无线局域网安全技术
欢迎大家来,这篇文章教你无线局域网的安全技术,欢迎大家阅读。本文介绍和分析了无线局域网的安全技术,包括访问控制、认证、加密、数据完整性和不可否认性,介绍了几种流行的无线局域网安全技术标准(WEP,WPA,WAPI),阐述了它的优点和缺点,最后介绍了无线局域网的安全测试系统。
1。介绍
随着无线局域网应用的增加,安全问题越来越受到人们的关注。对于有线网络,为特定的目的地通过电缆传输数据,通常在物理链路的数据条件下的破坏可以被泄露;而无线局域网中,数据是在空气中传播,只要在无线接入点(AP)覆盖范围内的终端可以接收无线信号,无线接入点(AP)可以被定向到一个特定的信号接收设备,因此无线局域网的安全问题尤为突出。
2。无线局域网安全技术研究
为保证安全通信,无线局域网需要采用必要的安全技术,包括访问控制、认证、加密、数据完整性和不可否认性。
2.1认证
对用户的身份认证提供了保证,这意味着当用户声称有特殊身份,认证将确认声明提供一些方法是正确的。在访问无线局域网,用户首先需要验证他们的身份来决定他们是否有相应的权限,然后授权用户,让用户访问网络和访问资源,辖区内。
虽然确定用户身份验证的具体过程不同的认证方法,应在认证过程中实现的基本功能是一致的。目前,用于WLAN的主要认证方法PPPoE认证、Web认证和802.1x认证。
2.1.1认证基于PPPoE
PPPoE认证是国内最早、最成熟的接入认证机制。大多数现有的宽带接入技术接入认证方法,在无线局域网中,PPPoE认证只需要增加相应的软件模块,原有的后台系统,可以达到认证的目的,从而大大节省投资,因此它被广泛地应用。图1是一个基于PPPoE认证无线局域网的网络结构。
PPPoE认证是一个成熟的认证方法,可以很方便的实现,但由于它是基于用户名/口令认证方法,它只能实现网络对用户的认证。有限的安全;在网络接入服务器需要结束一个会话,IP转发大量数据包,在繁忙的业务,很可能成为网络性能的瓶颈,所以PPPoE认证为网络和设备性能要求较高的应用;从接入服务器和用户终端之间的连接点的建设点,即使一些用户属于一个多播组,一个数据流将被复制为每个单独的用户支持端口组播服务的传输。
2.1.2认证基于Web
相比于Web认证PPPoE认证,一个非常重要的特征是除了IE浏览器客户端不需要安装用户认证客户端软件,无需安装,配置和管理客户端软件的麻烦,而且对操作人员和维修人员减少了很多相关的维修压力。同时,Web认证与门户服务器,也可以把门户用户在认证过程中,有助于开展新的增值服务。图2是一个基于Web认证的无线局域网网络框架。
在网络中的安全认证过程中,用户首先获得IP地址的DHCP服务器,并使用这个地址与门户服务器或交流访问内部服务器。在认证过程中,用户的身份验证请求被重定向到门户服务器和认证接口通过门户服务器推用户。
2.1.3基于802.1x的认证
802.1x认证是通用名称的认证方法使用IEEE802.1x协议,IEEE 802.1x协议是由IEEE在2001年6月提出的。这是一个基于端口的访问控制协议(基于端口的网络访问控制协议),从而实现安全认证和局域网设备授权。802.1x协议是基于EAP(可扩展认证协议),认证协议,由IETF提出的PPP协议的扩展EAP消息包括在。IEEE 802.1X消息,称EAPOL(EAP在局域网),IEEE 802.1x协议的体系结构包括三个重要部分,客户端、认证系统和认证服务器,三方沟通通过EAP协议,并基于802.1X认证的无线局域网网络框图如图3所示。由此可见,802.1x W无线局域网认证系统,认证没有完成由接入点AP,但是是通过一种特殊的中央服务器完成。如果服务器使用RADIUS协议,它被称为一个RADIUS服务器。用户可以登录到网络上的任何电脑,和许多AP可以共享一个单独的RADIUS服务器来完成认证,这使网络管理员更容易控制网络访问。
802.1x采用EAP协议完成认证,但EAP本身并不是一种认证机制,但一个通用的架构,用于传输实际的认证协议。EAP的优势是,当一个新的认证协议EAP机制发达,根本不需要改变。有超过20种不同的EAP协议目前,和不同格式之间的区别在于认证机制和密钥管理的区别。一个比较著名的EAP协议包括:EAP-MD5的最基本的需求;公共密钥基础设施PKI(公钥基础设施)EAP-TTLS,PEAP,EAP-TLS和eap-leap;基于SIM卡的认证和密码和eap-speke基于EAP-SIM:eap-srp;预共享密钥基于PSK(预共享密钥)eap-ske,EAP PSK和eap-fast。
2.2访问控制
