时间:2023-09-15 17:31:48
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇无线网络安全防范措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:无线网络 安全 防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
关键词:无线网络;攻击;解决方案
中图分类号:TN92
近年来随着无线技术的发展和普及,无线网络作为一种新兴技术,无线网络应用已经成为人们休闲娱乐,甚至工作和学习的常规渠道之一。人们已渐渐习惯于随时随地通过无线网络分享照片,微博,使用微信,网上支付,收发邮件和即时通讯等。越来越多的个人隐私甚至商业机密信息通过无线网络传输,人们更多关注的是无线网络应用的便捷性,却忽略了其潜在的安全风险。无线网络的威胁和攻击常常发生在我们身边,例如2012年山东聊城发生的网银“被”转账事件就给人们敲响了警钟。无线网络安全并非杞人忧天,而是当务之急。本文将对无线网络安全问题进行分析,并针对这些问题提供相应的防范措施。
1 无线网络存在的安全问题
无线网络的数据传送主要是通过无线电波在空中进行传输。由于无线网络的信号在开放空间中传送,那么只要有合适的无线客户端设备,在合适的信号覆盖范围之内就可以接收无线网络的信号。由于这样的传导性,导致无线网络存在着很大的安全隐患问题,这些突出的问题主要表现在以下几个方面。
1.1 无线网络被盗用
无线网络被盗用是指用户的无线网络被非授权用户的电脑接入,这种行为也称为蹭网。对于无线网络设置了很低安全防护或是没有设置安全防护的用户,非授权用户利用攻击工具就能很容易搜索到并入侵这类用户的无线网络,从而造成很严重的后果。非授权用户的入侵会造成很大损失,由于网络带宽资源是一定的,非法用户的入侵会造成网络流量被使用,网速变慢。更有甚者,某些非授权用户会对安全级别设置低的无线网络进行非法篡改,导致该无线网络内的合法用户无法正常登录,造成不必要的损失。
1.2 加密方式简单易破解
无线网络中很多用户采用了安全防范性能一般的WEP协议,它是所有客户端和无线接入点都会以一个共享的密钥进行加密设置了WEP密钥,对无线上网信号进行加密传输。由于WEP使用的是静态的密钥,很容易被黑客破解。而且在互联网上可以搜索到很多的“无线蹭网”秘笈,破解密码最快只需几分钟。非法攻击者通过下载“无线蹭网器”软件,就可以轻松破解无线路由密码,从而非常容易地截取上网地址、网络标识名称、WEP密钥内容等信息,然后很方便地对无线网络进行偷窃隐私或其他非法入侵操作。
1.3 数据安全问题
基于无线网的信号是在开放的空间传送的,通过获取无线网的信号,非法用户或是恶意攻击者有可能会执行如下操作:一是通过破解了普通无线网络安全设置,包括SSID隐藏、WEP加密、WPA加密、MAC过滤等就可以以合法设备的身份进入无线网,导致“设备身份”被冒用。二是对传输信息进行窃听、截取和破坏。窃听以被动和无法觉察的方式人侵检测设备,即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如Ethereal和TCPDump来监听和分析通信量,从而可以识别出破坏的信息。
2 无线网络安全防范措施
对于无线网络的存在安全问题,我们已经进行了初步的分析和了解,我们接下来针对这些安全隐患问题找到相应的解决方法和防范措施,从而降低网络安全问题的出现率。
2.1 安装防火墙
对于网络用户,可以通过安装防火墙来提升无线网络的安全性,同时也可以减少黑客攻击和病毒的入侵,还起着安全保护作用,但是有些用户对设置防火墙的意识不高,并没有把系统介入点直接的放置在防火墙外,这样就需要及时地对防火墙的设置进行修改,并把无线系统接人点设置在防火墙之外。
2.2 更改默认设置
在设置无线路由器的过程中,有很多用户总是对无线网络系统进行默认设置,虽然默认设置可以给用户带来一定的方便性,但是长时间的使用存在一定的安全隐患。由于很多路由器默认的用户名和密码都是“admin”,这个密码已经是众所周知,毫无安全保障。对此,建议用户在设置无线网络时应该修改其默认设置,达到安全目的。几种有效的设置方法推荐给大家就是设置AP、设置较长的安全口令、修改SNMP设置、隐藏SSID、MAC地址过滤等等几种方式。对于设置安全口令一项来讲,要定时更改设置的密码,保证密码的安全性。
2.3 采用WPA2加密方式
目前无线网络采用的加密技术主要有三种方式,一是WEP(Wired Equivalent Privacy)加密、二是WPA(Wi-Fi Protected Access)加密、三是WPA2(Wi-Fi Protected Access 2)加密。WEP加密方式是使用了一种称为RC4 PRNG的算法。所有客户端和无线接入点都会以一个共享的密钥进行加密,密钥越长,就越安全。WEP的缺点是使用静态的密钥,安全性不够强,比较容易破解。WPA加密方式是WEP的升级版,在安全性上有了很大的改进,主要体现在身份认证、加密机制和数据包检查等方面。WPA的优点是使用了动态的密钥,不容易破解。缺点是完整的WPA设置过程比较复杂,一般用户很难设置。WPA2是目前比较强的加密技术。使用更安全的加密技术AES(Advanced Encryption Standard),因此比WPA更难被破解、更安全。WPA2的设置方式如图1所示。
图1 WPA2设置
2.4 设置强度密码和定期更改密码
有些用户对无线网络设置访问时不需要密码或者比较简单密码,比如“12345678”这样简单的密码,很容易遭到别人的盗用。建议无线网络用户设置密码要用高等级的,不能随便设置一些简单的数字。这样可以提高访问网络安全性。加密以后可以阻止没有进行身份验证的非法用户随意的进入,并能将黑客隔离在外,保证了数据的安全性。另外用户在不使用无线网络时,建议关闭无线路由器,定期更改密码等方法,来提高无线网络的安全性。
3 总结
无线网络应用越来越广泛,针对无线网络的安全威胁也日益严重。虽然无线网络存在某些安全问题,但是只要我们加强安全意识并灵活应用文中所提出的安全措施,就能够提高无线网络安全性,减少遭遇攻击和威胁的可能,从而最大限度地避免由此带来的各种损失。
参考文献:
[1]林晓.网络与信息让网络畅通无阻,确保无线网络安全[J].网络与信息,2010,11.
[2]杨哲.无线网络安全攻防实战进阶[M].北京:电子工业出版社,2011,1.
[3]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012(10).
