学习啦 > 学习电脑 > 网络知识 > 局域网知识 > 无线局域网安全

无线局域网安全

时间: 光宁1217 分享

无线局域网安全

  局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。下面是小编收集整理的无线局域网安全范文,欢迎借鉴参考。

  无线局域网安全(一)

  一、无线局域网

  无线局域网是用无线通信技术将终端设备互联起来,构成可以互相通信和实现资源共享的局域网络体系。无线局域网特点是通过无线的方式建立连接,利用无线技术在空中传输数据,从而使网络的构建和终端的移动更加灵活。无线局域网常规的有效使用距离在100 m以内。

  无线局域网在一定程度上扔掉了有线网络必须依赖的网线。这样,用户可以坐在家里的任何一个角落,抱着笔记本电脑,享受网络的乐趣,而不像从前那样必须要迁就于网络接口的布线位置。

  无线局域网包括2种基本的工作模式:如图1所示的带无线路由器工作模式和如图2所示的不带无线路由器工作模式。

  在带无线路由器工作模式下,通信需要一个专门的无线局域网设备:无线路由器;在不带无线路由器工作模式下,无线终端相互之间直接发送数据。在日常的使用中,用户基本上使用带无线路由器的模式。

  全球范围内,无线局域网技术主要包括IEEE802.11系列、Hiper LAN技术、Home RF和蓝牙技术,目前,应用比较广泛是IEEE802.11系列和Hiper LAN。

  (1)ISO/IEC802.11 系列标准技术:是美国电气和电子工程师协会(IEEE)颁布的无线局域网标准。IEEE802.11系列技术和产品的安全性一直没能很好地解决。近年来,IEEE802.11技术和产品不断爆出重大安全性问题,造成用户巨大的经济损失。

  (2)Hiper LAN: Hiper LAN是以欧洲电信标准协会(ETSI)颁布的无线局域网标准为核心的技术和产品的总称。

  二、无线局域网安全概述

  安全是无线局域网面临的最大问题,这是由无线信号在空中几乎无边界的传播特性造成的,不论信号中的数据要发送的目的地是哪里,任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信,无线局域网中应采取必要的安全技术,包括鉴别、加密、数据完整性保护等。

  1、鉴别

  鉴别提供了用户身份合法性的保证,这意味着当用户声称具有一个特定的身份时,鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候,需要输入特定的密码或身份信息等来进行身份合法性的验证。

  尽管不同的鉴别方式决定用户身份验证的具体流程不同,但基本功能是一致的。目前,无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。

  (1)基于浏览器页面的身份鉴别

  基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到,用户输入手机号码,通过手机获得相关的登录验证码,然后将登录验证码输入到浏览器中即可使用网络服务。

  这种身份鉴别技术属于安全性最低的一种方案,它只是在无线局域网的上层应用简单进行身份信息的对比,实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护,所有通信信息明文传输,存在较大的安全风险。这种方案类似于所有访客,先进入大门,然后再用笔写下自己的联系方式。

  (2)基于密码的身份鉴别

  基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面,输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。

  这种身份鉴别技术属于安全性中等的一种方案,它通过绑定密码学的技术实现用户接入身份的鉴别,同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播,且所有人使用相同的密码,容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客,使用同一张卡进入同一个大门。

  (3)基于数字证书的身份鉴别

  基于数字证书的身份鉴别是指用户登录到无线局域网之前,需要由特定的机构对用户的身份进行严格的审核,并为用户颁发数字证书,通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名,把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时,可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份,实现对身份的鉴别。

  这种技术属于安全性最高的一种方案,它通过密码学的技术不但绑定用户接入身份的鉴别流程,而且还绑定用户身份本身,同时也完成对通信数据的加密处理。使用这样的方法,每个用户都有属于自己个人的接入凭证,无法抵赖。这种方案类似于所有访客,使用唯一标识自己身份的一张卡进入同一个大门。

  2、加密

  加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。

  (1)数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。

  (2)高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。

  (3)SM4:SM4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。WAPI的无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)采用对称密码算法SM4实现对MAC层MSDU的加、解密操作。

  3、数据完整性保护

  数据完整性保护,是使接收方能够确切地判断所接收到的消息在传输过程中是否遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。

  三、无线局域网面临的安全问题

  无线局域网已广泛应用于各行各业中,受到人们的青睐,并成为无线通信与互联网技术相结合的最热门技术。无线局域网的最大优点就是实现了网络互连的可移动性,它能大幅度提高用户访问信息的及时性和有效性,还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性,数据传播的范围较难控制,无线局域网面临非常严峻的安全问题。无线局域网面临的基本安全问题如下。