访问控制的目标是阻止任何资源,如计算资源、通信资源或信息资源,从授权访问。所谓未经授权的访问包括未经授权的使用、泄露、修改、销毁和发布指令。通过认证,用户只需完成第一步访问无线局域网,并获得权限访问权限内的网络资源。授权主要是通过访问控制机制来实现的。访问控制也是一种安全机制,限制用户访问BSSID访问网络资源,MAC地址过滤,以及控制列表ACL的访问控制可以根据以下属性:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时间等。
2.3加密
加密是一个实体,保护信息不被泄露或暴露于这些信息的未经授权的掌握。加密可分为两种类型:数据保密服务和业务流保密服务。数据安全业务使得攻击者从一个数据项发布敏感信息困难,交通商业秘密使得攻击者通过对网络流量的获取敏感信息的困难。
根据密码的加密和解密使用相同,加密过程可以从解密的过程推导(或加密程序的解密过程可以得出),密码体制分为单钥密码体制(又称为对称密码体制和密钥加密)和双钥密码体制(也叫非对称密码体制公共密钥加密)。
2.3.1单钥密码体制
分组密码是一种常见的单密钥体制,有两种著名的分组密码:
数据加密标准DES(数据加密标准):DES已经引起了学术界和企业界的广泛关注,许多厂商迅速推出DES算法的实现,但其缺点是DES密钥太短,无法抵抗无限的搜索密钥攻击。
高级加密标准AES(高级加密标准):为了克服DES的缺点,美国国家标准与技术研究所(NIST)开始寻找一种高强度和高效率的替代算法,并于1997推出AES标准。
2.3.2双钥密码体制
自从双钥密码体制的概念提出以来,许多关键的加密方案被提出。在不断的研究和实践。有些是坏的,有些不太现实。目前,双钥体制只有三种是有效和安全的,即:RSA大整数分解问题的基于离散对数问题;乘法群在DSA或基于Gamal E1加密系统;椭圆曲线密码体制,基于椭圆曲线离散对数(CCC)。
2.4数据完整性
所谓数据完整性是接收机能准确判断接收到的消息已经在传输过程中被破坏,如插入、篡改、重新排序等。完善的数据完整性业务不仅可以发现是否损坏或不完整,但它也可以采取一些措施来恢复完整。
2.5不可抵赖
不可否认的是保安来防止发送方或接收方否认发送的消息,也就是说,接收端在接收消息时,可以提供足够的证据证明第三方消息确实来自发送方发送此消息,并拒绝承认失败。以同样的方式,当一个消息发送,发送者也有足够的证据证明收件人有没有消息。
三.无线局域网安全标准分析
3.1 IEEE802.11的安全标准:WEP
IEEE 802.11标准实现身份认证和数据通过有线等效保密协议WEP加密(WEP),有两种认证模式,开放认证和共享密钥authentication.wep使用RC4流密码由RSA数据安全公司的Ron Rivest加密。对称流密码,支持可变长度的密钥。
后来的研究表明,RC4密钥算法有一个固有的设计缺陷。由于RC4实施WEP选择24位的初始化向量(初始向量),它不能动态和动态加密密钥,所以这些缺陷在WEP的802.11加密框架的实际应用。最典型的FMS攻击已经能够捕获100万包获得一个静态的WEP密钥,因此,802.11中的WEP安全技术不为无线用户提供足够的安全性。
3.2、WPA安全标准IEEE802.11i
为了使WLAN摆脱这种情况,IEEE 802.11i工作组致力于开发新一代的安全标准,包括加密技术:TKIP(临时密钥完整性协议)和AES(高级加密标准),和IEEE802.1x认证协议。
certification.ieee 802.11i使用802.1x访问控制,无线局域网认证和密钥管理,并通过EAP四键的组密钥握手握手,创建和更新加密密钥来实现强大的安全网络定义在802.11i(强大的安全网络,简称RSN)要求。
在数据加密方面,IEEE 802.1li定义了TKIP(临时密钥完整性协议),CCMP(计数器模式/ CBC-MAC协议包)三种加密机制。
另一方面,TKIP使用扩展48位IV和IV序列规则,关键的混合功能(关键混合功能),重放保护机制和米迦勒消息完整性编码(MIC码)的4强的安全措施来解决WEP,安全漏洞,提高了安全性。就目前的攻击方法而言,TKIP安全。另一方面,TKIP没有修改WEP的硬件模块,只需要修改驱动程序,而且升级也很方便。因此,它是合理利用TKIP代替WEP。
但TKIP是基于RC4,和RC4算法被认为是一个问题,和其他问题可能会在未来出现。此外,加密和解密操作的RC4的仅仅是一个简单的异或操作。它具有在无线环境中的一些局限性,所以TKIP只能作为一个短期的解决办法。
此外,802。11与AES加密模式CCM和组织公民行为的使用,并构建了CCMP和总结这两种模式的基础上的加密协议,CCMP机制是基于AES(高级加密标准)加密算法和CCM(计数器模式/ CBC-MAC)认证的方法,大大提高了无线局域网的安全。这是为实现rsn.aes强制性要求对硬件要求很高。因此CCMP不能升级现有设备的基础上,将机制是基于AES加密算法和OCB(偏移码书)。
