无线局域网安全技术探讨
无线局域网的安全分析
无线局域网的安全分析在当今数字化的时代,无线局域网(WLAN)已经成为我们生活和工作中不可或缺的一部分。
无论是在家中、办公室还是公共场所,我们都依赖WLAN 来连接互联网,获取信息、进行沟通和完成各种任务。
然而,随着无线局域网的广泛应用,其安全问题也日益凸显。
无线局域网的工作原理是通过无线电波来传输数据,这使得它相较于有线网络更容易受到各种安全威胁。
首先,无线电波的传播范围较广,不像有线网络那样局限在物理线路中。
这意味着在信号覆盖范围内的任何人都有可能接收到这些信号,如果没有适当的加密和认证措施,数据就可能被非法获取和篡改。
无线局域网面临的一个主要安全威胁是未经授权的访问。
攻击者可以通过各种手段获取无线网络的访问权限,例如破解无线网络的密码。
一些用户为了方便,设置了过于简单的密码,或者甚至没有设置密码,这就给了攻击者可乘之机。
一旦攻击者成功接入无线网络,他们就能够窃取网络中的数据,包括个人隐私信息、商业机密等。
另一个常见的威胁是中间人攻击。
在这种攻击中,攻击者会在用户和合法的无线网络接入点之间插入自己的设备,从而截获和篡改用户与网络之间传输的数据。
用户可能以为自己正在与合法的网络进行通信,但实际上他们的数据已经被攻击者窃取或篡改。
除了外部攻击,无线局域网还可能受到内部威胁。
例如,内部员工可能故意或无意地泄露无线网络的密码,或者在未经授权的情况下将外部设备接入公司的无线网络,从而引入安全风险。
为了保障无线局域网的安全,我们可以采取多种措施。
首先,设置强密码是必不可少的。
一个强密码应该包含字母、数字和特殊字符,并且长度足够长。
此外,定期更改密码也是一个好习惯。
加密技术是保护无线局域网数据安全的重要手段。
目前,WPA2 和WPA3 是常用的加密协议。
WPA3 相对于WPA2 提供了更强的安全性,例如更强大的加密算法和更好的身份验证机制。
在设置无线网络时,应选择最新和最安全的加密协议。
访问控制也是无线局域网安全的重要组成部分。
无线局域网技术及安全性的探讨
邹 德 良
( 内蒙 古 铁 通公 司通 辽 分 公 司 内 蒙古 中 图分 类 号 : P T 文 献标 识 码 : A
通辽
0 80 ) 2 0 0 文 章 编 号 :0 8 9 5 2 1 )0 0 3 — 2 1 0 — 2 X(0 11 — 1 8 0
P 来. 例如通过 wn o s P自带的扫描功能可以查看 当前区域 内的 清 除 非 法 接入 的 A id w X 二、 数据 传 输 的 安 全 性 SI 。出 于安 全 考 虑 . 禁 止 A SD 可 P广 播 其 SI 号 , 样 无线 工 作 站 SD 这 端 就 必须 主动 提 供 正 确 的 S I 号 才 能 与 A SD P进 行 关 联 1数据 加 密 .
一
、
非 法 接 入 无线 局 域 网
1 法 用 户 的 接 入 . 非
… 基 于服 务设 置 标 识 符 ( I) S D 防止 非 法 用 户 接入 S
A P会 危 害无 线 网 络 的宝 贵 资 源 . 此 必 须 对 A 因 P的合 法性 进行 验 证 P支 持 的 I E 821 术 提供 了一 个 客 户 机 和 网 络 相互 验 A E E 0. x技 证 的 方 法 . 此 验 证 过 程 中不 但 A 在 P需 要 确 认 无 线 用 户 的合 法 性 .
此可以认为 S I SD是一个简单的 口令. 从而提供 口令认证机制。 阻止 加 发 现 非 法 配 置站 点 的存 在 几率 。选 择 小 型 的手 持 式 检 测 设 备。 非法 用 户 的接 人 。 障无 线 局域 网的安 全 。SI 常 由 A 保 SD通 P广播 出 管 理 员 可 以通 过 手 持 扫 描 设 备 随 时到 网络 的任 何 位 置 进 行 检 测 .
