用戶(hù)名: 密碼: 驗(yàn)證碼:

WIFI無(wú)線網(wǎng)絡(luò)技術(shù)及安全性研究

摘要:WIFI是IEEE定義的一個(gè)無(wú)線網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)(IEEE 802.11)。也可以看作是3G技術(shù)的一種補(bǔ)充。WIFI技術(shù)與藍(lán)牙技術(shù)一樣,同屬于在辦公室和家庭中使用的無(wú)線局域網(wǎng)通信技術(shù)。
       隨著互聯(lián)網(wǎng)的迅速發(fā)展及普及,特別是各種便攜式通信設(shè)備以及各種家用電器設(shè)備的迅速增加,人們?cè)跓o(wú)線通信領(lǐng)域?qū)Χ叹嚯x通信業(yè)務(wù)提出了更高的要求。于是,許多短距離無(wú)線通信技術(shù)開(kāi)始應(yīng)運(yùn)而生,以802.11b協(xié)議為基礎(chǔ)的的WIFI技術(shù)便是其中的熱點(diǎn)。被認(rèn)為是無(wú)線寬帶發(fā)展的新方向。

        WIFI是IEEE定義的一個(gè)無(wú)線網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)(IEEE 802.11)。也可以看作是3G技術(shù)的一種補(bǔ)充。WIFI技術(shù)與藍(lán)牙技術(shù)一樣,同屬于在辦公室和家庭中使用的無(wú)線局域網(wǎng)通信技術(shù)。WIFI是一種短程無(wú)線傳輸技術(shù),能夠在數(shù)百英尺范圍內(nèi)支持互聯(lián)網(wǎng)接入無(wú)線電信號(hào)。它的最大優(yōu)點(diǎn)是傳輸速度較高,在信號(hào)較弱或有干擾的情況下,帶寬可調(diào)整,有效地保障了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。但是隨著無(wú)線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,其安全問(wèn)題也越來(lái)越受到重視。

1 WIFI技術(shù)簡(jiǎn)介

1.1 WIFI技術(shù)

        WIFI(WireleSS Fidelity)俗稱(chēng)無(wú)線寬帶,又叫802.11b標(biāo)準(zhǔn),是IEEE定義的一個(gè)無(wú)線網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)。IEEE802.11b標(biāo)準(zhǔn)是在IEE E802.11的基礎(chǔ)上發(fā)展起來(lái)的,工作在2.4 Hz頻段,最高傳輸率能夠達(dá)到11 Mbps。該技術(shù)是一種可以將個(gè)人電腦,手持設(shè)備等終端以無(wú)線方式互相連接的一種技術(shù)。目的是改善基于IEEE802.1標(biāo)準(zhǔn)的無(wú)限網(wǎng)絡(luò)產(chǎn)品之間的互通性。

       WIFI局域網(wǎng)本質(zhì)的特點(diǎn)是不再使用通信電纜將計(jì)算機(jī)與網(wǎng)絡(luò)連接起來(lái),而是通過(guò)無(wú)線的方式連接,從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。

1.2 WIFI技術(shù)的特點(diǎn)

      1)無(wú)線電波覆蓋范圍廣

       基于藍(lán)牙技術(shù)的電波覆蓋范圍非常小,半徑大約只有15 m,而Wi—Fi的半徑可達(dá)300 m,適合辦公室及單位樓層內(nèi)部使用。

       2)組網(wǎng)簡(jiǎn)便

       無(wú)線局域網(wǎng)的組建在硬件設(shè)備上的要求與有線相比,更加簡(jiǎn)潔方便,而且目前支持無(wú)線局域網(wǎng)的設(shè)備已經(jīng)在市場(chǎng)上得到了廣泛的普及,不同品牌的接入點(diǎn)AP以及客戶(hù)網(wǎng)絡(luò)接口之間在基本的服務(wù)層面上都是可以實(shí)現(xiàn)互操作的。WIAN的規(guī)劃可以隨著用戶(hù)的增加而逐步擴(kuò)展,在初期根據(jù)用戶(hù)的需要布置少量的點(diǎn)。當(dāng)用戶(hù)數(shù)量增加時(shí),只需再增加幾個(gè)AP設(shè)備,而不需要重新布線。而全球統(tǒng)一的WIFI標(biāo)準(zhǔn)使其與蜂窩載波技術(shù)不同,同一個(gè)WIFI用戶(hù)可以在世界各個(gè)國(guó)家使用無(wú)線局域網(wǎng)服務(wù)。