  1、非法接入风险

  主要是指通过未授权的设备接入无线网络,例如,企业内部一些员工,购买便宜小巧的无线路由器,通过有线以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的安全性就大打折扣,造成接入危险。或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接,这也会使网络安全失控。

  2、客户端连接不当

  一些部署在工作区域周围的无线路由器可能没有做安全控制,企业内一些合法用户的无线网卡可能与这些外部无线路由器连接,一旦这个用户连接到外部无线路由器,企业的网络就处于风险之中。

  3、窃听

  一些黑客借助Wi-Fi分析器,会捕捉到所有的无线通信数据,如果信息没有保护,则可以阅读信号中传输的内容。如果黑客手段更高明一点,就可以伪装成合法用户,修改空中传输的网络数据等。

  4、拒绝服务攻击

  这种攻击方式,不以获取信息为目的,黑客只是想让用户无法访问网络服务而不断地发送信息,使合法用户的信息一直处于等待状态,无法正常工作。

  上面所述的安全问题的解决,其核心在于安全机制和安全协议如何制定。当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在,都不能有效解决这些问题。导致根据协议开发出来的所有产品,虽然来自不同的厂家,但均面临着随时被破解的危险。

  四、无线局域网安全性

  1、Wi-Fi初期安全技术WEP

  Wi-Fi安全技术最初通过有线对等保密协议WEP(Wired Equivalent Privacy)来实现鉴别与数据加密,此类安全协议非常脆弱,可轻易从互联网上下载到破解软件,在几秒内破解。目前处于正在被淘汰的过程中。

  2、Wi-Fi当前安全技术WPA/WPA2

  为了使Wi-Fi技术从WEP可以被轻易破解这种被动局面中解脱出来,IEEE重新建立的工作组,开发了新的安全标准IEEE802.11i,标准中除了保留有原来的WEP之外,新添加了WPA/WPA2这2种技术。

  不幸的是,由于WPA/WPA2依然采用不安全的设计理念,WPA技术在颁布之后就轻易又遭到破解,而当前针对WPA2的破解也已经从理论破解分析发展到了破解工具开发的阶段,在不久的将来,就会面对WEP和WPA被轻易破解的相同局面。

  3、中国无线局域网安全标准WAPI

  无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication and Privacy Infrastructure)是中国唯一的无线局域网技术标准。WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。

  WAPI由无线局域网鉴别基础结构(WAI, WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。

  WAPI整个系统由站点STA、接入点AP和认证服务单元ASU组成。其中,ASU用于帮助STA和AP完成身份鉴别等;STA与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当STA登录到无线接入点AP时,在使用或访问网络之前必须通过ASU进行身份验证。根据验证的结果,只有持有合法证书的站点STA才能接入持有合法证书的无线接入点AP。这样,不仅可以防止非法STA接入AP而访问并占用网络资源,而且还可以防止STA登录到非法AP而造成信息泄露。

  五、WAPI技术介绍

  1、系统组成

  在一个典型的WAPI系统中,WAPI用户STA通过WAPI无线路由器AP接入互联网。如图3所示。首先,STA与AP进行网络发现协商并开启WAPI功能,STA和AP启动身份鉴别过程,利用AS完成双向身份鉴别。当身份鉴别通过后,STA和AP进行密钥管理,协商用于保护通信数据的密钥,并利用协商出来的密钥加密通信数据。

  2、WAPI 网络发现

  在一个采用了WAPI安全的无线局域网中,当STA需要访问该无线局域网时,通过被动侦听AP的信标(Beacon)帧或主动发送探询帧(主动探询过程如图4所示)以识别AP所采用的安全策略。

  (1)若AP采用WAPI证书鉴别方式,AP将发送鉴别激活分组启动证书鉴别过程,当证书鉴别过程成功结束后,AP和STA再进行单播密钥协商和组播密钥通告。

  (2)若AP采用WAPI预共享密钥鉴别方式,AP将与STA直接进行单播密钥协商和组播密钥通告。

  3、WAPI 的身份鉴别

  WAPI 支持2种身份鉴别方式:证书鉴别方式和预共享密钥鉴别方式。

  (1)证书鉴别方式

  数字证书是一种经公钥基础设施(PKI, Public Key Infrastructure)证书授权中心签名的、包含公开密钥及用户相关信息的文件,是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书,通过ASU 对用户证书进行验证,可以唯一确定WAPI 用户的身份及其合法性。

