无线网络安全问题的研究

1、无线网络安全技术无线网络安全技术的研究的研究欢迎你欢迎你CONTENTS无线网络的发展历史本方案的工作流程基于PKI系统的双向身分认证安全方案无线网络的特点本课题研究目的无线网络的原理无线网络安全问题总结常见的无线网络安全技术 本方案的优点及不足无线网络的发展历史 无线局域网的历史及发展无线局域网的历史起源可以追溯到半个多世纪前的第二次世界大战期间，当时美国陆军采用无线电信号用作资料传输.他们研发出一套无线电传输技术.并且采用了相当高强度的加密技术，美军和盟军都广泛使用这项技术。1971年，夏威夷大学的研究人员从美军在二战时期应用的这项技术中得到灵感，创造了第一个基于封包式技术的无线电通讯网络

2、。这个被称作ALOHNET的网络.包括7台计算机，它们采用双向星型拓扑，网络横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛上。它可以称作无线局域网的鼻祖。本课题研究意义 近年来，计算机及通信科学发展突飞猛进，随着有线网络的快速发展和普及，无线网络也在一定程度上得到了发展，其在技术上变得的越来越成熟，越来越便捷，在信息化变革中扮演了相当重要的角色，同时在国防中也得到了应用。尤其 以无线局域网（wlan）为代表的无线网络技术得到了高速发展和应用。无线网络作为有线网络的补充和延伸，其安全问题不仅影响到用户的自身，而且也随之影 响到与之相联的有线网络用户。因此怎样有效而又安全地使用无线网络又将成为人们关

3、注的又一热点问题，无线网络的安全问题必须引起足够重视。这也是本课题究研的出发点所在无线网络工作原理 无线局域网,是通过发射和接收装置(无线设备) 连接上交换机,工作站就通过无线网卡和无线设备进行通信,无线设备接收到信号就传送给交换机再用交换机连接到路由器,路由器接入INTERNET,实现上网.一、扩展频谱方式二、窄带调制方式无线网络的特点 无线网络的出现，许多有线网络解决不了的问题迎刃而解。可以在不像传统网络布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。无线网络具有传统有线网络无法比拟的优点: 灵活性，不受线缆的限制，可以随意增加和配置工作站。 低成

4、本，无线网络不需要大量的工程布线，同时节省了线路维护的费用。 移动性，不受时间、空间的限制，随时随地可以上网。 易安装，和有线相比，无线网络的组建、配置、维护都更容易。 更加的美观，传统的有线网络很多情况下都影响到了家庭的美观，而无线网络则没有这个问题。 但是，一切事物有利亦有弊。无线网络也同时有着许多的缺陷： （1）无线网络的速度并不是非常的稳定，和有线相比，还有着很大的差距。 （2）安全性也是一个很大的问题，无线网络是通过特定的无线电波传送所无线网络安全问题总结 一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。

5、这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务，数据就很容易在空气中传输时被他人读取并利用。 1、网络窃听、网络窃听无线网络安全问题总结 在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法（即网络认证用户，同时用户也认证网络）和基于应用层的加密认证（如HTTPSWEB）。2、中间人欺骗、中间人欺骗无线网络安全问题总结 现在互联网上存在一些程序，能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主

6、机数量，以及由于802.11帧冲突引起的IV重发数量，最快可以在两个小时内攻破WEP密钥。3、WEP破解破解无线网络安全问题总结 即使AP起用了MAC地址过滤，使未授权的黑客的无线网卡不能连接AP，这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据，能够获得AP允许通信的STAMAC地址，这样黑客就能利用MAC地址伪装等手段入侵网络了。4、MCA地址欺骗地址欺骗无线网络安全问题总结 由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使

7、用。5、地址欺骗、地址欺骗与会话拦截与会话拦截无线网络安全问题总结 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。6、高级监听、高级监听 常用无线网络安全技术 一、服务集标识符（SSID） 二、物理地址过滤（MAC） 三、连线对等保密（WEP） 四、Wi-Fi保护接入（WPA） 五、国家标准(WAPI) 六、端口访问

8、控制技术（802.1x）基于PKI系统的双向身份认证安全方案公钥基础设施PKI是以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施。在网络通信中，最需要的安全保证包括四个方面：身份认证、数据保密、数据完整性和不可否认性。PKI可以完全提供以上四个方面的保障。目前，PKI在信息安全领域日益受到得视，符合X.509标准的数字证书在网络中得到越来越多的应用。在此，我们提出了一个比较具体的基于PKI的无线局域网认证和密钥分发的主案，在本方案中使用的数字证书机制进行身份认证，要求认证者和申请者都支持数字证书技术。设计方案工作流程 整个身份认证