由于提高在市场上的无线局域网安全的迫切需要,IEEE 802.11i标准最终确定之前,Wi-Fi联盟制定了WPA(Wi-Fi Protected Access)标准的无线安全标准IEEE802.11i 802.11i.wpa代替WEP是一个子集,其核心是802.1x和TKIP。
3.3中国无线局域网安全标准WAPI
WAPI无线局域网鉴别和保密基础结构,是唯一合法的无线网络技术标准china.wapi采用椭圆曲线密码体制的分组密码算法以公共密钥和私人密钥系统办公室国家密码管理委员会,实现设备的识别、验证的环节,在加密保护的无线传输状态访问控制和用户信息,为了彻底扭转目前采用多种安全机制并存,WLAN的情况和不兼容,解决安全问题和兼容性问题的根本。优秀的认证和安全机制使WAPI的运营商非常合适的网络操作。
通过无线局域网WAPI(WLAN Authentication认证基础设施,简称外)和无线局域网络安全基础设施(WLAN Privacy Infrastructure,简称WPI)是由两部分组成,WAI和WPI分别实现用户身份认证和数据传输加密。其中,围采用公钥密码体制并使用公钥证书进行身份验证的STA和AP的无线局域网system.wai定义一个实体称为ASU服务单元(鉴别服务单元),它是用来管理所涉及的信息交换各方所需要的证书,包括证书的生成、发放、撤销和更新证书包含酒吧。证书签发者的公钥和签名(ASU),而公钥和签名的证书。这里的招牌是WAPI具体的椭圆曲线数字签名算法,这是网络device.wpi数字身份证书使用对称密码算法来实现MAC层MSDU的加密和解密。
整个系统由WAPI移动终端MT(移动终端),AP和ASU鉴别服务单元;其中,CA(Certificate Authority)认证系统功能,负责发放、验证和撤销;移动终端MT和AP安装在ASU的公钥证书,作为自己的数字身份凭证。当MT登录至无线接入点AP,双向认证必须通过空分设备在使用前或访问网络进行。根据核查结果,只有移动终端MT持有合法证书可以持有合法证书的无线接入点AP。这样,我们不能只有防止非法移动台的一对MT访问AP,但同时接入网络,占用网络资源,也防止MT登录非法AP和造成信息泄露。
4。无线局域网安全测试
操作级无线局域网安全测试系统主要包括以下设备:
车站(STA)
终端站是无线局域网中的一种数字链路终端设备,它可以连接或嵌入到数字终端设备中,而无需接口,如PC、PDA或手持终端设备。
接入点(接入点,AP)
无线接入点AP下行STA通信通过标准的空中接口协议,和上行链路分配数据通过有线网络,从而实现无线网络和有线网络之间的互通。
访问控制器(访问控制器,AC)
访问控制器AC相当于WLAN与传输网络之间的网关,将数据从不同的AP汇聚到业务上,而不是将业务网络中的数据分发给不同的AP,此外,它还负责用户的接入认证功能,并执行AAA代理功能。
AAA服务器
AAA服务器是实现身份验证、授权和计费(AAA、认证、授权计费)功能的网络服务器,身份验证服务器保存用户的身份验证信息和相关属性。当认证申请被接受,它支持数据库中的用户数据的查询,完成认证后,授权服务器授权用户具有不同的属性,根据用户信息,计费服务器完成对用户的计费信息的处理,实现了预付费和后付费服务,根据该用户的签约信息的会计属性。
目前AAA服务器主要是支持RADIUS协议的服务器,未来可以使用直径协议。
门户服务器
门户服务器,门户服务器,与AC一起完成WLAN用户门户的Web页面的推送,并提供门户服务。
管理服务器
管理服务器主要负责无线局域网的网络管理功能,包括配置管理、故障管理、性能管理、安全管理等。
该测试系统由热点无线局域网接入网络服务体系的组成和背景,主要是由接入网的接入点AP和接入控制器AC,和后台服务系统的认证、计费、应用服务和管理功能。同时,由于基于七号信令网SIM认证,认证服务器和用户数据库HLR / AUC也纳入系统,认证中心的主要设备是RADIUS服务器,用来存储用户的身份信息,完成对用户的认证和认证计费中心主要完成日充电功能应用服务器可以为用户提供www、ftp等多种应用服务,实现了无线局域网的配置、安全性、性能等管理,保证了无线局域网的可靠运行。
5、结束语
无线局域网是一个蓬勃发展的时期,和无线局域网的安全性也是一个行业内关注的焦点,基于现有的无线局域网的安全框架,我们可以使用相关的关键技术,具有足够的安全促进WLAN的实际应用建立一个增强的无线局域网,特别是在等重要部门的企业和机构。只有这样,无线局域网可以安全地与其他有线网络顺利连接,无线网络和3G网络,它将发挥巨大的潜力。