论文部分内容阅读
[摘 要] 在分析WLAN通信协议的基础上,针对无线局域网安全现状,提出了基于OSI模型层次化的WLAN安全策略,采用该策略能够最大限度地杜绝非法用户接入WLAN,保证了数据在传输过程中安全保密。
[关键词] WLAN IEEE802.11 网络安全 WEP VPN
1.引言
无线通信技术的发展推动了无线网络的快速发展,无线局域网在推出之后得到了快速普及。无线局域网采用无线传输媒介进行通信,摆脱了线缆的束缚,打破了地域和客观条件的制约,具有灵活性、移动性强,成本低,吞吐量高的特点。随着个人通信的发展,无线局域网已经掀起了移动计算的新浪潮并在社会生活的方方面面得到了广泛的应用。
然而,无线局域网在带来便利的同时却给整个网络带来了巨大的安全威胁。无线局域网信号在自由空间中进行传输,无法像有线网络一样通过对传输媒介的接入控制来保证数据不会被恶意窃听并获取。所以无线局域网面临一系列的安全问题。首先,由于移动终端与网络之间的无线接口是开放性的,使得在无线信道上传送的信令和业务消息很容易被他人窃听,且很难被发现。其次,移动终端与网络之间缺乏固定的物理连接,用户必须通过无线信道来传送其身份信息,身份认证机制不完善。因此,无线局域网必须采取更严密的安全措施以确保通信安全。
无线局域网安全分为身份认证和数据传输安全两大块,有关无线局域网的安全策略也是围绕这两方面进行分析和设计。文献[4]中提出的安全方案需要改动WLAN基础设施来保障身份认证。文献[5]中的安全方案基于对称密码体制的第三方认证来解决身份认证和密码协商。文献[6]提出了基于IPSec的解决方案。本文提出了基于OSI模型层次化的WLAN安全策略,在物理层、数据链路层、网络层和应用层分别采取了相应的安全措施,能够最大限度地保障无线局域网通信安全。
2.WLAN 物理层协议及MAC协议
IEEE 802.11x WLAN 的物理层定义了数据传输的信号特征和调制方式:射频(RF)和红外线(IR)传输。RF分为直接序列扩频(DSSS)和跳频扩频(FHSS)两种传输方式。DSSS采用扩展的冗余编码方式进行数据传输,通过用高码率的扩频码序列与数据信号相乘实现扩频。FHSS系统中发射机的载波频率在一个预定集合(2.4G一2.483G)中随时跳变,接收方和发送方事先协商跳频模式。
IEEE 802.11的数据链路层由逻辑链路控制子层(LLC)和介质访问控制子层(MAC)组成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子层,并且与IEEE 802协议中所规定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC层的帧格式由帧头(MAC Header)、帧实体(Frame Body)和错误检查码(FCS)共同构成。帧头包括帧控制(Frame Control)、持续时间(Duration / ID)、地址信息(Address)和顺序控制(Sequence Control)等字段,如图1所示。
图1:无线局域网帧头结构
3.层次化的无线局域网安全策略
3.1 无线局域网安全技术及其缺陷
SSID (服务配置标识符) 用来标识无线局域网,无线AP默认定时进行SSID广播,黑客利用侦测软件可以轻易获得SSID。无线AP中存有合法MAC地址列表,管理员通过手工维护合法MAC列表可控制无线终端的访问权限。但是攻击者通过无线侦听即可获取合法的MAC地址并非法接入。WEP在链路层采用RC4对称加密技术,它将密钥扩展成任意长度的伪随机位“密钥流”,该算法的缺陷是:如果对两个不同的消息使用相同的IV和密钥进行加密,则可完全破解两个消息的信息。同时,如果通过无线侦听收集到包含特定IV密钥的分组信息并对其进行解析,那么连通用密钥也可被破解出来。WAPI协议分为WAI和WPI两部分,分别实现对用户身份的鉴别和对传输的数据加密。由于WAPI与原有WiFi标准存在较大差异,在设备兼容方面存在问题。所以WAPI标准仍在推广之中,并没有应用到现有的无线局域网之中。
WLAN所面临的安全威胁分为被动攻击和主动攻击两大类。被动攻击是对WLAN信号的窃听或干扰,主动攻击则是对WLAN进行非法接入并篡改网络设置等活动。为部署更安全的无线局域网,必须完善无线局域网网络安全策略,在OSI网络模型之上进行严格把关,在无线设备和终端之间建立多层次的保护机制,从根本上做到防止非法用户接入WLAN,并保证数据在传输过程中安全、保密。
3.2 层次化的无线局域网安全策略
无线局域网的安全贯穿网络架构、使用和维护的整个过程,单层次的安全技术并不能保证无线通信的绝对安全,一个设计良好,架构完整的无线局域网安全方案应该基于OSI参考模型,以分层方式整合多种不同的安全措施,以最大限度来确保无线局域网的通信安全。
