1、無線網(wǎng)絡(luò)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)的研究的研究歡迎你歡迎你CONTENTS無線網(wǎng)絡(luò)的發(fā)展歷史本方案的工作流程基于PKI系統(tǒng)的雙向身分認(rèn)證安全方案無線網(wǎng)絡(luò)的特點本課題研究目的無線網(wǎng)絡(luò)的原理無線網(wǎng)絡(luò)安全問題總結(jié)常見的無線網(wǎng)絡(luò)安全技術(shù) 本方案的優(yōu)點及不足無線網(wǎng)絡(luò)的發(fā)展歷史 無線局域網(wǎng)的歷史及發(fā)展無線局域網(wǎng)的歷史起源可以追溯到半個多世紀(jì)前的第二次世界大戰(zhàn)期間，當(dāng)時美國陸軍采用無線電信號用作資料傳輸.他們研發(fā)出一套無線電傳輸技術(shù).并且采用了相當(dāng)高強度的加密技術(shù)，美軍和盟軍都廣泛使用這項技術(shù)。1971年，夏威夷大學(xué)的研究人員從美軍在二戰(zhàn)時期應(yīng)用的這項技術(shù)中得到靈感，創(chuàng)造了第一個基于封包式技術(shù)的無線電通訊網(wǎng)絡(luò)

2、。這個被稱作ALOHNET的網(wǎng)絡(luò).包括7臺計算機，它們采用雙向星型拓?fù)?，網(wǎng)絡(luò)橫跨四座夏威夷的島嶼，中心計算機放置在瓦胡島上。它可以稱作無線局域網(wǎng)的鼻祖。本課題研究意義 近年來，計算機及通信科學(xué)發(fā)展突飛猛進(jìn)，隨著有線網(wǎng)絡(luò)的快速發(fā)展和普及，無線網(wǎng)絡(luò)也在一定程度上得到了發(fā)展，其在技術(shù)上變得的越來越成熟，越來越便捷，在信息化變革中扮演了相當(dāng)重要的角色，同時在國防中也得到了應(yīng)用。尤其 以無線局域網(wǎng)（wlan）為代表的無線網(wǎng)絡(luò)技術(shù)得到了高速發(fā)展和應(yīng)用。無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和延伸，其安全問題不僅影響到用戶的自身，而且也隨之影 響到與之相聯(lián)的有線網(wǎng)絡(luò)用戶。因此怎樣有效而又安全地使用無線網(wǎng)絡(luò)又將成為人們關(guān)

3、注的又一熱點問題，無線網(wǎng)絡(luò)的安全問題必須引起足夠重視。這也是本課題究研的出發(fā)點所在無線網(wǎng)絡(luò)工作原理 無線局域網(wǎng),是通過發(fā)射和接收裝置(無線設(shè)備) 連接上交換機,工作站就通過無線網(wǎng)卡和無線設(shè)備進(jìn)行通信,無線設(shè)備接收到信號就傳送給交換機再用交換機連接到路由器,路由器接入INTERNET,實現(xiàn)上網(wǎng).一、擴展頻譜方式二、窄帶調(diào)制方式無線網(wǎng)絡(luò)的特點 無線網(wǎng)絡(luò)的出現(xiàn)，許多有線網(wǎng)絡(luò)解決不了的問題迎刃而解?？梢栽诓幌駛鹘y(tǒng)網(wǎng)絡(luò)布線的同時,提供有線網(wǎng)絡(luò)的所有功能,并能夠隨著用戶的需要隨意的更改擴展網(wǎng)絡(luò),實現(xiàn)移動應(yīng)用。無線網(wǎng)絡(luò)具有傳統(tǒng)有線網(wǎng)絡(luò)無法比擬的優(yōu)點: 靈活性，不受線纜的限制，可以隨意增加和配置工作站。 低成

4、本，無線網(wǎng)絡(luò)不需要大量的工程布線，同時節(jié)省了線路維護(hù)的費用。 移動性，不受時間、空間的限制，隨時隨地可以上網(wǎng)。 易安裝，和有線相比，無線網(wǎng)絡(luò)的組建、配置、維護(hù)都更容易。 更加的美觀，傳統(tǒng)的有線網(wǎng)絡(luò)很多情況下都影響到了家庭的美觀，而無線網(wǎng)絡(luò)則沒有這個問題。 但是，一切事物有利亦有弊。無線網(wǎng)絡(luò)也同時有著許多的缺陷： （1）無線網(wǎng)絡(luò)的速度并不是非常的穩(wěn)定，和有線相比，還有著很大的差距。 （2）安全性也是一個很大的問題，無線網(wǎng)絡(luò)是通過特定的無線電波傳送所無線網(wǎng)絡(luò)安全問題總結(jié) 一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解（讀?。┩ㄐ拧?/p>