关键词:无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
原有的单一通信技术,无线通信的产生方式和传输技术在逐步的完善,相应的,信息的传播安全和传播途径的可信度受到了大家的关注。国家电力企业将通信公司的2G/3G/4G无线移动网络和电力信息通信相结合,取长补短,组建了具有广泛性,高效能,严格保密特点的电力无线虚拟专网,为智能化通信网络在语音、数据、图像、视频等多媒体方面提供技术支持。
1电力无线虚拟专网组成结构
国家电力企业信息内网工作信息的传送途径主要以电力无线虚拟专网为主要途径,电网组成是各级电网单位与通信公司相结合的集中接入的方式,如有想要加入到国家电网内部信息网络的客户,客户信息网络会通过最终客户端连入通信公司的无线网络,再通过信息公司的相应传送途径进行包装,到达客户端后进行解析工作,然后,安装信息安全装置才能加入企业的信息内网。
2电力无线虚拟专网的安全防范措施
国家电网无线网络连接的共同途径为电力无线虚拟专网,它存在很多的安全隐患,包括信息传送的安全隐患和信息范围的安全隐患,从在网络信息安全和传送范围两个方面入手大力保护,可减少信息传送过程中出现的安全隐患。电力无线虚拟专网网络起于通信公司无线基站止于电力安全防护设备,供电厂的主要工作是减少电力侧网络设备、电力侧安全防护设备及客户端的运行问题,确保客户终端可以流畅应用,通信公司主要工作是减少无线基站、运营商IP承载网、专线的运行问题,使其规律的工作。此篇文章主演探究电力无线虚拟专网电力网络侧、电力网络边界侧信息安全防范措施。
3电力无线虚拟专网数据保护要点
国家电网公司电力无线虚拟专网主要覆盖信息内网业务,根据信息内网的安全防护要求,针对业务应用数据的重要程度,结合国家电网公司终端实际使用情况及成本效益综合考虑,电力无线虚拟专网可采用安全防护架构。信息安全防护方案将电力无线虚拟专网分为三个区域:电力无线虚拟专网域、网络边界域和内网域。专网域采用租用运营商的专用传输通道承载无线终端数据;网络边界域采用防火墙和IDS等安全设备进行访问控制和网络攻击检测,采用公司专用的安全接入设备实现终端到边界的加密传输、终端合法性认证和数据隔离交换等安全功能。
4电力无线虚拟专网信息安全防护措施
根据电力无线虚拟专网安全防护架构、安全区域划分以及安全责任分界面的划分等方面考虑,分别从电力企业侧与运营商侧阐述信息安全防护措施。
4.1电力企业侧信息安全防范方法
电力企业在网络信息安全范围和信息内网域采用信息安全防范方法,以完成网络信息安全范围、信息内网域的安全防范。4.1.1安全范围规划:电力无线虚拟专网边界对安全范围进行严格规划,使网络使用范围明了,对每个安全范围都应用合适的安全防范方法,并且,对已经到达的网络信息加以系统的安全保障措施,更好的提升浏览监控、危险检测、输送监管和客户端认证等应用的使用性能。4.1.2访问控制:在边界接入设备上针对源地址制定访问控制,禁止不同APN业务互访;使用防火墙制定严格的访问策略实现专网域至网络边界域的访问控制。4.1.3安全隔离:采用电力企业专用安全接入设备实现网络边界域与内网域之间的数据安全交换,阻止非法网络连接穿透网络边界访问信息内网。4.1.4安全防御及入侵检测:在边界部署防火墙及入侵检测系统,实现抗DOS攻击、防恶意代码等功能,即时监视网络行为和网络攻击检测。4.1.5安全审计:对边界安全设备进行日志记录及审计,为评估网络安全性及网络安全加固提供依据。4.1.6隧道加密传输:在无线终端与电力企业专用安全接入设备之间建立安全加密传输通道传输业务数据,保障业务数据的安全传输。4.1.7接入控制:建立身份认证系统对接入网络用户进行强认证,禁止非法用户接入;信息内网业务系统采取有效措施对接入电力无线虚拟专网的终端硬件特征进行认证。
4.2通信公司隐患预防方法
通信公司使用隐患预防方法,以完成无线信息专网系统的网络安全连接保护、专用途径分类等专网域安全防护。4.2.1网络信息安全连接保护:客户端应用特定的APN接入,同时通信公司进行电力无线虚拟专业网络合法SIM卡授权,通过授权后的合法SIM卡可以获得访问权,但不可以浏览互联网和其他网络。4.2.2APN访问监管:相同的APN内客户端不可以相互访问,相反的,不同的APN内客户端允许互访。4.2.3特定通道及分离:在GGSN上电力无线虚拟专网用户应用VRF技术与其他用户路由分离;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司网络中输送电力无线虚拟专网信息以完成专网专用的目的,使其更好的与其他网络传播途径区别。
5结束语
关键词:安全;无线网络;措施
信息化社会是当前人类社会发展的新阶段,而随着信息技术的进步,很多网络覆盖方式都向着无线网络方向发展,通过无线网络能够更好的进行资源共享以及信息的交流。信息的交流随着无线网络以及局域网的出现被大大提升,相比较有线网络,无线网络在使用过程中更加的便捷、自由,但由于无线网络自身的特性,其安全隐患也相对较大。由于无线网络的信号具有开放性,因而对传输介质无线网络很难有效的予以保护,在传播过程中也极易为他人截获,达到攻击网络的目的。所以,如何提高无线网络设计的安全性成为了目前无线网络发展的重要课题,通过在网络以及组网设计的过程中提升网络安全性,从而保证局域网以及无线网络信号传播质量以及安全性。
1 常见安全隐患分析
在组织内部以及企业中,将单个计算机终端通过无限通信技术予以连接的技术便是无线局域网技术,通过这种方式可以实现信息资源的共享,以此在组织内部以及企业中进行通讯。不同于传统的有线电缆作为信息传播的网络来说,无限局域网则使用空间电磁波进行信息的传输。相比较之下,无线网络中电脑终端可以具有更高的移动能力。另外无线网络的安装相对较为简单,受到空间限制以及地理位置限制相对较小,这正是由于无线网络信息传播介质的特性决定的,相应的正是由于这一特性导致无线网络安全性能相对较难控制,其无法同有线网络一样采用有线网络安全机制予以保护,这也是当前无线网络安全技术的研发重点。
目前计算机网络技术人员对无线网络的规划建设主要需要解决两方面问题,由于目前可以提高无线网络安全性能的技术方案、技术标准较为繁杂,因而无法确定哪种方案更加有效。有线网络的安全防范措施往往通过建立防火墙以及硬件设备等方式,但是将这种方式应用在无线网络中,网络会轻而易举的受到外部攻击,这种入侵和攻击是由于防线从内部被攻破。因为通过无线网络,攻击、入侵者可以轻易的绕过硬件安全设备,从而从内部攻破网络防火墙。
主要的无线网络威胁包括以下几方面:首先,为数据的篡改以及截取。若攻击者能够通过无线网络入侵到内部网络,那么对内部网络中的数据信息便可以任意的截获、伪造,通过伪造将两个网络之间传输的数据进行截获、修改。其次,则可以窃听网络传输数据,导致一些机密数据的泄漏。另外还可以通过这种方式盗用一些身份。另外通过无线网络还可以入侵到用户手机窃取用户信息,利用这些信息攻击其他数据、系统。
2 提高网络安全性能措施
通过上术分析可以看出,企业以及组织内部所使用无线网的安全核心便是“接入”。只有把好这一关才能有效提高无线网络安全性能,常见的措施主要有两种,即过滤MAC地址以及将SSID隐藏,下面便针对这两种方式进行有效分析。
2.1 过滤MAC地址
在有线网络安全防范措施中,最为常见的便是过滤MAC地址。作为操作交换机的有效方式,该种方式也被应用在无线网络中。通过对无线网卡物理地址的制定,将MAC地质通过控制器下发至AP,或者直接将MAC地质存于无线控制器中。除此之外还可以直接在AP交换机中进行有效设置。
2.2 将SSID隐藏
SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
3 安全措施的选择
