无线网络安全问题的研究

设计方案工作流程
整个身份认证系统由用户MT、接入点AP 和认证服务器组成：其中，认证服务器的主 要功能是负责证书的发放、验证与吊销等； 用户与AP上都安装有认证服务器发放的数字 证书（证书包含AS的公钥以及证书持有者的 身份和公钥）作为自己的数字身份凭证。当 用户登录至无线接入点AP时，在使用或访问 网络之前必须通过AS进行双向身份验证。根 据验证的结果，只有持有合法证书的用户才 能接入持有合法证书的无线接入点AP。具体 的认证过程如图4.3所示，具体为：
• 2，每个站点需有一定的计算能力，不方便，并 且操作的同步不易实现。此外，临时密钥生期的 确定应结合实际情况还确定，因为即使是一个局 域网，其网络通讯量随时间变化而不同，过分频 繁的更换临时密钥会造成浪费。
本方案不足之处
• 3，在方案中用到了公钥基础设PKI，目前看起 来是不太现实的。但是，建立PKI体系，将不 仅用于保障无线网络连接的安全，还可用于保 障电子商务、电子政务的安全。如何建立这样 的PKI己经超越了建立无线网络安全的体系范 围，是一个更重大的问题，有待于开展进一步 和研究。但从目前来看，采用公钥体制的认证 机制的安他性是最好的。因为这种认证机制的 安全性基本取决于公钥体制算法的安全性，从 密码学角度来看，破解公钥算法基本上是不可 行的。
7，认证服务器收到后，用自己的私钥解密， 并用用户的公钥解签名。用户和认证 服务器 用随机数RB、RC和RD为种子产生会话密钥。然 后认证服务器产生临时密钥，用自己的私钥签名， 并用AP的公钥加密，发送给AP。
8，AP接收到以后，先用自己的私钥解密，再 用认证服务器的公钥解签名，得到临时密钥，并 作出回应。
设计方案工作流程
1，当用户MT登录到接入点AP时，AP向用户 发送随机数RA。
2，用户收到RA后生成随机数RB，向AP发 送请求帧，其中包括用户的数字证书及RA、 RB，数字证书中有用户的身份信息和公钥， RA由用户私钥签名。
3，接入点AP接收到用户的请求后验证随机 数RA，AP阴塞所有其它请求直到认证完成， 验证RA成功后，AP向认证服务器发送自己的 数字证书、用户的数字证书和RB，并使用自 己的私钥进行签名。
企业无线网络所面临的安全威胁
（5）服务和性能的限制： 无线局域网的传输带宽是有限的，由于物理
层的开销，使无线局域网的实际最高有效吞吐量 仅为标准的一半，并且该带宽是被AP所有用户 共享的。无线带宽可以被几种方式吞噬：来自有 线网络远远超过无线网络带宽的网络流量，如果 攻击者从快速以太网发送大量的Ping流量，就会 轻易地吞噬 AP有限的带宽;如果发送广播流量， 就会同时阻塞多个AP;攻击者可以在同无线网络 相同的无线信道内发送信号，这样被攻击的网络 就会通过CSMA/CA机制进行自动适应，同样影 响无线网络的传输;另外，传输较大的数据文件或 者复杂的client/server系统都会产生很大的网络 流量。
无线网络安全问题总结
4、MCA地址欺骗
即使AP起用了MAC地址过滤，使 未授权的黑客的无线网卡不能连接AP， 这并不意味着能阻止黑客进行无线信
号侦听。通过某些软件分析截获的数 据，能够获得AP允许通信的STA MAC地址，这样黑客就能利用MAC地 址伪装等手段入侵网络了。
无线网络安全问题总结
5、地址欺骗 与会话拦截
无线网络工作原理
无线局域网,是通过发射和接收装置(无线设备 ) 连接上交换机,工作站就通过无线网卡和无线设 备进行通信,无线设备接收到信号就传送给交换机 再用交换机连接到路由器,路由器接入INTERNET, 实现上网. 一、扩展频谱方式 二、窄带调制方式
无线网络的特点
• 无线网络的出现，许多有线网络解决不了的问题 迎刃而解。可以在不像传统网络布线的同时,提供 有线网络的所有功能,并能够随着用户的需要随意 的更改扩展网络,实现移动应用。无线网络具有传 统有线网络无法比拟的优点:
5，AP收到验证成功帧后先用自己的私钥解密， 然后用认证服务器的公钥解签名，并将认证服务 器的数字证书和RC先用自己的私钥签名，再用 用户的公钥加密后发给用户。
设计方案工作流程
6，用户收到此回应后首先用自己的私钥解密，然 后用认证服务器的公钥解签名，并对认证服务器 的身份进行验证。验证成功后向认证服务器发送 随机数RD，用自己的私钥签名，并用认证服务器 公钥加密。
谢谢各位答辩老师
• 灵活性，不受线缆的限制，可以随意增加和配置 工作站。
• 低成本，无线网络不需要大量的工程布线，同时 节省了线路维护的费用。
• 移动性，不受时间、空间的限制，随时随地可以 上网。
• 易安装，和有线相比，无线网络的组建、 配置、维护都更容易。
• 更加的美观，传统的有线网络很多情况下 都影响到了家庭的美观，而无线网络则没 有这个问题。
常用无线网络安全技术
• 一、服务集标识符（SSID） • 二、物理地址过滤（MAC） • 三、连线对等保密（WEP） • 四、Wi-Fi保护接入（WPA） • 五、国家标准(WAPI) • 六、端口访问控制技术（802.1x）
基于PKI系统的双向身份认证安全方案
公钥基础设施PKI是以公开密钥技术为基础，以 数据的机密性、完整性和不可抵赖性为安全目 的而构建的认证、授权、加密等硬件、软件的 综合设施。在网络通信中，最需要的安全保证 包括四个方面：身份认证、数据保密、数据完 整性和不可否认性。PKI可以完全提供以上四个 方面的保障。目前，PKI在信息安全领域日益受 到得视，符合X.509标准的数字证书在网络中得 到越来越多的应用。在此，我们提出了一个比 较具体的基于PKI的无线局域网认证和密钥分发 的主案，在本方案中使用的数字证书机制进行 身份认证，要求认证者和申请者都支持数字证 书技术。
无线网络安全问题总结
2、中间人欺骗
在没有足够的安全防范措施的情况 下，是很容易受到利用非法AP进行的 中间人欺骗攻击。解决这种攻击的通 常做法是采用双向认证方法（即网络 认证用户，同时用户也认证网络）和 基于应用层的加密认证（如HTTPS＋ WEB）。
无线网络安全问题总结
3、WEP破解
现在互联网上存在一些程序，能 够捕捉位于AP信号覆盖区域内的数据 包，收集到足够的WEP弱密钥加密的 包，并进行分析以恢复WEP密钥。根 据监听无线通信的机器速度、WLAN 内发射信号的无线主机数量，以及由 于802.11帧冲突引起的IV重发数量， 最快可以在两个小时内攻破WEP密钥。
• 3，使用国际通行的分组密码算法，不使 用流密码算法，防止密钥流复用问题。
• 4，使用数字签名机制，提供了防止篡改 和不可否认性。
本方案不足之处
• 该方案存的不足 • 1，身份认证的性能优化，为了确保安全，身份
认证机制采用基于数字证书的双向身份认证机制 ，效率比效低，虽然用户认证的时间在认证中所 点的比率比效小，但还是会影响到用户的效率， 需要提高身份证证的效率。
了更好的安全性保障，方案具备以下特点 ： • 1，提供用户与认证服务器的双向认证， 防止攻击者利用WEP的单向认证机制进行 假冒攻击和接放中间人攻击。
本方案的优点
• 2实现了认证密钥与加密密钥的分离，会话 密钥在认证中动态生成，临时密钥的及时 更新，增强了密钥的安全性，防止密钥长 期不变带来的安全隐患。
• 但是，一切事物有利亦有弊。无线网络也 同时有着许多的缺陷：
• （1）无线网络的速度并不是非常的稳定， 和有线相比，还有着很大的差距。
• （2）安全性也是一个很大的问题，无线网 络是通过特定的无线电波传送所
无线网络安全问题总结
1、网络窃听