5、這類攻擊是企業(yè)管理員面臨的最大安全問題。如果沒有基于加密的強有力的安全服務(wù)，數(shù)據(jù)就很容易在空氣中傳輸時被他人讀取并利用。 1、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)竊聽無線網(wǎng)絡(luò)安全問題總結(jié) 在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認(rèn)證方法（即網(wǎng)絡(luò)認(rèn)證用戶，同時用戶也認(rèn)證網(wǎng)絡(luò)）和基于應(yīng)用層的加密認(rèn)證（如HTTPSWEB）。2、中間人欺騙、中間人欺騙無線網(wǎng)絡(luò)安全問題總結(jié) 現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主

6、機數(shù)量，以及由于802.11幀沖突引起的IV重發(fā)數(shù)量，最快可以在兩個小時內(nèi)攻破WEP密鑰。3、WEP破解破解無線網(wǎng)絡(luò)安全問題總結(jié) 即使AP起用了MAC地址過濾，使未授權(quán)的黑客的無線網(wǎng)卡不能連接AP，這并不意味著能阻止黑客進(jìn)行無線信號偵聽。通過某些軟件分析截獲的數(shù)據(jù)，能夠獲得AP允許通信的STAMAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網(wǎng)絡(luò)了。4、MCA地址欺騙地址欺騙無線網(wǎng)絡(luò)安全問題總結(jié) 由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址，這些地址可以被用來惡意攻擊時使

7、用。5、地址欺騙、地址欺騙與會話攔截與會話攔截?zé)o線網(wǎng)絡(luò)安全問題總結(jié) 一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使網(wǎng)絡(luò)暴露出來從而遭到攻擊。6、高級監(jiān)聽、高級監(jiān)聽 常用無線網(wǎng)絡(luò)安全技術(shù) 一、服務(wù)集標(biāo)識符（SSID） 二、物理地址過濾（MAC） 三、連線對等保密（WEP） 四、Wi-Fi保護(hù)接入（WPA） 五、國家標(biāo)準(zhǔn)(WAPI) 六、端口訪問

8、控制技術(shù)（802.1x）基于PKI系統(tǒng)的雙向身份認(rèn)證安全方案公鑰基礎(chǔ)設(shè)施PKI是以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。在網(wǎng)絡(luò)通信中，最需要的安全保證包括四個方面：身份認(rèn)證、數(shù)據(jù)保密、數(shù)據(jù)完整性和不可否認(rèn)性。PKI可以完全提供以上四個方面的保障。目前，PKI在信息安全領(lǐng)域日益受到得視，符合X.509標(biāo)準(zhǔn)的數(shù)字證書在網(wǎng)絡(luò)中得到越來越多的應(yīng)用。在此，我們提出了一個比較具體的基于PKI的無線局域網(wǎng)認(rèn)證和密鑰分發(fā)的主案，在本方案中使用的數(shù)字證書機制進(jìn)行身份認(rèn)證，要求認(rèn)證者和申請者都支持?jǐn)?shù)字證書技術(shù)。設(shè)計方案工作流程 整個身份認(rèn)證

9、系統(tǒng)由用戶MT、接入點AP和認(rèn)證服務(wù)器組成：其中，認(rèn)證服務(wù)器的主要功能是負(fù)責(zé)證書的發(fā)放、驗證與吊銷等；用戶與AP上都安裝有認(rèn)證服務(wù)器發(fā)放的數(shù)字證書（證書包含AS的公鑰以及證書持有者的身份和公鑰）作為自己的數(shù)字身份憑證。當(dāng)用戶登錄至無線接入點AP時，在使用或訪問網(wǎng)絡(luò)之前必須通過AS進(jìn)行雙向身份驗證。根據(jù)驗證的結(jié)果，只有持有合法證書的用戶才能接入持有合法證書的無線接入點AP。具體的認(rèn)證過程如圖4.3所示，具體為：設(shè)計方案工作流程（3）修改MAC地址讓過濾功能形同虛設(shè)：雖然無線網(wǎng)絡(luò)應(yīng)用方面提供了諸如MAC地址過濾的功能，很多用戶也確實使用該功能保護(hù)無線網(wǎng)絡(luò)安全，但是由于MAC地址是可以隨意修改的，通

10、過注冊表或網(wǎng)卡屬性都可以偽造MAC地址信息。所以當(dāng)通過無線數(shù)據(jù)sniffer工具查找到有訪問權(quán)限MAC地址通訊信息后，就可以將非法入侵主機的MAC地址進(jìn)行偽造，從而讓MAC地址過濾功能形同虛設(shè)。設(shè)計方案工作流程1，當(dāng)用戶MT登錄到接入點AP時，AP向用戶發(fā)送隨機數(shù)RA。 2，用戶收到RA后生成隨機數(shù)RB，向AP發(fā)送請求幀，其中包括用戶的數(shù)字證書及RA、RB，數(shù)字證書中有用戶的身份信息和公鑰，RA由用戶私鑰簽名。 3，接入點AP接收到用戶的請求后驗證隨機數(shù)RA，AP陰塞所有其它請求直到認(rèn)證完成，驗證RA成功后，AP向認(rèn)證服務(wù)器發(fā)送自己的數(shù)字證書、用戶的數(shù)字證書和RB，并使用自己的私鑰進(jìn)行簽名。企

