無(wú)線網(wǎng)絡(luò)安全問(wèn)題的研究

1、無(wú)線網(wǎng)絡(luò)安全技術(shù)無(wú)線網(wǎng)絡(luò)安全技術(shù)的研究的研究歡迎你歡迎你CONTENTS無(wú)線網(wǎng)絡(luò)的發(fā)展歷史本方案的工作流程基于PKI系統(tǒng)的雙向身分認(rèn)證安全方案無(wú)線網(wǎng)絡(luò)的特點(diǎn)本課題研究目的無(wú)線網(wǎng)絡(luò)的原理無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié)常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全技術(shù) 本方案的優(yōu)點(diǎn)及不足無(wú)線網(wǎng)絡(luò)的發(fā)展歷史 無(wú)線局域網(wǎng)的歷史及發(fā)展無(wú)線局域網(wǎng)的歷史起源可以追溯到半個(gè)多世紀(jì)前的第二次世界大戰(zhàn)期間，當(dāng)時(shí)美國(guó)陸軍采用無(wú)線電信號(hào)用作資料傳輸.他們研發(fā)出一套無(wú)線電傳輸技術(shù).并且采用了相當(dāng)高強(qiáng)度的加密技術(shù)，美軍和盟軍都廣泛使用這項(xiàng)技術(shù)。1971年，夏威夷大學(xué)的研究人員從美軍在二戰(zhàn)時(shí)期應(yīng)用的這項(xiàng)技術(shù)中得到靈感，創(chuàng)造了第一個(gè)基于封包式技術(shù)的無(wú)線電通訊網(wǎng)絡(luò)

2、。這個(gè)被稱作ALOHNET的網(wǎng)絡(luò).包括7臺(tái)計(jì)算機(jī)，它們采用雙向星型拓?fù)?，網(wǎng)絡(luò)橫跨四座夏威夷的島嶼，中心計(jì)算機(jī)放置在瓦胡島上。它可以稱作無(wú)線局域網(wǎng)的鼻祖。本課題研究意義 近年來(lái)，計(jì)算機(jī)及通信科學(xué)發(fā)展突飛猛進(jìn)，隨著有線網(wǎng)絡(luò)的快速發(fā)展和普及，無(wú)線網(wǎng)絡(luò)也在一定程度上得到了發(fā)展，其在技術(shù)上變得的越來(lái)越成熟，越來(lái)越便捷，在信息化變革中扮演了相當(dāng)重要的角色，同時(shí)在國(guó)防中也得到了應(yīng)用。尤其 以無(wú)線局域網(wǎng)（wlan）為代表的無(wú)線網(wǎng)絡(luò)技術(shù)得到了高速發(fā)展和應(yīng)用。無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和延伸，其安全問(wèn)題不僅影響到用戶的自身，而且也隨之影 響到與之相聯(lián)的有線網(wǎng)絡(luò)用戶。因此怎樣有效而又安全地使用無(wú)線網(wǎng)絡(luò)又將成為人們關(guān)

3、注的又一熱點(diǎn)問(wèn)題，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題必須引起足夠重視。這也是本課題究研的出發(fā)點(diǎn)所在無(wú)線網(wǎng)絡(luò)工作原理 無(wú)線局域網(wǎng),是通過(guò)發(fā)射和接收裝置(無(wú)線設(shè)備) 連接上交換機(jī),工作站就通過(guò)無(wú)線網(wǎng)卡和無(wú)線設(shè)備進(jìn)行通信,無(wú)線設(shè)備接收到信號(hào)就傳送給交換機(jī)再用交換機(jī)連接到路由器,路由器接入INTERNET,實(shí)現(xiàn)上網(wǎng).一、擴(kuò)展頻譜方式二、窄帶調(diào)制方式無(wú)線網(wǎng)絡(luò)的特點(diǎn) 無(wú)線網(wǎng)絡(luò)的出現(xiàn)，許多有線網(wǎng)絡(luò)解決不了的問(wèn)題迎刃而解?？梢栽诓幌駛鹘y(tǒng)網(wǎng)絡(luò)布線的同時(shí),提供有線網(wǎng)絡(luò)的所有功能,并能夠隨著用戶的需要隨意的更改擴(kuò)展網(wǎng)絡(luò),實(shí)現(xiàn)移動(dòng)應(yīng)用。無(wú)線網(wǎng)絡(luò)具有傳統(tǒng)有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn): 靈活性，不受線纜的限制，可以隨意增加和配置工作站。 低成

