电子商务与信息安全Word文档下载推荐.docx
《电子商务与信息安全Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子商务与信息安全Word文档下载推荐.docx(7页珍藏版)》请在冰豆网上搜索。
解决方案
———————————————————————————————————————————————
0引言
无线网络的应用扩展了用户的自由度,还具有安装时间短;
增加用户或更改网络结构方便、灵活、经济;
可以提供无线覆盖范围内的全功能漫游服务等优势。
然而,无线网络技术为人们带来极大方便的同时,安全问题己经成为阻碍无线网络技术应用普及的一个主要障碍。
1无线网络的结构
无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成,采用单元结构,将整个系统分成多个单元,每个单元称为一个基本服务组(BSS),BSS组成有以下三种方式:
无中心的分布对等方式、有中心的集中控制方式以及这两种方式的混合方式。
在分布对等方式下,无线网络中的任意两站之间可以直接通信,无需设置中心转接站。
这时,MAC控制功能由各站分布管理。
在集中控制方式情况下,无线网络中设置一个中心控制站,主要完成MAC控制以及信道的分配等功能。
网内的其他各站在该中心的协调下与其他各站通信。
第三种方式是前两种方式的组合,即分布式与集中式的混合方式。
在这种方式下,网络中的任意两站均可以直接通信,而中心控制站完成部分无线信道资源的控制。
2无线网络的安全隐患
由于无线网络通过无线电波在空中传输数据,在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。
只要具有相同接收频率就可能获取所传递的信息。
要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。
另一方面,由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性,使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境,例如:
防火墙对通过无线电波进行的网络通讯起不了作用,任何人在区域范围之内都可以截获和插入数据。
计算量大的加密ö
解密算法不适宜用于移动设备等。
因此,需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。
与有线网络相比,无线网络所面临的安全威胁更加严重。
所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;
外部人员可以通过无线网络绕过防火墙,对专用网络进行非授权访问;
无线网络传输的信息容易被窃取、篡改和插入;
无线网络容易受到拒绝服务攻击(DoS)和干扰;
内部员工可以设置无线网卡以端对端模式与外部员工直接连接。
此外,无线网络的安全技术相对比较新,安全产品还比较少。
以无线局域网(WLAN)为例,移动节点、AP等每一个实体都有可能是攻击对象或攻击者。
由于无线网络在移动设备和传输媒介方面的特殊性,使得一些攻击更容易实施,对无线网络安全技术的研究比有线网络的限制更多,难度更大。
无线网络在信息安全方面有着与有线网络不同的特点,具体表现在以下几个方面:
①无线网络的开放性使得其更容易受到恶意攻击。
无线链路使得网络更容易受到从被动窃听到主动干扰的各种攻击。
有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理接入网络或经过几道防线,如防火墙和网关,才能进入有线网络。
这样通过对接入端口的管理可以有效地控制非法用户的接入。
而无线网络则没有一个明确的防御边界,攻击者可能来自四面八方和任意节点,每个节点必须面对攻击者的直接或间接的攻击。
无线网络的这种开放性带来了非法信息截取、未授权信息服务等一系列的信息安全问题。
②无线网络的移动性使得安全管理难度更大。
有线网络的用户终端与接入设备之间通过线缆连接着,终端不能在大范围内移动,对用户的管理比较容易。
而无线网络终端不仅可以在较大范围内移动,而且还可以跨区域漫游,这意味着移动节点没有足够的物理防护,从而易被窃听、破坏和劫持。
攻击者可能在任何位置通过移动设备实施攻击,而在全球范围内跟踪一个特定的移动节点是很难做到的;
另一方面,通过网络内部已经被入侵的节点实施攻击而造成的破坏更大,更难检测到。
因此,对无线网络移动终端的管理要困难得多,无线网络的移动性带来了新的安全管理问题,移动节点及其体系结构的安全性更加脆弱。
③无线网络动态变化的拓扑结构使得安全方案的实施难度更大。
有线网络具有固定的拓扑结构,安全技术和方案容易实现。
而在无线网络环境中,动态的、变化的拓扑结构,缺乏集中管理机制,使得安全技术更加复杂。
另一方面,无线网络环境中作出的许多决策是分散的,而许多网络算法必须依赖所有节点的共同参与和协作。
缺乏集中管理机制意味着攻击者可能利用这一弱点实施新的攻击来破坏协作算法。
④无线网络传输信号的不稳定性带来无线通信网络的鲁棒性问题:
有线网络的传输环境是确定的,信号质量稳定,而无线网络随着用户的移动其信道特性是变化的,会受到干扰、衰落、多径、多普勒频谱等多方面的影响,造成信号质量波动较大,甚至无法进行通信。
因此,无线网络传输信道的不稳定性带来了无线通信网络的鲁棒性问题。
此外,移动计算引入了新的计算和通信行为,这些行为在固定或有线网络中很少出现。
例如,移动用户通信能力不足,其原因是链路速度慢、带宽有限、成本较高、电池能量有限等,而无连接操作和依靠地址运行的情况只出现在移动无线环境中。
因此,有线网络中的安全措施不能对付基于这些新的应用而产生的攻击。
无线网络的脆弱性是由于其媒体的开放性、终端的移动性、动态变化的网络拓扑结构、协作算法、缺乏集中监视和管理点以及没有明确的防线造成的。
因此,在无线网络环境中,在设计实现一个完善的无线网络系统时,除了考虑在无线传输信道上提供完善的移动环境下的多业务服务平台外,还必须考虑其安全方案的设计,这包括用户接入控制设计、用户身份认证方案设计、用户证书管理系统的设计、密钥协商及密钥管理方案的设计等等。
3无线网络安全解决方案
