时间:2022-02-09 22:33:32
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇无线网络安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:无线网络;安全威胁;安全技术;安全措施
无线网络的应用扩展了网络用户的自由,然而,这种自由同时也带来了安全性问题。无线网络存在哪些安全威胁?采取什么安全对策?我们对上述问题作一简要论述。
1无线网络存在的安全威胁
无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
1.1有线等价保密机制的弱点
IEEE(InstituteofElectricalandElectronicsEngineers,电气与电子工程师学会)制定的802.11标准中,引入WEP(WiredEquivalentPrivacy,有线保密)机制,目的是提供与有线网络中功能等效的安全措施,防止出现无线网络用户偶然窃听的情况出现。然而,WEP最终还是被发现了存在许多的弱点。
(1)加密算法过于简单。WEP中的IV(InitializationVector,初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(CyclicRedundancyCheck,循环冗余校验)只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。
(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
1.2进行搜索攻击
进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭AP(wirelessAccessPoint,无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条件。
1.3信息泄露威胁
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监听和分析通信量,从而识别出可以破解的信息。
1.4无线网络身份验证欺骗
欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。
1.5网络接管与篡改
同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。
1.6拒绝服务攻击
无线信号传输的特性和专门使用扩频技术,使得无线网络特别容易受到DoS(DenialofService,拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率,从而造成无线频谱内出现冲突;②攻击者发送大量非法(或合法)的身份验证请求;③如果攻击者接管AP,并且不把通信量传递到恰当的目的地,那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线,从很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量进行攻击。
1.7用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。
2无线网络采用的安全技术
采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。
2.1扩展频谱技术
扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、18、47、22……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。
2.2用户密码验证
为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。
2.3数据加密
数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,例如商业用或军用的网络,能有效地起到保密作用。
此外,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。
2.4WEP配置
WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。2.5防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
2.6端口访问控制技术
端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
2.7使用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
3无线网络采取的安全措施
要排除无线网络的安全威胁,另一种对策是采取如下八项安全措施。
3.1网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。
3.2网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(RemoteAccessServer,远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.3启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
3.4MAC地址过滤
MAC(MediaAccessController,物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。
3.5进行协议过滤
协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。
3.6屏蔽SSID广播
尽管可以很轻易地捕获RF(RadioFrequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。
3.7有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。
3.8加强员工管理
加强单位内部员工的管理,禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Adhoc网络结构;加强员工的学习和技术培训,特别是对网络管理人员的业务培训。
此外,在布置AP的时候要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社,2004.
论文摘要:无线网络作为一种新型的便捷性网络资源,正在日益普及,尤其是在现代校园中的应用更是大势所需,但是无线网络的安全性成为其在普及应用中的一大难题。本文经过深入分析无线网络的安全隐患,提出了相应的防范措施,并结合校园学习生活的特点,提出了在校园中的具体应用策略,望有助于相关人士的参考与借鉴。
1、常见的无线网络安全措施
无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障企业网线网络的安全性。
1.1 MAC地址过滤
MAC地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡MAC地址下发至每个AP中,或者在AP交换机端实行设置,或者直接存储于无线控制器中。
1.2 隐藏SSID
所谓SSID,即指用来区分不同网络的标识符,其类似于网络中的VLAN,计算机仅可和一个SSID网络连接并通信,因此SSID就被定为区别不同网络服务的标识。SSID最多由32个字符构成,当无线终端接入无线网络时须要有效的SIID,经匹配SSID后方可接入。通常无线AP会广播SSID,从而接入终端通过扫描即可获知附近存在的无线网络资源。比如windows XP系统自带扫描功能,检索附近的无线网络资源、罗列出SSID信息。然而,为了网络安全最好设置AP不广播SSID,同时将其名字设置成难以猜解的长字符串。通过这种手段便于隐藏SSID,避免接入端利用扫描功能获取到该无线网络名称,即使知道其存在也是难以通过输入其全称来接入此网络的。
2、无线网络安全措施的选择
网络的安全性和便捷性永远是相互矛盾的关系,安全性高的网络一定在使用前或使用中较为繁琐,然而,科技的进步就是为了便捷我们的生活,因此,在对无线网络进行设置时,需要兼顾安全性和便捷性这两个主要方面,使其均衡地发展使用。
接入无线AP时选取WAP加密模式的方法,此外,SSID即使被隐藏,也会被攻击者利用相关软件探测到,所以无需进行隐藏SSID,增强接入便捷性,在接入时实行一次性输入密码完成设置任务。
与此同时,采用强制Portal+802.1X的认证方式,两种方法的融合可以有效确保无线网络的安全。来访用户更关注的是使用时的便捷性,对其安全性没有过高要求。强制Portal认证方式免除安装额外的客户端软件,用户通过浏览器认证后即可获取网络资源。这种便捷的方法,其不足之处就是安全性较低。倘若花费一定资金用来购置无线网络入侵检测设备展开主动性防御,是可以在一定程度上保障无线网络安全性的。
其实,网络安全技术是人类发明的,并依靠人的使用而发挥作用,所以网络使用者是安全防线的最后一关,加强网络使用者的安全意识,是保障无线网络安全的根本。
3、校园无线网络的应用
(1)在校园网络建设中,无线网络作为一种流程趋势正在普及开来,同时其用户也在日益增多。当前在校园网络不同环境下,主要用户分为以下几类人群,第一类为固定用户群,包括机关办公、机房电脑、教学楼、试验室等众多使用者;第二类是活动用户群,主要包括教师的个人电脑和学生的自用电脑;第三类为临时用户群,特指在学术交流会时所使用电脑上网的群体。经过划分出三类用户群,便于无线网络在接入Internet网络时采取相应的安全策略,以保障整个校园无线网络的安全性。
(2)校园无线网络的安全措施除了进行WEP数据加密协议外,更要结合不同用户群特点,制定相应的安全防范措施。对于固定用户群可以实行绑定MAC地址,限制非法用户的访问,网络信息中心通过统一分配IP地址来配置MAC地址,进行这种过滤策略保障无线网络的安全运行;针对活动用户群实行端口访问控制,即连接工作站STA和访问点AP,再利用802.1x认证AP服务,一旦认证许可,AP便为STA开通了逻辑端口,不然接入被禁止执行。802.1x需要工作站安装802.1x的客户端软件,并在访问点内置802.1x的认证,再作为Radius的客户端把用户的认证信息转发至Radius服务器。802.1x不仅控制端口的访问,还为用户提供了认证系统及其计费功能。
AP隔离措施近似于有线网络的VLAN,对无线客户端进行全面隔离,仅可访问AP所连接的固定网络,进而增强接入Internet网络的安全性;最后一类临时用户群,可以通过设置密码限制访问,无密码者无法接入无线网络,利用此手段保障授权用户安全稳定的使用无线网络,避免他人肆意进入无线网络发生干扰,尤其适合于会议等临时性场所的使用。
4、结语
建设校园无线网络,可以为校园学习生活带来极大的便捷性,但与此同时,其中也潜在着安全隐患,无线网络技术需要不断研究、完善,方可保证校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
无线网络中的威胁无处不在,不法分子利用网络技术手段可以窃取校园中传输的重要数据,截取或篡改教学数据,严重威胁着学校中重要资料的安全性。只有结合上述相应手段,才能有效控制非法用户侵入校园无线网络,维持校园无线网络的纯净度,实现健康资源的共享。其实,无线网络的安全防范措施还有很多,须要在科学技术的发展进步中,不断分析,进行完善,以共同打造美好的校园网络学习生活为目标。
参考文献
[1]孔雪莲.浅谈无线局域网中的安全及黑客防范[J].电脑知识与技术(学术交流),2007(13).
