> 技術(shù)正文  
 
無線局域網(wǎng)(WLAN)安全機(jī)制分析
[ 通信界 / 胡萍 王長林 / www.6611o.com / 2006/11/29 10:30:12 ]
 

胡萍 王長林
(西南交通大學(xué)計(jì)算機(jī)與通信工程學(xué)院,四川 成都 610031)


  摘 要:無線局域網(wǎng)(Wireless LAN,以下簡稱WLAN)是近年來發(fā)展迅速的無線數(shù)據(jù)通訊網(wǎng)。安全性能,成為無線局域網(wǎng)的關(guān)鍵性能之一。本文分析了目前無線局域網(wǎng)主要使用的基本安全機(jī)制的主要技術(shù)特點(diǎn)和缺點(diǎn),介紹了最新發(fā)展的幾種無線局域網(wǎng)安全機(jī)制。最后提出無線局域網(wǎng)安全機(jī)制的發(fā)展方向。
  關(guān)鍵詞:WLAN 安全機(jī)制 加密 認(rèn)證

  由于無線通信開放的傳輸介質(zhì),使得WLAN的安全性能一直是人們關(guān)注的焦點(diǎn),盡管802.11b/a/g等一系列無線局域網(wǎng)標(biāo)準(zhǔn)相繼出臺(tái),但是WLAN的安全性能仍有待進(jìn)一步提升。
1 WLAN目前最常用安全措施
  雖然802.11a/g標(biāo)準(zhǔn)已經(jīng)制定,但是目前最廣泛使用的WLAN產(chǎn)品仍然是802.11b產(chǎn)品。802.11b主要定義了以下幾種無線局域網(wǎng)基本安全機(jī)制:
  (1)服務(wù)集標(biāo)識(shí)符(SSID);
  (2)物理地址(MAC)過濾控制;
  (3)有線對(duì)等保密機(jī)制(WEP)。
1.1 服務(wù)集標(biāo)識(shí)符(SSID)
  無線局域網(wǎng)中,首先為多個(gè)接入點(diǎn)(Access Point, AP)配置不同的服務(wù)集標(biāo)識(shí)符(Service Set Identifier,SSID),無線終端必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。若某移動(dòng)終端企圖接入WLAN,Access Point首先檢查無線終端出示的SSID,符合則允許接入WLAN。
  SSID機(jī)制在WLAN中實(shí)際上為客戶端和AP提供了一個(gè)共享密鑰,SSID由AP對(duì)外廣播,非常容易被非法入侵者竊取,通過AP入侵WLAN。甚至非法入侵者亦可偽裝為AP,達(dá)到欺騙無線終端的目的。

