1、学习任务学习任务物联网信息传输物联网信息传输 无线网络的结构无线网络的结构 无线网络的安全隐患无线网络的安全隐患 Click to add title in here 123本章主要涉及:本章主要涉及:4无线应用协议(无线应用协议(WAPWAP)应用安全)应用安全 学习任务学习任务无线网络的安全措施无线网络的安全措施 无线局域网安全技术无线局域网安全技术 蓝牙技术安全机制蓝牙技术安全机制 5678超宽带物联网信息安全策略超宽带物联网信息安全策略 物联网终端安全物联网终端安全 96.1 物联网信息传输物联网信息传输物联网信息传输安全主要涉及物联网网络层安全物联网信息传输安全主要涉及物联网网络层安
2、全,而物联网网络层主要实现信息的传送和通信而物联网网络层主要实现信息的传送和通信,它包它包括接入层和核心层。括接入层和核心层。网络层既可依托公众电信网和互联网网络层既可依托公众电信网和互联网,也可以依托也可以依托行业专业通信网络行业专业通信网络,还可同时依托公众网和专用网还可同时依托公众网和专用网,如接入层依托公众网如接入层依托公众网,核心层则依托专用网核心层则依托专用网,或接入或接入层依托专用网层依托专用网,核心层依托公众网。核心层依托公众网。6.1 物联网信息传输物联网信息传输 物联网网络层的安全主要分为两类物联网网络层的安全主要分为两类:一是来自于物联网本身一是来自于物联网本身(主要包括
3、网络的开放性主要包括网络的开放性架构、系统的接入和互联方式、以及各类功能繁架构、系统的接入和互联方式、以及各类功能繁多的网络设备和终端设备的能力等多的网络设备和终端设备的能力等)安全隐患安全隐患;二是源于构建和实现物联网网络层功能的相关技二是源于构建和实现物联网网络层功能的相关技术术(如云计算、网络存储、异构网络技术等如云计算、网络存储、异构网络技术等)的安的安全弱点和协议缺陷。全弱点和协议缺陷。6.1 物联网信息传输物联网信息传输目前所涉及的网络包括无线通信网络目前所涉及的网络包括无线通信网络WLAN、WPAN、移动通信网络和下一代网络等。、移动通信网络和下一代网络等。网络层主要存在的问题是
4、业务流量模型、空中接网络层主要存在的问题是业务流量模型、空中接口和网络架构安全问题。口和网络架构安全问题。以下主要阐述无线网络的连接方式和出现的各种以下主要阐述无线网络的连接方式和出现的各种安全措施。安全措施。6.1 物联网信息传输物联网信息传输6.1.1 无线和有线的区别无线和有线的区别 在有线网络中网络的媒介是私有的,你不需要当在有线网络中网络的媒介是私有的,你不需要当心有谁连接到网络上,因为在设想中未经过授权心有谁连接到网络上,因为在设想中未经过授权的使用者是不能够得到能够连接到网络上的插座的使用者是不能够得到能够连接到网络上的插座的。的。你也不用确定信息是否机密的,因为信息是在私你也不
5、用确定信息是否机密的,因为信息是在私有的电缆中传送的,未经过授权的使用者是不可有的电缆中传送的,未经过授权的使用者是不可能轻易接近的。能轻易接近的。6.1 物联网信息传输物联网信息传输在无线网络中网络的媒介是公有的,无论谁只要在无线网络中网络的媒介是公有的,无论谁只要有适当的设备在接收区域内就能够连接到网络上。有适当的设备在接收区域内就能够连接到网络上。网络的信息也必须被做成机密的,因为未经过授网络的信息也必须被做成机密的,因为未经过授权的使用者在接收的物理区域内也是可以得到信权的使用者在接收的物理区域内也是可以得到信息的。息的。6.1 物联网信息传输物联网信息传输无线网络的安全性也是无线网络
6、的安全性也是最令人担忧的,经常成最令人担忧的,经常成为入侵者的攻击目标。为入侵者的攻击目标。如如右右图图即为未经过授权即为未经过授权的使用者从无线网络中的使用者从无线网络中非法收取信息。非法收取信息。未经过授权的使用者收取信息未经过授权的使用者收取信息 6.1 物联网信息传输物联网信息传输6.1.2 安全连接的组成安全连接的组成 无线网络的安全连接由以下几部分组成:无线网络的安全连接由以下几部分组成:1.鉴权鉴权:在数据信息被允许传送以前,无线网络的节点必在数据信息被允许传送以前,无线网络的节点必须被识别和(依靠鉴权的方法)必须提交能够被须被识别和(依靠鉴权的方法)必须提交能够被认为有效的信任
7、书认为有效的信任书2.加密加密:在发送无线网络的数据包以前,无线网络的节点在发送无线网络的数据包以前,无线网络的节点必须对数据进行加密以确保数据的机密性。必须对数据进行加密以确保数据的机密性。6.1 物联网信息传输物联网信息传输3.数据的完整性数据的完整性:在发送数据包以前,无线网络的节点必须确保数在发送数据包以前,无线网络的节点必须确保数据包中包含有有用的信息,这样数据的接收者才据包中包含有有用的信息,这样数据的接收者才能保证数据在传送过程中没有被改动过。能保证数据在传送过程中没有被改动过。6.1 物联网信息传输物联网信息传输6.1.3 设备局限性设备局限性 WLAN技术出现之后,技术出现之
8、后,“安全安全”就成为始终伴随在就成为始终伴随在“无线无线”这个词身边的影子,针对无线网络技术中这个词身边的影子,针对无线网络技术中涉及的安全认证加密协议的攻击与破解就层出不穷。涉及的安全认证加密协议的攻击与破解就层出不穷。对于对于104位位WEP仅需捕获仅需捕获40000个数据包,破解个数据包,破解WEP的成功率就可达的成功率就可达 50%,而若是有而若是有85000个数据个数据包,成功率就可达到包,成功率就可达到95%。就算是就算是256bit的的WEP加密也只需要加密也只需要30万包数据,万包数据,体现了设备和安全算法的局限性。体现了设备和安全算法的局限性。6.2 无线网络的结构无线网络
9、的结构无线局域网由无线网卡、无线接入点无线局域网由无线网卡、无线接入点(AP)、计算机、计算机和有关设备组成和有关设备组成,采用单元结构采用单元结构,将整个系统分成多将整个系统分成多个单元个单元,每个单元称为一个基本服务组每个单元称为一个基本服务组(BSS),BSS的组成有以下三种方式的组成有以下三种方式:无中心的分布对等方无中心的分布对等方式、有中心的集中控制方式以及这两种方式的混合式、有中心的集中控制方式以及这两种方式的混合方式。方式。6.2 无线网络的结构无线网络的结构在分布对等方式下在分布对等方式下,无线网络中的任意两站之间无线网络中的任意两站之间可以直接通信可以直接通信,无需设置中心
10、转接站。这时无需设置中心转接站。这时,MAC控制功能由各站分布管理。控制功能由各站分布管理。在集中控制方式情况下在集中控制方式情况下,无线网络中设置一个中无线网络中设置一个中心控制站心控制站,主要完成主要完成MAC控制以及信道的分配等控制以及信道的分配等功能。网内的其他各站在该中心的协调下与其他功能。网内的其他各站在该中心的协调下与其他各站通信。各站通信。6.2 无线网络的结构无线网络的结构第三种方式是前两种方式的组合第三种方式是前两种方式的组合,即分布式与集即分布式与集中式的混合方式。在这种方式下中式的混合方式。在这种方式下,网络中的任意两网络中的任意两站均可以直接通信站均可以直接通信,而中
11、心控制站完成部分无线而中心控制站完成部分无线信道资源的控制。信道资源的控制。6.3 无线网络的安全隐患无线网络的安全隐患 无线通信网络中的不安全因素主要有以下几无线通信网络中的不安全因素主要有以下几个方面:个方面:1.无线窃听无线窃听 在无线通信网络中,所有网络通信内容(如移动在无线通信网络中,所有网络通信内容(如移动用户的通话信息、身份信息、位置信息、数据信用户的通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间信令信息等)息以及移动站与网络控制中心之间信令信息等)都是通过无线信道传送的。都是通过无线信道传送的。而无线信道是一个开放性信道,任何具有适当无而无线信道是一个开放性
12、信道,任何具有适当无线设备的人均可以通过窃听无线信道而获得上述线设备的人均可以通过窃听无线信道而获得上述信息。信息。6.3 无线网络的安全隐患无线网络的安全隐患无线窃听可以导致信息泄露。移动用户的身份信无线窃听可以导致信息泄露。移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟息和位置信息的泄露可以导致移动用户被无线跟踪。踪。无线窃听除了可以导致信息泄露外,还可以导致无线窃听除了可以导致信息泄露外,还可以导致其他一些攻击,如传输流分析,即攻击者可能并其他一些攻击,如传输流分析,即攻击者可能并不知道真正的消息,但他知道这个消息确实存在,不知道真正的消息,但他知道这个消息确实存在,并知道这
13、个消息的发送方和接收方地址,从而可并知道这个消息的发送方和接收方地址,从而可以根据消息传输流的这些信息分析通信目的,并以根据消息传输流的这些信息分析通信目的,并可以猜测通信内容。可以猜测通信内容。6.3 无线网络的安全隐患无线网络的安全隐患2.假冒攻击假冒攻击 在无线通信网络中,移动站(包括移动用户和移动在无线通信网络中,移动站(包括移动用户和移动终端)与网络控制中心以及其他移动站之间不存在终端)与网络控制中心以及其他移动站之间不存在任何固定的物理连接(如网络电缆),移动站必须任何固定的物理连接(如网络电缆),移动站必须通过无线信道传送其身份信息,以便于网络控制中通过无线信道传送其身份信息,以
14、便于网络控制中心以及其他移动站能够正确鉴别它的身份。心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户的身份入网,利用这个身份信息来假冒该合法用户的身份入网,这就是所谓的身份假冒攻击。这就是所谓的身份假冒攻击。6.3 无线网络的安全隐患无线网络的安全隐患3.信息篡改信息篡改 所谓信息篡改是指主动攻击者将窃听到的信息所谓信息篡改是指主动攻击者将窃听到的信息进行修改(如删除或替代部分或全部信息)之后再进行
15、修改(如删除或替代部分或全部信息)之后再将信息传给原本的接收者。这种攻击的目的有两种:将信息传给原本的接收者。这种攻击的目的有两种:(1)攻击者恶意破坏合法用户的通信内容,阻止)攻击者恶意破坏合法用户的通信内容,阻止合法用户建立通信连接;合法用户建立通信连接;(2)攻击者将修改的消息传给接收者,企图欺骗)攻击者将修改的消息传给接收者,企图欺骗接收者相信该修改的消息是由一个合法用户传给的。接收者相信该修改的消息是由一个合法用户传给的。6.3 无线网络的安全隐患无线网络的安全隐患4.服务后抵赖服务后抵赖 所谓服务后抵赖是指交易双方中的一方在交所谓服务后抵赖是指交易双方中的一方在交易完成后否认其参与
16、了此交易。易完成后否认其参与了此交易。例如电子商务应用中就存在着两种服务后抵例如电子商务应用中就存在着两种服务后抵赖的威胁:赖的威胁:(1)客户在选购了商品后否认他选择了某些或)客户在选购了商品后否认他选择了某些或全部商品而拒绝付费;全部商品而拒绝付费;(2)商店收到了客户的货款却否认已收到货款)商店收到了客户的货款却否认已收到货款而拒绝交付商品。而拒绝交付商品。6.3 无线网络的安全隐患无线网络的安全隐患5.重传攻击重传攻击 所谓重传攻击是指主动攻击者将窃听到的有效信所谓重传攻击是指主动攻击者将窃听到的有效信息经过一段时间后再传给信息的接收者。息经过一段时间后再传给信息的接收者。攻击者的目的
17、是企图利用曾经有效的信息在改变攻击者的目的是企图利用曾经有效的信息在改变了的情形下达到同样的目的,例如攻击者利用截了的情形下达到同样的目的,例如攻击者利用截获到的合法用户口令来获得网络控制中心的授权,获到的合法用户口令来获得网络控制中心的授权,从而访问网络资源。从而访问网络资源。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.1 WAP协议协议 WAP(Wireless Application Protocol)无线)无线应用协议是一个开放式标准协议,利用它可以把应用协议是一个开放式标准协议,利用它可以把网络上的信息传送到移动电话或其他无线通讯终网络上的信息传送到移动电话
18、或其他无线通讯终端上。端上。WAP是由爱立信、诺基亚、摩托罗拉等通信业是由爱立信、诺基亚、摩托罗拉等通信业巨头在巨头在1997年成立的无线应用协议论坛(年成立的无线应用协议论坛(WAP Forum)中所制定的。可以把网络上的信息传送)中所制定的。可以把网络上的信息传送到移动电话或其它无线通讯终端上。到移动电话或其它无线通讯终端上。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全 WAP协议包括以下几层:协议包括以下几层:Wireless Application Environment(WAE)Wireless Session Layer(WSL)Wireless Transpor
19、t Layer Security(WTLS)Wireless Transport Layer(WTP)6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全 WAP可提供的服务主要涉及几方面:可提供的服务主要涉及几方面:信息类:基于短信平台上的信息点播服务信息类:基于短信平台上的信息点播服务,如新如新闻闻,、天气预报、折扣消息等信息。、天气预报、折扣消息等信息。通信类:利用电信运营商的短信平台为用户提供通信类:利用电信运营商的短信平台为用户提供的诸如的诸如E-MAIL 通知、通知、E-MAIL 等通信服务。等通信服务。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全商务类
20、:移动电子商务服务商务类:移动电子商务服务,包括在线的交易、包括在线的交易、购物支付等应用。购物支付等应用。娱乐类:包括各种游戏、图片及音乐铃声下载等。娱乐类:包括各种游戏、图片及音乐铃声下载等。特殊服务类:如广告、位置服务等。可以把商家特殊服务类:如广告、位置服务等。可以把商家的广告信息定向发送到用户的手机里。的广告信息定向发送到用户的手机里。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.2 WAP应用面临的安全威胁应用面临的安全威胁 在在WAP应用中受到的安全威胁来源与有线环应用中受到的安全威胁来源与有线环境相似,主要来源于如下几个方面境相似,主要来源于如下几个方面
21、:假冒,攻击者装扮成另一合法用户非法访问受假冒,攻击者装扮成另一合法用户非法访问受害者的资源以获取某种利益或达到破坏的目的。害者的资源以获取某种利益或达到破坏的目的。窃听,攻击者通过对传输媒介的监听非法获取窃听,攻击者通过对传输媒介的监听非法获取传输的信息,是对通信网络最常见的攻击方法,传输的信息,是对通信网络最常见的攻击方法,这种威胁完全来源于无线链路的开放性。这种威胁完全来源于无线链路的开放性。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全 非授权访问,攻击者违反安全策略,利用安全非授权访问,攻击者违反安全策略,利用安全系统的缺陷非法占有系统资源或访问本应受保护系统的缺陷非
22、法占有系统资源或访问本应受保护的信息。的信息。信息否认,交易的一方对交易过程中的信息信息否认,交易的一方对交易过程中的信息(如电子合同、账单)抵赖否认。造成安全威胁(如电子合同、账单)抵赖否认。造成安全威胁的不仅仅是第三方攻击者,交易的参与方也同样的不仅仅是第三方攻击者,交易的参与方也同样可能参与安全攻击。可能参与安全攻击。WAP应用模型本身存在的安全漏洞带来的安应用模型本身存在的安全漏洞带来的安全问题全问题 6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.3 WAP的安全体系构架的安全体系构架1.WAP的安全构架模型的安全构架模型 WAP安全构架由:安全构架由:WTLS
23、(Wireless Transport Layer Security)WIM(Wireless Identity Module)WPKI(WAP Public Key Infrastructure)WML Script(Wireless Markup Language Script)四部分组成。)四部分组成。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全 WAP的安全构架模型的安全构架模型 6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全2.WTLS分析分析 WAP体系构架中保障通信安全的一个重要层次体系构架中保障通信安全的一个重要层次就是就是WTLS。WTLS工
24、作在传输层之上,在针对窄带通信信道工作在传输层之上,在针对窄带通信信道进行了优化后,为两个通信实体提供机密性、数进行了优化后,为两个通信实体提供机密性、数据完整性和通信双方的身份认证。据完整性和通信双方的身份认证。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全WTLS的主要安全目标:的主要安全目标:数据完整性数据完整性 保密性保密性 身份认证身份认证 不可否认性不可否认性 6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.4 WAP应用模型存在的安全漏洞应用模型存在的安全漏洞1.WAP应用模型应用模型 WAP系统包括系统包括WAP无线用户、无线用户、WAP网
25、关、网关、WAP内容服务器。内容服务器。其中其中WAP网关起着协议的翻译和转换作用,是联网关起着协议的翻译和转换作用,是联系无线通信网络与万维网的桥梁。网关与服务器系无线通信网络与万维网的桥梁。网关与服务器之间通过之间通过HTTP进行通信,进行通信,WAP内容服务器存储内容服务器存储着大量的信息,供着大量的信息,供WAP无线用户访问、查询、浏无线用户访问、查询、浏览。览。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全WAP应用模型应用模型 6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全2.安全漏洞分析安全漏洞分析 在传输层的安全保障上,在传输层的安全保障上,WT
26、LS和和TSL协议起到了协议起到了非常关键的作用。非常关键的作用。WTLS和和TLS其本身的安全性也其本身的安全性也是很高的。是很高的。但是由于但是由于WTLS与与TLS之间的不兼容,两者之间需之间的不兼容,两者之间需要要WAP网关的转换,网关的转换,WML与与HTML之间也需要之间也需要WAP网关进行转换。网关进行转换。无线用户与内容服务器之间是通过无线用户与内容服务器之间是通过WAP网关建立网关建立的间接的安全连接,该连接并不是点到点安全的,的间接的安全连接,该连接并不是点到点安全的,这样就带来一个被称为这样就带来一个被称为“安全缺口(安全缺口(Security Gap)”的安全漏洞。的安
27、全漏洞。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.5 端到端的安全模型端到端的安全模型 已经提出的已经提出的“端到端端到端”的安全模型主要有下述几种。的安全模型主要有下述几种。1.专用专用WAP网关网关 内容服务器的安全网络内配置自己的专用内容服务器的安全网络内配置自己的专用WAP网关,网关,无线用户通常直接连接到一个缺省的无线用户通常直接连接到一个缺省的WAP Proxy网网关,关,Proxy网关将连接请求转向专用的网关将连接请求转向专用的WAP网关,网关,与专用与专用WAP网关建立网关建立WTLS连接,这样即使在连接,这样即使在WAP网关内敏感信息以明文的形式暂
28、时存在,那也是在网关内敏感信息以明文的形式暂时存在,那也是在内容服务器的安全网络内部,保证了端到端的安全。内容服务器的安全网络内部,保证了端到端的安全。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全2.WAP隧道技术隧道技术 数据传输前,在无线用户终端上对数据包进行数据传输前,在无线用户终端上对数据包进行WTLS加密,当加密数据包从无线用户传输到加密,当加密数据包从无线用户传输到WAP网关上时,不进行网关上时,不进行WTLS的解密,而是直接进行的解密,而是直接进行TLS加密,传输给加密,传输给WAP内容服务器。内容服务器。在内容服务器端进行在内容服务器端进行TLS和和WTLS的
29、两次解密后,的两次解密后,获得明文数据。获得明文数据。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全3.WAP2.0模型模型 采用完全的采用完全的WAP2.0协议,无线用户终端拥有协议,无线用户终端拥有HTTP或者简化的或者简化的HTTP功能,并提供功能,并提供TLS的安全的安全协议,这样无线终端和协议,这样无线终端和WAP内容服务器之间没有内容服务器之间没有协议转换的需求,就可以透明地穿过协议转换的需求,就可以透明地穿过WAP网关,网关,与内容服务器建立端到端的安全通信。与内容服务器建立端到端的安全通信。但是由于国内但是由于国内WAP2.0的应用环境还不成熟,还不的应用环境还
30、不成熟,还不是主流,没有很大的实用价值。是主流,没有很大的实用价值。6.4 无线应用协议(无线应用协议(WAP)应用安全)应用安全6.4.6 基于应用层的安全模型基于应用层的安全模型 如上所述,三种常用的安全模型都存在一些缺点,如上所述,三种常用的安全模型都存在一些缺点,要么建设成本太高,要么对现有协议的改动过多,要么建设成本太高,要么对现有协议的改动过多,或者兼容性太差。或者兼容性太差。在这里提出一个较易实现的安全模型,基于应用在这里提出一个较易实现的安全模型,基于应用层的端到端加密模型:在层的端到端加密模型:在WAP的应用层先对数据的应用层先对数据进行一次加密,再通过进行一次加密,再通过W
31、AP的安全传输层进行传的安全传输层进行传输,数据到达内容服务器后,应用层再对数据进输,数据到达内容服务器后,应用层再对数据进行解密得到明文。行解密得到明文。6.5 无线网络的安全措施无线网络的安全措施 下面介绍几种对无线网络安全技术实现的措施。下面介绍几种对无线网络安全技术实现的措施。1)、采用)、采用128位位WEP加密技术,并不使用产商自加密技术,并不使用产商自带的带的WEP密钥密钥 2)、)、MAC 地址过滤地址过滤 3)、禁用)、禁用SSID 广播广播 4)、采用端口访问技术()、采用端口访问技术(802.1x)进行控制,防)进行控制,防止非授权的非法接入和访问。止非授权的非法接入和访
32、问。5)、对于密度等级高的网络采用)、对于密度等级高的网络采用VPN进行连接。进行连接。6.5 无线网络的安全措施无线网络的安全措施 6)、对)、对AP和网卡设置复杂的和网卡设置复杂的SSID,并根据需求,并根据需求确定是否需要漫游来确定是否需要确定是否需要漫游来确定是否需要MAC绑定。绑定。7)、禁止)、禁止AP向外广播其向外广播其SSID。8)、修改缺省的)、修改缺省的AP密码,密码,Intel的的AP的默认密码的默认密码是是Intel。9)、布置)、布置AP的时候要在公司办公区域以外进行的时候要在公司办公区域以外进行检查,防止检查,防止AP的覆盖范围超出办公区域,同时要的覆盖范围超出办公
33、区域,同时要让保安人员在公司附近进行巡查,防止外部人员让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络。在公司附近接入网络。6.5 无线网络的安全措施无线网络的安全措施 10)、禁止员工私自安装、禁止员工私自安装AP。11)、如果网卡支持修改属性需要密码功能,要开、如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改。启该功能,防止网卡属性被修改。12)、配置设备检查非法进入公司的)、配置设备检查非法进入公司的2.4G电磁波电磁波发生器,防止被干扰和发生器,防止被干扰和DOS 13)、制定无线网络管理规定,规定员工不得把)、制定无线网络管理规定,规定员工不得把网络设置
34、信息告诉公司外部人员,禁止设置网络设置信息告诉公司外部人员,禁止设置P2P的的Ad hoc网络结构网络结构 14)、跟踪无线网络技术,对网络管理人员进行)、跟踪无线网络技术,对网络管理人员进行知识培训。知识培训。6.6 无线局域网安全技术无线局域网安全技术 6.6.1 无线局域网的开放性无线局域网的开放性 无线局域网的安全性值得我们去注意。无线局域网的安全性值得我们去注意。由于传送的数据是利用无线电波在空中辐射传播,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚数据可能到
35、达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,任何人至是发射机所在的大楼之外的接收设备,任何人都有条件窃听或干扰信息,数据安全就成为最重都有条件窃听或干扰信息,数据安全就成为最重要的问题。要的问题。6.6 无线局域网安全技术无线局域网安全技术 6.6.2 无线局域网所面临的危险无线局域网所面临的危险(1)容易侵入)容易侵入 无线局域网非常容易被发现,为了能够使用户发无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。信标帧,这样就给攻击者提供了必要的网络信
36、息。入侵者可以通过高灵敏度天线从公路边、楼宇中入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。物理方式的侵入。6.6 无线局域网安全技术无线局域网安全技术(2)非法的)非法的AP 无线局域网易于访问和配置简单的特性,使网络无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司不经过授权而连入网络。很多部门未通过公司IT中中心授权就自建无线局域
37、网,用户通过非法心授权就自建无线局域网,用户通过非法AP接入接入给网络带来很大安全隐患。给网络带来很大安全隐患。6.6 无线局域网安全技术无线局域网安全技术(3)经授权使用服务)经授权使用服务 一半以上的用户在使用一半以上的用户在使用AP时只是在其默认的配置时只是在其默认的配置基础上进行很少的修改。几乎所有的基础上进行很少的修改。几乎所有的AP都按照默都按照默认配置来开启认配置来开启WEP进行加密或者使用原厂提供的进行加密或者使用原厂提供的默认密钥。默认密钥。由于无线局域网的开放式访问方式,未经授权擅由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会自使用网络
38、资源不仅会增加带宽费用,更可能会导致法律纠纷。未经授权的用户没有遵守服务提导致法律纠纷。未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致供商提出的服务条款,可能会导致ISP中断服务。中断服务。6.6 无线局域网安全技术无线局域网安全技术(4)服务和性能的限制)服务和性能的限制 无线局域网的传输带宽是有限的,由于物理层的无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被标准的一半,并且该带宽是被AP所有用户共享的。所有用户共享的。无线带宽可以被几种方式吞噬:来自有线网络远无线带宽可以被
39、几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的快速以太网发送大量的Ping流量,就会轻易地吞流量,就会轻易地吞噬噬AP有限的带宽有限的带宽;6.6 无线局域网安全技术无线局域网安全技术(5)地址欺骗和会话拦截)地址欺骗和会话拦截 由于由于802.11无线局域网对数据帧不进行认证操作,无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重新定向数据流和使攻击者可以通过欺骗帧去重新定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的可以轻易获
40、得网络中站点的MAC地址,这些地址地址,这些地址可以被用来恶意攻击时使用。可以被用来恶意攻击时使用。6.6 无线局域网安全技术无线局域网安全技术(6)流量分析与流量侦听)流量分析与流量侦听 802.11无法防止攻击者采用被动方式监听网络流无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。地截获未进行加密的网络流量。目前,目前,WEP有漏洞可以被攻击者利用,它仅能保有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制护用户和网络通信的初始数据,并且管理和控制帧是不能被帧是不能被
41、WEP加密和认证的,这样就给攻击者加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。以欺骗帧中止网络通信提供了机会。6.6 无线局域网安全技术无线局域网安全技术(7)高级入侵)高级入侵 一旦攻击者进入无线网络,它将成为进一步入侵一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。其他系统的起点。很多网络都有一套经过精心设置的安全设备作为很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网
42、络无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前从而遭主干,但这样会使网络暴露在攻击者面前从而遭到攻击。到攻击。6.6 无线局域网安全技术无线局域网安全技术 6.6.3 无线局域网的安全技术无线局域网的安全技术 常见的无线网络安全技术:常见的无线网络安全技术:服务区标识符服务区标识符(SSID)匹配;匹配;无线网卡物理地址(无线网卡物理地址(MAC)过滤;)过滤;有线等效保密(有线等效保密(WEP););端口访问控制技术(端口访问控制技术(IEEE802.1x)和可扩展认)和可扩展认证协议(证协议(EAP););WPA(Wi-Fi 保护访问保护访问)技术;技术;
43、高级的无线局域网安全标准高级的无线局域网安全标准IEEE 802.11i;6.6 无线局域网安全技术无线局域网安全技术 为了有效保障无线局域网为了有效保障无线局域网(WLAN)的安全性,就必的安全性,就必须实现以下几个安全目标:须实现以下几个安全目标:提供接入控制:验证用户,授权他们接入特定提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入;的资源,同时拒绝为未经授权的用户提供接入;确保连接的保密与完好:利用强有力的加密和确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的
44、数据;改通过无线网络传输的数据;防止拒绝服务(防止拒绝服务(DoS)攻击)攻击:确保不会有用户:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。用户的正常接入。6.6 无线局域网安全技术无线局域网安全技术 1.SSID SSID(Service Set Identifier)将一个无线局域网分将一个无线局域网分为几个不同的子网络,每一个子网络都有其对应为几个不同的子网络,每一个子网络都有其对应的身份标识(的身份标识(SSID),只有无线终端设置了配对),只有无线终端设置了配对的的SSID才接入相应的子网络。才接入相应的子网络。所
45、以可以认为所以可以认为SSID是一个简单的口令,提供了口是一个简单的口令,提供了口令认证机制,实现了一定的安全性。令认证机制,实现了一定的安全性。6.6 无线局域网安全技术无线局域网安全技术 2.MAC地址过滤地址过滤 每个无线工作站网卡都由唯一的物理地址(每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地标识,该物理地址编码方式类似于以太网物理地址,是址,是48位。位。网络管理员可在无线局域网访问点网络管理员可在无线局域网访问点AP中手工维护中手工维护一组(不)允许通过一组(不)允许通过AP访问网络地址列表,以实访问网络地址列表,以实现基于物理地址的访问
46、过滤。现基于物理地址的访问过滤。6.6 无线局域网安全技术无线局域网安全技术 3.802.11 WEP IEEE80211.b标准规定了一种被称为有线等效保标准规定了一种被称为有线等效保密(密(WEP)的可选加密方案,其目的是为)的可选加密方案,其目的是为WLAN提供与有线网络相同级别的安全保护。提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全是采用静态的有线等同保密密钥的基本安全方式。静态方式。静态WEP密钥是一种在会话过程中不发生密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。变化也不针对各个用户而变化的密钥。6.6 无线局域网安全技术无线局域网
47、安全技术 4.802.1x/EAP用户认证用户认证 802.1x是针对以太网而提出的基于端口进行网络是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接基于端口的网络访问控制利用物理层特性对连接到到LAN端口的设备进行身份认证。端口的设备进行身份认证。如果认证失败,则禁止该设备访问如果认证失败,则禁止该设备访问LAN资源。资源。6.6 无线局域网安全技术无线局域网安全技术 802.1x草案为认证方定义了两种访问控制端口:草案为认证方定义了两种访问控制端口:即即“受控受控”端口和端口和“非受控非受控”端口。端口。“受控
48、端口受控端口”分配给那些已经成功通过认证的实体分配给那些已经成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的进行网络访问;而在认证尚未完成之前,所有的通信数据流从通信数据流从“非受控端口非受控端口”进出。进出。非受控端口非受控端口只允许通过只允许通过802.1X认证数据,一旦认证数据,一旦认证成功通过,请求方就可以通过认证成功通过,请求方就可以通过受控端口受控端口访访问问LAN资源和服务。资源和服务。6.6 无线局域网安全技术无线局域网安全技术 802.1x认证前后的逻辑示意图认证前后的逻辑示意图 6.6 无线局域网安全技术无线局域网安全技术 5.WPA(802.11i)(1)80
49、2.11i新一代新一代WLAN安全标准安全标准 IEEE 802.11i是新一代安全标准,这种安全标准是是新一代安全标准,这种安全标准是为了增强为了增强WLAN的数据加密和认证性能,定义了的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并)的概念,并且针对且针对WEP加密机制的各种缺陷做了多方面的改加密机制的各种缺陷做了多方面的改进。进。6.6 无线局域网安全技术无线局域网安全技术 IEEE 802.11i规定使用规定使用802.1x认证和密钥管理方认证和密钥管理方式,在数据加密方面,定义了:式,在数据加密方面,定义了:TKIP(Temporal K
50、ey Integrity Protocol)CCMP(Counter-Mode/CBC-MAC Protocol)WRAP(Wireless Robust Authenticated Protocol)三种加密机制。)三种加密机制。6.6 无线局域网安全技术无线局域网安全技术 其中其中TKIP采用采用WEP机制里的机制里的RC4作为核心加密算作为核心加密算法,可以通过在现有的设备上升级固件和驱动程法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高序的方法达到提高WLAN安全的目的。安全的目的。CCMP机制基于机制基于AES(Advanced Encryption Standard)加密