[2]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[J].计算机光盘软件与应用,2010(1).
关键词:无线网络;网络安全
中图分类号:TN711 文献标识码:A 文章编号:
前言
伴随着因特网蓬勃发展的步伐,另一种联网的方式已经悄悄茁壮成长,这就是无线网络。无线通信一直是人们梦寐以求的技术。借助无线网络技术,我们终于可以摆脱那些烦人的电缆和网线,无论何时何地,都可以轻松地接入互联网。但是由于标准、可靠性、安全性等原因,无线网络至今不能象有线网络那样普及。特别是安全性和有线网络还存在很大距离。为了适应无线网络发展的需要,各种安全技术也应运而生。其中许多技术都是借鉴了成熟的有线网络安全技术,并针对无线环境进行了优化。
一、无线网络安全发展概况
无线网络802.11 公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP 就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg 和Wagner 最早指出了WEP 协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP 协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP 协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP 不安全已经成一个广为人知的事情,人们期待WEP 在安全性方面有质的变化,新的增强的无线网络安全标准应运而生。我国从2001 年开始着手制定无线网络安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003 年12 月执行。WAPI 使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI 在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11 工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI 标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开。增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB 算法,开始工作组决定使用该算法作为无线网络未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB 作为缺省,半年后又提议CCMP 作为缺省,AES-OCB 作为候选,又过了几个月,干脆把AES-OCB 算法完全删除,只使用CCMP 算法作为缺省的未来无线网络的算法。
二、无线网络中的不安全因素
无线网络除了具有有线网络所存在的不安全因素外, 还存在许多其他不安全因素。
1、信息篡改
信息篡改是指攻击者将窃听到的信息进行修改( 如删除或替代部分或全部信息) 之后再将信息传给原本的接受者, 其目的有两种: 恶意破坏合法用户的通信内容, 阻止合法用户建立通信链接; 将修改的消息传给接收者, 企图欺骗接受者相信修改后的消息。信息篡改攻击对物理网络中的信令传输构成很大的威胁。
2、服务后抵赖
服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3、无线窃听
在无线网络中所有的通信内容都是通过无线信道传送的, 任何具有适当无线设备的人均可通过窃听无线信道而获得所需信息。对于无线局域网其通信内容更容易被窃听, 因为它们都工作在全球统一公开的工业、科学和医疗频带, 虽然无线局域网通信设备的发射功率不是很高, 通信距离有限, 但实验证明通过高增益天线在其规定的通信距离外仍可有效的窃听。
4、假冒攻击
某个实体家装成另外一个实体访问无线网络, 即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中, 移动站与网络控制中心及其他移动站之间不存在任何固定的哦物理链接, 移动站必须通过无线信道传输其身份信息, 身份信息在无线信道中传输时可能被窃听, 当攻击者截获一合法用户的身份信息时, 可利用该用户的身份侵入网络, 这就是所谓的身份假冒攻击。在所谓不同的无线网络中, 身份假冒攻击的目标不同, 在移动通信网络中, 其工作频带是收费的, 移动用户必须付费才能通话, 攻击者假冒合法用户主要是逃避付费。而无线局域网中, 工作频带是免费的, 网络资源和信息是不公开的、收费的, 只有合法用户才能访问这些信息攻击者假冒合法用户主要是非法访问网络资源。
5、重传攻击
重传攻击是指攻击者将窃听到的有效信息经过一段时间后, 在传给信息的接受者。其目的是利用曾经有效的信息在改变了的情形下达到同样的目的。值得一提的是无线移动设备还存在失窃的威胁, 移动设备的功能不断增强, 它不仅是一个通信工具, 还存储着一些用户信息, 防止移动设备中秘密信息的失窃也是很重要的。
三、无线网络中的安全机制
无线网络中的安全业务都需要相应的安全机制来保证, 用加密技术实现保密性业务, 通过访问控制实现身份认证业务, 用消息认证机制实现完整性业务, 用数字签名技术实现不可否认性业务。
1、加密机制
保密性业务是通过加密技术实现的, 加密是一种最基本的安全机制, 加密过程如图1 所示:
当加密密钥不等于解密密钥, 即系统中每个用户拥有两个密钥( 公开密钥和秘密密钥) , 则称其为非对称密码系统或公钥密码系统。任何人都可用一个用户的公开密钥将信息加密后传给该用户, 只有该用户才能用其秘密密钥解密, 其他人因不知道秘密密钥而不能解密。公钥密码算法复杂, 因而不适合资源受限的无线通信设备, 但由于其不需要通信双方共享任何秘密, 在密钥管理方面有很大的优越性。
2、消息认证机制
完整检测技术用于提供消息认证, 防止消息被篡改。典型的完整性检测技术是消息认证码, 其工作原理如图2所示。
3、身份认证机制
身份认证技术提供通信双方的身份认证, 以防身份假冒。它通过检测证明方拥有什么或知道什么来确认证明方的身份是否合法。密码学中的身份认证主要基于验证明方是否知道某个秘密( 如证明方与验证方之间共享的秘密密钥, 或证明方自己的私有密钥) , 基于共享秘密的身份认证方案建立在运算简单的单密钥密码算法和杂凑函数基础上, 适合无线通信网络中的身份认证。
4、不可否认机制
数字签名用于提供不可否认性的安全机制, 防止抵赖。数字签名有以下优点: 采用电子形式, 容易在网络中传输; 只有知道秘密密钥的人才能生成签名, 因而很难伪造;可以对整个消急进行签名, 签名后消息不可更改。数字签名大多基于公钥密码技术, 在公钥密码系统中, 用户的公开密钥向所有人公开, 秘密密钥只有自己知道, 用户用自己的秘密密钥对消急或消息的杂凑值签名,然后将消息及签名一起传给验证方, 验证方利用签名者的公开密钥就可以鉴别签名的真伪。因只有签名者知道自己的秘密密钥, 只有他才能形成数字签名, 故签名者一旦对某个消息签名就无法抵赖。
结束语
可以预见,随着无线网络安全事件的不断出现,能否为用户提供优质的安全服务, 将成为无线网络运营商在商业竞争中能否取胜的关键。基于安全服务的整体安全解决方案,将成为未来
网络信息安全的主流发展方向。
参考文献
关键词:无线网络;安全;Portal认证;802.1x
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2103-01
Campus Wireless Network Security Strategy
LI Qiang
(Network Management Center of North University for Ethics,Yinchuan 750021,China)
Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.
