【文章內(nèi)容簡介】 忙的網(wǎng)絡(luò)也不會在這么短的時間內(nèi)產(chǎn)生足夠的數(shù)據(jù)證實攻 擊者破獲密鑰。 (7)高級入侵 一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使網(wǎng)絡(luò)暴露出來從而遭到攻擊。 關(guān)鍵安全技術(shù) 有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)有著不同的傳輸方式。有線網(wǎng)絡(luò)的訪問控制往往以物理端口接 入方式進(jìn)行監(jiān)控，數(shù)據(jù)通過雙絞線、光纖等介質(zhì)傳輸?shù)教囟?的目的地，有 線網(wǎng)絡(luò)輻射到空氣中的電磁信號強度很小，很難被竊聽，一般情況下，只有在物理鏈路遭到盜用后數(shù)據(jù)才有可能泄漏。而無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用電磁波在空氣中輻射傳播，只要在接入點 (AP， Access Point)覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號。無線網(wǎng)絡(luò)的這種電磁輻射的傳輸方式是無線網(wǎng)絡(luò)安全保密問題尤為突出的主要原級本 科畢業(yè)設(shè)計論文 第 12 頁 共 26 頁 因。 無線局域網(wǎng)絡(luò)產(chǎn)品的 IEEE 系列標(biāo)準(zhǔn)主要有 (5GHz1999 年獲得通過 )、 (11Mbps 年獲得通過 )、 (額外的規(guī)章制度 )、(服務(wù)質(zhì)量 )、 (接入點間協(xié)議 IAPP)、 (率 20Mbps2020 年 5 月獲得通過 )、 (靈活的頻率選擇與傳輸電源控制機制 )、(驗證與安全性 2020 年 6 月獲得通過 )、 (基于端口的網(wǎng)絡(luò)接入控制EAP2020 年 6月獲得通過 )，下面將標(biāo)準(zhǔn)中涉及的安全技術(shù)加以闡述。 通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在兩個方面：一是訪問控制，它用于保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問；另一個是數(shù)據(jù)加密， 它用于保證傳送的數(shù)據(jù)只被所期望的用戶所接收和理解。無線局域網(wǎng)相對于有線局域網(wǎng)所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數(shù)據(jù)信號，其他方面的安全問題兩者是相同的。 服務(wù)集標(biāo)識 SSID(Service Set Identifier)匹配 通過對多個無線 AP 設(shè)置不同的 SSID 標(biāo)識字符串 (最多 32 個字符 )，并要求無線工作站出示正確的 SSID 才能訪問 AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。但是 SSID 只是一個簡單的字符串，所有使用該無線網(wǎng)絡(luò)的人都知道該 SSID，很容易泄漏；而且如果配置 AP 向外廣播其 SSID，那么安全程度還將下降，因為任何人都可以通過工具或 Windows XP 自帶的無線網(wǎng)卡掃描功能就可以得到當(dāng)前區(qū)域內(nèi)廣播的 SSID。所以，使用 SSID 只能提供較低級別的安全防護(hù)。 物理地址 (MAC， Media Access Control)過濾 由于每個無線工作站的網(wǎng)卡都有唯一的類似于以太網(wǎng)的 48 位的物理地址，因此可以在 AP 中手工維護(hù)一組允許訪問的 MAC 地址列表，實現(xiàn)基于物理地址的過濾。如果各級組織中的 AP數(shù)量很多，為了實現(xiàn)整個各級組織所有 AP的 無線網(wǎng)卡 MAC 地址統(tǒng)一認(rèn)證，現(xiàn)在有的 AP 產(chǎn)品支持無線網(wǎng)卡 MAC 地址的集中 RADIUS 認(rèn)證。物理地址過濾的方法要求 AP中的 MAC 地址列表必須及時更新，因此此方法維護(hù)不便、可擴展性差；而且 MAC 地址還可以通過工具軟件或修改注冊表偽造，因此這也是較低級別的訪問控制方法。 新一代無線安全技術(shù) —— 為了進(jìn)一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， 工作組于 2020 年 6 月正式批準(zhǔn)了 IEEE 安全標(biāo)準(zhǔn)，從長遠(yuǎn)角度考慮解決 IEEE 無線局域網(wǎng)的安全問題。 