论文部分内容阅读
摘 要:网络技术的发展是日新月异,无线网络使人们彻底摆脱了网线的束缚,但是无线网络就好像一把双刃剑,它让人们在享受科技带来的便利性的同时,它安全问题更是层出不穷,小到用户流量的占用,大到敏感数据的丢失。信息安全根据需要采用合适的安全防护措施,以达到便利性与安全性的平衡。
关键词:无线网络;认证;加密
中图分类号:TN711 文献标识码:A 文章编号:1006-4117(2011)10-0327-01
WLAN(无线局域网)的工作原理是在原有有线网络的基础上增加无线接收设备,利用射频信号发送和接收数据,使网络上的终端设备具有移动性和易用性。与传统有线网络相比,WLAN安装便捷,一般只要安放一个或多个无线接入点(AP)就可以覆盖整个建筑物或区域。但是由于无线信道开放的特点,无线信号完全可以到达预期之外的地点,使得攻击者能够很容易的进行接收窃听,因此WLAN的安全性就成为阻碍其发展的一个重要因素。以下将对在无线局域网中常用的安全技术进行分析。
一、基本的无线安全技术
(一)物理地址过滤(MAC)
物理地址(MAC)标识是由网卡生产商固化在网卡的ROM中的,并且每个无线客户端网卡的物理地址都是唯一的。所以可以预先在无线AP中设定一组允许访问该无线网络的MAC地址列表,以实现基于物理地址过滤方式。虽然这种基于物理地址过滤的方法实现起来比较简单,但是由于这种方法需要网络管理员手工维护可以访问的MAC地址列表,所以这种过滤方法的效率会随着移动终端数目的增加而降低,而且目前市面上的许多无线网卡的自带应用程序都可以手工指定MAC地址,黑客可以通过监听并盗用到合法的MAC地址来侵入网络。
(二)有线对等保密(WEP)
有线对等保密协议WEP是在1999年由IEEE802.11标准中提出的认证加密方法。WEP其基本思想是通过收发双方共享的密钥来加解密双方交换的数据部分。WEP加解密原理图如下:
WEP使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,由于其使用的初始化向量(IV)实在太小,仅有24位。在例如使用airsnort软件截获到足够的包涵具有相同IV值的WEP帧后,提取出初始化向量(IV),破解一个64位或128位密钥也仅仅需要五到十五分钟的时间而已。更为严重的是由于网络内的所有客户端都共享同一把密钥,倘若出现“内鬼”或者丢失密钥,会危及到整个网络的安全。
二、相对安全的无线安全技术
(一)Wi-Fi网络安全存取(WPA):由于WEP的先天性不足,已被研究者证实含有几个严重漏洞。于是,Wi-Fi联盟在2002年下半年提出了WEP的升级版WPA(Wi-Fi Protected Access),WPA在安全的防护上比WEP更为周密,增强了用户认证、加密机制和数据完整性保护等方面的功能。WPA在认证阶段会强制性要求用户提供凭据来证明其合法性,WPA的认证分为两种:一种是适用于大中型企业网络,这种模式需要搭建专用的认证服务器。认证服务器通过验证客户端出示的用户名和密码来判别用户的访问权限,并根据认证结果向AP发出打开或者关闭端口的状态。它还采用了以EAP(可扩展认证协议,Extensible Authentication Protocol)为核心的用户审核机制,可以审核接入用户的ID,在一定程度上可避免黑客非法入侵。另一种则是称之为预共享密钥模式(pre-shared key,PSK)也称为个人模式,这种模式不需要认证服务器,适用于小企业用户和个人用户,只是要求在各个环节预先分配好密钥,只要密钥吻合就可以访问网络。WPA的加密采用了TKIP(Temporal Key Integrity Protocol)临时密钥完整性协议的加密算法,并定义了更大长度的密钥(为128位),并将初始向量(IV)由原先WEP的24位增加到了48位。由于TKIP的介入,使得WEP的单一密钥变成上百亿的动态密钥,即便仍然采用RC4的加密算法,由于其动态密钥的特性使其难以被攻破。在数据完整性保护方面,WPA在每一个明文消息末端都包含了一个消息完整性校验(MIC),并采用了高安全性的Michael算法来确保信息不会被“哄骗”,可以防止黑客截取数据报文、篡改后重发。
(二)IEEE 802.11i:WPA虽然相对于WEP在安全性上有很大的提高,但仅仅依靠增加密钥和初始向量的长度以及采用TKIP作为加密算法也只能延长黑客破解时间。为了进一步提升无线网络的安全性,在2004年6月IEEE正式通过了IEEE 802.11i标准。IEEE802.11i标准采用基于AES(Advanced Encryption Standard)算法的CCMP(CBC-MAC Protocol)加密技术,是目前WLAN支持的最安全的数据报文保护机制。802.11i的认证机制通过无线客户端与认证服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥。值得一提的是,AP与每个客户端之间通讯的加密密钥都不相同,而且会定期更换,很大程度上保证了通讯的安全。IEEE 802.11i引入AES算法,AES是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。AES加密算法使用128bit分组加码数据,它的输出更具有随机性。对采用AES算法加密的密文进行攻击时,黑客不仅需要几乎整个的密码本还需要截获到相关的大量包含密钥的密文,需要耗费很大的资源和时间。此外,AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。利用此算法加密,无线局域网的安全性可以大幅度提高,从而能够更为有效地防御外界攻击。