Key words: wireless network;security;portal certificate;802.1 x
1 引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2 校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③ 802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过 802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起 DHCP请求获得IP以及获得对网络的访问。
可以说 ,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3 校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题,一是数据管理的问题,要维护 MAC数据库,二是 MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然 802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(Protected Extensible Authentication Protoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户,可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过 SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4 结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。 现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
本系统是一个基于Java ME平台的无线网络移动端的俄罗斯方块游戏,利用Java ME Wireless Toolkit(WTK)开发包工具在无线网络移动端上实现经典的俄罗斯方块游戏。论文开始部分对无线网络移动系统开发中常使用几种开发语言和环境作了比较,说明了选择Java ME Wireless Toolkit作为开发环境的的原因并对它作了相关的介绍。并展示了在WTK中打开一个项目、把源文件打包成JAR包、产生混淆包的方法和过程。在系统设计时,遵循了无线网络移动端程序的startApp、pauseApp、destroyApp的开发生命周期。在设计与实现方面,分成难度选择、游戏规则、方块处理这几个模块进行实现。在开发与实现的同时也讲解了俄罗斯方块这款古老而经典游戏的游戏背景、规则以及相关特性。最终展示了无线网络移动端的游戏开发的基本开发过程和设计思路。
关键词:无线网络移动端;Java ME;俄罗斯方块;游戏开发
1. 引言
1.1 系统综述
综合运用以前所学专业知识,在Java ME开发平台上实现无线网络移动端的俄罗斯方块游戏。其研究主要包括以下内容:第一,克服有限的可视屏幕尺寸,使游戏正常显示;第二,解决有限的可用内存调用问题,实现游戏流畅运行;第三,俄罗斯方块游戏规则算法在Java ME平台的实现,保证游戏可玩性;第四,游戏开始、结束等逻辑在游戏进行中的判断。本系统在Windows XP的操作系统下,Java Micro Edition Wireless Toolkit 2.1为开发工具,用中文版UltraEdit做为代码编辑器而实现的。
1.2 Java ME游戏开发背景
游戏开发是艺术与编程技术相结合的完美表现。利用Java的“Write once,run anywhere”特性,可以真正达到程序只写一次,在任何平台都可以执行。同时Java语言对面向对象的良好支持,使开发具有高效性。所以Java ME(Java Micro Edition)是广大无线网络移动端游戏开发厂商和游戏开发爱好者的首选平台。
1.3 无线网络移动端游戏发展现状
纵观IT产业的历史,计算机游戏已经成为技术创新背后的动力之一。计算机游戏者渴望更加强大的硬件计算能力,渴望不受不同的软件的限制——无论是将图形强制在人工智能(AI)上还是网络安全性。而无线网络移动端游戏已成为IT产业中增长最快的部分之一。
关键词:认知无线电;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1006-8937(2015)36-0053-02
认知无线电技术可以在不影响授权用户的前提下允许其他用户动态接入空闲频谱,这为解决无线频谱资源短缺问题提供了一种可行的解决方案。认知无线电技术的概念一经提出便受到了人们的广泛关注,相关研究取得了飞速进展。但认知无线电技术由于引入了频谱感知、智能学习、动态频谱分配等新技术,从而带来了诸如模拟授权用户攻击、自私行为攻击、虚假反馈攻击等各种全新的安全问题。而认知无线电网络的安全问题将影响到认知无线电技术的最终商用化。因此,对认知无线电网络安全性方面的探索与实践研究有着十分重要的意义。
1 认知无线电技术简介
认知无线电(Cognitive Radio,CR)的概念最早由Joseph Mitolo博士提出,他指出认知无线电是一种通过感知自身周围环境,进而通过与周围环境交互来改变发射机参数的智能无线通信系统,其具备环境感知能力、学习能力、决策和自适应能力、相互协作的能力。
认知无线电确立了三个基本任务:
①频谱感知:认知用户的接收端感知周围的无线频谱环境,测量并估计环境中的干扰温度,筛选可用的频谱。
②信道估计:根据环境中的干扰温度信息,实时计算出各个子信道的信道容量。
③动态频谱资源管理:认知用户的发射端根据已知的空闲频谱和信道容量信息,动态调整其发射频率和功率,从而确保信息的可靠传输。
认知无线电网络通过允许非授权用户自适应的感知授权频谱,并机会式地使用空闲频谱,使得非授权用户可以在未取得授权的情况下接入传输条件更好、带宽更宽的频段,从而可以极大的改善频谱利用率。认知无线电技术的提出和发展为解决当前频谱资源紧张的问题提供了一种可靠的解决方案。
2 认知无线电网络安全面临的主要威胁
随着各类无线设备的出现,频谱资源日益紧张,在无线通信中 “认知”概念的引入,可以有效解决该问题,但也带来了一系列新的无线网络安全隐患,是认知无线电网络能够实现商用的一个难题。认知无线电网络的安全性研究尚处于初始阶段,随着频谱感知、智能学习、动态频谱分配等一系列新技术的引入,其除了需要面对传统无线网络安全威胁,还面临着诸如模拟授权用户攻击、自私行为攻击、虚假反馈攻击等各种全新的安全问题。
目前,认知无线电网络安全防御机制研究主要集中在提高某种具体技术的安全性,尚未形成较为成熟的认知无线电安全体系。但也已有研究和相关文献[1]涉及了该方面,为认知无线电网络安全性研究提供了一定的借鉴。