基于以上无线网络存在的诸多的安全隐患,那么如何采取恰当的方法进行防范,使无线网络的安全隐患消灭在萌芽状态,尽量使无线网络的受破坏的程度减少到最低,以保证无线网络应用的范围普及,下面介绍几种对无线网络安全技术实现的措施。
3.1MAC过滤
顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。
而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。
MAC过滤技术就如同给系统的前门再加一把锁,设置的障碍越多,越会使黑客知难而退,不得不转而寻求其他低安全性的网络。
这个方案比较麻烦,而且不能支持大量的移动客户端,并且要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游。
另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
3.2避免物理访问
由于无线网络节点是有线信号和无线信号的转换“枢纽”,无线网络节点中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全,为此将无线网络节点摆放在一个合适的位置是非常有必要的。
在放置天线之前,最好先弄清楚无线网络节点的通信信号覆盖范围为多大,然后依据范围大小,将天线放置到其他用户无法“触及”的位置处。
一种极端的手段是通过房屋的电磁屏蔽防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。
用户也可以在AP上使用定向天线,限制信号的方向。
保护您所在的大楼或建筑物免受电子干扰。
这些方法可以保护您的无线网络和其他电子设备,但是通常需要与实际的风险进行权衡。
3.3修改SSID
SSID(ServiceSetIdentifier,服务标识符)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以查看当前区域内的SSID。
出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。
简单说,SSID就是一个局域网的名称,只有SSID的值相同的电脑才能互相通信。
通俗地说,SSID便是用户给自己的无线网络所取的名字。
需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。
因此,笔者建议最好将SSID命名为一些较有个性的名字。
无线路由器一般都会提供“允许SSID广播”功能。
如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。
你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
3.4WEP(WiredEquivalentPrivacy,有线等效加密)
这是IEEE802.11标准最初使用的安全协议。
其认证机制是对客户机硬件进行单向认证,采用开放式系统认证与共享式密钥认证算法,认证简单,易于伪造。
遗憾的是目前IEEE802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。
为了安全地配置WEP,可以采用以下几个方法:
使用可用的最高安全性 如果您的设备支持128位WEP,那么就请使用128位。
破解128位WEP密钥是极其困难的。
如果您无法动态地更改WEP密钥,那么就设置128位策略,然后定期地更改密钥。
更改周期取决于无线网络流量的繁忙程度。
使用动态WEP密钥 如果您使用802.1x,那么应该尽可能使用动态WEP密钥。
一些无线网络设备供应商也实现了他们自己类似于动态WEP密钥的解决方案。
在部署之前,请对这些解决方案进行评估。
注意:
使用动态WEP密钥能够提供更高层次的安全性,并能解决部分已知的WEP漏洞。
但是要使用动态WEP,您必须购买能够提供动态WEP的访问点,并使用支持动态WEP的客户端。
幸运的是,WindowsXP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。
在适当情况下使用MIC 目前,IEEE正在着手开发802.11i,修复WEP中的问题,并实现用于数据保密性和完整性的消息完整性校验和(MIC)。
MIC将生成加密数据的校验和,用于确保数据的完整性。
但是,到目前为止,还没有任何产品支持这个功能。
不要完全依靠WEP,使用IPSec,VPN,SSH或其他WEP的替代方法。
不要仅使用WEP来保护数据。
3.5WPA(Wi2FiProtectedAccess,Wi2Fi保护访问)
IEEE于2002年推出了对WEP改进的方案———WPA,增强了802.11的安全性,作为过渡标准,在802.11i生效后将自动废止。
从2003年2月Wi2Fi联盟开始WPA认证,经过6个月的认证过渡阶段,已于8月开始强制执行WPA标准。
WPA是基于目前Wi2Fi标准中WEP安全标准的RC4算法,有先天的缺陷。
其区别是在通信的过程中不断地变更WEP密钥,变换的频度以假设目前的计算技术无法将WEP密钥破解为依据。
但是对称加密的不足在于AP和工作站使用相同密钥,包括变更密钥在内的信息会在相同的简单加密数据包中传输,黑客只要监听到足够的数据包,借助更强大的计算设备,同样可以破解网络,最近暴露出严重的安全缺陷。
3.6 VPN
如果每一项安全措施都是阻挡黑客进入网络前门的门锁,如SSID的变化、MAC地址的过滤功能和动态改变的WEP密钥,那么,虚拟网(VPN)则是保护网络后门安全的关键。
VPN具有比WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接。
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,他不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
发现静态WEP的漏洞时,VPN立刻被提出作为确保通过WLAN传输的数据安全的最佳方法。
VPN非常适于保护不友好网络上传输的通信流的安全,不管用户是通过家庭宽带连接还是从无线热点连接。
