论文部分内容阅读
摘要 随着无线网络技术的快速发展,无线网络在功能和成本节约方面的优势日益突出,而由于无线网络是采用射频技术进行网络连接及传输的开放式物理系统,所以存在着访问控制和保密等安全性问题。本文就保证无线网络安全的机制和加密方法做一下探讨。
关键词 无线网络技术 安全性 安全机制 加密方法
中国分类号:TN915.08 文献标识码:A 文章编号:1003-8809(2010)01-040-02
网络互联已不再是简单地将计算机以物理的方式连接起来,取而代之的是合理地规划及设计整个网络体系、充分利用现有的各种资源,建立遵循标准的高效可靠、同时具备扩充性的网络系统。无线网络以其便利的安装、使用,高速的接人速度,正逐渐替代有线网络。但和所有常规有线网络一样,无线网络也存在的安全威胁。本文针对这些安全威胁讨论了保证无线网络安全的机制和加密方法。
一、保证无线网络安全的机制
通常应该从以下几个方面考虑制定相关措施。
(一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TILS、LEAP和PEAP。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(sSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。
(三)完整性:通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。在IEEE 802.1li规范中,TKIP:Temporal Key IntegIity Protocol负责处理无线安全问题的加密部分。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。
二、无线网络技术加密方法的研究
当前无线节点设备比较常用的加密方法包括两种。一种是WEP加密技术,另外一种就是WPA加密技术。
WEP技术也叫对等保密技术,可提供最低限度的安全,该技术一般在网络链路层进行RCA对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容。WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到网上的传输信号,也无法看到其中的具体内容,这样数据发送安全性和接收安全性就会大大提高。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。
wi-Fi保护接人(WPA)。制定wi-fi保护接入协议是为改善或替换有漏洞的WEP加密方式。WPA采用有效的密钥分发机制,可跨越不同厂商的无线网卡实现应用。WPA使公共场所安全地部署无线网络成为可能。WEP的缺陷在于其加密密钥为静态而非动态,而WPA可不断的转换密钥。WPA包括暂时密钥完整性协议TKIP和802.1x机制。TKIP与802.1x一起为移动客户机提供了动态密钥加密和相互认证功能。TKIP为WEP引入了新的算法,这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码。WPA可以与利用802.1x和EAP的认证服务器连接。这台认证服务器用于保存用户证书。这种功能可以实现有效的认证控制以及与已有信息系统的集成。WPA除了无法解决拒绝服务(DoS)攻击外弥补了WEP其他的安全问题。
临时密钥完整性协议(TKIP)。是针对无线LANs安全的IEEE 802.11i加密标准的一部分。TKIP利用带有128密钥的流密码进行加密和64位的流密码进行验证。TKIP是一种基础性的技术,允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作,组成了一个更长的128位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP协议安全许多倍。
可扩展认证协议(EAP)。通过允许使用任意长度的凭据和信息交换的任意身份验证方法,来扩展点对点协议(PPP)。EAP已被开发以响应身份验证方法的不断增长的需求。通过使用EAP,可以支持其他身份验证方案,如令牌卡、一次性密码、使用智能卡的公钥身份验证以及证书等。有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多的功能。
关键词 无线网络技术 安全性 安全机制 加密方法
中国分类号:TN915.08 文献标识码:A 文章编号:1003-8809(2010)01-040-02
网络互联已不再是简单地将计算机以物理的方式连接起来,取而代之的是合理地规划及设计整个网络体系、充分利用现有的各种资源,建立遵循标准的高效可靠、同时具备扩充性的网络系统。无线网络以其便利的安装、使用,高速的接人速度,正逐渐替代有线网络。但和所有常规有线网络一样,无线网络也存在的安全威胁。本文针对这些安全威胁讨论了保证无线网络安全的机制和加密方法。
一、保证无线网络安全的机制
通常应该从以下几个方面考虑制定相关措施。
(一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TILS、LEAP和PEAP。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(sSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。
(三)完整性:通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。在IEEE 802.1li规范中,TKIP:Temporal Key IntegIity Protocol负责处理无线安全问题的加密部分。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。
二、无线网络技术加密方法的研究
当前无线节点设备比较常用的加密方法包括两种。一种是WEP加密技术,另外一种就是WPA加密技术。
WEP技术也叫对等保密技术,可提供最低限度的安全,该技术一般在网络链路层进行RCA对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容。WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到网上的传输信号,也无法看到其中的具体内容,这样数据发送安全性和接收安全性就会大大提高。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。
wi-Fi保护接人(WPA)。制定wi-fi保护接入协议是为改善或替换有漏洞的WEP加密方式。WPA采用有效的密钥分发机制,可跨越不同厂商的无线网卡实现应用。WPA使公共场所安全地部署无线网络成为可能。WEP的缺陷在于其加密密钥为静态而非动态,而WPA可不断的转换密钥。WPA包括暂时密钥完整性协议TKIP和802.1x机制。TKIP与802.1x一起为移动客户机提供了动态密钥加密和相互认证功能。TKIP为WEP引入了新的算法,这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码。WPA可以与利用802.1x和EAP的认证服务器连接。这台认证服务器用于保存用户证书。这种功能可以实现有效的认证控制以及与已有信息系统的集成。WPA除了无法解决拒绝服务(DoS)攻击外弥补了WEP其他的安全问题。
临时密钥完整性协议(TKIP)。是针对无线LANs安全的IEEE 802.11i加密标准的一部分。TKIP利用带有128密钥的流密码进行加密和64位的流密码进行验证。TKIP是一种基础性的技术,允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作,组成了一个更长的128位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP协议安全许多倍。
可扩展认证协议(EAP)。通过允许使用任意长度的凭据和信息交换的任意身份验证方法,来扩展点对点协议(PPP)。EAP已被开发以响应身份验证方法的不断增长的需求。通过使用EAP,可以支持其他身份验证方案,如令牌卡、一次性密码、使用智能卡的公钥身份验证以及证书等。有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多的功能。