IEEE802.11i无线局域网安全技术研究
规范, 这也是受 所有芯片开发 商及 系统集 成商所瞩 目的82 1未来 O .1 走势所在。但整个82li 准中的安全问题 已经引起 了广泛的关注 0 l 标 在此前提下, E 制定并 通过 了新 一代安全 标准IE 82 1i 1 E E E E 0. ll 【 】
1 无线网络安全技术及其缺 陷的分析 I E 2 1 是 第一种无线 以太 网标 准 ,山干 以太嘲在 局域嘲 E E8 . l 0 技术的绝对统 治地位 ,目前实际上 已成 为无线 局域网的代名词。 IE S21包括 队证和加 密 等方面 ,82 1 标准 涵盖 许多子 E E 0.1 0. l
A t nctn u etao 通信协 议) h i i 以及82 I 0.x,强迫使用者必须进行验 征以 及交互验 证; ,使片 了Ml( s g t r oe,信息完整性 第二 { CMes en gt d a I e iC 编 码) 测 传 送 的 字节 是 否 有被 修 改 的情 况 ; 三 ,使 用T I 检 第 K P(
维普资 _ 田 口
I E 2 1 线 局域 网安 全 技 术 研 究 E 0 . 1无 E 8 i
李 捷
( 东金融学 院汁算机 系 ) 广
摘 要 本 文介绍 了当前无线局域 网中的安全缺陷 以及常见的无线局域 网攻击手段 ,在 介绍无线局域早期8l 1 住安 仝缺 f 1标: 2
IE 82 1i 议 使 用 了 E P x nie E E( . l 协 } A (E t s l e b
集 ,并 且每一个 子集 的侧重 点都不 同: 中最核 心的是 821a, 其 0. t R21b 0. l 它 们定义 了最 核心 的物理 层规范 +这 也是受 0. 和82 1g, l 所有芯片开 发商及 系统 集成商所 瞩 目的8 2 1 未来 走势所在 。但 O. l 整个8 2 1 标 准 中的 安全问题 已经 引起 了广泛 的关注 ,利 用认证 0.l
浅谈无线局域网安全解决方案
浅谈无线局域网安全解决方案在当今数字化时代,无线局域网(WLAN)已成为我们生活和工作中不可或缺的一部分。
无论是在家庭、办公室还是公共场所,人们都依赖无线局域网来实现便捷的网络连接。
然而,随着无线局域网的广泛应用,其安全问题也日益凸显。
本文将探讨无线局域网面临的安全威胁,并提出相应的解决方案,以保障用户的网络安全和隐私。
一、无线局域网的安全威胁(一)未经授权的访问未经授权的用户可能通过破解无线密码或利用漏洞接入无线局域网,获取网络资源,甚至窃取敏感信息。
(二)无线信号的拦截和监听无线信号在空气中传播,容易被攻击者拦截和监听。
如果传输的数据未进行加密,攻击者可以轻易获取其中的内容。
(三)恶意软件和病毒传播通过无线局域网,恶意软件和病毒可以迅速传播到连接到网络的设备上,造成设备故障、数据丢失等问题。
(四)网络钓鱼攻击攻击者可以创建虚假的无线接入点,诱导用户连接,从而获取用户的个人信息和登录凭据。
(五)拒绝服务攻击(DoS)攻击者通过向无线局域网发送大量的无效请求,导致网络拥堵,使合法用户无法正常使用网络。
二、无线局域网安全解决方案(一)加密技术使用强加密协议,如 WPA2 或 WPA3,对无线信号进行加密,确保传输的数据只有授权用户能够解密和读取。
同时,定期更换密码,并使用复杂且难以猜测的密码组合。
(二)访问控制实施 MAC 地址过滤,只允许授权设备的 MAC 地址接入无线局域网。
此外,设置访问权限,将网络划分为不同的区域,为不同用户分配不同的访问级别。
(三)关闭 SSID 广播关闭无线接入点的 SSID 广播功能,使得无线局域网在不被主动搜索的情况下难以被发现,增加了网络的隐蔽性。
(四)更新固件和软件及时更新无线接入点和设备的固件及软件,修复可能存在的安全漏洞,提高系统的安全性。
(五)安装防火墙和入侵检测系统在无线局域网中安装防火墙和入侵检测系统,实时监测和阻止异常的网络活动,防范外部攻击。
(六)员工培训和安全意识教育对用户进行网络安全培训,提高他们对网络钓鱼、恶意软件等攻击手段的识别能力,培养良好的网络使用习惯,如不随意连接未知的无线网络。
网络教学中的无线局域网安全问题解决方法探讨
1 无 线 局 域 网存 在 的 常见 安 全 问题
无线局域 网的传输介质 的特殊性 .使得信息在传