2.1 物理层攻击行为
认知无线电网络在物理层引入了全新的频谱感知和频谱切换技术,认知用户可以通过频谱感知和切换技术检测和筛选可用的空闲频谱加以利用。因此,除了面临传统无线网络物理层安全威胁外,认知无线电网络物理层中还因相关新技术的应用而面临一系列新的安全威胁。
其中最受关注的是:
①模拟授权用户攻击[2](Primary User Emulation Attack,PUEA)当网络中的恶意节点检测到一个可用空闲频段时,其通过发送与授权用户信号特征相似的传输信号,从而达到独占此空闲频段的目的。
②干扰授权用户攻击[3](Primary Receiver Jamming Attack)在认知无线电网络中存在恶意节点参与到网络的协作数据传送过程中,造成对授权用户接收机进行连续干扰。
2.2 链路层攻击行为
认知无线电网络的链路层负责将检测到的空闲频谱分配给需要的认知无线电用户,其需要在确保在一定公平性的基础上尽可能提高频谱的利用率。因此认知无线电网络链路层面临的主要安全威胁是如何确保信道分配的公平性。
目前普遍存在的三种攻击行为是:
①自私(恶意)行为攻击[4](Selfish Behavior Attack)自私节点以损害网络整体性能为代价,通过修改频谱分配的效用函数来提高自身性能,但同时也会造成其他认知用户可用频谱资源减少。
②饱和控制信道攻击[5](Control Channel Saturation Attacks):恶意节点通过持续不断发送伪造的控制信息,从而达到公共控制信道数据饱和、网络整体性能下降的目的。
③虚假反馈攻击(False Feedback Attack):认知无线电网络中的恶意节点向其他认知用户反馈虚假的频谱感知和分配信息,从而达到影响频谱感知准确性和频谱分配公平性的目的。
2.3 网络层攻击行为
在认知无线电网络中,网络层面临的主要安全威胁为对路由信息的篡改和破坏,如拜占庭黑洞攻击(Black Hole Attack)、急速泛洪攻击(Flood Rushing Attack)、虫洞攻击(Wormhole Attack)等。此外,随着认知无线电网络中频谱感知技术的引入,致使环境中的每个接收机都存在多个可用信道,在数据传输过程中为确保一跳链路的双方使用相同的信道,各个节点在进行路由选择的同时还需要对信道进行选择。认知网络中的恶意用户可以通过发送虚假的路由和信道信息,从而误导用户选择错误的路由和信道,达到信道间干扰严重,网络整体性能下降的目的。 2.4 高层攻击行为
认知无线电网络中的高层攻击行为包括对传输层的攻击和对应用层的攻击。认知无线电网络的高层结构与传统无线网络类似,相关研究主要集中在空中接口部分。其面临的主要安全威胁有会话劫持攻击(Session Hijacking Attack)、拒绝服务攻击(Denial of Service,DoS)、恶意代码攻击(Malicious Code Attack)等。
3 认知无线电网络安全性分析
针对认知无线电网络物理层所面临的主要安全威胁:模拟授权用户攻击,2006年R.Chen、J.M.Park提出了模拟授权用户攻击的问题,其具体表现形式为:当网络中的恶意节点检测到一个可用空闲频段时,其通过发送与授权用户信号特征相似的传输信号,从而达到独占此空闲频段的目的。
通过相关研究证实传统的频谱检测方法很难有效解决该威胁,因此R.Chen、J.M.Park提出了一种基于位置确认的频谱检测方法来解决此种威胁,该方法包括两种位置确认方的验证算法:距离比验证和距离差异验证。实验表明上述两种算法均可以检测到网络中是否存在恶意攻击者,但还需提高其检测的准确性;解决该类威胁的另一种可能的方法是在授权用户信号中加入用于计算哈希值的原始数据,认知用户对接收到的原始数据做哈希值计算,通过比对计算结果同预先保留的参数值来确定其是否为恶意节点。
针对认知无线电网络物理层所面临的安全威胁,最根本的解决方案还在于改善频谱感知技术来实现频谱利用的安全性。为确保认知用户获取环境中频谱使用情况的准确性,可以建立实时无线电环境数据库,通过将感知信息与数据库比对,可以有效减少类似模拟授权用户攻击和虚假反馈攻击对认知无线电网络造成的安全威胁。
认知无线电网络链路层所面临的主要安全问题是如何确保信道分配的公平性。目前,对认知无线电网络链路层安全构成最大威胁的是自私行为攻击。因此,可以在认知无线电信道感知和分配中引入信誉机制,其设计可以借鉴Ad Hoc网络中引入的信任/信誉模型,首先需要收集各节点的行为信息,综合该节点之前参与频谱感知和分配过程中信誉度的历史记录,从而进行相关信誉度的计算,然后数据融合中心利用信誉度来对所有节点的汇报结果进行可信度区分,最后通过激励或惩罚机制来使各节点间加强协作,减少自私行为,让信誉度高的认知用户在频谱分配过程中发挥更大的作用,从而提高频谱感知和分配的公平性。
在认知无线电网络中,公共控制信道的安全性至关重要,它能实现认知无线电网络各节点交换本地信道信息。对于公共控制信道的攻击会造成网络通信效率急剧降低甚至瘫痪,因此必须确保公共控制信道及信道中信息的安全性。
解决公共控制信道面临的安全性问题可从以下三方面考虑:
①可以通过在各节点间建立可靠的频道列表来确保信道的安全;
②通过引入加密认证体系使在认知无线电网络节点(接受、发射端)实现双向认证来确保信道的安全。
③可以借鉴Ad Hoc网络中的节点分簇机制[6],相关节点用户自行组成一个本地协调组。
每组用户形成一个具有相同公共控制信道的多跳网络,通过这种方法可以防止由于控制信道拥塞造成的中断,有效改善饱和控制信道攻击。
4 结 语
认知无线电网络的安全问题将影响到认知无线电技术的最终商用,而针对这方面的研究也会越来越深入,我们可以充分借鉴其它无线网络安全性技术,针对认知无线电本身特点,最终完善其相关安全技术。
参考文献:
[1] Jack L.Burbank. Security in cognitive radio networks: The required e
volution in approaches to wireless network security. IEEE Wireless
Communications Magazine,2009.
[2] 崔国华,卢社阶.Ad hoc网络中基于多径路由协议的信誉机制[J].通信 学报,2008,(5). 本文由wWw.DyLw.NeT提供,第一论 文 网专业教育教学论文和以及服务,欢迎光临dYlw.nET
[3] Wang Changdal,Ju Shiguang. Multilevel security model for ad hoc ne
tworks.Journal of Systems Engineering and Electronics,2008,(2).
[4] 孙丽艳.基于激励机制的认知无线电自私行为研究[J].计算机技术与 发展,2009,(10).
[5] 薛楠,周贤伟.认知无线电网络诱骗攻击问题及安全解决方案[J].电信 科学,2009,(5).