1.2 物理地址(MAC)過濾控制
  物理地址過濾控制是采用硬件控制的機(jī)制來實(shí)現(xiàn)對(duì)接入無線終端的識(shí)別。由于無線終端的網(wǎng)卡都具備唯一的MAC地址,因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來識(shí)別無線終端的合法性。地址過濾控制方式要求預(yù)先在AP服務(wù)器中寫入合法的MAC地址列表,只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機(jī)與之通信,實(shí)現(xiàn)物理地址過濾。
  但是由于很多無線網(wǎng)卡支持重新配置MAC地址,因此非法入侵者很有可能從開放的無線電波中截獲數(shù)據(jù)幀,分析出合法用戶的MAC地址,然后偽裝成合法用戶,非法接入WLAN,使得網(wǎng)絡(luò)安全遭到破壞。另外,隨著無線終端的增減,MAC地址列表需要隨時(shí)更新,但是AP設(shè)備中的合法MAC地址列表目前都是手工維護(hù),因此這種方式的擴(kuò)展能力很差,只適合于小型無線網(wǎng)絡(luò)使用。
1.3 有線對(duì)等保密機(jī)制(WEP)
  在802.11中有一個(gè)對(duì)數(shù)據(jù)基于共享密鑰的加密機(jī)制,稱為“有線對(duì)等保密WEP”(Wired Equivalent Privacy)的技術(shù), WEP是一種基于RC-4算法的40bit或128bit加密技術(shù)。移動(dòng)終端和AP可以配置4組WEP密鑰, 加密傳輸數(shù)據(jù)時(shí)可以輪流使用,允許加密密鑰動(dòng)態(tài)改變。
  由于WEP機(jī)制中所使用密鑰只能是4組中的一個(gè),因此其實(shí)質(zhì)上還是靜態(tài)WEP加密。    同時(shí),AP和它所聯(lián)系的所有移動(dòng)終端都使用相同的加密密鑰,使用同一AP的用戶也使用相同的加密密鑰, 因此帶來如下問題: 一旦其中一個(gè)用戶的密鑰泄漏,其他用戶的密鑰也無法保密了。
2 構(gòu)建安全的無線局域網(wǎng)
  為了提高無線局域網(wǎng)的安全性,必須引入更加安全的認(rèn)證機(jī)制、加密機(jī)制以及控制機(jī)制。
2.1 虛擬專用網(wǎng)絡(luò)(VPN)
  虛擬專用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,只要具有IP的連通性,就可以建立VPN。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,它是一種以更強(qiáng)大更可靠的加密方法來保證傳輸安全的一種新技術(shù)。
  對(duì)于無線商用網(wǎng)絡(luò),基于VPN 的解決方案是當(dāng)今WEP機(jī)制和MAC地址過濾機(jī)制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中,VPN在不可信的網(wǎng)絡(luò)(如Internet)上提供一條安全、專用的通道或隧道。各種隧道協(xié)議,包括點(diǎn)到點(diǎn)的隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用,例如遠(yuǎn)程用戶接入認(rèn)證服務(wù)協(xié)議(RADIUS)。同樣的,VPN技術(shù)可以應(yīng)用在無線的安全接入上,在這個(gè)應(yīng)用中,不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)。