在网络的应用中,安全同方便之间的矛盾是恒久的话题。网络安全性越高则其方便性越差,反之网络的方便必然会牺牲网络的安全性能。而无线网络的应用初衷便是方便,因而其应用必然要考虑方便性。所以在应用过程中,人们必须权衡利弊,选择有效的安全措施保证无线网络信息传递的安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,这方面其意义重大。由于便捷是来访用户的关注焦点,因而在网络安全性上的要求相对较低。由于Portal认证方式无需进行客户端的安装,这种强制认证方式使得用户在使用终端进行访问时可以直接进入网络。通过这种方式用户能够更加便捷、快速的使用网络,但是安全性相对较弱。另外若资金允许,可以在无线网络中设置入侵监测装置,以此对外来非法入侵进行防雨,保证无线网络的安全性能,通过这种方式能够有效保证外来入侵在第一时间被发现。
最后无论何种安全技术,想要发挥作用首先必须被使用,所以最后的安全措施便是提高使用者的安全意识,只有使得每个使用者都具有安全意识才能从基础上提高无线网络安全性能。否则,非法入侵以及攻击者可以在短时间内攻破安全管理人员设置的各类措施,导致无线网络保护措施形同虚设。
目前很多组织内部以及企业都已经开始使用无线网络,虽然无线网络的覆盖使得组织内部以及企业获得了更多的辩解。但是由于对网络建设安全性的忽视,很多局域无线网甚至都没有考虑安全措施,这就导致整个网络安全性较差,很容易受到外部的入侵以及攻击。因而在使用中应当注意提高安全管理质量,通过身份验证等方式,实现无线网络同有线网络直接对接,从而提高网络安全性。
参考文献
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
【关键词】无线网络 网络安全 加密技术
引言
在现今的网络时代中,无线网络的应用无处不在,广泛应用在单位、商场、酒店及家庭等。如果能深入了解各种无线网络的加密技术并加以对应的安全措施,就能自由无虑地在网上畅游,也不怕黑客的攻击或非法闯入者的骚扰了。以下就目前最流行的几种无线网络加密技术和安全防范技术进行分析。
一、无线网络的加密技术
无线传输的安全类似于一个书面信息,有各种各样的方法来发送一个书面信息。每一种方法都提供一种增强水平的安全性和保护这个信息的完整性。你可以发送一张明信片,这个信息对于看到它的每一个人都是公开的。你可以把这个信息放在信封里,防止他人随意看到它。如果你确实要保证只有收件人才能够看到这个信息,你就需要给这个信息加密并且保证收件人知道这个信息的解码方式,无线数据传输也是如此。如果没有加密的无线数据在空中传输,任何在附近的无线设备都有可能截获这些数据。使用有线等效协议(WEP)加密你的无线网络可提供最低限度的安全,因为这种加密是很容易破解的。如果你确实要保护你的无线数据,你需要使用WPA(Wi-Fi 保护接入)等更安全的加密方式。
(一)有线等效协议(WEP)
WEP即Wired Equivalent Privacy,是一种基于40bit共享密钥编码的数据加密装置,因为不可变换,所以非常容易入侵。
这里需要提醒WEP只是让你的网络更难让黑客入侵。WEP加密并不在IEEE 802.11标准中,这表示有许多种WEP加密方式,但不完全,例如MAC地址部分就没有被加密。因此,这个协议后来发现存在一些漏洞,甚至一个初入道的攻击者也能够利用这个协议中的安全漏洞。
(二)Wi-Fi 保护接入(WPA)
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。WPA是目前最好的无限安全加密系统,它包含两种方式:Pre-shared密钥和Radius密钥,以下简单介绍一下:
①APre-shared密钥有两种密码方式:TKIP和AES。
②Radius密钥利用Radius服务器认证并可以动态选择TKIP、AES、WEP方式。
③临时密钥完整性协议(TKIP)
TKIP 是一种基础性的技术,允许WPA 向下兼容WEP 协议和现有的无线硬件。TKIP 与WEP一起工作,组成了一个更长的128 位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP 协议安全许多倍。
④可扩展认证协议(EAP)
有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多功能。其方法不是根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问,而是根据公共密钥基础设施(PKI)来控制无线网络的访问。WPA协议给WEP 协议带来了很大的改善,它比WEP 协议安全许多倍。
二、无线网络用户的安全应对措施
无线网络安全并不是一个独立存在的问题,所有用户必须认识到这一事实,只有在共享的环境中同时在几条战线上对付攻击者,才能确保无线网络的安全。值得指出的是,有些威胁是无线网络自身所带有的,无线通讯最可靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。用户在网络间的相互访问,其控制是通过AAA服务器来转载的。这种传输方式为用户提供更大更好的可扩展性,为了安全访问控制服务器,在802.1x的安全端口上提供了自定义的机器认证号码,在这一特定的环境中,只有使用者成功利用802.1x规定端口的识别码后才能进行端口访问。另外,目前还有通过SSID和MAC地址过滤。SSID是当前无线网络访问点所采用的识别字符串,它的特点是标志符都是由设备制造商所制定的,每个标识符都要通过默认短语,因为所有的无线工作站的网卡都会配有自己独特的物理地址,所以每个用户可以根据自己的需要设置访问点,设计一套允许的MAC地址列表,从而实现了物理地址过滤。需要指出的是,这要求AP中的MAC地址列表要随时更新,其缺点就是可扩展性差,无法实现机器在不同AP之间的漫游。同时,MAC的地址还可以用高科技技术来伪造,所以说,这种加密技术还是较为低级的授权认证。它的优点就是,他可以完全阻止非法访问无线网络,能有效保护网络的安全。在实践中很多用户通过WEP或TKIP无线网络提供原始完整性数据包。WEP加密技术也提供认证功能,当其加密机制功能开始启用时,所有客户则要在客户端连接AP,连接成功后AP会发出一个Challenge Packet地址给客户端,客户端利用中间的共享密码将此值加密,然后送回存取点以进行认证比对,直到验证正确无误,才能获准存取网络的资源。在IEEE 802.11i规范中,TKIP Temoral Key Integrity Protocol负责处理无线安全问题的加密部分。就上述几种加密技术的优缺点,我们可以做好以下几种措施:
(一)正确设置网络密钥
在缺省状态下,无线网络节点生产商为方便初级用户安装无线网络,特意将无线网络节点的数据传输加密功能设置为“禁用”,这样一来用户初次接入进的网络是不安全的,非法攻击者很容易利用专业的嗅探工具,截获到在无线网络中传输的数据。为此当你在初次连接到无线局域网中时,必须记得设置好网络密钥,来对在无线网络中传输的数据进行加密,以便有效抵御普通黑客的非法入侵。
(二)更改默认的SSID 设置
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过的话,就可能顺利连接到无线网络中。可是由于同一生产商推出的无线网络节点都使用了相同的SSID 名称,这给那些企图非法连接到无线网络中的攻击者们,提供了入侵便利,一旦他们用通用的初始化字符串来连接无线网络时,就很容易建成一条非授权链接,从而给无线网络的安全带来威胁。为此,在初次安装好无线局域网时,你必须及时登录到无线网络节点的管理页面中,打开SSID 设置选项,重新设置一下初始化字符串,最好让人难于猜测。而且,为了更有效地避免非法链接,你最好在条件允许的前提下,取消SSID 的网络广播,这样能将黑客入侵机会降到最低限度。
(三)做好其他防范工作
为了更好地保护无线网络的安全,还可以根据无线网络节点自身功能的不同,进行一些其他有效的安全防范措施。
结论
无线网络安全是需要一个不断改善和升级的过程,特别是无线技术迅猛发展的今天,就算是一项大家都认为是目前最完美的安全技术,当应用到实际中时还是漏洞百出,这就需要通过人们不断的努力来完善它。只有认真了解各种加密技术和传输数据的加密方法,再加上相关的措施等方法结合起来, 才能构筑安全的无线局域网,这些都需要我们不断地学习和探索。
【参考资料】
[1]韦安明,王洪坡,程时端,林宇.高速网络中P2P流最检测及控制方法[J].北京邮电大学学报,2007(5).