输 过 程 中具 有 更 多 的 不 确 定 性 . 容 易 受 到 攻 击 . 临 更 面 的 主要 安 全 问题 如 下 : f ) P存 在 的漏 洞 1WE
★基 金 项 目: 东省 中 山大 学 新 华 学 院 计 算 机 网络 重 点课 程 建 设 基 金 资 助 项 目( 广 中新 学科 [0 11号 ) 2 11
收稿 日期 :0 1 0 — 3 修 稿 日期 :0 1 0 - 3 2 1— 6 2 2 1- 7 2
作 者 简介 : 清佳 , , 南人 , 士 , 教 , 究 方 向 为人 工 智 能 、 算 机 网络 吴 男 海 硕 助 研 计
视 的 问题 。 总结 目前 无 线 局 域 网遇 到 的主 要 威 胁 , 应 对 网 络威 胁 的 安 全 技 术 和 基 本 的 防 及
范措 施 。
关键 词 :无 线 局 域 网 ;网 络威 胁 ;安 全技 术 ;防 范措 施 ;安 全 级 别
0 引
言
E uvl t r ay 法 然而 WE q i e i c1 anP v 算 P被人们发现 了不少
方 面 面 然 而 . 随 着 无 线 局 域 网 技 术 的快 速 发 展 , 伴 应
① 整体设计 : 无线 网络不用保 密措施会存在危 险 ,
WE P只 是 一个 可 选项 :
② 加密 算法 : P中 的 I( iaztnV c r初 WE VI tlao et , n ii i o
用户会话 和执行非授权命令 。 有广播包监视 . 还 监视于
无线局域网安全技术解析
无线局域网安全技术解析由于无线局域网是以射频方式在开放的空间进行工作的,因而其开放性特点增加了确定无线局域网安全的难度,所以说相对于传统有线局域网而言,无线局域网的安全问题显得更为突出。
其安全的内容主要体现在访问控制与信息保密两部分,目前已经有一些针对无线局域网的安全问题的解决方法,但仍须不断改善。
下面一起来学习无线局域网安全技术知识。
1无线局域网中不安全因素无线局域网攻击可分为主动攻击和被动攻击两类。
主动攻击是入侵者能够针对数据和通信内容进行修改,主动攻击主要有:(1)信息篡改:网络攻击者能够针对网络通信数据进行删除、增加或改动。
(2)数据截获:是利用TCP/IP网络通信的弱点进行的,该方法会掠夺合法使用者的通信信道,进而获得系统的操作权限,截获数据。
(3)拒绝服务攻击:网络攻击者通过各种可能的方法使网络管理者无法获得系统资源及服务。
(4)重传攻击:网络攻击者从网络上获取某些通信内容,然后重新发送这些内容,以对服务器认证系统实施欺骗。
被动攻击主要是指网络入侵者取得对通信资源的存取权限,但是并不对数据内容进行篡改。
主要有:(1)非法窃听:入侵者针对通信数据进行侦听。
(2)流量分析:入侵者可以得知诸如网络服务器位置及网络通信模式等相关信息。
2IEEE802.11标准的安全性IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)认证和有线对等加密(W-EP)。
2.1认证当一个站点与另一个站点建立网络连接之前,必须首先通过认证,执行认证的站点发送一个管理认证帧到一个相应的站点,IEEE802.11b 标准详细定义了两种认证服务:一是开放系统认证是802.11b默认的认证方式,是可用认证算法中简单的一种,分为两步,首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。
另一是共享密钥认证,这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
无线局域网安全与加密
无线局域网安全与加密无线局域网(Wireless Local Area Network,简称 WLAN)是指利用无线电技术连接各种终端设备的局域网。
在如今信息爆炸的时代,无线网络已经成为现代人生活与工作中必不可少的一部分。
然而,与便利相伴的是安全隐患问题。
无线局域网的安全性与加密技术成为一项重要的任务。
本文将介绍无线局域网的安全威胁,并讨论一些常用的加密方法。
一、无线局域网的安全威胁1. 信号劫持信号劫持是指黑客利用无线网卡和特定软件工具,窃取他人无线网络传输的数据。
这种劫持行为可能会导致个人隐私泄露,甚至经济损失。
2. 无线接入点伪造黑客可以通过伪造无线接入点,诱使用户连接到一个虚假的网络,从而窃取用户的账号密码等敏感信息。