AP可以被定義成無WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無線網(wǎng)絡(luò)分割成多個(gè)無線服務(wù)子網(wǎng)),但是無線接入網(wǎng)絡(luò)已經(jīng)被VPN 服務(wù)器和VLAN(AP和VPN 服務(wù)器之間的線路)從企業(yè)內(nèi)部網(wǎng)絡(luò)中隔離開來。VPN服務(wù)器提供無線網(wǎng)絡(luò)的認(rèn)證和加密,并充當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。與WEP機(jī)制和MAC地址過濾接入不同,VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。
2.2  RADIUS遠(yuǎn)程認(rèn)證撥入用戶協(xié)議
  RADIUS認(rèn)證機(jī)制是在認(rèn)證過程中提供認(rèn)證信息的安全方法,無線終端和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點(diǎn)進(jìn)行雙向認(rèn)證。企業(yè)不需要管理每個(gè)無線接入點(diǎn)內(nèi)部的MAC地址表或用戶,通過在RADIUS系統(tǒng)內(nèi)設(shè)置單一數(shù)據(jù)庫,就可以簡化管理,又能提供一種更有效的可擴(kuò)展集中認(rèn)證機(jī)制,接入點(diǎn)的作用如同一個(gè)RADIUS用戶,它可收集用戶認(rèn)證信息并把這些信息傳送到指定的RADIUS服務(wù)器上。RADIUS服務(wù)器接收用戶的各種連接請(qǐng)求,進(jìn)行用戶鑒別,對(duì)接入點(diǎn)做出響應(yīng),向用戶提供服務(wù)所必須的信息。接入點(diǎn)對(duì)RADIUS服務(wù)器的回復(fù)響應(yīng)起作用,許可或拒絕網(wǎng)絡(luò)接入。擴(kuò)展認(rèn)證協(xié)議(EAP)是RADIUS的擴(kuò)展。可以使無線客戶適配器與RADIUS服務(wù)器通信。
2.3  802.1X端口訪問控制機(jī)制
  802.1x標(biāo)準(zhǔn),這是一種基于端口訪問控制技術(shù)的安全機(jī)制,針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn)。盡管802.1x標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的,但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng),被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。這個(gè)MAC地址層安全協(xié)議存在于安全過程中的認(rèn)證階段。應(yīng)用802.1x,當(dāng)一個(gè)設(shè)備請(qǐng)求接入AP時(shí), AP需要一個(gè)信任集。用戶必須提供一定形式的證明讓AP通過一個(gè)標(biāo)準(zhǔn)的RADIUS(遠(yuǎn)程撥號(hào)用戶認(rèn)證服務(wù))服務(wù)器進(jìn)行鑒別和授權(quán)。
  當(dāng)無線終端與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶接入網(wǎng)絡(luò)。
  對(duì)驗(yàn)證服務(wù)器與AP之間的數(shù)據(jù)通信進(jìn)行加密處理,將802.11與RADIUS服務(wù)器和802.1x標(biāo)準(zhǔn)相結(jié)合,可以為WLAN提供認(rèn)證和加密這兩項(xiàng)安全措施外,還可提供密鑰管理功能,快速重置密鑰,使用802.1x周期性地把這些密鑰傳送給各相關(guān)用戶,而這正是802.11所缺乏的。