一般说来，大多数网络通信都是以明文 （非加密）格式出现的，这就会使处于无线 信号覆盖范围之内的攻击者可以乘机监视并 破解（读取）通信。这类攻击是企业管理员 面临的最大安全问题。如果没有基于加密的 强有力的安全服务，数据就很容易在空气中 传输时被他人读取并利用。
设计方案工作流程
（3）修改MAC地址让过滤功能形同虚设： 虽然无线网络应用方面提供了诸如MAC地
址过滤的功能，很多用户也确实使用该功能保 护无线网络安全，但是由于MAC地址是可以随 意修改的，通过注册表或网卡属性都可以伪造 MAC地址信息。所以当通过无线数据sniffer工 具查找到有访问权限MAC地址通讯信息后，就 可以将非法入侵主机的MAC地址进行伪造，从 而让MAC地址过滤功能形同虚设。
Байду номын сангаас
设计方案工作流程
4，认证服务器接收到AP的请求后，首先使用 AP的公钥对AP的数字证书解签名，然后对AP的 身份进行验证。若认证服务器AP为合法的AP， 则再对用户的数字证书RB解签名，然后验明用 户的身份。在AP和用户的身份都认证成功后， 认证服务器向AP发送验证成功帧，其中有认证 服务器的数字证书和随机数RC，认证服务器先 用自己的私钥签名再使用AP的公钥加密，从而 使AP与认证服务器建立信任关系。
本课题研究意义
近年来，计算机及通信科学发展突飞猛进，随着有线 网络的快速发展和普及，无线网络也在一定程度上得到了 发展，其在技术上变得的越来越成熟，越来越便捷，在信 息化变革中扮演了相当重要的角色，同时在国防中也得到 了应用。尤其 以无线局域网（wlan）为代表的无线网络 技术得到了高速发展和应用。无线网络作为有线网络的补 充和延伸，其安全问题不仅影响到用户的自身，而且也随 之影 响到与之相联的有线网络用户。因此怎样有效而又 安全地使用无线网络又将成为人们关注的又一热点问题， 无线网络的安全问题必须引起足够重视。这也是本课题究 研的出发点所在
无线网络安全技术 的研究
欢迎你
CONTENTS
无线网络的发展历史 本课题研究目的 无线网络的原理 无线网络的特点 无线网络安全问题总结 常见的无线网络安全技术 基于PKI系统的双向身分认证安全方案 本方案的工作流程 本方案的优点及不足
无线网络的发展历史
无线局域网的历史及发展无线局域网的历史起源可 以追溯到半个多世纪前的第二次世界大战期间，当时美 国陆军采用无线电信号用作资料传输.他们研发出一套无 线电传输技术.并且采用了相当高强度的加密技术，美军 和盟军都广泛使用这项技术。1971年，夏威夷大学的研 究人员从美军在二战时期应用的这项技术中得到灵感， 创造了第一个基于封包式技术的无线电通讯网络。这个 被称作ALOHNET的网络.包括7台计算机，它们采用双 向星型拓扑，网络横跨四座夏威夷的岛屿，中心计算机 放置在瓦胡岛上。它可以称作无线局域网的鼻祖。
由于802.11无线局域网对数据帧 不进行认证操作，攻击者可以通过欺 骗帧去重定向数据流和使ARP表变得 混乱，通过非常简单的方法，攻击者 可以轻易获得网络中站点的MAC地址， 这些地址可以被用来恶意攻击时使用。
6、高级监听
无线网络安全问题总结
一旦攻击者进入无线网络，它将成为 进一步入侵其他系统的起点。很多网络都有 一套经过精心设置的安全设备作为网络的外 壳，以防止非法攻击，但是在外壳保护的网 络内部确是非常的脆弱容易受到攻击的。无 线网络可以通过简单配置就可快速地接入网 络主干，但这样会使网络暴露在攻击者面前。 即使有一定边界安全设备的网络，同样也会 使网络暴露出来从而遭到攻击。
设计方案工作流程
9，认证服务器将临时密钥用 自己的私钥签名，并用会话密钥加 密发送给用户。
10，用户收到以后，用会密钥 解密，用认证服务器的公钥解签名， 得到临时密钥，用户与AP都得到 了临时密钥，双方使用临时密钥加 密算法进行保密通信。
无线网络安全解决方法
一、本方案优点 • 该主案与WEP机制的安全性相比，提供