        3)業(yè)務(wù)可集成性

        由于WIFI技術(shù)在結(jié)構(gòu)上與以太網(wǎng)完全一致,所以能夠?qū)LAN集成到已有的寬帶網(wǎng)絡(luò)中,也能將已有的寬帶業(yè)務(wù)應(yīng)用到WLAN中。這樣,就可以利用已有的寬帶有線接入資源,迅速地部署WIAN網(wǎng)絡(luò),形成無(wú)縫覆蓋。

        4)完全開(kāi)放的頻率使用段

        無(wú)線局域網(wǎng)使用的ISM是全球開(kāi)放的頻率使用段,使得用戶(hù)端無(wú)需任何許可就可以自由使用該頻段上的服務(wù)。

1.2 WIFI總體拓?fù)浣Y(jié)構(gòu)

        WIFI網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。由AP和無(wú)線網(wǎng)卡組成。AP一般稱(chēng)為網(wǎng)絡(luò)橋接器或接入點(diǎn),它是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無(wú)線局域網(wǎng)絡(luò)之間的橋梁,因此任何一臺(tái)裝有無(wú)線網(wǎng)卡的PC均可透過(guò)AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源,其工作原理相當(dāng)于一個(gè)內(nèi)置無(wú)線發(fā)射器的HUB或者是路由,而無(wú)線網(wǎng)卡則是負(fù)責(zé)接收由AP所發(fā)射信號(hào)的CLJENT端設(shè)備。

2 WIFI的安全機(jī)制

        WIFI安全性主要包括訪問(wèn)控制和加密兩大部分,訪問(wèn)控制保證只有授權(quán)用戶(hù)能訪問(wèn)敏感數(shù)據(jù),加密保證只有正確的接收方才能理解數(shù)據(jù)。為了解決WIFI網(wǎng)絡(luò)的安全問(wèn)題,2003年WIFI聯(lián)盟推出了WIFI保護(hù)接入(Wi—Fi Protected Access,WPA)作為安全解決方案以滿(mǎn)足日益增長(zhǎng)的安全機(jī)制的市場(chǎng)需求。

2.1 WPA技術(shù)

        WPA是無(wú)線應(yīng)用協(xié)議(Wireless Application Protocol)的簡(jiǎn)稱(chēng),是一種開(kāi)放式的全球規(guī)范。有WPA和WPA2兩個(gè)標(biāo)準(zhǔn),是一種保護(hù)無(wú)線電腦網(wǎng)絡(luò)(Wi—Fi)安全的系統(tǒng)。WPA作為IEEE802.11i的一個(gè)子集,避開(kāi)了WEP的眾多弱點(diǎn),可大大增強(qiáng)現(xiàn)有以及未來(lái)無(wú)線局域網(wǎng)系統(tǒng)數(shù)據(jù)保護(hù)的訪問(wèn)控制水平。WPA可保證WIAN用戶(hù)的數(shù)據(jù)受到保護(hù),并且只有授權(quán)用戶(hù)才可訪問(wèn)WLAN網(wǎng)絡(luò)

2.2 WIFI網(wǎng)絡(luò)安全策略

2.2.1加密方式

       1)TKIP加密模式

        WIFI無(wú)線網(wǎng)絡(luò)目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。TKIP的含義為暫時(shí)密鑰集成協(xié)議。TKIP使用的仍然是RC4算法,但在原有的WEP密碼認(rèn)證引擎中添加了“信息包單加密功能”、“信息監(jiān)測(cè)”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。