[论文摘要]安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。
一、非法接入无线局域网
无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。
1.非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
(3)基于802.1x防止非法用户接入
802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
2.非法AP的接入
无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
(1)基于无线网络的入侵检测系统防止非法AP接入
使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。
发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
当发现非法AP之后,应该立即采取的措施,阻断该AP的连接,有以下三种方式可以阻断AP连接:
①采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务;
②网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开。
(2)检测出非法AP连接在交换机的端口,并禁止该端口
基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入。在无线AP接入有线交换设备时,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法AP的接入。
(3)基于检测设备防止非法AP的接入
在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的AP。
二、数据传输的安全性
在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。
1.数据加密
(1)IEEE802.11中的WEP
有线对等保密协议(WEP)是由IEEE802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。
2.数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
3.其他安全性措施
许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。
综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。
为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。
参考文献:
[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息,2007年21期
关键词 无线局域网,802.1x,认证服务器,安全协议,WAPI
1 802.11无线局域网的安全机制
802.11无线局域网运作模式基本分为两种:点对点(Ad Hoc)模式和基本(Infrastructure)模式。点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,这是一种便捷的连接方式,最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存的通信方式,这也是802.11最常用的方式。此时,插上无线网卡的移动节点需通过接入点AP(Access Point)与另一台移动节点连接。接入点负责频段管理及漫游管理等工作,一个接入点最多可连接1024个移动节点。当无线网络节点扩增时,网络存取速度会随着范围扩大和节点的增加而变慢,此时添加接入点可以有效控制和管理频宽与频段。
与有线网络相比较,无线网络的安全问题具有以下特点:(1)信道开放,无法阻止攻击者窃听,恶意修改并转发;(2)传输媒质―无线电波在空气中的传播会因多种原因(例如障碍物)发生信号衰减,导致信息的不稳定,甚至会丢失;(3)需要常常移动设备(尤其是移动用户),设备容易丢失或失窃;(4)用户不必与网络进行实际连接,使得攻击者伪装合法用户更容易。由于上述特点,利用WLAN进行通信必须具有较高的通信保密能力。
802.11无线局域网本身提供了一些基本的安全机制。802.11接入点AP可以用一个服务集标识SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)来配置。与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。但这是一个非常脆弱的安全手段。因为SSID通过明文在大气中传送,甚至被接入点广播,所有的网卡和接入点都知道SSID。
802.11的安全性主要包括以有线同等保密WEP(Wired Equivalent Privacy)算法为基础的身份验证服务和加密技术。WEP 是一套安全服务,用来防止 802.11 网络受到未授权用户的访问。启用 WEP 时,可以指定用于加密的网络密钥,也可自动提供网络密钥。如果亲自指定密钥,还可以指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。原理上密钥长度越长,密钥应该越安全。思科公司的Scott Fluhrer与Weizmann研究院的Itsik Mantin和Adi hamir合作并发表了题为《RC4秘钥时序算法缺点》的论文,讲述了关于WEP标准的严重攻击问题。
另外,这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议。这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点。当这种移动节点的数量庞大时,将是一个很大的挑战。
2 802.1x协议的体系
IEEE 802.1x协议起源于802.11, 其主要目的是为了解决无线局域网用户的接入认证问题。802.1x 协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。
(1)客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一个逻辑接入点(非受控端口),允许验证者和 LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。第二个逻辑接入点(受控端口),允许经验证的 LAN 用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。
3 802.1x协议的认证过程
利用IEEE 802.1x可以进行身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过。
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询。
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务。
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS。
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密,只有AP能够读出该密钥。(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据,因为它还没有经过身份验证。)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥,这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。
移动节点可被要求周期性地重新认证以保持一定的安全级。
4 802.1x协议的特点
IEEE 802.1x具有以下主要优点:
(1)实现简单。IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
(2)认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
IEEE 802.1x同时具有以下不足
802.1x认证是需要网络服务的系统和网络之间的会话,这一会话使用IETF的EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包,并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的,如果没有高层的每包认证机制,认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁,常见的攻击有中间人MIM攻击和会话攻击。
