电子商务与信息安全

无线网络安全————————————————————————————————————————————————摘要：随着无线网络应用的日益普及,它的安全问题也越来越突出,这给无线网络的研究又提出了新的课题。本文从分析无线网络的结构着手,从无线网络的特点出发，主要讨论了无线网络存在的非授权访问、信息易被窃、被篡、被干扰等安全隐患,以及针对这些威胁从技术到人员等方面提出了10种解决方案,可以有效地提高无线网络的安全性。关键词：无线网络;网络安全;安全隐患;加密技术;解决方案———————————————————————————————————————————————0引言无线网络的应用扩展了用户的自由度,还具有安装时间短;增加用户或更改网络结构方便、灵活、经济;可以提供无线覆盖范围内的全功能漫游服务等优势。然而,无线网络技术为人们带来极大方便的同时,安全问题己经成为阻碍无线网络技术应用普及的一个主要障碍。1无线网络的结构无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成,采用单元结构,将整个系统分成多个单元,每个单元称为一个基本服务组(BSS),BSS组成有以下三种方式:无中心的分布对等方式、有中心的集中控制方式以及这两种方式的混合方式。在分布对等方式下,无线网络中的任意两站之间可以直接通信,无需设置中心转接站。这时,MAC控制功能由各站分布管理。在集中控制方式情况下,无线网络中设置一个中心控制站,主要完成MAC控制以及信道的分配等功能。网内的其他各站在该中心的协调下与其他各站通信。第三种方式是前两种方式的组合,即分布式与集中式的混合方式。在这种方式下,网络中的任意两站均可以直接通信,而中心控制站完成部分无线信道资源的控制。2无线网络的安全隐患由于无线网络通过无线电波在空中传输数据,在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面,由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性,使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境,例如:防火墙对通过无线电波进行的网络通讯起不了作用,任何人在区域范围之内都可以截获和插入数据。计算量大的加密ö解密算法不适宜用于移动设备等。因此,需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。与有线网络相比,无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;外部人员可以通过无线网络绕过防火墙,对专用网络进行非授权访问;无线网络传输的信息容易被窃取、篡改和插入;无线网络容易受到拒绝服务攻击(DoS)和干扰;内部员工可以设置无线网卡以端对端模式与外部员工直接连接。此外,无线网络的安全技术相对比较新,安全产品还比较少。以无线局域网(WLAN)为例,移动节点、AP等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊性,使得一些攻击更容易实施,对无线网络安全技术的研究比有线网络的限制更多,难度更大。无线网络在信息安全方面有着与有线网络不同的特点,具体表现在以下几个方面:①无线网络的开放性使得其更容易受到恶意攻击。无线链路使得网络更容易受到从被动窃听中国传媒大学本科课程论文2到主动干扰的各种攻击。有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理接入网络或经过几道防线,如防火墙和网关,才能进入有线网络。这样通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界,攻击者可能来自四面八方和任意节点,每个节点必须面对攻击者的直接或间接的攻击。无线网络的这种开放性带来了非法信息截取、未授权信息服务等一系列的信息安全问题。②无线网络的移动性使得安全管理难度更大。有线网络的用户终端与接入设备之间通过线缆连接着,终端不能在大范围内移动,对用户的管理比较容易。而无线网络终端不仅可以在较大范围内移动,而且还可以跨区域漫游,这意味着移动节点没有足够的物理防护,从而易被窃听、破坏和劫持。攻击者可能在任何位置通过移动设备实施攻击,而在全球范围内跟踪一个特定的移动节点是很难做到的;另一方面,通过网络内部已经被入侵的节点实施攻击而造成的破坏更大,更难检测到。因此,对无线网络移动终端的管理要困难得多,无线网络的移动性带来了新的安全管理问题,移动节点及其体系结构的安全性更加脆弱。③无线网络动态变化的拓扑结构使得安全方案的实施难度更大。有线网络具有固定的拓扑结构,安全技术和方案容易实现。而在无线网络环境中,动态的、变化的拓扑结构,缺乏集中管理机制,使得安全技术更加复杂。另一方面,无线网络环境中作出的许多决策是分散的,而许多网络算法必须依赖所有节点的共同参与和协作。缺乏集中管理机制意味着攻击者可能利用这一弱点实施新的攻击来破坏协作算法。④无线网络传输信号的不稳定性带来无线通信网络的鲁棒性问题:有线网络的传输环境是确定的,信号质量稳定,而无线网络随着用户的移动其信道特性是变化的,会受到干扰、衰落、多径、多普勒频谱等多方面的影响,造成信号质量波动较大,甚至无法进行通信。因此,无线网络传输信道的不稳定性带来了无线通信网络的鲁棒性问题。此外,移动计算引入了新的计算和通信行为,这些行为在固定或有线网络中很少出现。例如,移动用户通信能力不足,其原因是链路速度慢、带宽有限、成本较高、电池能量有限等,而无连接操作和依靠地址运行的情况只出现在移动无线环境中。因此,有线网络中的安全措施不能对付基于这些新的应用而产生的攻击。