3. 中间人攻击中间人攻击是指黑客在无线网络中伪装成发送方与接收方之间的中间节点,窃取或修改数据。
这种攻击方式容易导致数据完整性受损,甚至受到篡改。
4. 拒绝服务攻击拒绝服务攻击通过向无线局域网发送大量无效请求,使网络服务资源过载,从而导致网络崩溃或服务无法正常使用。
二、常用的无线局域网加密方法1. WEP(Wired Equivalent Privacy)WEP是最早使用的无线局域网加密方式,它使用固定的密钥进行数据加密和解密。
然而,由于WEP算法的弱点,如密钥易被破解等问题,现在已不再被推荐使用。
2. WPA(Wi-Fi Protected Access)WPA是WEP的改进版,采用更强的加密算法和认证方式,提供更高的安全性。
WPA使用动态密钥生成技术,能够自动更新密钥,防止密钥泄露所引发的安全问题。
3. WPA2(Wi-Fi Protected Access II)WPA2是WPA的升级版本,采用了更加安全的加密算法AES (Advanced Encryption Standard)。
WPA2是目前最常用的无线局域网加密方式,提供了较高的安全性和保密性。
4. EAP(Extensible Authentication Protocol)EAP是一种扩展型的身份验证协议,通过提供灵活的身份验证机制,使得无线局域网能够支持更多不同类型的身份验证方法。
无线局域网系统安全技术研究与应用
1、更高级别的加密技术:随着密码学技术的不断进步,未来可能会出现更 高级别的加密技术,提高无线局域网的安全性。
2、人工智能与机器学习在网络安全中的应用:人工智能和机器学习技术在 未来将更多地应用于网络安全领域,帮助网络管理员更有效地发现和应对网络安 全威胁。
3、零信任网络安全模型:零信任网络安全模型将逐渐成为无线局域网系统 安全的主流模型,通过对所有用户和设备进行身份验证和权限控制,确保只有授 权用户才域网是一种通过无线传输介质连接计算机和其他设备的网络,具有便 捷、灵活、可移动等优点。然而,随着无线局域网应用的普及,安全问题逐渐显 现出来。非法用户可以通过一些技术手段窃取网络资源,甚至进行恶意攻击,给 企业和个人带来严重损失。因此,加强无线局域网系统安全技术的研究与应用至 关重要。
二、研究现状
1、常见攻击方式
无线局域网面临的攻击主要包括以下几种:
(1)未经授权访问:攻击者通过非法接入点或破解密码等方式,未经授权 地访问网络资源。
(2)网络监听:攻击者利用无线传输的特性,监听、截获、分析网络中的 数据包,以获取敏感信息。
(3)拒绝服务攻击:攻击者通过发送大量无用的数据包,使网络拥堵,从 而导致合法用户无法正常访问网络资源。
无线局域网系统安全技术的基本 原理
无线局域网系统安全技术主要涉及到的基本原理包括加密技术和身份验证。 常见的加密技术有WEP、WPA、WPA2等,它们通过对传输数据进行加密处理,防止 未经授权的访问。而身份验证则通过用户名和密码等方式确认用户的合法性,防 止非法接入。在实际应用中,往往需要综合考虑多种安全机制,如MAC与IP的绑 定、访问控制列表(ACL)等,以提高整体安全性。
(4)定期更新网络设备和杀毒 软件,避免已知漏洞被利用。
关于无线网络安全技术的探讨
L A N ( 虚拟局域网) , 将所有的无线客户端设备之间完全隔离, 安装简单、 高灵活性和扩展能力 , 作为对传统有线网络的延伸 , 在许多 网络的 v P 接人的固定网络。 特殊环境中得到了广泛的应用 。随着无线数据网络解决方案的不断推 使客户端只能访问 A 出, “ 不论您在任何时间、 任何地点都可以轻松上 网” 这一 目标被轻松实 2 - 5 8 0 2 . I x 协议。 8 0 2 . 1 x 定义了三种身份 : 申请者( 用户无线终端 ) 、 A P ) 和认证服务器。整个认证的过程发生在 申请者与认证服务 现了。 但是无线介质信号由于其传播 的开放性设计 , 使得其在传输的过 认证者( 认证者 只起到了桥接 的作用。申请者 向认j 正 J j 艮 务器表 明自己的 程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人 器之间, 截获 , 被不法之徒利用其漏洞来攻击网络 。