考虑到WLAN物理层的安全,在架构WLAN时,通过专用审计仪器测量架设环境,确定AP的最佳位置,控制发散区,尽量减少无线信号泄露到网络范围以外的区域。当网络中存在多个AP时,调整各AP的工作频道,最大限度的减少干扰。
WLAN数据链路层的安全重点是对无线设备合理高效的应用。在WLAN中,启用AP的MAC地址过滤功能。启用WPA或WEP加密,选择104或40位(一些旧设备不支持104位)加密密钥。
图2:无线局域网安全构架
在配置无线AP时,将SSID设置为长而复杂的字符并关闭SSID广播功能,在AP中设置最大长度的共享密钥并定期更改密钥,将WLAN的地址分配设置为静态手工分配。同时应采用IPSec的嵌套通道来构造VPN的安全通信,以确保WLAN网络层的安全。
应用层的安全至关重要。在客户无线终端和无线网络间建立VPN(虚拟专用网)连接,在无线终端和VPN网关之间建立一对一的安全连接。同时在WLAN中架设RADIUS(Remote Authentication Dial-In User Service)服务器,对系统的远程连接进行身份验证、为网络资源提供授权并记录日志。此外,应该在客户终端中安装个人防火墙并在WLAN中架设入侵检测系统。
4.小结
随着人们对无线互联需求的增长, 无线局域网技术必将会得到进一步的发展, 其安全性也会逐步完善。本文分析了现有无线局域网的安全技术及其漏洞, 提出了更为安全可靠的无线局域网部署方案。
参考文献:
[1] 刘垚峰,王相林.WLAN安全方案及802.11i标准研究.计算机工程与设计,2006年13期.
[2] 姚志强,蒲江,唐金艺.802.11无线局域网安全性分析.计算机安全,2006年 04期.
[3] 陈一天,Laingal Ming.802.11 WLAN通信安全的研究.计算机应用研究,2006年03期.
[4] 赵鹏,罗平,曹学武.改进无线局域网的安全.计算机工程与应用,2004年02期.
[5] 陈卓,陈建峡,杨木祥.基于对称密码体制的第三方认证的无线局域网安全方案研究.计算机工程与科学,2005年07期.
[6] 周星,康耀红,孙盛杰.基于IPSec的无线局域网安全解决方案的研究.计算机工程与应用,2003年18期.
作者简介:
魏家强(1981—),男,硕士生,主要研究方向:无线通信、网络安全。
[关键词] WLAN IEEE802.11 网络安全 WEP VPN
1.引言
无线通信技术的发展推动了无线网络的快速发展,无线局域网在推出之后得到了快速普及。无线局域网采用无线传输媒介进行通信,摆脱了线缆的束缚,打破了地域和客观条件的制约,具有灵活性、移动性强,成本低,吞吐量高的特点。随着个人通信的发展,无线局域网已经掀起了移动计算的新浪潮并在社会生活的方方面面得到了广泛的应用。
然而,无线局域网在带来便利的同时却给整个网络带来了巨大的安全威胁。无线局域网信号在自由空间中进行传输,无法像有线网络一样通过对传输媒介的接入控制来保证数据不会被恶意窃听并获取。所以无线局域网面临一系列的安全问题。首先,由于移动终端与网络之间的无线接口是开放性的,使得在无线信道上传送的信令和业务消息很容易被他人窃听,且很难被发现。其次,移动终端与网络之间缺乏固定的物理连接,用户必须通过无线信道来传送其身份信息,身份认证机制不完善。因此,无线局域网必须采取更严密的安全措施以确保通信安全。
无线局域网安全分为身份认证和数据传输安全两大块,有关无线局域网的安全策略也是围绕这两方面进行分析和设计。文献[4]中提出的安全方案需要改动WLAN基础设施来保障身份认证。文献[5]中的安全方案基于对称密码体制的第三方认证来解决身份认证和密码协商。文献[6]提出了基于IPSec的解决方案。本文提出了基于OSI模型层次化的WLAN安全策略,在物理层、数据链路层、网络层和应用层分别采取了相应的安全措施,能够最大限度地保障无线局域网通信安全。
2.WLAN 物理层协议及MAC协议
IEEE 802.11x WLAN 的物理层定义了数据传输的信号特征和调制方式:射频(RF)和红外线(IR)传输。RF分为直接序列扩频(DSSS)和跳频扩频(FHSS)两种传输方式。DSSS采用扩展的冗余编码方式进行数据传输,通过用高码率的扩频码序列与数据信号相乘实现扩频。FHSS系统中发射机的载波频率在一个预定集合(2.4G一2.483G)中随时跳变,接收方和发送方事先协商跳频模式。