4、本，無(wú)線網(wǎng)絡(luò)不需要大量的工程布線，同時(shí)節(jié)省了線路維護(hù)的費(fèi)用。 移動(dòng)性，不受時(shí)間、空間的限制，隨時(shí)隨地可以上網(wǎng)。 易安裝，和有線相比，無(wú)線網(wǎng)絡(luò)的組建、配置、維護(hù)都更容易。 更加的美觀，傳統(tǒng)的有線網(wǎng)絡(luò)很多情況下都影響到了家庭的美觀，而無(wú)線網(wǎng)絡(luò)則沒(méi)有這個(gè)問(wèn)題。 但是，一切事物有利亦有弊。無(wú)線網(wǎng)絡(luò)也同時(shí)有著許多的缺陷： （1）無(wú)線網(wǎng)絡(luò)的速度并不是非常的穩(wěn)定，和有線相比，還有著很大的差距。 （2）安全性也是一個(gè)很大的問(wèn)題，無(wú)線網(wǎng)絡(luò)是通過(guò)特定的無(wú)線電波傳送所無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ拧?/p>

5、這類攻擊是企業(yè)管理員面臨的最大安全問(wèn)題。如果沒(méi)有基于加密的強(qiáng)有力的安全服務(wù)，數(shù)據(jù)就很容易在空氣中傳輸時(shí)被他人讀取并利用。 1、網(wǎng)絡(luò)竊聽(tīng)、網(wǎng)絡(luò)竊聽(tīng)無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認(rèn)證方法（即網(wǎng)絡(luò)認(rèn)證用戶，同時(shí)用戶也認(rèn)證網(wǎng)絡(luò)）和基于應(yīng)用層的加密認(rèn)證（如HTTPSWEB）。2、中間人欺騙、中間人欺騙無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主

6、機(jī)數(shù)量，以及由于802.11幀沖突引起的IV重發(fā)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。3、WEP破解破解無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 即使AP起用了MAC地址過(guò)濾，使未授權(quán)的黑客的無(wú)線網(wǎng)卡不能連接AP，這并不意味著能阻止黑客進(jìn)行無(wú)線信號(hào)偵聽(tīng)。通過(guò)某些軟件分析截獲的數(shù)據(jù)，能夠獲得AP允許通信的STAMAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網(wǎng)絡(luò)了。4、MCA地址欺騙地址欺騙無(wú)線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 由于802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過(guò)欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過(guò)非常簡(jiǎn)單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來(lái)惡意攻擊時(shí)使

7、用。5、地址欺騙、地址欺騙與會(huì)話攔截與會(huì)話攔截?zé)o線網(wǎng)絡(luò)安全問(wèn)題總結(jié) 一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過(guò)精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無(wú)線網(wǎng)絡(luò)可以通過(guò)簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使網(wǎng)絡(luò)暴露出來(lái)從而遭到攻擊。6、高級(jí)監(jiān)聽(tīng)、高級(jí)監(jiān)聽(tīng) 常用無(wú)線網(wǎng)絡(luò)安全技術(shù) 一、服務(wù)集標(biāo)識(shí)符（SSID） 二、物理地址過(guò)濾（MAC） 三、連線對(duì)等保密（WEP） 四、Wi-Fi保護(hù)接入（WPA） 五、國(guó)家標(biāo)準(zhǔn)(WAPI) 六、端口訪問(wèn)

8、控制技術(shù)（802.1x）基于PKI系統(tǒng)的雙向身份認(rèn)證安全方案公鑰基礎(chǔ)設(shè)施PKI是以公開(kāi)密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。在網(wǎng)絡(luò)通信中，最需要的安全保證包括四個(gè)方面：身份認(rèn)證、數(shù)據(jù)保密、數(shù)據(jù)完整性和不可否認(rèn)性。PKI可以完全提供以上四個(gè)方面的保障。目前，PKI在信息安全領(lǐng)域日益受到得視，符合X.509標(biāo)準(zhǔn)的數(shù)字證書(shū)在網(wǎng)絡(luò)中得到越來(lái)越多的應(yīng)用。在此，我們提出了一個(gè)比較具體的基于PKI的無(wú)線局域網(wǎng)認(rèn)證和密鑰分發(fā)的主案，在本方案中使用的數(shù)字證書(shū)機(jī)制進(jìn)行身份認(rèn)證，要求認(rèn)證者和申請(qǐng)者都支持?jǐn)?shù)字證書(shū)技術(shù)。設(shè)計(jì)方案工作流程 整個(gè)身份認(rèn)證