所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境,必须有高层的清晰的交互认证协议来加强。幸运的是,802.1x为实现高层认证提供了基本架构。
5 802.1x认证协议的应用
IEEE 802.1x 使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此执行下,作为 RADIUS 客户端配置的无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。IEEE 802.1x为可扩展的身份验证协议 EAP 安全类型提供的支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。
扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x,EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。
以下举一个例子,说明对申请者进行身份验证所需经过的步骤:
(1)认证者发送一个EAP - Request/Identity(请求/身份)消息给申请者。
(2)申请者发送一个EAP - Response/Identity(响应/身份)以及它的身份给认证者。认证者将收到的消息转发给身份验证服务器。
(3)身份验证服务器利用一个包含口令问询的EAP - Request消息通过认证者对申请者做出响应。
(4)申请者通过认证者将它对口令问询的响应发送给身份验证服务器。
(5)如果身份验证通过,授权服务器将通过认证者发送一个EAP - Success响应给申请者。认证者可以使用“Success”(成功)响应将受控制端口的状态设置为“已授权”。
6 802.1x与智能卡
智能卡通常用在安全性要求比较高的场合,并与认证协议的应用相结合。这首先是由于智能卡能够保护并安全的处理敏感数据;而智能卡能保护密钥也是相当重要的,一切秘密寓于密钥之中,为了能达到密码所提供的安全服务,密钥绝对不能被泄密,但为安全原因所增加的成本却不能太多。
智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算能力方面受到的限制。目前市场上的大多数智能卡有128到1024字节的RAM,1 k到16 k字节的EEPROM,6 k到16 k字节的ROM,CPU通常为8比特的,典型的时钟频率为3.57 MHz。任何存储或者是处理能力的增强都意味着智能卡成本的大幅度提高。
另外智能卡的数据传送是相对慢的,为提高应用的效率,基本的数据单元必须要小,这样可以减少智能卡与卡终端之间的数据流量,其传送时间的减少则意味着实用性的增强。
将802.1x与智能卡的应用相结合的优点是:认证更加安全;生成和管理密钥方便;节省内存空间;节省带宽,提高实用性;节省处理时间,而不需要增加硬件的处理等方面。802.1x安全认证协议所带来的各优点恰好弥补了智能卡硬件的各种局限,不仅能有效地降低智能卡的生产成本,也能提高智能卡的实用性。
7 发展方向和趋势
802.11无线局域网目前的安全标准主要有两大发展主流:
(1)WPA。802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证。WPA(Wi-Fi 受保护访问)是一种新的基于IEEE标准的安全解决方法。Wi-Fi 联盟经过努力,于 2002 年 10 月下旬宣布了基于此标准的解决方法,以便开发更加稳定的无线 LAN 安全解决方法来满足 802.11的要求。WPA 包括 802.1x 验证和 TKIP 加密(一种更高级和安全的 WEP 加密形式),以进一步形成和完善IEEE 802.11i标准。
(2)WAPI。我国已于2003年12月1日起强制执行了新的无线局域网安全国家标准―无线局域网鉴别和保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。WAPI与已有安全机制相比具有其独特优点,充分体现了国家标准的先进性。WAPI与已有安全机制相比在很多方面都进行了改进。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可,分配了用于WAPI协议的以太网类型字段,这也是我国目前在该领域惟一获得批准的协议。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
参考文献:
[1]. IEEE’s “802.1x - Port Based Network Access Control” 2002年3月22日 URL:ieee802.org/1/pages/802.1x.html
[2]. Jim Geier “802.1x Offers Authentication and Key Management” 2002年5月7日 URL:80211-planet.com/tutorials/article/0,,10724_1041171,00.html
[3]. Kristin Burke “Wireless Network Security 802.11/802.1x” 2002年5月31日 URL:cs.fsu.edu/~yasinsac/wns02/19b.pdf
[4]. Scott Fluhrer, Itsik Mantin, Adi Shamir “Weaknesses in the Key Scheduling Algorithm of RC4” 2001年7月25日 URL:drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素[9][10]
4. 2. 1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8] Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9] Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] Christian Barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11] Juha Heiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12] Eric Ouellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13] Mark Ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003
【关键词】:无线局域网;标准;安全;趋势
中图分类号:TP3 文献标识码:E 文章编号:1006-0510(2008)09066-05
前言
无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1.无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁,故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4.1.2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素
4.2.1 硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2 虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3 其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG,该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
美国电子电气学会(IEEE) 802.11任务组于1997年6月推出IEEE802.11无线局域网标准,经过不断的完善发展,现已成为最具影响力的无线局域网工业标准。到目前为止,已经的高速物理层标准如表1所示。
1.1 MIMO+OFDM技术分析
多入多出MIMO技术是一种在发射端和接收端同时使用多副天线的无线收发技术, 主要包括发射分集技术和空间复用技术。MIMO技术充分利用随机衰落及多径时延扩展,在不需要增加天线发送功率和频谱资源情况下,利用MIMO信道提供的空间分集增益可以有效降低误码率,提高信道的容量和可靠性。MIMO收发模式可以用缩写“Y*Z”来表示,分别代表发送天线数和接收天线数。IEEE802.11n设备默认支持2*2模式空间流,最多支持4*4模式无线链路进行空间复用;正交频分复用OFDM技术是一种无线环境下多载波的高速扩频传输技术,通过将给定频域内的信道分成若干个正交子信道, 每个子信道都可以使用独立的子载波(Sub Carrier),根据具体需要选择不同调制方式进行调制,并且这些子载波可以并行发送,因此可以提高数据发送速度。同时,相互正交的子载波不但提高了频谱利用率而且减小了子载波间的相互干扰。