因此 , 如何在组网和网络设 身份 , 然后认证服务器对 申请者进行认证, 认证通过后将通信所需要的 计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成 密钥加密再发给申 请者。申请者用这个密钥就可以与 A P 进行通信。 虽然 8 0 2 . 1 x 仍 旧存在一定的缺陷, 但较共享密钥认证方式已经有 为了当前无线网络面临的重大课题。 1无 线 网络 的安 全隐 患分析 了很大的改善, I E E E 8 0 2 . 1 l i 和 WA P I 都参考了 8 0 2 . 1 x 的机制。8 0 2 . 1 x I T技术人员在规划和建设无线网络 中面临两大问题 : 首先 , 市面上 选用 E A P 来提供请求方和认证眼务器两者之间的认证服务。 最常用的 的标准与安全解决方案太多 , 到底选什么好 , 无所适从 ; 第二 , 如何避免 E A P 认证方法有 E A P —M D 5 、 E A P —T L S和 P E A P等。M i c r o s o f t 为多种 0 2 . 1 x 的身份马 佥 i 正 协议提供了本地支持。 网络遭到 入 侵或攻击? 在有线 网络阶段 , 技术人员可以通过部署防火墙 使用 8 硬件安全设备来构建—个防范外部攻击 的防线 ,但是 , “ 坚固的防线往 2 . 6 WP A 。 wP A ( wi — F i P r o t e c t e d A c c e s s ) 是 继承 了 WE P基 本原 理 往从内部被攻破” 。由于无线网络具有接入方便的特点 , 使得我们原先 而又解决了 WE P酰 的一种新技术 。由于加强了生成加密密钥的算 耗资部署的有线网络防范设备轻易的就被绕过 , 成为形同虚设的“ 马奇 法 , 因此即便收集到分组信息并对其进行解析 , 也几乎无法计算出通用 A还追加了防 l E 数据中途被篡改的功能和认证功能。由于具 诺防线” 。针对无线网络的主要安全威胁有 : ( 1 ) 数据窃听。窃听网络传 密钥。WP 输可导致机密敏感数据泄漏、未加保护 的用户数据曝光 ,引发身份盗 备这些功能 , WE P中此前倍受指责的缺点得以全部解决。WP A不仅是 P更 为 强 大 的加 密 方 法 ,而 且 有 更 为 丰 富 的 内涵 。作 为 用。它还允许有经验 的入侵者收集有关用户 的 I T环境信息, 然后利用 种 比 WE 这些信息攻击其他情况下不易遭到攻击的系统或数据,甚至为攻击者 8 0 2 . 1 l i 标准的子集 , WP A包含了认证 、加密和数据完整性校验 乏个组 是—个完整的安全性方案。 提供进行社会工程学攻击的一系列信息。( 2 ) 截取和篡改传输数据。如 成部分, 果攻击者能够连接到内部网络 ,则他可以使用恶意计算机通过伪造网 2 . 7 WP A 2 。WP A 2 是 Wi F i 联盟 验 证过 的 I E E E 8 0 2 . 1 1 i 标准 的认 关等途径来截获甚至修改两个合法方之间正常传输的网络数据。 证形式 , WP A 2 实现了 8 0 2 . 1 l i 的强制性元素 , 特别是 M i c h a e l 算法被公 2常见 的无 线 网络安全 技术 认彻底安全的 C C M P ( 计数器模式密码块链消息完整码协议 ) 讯息认证 具体地讲 , 为了有效保障无线局域网( WL A N ) 的安全 陛, 就必须实 码 所取代 、 而R C 4 加密 算法 也被 A E S 所 取代 。 现以下 兀 . 个安全 目标 : ( 1 ) 提供接 人控制 : 验证用户 , 授权他们接入特定 在 WP A / WP A 2中 , P T K的生成是依赖于 P M K的, 而P MK的方式 的资源 , 同时拒绝为未经授权的用户提供接人 ; ( 2 ) 确保连接 的保密与 有两 种 ,一 种是 P S K方式 ,也就 是预 共享 密钥模 式 ( p r e — s h a r e d k e y , 完好 : 利用 强 有力 的加 密 和校 验技 术 , 防止 未 经授 权 的用 户 窃 听 、 插入 P S K, 又称为个人模式 ) , 在这种方式 中 P MK = P S K; 而另一种方式则需 或修改通过无线网络传输的数据 ; ( 3 ) 防止拒绝服务攻击 : 确保不会有 要认证服务器和站点进行协商来产生 P M K 。