作者单位:连云港广播电视大学现代教育技术中心
作者简介:陈栋(1981— ),男,江苏连云港人,连云港广播电视大学 现代教育技术中心,讲师。
关键词:无线网络;认证;加密
中图分类号:TN711 文献标识码:A 文章编号:1006-4117(2011)10-0327-01
WLAN(无线局域网)的工作原理是在原有有线网络的基础上增加无线接收设备,利用射频信号发送和接收数据,使网络上的终端设备具有移动性和易用性。与传统有线网络相比,WLAN安装便捷,一般只要安放一个或多个无线接入点(AP)就可以覆盖整个建筑物或区域。但是由于无线信道开放的特点,无线信号完全可以到达预期之外的地点,使得攻击者能够很容易的进行接收窃听,因此WLAN的安全性就成为阻碍其发展的一个重要因素。以下将对在无线局域网中常用的安全技术进行分析。
一、基本的无线安全技术
(一)物理地址过滤(MAC)
物理地址(MAC)标识是由网卡生产商固化在网卡的ROM中的,并且每个无线客户端网卡的物理地址都是唯一的。所以可以预先在无线AP中设定一组允许访问该无线网络的MAC地址列表,以实现基于物理地址过滤方式。虽然这种基于物理地址过滤的方法实现起来比较简单,但是由于这种方法需要网络管理员手工维护可以访问的MAC地址列表,所以这种过滤方法的效率会随着移动终端数目的增加而降低,而且目前市面上的许多无线网卡的自带应用程序都可以手工指定MAC地址,黑客可以通过监听并盗用到合法的MAC地址来侵入网络。
(二)有线对等保密(WEP)
有线对等保密协议WEP是在1999年由IEEE802.11标准中提出的认证加密方法。WEP其基本思想是通过收发双方共享的密钥来加解密双方交换的数据部分。WEP加解密原理图如下:
WEP使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,由于其使用的初始化向量(IV)实在太小,仅有24位。在例如使用airsnort软件截获到足够的包涵具有相同IV值的WEP帧后,提取出初始化向量(IV),破解一个64位或128位密钥也仅仅需要五到十五分钟的时间而已。更为严重的是由于网络内的所有客户端都共享同一把密钥,倘若出现“内鬼”或者丢失密钥,会危及到整个网络的安全。
二、相对安全的无线安全技术
(一)Wi-Fi网络安全存取(WPA):由于WEP的先天性不足,已被研究者证实含有几个严重漏洞。于是,Wi-Fi联盟在2002年下半年提出了WEP的升级版WPA(Wi-Fi Protected Access),WPA在安全的防护上比WEP更为周密,增强了用户认证、加密机制和数据完整性保护等方面的功能。WPA在认证阶段会强制性要求用户提供凭据来证明其合法性,WPA的认证分为两种:一种是适用于大中型企业网络,这种模式需要搭建专用的认证服务器。认证服务器通过验证客户端出示的用户名和密码来判别用户的访问权限,并根据认证结果向AP发出打开或者关闭端口的状态。它还采用了以EAP(可扩展认证协议,Extensible Authentication Protocol)为核心的用户审核机制,可以审核接入用户的ID,在一定程度上可避免黑客非法入侵。另一种则是称之为预共享密钥模式(pre-shared key,PSK)也称为个人模式,这种模式不需要认证服务器,适用于小企业用户和个人用户,只是要求在各个环节预先分配好密钥,只要密钥吻合就可以访问网络。WPA的加密采用了TKIP(Temporal Key Integrity Protocol)临时密钥完整性协议的加密算法,并定义了更大长度的密钥(为128位),并将初始向量(IV)由原先WEP的24位增加到了48位。由于TKIP的介入,使得WEP的单一密钥变成上百亿的动态密钥,即便仍然采用RC4的加密算法,由于其动态密钥的特性使其难以被攻破。在数据完整性保护方面,WPA在每一个明文消息末端都包含了一个消息完整性校验(MIC),并采用了高安全性的Michael算法来确保信息不会被“哄骗”,可以防止黑客截取数据报文、篡改后重发。
(二)IEEE 802.11i:WPA虽然相对于WEP在安全性上有很大的提高,但仅仅依靠增加密钥和初始向量的长度以及采用TKIP作为加密算法也只能延长黑客破解时间。为了进一步提升无线网络的安全性,在2004年6月IEEE正式通过了IEEE 802.11i标准。IEEE802.11i标准采用基于AES(Advanced Encryption Standard)算法的CCMP(CBC-MAC Protocol)加密技术,是目前WLAN支持的最安全的数据报文保护机制。802.11i的认证机制通过无线客户端与认证服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥。值得一提的是,AP与每个客户端之间通讯的加密密钥都不相同,而且会定期更换,很大程度上保证了通讯的安全。IEEE 802.11i引入AES算法,AES是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。AES加密算法使用128bit分组加码数据,它的输出更具有随机性。对采用AES算法加密的密文进行攻击时,黑客不仅需要几乎整个的密码本还需要截获到相关的大量包含密钥的密文,需要耗费很大的资源和时间。此外,AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。利用此算法加密,无线局域网的安全性可以大幅度提高,从而能够更为有效地防御外界攻击。
作者单位:连云港广播电视大学现代教育技术中心
作者简介:陈栋(1981— ),男,江苏连云港人,连云港广播电视大学 现代教育技术中心,讲师。