MIMO可以有效利用多径衰落提高信道容量,但对频率选择性衰落无能为力;OFDM技术可以有效利用频率选择性衰落,在不受带宽和功率限制条件下, OFDM技术可以以任意速率传输。实际上WLAN只能在带宽和功率受限的情况下提高信道传输能力。因此将MIMO和OFDM两种技术相结合,可扬长避短实现最佳传输效果。MIMO-OFDM技术原理如图1所示。
MIMO+OFDM技术在发送端将发送信息先进行信道编码和MIMO编码,然后将此Bit流进行串/并转换分为多个分支,每个分支都进行OFDM处理,最后经MIMO阵列天线发送到无线信道中。接收端进行着与发射端进行相反的信号处理,并进行信道估计和同步等处理,最后恢复出与发送端发送一样的比特流信息。
1.2 绑定的信道结构技术分析
比较不同通信系统的有效性时,单看它们的传输速率是不够的,还应该看在这样的传输速率下所占信道的宽度。所以真正衡量数字通信系统传输效率的应当是单位频带内的码元传输速率,即频谱效率(spectrum effectiveness),以比特每秒每赫兹为单位。
IEEE802.lln标准定义20MHz为强制信道,40MHz为可选信道。20MHz信道主要为了和802.11b/a/g兼容,且20MHz频谱在世界范围内都是可用的,可实现802.lln产品在全世界范围统一。在每个信道20MHz带宽下。IEEE802.lln使用了56个子载波,其中52个用于传输数据信号,4个用于传输导频信号。40MHz信道由两个相邻的20MHz信道绑定在一起来实现的,其中心频率处有三个空子载波(-1,0,1),原有的20MHz信道的中心频率设定在新的40MHz信道的第+/-32个子载波处。-6至6是保护频带,为了增加吞吐量,40MHz信道使用的导频子载波数是6个,数据子载波数是108个,子载波数总共为114个。尽管不是所有的子载波都可以用来传输数据,但子载波的数量仍然是越多越好,因为每多一个就意味着能多传递一组调制信号。因此,40MHz信道可提供比20MHz信道更高的数据吞吐量。
1.3 短保护间隔ShortGI技术分析
无线信号的收发过程并非一刻不停。为了保证收发效果,在接收发送之间或多次发送过程中,必须有一定的时间间隔,即保护间隔。在使用OFDM调制方式发送数据时,整个帧被划分成不同的数据块进行发送,在多径环境下,后数据块的前端比前一数据块的末端更快到达接收机,从而引起数据块间产生干扰。前后数据块由不同路径到达,前一数据块尚未被接收机完全接收,后一数据块却由一个更短路径到达。数据块间干扰会降低射频链路的SNR(signal to noise ratio)。GI是前后数据块间的一段空白时间,可以为迟到信号提供更长的缓冲时间。
GI长度根据多径状态选择。802.11a/g的GI时长为800ns, IEEE802.11n提供了一个可选项,当多径情况较少、射频环境较好时,允许用户选择启用400 ns的保护间隔,即更短 GI (Short GI)特性,以得到更高的数据传输速率。在40MHz信道下,将保护间隔减小到最小的400ns,如果采用64-QAM调制方式、编码率5/6、2个空间流来传送,可将最大速率提升到300Mbps;如果采用64-QAM调制方式、编码率5/6、4个空间流传送, 可将最大速率提升到600Mbps,实现802.11n定义的最高速率。
1.4 低密度奇偶校验码编码技术分析
IEEE802.11n采用LDPC纠错编码技术。在数字通信的领域中,广泛使用纠错编码技术改善数字信道通信可靠性。纠错编码主要包括分组码、卷积码、LDPC码和Turbo码。LDPC是一类可以用非常稀疏的Parity-Check(奇偶校验矩阵)定义的线性分组纠错码,其特点是:不仅有逼近Shannon限的良好性能,而且具有译码复杂度较低、较大的灵活性、可验证性、可并行操作、适合硬件实现等优良特性。因此, 结合LDPC编码技术的IEEE802.11n性能更加优越。
2 IEEE802.11n MAC层关键技术分析
IEEE802.11n物理层数据速率尽管非常高,但为了保持与802.11a/b/g的兼容, MAC层的帧间隔时间IFS(InterFrame Space)保持不变, PHY层包头、广播帧、组播帧和控制帧必须统一802.11数据速率发送,这导致MAC层的吞吐量受限。为此IEEE802.11n在原有的MAC层传输协议数据包切割和多速率传输基础上提出了帧聚合、双向传输、块确认、减少帧间隔等关键技术,进一步提高MAC层数据吞吐量。同时,引入IEEE802.lle进一步扩展IEEE802.11n的服务质量Qos(Quality of Service)。
2.1 无线媒体访问控制技术分析
IEEE802.11无线局域网MAC层具有无线媒体访问、网络连接、数据验证和加密三个主要功能。其中无线媒体访问协议称为基于分布方式的无线媒体访问控制协议(distributed function wireless MAC,DFW-MAC),它支持自组织结构(Ad hoc)和基础结构(infrastructure)两种类型的WLAN。IEEE802.11nMAC层在原有IEEE802.11标准分布协调功能(distr ibuted coordination function,DCF)和点协调功能(point coordination function,PCF)两种无线媒体访问控制方式基础上,引入IEEE802.lle扩展支持Qos的HCF(Hybrid coordination function)信道接入方式。HCF包括可以提供优先级服务的增强型DCF(enhanced distributed channel access,EDCA)和可满足参数化QoS要求的HCCA(HCF controlled channel access,HCCA)两种接入方式。其中,DCF是IEEE 802.11最基本的媒体访问控制方法, 是HCF和PCF的基础,它提供基于竞争的数据接入服务,在所有站点(station, STA)上都进行实现。
DCF协议采用两路握手的基本接入机制 (basic access)和可选的四路握手RTS/CTS两种工作机制,它们都基于载波侦听冲突避免多路访问CSMA/CA技术和二进制指数退避算法。Basic access的接入时序如图2(a)所示,发送端在发送数据之前,先监听信道状态,如果没有人使用信道并维持大于等于DIFS时间段后,就立即占用信道并送出数据。反之必须等到信道空闲DIFS时间段后,进入退避过程进行竞争信道使用。
RTS/CTS机制可以有效解决隐藏终端从而达到减少碰撞损失的目的,其接入时序如图2(b)所示。发送端发送数据前,先发送RTS报文 (Request to Send)给目标端,目标端收到后,向自己范围内所有站点广播CTS(Clear to Send )报文,随后开始占用信道传送数据信息。RTS/CTS可以确保随后的数据传输不会发生碰撞。由于RTS/CTS封包很小,所以传送的无效开销比发生碰撞的开销小很多。图中NAV(network allocation vector)表示一个减法计时器,值的大小表示信道将被占用的时间长短。其它站点的NAV取值由当前信道上传送的MAC帧中Duration域所携带的传输持续时间信息确定。
2.2 数据包聚合技术分析
IEEE802.11n主要有数据帧、控制帧和管理帧三种帧(Frame)类型。数据帧(Data Frame)负责在工作站之间搬运数据;控制帧(Control Frame )负责区域的清空、信道的取得以及载波监听的维护,并于收到数据时予以肯定确认,借此提高工作站之间数据传送的可靠性,包括RTS 帧、CTS 帧、ACK 帧、BlockAckReq帧和BlockAck等九种类型帧;管理帧(Management Frame)负责监督,主要用来加入或退出无线网络以及处理接入点之间关联的转移事宜。Data Frame和Management Frame格式如图3所示。
IEEE802.11n在MAC层对帧结构进行了进一步优化。 MAC帧主要包括MAC Header和Frame body两个部分,为了向前兼容,MAC Header必须以基本速率发送。为了降低此部分发送时间上的开销,IEEE802.11n将多个MAC帧进行聚合,使其共用一个PHY Header,从而有效提高负载的传输效率。根据聚合所在的子层的不同分为MAC层服务数据单元聚合(A-MSDU)、MAC层协议数据单元聚合(A-MPDU)、物理层协议数据单元聚合(A-PPDU)和物理层协议数据单元突发传输(PPDU Bursting) 四种。A-MSDU在逻辑链路控制层(LLC)和MAC层之间实现,A-MPDU在MAC层和PHY层之间实现,A-PPDU和 (PPDU Bursting)在PHY层实现。其中A-MSDU和A-MPDU聚合过程如图4所示。