9、系统由用户MT、接入点AP和认证服务器组成：其中，认证服务器的主要功能是负责证书的发放、验证与吊销等；用户与AP上都安装有认证服务器发放的数字证书（证书包含AS的公钥以及证书持有者的身份和公钥）作为自己的数字身份凭证。当用户登录至无线接入点AP时，在使用或访问网络之前必须通过AS进行双向身份验证。根据验证的结果，只有持有合法证书的用户才能接入持有合法证书的无线接入点AP。具体的认证过程如图4.3所示，具体为：设计方案工作流程（3）修改MAC地址让过滤功能形同虚设：虽然无线网络应用方面提供了诸如MAC地址过滤的功能，很多用户也确实使用该功能保护无线网络安全，但是由于MAC地址是可以随意修改的，通

10、过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后，就可以将非法入侵主机的MAC地址进行伪造，从而让MAC地址过滤功能形同虚设。设计方案工作流程1，当用户MT登录到接入点AP时，AP向用户发送随机数RA。 2，用户收到RA后生成随机数RB，向AP发送请求帧，其中包括用户的数字证书及RA、RB，数字证书中有用户的身份信息和公钥，RA由用户私钥签名。 3，接入点AP接收到用户的请求后验证随机数RA，AP阴塞所有其它请求直到认证完成，验证RA成功后，AP向认证服务器发送自己的数字证书、用户的数字证书和RB，并使用自己的私钥进行签名。企

11、业无线网络所面临的安全威胁企业无线网络所面临的安全威胁 （5）服务和性能的限制：无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬 AP有限的带宽;如果发送广播流量，就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输;另外，传输较大的数据文件或者复杂的client/server系统都会产生

12、很大的网络流量。设计方案工作流程 4，认证服务器接收到AP的请求后，首先使用AP的公钥对AP的数字证书解签名，然后对AP的身份进行验证。若认证服务器AP为合法的AP，则再对用户的数字证书RB解签名，然后验明用户的身份。在AP和用户的身份都认证成功后，认证服务器向AP发送验证成功帧，其中有认证服务器的数字证书和随机数RC，认证服务器先用自己的私钥签名再使用AP的公钥加密，从而使AP与认证服务器建立信任关系。 5，AP收到验证成功帧后先用自己的私钥解密，然后用认证服务器的公钥解签名，并将认证服务器的数字证书和RC先用自己的私钥签名，再用用户的公钥加密后发给用户。设计方案工作流程6，用户收到此回应后

13、首先用自己的私钥解密，然后用认证服务器的公钥解签名，并对认证服务器的身份进行验证。验证成功后向认证服务器发送随机数RD，用自己的私钥签名，并用认证服务器公钥加密。 7，认证服务器收到后，用自己的私钥解密，并用用户的公钥解签名。用户和认证 服务器用随机数RB、RC和RD为种子产生会话密钥。然后认证服务器产生临时密钥，用自己的私钥签名，并用AP的公钥加密，发送给AP。 8，AP接收到以后，先用自己的私钥解密，再用认证服务器的公钥解签名，得到临时密钥，并作出回应。设计方案工作流程 9，认证服务器将临时密钥用自己的私钥签名，并用会话密钥加密发送给用户。 10，用户收到以后，用会密钥解密，用认证服务器的

14、公钥解签名，得到临时密钥，用户与AP都得到了临时密钥，双方使用临时密钥加密算法进行保密通信。 无线网络安全解决方法一、本方案优点 该主案与WEP机制的安全性相比，提供了更好的安全性保障，方案具备以下特点： 1，提供用户与认证服务器的双向认证，防止攻击者利用WEP的单向认证机制进行假冒攻击和接放中间人攻击。 本方案的优点 2实现了认证密钥与加密密钥的分离，会话密钥在认证中动态生成，临时密钥的及时更新，增强了密钥的安全性，防止密钥长期不变带来的安全隐患。 3，使用国际通行的分组密码算法，不使用流密码算法，防止密钥流复用问题。 4，使用数字签名机制，提供了防止篡改和不可否认性。本方案不足之处 该方案存的不足 1，身份认证的性能优化，为了确保安全，身份认证机制采用基于数字证书的双向身份认证机制，效率比效低，虽然用户认证的时间在认证中所点的比率比效小，但还是会影响到用户的效率，需要提高身份证证的效率。 2，每个站点需有一定的计算能力，不方便，并且操作的同步不易实现。此外，临时密钥生期的确定应结合实际情况还确定，因为即使是一个局域网，其网络通讯量随时间变化而不同，过分频繁的更换临时