2.4  WPA(Wi-Fi Protected Access)協(xié)議和強(qiáng)健安全網(wǎng)絡(luò)(RSN)
  在采用WEP安全標(biāo)準(zhǔn)的情況下,擁有WLAN的網(wǎng)絡(luò)不能成為企業(yè)的核心網(wǎng),只能是接入網(wǎng),所以必須解決WLAN的安全問題。因此,即將推出的802.11i標(biāo)準(zhǔn),是圍繞802.1X基于端口的用戶和設(shè)備認(rèn)證展開的。它主要包含兩方面的開發(fā):WPA和RSN。
2.4.1 無線保護(hù)訪問(WPA)規(guī)范
  無線保護(hù)訪問(Wi-Fi Protected Access,WPA)的Wi-Fi聯(lián)盟的規(guī)范包括為資料加密以及網(wǎng)絡(luò)訪問控制而新制訂的802.11i標(biāo)準(zhǔn)。
  WPA采用密鑰集成協(xié)議(Temporal Key Integrity Protocol ,TKIP)和算法進(jìn)行加密。 TKIP與WEP同樣基于RC4加密算法,但是TKIP引入4個(gè)新算法。
   WPA將使用IEEE 802.1x端口訪問控制協(xié)議進(jìn)行訪問控制,這是最近才完成的既控制登錄有線也控制登錄無線局域網(wǎng)的標(biāo)準(zhǔn)。運(yùn)用WPA技術(shù),每一個(gè)用戶都有自己的加密密鑰,并且可以定期更改密鑰。
  在企業(yè)里,用戶身份認(rèn)證將通過認(rèn)證服務(wù)器進(jìn)行,與WEP相比,它能擴(kuò)展更多的用戶。家庭網(wǎng)絡(luò)用戶通過“預(yù)共享密鑰”模式就能使用,不需要身份認(rèn)證服務(wù)器。
  WPA的主要目的是在老設(shè)備上引入安全孔概念,通過固件和驅(qū)動(dòng)程序升級(jí)。
2.4.2 強(qiáng)健安全網(wǎng)絡(luò)(RSN)
  強(qiáng)健安全網(wǎng)絡(luò)在接入點(diǎn)和移動(dòng)設(shè)備之間使用的是動(dòng)態(tài)身份驗(yàn)證方法和加密運(yùn)算法則。在802.11i標(biāo)準(zhǔn)草案中所建議的身份驗(yàn)證方案是以802.1X協(xié)議和“可擴(kuò)展身份驗(yàn)證協(xié)議” (EAP)為依據(jù)的。加密運(yùn)算法則使用的是“高級(jí)加密標(biāo)準(zhǔn)”AES加密算法。
  認(rèn)證和加密算法的動(dòng)態(tài)談判能使RSN具有靈活的升級(jí)能力,隨著安全技術(shù)的進(jìn)步,可以加入新的算法,對(duì)付新的威脅。使用動(dòng)態(tài)談判、802.1x、EAP和AES,RSN明顯比WEP和WPA安全性更高。但RSN對(duì)硬件要求較高,只有擁有加速處理算法硬件的新設(shè)備,才能顯示出WLAN產(chǎn)品所期望的性能。
  總之,WPA在一定程度上改進(jìn)了老設(shè)備的安全性能,而RSN才是802.11無線安全的未來。
3 結(jié)束語
  無線網(wǎng)絡(luò)安全是一個(gè)不斷改善和升級(jí)的過程,當(dāng)前WLAN所使用的主要安全機(jī)制包括SSID、物理地址(MAC)過濾、有線對(duì)等保密機(jī)制(WEP)都已經(jīng)在實(shí)際使用中顯露出弊端。將802.1x端口控制技術(shù)、EAP認(rèn)證機(jī)制和AES加密算法相結(jié)合,可以使WLAN安全性能得到較大提高。隨著無線技術(shù)迅猛發(fā)展,無線通信安全尚待進(jìn)一步發(fā)展和完善,將用戶的認(rèn)證和傳輸數(shù)據(jù)的加密等多種措施結(jié)合起來,才能構(gòu)筑安全的無線局域網(wǎng)。