关键词:4G通信技术;无线网络;安全通信
中图分类号:TN929.5
近些年来,无线网络安全通信问题一直是业内人士所关注和研究的重点,如何建立完善的无线网络通信安全通信体系及措施,促使当今时代无线网络通信系统安全稳定性运行,为人类社会的和谐发展做出贡献,是我们必须要重视和研究的焦点问题[1]。
1 无线网络通信的主要方式
通常来讲,根据无线网络通信系统的建设规模数据传输速度以及用途的不同可将无线网络通信分为以下几种方式:无线局域网、无线城域网、无线广域网和无线个域网;从网络拓扑结构的角度分析,无线网络通信又可以分为有中心网路、无中心网络和自组织网络;其中,有中心的网络拓扑结构的典型代表是蜂窝型移动通信;无中心的网络拓扑结构的典型代表是自组织网络,按照分布式、自组织的思想构建网络体系。
2 4G通信技术
近些年来,随着科学技术水平的不断提升,给通信行业的发展带来了崭新的发展,通信行业目前的业务正处于3G无线网络向4G无线网络过度的关键时期。4G无线网络通信以期自身的强大系统功能优势将成为当今时代的主导型通信产业技术核心。4G无线网络通信技术的最为显著的特征就是4G融合了多种无线网络通信技术,并且各种类型的无线网络之间是共存关系,并不会因为多种无线网络的存在在网络系统运行过程中产生干扰功能失稳问题。避免了因无线网络干扰问题造成整个系统的紊乱,使无线网络传输的信息数据失真。此外,4G无线网络通信技术还具有极强的适用性,即4G无线网络通信使用者无论是在任何时间或者地点无时无刻地都能利用4G无线网络处理完成自己的业务。但值得提出的是,任何事物的发展都具有两面性,在看到4G无线网络通信技术优势特点的同时,我们还需认真地考虑分析其系统在运行过程中的系统安全认证和安全切换问题,这也正是现今通信行业业界所要研究探讨的重点问题。4G无线网络通信的核心技术是具有覆盖全球范围的IP核心网。目前正逐步在全社会范围内取代传统的3G中的蜂窝网络。系统交换架构也从单一的电路交换向分组交换过渡,逐步形成分组交换为主要交换架构形式的全IP网络体系。其中,TD-LTE技术是采用时分双工技术版本的LTE技术,为TD-SCDMA技术的升级版,值得提出的是TD-LTE技术仍旧沿用TD-SCDMA帧结构;也就是说TD-LTE技术是集中传统优势技术,创新发展的新型技术,不管是在技术性方面还是在经济性方面都具有较高的价值性。尤其TD-LTE的物理层传输技术同传统的通信技术先比有着突破性的创新改进,使无线网络通信系统的运行更加的趋于稳定。
(1)TD-LTE技术充分地利用了TDD中的优势技术,完善了自身技术。该技术将有限的频谱资源得以充分深挖掘及利用;具体来讲,TD-LTE技术在应用过程中是按照TDD的模式将收发到信号进行整合,将信号调度到相同波载下的不同时间分段的信息数据进行分区传输。充分地将有限的频谱得以利用;(2)TD-LTE采用的编码技术是正交频分复用调制编码技术。该技术在实际应用中彻底地解决了无线网络通信系统运行过程中的频率选择性衰落问题和窄带干扰问题,大大地提高了单位频谱的传输效率。所谓的正交频分复用调制编码技术的原理是将单位频段内的设定好的信道按照一定的标准分为多个正交子信道,在各个子信道分别采用一个载波调制使各个子载波处于平行,有效解决了多种形式的载波交织在一起而形成信号波干扰问题,不宜信息数据的传输;(3)TD-LTE还采用了多输入和多输出技术。技术原理是在无线通信系统空间覆范围设置分立式多天线,多发射器和多接受天线的方式对通信链路进行分集、分解,使原本复杂的通信信道分为多组平行的子信道,减轻了通信信道传输信息数据的压力,起到了“分流”的作用。大大地提高了无线网络的通信容量[2]。
3 4G安全通信问题及解决对策
3.1 4G安全通信问题分析
总的来讲,4G无线网络通信系统主要由以下几大部分组成:IP主干网、无线核心网、无线接入网和智能移动终端等,在安全通信问题方面这几部分也是造成安全威胁的主导元素。虽然4G无线网络通信系统不管是在技术上还是管理上都下了较大的功夫,但是基于种种因素,在4G无线网络通信系统中还存在影响系统安全性运行的因素。比如,无线网络在链接过程中,链路之间的连接有效性问题,如果连接过程中出现中断,可能造成用户所发送的重要信息文件中断。还有就是一些恶意的病毒侵入无线网络链路问题,攻击性病毒一旦植入系统中,系统所传输的信息数据则面临着失窃危险。尤其是一些商业机密信息则有可能出现泄漏,给使用者带来较大的经济损失;再者就是攻击者会恶意的篡改或者删除链路上的数据,使整个无线网路通信系统无法正常运行,甚至是整个系统处于瘫痪状态;另外,4G的移动终端与用户的交互尤为密切,移动终端作为所有无线协议的参与者和各种无线应用的执行者,交互越来越复杂,也使得通信系统的不安全威胁因素越来越多。与此同时,随着无线网络通信系统计算和储存信息能力的不断提升,可被执行的恶意程序数量的不断增加,对无线网络通信系统的威胁则会越来越大。所以4G无线网络通信系统作为我们当今通信产业的主导产业,加强安全通信研究,提出有效的防范对策和措施具有十分重要的意义。
3.2 提高4G无线网络通信系统安全通信的策略
由于4G无线网络通信系统的安全通信研究的起步较晚,许多的安全通信的防范及控制措施还没有完善。应引起4G无线网络通信运营商的重视,尤其是在4G无线网络通信系统的安全设计方面要尤为的注意,在设计阶段需要考虑的因素主要包括4G无线网络通信系统在运行过程中传输数据信息的速率,各个无线网络系统间的兼容性及无线网络系统的可拓展性、可移动性和安全性。具体设计时应考虑如下问题:(1)尽可能地减少通过移动终端完成的任务量,减少系统计算的时延;(2)无线网络通信过程中的安全协议的信息量及每条信息数据的长度尽可能地减少,避免信息量过大或者信息数据长度过长延长通信时延;(3)无线网络通信系统的所设置的安全防护措施应做到让用户知晓,透明化;(4)明确被访问协商所采用网络通信安全级别及安全协议,方便用户的有效识别和了解;(5)合法实体用户可根据自身的业务需求确定是否采取安全防护措施;(6)网络通信协议的计算能力要具有非对称性的特点,尽可能地使较大的计算负担在服务端完成,避免在移动终端完成计算给用户的使用带来麻烦,影响服务质量;应充分地借助移动终端的空闲时间及资源对提供的服务进行预计算和认证;(7)无线网络通信系统所制定的安全通信方案应满足用户和网络设备增加后所产生的各种需求。
4 结束语
总之,随着4G时代的到来,为了能给用户提供一个安全稳定的无线网络通信环境,需要业界加大力度对4G无线网络安全通信措施的研究及确定,防止不安全因素对无线网络通信系统的发展及运行造成影响,使无线网络通信更好地服务于社会。
参考文献:
[1]高飞,平立.浅谈4G无线网络安全[J].科技资讯,2010(04):17.