  证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书,然后通过ASU对双方的身份进行鉴别,根据双方产生的临时公钥和临时私钥生成基密钥,并为随后的单播密钥协商和组播密钥通告做好准备。

  (2)预共享密钥鉴别方式

  预共享密钥鉴别是基于STA和AP双方的密钥所进行的鉴别。鉴别前STA和AP必须预先配置有相同的密钥,即预共享密钥。鉴别时直接将预共享密钥转换为基密钥,然后进行单播密钥协商和组播密钥通告。

  4、WAPI 的密钥管理

  STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护;AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护,而STA 则采用AP通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。首先要进行单播密钥的协商

  当单播密钥协商完成后,再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告

  5、WAPI 的通信数据加密

  WAPI对通信数据进行加、解密处理。WAPI密码套件中首选采用的分组密码算法为SM4,该算法的分组长度为128bit,密钥长度为128bit。完整性校验算法工作在CBC-MAC模式,数据保密采用的对称加密算法工作在OFB模式。

  六、无线局域网(WAPI)安全配置实例

  下面给出一个实例说明如何进行无线局域网安全配置。基本步骤如下。

  (1)本配置实例中使用的是IWN A2410(WLR4038)无线路由器。

  (2)本配置实例通过在无线路由器侧启用WAPI-Cert或者WAPI-PSK安全模式来达到对客户端数据进行保护的目的。

  (3)主要配置内容如图8所示,包括:添加无线网络名称(SSID)、设定射频发射功率、无线工作模式、信道、SSID名称、该SSID绑定的网络接口(建议绑定到LAN口)、选择接入网络的安全类型(WAPI-Cert或WAPI-PSK)、密钥更新、MAC地址过滤、WMM选定等设备和接口配置。以上内容可实现开机“一键配置”。

  无线局域网安全(二)

  在互联网迅猛发展的今天,我们每个人都在有意识和无意识的留下很多的数字足迹,如何保护个体的信息隐私安全成为了每个人都关心的事情。

  在使用专利数据库检索和分析时,有不少客户会问:我的检索分析记录会被搜集到吗?专利数据库面向的客户大部分是企业,企业对知识产权和商业信息的保密性就会更加敏感。Patentics非常理解客户的担心,也深知专利数据商有责任有义务给用户提供安全、高效、成本低的解决方案。

  为此,Patentics推出了一套完整的解决方案,可以提供从检索、分析到工作成果分享的全流程、360度无死角的安全保证。这套解决方案包括:无痕检索、局域网专题库和本地化语义系统。本周先主要介绍下局域网专题库这个功能。

  出于安全性的考量,有不少大型企业为了搭建专利数据库斥资几十万甚至更多来购置服务器,几十万甚至百万来购买数据,还要分配专门的人力来做运维。对于一家大型企业来说,也许是可以负担的,但对于占绝大多数的中小企业来说是可望而不可及的。

  Patentics局域网专题库就可以很好的解决这个问题,而这就必须要用一种特别的产品架构—C/S架构(Client/Server,即客户端/服务器端架构)。

  C/S 一般面向相对固定的用户群, 对信息安全的控制能力很强. 一般高度机密的信息系统采用C/S 结构适宜。B/S 建立在广域网之上, 对安全的控制能力相对弱, 面向是不可知的用户群。

  目前市面上的专利数据库基本都是B/S架构(Browser/Server,即浏览器/服务器架构)。Patentics是一家既拥有浏览器B/S架构网页版和C/S架构客户端产品的数据商,而且客户端账号既可以登陆网页版,也可以登录客户端。

  客户端就好比数据加工车间或者数据加工的万能车床。c/s架构的好处在于可以高度自由地处理数据,只要有专利就可以一层层的挖掘下去,而浏览器架构可挖的层数就相对有限,不同数据集之间也难以进行运算和关联处理。客户端可以实现从专利检索、搜索可视化、导入、无限嵌套分析、智能技术分组、批量/协同/智能标引、本地库自动生成、专利地图、批量专利攻防分析、竞争点位组、专利价值谱图等等全自动化一气呵成。

  更重要的是,由于客户端是将检索数据先下载到本地再进行相应的分析,整个分析过程都是在本地进行,分析结果也保存在本地,即使被他人盗取了账号密码,由于云端不保存分析项目,也无法获取您的分析情报,无需担心线上分析情报泄露的问题。配合无痕检索和局域网专题库的使用,可从检索、分析、结果保存到情报共享做到全流程全方位的保密环境。