无线网络的脆弱性是由于其媒体的开放性、终端的移动性、动态变化的网络拓扑结构、协作算法、缺乏集中监视和管理点以及没有明确的防线造成的。因此,在无线网络环境中,在设计实现一个完善的无线网络系统时,除了考虑在无线传输信道上提供完善的移动环境下的多业务服务平台外,还必须考虑其安全方案的设计,这包括用户接入控制设计、用户身份认证方案设计、用户证书管理系统的设计、密钥协商及密钥管理方案的设计等等。3无线网络安全解决方案基于以上无线网络存在的诸多的安全隐患,那么如何采取恰当的方法进行防范,使无线网络的安全隐患消灭在萌芽状态,尽量使无线网络的受破坏的程度减少到最低,以保证无线网络应用的范围普及,下面介绍几种对无线网络安全技术实现的措施。3.1MAC过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。MAC过滤技术就如同给系统的前门再加一把锁,设置的障碍越多,越会使黑客知难而退,不得不转而寻求其他低安全性的网络。这个方案比较麻烦,而且不能支持大量的移动客户端,并且要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。3.2避免物理访问由于无线网络节点是有线信号和无线信号的转换“枢纽”,无线网络节点中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全,为此将无线网络节点摆放在一个合适的位置是非常有必要的。在放置天线之前,最好先弄清楚无线网络节中国传媒大学本科课程论文3点的通信信号覆盖范围为多大,然后依据范围大小,将天线放置到其他用户无法“触及”的位置处。一种极端的手段是通过房屋的电磁屏蔽防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。用户也可以在AP上使用定向天线,限制信号的方向。保护您所在的大楼或建筑物免受电子干扰。这些方法可以保护您的无线网络和其他电子设备,但是通常需要与实际的风险进行权衡。3.3修改SSIDSSID(ServiceSetIdentifier,服务标识符)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有SSID的值相同的电脑才能互相通信。通俗地说,SSID便是用户给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,笔者建议最好将SSID命名为一些较有个性的名字。无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。3.4WEP(WiredEquivalentPrivacy,有线等效加密)这是IEEE802.11标准最初使用的安全协议。其认证机制是对客户机硬件进行单向认证,采用开放式系统认证与共享式密钥认证算法,认证简单,易于伪造。遗憾的是目前IEEE802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。为了安全地配置WEP,可以采用以下几个方法:使用可用的最高安全性如果您的设备支持128位WEP,那么就请使用128位。破解128位WEP密钥是极其困难的。如果您无法动态地更改WEP密钥,那么就设置128位策略,然后定期地更改密钥。更改周期取决于无线网络流量的繁忙程度。使用动态WEP密钥如果您使用802.1x,那么应该尽可能使用动态WEP密钥。一些无线网络设备供应商也实现了他们自己类似于动态WEP密钥的解决方案。在部署之前,请对这些解决方案进行评估。注意:使用动态WEP密钥能够提供更高层次的安全性,并能解决部分已知的WEP漏洞。但是要使用动态WEP,您必须购买能够提供动态WEP的访问点,并使用支持动态WEP的客户端。幸运的是,WindowsXP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。在适当情况下使用MIC目前,IEEE正在着手开发802.11i,修复WEP中的问题,并实现用于数据保密性和完整性的消息完整性校验和(MIC)。MIC将生成加密数据的校验和,用于确保数据的完整性。但是,到目前为止,还没有任何产品支持这个功能。不要完全依靠WEP,使用IPSec,VPN,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。3.5WPA(Wi2FiProtectedAccess,Wi2Fi保护访问)IEEE于2002年推出了对WEP改进的方案———WPA,增强了802.11的安全性,作为过渡标准,在802.11i生效后将自动废止。从2003年2月Wi2Fi联盟开始WPA认证,经过6个月的认证过渡阶段,已于8月开始强制执行WPA标准。WPA是基于目前Wi2Fi标准中WEP安全标准的RC4算法,有先天的缺陷。其区别是在通信的过程中不断地变更WEP密钥,变换的频度以假设目前的计算技术无法将WEP密钥破解为依据。但是对称加密的不足在于AP和工作站使用相同密钥,包括变更密钥在内的信息会在相同的简单加密数据包中传输,黑客只要监听到足够的数据包,借助更强大的计算设备,同样可以破解网络,最近暴露出严重的安全缺陷。3.6VPN如果每一项安全措施都是阻挡黑客进入网络前门的门锁,如SSID的变化、MAC地址的过滤功能和动态改变的WEP密钥,那么,虚拟网(VPN)则是保护网络后门安全的关键。VPN具有比WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接。VPN是指在一中国传媒大学本科课程论文4个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,他不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同