[2]郑宇.4G无线网络安全若干关键技术研究[D].西南交通大学,2006.
社会主义学院无线网络建设以“安全快速、操作简易、统一管理、利旧兼容”为建设原则。安全快速:基于无线网络无实质物理链路的特性,决定了无线网络具有可广泛接入的隐患。因此,无线网络建设首先要具备高安全性,必须通过技术手段提供完整的安全防范措施。在保证安全的情况下,无线网络信号可覆盖区域和强度决定了接入速度的体验,因此,在校园设计无线网络时,需要根据现场的实际情况有针对性地部署,以保障无线网络高速快捷。操作简易:社会主义学院信息部门的人员增长速度总是无法应对网络规模的日渐庞大复杂性要求。无线网络接入层应具有即插即用能力,客户端具有零安装、零维护特点,在保障网络安全的情况下提供快捷及智能访问。统一管理:基于无线网设备部署场景不同,无线设备安装也不具备统一性,无线AP安装环境包括房间、走廊、立杆、平台等多种组合,因此,对设备及日常管理的维护是个较大的挑战。这就要求无线接入网络应具备集中管理和维护特性,并通过统一管理系统对无线网络进行在线监测和实时调控,及时查找并排除故障。利旧兼容:各社会主义学院的有线网络发挥了重要的信息化整合和传递作用。为降低投资额度,无线网络设计应充分考虑现有楼宇的装修和有线网络部署状况,在满足要求的情况下,尽量利用现有的线路、设备和基础设施进行无线网络建设。
二、关键技术设计
(一)无线网络部署方案
当前无线网络部署方式主要有放装、室分、智分三种形式,几种部署方式适合不同的应用场景,简单对比如下表:要综合考虑环境、面积、建筑结构、建筑材质、设备性能和小气候等多个因素,分区分片的进行无线网络部署设计,且在实施前进行必要的信号强度测试。同时,无线网络部署必须尽量不破坏原有装修。以中央社会主义学院为例,办公楼是一栋六层楼房,为长条筒形建筑,中间为廊道,两侧布设各部门办公室,房间结构相对标准统一;教学楼为四层建筑,中心为中空大厅,周圈各教室形成围合式结构。在装设无线网络时,我们需要综合考虑利旧、实现效果和施工实施的难度,考虑在学院原有的有线网络基础,进行无线网络部署。办公室、小型会议室等房间密集型环境采取室内墙座放装方式,走廊覆盖不佳的地方在廊道顶棚内敷设AP作为辅助;教室、大型会议室、休息室、大厅等大开间、高密度的环境采用高性能室内放装的方式。由于建筑不规则,在无线AP点位设计过程中,需要考虑不同建筑对信号衰减的干扰,合理分配无线接入点的部署位置,辅以X-Sense智能天线、智能负载调节等技术,让无线信号覆盖到所有角落,使之真正满足办公和教学科研需求。
(二)安全设计
无线网络安全是一个复杂的系统工程,不同的业务特征有着不同的需求。具体到社会主义学院无线网络,在满足设备级、网络级的安全特性外,安全策略主要包括用户终端管理、防病毒和入侵检测以及无线网络管理等方面。
1、用户终端管理
(1)身份认证系统设计校园无线网络用户主要有三类:教职工、学员和访客。教职工和学员要求能够随时随地接入无线网络,访问社院办公平台、图书馆数字资源以及在线学习平台等学院内部资源,可以使用终端智能识别的WEB认证;访客主要是来学校参观、培训或者进行学术交流的一些用户,对他们来说最重要的就是可以即时接入互联网络,可以使用访客手机自身认证。身份认证系统建立了覆盖全员的身份管理,员工账号与现有办公平台的员工数据相对接,访客的手机号作为登陆账号。实名管理机制建立了网络世界与现实之间的联系,便于精确定位和追根溯源网络中出现的安全问题,能够提高用户的责任意识,有效预防和控制不负责的网络行为,从而降低无线网络的安全隐患。(2)安全检查除身份认证外,系统还须对接入终端实施安全检查,当接入用户不符合既定安全策略时,采用自动阻断、强制隔离等方式处理,切断有安全隐患的终端对无线网络的影响。(3)用户绑定对用户信息进行多维度绑定,可将用户的帐号与接入的SSID、关联AP/AC的IP和MAC地址进行标识。一旦出现问题,能够快速定位事发用户、终端甚至位置。(4)权限和带宽控制配合身份认证系统,实现精细化的无线用户管理。通过划分SSID可以将用户接入相应的VLAN内,SSID和VLAN一一对应,通过设定VLAN权限做到带宽和用户访问权限的灵活控制。对教职工和学员给予较高的带宽等级,并根据业务特点划分相应的访问权限;访客只给予最基本的带宽、只可访问互联网。(5)用户隔离访客划入单独的SSID,院内用户根据不同的业务特性也划分为多个SSID。采用用户隔离技术,一是将访客和院内用户的流量完全隔离开来,二是认真分析院内业务特点,按需对各SSID子网或VLAN的用户实施隔离,以保护数据和网络资源的安全。(6)监控审计公安部82号令要求,即《互联网安全保护技术措施规定》:“记录并留存用户访问的互联网地址或域名。”需重点考虑对用户行为记录的查询、审计和控制,实时监控无线终端接入网络后的行为,保障无线网络的合法使用。
2、防病毒和入侵检测
病毒具有很强的破坏性,复制性和传染性、为了保证无线网络能够安全运行,必须部署防病毒系统,通过积极的防御和强大的查杀功能,防杀结合,将病毒隔离在网络大门之外,从而保障日常业务工作的正常进行。购买无线入侵检测系统,对设备和系统的运行状况进行监控,监视交有效分析用户的活动,及时检测到攻击事件的发生,准确识别攻击来源,并给出报警和审计信息。
3、无线网络管理
关键词:无线网络;安全;技术研究
中图分类号:TP393.09 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
一、引言
21世纪是网络的时代,现在人们在很多方面越来越离不开网络,然而传统的有线网络连接越来越满足不了人们的需求,所以无线网络作为一种有效的信息产业解决方案,越来越得到人们的重视。在校园,教师和学生的流动性是非常强的,就连很多高校的教学场合也并不是完全固定的,而且现阶段随着笔记本电脑的普及还有Intemet接入需求的增长,无论是对于老师还是对于学生来说都非常希望能在校园各个地方可以上网,这样既可以满足老师随时可以进行网上教学互动活动,也可以满足学生可以方便上网以便查阅资料。但在得到便利的同时,由于无线网络本身有组网简单、安装容易、移动方便等诸多特点,同时也存在着一些安全隐患,比如信号的开放性和数据传播范围很难控制等这些特点。使用OmniPeek等抓包工具分析后,能够比较容易的免费上网甚至入侵学校的服务器[1]。2008 WPA加密首先已经被国外人员率先破解, Elcomsoft 推出ElcomSoft DistributedPassword Recovery分布式密码暴力破解工具,能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍左右。因此,我们要管理好校园无线网的安全性。