图4中DA是数据包的最终接收实体的地址,SA是发送数据包的MAC实体地址,Padding是填充字段,Delimiter是分隔符。A-MSDU中每个MSDU具有相同的MAC Header、PHY Header和FCS,因此A-MSDU聚合度很高且发往同一个目的地址,同时传输可靠性较差,只适合小数据包MSDU的批量发送。A-MPDU中每个MSDU具有独立的MAC Header和FCS,因此A-MPDU可发往不同的目的地址且具有较高的传输可靠性,效率比较前者略底;采用A-PPDU和PPDU聚合方式传输,虽然可靠性提高了,但在PHY层数据速率很高且聚合个数较多时效率下降很快。
2.3双向传输机制(reverse direction function)分析
双向传输机制是指通过高效利用传输机会TXOP(Transmission Opportunity),实现无线网络高速传输的一种机制。TXOP是一个有限的时间区间,当发送方站点通过竞争独占信道之后,在TXOP时间内发送完自己的数据后,如果TXOP时间还有剩余,就可以通知接受方在剩余的TXOP时间内,进行反向传输而无需再竞争信道的使用权。双向传输机制实例如图5所示。
双向传输机制主要用于在EDCA、HCCA和非TXOP的DCF信道接入机制,并且发送方要传输数据量较少时,通过提高站点TXOP利用率来提高系统的吞吐量。
2.4 块应答(Block Ack)技术分析
802.11协议为了提高数据传输的可靠性,规定接收端每收一个数据帧,应该立即采用ACK应答。因此,当采用这种方式接收端在收到聚合帧A-MPDU后,就需要对其中的每一个MPDU进行处理并逐个发送应答帧ACK。在高速的802.11n中,为了降低每一次由于竞争使用信道和多ACK应答带来的时间损耗,接收方在连续接收多个数据帧后通过Block Acknowledgement方式,使用一个ACK帧来完成对多个MPDU的应答,以降低这种情况下ACK帧的数量,这种方式就叫做Block ACK方式。Block ACK有延迟型Block ACK和立即型Block ACK两种方式,Block ACK方式也可使用于非聚合的MPDU。块应答与帧间间隔实例如图6所示。
2.5 精简帧间间隔(Reduced InterFrame Spacing)技术分析
帧间间隔IFS(InterFrame Space)是指在收发双方传输数据帧时,每两个数据帧之间要有一个固定的时间间隔。在802.11网络中,有四种不同的帧间隔时间,这四种IFS按照时间从短到长的顺序依次为:SIFS(Short InterFrame Space)、PIFS(PCF InterFrame Space)、DIFS(DCF InterFrame Space)和EIFS(Extended InterFrame Space)。在IEEE 802.11不同标准中,aSlotTime和不同类型帧间间隔时间的值不同,如表2所示。
其中SIFS是最小帧间隔,发送方和接收方数据帧传输时使用,采用SIFS的节点具有访问无线链路的最高优先级,如图6(a) (b) (c)所示。DFC接入方式时使用DIFS时间间隔,PCF接入方式时使用PIFS时间间隔,EIFS时间间隔用于收发双方差错处理。此外,还有支持Qos的仲裁帧间间隔AIFS,AIFS值的大小应根据数据类型设置。在802.11n网络中采用精简帧间间隔RIFS, 如图6(b) (c)所示,把原来的每发一个两个帧帧间间隔从SIFS的10μs或16μs调整为RIFS的2μs ,以适应IEEE802. 11n高传输速率要求。
3 结束语
基于IEEE802.11n技术的无线局域网络不再是简单的接入层,已经成为与3G网络对等的移动互联网中重要的高速数据承载平台。目前,基于802.11n技术的运营商网络和终端市场份额在逐步扩大,已经超过了50%甚至更高的份额。但由于现有终端大部分只支持802.11a/b/g标准,所以要组建纯802.11n标准的网络面临着用户发展的问题。在向高速802.11n无线局域网发展过程中,必需考虑与原有802.11a/b/g标准的兼容。在802.11n发展初期,运营商可先采用双频设备组网,等到大部分终端都支持802.11n标准后,再通过对设备的重新配置等手段统一为802.11n单模组网。同时,在利用802.11n技术组网时还需要根据具体的复杂的无线环境,科学规划频率资源,合理配置网络参数,并进一步深入研究802.lln多信道管理、链路自适应、网络安全、天线选择以及与影响系统吞吐量提升的相关技术,以便使用户享受到IEEE802.11n带来的安全、高速、高质量的无线网络服务体验。
参考文献:
[1] 郭刚,陆晓峰.IEEE802.11n MAC性能优化策略分析[J].计算机工程与科学,2009,31(3):13-15.
.电信工程技术与标准化,2011,(4):1-6.
[3] 毛建兵,毛玉明.基802.11的多信道MAC协议性能分析[J].计算机研究与发展,2009 46(10):1651-1659.
[4] 温景容,甄岩,武穆清.IEEE 802.11e EDCA在Ad Hoc网络中应用仿真分析[J].小型微型计算机系统,2010,(5):908-911.
汽车正在成为黑客们的下一个目标。各大影院热映的《速度与激情6》已经生动地为看客们展示了未来黑客们的入侵——或许,在未来,当某个“重要人物”驾驶智能轿车飞速奔赴目的地时,千里之外的黑客,只是轻轻动了动手指,就让他的汽车再也开不起来,从而使他的计划“泡了汤”。
8月初,在位于拉斯维加斯举行的全球规模最大的国际黑客大会(Def Con hacking convention)上,Twitter公司软件安全工程师米勒(Charlie Miller)和IOActive安全公司智能安全总监瓦拉赛克(Chris Valasek)——这两位曾因寻找到微软和苹果软件的漏洞而名声大振的工程师,在获得美国政府许可的情况下,了他们攻击汽车数月后的研究。
“坏小子”们在长达100页的白皮书中,详细阐述攻击丰田普锐斯(Prius)和福特翼虎(Escape)关键系统的方法——他们让以每小时130公里速度行驶的丰田普锐斯突然刹车,当然也可以让汽车突然加速,甚至控制方向盘。还让福特翼虎在慢速行驶时刹车失灵,司机不论用多大力气踩刹车都于事无补。
当然,他们的研究并非为了为非作歹,“杀人于无形之中”,而是为了抢在不法分子之前找到系统漏洞,这类黑客被称为“白帽黑客”。
米勒和瓦拉赛克希望他们的数据能激励其他“白帽黑客”去发现更多的汽车安全漏洞,这样就能够加以修复。米勒调侃道:“与其相信福特和丰田的眼光,我倒宁可相信100名安全研究人士的眼力。”
这样看来,似乎汽车“太智能”也会带来困扰。当移动互联网技术进入汽车,汽车更像是一个个“移动终端”时候,如何来保证未来的驾驶安全?其实早在2011年,就有学术界人士谈到如何利用蓝牙系统和无线网络入侵汽车,不过在当时,学术界人士对细节秘而不宣,甚至拒绝透露他们入侵了什么型号的车辆。
被研究的“对象”有点坐不住了。丰田发言人汉森(John Hanson)称丰田正对此加以评估。他称,丰田在汽车电子安全方面投入了大量资金,但还是存在一些漏洞。而福特发言人戴奇(Craig Daitch)称,福特认真看待其车辆的电子安全。但他指出,由于米勒和瓦拉赛克的攻击方法必须要坐在目标车辆里才能实现,因此实际风险是相对较低的。
同样被暴露出软件存在漏洞的还有大众汽车旗下的4个豪华车品牌。英国伯明翰大学的加西亚(Flavio D. Garcia)、荷兰内梅亨大学的维杜特(RoelVerdult)和艾齐(BarisEge)一直致力于研究如何突破奥迪、保时捷、宾利和兰博基尼等大众汽车集团旗下豪华车品牌的Megamos Crypto防护系统。三人发现了车辆内部的独特逻辑代码,以及能够允许车辆识别点火钥匙的特征。而目前,除了大众以外,不少其他车企的点火钥匙也使用Megamos Crypto逻辑。
“白帽三剑客”基于研究撰写的论文原本计划在今年8月美国华盛顿Usenix安全研讨会上发表,但此举遭到大众汽车反对,大众称,论文泄露启动密码可能“使得某些人,尤其是经验丰富的犯罪集团获得利器,轻易地突破车辆安全系统并实施盗窃”。
大众近而向英国高等法院提讼,并获得了英国高院的支持。英国高院了暂时性禁令,阻止他们,其所属的两所大学的内部刊物也表示将遵从禁令,暂缓发表该论文。
对此,专家们表示不满,认为只是在进行“合法的学术研究”,目的是为所有人改善安全状况。被法院禁止后,三人决定退出今年的研讨会。
尽管还没有消费者因汽车被黑造成事故,但美国国家公路交通安全管理局发表的一份声明中表示:“电子控制和连接越来越多,它强化了交通安全和效率,但给抵抗潜在缺陷带来新挑战。”
安全专家也在表示,由于对计算机依赖程度日益增加的新无线技术能够使汽车更安全、能耗更低、更现代化,汽车遭黑客攻击已开始由以前的理论转入现实世界。