无线局域网技术安全发展.docxVIP

无线局域网技术安全发展 摘要：无线局域网的覆盖范围为几百米， 在这样一个范围内，无线设备可以自由移动, 其适合于低移动性的应用环境。 而且无线局 域网的载频为公用频段，无需另外付费，因 而使用无线局域网的成本很低。 无线局域网 带宽更会发展到上百兆的带宽，能够满足绝 大多数用户的带宽要求。基于以上原因，无 线局域网在市场赢得热烈的反响，并迅速发 展成为一种重要的无线接入互联网的技术。 但由于无线局域网应用具有很大的开放性， 数据传播范围很难控制，因此无线局域网将 面临着更严峻的安个问题。 本文在阐述无线 局域网安全发展概况的基础上， 分析了无线 局域网的安全必要性， 并从不同方面总结了 无线局域网遇到的安全风险，同时重点分析 了标准的安全性、影响因素及其解决方案， 最后对无线局域网的安全技术发展趋势进 行了展望。 关键词：无线局域网；标准；安全；趋 势 前言无线局域网本质上是一种网络互 连技术。无线局域网使用无线电波代替双绞 线、同轴电缆等设备，省去了布线的麻烦， 组网灵活。无线局域网和有线对等加密 [7][8]。 认证 当一个站点与另一个站点建立网络连 接之前，必须首先通过认证。执行认证的站 点发送一个管理认证帧到一个相应的站点。 标准详细定义了两种认证服务：一开放系统 认证：是默认的认证方式。这种认证方式非 常简单，分为两步：首先，想认证另一站点 的站点发送一个含有发送站点身份的认证 管理帧；然后，接收站发回一个提醒它是否 识别认证站点身份的帧。一共享密钥认证： 这种认证先假定每个站点通过一个独立于 网络的安全信道，已经接收到一个秘密共享 密钥，然后这些站点通过共享密钥的加密认 证，加密算法是有线等价加密。 规定了一个可选择的加密称为有线对 等加密，即WEP WEPI供一种无线局域网 数据流的安全方法。WEF^ 一种对称加密， 加密和解密的密钥及算法相同。 WEF勺目标 是：接入控制：防止未授权用户接入网络， 他 们没有正确的 WEFFS钥。 加密：通过加密和只允许有正确 WEFFg 钥的用户解密来保护数据流。 标准提供了两种用于无线局域网的 WEP 加密方案。第一种方案可提供四个缺省密钥 以供所有的终端共享一包括一个子系统内 的所有接入点和客户适配器。当用户得到缺 省密钥以后，就可以与子系统内所有用户安 全地通信。缺省密钥存在的问题是当它被广 泛分配时可能会危及安全。第二种方案中是 在每一个客户适配器建立一个与其它用户 联系的密钥表。该方案比第一种方案更加安 全，但随着终端数量的增加给每一个终端分 配密钥很困难。 4. 2影响安全的因素[9][10] 硬件设备 在现有的WLAN^品中，常用的加密方 法是给用户静态分配一个密钥，该密钥或者 存储在磁盘上或者存储在无线局域网客户 适配器的存储器上。这样，拥有客户适配器 就有了 MA弛址和 WE商钥并可用它接入到 接入点。如果多个用户共享一个客户适配器， 这些用户有效地共享 MAW址和 WEP?钥。 当一个客户适配器丢失或被窃的时候， 合法用户没有MA弛址和WE商钥不能接入, 但非法用户可以。网络管理系统不可能检测 到这种问题，因此用户必须立即通知网络管 理员。接到通知后，网络管理员必须改变接 入到MA弛址的安全表和WEF^钥，并给与 丢失或被窃的客户适配器使用相同密钥的 客户适配器重新编码静态加密密钥。客户端 越多，重新编码WERg钥的数量越大。 虚假接入点 共享密钥认证表采用单向认证，而不是 互相认证。接入点鉴别用户，但用户不能鉴 别接入点。如果一个虚假接入点放在无线局 域网内，它可以通过劫持合法用户的客户适 配器进行拒绝服务或攻击。 因此在用户和认证服务器之间进行相 互认证是需要的，每一方在合理的时间内证 明自己是合法的。因为用户和认证服务器是 通过接入点进行通信的，接入点必须支持相 互认证。相互认证使检测和隔离虚假接入点 成为可能。 其它安全问题 标准WE歧持对每一组加密但不支持对 每一组认证。从响应和传送的数据包中一个 黑客可以重建一个数据流，组成欺骗性数据 包。减轻这种安全威胁的方法是经常更换 WE商钥。通过监测工控制信道和数据信道， 黑客可以得到如下信息：客户端和接入点 MA弛址，内部主机 MACfe址，上网时间。 黑客可以利用这些信息研究提供给用户或 设备的详细资料。为减少这种黑客活动，一 个终端应该使用每一个时期的 WE商钥。 4. 3完整的安全解决方案 无线局域网完整的安全方案以比为基 础，是一个标准的开放式的安全方案，它能 为用户提供最强的安全保障， 确保从控制中 心进行有效的集中管理。它的核心部分是： 扩展认证协议，是远程认证拨入用户服 务的扩展。可以使无线客户适配器与 RADIUS 服务器通信。 当无线局域网执行安全保密方案时， 在 一个BSS范围内