IEEE 標(biāo)準(zhǔn)主要包含的加密技術(shù)級本 科畢業(yè)設(shè)計論文 第 13 頁 共 26 頁 是 TKIP(Temporal Key Integrity Protocol)和 AES(Advanced Encryption Standard)，以及認(rèn)證協(xié)議 IEEE 。定義了強壯安全網(wǎng)絡(luò) RSN(Robust Security Network)的概念，并且針對 WEP加密機制的各種缺陷做了多方面的改進(jìn)。 IEEE 規(guī)范了 認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(Temporal Key Integrity Protocol)、 CCMP(CounterMode/CBC2 MAC Protocol)和 WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機制。其中 TKIP 可以通過在現(xiàn)有的設(shè)備上升級固件和驅(qū)動程序的方法實現(xiàn)，達(dá)到提高 WLAN 安全的目的。CCMP 機制基于 AES(Advanced Encryption Standard) 加密算法和CCM(Counter2Mode/CBC2MAC)認(rèn)證方式，使得 WLAN 的安全程度大大提高，是實現(xiàn) RSN的強 制性要求。 AES 是一種對稱的塊加密技術(shù)，有 128/192/256 位不同加密位數(shù)，提供比 WEP/TKIP 中 RC4 算法更高的加密性能，但由于 AES 對硬件要求比較高，因此 CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級實現(xiàn)。 在某些場合，如大型企業(yè)、銀行、證券行業(yè)，其現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜且對網(wǎng)絡(luò)的安全性要求很高，僅使用基本的安全措施并不能完全達(dá)到其安全需求。為了進(jìn)一步加強無線網(wǎng)絡(luò)的安全性， 工作組目前正在開發(fā)作為新的安全標(biāo)準(zhǔn)的“” ，并且致力于從長遠(yuǎn)角度考慮解決 IEEE 無線局域網(wǎng)的安全問題。 IEEE 標(biāo)準(zhǔn)草案中主要包含加密技術(shù)： TKIP (Temporal Key Integrity Protocol) 和 AES（ Advanced Encryption Standard），以及認(rèn)證協(xié)議： 。 在 IEEE 標(biāo)準(zhǔn)最終確定前， WPA（ WiFiTM Protected Access）技術(shù)將成為代替 WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為 IEEE 無線局域網(wǎng)提供更強大的安全性能。WPA 是 的一個子集， 其核心就是 和 TKIP。 是新一代的無線安全標(biāo)準(zhǔn)。在 IEEE 標(biāo)準(zhǔn)最終確定前， WPA技術(shù)將成為代替 WEP的無線安全標(biāo)準(zhǔn)協(xié)議。 WPA 是 的一個子集，其核心就是 和 TKIP 新一代的加密技術(shù) TKIP 與 WEP 一樣基于 RC4 加密算法，且對現(xiàn)有的 WEP 進(jìn)行了改進(jìn)，在現(xiàn)有的 WEP加密引擎中追加了 “ 密鑰細(xì)分（每發(fā)一個包重新生成一個新的密鑰） ” 、 “ 消息完整性檢查（ MIC） ” 、 “ 具有序列功能的初始向量 ” 和 “ 密鑰生成和定期更新功能 ” 等 4種算法，極大地提高了加密安全強度。 TKIP 與當(dāng)前 WiFiTM 產(chǎn)品向后兼容，而且可以通過軟件進(jìn)行升級， AboveCable 無線產(chǎn)品完全支持 WiFiTM 標(biāo)準(zhǔn)，只需要簡單的軟件升級就可以實現(xiàn)對 TKIP 的支持。 級本 科畢業(yè)設(shè)計論文 第 14 頁 共 26 頁 TKIP 在基于 RC4 加密算法的基礎(chǔ)上引入的 4 個新算法 : （ 1）擴展的 48 位初始化向量 (IV)和 IV 順序規(guī)則 (IV Sequencing Rules)。 表 上層認(rèn)證機制 (EAP) TKIP CCMP （ 2）每包密鑰構(gòu)建機制 (perpacket key construction)。 （ 3） Michael 消息完整性代碼 (Message Integrity Code,MIC)。 （ 4）密鑰重新獲取和分發(fā)機制。 TKIP 并不直接使用由 PTK/ GTK 分解出來的密鑰作為加密報文的密鑰，而是將該密鑰作為基礎(chǔ)密鑰 (Base Key) ，經(jīng)過兩個階段的密鑰混合過程，從而生成一個新的、每一次報文傳輸都不一樣的密鑰，該密鑰才是用做直接加密的密鑰，通過這種方式可以進(jìn)一步增強 WLAN 的安全性。 