下面我们通过公式来看看 A和 WP A 2的 区别 : 用户占用某个接入点的所有可用带宽 , 从而影响其他用户的正常接人。 WP 下面,将着重分析一下无线网络安全 防范措施的主流技术及各 自 WP A = I E E E 8 0 2 . 1 l i d r a f t 3=I E E E 8 0 2 . 1 X / E A P +WE P ( 选择 性 f P K I P 的利弊, 希望能给使用无线网络的用户一些建议和指导, 在实际的组网 项 目) 过程 中做到心中有数 、 有备无患。 WP A 2: I E E E 8 0 2 . 1 l i =I E E E 8 0 2 . 1 X / E A P +WE P( 选 择 性项 , r P / C C MP 2 J 1隐藏 S s I D 。S S I D ( S e r v i c e S e t I d e n t i i f e r ) 将一个无线局域网分 目) 为几个不 同的子网络 , 每—个子网络都有其对应的身份标识( s s I D ) , 只 WP A 2 加 密方 式的安 全防护 能力 比 WP A加密方 式更 加 出色 。 有 无线 终 端设 置 了配 对 的 S S I D才接 入 相应 的子 网络 。所 以可 以认 为 2 . 8 8 0 2 . 1 l i 。I E E E 8 0 2 . 1 l i 规定使用 8 0 2 . 1 x 认证和密钥管理方式 , S S I D是—个简单的口令, 提供了口令认证机制 , 实现了一定的安全 陛。 在数据加密方面, 包含加密技术 A E S ( A d v a n c e d E n c r y p t i o n S t a n d a r d ) , 但是这种 口令极易被无线终端探测出来 ,企业级无线应用绝不能只依 定 义 了T K I P ( T e m p o r a l K e y I n t e g r i t y P r o t o c o 1 ) 、 C C MP ( C o u n t e r - Mo d e / C B C — MA C P r o t o c o 1 ) 和 wR A P ( Wi r e l e s s R o b u s t A u t h e n t i c a t e d P r o t o — 赖这种技术做安全保障, 而只能作为区分不同无线服务区的标识。 2 . 2 M A C地址过滤 。每个无线工作站网卡都由唯一 的物理地址 c o 1 ) 三种加密机制 。其 中T K I P采用 WE P机制里的 R C 4 作为核心加密 ( MA c ) 标识 , 该物理地址编码方式类似于以太网物理地址 , 是4 8 位。 网 算法 ,可以通过在现有的设备上升级 固件和驱动程序的方法达到提高 络管理员可在无线局域网访问点 A P 中手工维护一组( 不) 允许通过 A P WL A N安全 的 目的 。 访问网络地址列表 ,以实现基于物理地址的访问过滤。其好处和优势 通过对无线网络安全技术的探讨发现 ,目前网络管理工作量最大 是: 简化了访问控制 、 可接受或拒绝预先设定的
无线局域网的安全技术研究
无线局域网的安全技术研究张强中国石油辽河油田通信公司【摘要】随着无线局域网的不断普及,安全成为了制约无线局域网应用拓展的重要因素之一,因此对无线局域网安全问题的研究有着重要的意义。
本文概述了几种常见的无线网络安全协议,并重点分析了WPA2的安全性。
【关键词】无线局域网安全技术WPA2无线局域网具有灵活的组网方式和较高的传输速率,近年来得到了广泛的应用,是无线通信技术的热点之一。
但由于其传输信道的开放性,与有线网络相比,无线局域网面临着更多的安全威胁。
随着无线局域网的广泛应用,其安全问题也日益突出,已成为国内外的一个研究热点。
针对无线局域网安全问题,相关标准组织先后制定了WEP、WPA和IEEE802.11i等安全标准,中国也提出了自主安全标准WAPI,以解决无线局域网的安全隐患,提高网络的安全性能。
一、无线局域网安全协议概述面对无线局域网的安全问题,IEEE和其他(如Wi-Fi联盟)的组织出版了很多的安全标准,以应对不同的安全漏洞。
下面介绍几个主要的无线局域网安全协议。
1.WiredEquivalentPrivacy(WEP)。
WEP是一种基于64bitRC4的数据加密算法,由IEEE802.11b标准定义的无线局域网安全标准。