IEEE 802.11的数据链路层由逻辑链路控制子层(LLC)和介质访问控制子层(MAC)组成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子层,并且与IEEE 802协议中所规定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC层的帧格式由帧头(MAC Header)、帧实体(Frame Body)和错误检查码(FCS)共同构成。帧头包括帧控制(Frame Control)、持续时间(Duration / ID)、地址信息(Address)和顺序控制(Sequence Control)等字段,如图1所示。
图1:无线局域网帧头结构
3.层次化的无线局域网安全策略
3.1 无线局域网安全技术及其缺陷
SSID (服务配置标识符) 用来标识无线局域网,无线AP默认定时进行SSID广播,黑客利用侦测软件可以轻易获得SSID。无线AP中存有合法MAC地址列表,管理员通过手工维护合法MAC列表可控制无线终端的访问权限。但是攻击者通过无线侦听即可获取合法的MAC地址并非法接入。WEP在链路层采用RC4对称加密技术,它将密钥扩展成任意长度的伪随机位“密钥流”,该算法的缺陷是:如果对两个不同的消息使用相同的IV和密钥进行加密,则可完全破解两个消息的信息。同时,如果通过无线侦听收集到包含特定IV密钥的分组信息并对其进行解析,那么连通用密钥也可被破解出来。WAPI协议分为WAI和WPI两部分,分别实现对用户身份的鉴别和对传输的数据加密。由于WAPI与原有WiFi标准存在较大差异,在设备兼容方面存在问题。所以WAPI标准仍在推广之中,并没有应用到现有的无线局域网之中。
WLAN所面临的安全威胁分为被动攻击和主动攻击两大类。被动攻击是对WLAN信号的窃听或干扰,主动攻击则是对WLAN进行非法接入并篡改网络设置等活动。为部署更安全的无线局域网,必须完善无线局域网网络安全策略,在OSI网络模型之上进行严格把关,在无线设备和终端之间建立多层次的保护机制,从根本上做到防止非法用户接入WLAN,并保证数据在传输过程中安全、保密。
3.2 层次化的无线局域网安全策略
无线局域网的安全贯穿网络架构、使用和维护的整个过程,单层次的安全技术并不能保证无线通信的绝对安全,一个设计良好,架构完整的无线局域网安全方案应该基于OSI参考模型,以分层方式整合多种不同的安全措施,以最大限度来确保无线局域网的通信安全。
考虑到WLAN物理层的安全,在架构WLAN时,通过专用审计仪器测量架设环境,确定AP的最佳位置,控制发散区,尽量减少无线信号泄露到网络范围以外的区域。当网络中存在多个AP时,调整各AP的工作频道,最大限度的减少干扰。
WLAN数据链路层的安全重点是对无线设备合理高效的应用。在WLAN中,启用AP的MAC地址过滤功能。启用WPA或WEP加密,选择104或40位(一些旧设备不支持104位)加密密钥。
图2:无线局域网安全构架
在配置无线AP时,将SSID设置为长而复杂的字符并关闭SSID广播功能,在AP中设置最大长度的共享密钥并定期更改密钥,将WLAN的地址分配设置为静态手工分配。同时应采用IPSec的嵌套通道来构造VPN的安全通信,以确保WLAN网络层的安全。
应用层的安全至关重要。在客户无线终端和无线网络间建立VPN(虚拟专用网)连接,在无线终端和VPN网关之间建立一对一的安全连接。同时在WLAN中架设RADIUS(Remote Authentication Dial-In User Service)服务器,对系统的远程连接进行身份验证、为网络资源提供授权并记录日志。此外,应该在客户终端中安装个人防火墙并在WLAN中架设入侵检测系统。
4.小结
随着人们对无线互联需求的增长, 无线局域网技术必将会得到进一步的发展, 其安全性也会逐步完善。本文分析了现有无线局域网的安全技术及其漏洞, 提出了更为安全可靠的无线局域网部署方案。
参考文献:
[1] 刘垚峰,王相林.WLAN安全方案及802.11i标准研究.计算机工程与设计,2006年13期.
[2] 姚志强,蒲江,唐金艺.802.11无线局域网安全性分析.计算机安全,2006年 04期.
[3] 陈一天,Laingal Ming.802.11 WLAN通信安全的研究.计算机应用研究,2006年03期.
[4] 赵鹏,罗平,曹学武.改进无线局域网的安全.计算机工程与应用,2004年02期.
[5] 陈卓,陈建峡,杨木祥.基于对称密码体制的第三方认证的无线局域网安全方案研究.计算机工程与科学,2005年07期.
[6] 周星,康耀红,孙盛杰.基于IPSec的无线局域网安全解决方案的研究.计算机工程与应用,2003年18期.
作者简介:
魏家强(1981—),男,硕士生,主要研究方向:无线通信、网络安全。