计算机论文探讨基于IEEE80211标准无线局域网WLAN的安全漏动与防治对策.docx
《计算机论文探讨基于IEEE80211标准无线局域网WLAN的安全漏动与防治对策.docx》由会员分享,可在线阅读,更多相关《计算机论文探讨基于IEEE80211标准无线局域网WLAN的安全漏动与防治对策.docx(4页珍藏版)》请在冰豆网上搜索。
计算机论文探讨基于IEEE80211标准无线局域网WLAN的安全漏动与防治对策
探讨基于IEEE——802.11标准无线局域网(WLAN)的安全漏动与防治对策
摘要:
本文主要对基于IEEE802.11标准无线局域网的安全漏动与防治对策进行了论述,以供同仁参考。
关键词:
IEEE802.11;无线局域网;安全漏动;防治对策
一、前言
随着无线局域网的迅猛发展,其安全问题也日益受到人们的关注,由于数据无线传输,所以窃听、身份信息篡改等攻击对无线局域网构成了严重的威胁,该问题能否得到比较完善的解决,成为无线局域网获得更大应用及推广的关键因素。
本文主要对基于IEEE802.11标准无线局域网的安全漏动与防治对策进行了论述,以供同仁参考。
二、无线局域网(WLAN)的安全漏洞分析
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。
(1)WEP机制的安全漏洞。
WEP虽然通过加密提供网络的初步安全性,但其安全性较差,可以通过很多攻击方法使其变得毫无意义。
主要的攻击方法有:
统计攻击:
在无线局域网传输的报文中,存在24比特的IV,在一个繁忙的无线局域网中,大概5个小时就可以用完所有的IV值(共有224=16,777,216个IV值)。
由于IV在WEP帧中以明文形式传输,放置在802.11报头中,因此很容易辨别出两个不同的帧是否使用了相同的WEP密码。
攻击者将相关的两个密文进行XOR运算,就可以得到明文的异或和。
在WLAN中传输的数据报中,包含了大量的冗余信息,可以用来消除明文信息中的多种可能性,进而用统计方法恢复出传送的明文。
完整性攻击:
WEP帧中的完整性校验码是利用循环冗余校验码(CRC)生成的一个32比特的CRC校验和,被用于检测WEP帧中的数据是否在传输过程中被破坏。
然而,CRC是线性的,这意味着更改WEP数据帧的一位可能导致CRC校验和在固定的几位上与原有的CRC不同。
虽然WEP帧中的CRC校验和也被密码流加密,但是由于WEP中采用的加密方式是序列加密,是按比特进行。
因此,攻击者可以修改WEP帧中的数据,并合适地修改完整性校验码,伪装的WEP帧就可以通过完整性检测。
假冒无线站攻击:
在WEP的共享密钥认证过程中,无线站点(STA)发送认证请求帧后,接入点AP会先向无线站点发送128字节的随机数作为询问文本,STA使用WEP加密后,将加密后的密文发送给AP。
密文是通过将明文和密码流进行XOR操作产生的。
攻击者通过帧听STA的认证过程,并将密文和明文XOR之后即可得到密钥流,利用该密钥流,攻击者就可以假冒该STA并通过AP的认证。
虚假接入点:
IEEE802.11共享密钥认证使用单向的,非相互的身份认证方法。
接入点AP可以认证用户的身份,但用户不能认证AP的身份,如果一个虚假访问点放置到WLAN中,则可以很容易窃取用户数据。
WLAN接入点可以识别无线NIC卡的MAC地址,在使用这种无线功能之前,需要对NIC卡进行登记,然后,接入点将按照用户识别NIC卡,每个接入点都需要访问这个表,但是如果黑客能够使用假冒的MAC地址,就可以轻易地欺骗合法用户侵入网络。
为提供更高的安全性,IEEE802.11i提出了有线等效保密的改进方案(WEP2),这种技术相比传统的WEP算法,将WEP加密密钥的长度由40位加长到104位,初始化向量IV的长度也由24位加长到128位,增加加密密钥和IV的长度,能够增加黑客侵入网络的难度,但因为使用的还是WEP的加密机制,仍不能从根本上提高WLAN的安全性。
三、WLAN认证方案
(1)EAP/802.1X方案
思科、微软等提出了使用802.1X和可扩展认证协议(EAP)的端到端框架,提供集中认证和动态密钥分发功能。
EAP/802.1X主要包括两个主要组件:
1)EAP,允许使用无线客户机适配器,可以支持不同的认证类型,因此能与不同的后端服务器如RADIUS通信。
2)IEEE802.1X,基于端口的网络访问控制的标准,它为接入控制搭建了一个框架,使得系统可以根据用户的认证结果决定是否开放服务端口。
与802.11规定的WEP相比,EAP/802.1X具有两个优点。