IEEE 中還定義了一種基于 “ 高級加密標(biāo)準(zhǔn) ”AE S的全新加密算法，以實施更強大的加密和信息完整性檢查。 AES 是一種對稱的塊加密技術(shù)，提供比 WEP/TKIP中 RC4 算法更高的加密性能，它將在 IEEE 最終確認(rèn)后，成為取代 WEP 的新一代的加密技術(shù)，為無線網(wǎng)絡(luò)帶來更強大的安全防護(hù)。 端口訪問控制技術(shù)（ ）和可擴展認(rèn)證協(xié)議（ EAP） 是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在網(wǎng)絡(luò)設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制。 可以提供一個可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過以后才能 連接網(wǎng)絡(luò)。 本身并不提供實際的認(rèn)證機制，需要和上層認(rèn)證協(xié)議（ EAP）配合來實現(xiàn)用戶認(rèn)證和密鑰分發(fā)。 EAP 允許無線終端可以支持不同的認(rèn)證類型，能與后臺不同的認(rèn)證 服務(wù)器 進(jìn)行通訊，如遠(yuǎn)程接入撥入用戶服務(wù)（ RADIUS）。 IEEE 提供了一個可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過以后才能連接到網(wǎng)絡(luò)。但 IEEE 本身并不提供實際的認(rèn)證機制，需要和擴展認(rèn)證協(xié)議 EAP(Extensible Authentication Protocol)配合來實現(xiàn)用戶認(rèn)證和密鑰分發(fā)。 EAP 允許無線終端使用不同的認(rèn)證類型，與后臺的認(rèn)證服務(wù)器進(jìn)行通訊，如遠(yuǎn)程認(rèn)證撥號用戶服務(wù)器 (RADIUS)交互。 EAP的類型有 EAPTLS、 EAPTTLS、 EAPMD級本 科畢業(yè)設(shè)計論文 第 15 頁 共 26 頁 PEAP 等類型， EAPTLS 是現(xiàn)在普遍使用的，因為它是唯一被 IETF(因特網(wǎng)工程任務(wù)組 )接受的類型。當(dāng)無線工作站與無線 AP關(guān)聯(lián)后，是否可以使用 AP 的受控端口要取決于 的認(rèn)證結(jié)果，如果通過非受控端口發(fā)送的認(rèn)證請求通過了驗證，則 AP 為無線工作站打開受控端口，否則一直關(guān)閉受控端口，用戶將不能上網(wǎng)。 AboveCable HotSopt AP 已經(jīng)加入了對 和 EAP 的支持，大大提高了無線網(wǎng)絡(luò)的安全性能，為各行業(yè)安全地使用無線網(wǎng)絡(luò)提供了堅實的基礎(chǔ)，完全可以滿足企業(yè)、學(xué)校、物流倉儲等對網(wǎng)絡(luò)安全要求較高的無線用戶的需求。 認(rèn)證過程如下： 1） 無線終端向 AP發(fā)出請求，試圖與 AP 進(jìn)行通訊； 2） AP 將加密的數(shù)據(jù)發(fā)送給驗證服務(wù)器進(jìn)行用戶身份認(rèn)證； 3） 驗證服務(wù)器確認(rèn)用戶身份后， AP 允許該用戶接入； 4） 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過 AP訪問網(wǎng)絡(luò)資源； 網(wǎng)的關(guān)鍵技術(shù) 當(dāng)前，業(yè)界的 網(wǎng)體系結(jié)構(gòu)不盡相同，主要區(qū)別在于無線中繼的方式和無線中繼鏈路路由選擇的方法。無線中繼手段，業(yè)界主要的分歧在于采用MultiBand、 MultiRadio 方式還是采用 SingleBand、 SingleRadio 方式。如果用戶接入和無線中繼工作于同一頻段，如使用工作于 的 作為用戶接入，同時使用同樣 工作于 的 作無線中繼，就是一種 SingleBand、SingleRadio方式。反之，用戶接入和無線中繼工作于不同頻段，如使用工作于 的 ，同時使用工作于 5GHz 的 作無線中繼，則是一種典型的 MultiBand、 MultiRadio 方式，采用 MultiRadio 方式至少可以將接入部分和無線中繼部分從頻率上分開，使得兩者互不干擾，能在一定程度上提升性能。 而在路由算法上，沿用有線網(wǎng)絡(luò)路 由協(xié)議 還是開發(fā)專用的無線 mesh 路由 協(xié)議 也是兩種截然不同的技術(shù)路線。 Mesh 路由的目的是為了尋找最優(yōu)或相對最優(yōu)的回傳路徑。在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)性能同發(fā)送成功概率息息相關(guān)。在 WMN 中，一個好的路由算法必須兼顧減少路由跳數(shù)以及降低某條鏈路上包錯誤概率。在這個意義上，