參考文獻(xiàn):
[1]  D.Newman,K.Tolly.Wireless LANs:How Far?How Fast.Data Comm.2001.
[2]  Wirless LAN Product List.Data Comm. Asia-Pacific.2000
[3]  IEEE802.11標(biāo)準(zhǔn),Wireless LAN Media Access Control (MAC) and Physical Layer(PHY) Specifications[S].2002.
[4]  郭峰,曾興雯等.無線局域網(wǎng).電子工業(yè)出版社. 1997

 

作者:胡萍 王長林 合作媒體:四川省通信學(xué)會(huì) 編輯:顧北

 

 

 
 熱點(diǎn)技術(shù)
普通技術(shù) “5G”,真的來了!牛在哪里?
普通技術(shù) 5G,是偽命題嗎?
普通技術(shù) 云視頻會(huì)議關(guān)鍵技術(shù)淺析
普通技術(shù) 運(yùn)營商語音能力開放集中管理方案分析
普通技術(shù) 5G網(wǎng)絡(luò)商用需要“無憂”心
普通技術(shù) 面向5G應(yīng)運(yùn)而生的邊緣計(jì)算
普通技術(shù) 簡析5G時(shí)代四大關(guān)鍵趨勢
普通技術(shù) 國家網(wǎng)信辦就《數(shù)據(jù)安全管理辦法》公開征求意見
普通技術(shù) 《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)直連通信使用5905-5925MHz頻段管理規(guī)定(
普通技術(shù) 中興通訊混合云解決方案,滿足5G多元業(yè)務(wù)需求
普通技術(shù) 大規(guī)模MIMO將帶來更多無線信道,但也使無線信道易受攻擊
普通技術(shù) 蜂窩車聯(lián)網(wǎng)的標(biāo)準(zhǔn)及關(guān)鍵技術(shù)及網(wǎng)絡(luò)架構(gòu)的研究
普通技術(shù) 4G與5G融合組網(wǎng)及互操作技術(shù)研究
普通技術(shù) 5G中CU-DU架構(gòu)、設(shè)備實(shí)現(xiàn)及應(yīng)用探討
普通技術(shù) 無源光網(wǎng)絡(luò)承載5G前傳信號(hào)可行性的研究概述
普通技術(shù) 面向5G中傳和回傳網(wǎng)絡(luò)承載解決方案
普通技術(shù) 數(shù)據(jù)中心布線系統(tǒng)可靠性探討
普通技術(shù) 家庭互聯(lián)網(wǎng)終端價(jià)值研究
普通技術(shù) 鎏信科技CEO劉舟:從連接層構(gòu)建IoT云生態(tài),聚焦CMP是關(guān)鍵
普通技術(shù) SCEF引入需求分析及部署應(yīng)用
  版權(quán)與免責(zé)聲明: ① 凡本網(wǎng)注明“合作媒體:通信界”的所有作品,版權(quán)均屬于通信界,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:通信界”。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。 ② 凡本網(wǎng)注明“合作媒體:XXX(非通信界)”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。 ③ 如因作品內(nèi)容、版權(quán)和其它問題需要同本網(wǎng)聯(lián)系的,請(qǐng)?jiān)谝辉聝?nèi)進(jìn)行。
通信視界
華為余承東:Mate30總體銷量將會(huì)超過兩千萬部
趙隨意:媒體融合需積極求變
普通對(duì)話 苗圩:建設(shè)新一代信息基礎(chǔ)設(shè)施 加快制造業(yè)數(shù)字
普通對(duì)話 華為余承東:Mate30總體銷量將會(huì)超過兩千萬部
普通對(duì)話 趙隨意:媒體融合需積極求變
普通對(duì)話 韋樂平:5G給光纖、光模塊、WDM光器件帶來新機(jī)
普通對(duì)話 安筱鵬:工業(yè)互聯(lián)網(wǎng)——通向知識(shí)分工2.0之路
普通對(duì)話 庫克:蘋果不是壟斷者
普通對(duì)話 華為何剛:挑戰(zhàn)越大,成就越大
普通對(duì)話 華為董事長梁華:盡管遇到外部壓力,5G在商業(yè)
普通對(duì)話 網(wǎng)易董事局主席丁磊:中國正在引領(lǐng)全球消費(fèi)趨
普通對(duì)話 李彥宏:無人乘用車時(shí)代即將到來 智能交通前景
普通對(duì)話 中國聯(lián)通研究院院長張?jiān)朴拢弘p輪驅(qū)動(dòng)下,工業(yè)
普通對(duì)話 “段子手”楊元慶:人工智能金句頻出,他能否
普通對(duì)話 高通任命克里斯蒂安諾·阿蒙為公司總裁
普通對(duì)話 保利威視謝曉昉:深耕視頻技術(shù) 助力在線教育
普通對(duì)話 九州云副總裁李開:幫助客戶構(gòu)建自己的云平臺(tái)
通信前瞻
楊元慶:中國制造高質(zhì)量發(fā)展的未來是智能制造
對(duì)話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對(duì)話 楊元慶:中國制造高質(zhì)量發(fā)展的未來是智能制造
普通對(duì)話 對(duì)話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對(duì)話 對(duì)話倪光南:“中國芯”突圍要發(fā)揮綜合優(yōu)勢
普通對(duì)話 黃宇紅:5G給運(yùn)營商帶來新價(jià)值
普通對(duì)話 雷軍:小米所有OLED屏幕手機(jī)均已支持息屏顯示
普通對(duì)話 馬云:我挑戰(zhàn)失敗心服口服,他們才是雙11背后
普通對(duì)話 2018年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點(diǎn)示范項(xiàng)目名單出爐 2
普通對(duì)話 陳志剛:提速又降費(fèi),中國移動(dòng)的兩面精彩
普通對(duì)話 專訪華為終端何剛:第三代nova已成為爭奪全球
普通對(duì)話 中國普天陶雄強(qiáng):物聯(lián)網(wǎng)等新經(jīng)濟(jì)是最大機(jī)遇
普通對(duì)話 人人車?yán)罱。航衲臧l(fā)力金融 拓展汽車后市場
普通對(duì)話 華為萬飚:三代出貴族,PC產(chǎn)品已走在正確道路
普通對(duì)話 共享退潮單車入冬 智享單車卻走向盈利
普通對(duì)話 Achronix發(fā)布新品單元塊 推動(dòng)eFPGA升級(jí)
普通對(duì)話 金柚網(wǎng)COO邱燕:天吳系統(tǒng)2.0真正形成了社保管