9、系統(tǒng)由用戶MT、接入點(diǎn)AP和認(rèn)證服務(wù)器組成：其中，認(rèn)證服務(wù)器的主要功能是負(fù)責(zé)證書(shū)的發(fā)放、驗(yàn)證與吊銷等；用戶與AP上都安裝有認(rèn)證服務(wù)器發(fā)放的數(shù)字證書(shū)（證書(shū)包含AS的公鑰以及證書(shū)持有者的身份和公鑰）作為自己的數(shù)字身份憑證。當(dāng)用戶登錄至無(wú)線接入點(diǎn)AP時(shí)，在使用或訪問(wèn)網(wǎng)絡(luò)之前必須通過(guò)AS進(jìn)行雙向身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，只有持有合法證書(shū)的用戶才能接入持有合法證書(shū)的無(wú)線接入點(diǎn)AP。具體的認(rèn)證過(guò)程如圖4.3所示，具體為：設(shè)計(jì)方案工作流程（3）修改MAC地址讓過(guò)濾功能形同虛設(shè)：雖然無(wú)線網(wǎng)絡(luò)應(yīng)用方面提供了諸如MAC地址過(guò)濾的功能，很多用戶也確實(shí)使用該功能保護(hù)無(wú)線網(wǎng)絡(luò)安全，但是由于MAC地址是可以隨意修改的，通

10、過(guò)注冊(cè)表或網(wǎng)卡屬性都可以偽造MAC地址信息。所以當(dāng)通過(guò)無(wú)線數(shù)據(jù)sniffer工具查找到有訪問(wèn)權(quán)限MAC地址通訊信息后，就可以將非法入侵主機(jī)的MAC地址進(jìn)行偽造，從而讓MAC地址過(guò)濾功能形同虛設(shè)。設(shè)計(jì)方案工作流程1，當(dāng)用戶MT登錄到接入點(diǎn)AP時(shí)，AP向用戶發(fā)送隨機(jī)數(shù)RA。 2，用戶收到RA后生成隨機(jī)數(shù)RB，向AP發(fā)送請(qǐng)求幀，其中包括用戶的數(shù)字證書(shū)及RA、RB，數(shù)字證書(shū)中有用戶的身份信息和公鑰，RA由用戶私鑰簽名。 3，接入點(diǎn)AP接收到用戶的請(qǐng)求后驗(yàn)證隨機(jī)數(shù)RA，AP陰塞所有其它請(qǐng)求直到認(rèn)證完成，驗(yàn)證RA成功后，AP向認(rèn)證服務(wù)器發(fā)送自己的數(shù)字證書(shū)、用戶的數(shù)字證書(shū)和RB，并使用自己的私鑰進(jìn)行簽名。企

11、業(yè)無(wú)線網(wǎng)絡(luò)所面臨的安全威脅企業(yè)無(wú)線網(wǎng)絡(luò)所面臨的安全威脅 （5）服務(wù)和性能的限制：無(wú)線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開(kāi)銷，使無(wú)線局域網(wǎng)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。無(wú)線帶寬可以被幾種方式吞噬：來(lái)自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過(guò)無(wú)線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會(huì)輕易地吞噬 AP有限的帶寬;如果發(fā)送廣播流量，就會(huì)同時(shí)阻塞多個(gè)AP;攻擊者可以在同無(wú)線網(wǎng)絡(luò)相同的無(wú)線信道內(nèi)發(fā)送信號(hào)，這樣被攻擊的網(wǎng)絡(luò)就會(huì)通過(guò)CSMA/CA機(jī)制進(jìn)行自動(dòng)適應(yīng)，同樣影響無(wú)線網(wǎng)絡(luò)的傳輸;另外，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的client/server系統(tǒng)都會(huì)產(chǎn)生

12、很大的網(wǎng)絡(luò)流量。設(shè)計(jì)方案工作流程 4，認(rèn)證服務(wù)器接收到AP的請(qǐng)求后，首先使用AP的公鑰對(duì)AP的數(shù)字證書(shū)解簽名，然后對(duì)AP的身份進(jìn)行驗(yàn)證。若認(rèn)證服務(wù)器AP為合法的AP，則再對(duì)用戶的數(shù)字證書(shū)RB解簽名，然后驗(yàn)明用戶的身份。在AP和用戶的身份都認(rèn)證成功后，認(rèn)證服務(wù)器向AP發(fā)送驗(yàn)證成功幀，其中有認(rèn)證服務(wù)器的數(shù)字證書(shū)和隨機(jī)數(shù)RC，認(rèn)證服務(wù)器先用自己的私鑰簽名再使用AP的公鑰加密，從而使AP與認(rèn)證服務(wù)器建立信任關(guān)系。 5，AP收到驗(yàn)證成功幀后先用自己的私鑰解密，然后用認(rèn)證服務(wù)器的公鑰解簽名，并將認(rèn)證服務(wù)器的數(shù)字證書(shū)和RC先用自己的私鑰簽名，再用用戶的公鑰加密后發(fā)給用戶。設(shè)計(jì)方案工作流程6，用戶收到此回應(yīng)后

13、首先用自己的私鑰解密，然后用認(rèn)證服務(wù)器的公鑰解簽名，并對(duì)認(rèn)證服務(wù)器的身份進(jìn)行驗(yàn)證。驗(yàn)證成功后向認(rèn)證服務(wù)器發(fā)送隨機(jī)數(shù)RD，用自己的私鑰簽名，并用認(rèn)證服務(wù)器公鑰加密。 7，認(rèn)證服務(wù)器收到后，用自己的私鑰解密，并用用戶的公鑰解簽名。用戶和認(rèn)證 服務(wù)器用隨機(jī)數(shù)RB、RC和RD為種子產(chǎn)生會(huì)話密鑰。然后認(rèn)證服務(wù)器產(chǎn)生臨時(shí)密鑰，用自己的私鑰簽名，并用AP的公鑰加密，發(fā)送給AP。 8，AP接收到以后，先用自己的私鑰解密，再用認(rèn)證服務(wù)器的公鑰解簽名，得到臨時(shí)密鑰，并作出回應(yīng)。設(shè)計(jì)方案工作流程 9，認(rèn)證服務(wù)器將臨時(shí)密鑰用自己的私鑰簽名，并用會(huì)話密鑰加密發(fā)送給用戶。 10，用戶收到以后，用會(huì)密鑰解密，用認(rèn)證服務(wù)器的

14、公鑰解簽名，得到臨時(shí)密鑰，用戶與AP都得到了臨時(shí)密鑰，雙方使用臨時(shí)密鑰加密算法進(jìn)行保密通信。 無(wú)線網(wǎng)絡(luò)安全解決方法一、本方案優(yōu)點(diǎn) 該主案與WEP機(jī)制的安全性相比，提供了更好的安全性保障，方案具備以下特點(diǎn)： 1，提供用戶與認(rèn)證服務(wù)器的雙向認(rèn)證，防止攻擊者利用WEP的單向認(rèn)證機(jī)制進(jìn)行假冒攻擊和接放中間人攻擊。 本方案的優(yōu)點(diǎn) 2實(shí)現(xiàn)了認(rèn)證密鑰與加密密鑰的分離，會(huì)話密鑰在認(rèn)證中動(dòng)態(tài)生成，臨時(shí)密鑰的及時(shí)更新，增強(qiáng)了密鑰的安全性，防止密鑰長(zhǎng)期不變帶來(lái)的安全隱患。 3，使用國(guó)際通行的分組密碼算法，不使用流密碼算法，防止密鑰流復(fù)用問(wèn)題。 4，使用數(shù)字簽名機(jī)制，提供了防止篡改和不可否認(rèn)性。本方案不足之處 該方案存的不足 1，身份認(rèn)證的性能優(yōu)化，為了確保安全，身份認(rèn)證機(jī)制采用基于數(shù)字證書(shū)的雙向身份認(rèn)證機(jī)制，效率比效低，雖然用戶認(rèn)證的時(shí)間在認(rèn)證中所點(diǎn)的比率比效小，但還是會(huì)影響到用戶的效率，需要提高身份證證的效率。 2，每個(gè)站點(diǎn)需有一定的計(jì)算能力，不方便，并且操作的同步不易實(shí)現(xiàn)。此外，臨時(shí)密鑰生期的確定應(yīng)結(jié)合實(shí)際情況還確定，因?yàn)榧词故且粋€(gè)局域網(wǎng)，其網(wǎng)絡(luò)通訊量隨時(shí)間變化而不同，過(guò)分頻繁的更換臨時(shí)