        TKIP是包裹在已有WEP密碼外圍的一層“外殼”,這種加密方式在盡可能使用WEP算法的同時(shí)消除了已知的WEP缺點(diǎn)。專(zhuān)門(mén)用于糾正WEP安全漏洞,實(shí)現(xiàn)無(wú)線傳輸數(shù)據(jù)的加密和完整性保護(hù)。但是相比WEP加密機(jī)制,TKIP加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)。主要體現(xiàn)在以下幾點(diǎn):

        ①靜態(tài)WEP的密鑰為手工配置,且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一把密鑰。而TKIP的密鑰為動(dòng)態(tài)協(xié)商生成,每個(gè)傳輸?shù)臄?shù)據(jù)包都有一個(gè)與眾不同的密鑰。

        ②TKIP將密鑰的長(zhǎng)度由WEP的40位加長(zhǎng)到128位,初始化向量IV的長(zhǎng)度由24位加長(zhǎng)到48位,提高了WEP加密的安全性。

        ③TKIP支持MIC認(rèn)證(Message Integrity Cheek,信息完整性校驗(yàn))和防止重放攻擊功能。

2)AES加密模式

       WPA2放棄了RC4加密算法,使用AES算法進(jìn)行加密,是比TKIP更加高級(jí)的加密技術(shù)。AES是一個(gè)迭代的、對(duì)稱(chēng)密鑰分組的密碼,它可以使用128、192和256位密鑰,并且用128位(16字節(jié))分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對(duì)不同,對(duì)稱(chēng)密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過(guò)分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個(gè)循環(huán)結(jié)構(gòu),在該循環(huán)中重復(fù)置換(permutations)和替換(substitutions)輸入數(shù)據(jù)。

2.2.2 認(rèn)證方式

         WPA給用戶(hù)提供了一個(gè)完整的認(rèn)證機(jī)制,AP根據(jù)用戶(hù)的認(rèn)證結(jié)果決定是否允許其介入無(wú)線網(wǎng)絡(luò)中;認(rèn)證成功后可以根據(jù)多種方式動(dòng)態(tài)地改變每個(gè)接入用戶(hù)的加密密鑰。對(duì)用戶(hù)在無(wú)線中傳輸?shù)臄?shù)據(jù)報(bào)進(jìn)行MIC編碼,確保用戶(hù)數(shù)據(jù)不會(huì)被其他用戶(hù)更改。WPA有2種認(rèn)證模式:1)是使用802.1x協(xié)議進(jìn)行認(rèn)證,即就是802.1x+=EPA方式(工業(yè)級(jí)的,安全要求高的地方用。需要認(rèn)證服務(wù)器);2)是預(yù)先共享密鑰PSK模式(家庭用的,用在安全要求低的地方。不需要服務(wù)器)。AP和客戶(hù)端分享密鑰的過(guò)程叫做4次握手,過(guò)程如圖2所示。

      1)客戶(hù)端SrrA與無(wú)線接入點(diǎn)AP關(guān)聯(lián);

      2)STA需要向AP發(fā)送認(rèn)證消息,在被授權(quán)以前,即使STA與AP始終關(guān)聯(lián),TSA也不能夠訪問(wèn)網(wǎng)絡(luò),只能繼續(xù)向AP發(fā)送認(rèn)證消息,經(jīng)由遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)AP將認(rèn)證消息發(fā)送給后端服務(wù)器來(lái)認(rèn)證;

     3)客戶(hù)端STA利用EAP協(xié)議,通過(guò)AP的非受控端口向認(rèn)證服務(wù)器提交身份憑證,認(rèn)證服務(wù)器負(fù)責(zé)對(duì)STA進(jìn)行身份驗(yàn)證;

      4)如果STA未通過(guò)認(rèn)證,客戶(hù)端一直被阻止訪問(wèn)網(wǎng)絡(luò);如果認(rèn)證成功,則認(rèn)證服務(wù)器通知AP向該STA打開(kāi)受控端口;