  以下是新版客户端中分析保密性项目的典型流程,首先开启无痕检索检索出样本数据,导入客户端在本地加工分析整理成包含可视化图表和技术标引信息的专利情报,将数据可视化图图表和专利列表生成私享的本地库(参看:https://mp.weixin.qq.com/s/95AAyvlDpf-4w0yedJ_vHQ),或直接通过局域网专题库这一功能,将工作成果发布在企业局域网,企业的相关人员通过一个本机IP地址开头的链接就可以访问到上述工作成果。

  局域网专题库是将使用者自己的电脑变成了一台局域网本地服务器,通过Patentics客户端这一数据加工工厂,可不限量随意加工生成属于自己的局域网专题库。

  无线局域网安全(三)

  二层交换是一个局域网的技术,我们通过二层交换机,可以组建校园网、办公网等小型的网络,如果一个交换机的接口数量不够,或者各个办公室之间距离稍有点远,可以采用交换机级联的方式组网,交换机下面再下挂交换机。

  网络的大小是相对的,如果一个公司的主机的数量有上百台,虽然和广域网比很少,但也是一个不小的公司了,采用二层组网的话,二层交换有一个无法回避的广播域的问题,这几百台的电脑广播起来也是很烦的。

  如果一个公司有技术部、市场部、财务部、后勤部等各个部门,这些部门的主机主要还是和本部门的主机互相打交道比较多,跨部门的业务很少,我们可以采用一种技术,将一个局域网的广播域的范围再进一步划小一点,这就是VLAN。

  VLAN(Virtual Local Area Network,虚拟局域网),VLAN是一种将局域网从逻辑上划分成一个个更小的局域网,VLAN之间在二层上是隔离的,从而实现虚拟工作组的数据交换技术。

  从物理上来说,所有的主机下挂在一个交换机下,逻辑上通过VLAN划分,相当于将一个交换机分成若干个逻辑上独立的交换机,各个部门的主机之间隔离开,不会收到其他VLAN的广播,耳根就清净了不少。

  跨交换机划分VLAN也是一样,交换机1和交换机2在两个办公楼里,从逻辑上划分了VLAN之后,位于两个楼里的同一部门的人组成了VLAN。

  VLAN划分方式有多种,可以根据物理端口、MAC地址、IP地址划分,如果是基于端口的,只要接在指定端口之下的主机就固定属于某个VLAN;而基于地址的划分,只要地址不变,将主机换个地方,通过另外一个端口接入交换机,交换机还是认识它是属于哪个部门的。

  VLAN是靠在二层帧格式中间加了一个VLAN标签(802.1Q),比如市场部VLAN标签是1,技术部VLAN标签是2,交换机可以识别这个标签,哪个VLAN发来的数据帧,交换机只向本VLAN的端口进行广播。

  VLAN标签中包含4部分。

  1.Type:类型,固定是0x8100(0x表示后面的数字是十六进制数,每位也就相当于二进制的4bit),以太网帧有可能是含有或不含VLAN标签的,接收方读到这个8100的时候就知道这是一个带VLAN标签的802.1Q数据帧。

  2.PRI:Priority优先级,3bit也就是8个优先级,0~7值越大代表业务的级别越高。如果交换机的端口速率有限,无法按时发送每个VLAN的数据时,就按照这个优先级排个队,先将级别高的数据帧转发。

  关于优先级这里多介绍一下,后面很多的帧格式里都会包含优先级的字段,优先级可以用来区分不同的端口、业务、用户等,就像我们去消费时VIP永远会得到更优质体贴的服务,对于网络来说就是VIP能够优先获得网络资源,通过优先转发保证网络对高等级业务的服务质量。每个帧结构里的优先级的表示都是在对应的层次有效的,交换机认识VLAN标签里这个PRI,而到了路由器查看IP地址,就要通过IP地址里的DSCP去判断优先级,就像我们可以用工牌在本公司内通行无阻,但是到了其他公司就要使用人家的来宾证。

  3.CFI:Canonical Format Indicator,标准格式指示位,CFI为0时表示规范格式,为1时表示非规范格式,以太网帧CFI为0。

  4.VID:VLAN ID,12bit,也就是一共4096个ID号可用,用来区分不同的VLAN。

  VLAN标签是可以嵌套的,也就是可以在以太网帧中插入两层VLAN标签,也就是QinQ技术,可以支持4096×4096个不同VLAN。

  VLAN将一个局域网划分为若干个虚拟局域网,VLAN之间无法再通过二层交换的方式通信了,可是不同部门之间还是要偶尔发送个邮件,那就只能通过更高的层面——三层路由去互通。

63698