二、校园无线网络研究现状分析
2002年,国内高校的无线网络开始建设,北京大学对校本部进行了大范围的无线网络覆盖,同时上海交大、北航、清华大学、北医、复旦等大学也相继实现了大范围无线局域网的覆盖。并且经过近几年的努力,国内校园无线网已经得到了大量的应用,现如今的校园越来越多的教师和学生上网的重要手段逐渐由原来的有限网络变成无线网络,就连平时的教学活动也慢慢开始使用无线网络。可以看出,无线网络已经变成了师生随时随地获取网络资源的重要保障。
现如今无线网络技术相对来说比较成熟,各个学校的笔记本电脑及各种手持无线设备也是越来越多,所以就迫切需要一种功能强大的网络来支持,无线局域网(WirelessLAN WLAN) 比传统有线局域网(LAN)有优势,像建网较灵活、可扩展性比较好 支持终端的移动性,最主要的是它有支持无法或很难架设网线的应用。无线局域网(WLAN)不仅可以应用于学校,也可以在单位,公司内部和家用网络场所应用,虽然无线局域网(WLAN)具有很多优点但也正是由于无线局域网(WLAN)的传输媒介是无线电波,所以它发射的数据有可能会被预期范围之外的接收设备所利用,让入侵者有机可乘,他们可以利用由无线局域网(WLAN)广播的信号对网络进行攻击,这也是无线网络的一个缺点,它不如有限网络好保护,这就造成了校园无线局域网(WLAN)很多不安全因素的出现,比较常见的无线网线络攻击有非法的AP经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听和高级入侵等 [2]。
无线网络提供的较常用的安全机制包括基MAC地址的认证、共享密钥认证和802.1x认证。但是很多的校园无线网络的无线接入点并没有考虑无线接入的安全问题,就连基于MAC地址的认证和共享密钥认证都也还没有设置,那802.1 x认证的就更不用说了。如果你用笔记本电脑在校园的某个角落上网,可以搜索到很多的无线接入点,这些无线接入点没有太多的安全防范措施,可以说,这些安全性差的无线接入点能非常方便的接入,如果让一些不明身份的人进入校园网的话可能会对校园网造成威胁。
三、校园无线网络的安全防护策略
安全问题一直是制约无线局域网技术的推广的关键因素之一,越来多的决策者认为安全问题是影响他们做出无线局域网部署决定的首要因素。为了能进一步加强校园无线网的安全,确保师生能安全的使用无线网,我们可以采取下面几种安全防护策略来进一步提高校园无线网络的安全性。
(一)加强控制校园无线网络信号的覆盖范围。为了有效的来保护校园无线网络的安全,我们一定要更合理的放置访问点的天线,将校园无线访问点严格控制在校园范围内,来更好的减少覆盖区以外的范围传输,用可移动的无线设备来准确的勘测信号覆盖情况也是很有必要的。
(二)采用MAC过滤技术,AC过滤技术是指在路由设置中只允许特定的 MAC 网卡访问路由的一种方法,它可以直接拒绝由其他MAC 地址的设备所发来的连接请求,在一定程度上防止了外部的非法访问。禁止使用动态主机配置协议,使用这项措施可以提高无线网络的安全,可以有效的增加入侵的难度。
(三)对不同的群体采取不同的认证方法。充分考虑到校园群体的特殊性,为了有效保障校园无线网的安全,可以对不同的群体采用不同的认证方法。校园网主要分为两类不同的用户,一类是校内用户,另一类是来访用户。校内的用户主要是学校的教师和学生。为了能更好的工作和学习,他们要求能够可以随时随地接入无线网络,能够访问校园网内的资源和访问Internet。这些用户的数据,比如科研成果 、研究资料和论文等的安全性要求非常高。对于这种类型的用户,我们可以使用 802.1x认证方式对这类用户来进行认证。来访的用户主要是来学校参观、培训或者进行学术交流的一些用户[3]。这类用户对网络安全的需求并不是很高,对他们来说最重要的就是可以非常方便并快速地接入Intemet,以便浏览相关网站和收发邮件等。针对这类的用户,可采用DHCP+强制Portal认证的方式来接入校园无线网。
(四)提高校园无线网络技术水平。首先,校园网应先要选择用企业级AP或WLAN Gateway。企业级AP可以把安全策略推到AP进而达Client,并应该搭配802.1x/EAP。如果要用低阶AP搭配Gateway,那么就只能依靠Gateway的VPN,二层信息肯定会暴露。其次,为了能有效随时发现未授权的AP,应该定期的开展AP搜寻,并且要主动的来寻找和移除此类AP,这样可以有助于加强校园的安全性。
(五)提高加密技术水平。加密技术是网络安全的一项重要技术。IEEE为无线局域网提供了三种安全性保护协议:WEP、TKIP、CCMP。主要的方法有无线局域网EAP策略、无线局域网鉴别与保密基础架构WAPI以及IEEE802.11标准中的WPA等等。其中WAPI是我国自主研发的、拥有自主知识产权的无线网络安全标准而TKIP主要进行无线网络产品的互通性测试。
四、总结
随着信息技术的发展,这将进一步推进校园网内无线网络的建设。越来越多高校都已经实现了整个校园的无线覆盖范围。但在建设无线网络的同时,由于对无线网络的安全还不够重视,对校园网无线网络的安全考虑还不够。我们应该做好无线网的安全管理工作,确保无线网络的安全性,并能更好地为师生以及社会服务。
参考文献
[1]杨兵.WLAN无线局域网安全性分析与研究[D].昆明理工大学,2004
(一)移动电子商务终端设备带来的安全性问题
由于终端设备的移动性特征,终端设备容易丢失和破坏,这样无疑带来了安全风险。由于终端设备持有者各不相同以至于他们的风险也是各不相同的。终端设备带来的安全威胁主要要物理损耗威胁、移动终端被破坏和攻击以及在线终端被破坏和攻击等。
(二)无线网络对移动电子商务带来的安全性问题
移动电子商务的发展依赖于无线通讯技术,由于无线通信是通过开放的信息渠道来进行通信,所以它不可避免的存在安全风险,而不能像有线通信那样安全可靠,即使它具有灵活性和方便性的特点,但其所带来的高度风险也是不容忽视的。无线通信带来的安全威胁主要存在交易主体容易被假冒、和交易信息易被窃听和交易内容易被篡改等风险。无线通信是通过开放信息渠道进行传输的,所以任何拥有一定接受设备的主体都能获取无线通信的内容,所以给用户的信息安全、个人隐私和个人安全带来了很大的安全隐患。
(三)无线ad hoc应用对移动电子商务带来的安全性问题
不仅无线通信给移动电子商务带来安全风险,无线装置也给移动电子商务带来了安全威胁。无线装置带来的ad hoc网络,由于其不依赖任何固定设备,以至于可通过移动节点来进行网络互连,这很容易产生安全隐患。