但VPN从未用于保护内部网络上网络通信的安全。
因此,对于大多数组织,在此角色中的VPN非常麻烦,并且给用户的功能太有限,IT部门的维护成本太高、太复杂。
使用VPN保护WLAN有下列优点:
大多数组织已部署VPN解决方案,因此用户和IT员工将对该解决方案很熟悉;
VPN数据保护通常使用软件加密,这种加密使更改和升级算法比基于硬件的加密更容易。
使用VPN代替内在WLAN安全性缺点如下:
VPN缺少用户透明性。
VPN客户端通常要求用户手动启动与VPN服务器的连接。
因此,此连接决不会像有线LAN连接那样透明;
因为只有用户才能启动VPN连接,所以空闲的、已注销的计算机无法连接到VPN(因此也无法连接到公司LAN)。
因此,只有用户登录才能远程管理或监视计算机;
漫游配置文件、登录脚本和使用GPO为用户部署的软件可能无法如期运行;
从待机或休眠模式恢复不会自动重新建立VPN连接,用户必须手动执行。
虽然VPN隧道内的数据受到保护,VPN却无法对WLAN自身提供保护。
入侵者仍然可以连接到WLAN,并可尝试探测或攻击与其连接的所有设备。
3.7802.1x协议
该技术也是用于无线局域网的一种增强性网络安全解决方案。
当无线工作站与AP关联后,是否可以使用AP的服务取决于802.1x的认证结果。
如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。
802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于无线接入解决方案。
802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。
802.1x引入了PPP协议定义的扩展认证协议EAP。
作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
在用户认证方面,802.1x的客户端认证请求也可以由外部的Radius服务器进行认证。
该认证属于过渡期方法且各厂商实现方法各有不同,直接造成兼容问题。
该方法需要专业知识部署和Radius服务器支持,费用偏高,一般用于企业无线网络布局。
3.8无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。
侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。
如今入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
无线入侵检测系统不但能找出入侵者,还能加强策略。
通过使用强有力的策略,会使无线局域网更安全。
另外,无线入侵检测系统能检测出攻击者的行为,还能检测到RogueWAPS,识别出未加密的802.11标准的数据流量。
无线入侵检测系统还能检测到MAC地址欺骗。
他是通过一种顺序分析,找出那些伪装WAP的无线上网用户。
无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。
如今,在市面上流行的无线入侵检测系统是AirdefenseRogueWatch和AirdefenseGuard。
一些无线入侵检测系统也得到了Linux系统的支持。
例如:
自由软件开放源代码组织的Snort2Wireless和WIDZ。
3.9采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。
目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。
开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。
开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。
共享机密身份验证机制类似于“口令2响应”身份验证系统。
在STA与AP共享同一个WEP密钥时使用这一机制。
STA向AP发送申请,然后AP发回口令。
接着,STA利用口令和加密的响应进行回复。
这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。
采用其他的身份验证/授权机制。
使用80211x,VPN或证书对无线网络用户进行身份验证和授权。
使用客户端证书可以使攻击者几乎无法获得访问权限。
3.10其他手段
除以上9中方法外,还有一些方法可以进一步加强无线网络的安全性:
(1)扩展频谱技术;
(2)设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;
(3)不能让非专业人员构建无线网络;
(4)加强企业内部管理。
4结 论
将来的网络必定是一个无线的世界,保证绝对的安全是每一个计算机用户所期待的,用户都需要一个稳定的平台来保证其工作顺利进行。
小到个人,大到企业公司,甚至是政府、国防单位,只有将网络安全指数提高到一定的水平,才能放心工作、提高效率。
现代社会中,为了更加快捷便利地工作,提高政府企业的办事效率,顺利实现工作目标,必须建立完善、安全的无线网络系统。
参考文献:
王春霞,张晨霞.无线网络安全问题研究[J].齐齐哈尔大学学报,2005,21
(2):
76278.
CyrusPeikari,SethFogie.无线网络安全[M].周靖,译.北京:
电子工业出版社,2004.
金纯,郑武,陈林星.无线网络安全———技术与策略[M].北京:
张栋毅,范跃华.无线网络安全性研究[J].现代电子术,2006,29
(1):
62264,68.
李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施.《现代电子技术》2007年第5期总第244期.
WUCK,WANGXM.DeterminationofthetruevalueoftheeulertotientfunctionintheRSAcryptosystemfromasetofpossi2bilities[J].ElectronicsLetters,1993,
(1):
84-85.
张栋毅,范跃华.无线网络安全性研究[J].现代电子技术,2006,29
(1):
升级会员 