采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。
此外,标准的64位WEP被定义了两个主要功能,通过使用40位密钥,连接到24位初始向量(IV)来产生RC4密钥。
WEP的第一个功能是避免被无意窃听到受保护的数据。
第二个功能是避免未经授权访问无线网络。
WEP支持64位和128位加密。
对于64位加密,加密密钥为10个十六进制字符(0-9和A-F)或5个ASCII字符;对于128位加密,加密密钥为26个十六进制字符或13个ASCII字符。
64位加密有时称为40位加密;128位加密有时称为104位加密。
152位加密不是标准WEP技术,没有受到客户端设备的广泛支持。
WEP依赖通信双方共享的密钥来保护所传的加密数据帧。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网安全技术探讨
【摘要】无线安全是无线局域网的一个重要组成部分。
由于无线局域网使用的是开放性媒介,如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加.因此在无线局域网中无线安全显得尤为突出。
【关键词】无线局域网安全加密认证
随着无线局域网应用的日益广泛。
其安全问题也越来越受到人们的关注。
无线网络不同于有线网络,数据在空中传播,只要在AP(无线接入点)覆盖的范围内,终端都可以接收到无线信号,无线局域网的安全问题至关重要。
一、早期的无线网络安全
早期的无线局域网,设备是私有的,互不兼容,不存在太多安全问题,许多无线局域网使用SSID和MAC地址过滤作为安全的基本形式。
服务区标识符。
在每个AP内都会设置唯一的SSID,每当用户端连接AP时,AP会检查其SSID,若与自己的服务区域认证ID匹配,AP接受其接入请求。
MAC地址过滤。
AP存有一个允许接入网络的无线用户端的MAC地址列表,只有MAC地址在清单中的用户,AP才接受其接入请求。
SSID和MAC地址过滤都是不安全的。
无线监听可以容易地找到合法的MAC地址和SSID。
二、802.11网络的安全方案
802.11网络中的安全包括认证和加密两大主要功能,其认证方式有开放系统认证和共享密钥认证。
开放系统认证是802.11身份认证的默认方式,不要求用户端提供正确的SSID,AP通过广播自己的SSID来响应任意用户端的请求。
开放系统认证实质上是一个空认证过程。
它强调的是简单易用,只能用于没有任何安全要求的场合。
共享密钥认证支持密钥身份认证,AP只允许提交正确的密钥和SSID的客户端接入网络,其安全性高于开放系统认证,但它需要使用WEP协议。
WEP(有线等价保密协议)是802.11、802.11a、802.11b和802.11g采用的安全保护机制。
WEP采用对称加密原理,利用共享密钥提供数据传输的保密性和身份认证,能够在一定程度上防止通过无线链路泄露、窃听和非法访问等恶意行为。
WEP中,各客户端使用相同的密钥访问无线网络,必须在所有客户端和AP 上配置共享密钥。
WEP采用RC4加密算法,加密效率很高,采用40位(或104位)静态的共享密钥和24位随机数初始向量Iv,两者连接起来,生成64位或128位中间密钥,RC4用中间密钥实施加密。
每帧数据都用新的初始向量,可避免因重复使用共享密钥而降低加密强度,增加破译的难度。
WEP也提供单向认证功能。
当客户端连接AP时,AP会发出一个挑战值给客户端,客户端利用共享密钥加密此值并传回给AP进行对比认证。
802.11的安全漏洞。
在安全性和易用性之间,WEP更多地考虑了易用性和加密算法的高效性,在WEP默认配置、加密、密钥管理等方面已经发现存在大量的漏洞,主要表现在:无双向认证,可能存在虚假AP;密钥及初始向量Iv长度较短,可用空间有限,易被破解;密钥管理不便,加密、认证使用相同密钥,泄密可能性大;无完整性机制,数据易被篡改。
三、新无线局域网安全标准802.11
WEP协议的缺陷引起了IEEE的重视,它委托802.11i任务组制定新的安全标准。
新的标准802.11i于2004年6月得到IEEE标准委员会批准,该标准针对WEP加密机制的缺陷做了改进,提出了RSN(健壮安全网络)的概念,定义了新的认证、密钥管理、数据加密方法:
802.11i使用了EAP(可扩展认证协议)以及802.1x,强迫使用者进行交互式验证;使用了MIC(信息完整性编码)进行完整性检测;使用TKIP(临时密钥完整性协议),加密过程由原来的静态变为动态,让攻击者难以破解。
为了能提供更高级别的加密保护,802.11i支持更加安全的加密方法——AES(高级加密标准)标准。
802.11i的工作流程如图1所示,可概括为四个阶段:
安全能力通告协商。
通过通告检查用户端的加密与认证机制是否满足AP提出的要求,从而确定建立或拒绝建立关联:
认证。
由AS(认证服务器)对用户端进行身份认证,一旦认证成功,用户端和AS就会动态协商产生PMK(成对主密钥)。
通信密钥的协商。
AP与用户端在PMK基础上协商一个512位的FFK(成对临时密钥),并将该FFK分解成几种不同用途的密钥,为随后的单播数据帧和消息提供加密和消息完整性保护。
随后,AP用FFK传递GTK(组播临时密钥)给用户端。
GTK是一个全局加密密钥,AP用GTK来加密广播、组播报文,所有与该AP建立关联的用户端均使用相同的GTK来解密并检验其完整性。
数据的加密及通信。
TKIP或者AES加密算法并不直接使用由PTK/GTK 分解出来的密钥,而是将该密钥作为基础密钥,经过密钥混合生成一个新的密钥。
在随后的通讯过程中,AP和无线用户端都使用该密钥进行加密通讯。
(一)IEEE802.1x
IEEE802.1X标准是802.11i关于用户认证和密钥分发的框架。
是基于端口的认证策略。
在认证体系结构中采用“可控端口”和“不可控端口”的逻辑功能,实现业务与认证的分离,认证的结果决定“可控端口”是否可用。
802.1X协议的体系结构包括客户端、认证者和认证服务器,认证由认证服务器完成。
802.1X本身并不提供实际的认证机制,需要和上层协议EAP配合来实现用户认证和密钥分发。
在用户端和AP之间,EAP消息封装在802.1X消息中传送,被称为EAPOL协议,而AP与AS之间同样运行EAP协议,EAP帧被承载在其他高层协议中,如RA.DIUS,以利于穿越多种网络到达认证服务器。
(二)EAP
EAP是一种认证机制的通用架构,用来传输实际的认证协议。
目前有20多种EAP认证协议,EAP允许无线用户端支持不同的认证类型,能与后台不同的认证服务器进行通信。
(三)TKIP
TKIP是为修补WEP加密机制而创建的一种临时的过渡方案,同样基于RC4加密算法,但对WEP进行了改进,极大地提高了加密安全强度。
TKIP的密钥为动态协商生成,每个传输的数据包都有不同的密钥;TKIP密钥长度增加到128位,初始化向量Iv增加到48位;TKIP支持MIC认证(信息完整性校验)和防止重放攻击功能;TKIP提供密钥重新获取和分发机制。
(四)CCMP
AES是一种对称的块加密技术,提供比RC4更高的加密性能。
CCM是配合AES使用的加密模式之一,802.11i构造了基于AES加密算法和CCM认证方式的CCMP密码协议。
CCMP是目前为止面向大众的最高级无线安全协议。
是实现RSN的强制性要求。
802.11i要求使用CCMP来提供全部安全服务:认证、机密性、完整性和重发保护。
(四)WPA系列
WPA是Wi-Fi商业联盟在802.11i草案基础上制定的一项代替WEP安全技术的过渡性的高安全解决方案,可以看作是802.11i的一个子集,其核心是802.1X、EAP和TKIP。
WPA2也称RSN,是802.11i标准正式发布之后Wi-Fi商业联盟制定的无线局域网高安全解决方案,与WPA相比,它支持CCMP,提供更高的安全性。
WPA/WPA2个人版,是WPA/WPA2协议的简化版本。
它使用预共享的密钥,没有802.1x,不需要认证服务器,特别适合家庭用户。
WPA/WPA2企业版,是WPA/WPA2协议的完整版本,需要支持802.1X功能的认证服务器。
参考文献:
[1]陈雪兆.无线局域网安全技术研究与实现[J].科技创新导报,2010,(1).
[2]王俭.对无线局域网安全问题的思考[J]合作经济与科技,2010,(1).
[3]朱敏.IEEE802.1li安全机制分析与实现[J].电脑知识与技术,2009,(1).
[4]李明志.IEEE 802.1x协议认证方案的改进[J].电脑知识与技术,2008,(12).
[5]陈群.选择无线局域网的安全策略[J].计算机安全,2008,(1).。