(四)商务平台的管理漏洞给移动电子商务带来的安全性问题
随着移动电子商务的快速发展,移动电子商务交易平台已建立,但还是不够完善。缺乏相应的经验以至于移动电子商务运营平台管理不善,存在不少安全隐患。为了防范安全风险,必须完善电子商务平台的管理与维护,对电子商务交易进行有效规范,形成一个统一的完善的安全防御系统。
(五)缺乏相应的法律法规规范交易行为
移动电子商务作为一种新兴产业,法律的滞后性导致相关的法律法规不够完善,缺乏对移动电子商务发展的有效法律保护。对移动电子商务的法律保护不仅是保证安全的交易环境,还应该对交易纠纷进行有效解决,促进移动电子商务的有效健康发展。
二、应对移动电子商务安全问题的有效性措施
(一)运用防火墙技术
防火墙技术在无线网络安全服务中扮演着重要的角色,在移动电子商务系统中运用防火墙技术可以有效的保护个人数据和企业数据不被不法分子侵犯。在电脑上安装防火墙技术是应对移动电子商务安全问题的有效措施之一,应当足够重视。
(二)加强用户身份识别
在移动电子商务交易过程中加强对交易双方身份的识别,强化对交易主体的有效管理,保证每个交易主体准确的访问与授权,实现实名身份认证,可以加强移动电子商务交易的安全性,保证交易双方的信息内容不受侵犯而使得双方利益得到有效保护。
(三)完善相关法律法规建设,规范交易行为
法律是权益保障的最后手段,为了规范移动电子商务交易行为保证移动电子商务交易安全,必须加强建设和完善移动电子商务方面相关的法律法规。营造安全的移动电子商务交易环境。在保证不阻碍移动电子商务发展的前提下,加强对移动电子商务的法律保护是防范安全风险的重要手段之一。运用法律手段对非法攻击他人交易的行为进行严厉惩治,规范交易行为,保证交易环境的安全。
(四)运用端到端策略,减少安全风险
在移动电子商务中引进端到端策略旨在保护交易过程中的每个薄弱环节,确保数据输出点到最终目的地整个过程的安全性。找出整个过程中容易出现安全隐患的薄弱环节,然后进行有效规制,采取恰当的私密性和安全性措施,保护信息传输中的每个信息渠道的安全。与此同时,个性化、系统管理、性能和可扩展性等问题也是影响移动电子商务交易安全的重要因素,在制定安全策略时充分考虑各种影响因素是极其重要的。
(五)运用WPKI技术以应对安全风险
WPKI以WAP为基础,通过管理实体间密匙、关系和证书来确保电子商务的安全,在移动电子商务交易中引进WPKI技术有效的为交易用户提供了安全的无线网络交易环境,不仅能够准确的鉴别用户、保护数据在传输过程中的高度隐秘性和安全性,还可以帮助企业进行非复制的强大功能,使得交易双方不能耍赖。
(六)增强交易主体的安全防范意识
从历年的安全事故可看出,不少安全事故的发生都直接或间接跟交易主体的疏忽大意有关。作为交易过程中的主体,增强其安全意识是至关重要的,所以,为了保证移动电子商务交易安全,有必要对交易主体进行安全意识建设,减少终端设备的损耗,减少不法分子的的侵入可能性,降低交易风险。
安全性作为移动电子商务取得竞争力的关键因素应当得到足够的重视。移动电子商务的安全性问题不仅来源于不法分子的恶意攻击,管理的疏忽、防范的疏漏以及操作的疏忽也都是不可忽视的重要原因。所以在制定安全防范措施方案中应充分考虑不同因素,探究出防范安全风险的有效措施,保证移动电子商务安全的交易环境是移动电子商务发展的内在要求。
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
可以说,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于MAC地址的认证存在两个问题,一是数据管理的问题,要维护MAC数据库,二是MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
关键词:TCP/IP;网络协议;防御;安全协议
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)03-0485-02
在短期内,基础TCP/IP网络协议不可能进行重新设计和部署实施,无法从根本上改变目前网络面临严重安全威胁的状况。通过部署一些监测、预防与安全加固的防范措施,是增强网络对已知攻击的抵御能力不可或缺的环节。
1 网络各层防范措施
在网络接口层,主要监测和防御的安全威胁的方法是网络嗅探,可以利用防范网络嗅探的思路,检测出局域网中的监听点,并在网络设计上尽量细分和优化网络结构,尽量消除数据广播的情况,并对关键路径上的网关、路由器等设备进行严格的安全防护,以减少网络嗅探造成的影响。此外,对于无线网络而言,应增强链路层加密的强度,同时对各类网络采用加密通信协议,使得在通信过程中,即使遭受嗅探也不会破坏数据要达到的机密性要求。
在互联层上,虽然IP、ICMP、ARP等协议中存在安全缺陷,安全问题带来的风险很难完全避免,但我们可以采用多种检测和过滤技术来发现和阻断网络中可能出现的欺骗攻击,此外也可以增强防火墙、路由器和网关设备的安全策略,对一些用于欺骗攻击的特殊数据包进行过滤,特别是对外部网络进行欺骗攻击的数据包进行出站过滤,只有如此,才能共同维护整个互联网的安全。对关键服务器使用静态绑定IP-MAC映射表、使用IP sec协议加密通信等预防机制,可以有效地增强网络对欺骗攻击的抵御能力。
在传输层,可以实现基于面向连接和无连接服务的加密传输和安全控制机制,包括身份认证,访问控制等。
应用层可以采用加密、用户级身份认证、数字签名技术、授权和访问控制技术,以及主机安全技术,如审计、入侵检测等。
2 网络各层安全协议
为了克服TCP/IP协议栈的安全缺陷和问题,互联网研究机构也在不断地研究和开发一些网络安全协议,IETF、IEEE 802等国际性的网络研究和标准化组织在不断地进行讨论和改进,并作为标准化协议规范对业界进行,使得业界能够在这些标准在网络设备、操作系统中实现和应用这些安全协议,从而增强现有网络的安全性。在TCP/IP协议栈各个层次上运用的网络安全协议如下表1所示。
2.1 网络接口层的安全协议
网络接口层的安全协议设计和标准化主要由IEEE802委员会负责推进,由于无线网络传输媒介的共享特性,因此比有线网络更加需要安全保护机制,目前常用的802.11WiFi、蓝牙(Bluetooth)等无线网络均实现了用于身份认证、加密传输和防止假冒篡改攻击的安全协议,如WEP(Wired Equivalent Privacy)和WPA/WPA2(Wi-Fi Protected Access)协议等。此外IEEE802委员会还制定了802.1X协议,提供了基于端口访问控制的接入管理协议标准,为各种不同类型网络中的用户认证和访问控制给出了通用的解决方案。