一是客户机与接入点的相互认证方案,能有效地消除假冒接入点和RADIUS服务器发起的“中间人攻击”;二是集中管理和分发WEP使用的密钥。
在采用802.1X的WLAN中,无线用户端安装802.1X客户端软件,无线访问点AP内嵌802.1X认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。
当无线客户端登陆到AP后,将根据802.1X的认证结果决定是否允许客户端使用AP的服务。
802.1X除提供端口访问控制能力之外,还提供基于用户的认证、授权和计费(3A服务),这在一定程度上顺应了互通的发展潮流。
802.1X采取了动态的、每个用户每次通信只用一次的WEP密码(OTP),提高了数据的保密程度。
但因为802.1X不是专为WLAN而设计的,它没有充分考虑到无线网络的特点,只提供了单向认证的方法,即只有无线接入点对客户端的认证,没有客户端对无线接入点的认证。
单项认证的机制在WLAN中可能会遭到中间人(MITM)攻击,这已经被美国马里兰大学的研�咳嗽敝な怠�
(2)四次握手协议
针对802.1X协议中用户不能识别直接的认证方(接入点AP)的合法性,引入了四次握手协议来解决这一问题。
四次握手协议的目的在于继用户和后台RADIUS服务器建立信任关系后,在用户和接入点之间建立信任关系,保证用户和接入点确实拥有相同的新密钥,并完成密钥的同步安装。
EAP认证过程:
无线客户机与接入点联系;
接入点禁止客户机以任何方式访问网络资源,除非客户机登陆到网络上;
客户机的用户安装系统提示输入用户名和密码;
借助802.1X和EAP,无线客户机和有线LAN上的RADIUS服务器通过接入点相互认证。
RADIUS服务器向客户机发送认证问题,客户机利用用户提供的密码的单向散列形成问题的答案,并将答案发送到RADIUS服务器;借助用户数据库中的信息,RADIUS服务器将形成自己的答案,并与客户机提供的答案相比较。
如果RADIUS服务器对客户机表示认可,将执行反向过程,即让客户机对RADIUS服务器进行认证。
当相互间的认证都成功完成以后,RADIUS服务器和客户机将为客户机提供唯一的WEP密钥。
客户机将保留这些密钥,并在登陆操作中使用;
RADIUS服务器通过有线LAN将WEP密钥(操作密钥)发送到接入点;
接入点用操作密钥对其广播密钥进行加密,然后将密钥发送给客户机,让客户机使用操作密钥进行加密;
客户机和接入点激活WEP,在以后的通信中使用操作密钥和广播WEP密钥进行通信。
四、基于IPSec的安全方案
IPSec是一种开放标准框架,可以保证通过IP网络实现安全通信。
IPSec使用IPSec内定义的服务,以保证互联网等公共网上数据通信的保密性、完整性和认证。
IPSec拥有实际应用,将IPSec放置在纯文本802.11无线流量的上面,以便保护WLAN。
在WLAN环境中部署IPSec时,IPSec放置在与无线网络连接的每台PC上,用户则需要建立IPSec通道,以便将流量传送到有线网。
过滤器用于防止无线流量到达网关和DHCP/DNS服务器以外的目的地。
IPSec用于实现IP流量的保密性、认证和防重播功能。
五、WLAN安全策略
在WLAN部署时,尽量避免在没有实施安全政策的情况下部署WLAN,根据所需要的网络功能的不同,可以采用不同的实施方案,在实施安全政策时,应该考虑如下设计目标:
按照政策提高安全性和防止攻击
无线网络接入有线资源时认证和授权
无线数据保密性
接入点(AccessPoint)管理
用户访问网络资源时的认证
高可用性(HA)
WLAN设备至少要遵守以下规定:
接入点安全建议
为管理接口提供用户认证
为SNMP选择特殊的公共字串,并经常修改
如果管理基础设施允许,应配置为SNMPReadOnly
关闭制造商提供的所有不安全、不必要的管理协议
只对专用有线子网提供管理流量
如果可能,对所有管理流量加密
如果可能,实施无线帧加密
客户机安全建议
关闭特殊模式
六、结论
无线局域网因其现有的安全机制WEP协议在设计上存在的安全缺陷,限制了无线局域网的广泛使用。
在现今主流的WLAN加密解决方案中,提出并应用了WEP改进方案(WEP2),WEP密钥散列,消息完整性检查MIC等相应的解决方法。
同时,新的认证协议框架EAP/802.1X,以及四次握手协议的应用,基于IPSec安全方案的实施,使得无线局域网可以和现存的各种网络实现互通,利用成熟的认证、漫游、计费、授权、高可用性等技术,可以更好地为用户提供服务,更好地满足用户和电信运营商的需求。
(弘利教育)
升级会员 