無線通信網(wǎng)絡(luò)安全-無線局域網(wǎng)安全技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)常見安全威脅物理威脅：竊聽、修改替換基礎(chǔ)結(jié)構(gòu)攻擊基礎(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件bug、錯(cuò)誤配置、硬件故障等。但是針對這種攻擊進(jìn)行的保護(hù)幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。拒絕服務(wù)無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。置信攻擊通常情況下，攻擊者可以將自己偽裝成基站。當(dāng)攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備時(shí)，就可以讓移動(dòng)設(shè)備嘗試登錄到他的網(wǎng)絡(luò)，通過分析竊取密鑰和口令，以便發(fā)動(dòng)針對性的攻擊。無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)服務(wù)集標(biāo)識(shí)符保護(hù)服務(wù)集標(biāo)識(shí)符（SSID）技術(shù)將一個(gè)無線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證，只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)，同時(shí)對資源的訪問權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無線接入點(diǎn)（AP）的區(qū)分標(biāo)志無線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及AP中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID，這是唯一標(biāo)識(shí)網(wǎng)絡(luò)的字符串。但是SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串，其安全性差，攻擊者可輕易地從每個(gè)信息包的明文里竊取到它。無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)物理地址過濾保護(hù)每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，應(yīng)用媒體訪問控制（MAC）技術(shù)，可在無線局域網(wǎng)的每一個(gè)AP設(shè)置一個(gè)許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點(diǎn)將拒絕其接入請求。媒體訪問控制屬于硬件認(rèn)證，而不是用戶認(rèn)證。但媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模，這是因?yàn)椋篗AC地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。部分無線網(wǎng)卡允許通過軟件來更改其MAC地址，可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址，因此可通過訪問控制的檢查而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限。無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)端口訪問控制技術(shù)(802.1x協(xié)議)端口訪問控制技術(shù)是由IEEE定義，用于以太網(wǎng)和無線局域網(wǎng)中基于端口的網(wǎng)絡(luò)接入控制?；诙丝诘木W(wǎng)絡(luò)接入控制是指在局域網(wǎng)接入設(shè)備的端口這一級，對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級別的安全。802.1x是運(yùn)行在無線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面客戶端到認(rèn)證端。認(rèn)證端到認(rèn)證服務(wù)器。802.1x定義客戶端到認(rèn)證端采用EAPoverLAN協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAPoverRADIUS協(xié)議。無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)常用無線局域網(wǎng)安全協(xié)議術(shù)有線對等保密（WEP協(xié)議）802.11i（WPA協(xié)議）WAPI無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)有線等效保密有線等效保密（WEP:WiredEquivalentPrivacy）使用RC4加密算法WEP的工作原理是通過一組40位或128位的密鑰作為認(rèn)證口令當(dāng)WEP功能啟動(dòng)時(shí)，每臺(tái)工作站都使用這個(gè)密鑰，將準(zhǔn)備傳輸?shù)男畔⒓用艹擅芪慕邮辗皆诮邮盏矫芪暮?，也利用同一組密鑰來解密，以獲得原始明文信息。

無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)IEEE802.11i是802.11工作組為新一代WLAN制定的安全標(biāo)準(zhǔn)，用于解決802.11（Wifi無線網(wǎng)絡(luò)）在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。主要包括加密技術(shù)：TKIP（TemporalKeyIntegrityProtocol）、AES（AdvancedEncryptionStandard）。認(rèn)證技術(shù)：802.1x接入控制，實(shí)現(xiàn)無線局域網(wǎng)的認(rèn)證與密鑰管理，并通過EAP-Key的四向握手過程與組密鑰握手過程，創(chuàng)建、更新加密密鑰。Wi-Fi保護(hù)性接入（WPA協(xié)議：Wi-FiProtectedAccess）WPA是8021.11i的子集（實(shí)現(xiàn)了IEEE

802.11i標(biāo)準(zhǔn)的大部分）有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)：WPA2具備完整的標(biāo)準(zhǔn)體系，但其不能被應(yīng)用在某些老舊型號的網(wǎng)卡上繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)認(rèn)證鑒別與保密基礎(chǔ)結(jié)構(gòu)(WAPI協(xié)議)無線局域網(wǎng)認(rèn)證鑒別與保密基礎(chǔ)結(jié)構(gòu)（WAPI:WirelessLANAuthenticationandPrivacyInfrastructure）它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。WAPI的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端（MT）與無線接入點(diǎn)（AP）間雙向鑒別。另外，它充分考慮了市場應(yīng)用，從應(yīng)用模式上可分為單點(diǎn)式和集中式。無線局域網(wǎng)安全技術(shù)無線網(wǎng)絡(luò)安全技術(shù)無線局域網(wǎng)安全技術(shù)無線局域網(wǎng)安全協(xié)議比較WEP802.11i（WPA）WAPI認(rèn)證特征對硬件認(rèn)證，單向認(rèn)證RADIUS認(rèn)證服務(wù)器，雙向（用戶名＋口令）WAP認(rèn)證服務(wù)器，雙向（證書）性能簡單復(fù)雜簡單，支持多種證書安全漏洞易偽造易盜取，共享密鑰管理困難簡單，支持證書算法開放式或共享密鑰