      5)身份認(rèn)證服務(wù)器利用TKIP協(xié)議自動(dòng)將主配對(duì)密鑰分發(fā)給AP和客戶(hù)端STA,主配對(duì)密鑰基于每用戶(hù)、每個(gè)802.1x的認(rèn)證進(jìn)程是惟一的;

       6)STA與AP再利用主配對(duì)密鑰動(dòng)態(tài)生成基于每數(shù)據(jù)包惟一的數(shù)據(jù)加密密鑰;

       7)利用該密鑰對(duì)STA與AP之間的數(shù)據(jù)流進(jìn)行加密。

       這樣就好象在兩者之間建立了一條加密隧道,保證了空中數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

2.3 存在問(wèn)題

        WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式,但由于TKIP與AES子算法自身的問(wèn)題。使得WPA也將面臨著被徹底破解的威脅。

        用戶(hù)在使用無(wú)線網(wǎng)絡(luò)時(shí)應(yīng)該注意以下幾點(diǎn)

        1)對(duì)于自己搭建無(wú)線網(wǎng)絡(luò)的用戶(hù),至少要進(jìn)行一些最基本的安全配置,如隱藏SSID,關(guān)閉DHCP,設(shè)置WEP密鑰,啟用內(nèi)部隔離等。

        2)如果安全要求再高一些,還可以啟用非法AP監(jiān)測(cè),配置MAC過(guò)濾,啟用WPA/WPA2,建立802.1x端口認(rèn)證。

        3)如果有更高的安全需求,那么可以選擇的安全手段就更多,比如,使用定向天線,調(diào)整發(fā)射功率,把信號(hào)可能收斂在信任的范圍之內(nèi);還可以將無(wú)線局域網(wǎng)視為Internet一樣來(lái)防御,甚至在接口處部署入侵檢測(cè)系統(tǒng)。

       4)如果您是企業(yè)用戶(hù),千萬(wàn)不要忘記建立完善的安全管理制度并分發(fā)至員工。當(dāng)您需要在熱點(diǎn)區(qū)域使用無(wú)線網(wǎng)絡(luò)時(shí),您需要能夠您所在網(wǎng)絡(luò)的安全程度,如果認(rèn)定網(wǎng)絡(luò)不夠安全,那么請(qǐng)盡量不要在此網(wǎng)絡(luò)中提交或透露敏感信息,并盡量縮短在線的時(shí)間。

3 結(jié)論

       隨著無(wú)線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,安全問(wèn)題越來(lái)越受到重視。WIFI技術(shù)作為WLAN技術(shù)家族中的重要成員,近年來(lái)發(fā)展迅速,已經(jīng)應(yīng)用到生活的各個(gè)方面。文中較詳細(xì)地分析了WIFI網(wǎng)絡(luò)的技術(shù)特點(diǎn),對(duì)WIFI網(wǎng)絡(luò)的安全性做了一定程度的探討,給出了相應(yīng)的結(jié)論。只有加強(qiáng)人為安全方面的控制技術(shù)的改進(jìn),才可更好加強(qiáng)WIFI安全性。 

內(nèi)容來(lái)自:21cn
本文地址:http://m.3xchallenge.com//Site/CN/News/2012/10/25/20121025032049103409.htm 轉(zhuǎn)載請(qǐng)保留文章出處
關(guān)鍵字: WIFI 無(wú)線網(wǎng)絡(luò)
文章標(biāo)題:WIFI無(wú)線網(wǎng)絡(luò)技術(shù)及安全性研究
【加入收藏夾】  【推薦給好友】 
免責(zé)聲明:凡本網(wǎng)注明“訊石光通訊咨詢(xún)網(wǎng)”的所有作品,版權(quán)均屬于光通訊咨詢(xún)網(wǎng),未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。 已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
※我們誠(chéng)邀媒體同行合作! 聯(lián)系方式:訊石光通訊咨詢(xún)網(wǎng)新聞中心 電話:0755-82960080-188   debison