11、業(yè)無線網(wǎng)絡(luò)所面臨的安全威脅企業(yè)無線網(wǎng)絡(luò)所面臨的安全威脅 （5）服務(wù)和性能的限制：無線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網(wǎng)的實際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會輕易地吞噬 AP有限的帶寬;如果發(fā)送廣播流量，就會同時阻塞多個AP;攻擊者可以在同無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號，這樣被攻擊的網(wǎng)絡(luò)就會通過CSMA/CA機制進(jìn)行自動適應(yīng)，同樣影響無線網(wǎng)絡(luò)的傳輸;另外，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的client/server系統(tǒng)都會產(chǎn)生

12、很大的網(wǎng)絡(luò)流量。設(shè)計方案工作流程 4，認(rèn)證服務(wù)器接收到AP的請求后，首先使用AP的公鑰對AP的數(shù)字證書解簽名，然后對AP的身份進(jìn)行驗證。若認(rèn)證服務(wù)器AP為合法的AP，則再對用戶的數(shù)字證書RB解簽名，然后驗明用戶的身份。在AP和用戶的身份都認(rèn)證成功后，認(rèn)證服務(wù)器向AP發(fā)送驗證成功幀，其中有認(rèn)證服務(wù)器的數(shù)字證書和隨機數(shù)RC，認(rèn)證服務(wù)器先用自己的私鑰簽名再使用AP的公鑰加密，從而使AP與認(rèn)證服務(wù)器建立信任關(guān)系。 5，AP收到驗證成功幀后先用自己的私鑰解密，然后用認(rèn)證服務(wù)器的公鑰解簽名，并將認(rèn)證服務(wù)器的數(shù)字證書和RC先用自己的私鑰簽名，再用用戶的公鑰加密后發(fā)給用戶。設(shè)計方案工作流程6，用戶收到此回應(yīng)后

13、首先用自己的私鑰解密，然后用認(rèn)證服務(wù)器的公鑰解簽名，并對認(rèn)證服務(wù)器的身份進(jìn)行驗證。驗證成功后向認(rèn)證服務(wù)器發(fā)送隨機數(shù)RD，用自己的私鑰簽名，并用認(rèn)證服務(wù)器公鑰加密。 7，認(rèn)證服務(wù)器收到后，用自己的私鑰解密，并用用戶的公鑰解簽名。用戶和認(rèn)證 服務(wù)器用隨機數(shù)RB、RC和RD為種子產(chǎn)生會話密鑰。然后認(rèn)證服務(wù)器產(chǎn)生臨時密鑰，用自己的私鑰簽名，并用AP的公鑰加密，發(fā)送給AP。 8，AP接收到以后，先用自己的私鑰解密，再用認(rèn)證服務(wù)器的公鑰解簽名，得到臨時密鑰，并作出回應(yīng)。設(shè)計方案工作流程 9，認(rèn)證服務(wù)器將臨時密鑰用自己的私鑰簽名，并用會話密鑰加密發(fā)送給用戶。 10，用戶收到以后，用會密鑰解密，用認(rèn)證服務(wù)器的

14、公鑰解簽名，得到臨時密鑰，用戶與AP都得到了臨時密鑰，雙方使用臨時密鑰加密算法進(jìn)行保密通信。 無線網(wǎng)絡(luò)安全解決方法一、本方案優(yōu)點 該主案與WEP機制的安全性相比，提供了更好的安全性保障，方案具備以下特點： 1，提供用戶與認(rèn)證服務(wù)器的雙向認(rèn)證，防止攻擊者利用WEP的單向認(rèn)證機制進(jìn)行假冒攻擊和接放中間人攻擊。 本方案的優(yōu)點 2實現(xiàn)了認(rèn)證密鑰與加密密鑰的分離，會話密鑰在認(rèn)證中動態(tài)生成，臨時密鑰的及時更新，增強了密鑰的安全性，防止密鑰長期不變帶來的安全隱患。 3，使用國際通行的分組密碼算法，不使用流密碼算法，防止密鑰流復(fù)用問題。 4，使用數(shù)字簽名機制，提供了防止篡改和不可否認(rèn)性。本方案不足之處 該方案存的不足 1，身份認(rèn)證的性能優(yōu)化，為了確保安全，身份認(rèn)證機制采用基于數(shù)字證書的雙向身份認(rèn)證機制，效率比效低，雖然用戶認(rèn)證的時間在認(rèn)證中所點的比率比效小，但還是會影響到用戶的效率，需要提高身份證證的效率。 2，每個站點需有一定的計算能力，不方便，并且操作的同步不易實現(xiàn)。此外，臨時密鑰生期的確定應(yīng)結(jié)合實際情況還確定，因為即使是一個局域網(wǎng)，其網(wǎng)絡(luò)通訊量隨時間變化而不同，過分頻繁的更換臨時