2.2 网络互联层的安全协议
网络互联层目前最重要的安全通信协议主要是IP sec协议簇。IP sec (Internet Protocol Security),即互联网安全协议,是IETF(Internet Engineering Task Force)提供的一系列的互联网安全通信的标准规范,这些是私有信息通过公用网的安全保障。 IP sec适用于目前的IP版本IPv4和下一代IPv6。IP sec规范相当复杂,规范中包含大量的标准文档。由于IP sec在TCP/IP协议的核心层――IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台,IP sec也是被下一代互联网所采用的网络安全协议。 IP sec协议是现在VPN开发中使用最广泛的一种协议,有可能在将来成为IPVPN的标准。
IP sec协议簇的基本目的是把密码学的安全机制引入IP协议,通过使用现代密码学方法支持机密性和认证服务,使用户能有选择地使用,并得到所期望的安全服务。IP sec将几种安全技术结合形成一个完整的安全体系,包括安全协议部分和密钥协商部分。IP sec的安全协议主要包括AH协议(Authentication Header,认证头)和ESP协议(Encapsulate Security Payload,封装安全载荷)两大部分:AH认证协议提供五连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何机密性保护服务;而ESP协议则为IP协议提供机密性、数据源验证、抗重放,以及数据完整性等安全服务。其中,数据机密性是ESP的基本功能,而带有数据源身份认证、数据完整性检验以及抗重放保护等功能。此外IP sec中还包含了密钥协商和交换协议,如Internet密钥交换协议(Internet Key Exchange,IKE),负责处理通信双方的协议及算法的协商,产生并交换加密和认证密钥,以建立起AH和ESP协议需要的通信双方安全关联(Security Association,SA)。
IP sec协议支持隧道及传输两种模式。隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。通常情况下,只要IP sec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是IPsec终点。传输模式下,IP sec主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
由于工作在互联层上,IP sec协议能够为IP协议之上的任何网络应用提供安全保护机制,而网络应用无需任何的特殊设计和实现,就可以使用IP sec.
2.3 传输层的安全协议
传输层上的安全协议主要是TLS(Transport Layer Security),其前身是由Netscape公司所开发的SSL(Secure Socket Layer),目前最新版本是IETF的TLS l.2标准化网络安全协议(RFC 5246)。TLS协议在传输层上通过密码学算法,为应用层的网络通信提供了安全的点到点传输,在Web浏览、电子邮件、即时通信和VoIP (Voice over IP)等网络应用服务中得到了广泛使用。
TLS协议基于密码学算法支持在互联网上的身份认证和通信机密性保护,能够防止窃听、干扰和消息伪造。TLS协议包括两个协议组:TLS记录协议和TLS握手协议。 TLS记录协议位于可靠的传输协议TCP之上,用于封装各种高层协议,提供的安全性具有两个基本特性。
① 加密:使用对称加密算法(如 DES、RC4等)进行数据加密,以保证传输数据的机密性,对称加密所产生的密钥对每个连接都是唯一的,对称密钥由TLS握手协议进行协商,记录协议也可以不使用加密。
② 可靠:信息传输使用密钥进行消息完整性检查,通常使用安全哈希函数(如SHA、MD5等)来计算消息完整性校验和(Message Authentication Code,MAC)。
TLS握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前,进行单向身份认证,或者彼此之间相互认证,并协商加密算法和加密密钥。
TLS协议已被用于封装整个网络栈以创建虚拟专有网络(Virtual Private Network,VPN),如开源的Open VPN软件,一些厂商也将TLS的加密和认证机制与访问授权相结合,研制出功能更强的SSLVPN产品,与传统的IP sec VPN技术相比,TLS在防火墙和网络地址转换(Network Address Translation,NAT)设备穿越方面具有内在的优势,使其在存在大量远程访问用户的环境中具有更好的易管理性。
2.4 应用层的安全协议
在应用层,安全通信协议的特点是需要针对不同的应用安全需求,设计不同的安全机制,例如HTTP安全、电子邮件、远程控制、电子交易等,在安全协议设计过程中也会尽量地使用底层协议已经提供的安全防护能力。
对于万维网访问进行安全防护的主要协议是安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS),基于传输层安全协议TLS实现,端口号为443,通常应用于电子商务、资产管理等应用,随着近年来的发展,HTTPS在Web上逐步流行,在涉及个人敏感信息的登录及使用环节,安全的网站一般都会使用HTTPS协议进行加密传输和身份认证。
安全电子邮件协议(Secure/Multipurpose Internet Mail Extensions,S/MIME),由RSA公司提出,是电子邮件的安全传输标准。S/MIME使用PKI数字签名技术,支持消息和附件的加密传输,采用单向散列算法,如SHA―1、MD5等,也采用公钥机制的加密体系,证书格式采用X.509标准。目前大多数电子邮件产品都包含了对S/MIME的内部支持,网络管理员应启用该安全协议,从而避免了电子邮件明文传输所面临的信息泄露等安全风险。
3 结束语
TCP/IP协议是互联网得以蓬勃发展的基础,然而TCP/IP协议在开始设计时并没有考虑到现在网络上如此多的安全威胁,因此不可避免地遭遇了各种形形的攻击方式。本文介绍了网络各层上的防范措施和安全协议,包括它们的技术原理和具体过程。应对网络协议的攻击威胁,TCP/IP协议也正在进行着完善和改进,对于防御者而言,应采用最新的安全协议来武装自己的网络,从而降低网络安全风险。
参考文献:
