无线网络安全技术篇1
【关键词】无线网络安全技术应用
一、无线网络的特点
无线网络(wirelessnetwork)主要是将发射和接收装置与交换机相连接,形成一个通过无线设备进行信息传输的网络结构。无线设备接收到的信号可以直接传输给交换机,交换机和路由器相连并接入互联网,以确保无线终端的网络连接。无线网络技术具有可移动性、安装简单、灵活性高等特点。作为传统有线网络的发展和延伸,在现代社会的发展中有着非常广泛的应用。以下就对无线网技术的特点进行简要分析:
1、灵活性,无线网络不受空间上的限制,可以根据实际需要增加和配置工作站。2、成本低,无线网络技术省略了大量的布线工程,有效地节省了建设成本。3、移动性,没有时间、地域的影响,随时随地,轻松互联。4、易安装,在组建、配置以及维护方面要比传统有线网络更加便捷。
二、网线网络安全技术研究
在科学技术快速发展的大背景之下,无线网络技术的发展顺应时展的需求,同时也给现代人带来了诸多的便利,契合现代社会发展的要求。但是,发展的前提是安全问题,构建安全的网络安全技术体系,对于无线网络应用及发展尤为重要。
1、网络接入安全性。网络接入的安全性主要是用户端安全的接收业务信息,在此过程中用户可对接入点进行配置,要求用户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。
2、网络域的安全性。对于无线网络的网域安全的产生,主要在于用户操作的不规范性、随意性导致。在实际应用中,由于一些用户采用邻近的无线网络进行互联网的访问等操作。这样一来,不仅会对网络宽带进行大量的占用,出现网络卡顿;而且在此网络链接之下,应用网络进行相关软件等的下载,极易面临病毒等的攻击,这就给网络及用户信息安全带来较大的威胁。
3、应用域的安全性。该方面的安全性主要集中在用户域和提供者域中的信息交换过程中。攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令,通过这些口令可以获取用户会话和执行一些非授权的命令等。
三、网无线网络安全预防措施
对于无线网络的安全防范,是一项复杂而的工作,特别是上述安全问题的存在,强调新技术的有效应用。在笔者看来,我们可以基于公钥基础设施(pKi)的双向身份验证方案对无线网络进行安全防护。当前,pKi的安全性及稳定性有了较大提高,特别是公钥加密的方式为互联网平台提供一个安全的环境。在X.509标准中,pKi系统还被定义为支持认证、加密,提供完整性以及可追踪的基础设施。基于pKi系统的双向身份验证方案的工作原理如下图1所示:
从图1中可以看出,基于pKi系统的双向身份验证方案的工作原理主要是在发送和接收文件的过程中通过公钥加密体制,将文件进行加密和解密,其中加密密钥是公开的形式,而解密密钥则是保密的形式。发送者用接收方的公钥加密,而接收方则用属于自己的保密公钥进行解密。在设计基于pKi系统的双向身份验证方案过程中,我们需要情调的是对数字证书格式的选择,目前常用的数字证书格式是以X.509标准来定义的,X.509是itU-t设计的pKi标准,主要是用来解决X.500目录中有关于身份鉴别和访问控制问题而设计的,对于互联网的安全防护有着非常重要的作用。
综上所述,在多元化的社会环境之下,无线网络技术的应用也已经越来越广泛,在我们日常生活中的电脑、手机上网、视频电话、网络会议以及数字电视等都是通过无线网络来进行信号传输的,而且由于社会的发展人们对各种通信业务的需求量也在逐渐增加,信息传输的安全性就成为了人们关注的焦点问题。所以未来无线网络技术的发展,必须要给用户提供更多优质、安全的服务,同时这也是无线网络运营商的生存之道。
参考文献
[1]魏亮,魏薇.通信网络安全防护相关工作综述[J].电信网技术.2011(03)
无线网络安全技术篇2
关键词:无线传感器;网络安全;对策研究
中图分类号:tp212
无线传感器网络技术目前广泛的应用于人们生活和国家生活中,对人们的作用越来越显著。因此我们要加强对于无线传感器网络技术的保护,尤其要注重军事或者是科技的安全问题,避免消息泄露造成不必要的损失。但是无线传感器网络本身的一些特点就非常容易出现安全问题,再加上外来的一些挑战,对于我们保护网络安全技术的挑战性极大。因此加大对无线传感器网络安全技术的重视程度,实现无线传感器网络技术更好的作用于人们的生活。
1无线传感器网络安全的相关问题
所谓的无线传感器网络是指由部署在监测区内的大量廉价微型传感器的节点,通过无线通信方式形成的一个多跳自组织网络。其中由于其本身的特点,导致无线传感器网络出现种种安全问题:
1.1自组织性以及节点组织的随机性
无线传感器网络是由大批量的传感器所组成的网络体系,并没有系统规范化的制度保障,因此带有自发性,不能保障网络体系的稳定和安全。同时,节点的组织也带有随机性,它们之间的位置在布置之前不能确定,因此不能做好实现的保护工作。
1.2通信的不可靠性
无线网络通信的通道不稳定,并且多跳路由的较大延迟性都不能保证网络通信的安全性,有些重要的信息容易被拦截遭到泄露,网络通信不安全,不能保证信息安全的传输。
1.3能量的有限性
节点在被安排部署之后很难再进行更替,并且某些无线网络设备没电之后也不能进行有效的充电,而无线网络都是由高耗能的设备组成,不能保证无线网络长效的发挥作用,不利于网络通信的发展,我们应该非常重视对低耗能设备的设计改进。
1.4缺乏有效的安全机制
由于无线传感器网络在通信方面、组织方面以及节点能量方面存在着较大的局限性,因此全面成熟的系统化安全保护技术还不能得以应用。同时在设计过程中对于物理安全的保护不能有效地保证,很容易扩散安全隐患,造成整个网络系统易受攻击。
2破坏无线传感器安全性能的相关因素
目前在我国,对于无线传感器网络造成危险的因素主要包括防御手段和攻击方法,如图1:
本表主要讨论的是对无线传感器网路造成危险性较大的攻防手段,其中,攻击方法中的拥塞攻击以及碰撞攻击发挥着重要的作用。拥塞攻击是指破坏方在知道对方的网络通信的中心频率之后,通过这个频点附近发射无线电波进行干扰。对其的防御手段就是将网络节点统一转化为另外一个频率进行通信。而碰撞攻击是指破坏方在正常节点发包时同时附带发送另外一个数据包,使得被破坏方的数据信息因为数据的叠加而不能被分离出来,严重阻碍了正常的网络通信,破坏了人们的网络通信安全。防御方法是建立监听系统,利用纠错系统查找叠加的数据包并予以清除,保证数据的安全传输。另外还有泛洪攻击,主要是通过攻击别人的节点,以此造成对方节点的耗尽,阻断其他用户对该节点的合理利用和连接。对其的研究对策,我们通过设立客户端,采用客户端谜题技术,保障节点数据在有效的范围内传播使用,解决泛洪攻击带来的不必要的麻烦。
3无线传感器网络安全技术的对策研究
3.1密码技术
针对无线传感器网络技术的不安全性,我们可以通过设定密码,运用先进的密码技术来保障网络通信安全顺利的进行。通过加大密码的代码长度或者是数据长度,信息不易外泄,保障通信数据的安全。而其中,不对称密钥算法和对称密钥算法由于其保护力度较大并且密码设置的简便性等特点,在人们的日常生活中得以广泛利用。针对不同的通信设备我们应该采用不同的密码技术,例如在性能较差的节点通信设备上,miStY1技术具有较大的优越性,而在性能较好的通信设备上,aurat等技术算法优势较大。尽管公钥密码技术具有较强的安全性和节能性,但是由于价格较贵,因此在wCC中对于公匙密码技术的应用不是很广泛。
3.2安全数据融合
无线传感器网络就是一系列的数据所组成的,数据经过融合或者剔除之后,传送给使用者,因此在传输的过程中要格外重视对数据的安全融合。融合节点利用安全的节点进行数据的融合,并且将融合后的数据输送到供基站进行评价检测,有效的保障融合结果的真实性和安全性。因此说,数据安全融合不仅能够保障无线传感器网络的节能,还能保证数据的安全,实现输送过程的顺利完成。
3.3密钥管理技术
密钥管理主要处理的是密钥从生成到灭亡的整个生命周期中出现的各种问题,是整个加密系统中最薄弱的一个环节,非常容易引起信息的泄露。目前我国密钥管理技术主要针对的是对称密钥机制,主要包括概率性和确定性的分配模式以及预共享和非预共享的密钥模式。概率性的分配模式是如果密钥共享成功是根据一个可计算的概率提出来的分配模式,而确定性的分配模式是指两个需要交换的数据节点之间存在着一个共享的密钥,这是十分确定的。
3.4安全路由技术
路由技术的提出主要是为了节省无线传感网节点的能量,使网线传感网络系统最大化。但是由于其传播范围较广,因此在网络数据的传输过程中很容易遭到攻击,比如DD路由协议,通过泛洪攻击的方式恶意截获有关消息,并且利用在网络中寄发hello数据包的方式,阻碍信息的正常传输,导致网络不能正常的通信。通过提出由Snep和teSLa协议组成的SpinS协议,有效方式信息外漏,加强对攻击的防御能力,保证整个无线传感器网络体系的安全。
4结束语
无线传感器网络技术的先进性和便捷性使其在广泛的领域内得以迅速传播,因此对其的安全问题也需要格外的重视。针对破坏无线传感器网络的相关因素,通过制定相对应的防御对策保障网络的安全性能。同时通过密钥技术、安全路由技术、安全数据融合以及密码技术等专业手段,切实提高网络系统的安全性能。
参考文献:
[1]赵海霞.无线传感器网络安全路由研究[D].国防科学技术大学,2009.
[2]李燕.无线传感器网络安全通信协议研究与设计[D].大连理工大学,2009.
[3]何少芳.无线传感器网络安全研究[D].湖南师范大学,2011.
[4]吕昊.无线传感器网络的安全研究与协议实现[D].电子科技大学,2010.
[5]朱政坚.无线传感器网络安全关键技术研究[D].国防科学技术大学,2010.
无线网络安全技术篇3
关键词:中职无线网络;安全技术
近年来,随着中职学校的快速发展,信息化建设在不断推进,无线网络技术逐步在校园网络建设中被应用开来。无线网络覆盖体现了一个学校信息化建设的水平,它扩展了原来传统的有线网络,实现全校范围最大面积的网络覆盖。无线网络具有个性化、便携性、可移动性的特点,使广大师生更充分使用教学资源。然而,随着无线网络的广泛使用,安全问题也越来越突出,必须引起我们的高度重视。
1无线网络安全与有线网络安全的不同点
1.1无线网络采用开放的传输介质
传统网络是通过有线方式完成数据传输的,数据通过电缆传输到预定位置,在传输过程中,物理链路遭到破坏,才会引起数据泄密;而无线网络通过无线电波完成数据传输,无线接入点(ap)在无线电波信号覆盖范围内,都可成功接受信号,具有开放性的特点,利用无线网络发射的数据仅传给预定位置是难以实现的,这就使入侵者乘虚而入,他们可以借助无线网络的广播信号攻击网络,造成网络安全的威胁。
1.2无线网络的移动特性
传统有线网络的接入层交换机和用户终端通过光纤或者双绞线来接入网络,这些硬件设备在布线时就固定在一个位置,很难大范围移动。而无线网络的硬件设备一般放置在开放的位置,入侵者可以轻易移动或拆除接入层的ap,增大了安全性管理的难度。1.3动态的拓扑结构传统有线网络的拓扑结构在网络规划时已经设计好,是相对固定的,网络安全的设计和网络防护相对较为简单。而无线网络的拓扑结构是动态的,非法用户可以私下接入ap扩展,增加网络安全部署的难度。
2校园无线网络存在的安全隐患
校园网面向全校师生,服务人群多,信息使用复杂,用户在使用过程中可能遇到的安全隐患包括无线密钥破解、拒绝服务、篡改数据、app攻击、maC地址欺骗等,现对部分隐患进行分析。
2.1无线密钥破解
因为无线网络具有易获取与开放性的特性,同样也容易遭到攻击。为保证无线网络接入用户和数据传输的安全,管理人员使用ieee802.11标准中wep(有线对等保密)协议的安全机制来设置密钥,对网络进行加密和认证,这种加密方式是有弱点的,美国联邦调查局的一组人曾经通过网上免费的软件在三分钟内破解一个用wep保护的网络。入侵者通过蹭网卡、Bt5解码等软件非法捕捉ap信号覆盖区内的数据包,对数据包进行监听和侦测,从而判断出无线网络中的主机传输速度、该ap下的局域网内发射无线信号的主机数量,收集到足够wep弱密钥加密包后,即可暴力破解wep密钥。
2.2拒绝服务
拒绝服务是攻击无线网络时常用的手段,其中一种方式是入侵者泛滥攻击ap,随机伪造出客户端maC地址,产生大量虚假的客户端对ap进行连接。由于入侵者的持续攻击,会使ap产生错误判断,拒绝服务。另一种攻击方式则是使资源耗尽,攻击某一节点使其不断转发数据包,最终耗尽资源使其无法工作。入侵者可以通过病毒从网络传输协议上或无线物理链路上破坏无线链路的信令数据、控制数据及用户数据的正确传输,实现DoS攻击,网络用户的数据在某种程度上会失去对无线链路的控制,造成数据丢失,这种入侵行为,严重者会导致校园网络瘫痪。
2.3数据安全隐患
非法用户可以通过破解密钥,接入校园网,占用网络带宽,甚至会攻击校园服务器、恶意篡改、盗用师生的数据,侵害师生的隐私,带来个人信息或经济损失,散播谣言以及做出违法的行为,也可能会借助自己掌握的技术肆意传播网络病毒,让校园网终端用户大面积中毒,造成严重的后果。2.4app攻击手机软件开发的技术日趋成熟,互联网上已经有了能控制网络设备的app。好奇心驱使下,学生可以通过下载app控制校园的无线网络设备,持续向校园网发送垃圾文件,导致校园网络拥塞,造成app攻击。
3校园无线网络安全防御技术
3.1健全管理机制,提高网络安全意识
中职学校网络管理人员不仅要构建网络安全防范机制,同时构建无线网络安全应对机制,保证校园无线网络的安全性,管理人员实时检测无线网络信号、信息传输等状况,及时处理无线网络安全问题;并且要定期开展培训来提高师生的信息技术知识,加强关于信息安全方面的法律法规教育,树立网络安全防范的意识。
3.2提升接入ap的安全技术
从安全角度出发,校园网络应尽量购买较高级别的企业级ap,这种ap的安全系数较高,可以设置用户接入和访问的安全策略。另外,可以通过ap检测技术,及时有效发现未授权使用的ap,从而主动添加和移除这种ap,防止私自拉线接入ap。
3.3使用用户准入认证机制
为防止未授权用户占用网络资源,有效保护校园无线网络安全,可以使用用户认证方式。其中一种方式是web认证,web认证给使用者分配地址,使用者访问某些网站时,页面会显示出相关认证系统,需要用户输入用户名与口令,然后才可以进入访问。可以结合基于802.1X协议和Radius协议的身份验证体系的应用安全域技术,对于入网用户进行身份验证,该应用安全域采用与网络交换机联动,通过绑定入网用户的用户名和密码、ip地址、maC地址、交换机ip和端口等信息来进行身份验证,多种信息验证通过后才可接入网络,该技术还可以根据不同的用户身份分配不同的访问权限,校内合法用户可以访问校内的资源,校外用户在获取临时权限接入网络后,只能访问自己权限之内的服务器和网络区域等。同时,在三层交换机下添加一台行为网关,用于对上网人员进行实名认证并记录上网行为日志。
3.4使用专业入侵检测技术
为防止非法用户入侵,应该使用专业的无线网络入侵检测系统,能使网络管理人员实时监控、采集网络中传输的数据,及时跟踪、监控一些可疑的数据包,通过分析捕获的数据包,可查出ip的来源。入侵检测不只能防护自身网络安全,还能查出攻击的根源,将入侵者抓获。防止被非法用户窃取、篡改用户信息,保证重要信息的安全性。
4结束语
无线网络的发展和普及,给中职学校的教师教学、科研、学生的课程学习带来了极大方便。在建设无线网络的过程中,必须更好地重视无线网络的安全性,采取各种有效措施提升安全策略,才能构建一个方便、快捷、稳定的校园网络环境,保证校园无线网的安全,更好地服务全校师生。
参考文献:
[1]邓体俊.论校园无线局域网通信安全策略[J].电脑知识与技术,2015(01).
[2]张旭.高校无线校园网安全研究[J].中国科技信息,2016(02).
无线网络安全技术篇4
关键词:wi-Fi;安全技术;wep;wpa
中图分类号:tp393文献标识码:a文章编号:1007-9599(2011)24-0000-01
analysisofSecuritytechnologyBasedonwi-Fiwirelessnetwork
HuJiahan1,YangFei2
(1.DanjiangkouHydroelectricpowerplantHanjiangGroup,Danjiangkou442700,China;2.HanjiangGroupinformationCenter,Danjiangkou442700,China)
abstract:withtherapiddevelopmentofinternettechnology,moreandmoreuserswanttogetridofrestrictionsoninternetaccess,anytime,anywhereaccesstotheinternet,wirelessnetworkswillberapidlygainingpopularity.asmoreandmoreuserstoenjoywi-Fiwirelessnetworksbringtheconvenience,itisalsosubjectedtowi-Fiwirelessnetworksecuritythreats.thisarticleisinthiscontext,basedonwi-Fiwirelessnetworksecuritytechnologiesarediscussed,withaviewtolead-basedwi-Fiwirelessnetworksecurityissues.
Keywords:wi-Fi;Securitytechnology;wep;wpa
一、前言
wi-Fi具有覆盖范围大、无需布线、发射功率小和传输速率快的技术优势,可以使用户获得以太网的网络性能、可用性和速率,所以从1997年无线局域网标准ieee802.11以来,在wiFi联盟的大力推动下,wi-Fi无线网络发展迅猛。随着wi-Fi技术的不断发展,现在的笔记本电脑、pDa和手机等都支持wi-Fi技术,用户广大的用户具有移动办公等需求,各地也都致力于无线城市的建设,wi-Fi技术被广泛应用于各个行业。wi-Fi网络的接入点遍布办公楼、酒店、学校等场所,可以说wi-Fi在生活中是无处不在。但是wi-Fi技术也存在着安全方面的问题,wi-Fi技术应用越广泛安全问题就越应该引起重视,本文就是基于wi-Fi无线网络的安全问题进行相关探讨。
二、wi-Fi无线网络技术特点
wi-Fi是具有完全兼容性的ieee802.11标准子集,所以关于wi-Fi的研究与应用都是建立在ieee802.11标准上的。wi-Fi无线网络技术具有以下几个特点:第一,无线电波覆盖范围广。相比于半径大约只有15米左右的基于蓝牙技术的电波覆盖范围,wi-Fi的半径大约有100米左右,覆盖范围远远大于蓝牙。第二,传输速度快。wi-Fi的传输速度可以达到11mbps,可以满足个人和社会信息化的需求。第三,架设方便。只要在办公楼、酒店、学校等人员较为密集的地方设置“热点”并通过高速线路接入因特网,这样用户就可以使用无线上网工具在热点半径100米以内的地方接入因特网,耗费资金少,架设方便。和有限网络相比,wi-Fi最主要的优点就是不用布线,不受布线条件的限制,适用范围也广。随着各种便携式通信工具的日益普及,wi-Fi无线网络简单的组建方式使得它成为那些随时需要进行网络连接的用户的必然选择。
三、wi-Fi无线网络存在的安全问题
在大部分的wi-Fi设备中,为了使无线局域网中的普通工作站可以快速的发现连接无线节点设备,每个无线节点设备基本上都有一个网络服务的标识名称,也就是这个无线节点的SSiD标识符。普通的工作站只有通过这个标识符才能够和无线节点设备建立无线网络连接。而有些非法用户会搜索本地的无线节点,心怀恶意的尝试登录到无线节点的后台管理界面去修改无线网络参数,如果密码正确,无线网络参数就会被这些非法用户恶意修改,导致本地的wi-Fi无线网络不能正常的工作;更严重的是,这些非法用户甚至可能会修改无线节点的密码,如此一来,本地的网络管理人员可能都无法进入该无线节点的后台操作界面,无法管理和维护无线上网设备。为了无线网络的安全,在无线节点设备接入到无线网络中前,要参照具体的操作说明资料,及时登录到节点设备的后台管理界面修改登录密码,密码设置一定要选择安全性很高的密码,不能设置过于简单的密码,这样才能保障wi-Fi无线网络的基本安全。
四、wi-Fi无线网络安全技术
(一)wep技术。wep是有线等效保密协议,wep的目标是在无线局域网上提供与有线网络上类似的保密程度。wep可以用于保护无线网络不被窃听,防止非法接入无线网络。wep应用于开放系统互联模式的最低两层即物理层和数据链路层,用于保护无线传输过程中的链路级拘束协议。wep技术是依赖于接入点与无线节点之间共享的密匙,密匙用于在发送数据包之前对数据包进行加密。但是,wep技术的安全性并不算很高,经过实践、研究发现,wep中的各种安全要素会是以一种不安全的方式结合起来的,这导致了wep存在着许多的安全漏洞。
(二)wpa技术。wpa也就是wi-Fi安全访问协议,与wep技术相比,wpa极大的提高了安全性,可以极大的增强wi-Fi无线网络的防护。wpa主要是使用固件和驱动程序升级来堵住安全漏洞,通过暂时密匙整体性协议(tKip)改进wep的安全性,通过扩展认证协议来实现用户身份认证。tKip是将由ptK\GtK分解出来的密匙作为基础密匙,经过两个阶段的密匙混合,形成一个新的、每次报文传输都不一样的密匙,这个密匙才是用于直接加密的密匙,这种加密方式进一步增强了无线网络的安全性。wpa的数据完整性也远胜于wep,在wpa中,使用了一种新的算法,该算法使用现有的无线硬件上提供的计算工具技术8字节的消息完整性代码,这种算法更为复杂,解码难度高,安全性更高。
虽然wpa的安全性比wep高,但是它存在着一些自身的问题,这些问题主要体现在:其一,和某些设备和操作系统无法兼容。其二是对无线网络的硬件的要求较高。其三是tKip并非最终的完美解决方案。虽然tKip将密匙的长度由40位加长到128位,初始化向量iV长度由24位加长到48位,并对wep进行了改进,但是tKip始终没有脱离wep的核心机制,甚至因为它采用了Kerberos密码而更易受攻击。
参考文献:
[1]栗薇.wi-Fi演化史及其发展趋势[J].网络与信息,2010,6:42
[2]王娟,郭家奇,刘薇.wiFi技术的深入探讨与研究[J].价值工程,2011,6:91
无线网络安全技术篇5
关键词:4G;无线网络;安全接入技术;移动通信
中图分类号:tp393文献标识码:a文章编号:2095-1302(2016)03-00-03
0引言
随着互联网与无线网络的不断发展,全球移动用户的数量与日俱增。通过对移动通信系统的发展进行分析发现,在历经第一代(1G)、第二代(2G)、第三代(3G)通信系统之后,为了更好地推动移动数据传输,现在正着手研究下一代无线通信系统(4G)。但是在研发4G无线网络时,要注重对安全接入技术的引入,只有这样才能确保信息传输的安全性,提高通信质量。
14G无线网络的安全研究
1.1无线网络的安全
如今的无线网络具有安装灵活、方便、经济等特点,有效的扩展了用户的活动空间和自由度,应用前景非常广泛。但是在使用过程中,经常会遇到安全隐患问题,给用户的使用造成了一定的安全威胁。由于无线网络具有开放性的特点,因此容易被动窃听和受到主动干扰攻击。此外,由于无线网络的电池容量、计算和存储能力、使用寿命有限,导致大部分移动终端仅能进行简单的计算。终端的移动性在一定程度上提高了无线网络安全管理的难度,与有线网络相比,无线接入信道还会受到传输速率和有效数目的限制,而且具有较高的误码率。
因此,在进行安全方案设计时,需要对本地访问和漫游等情况给予综合考虑。无线网络安全机制需要考虑以下几点:
(1)通过认证机制可以确保在数据交换之前通信参与方的身份得到有效认证;
(2)借助安全信道和加密技术确保数据传输的机密性;
(3)借助消息加密技术、摘要技术及数字管理技术能够确保数据传输的完整性;
(4)借助数字签名技术能够确保数据传输的防抵赖性;
(5)借助加密的永久身份或临时身份信息能够确保用户身份信息的隐藏性。
1.24G无线网络安全接入技术的特点
1.2.1用户身份保护
用户身份保护主要包括用户位置隐私、用户身份隐私和不可跟踪性,主要是确保无线链路通信过程中攻击者无法对用户的imSi及相关信息进行窃取,无法推断同一用户是否选择了不同服务。在进行4G无线网络使用过程中,一般可以借助临时身份标识来满足用户需求,而临时身份可以通过an进行分配和及时更换。
1.2.2实体认证
实体认证主要包括网络认证和用户认证,即借助服务网络(Sn)来对用户的真实身份进行认证,该网络一般需要对用户进行He授权。在移动通信过程中,要想实现对现实体的有效认证,需要借助本地认证机制和认证密钥协商机制的共同协助才能完成,而用户的He可以根据需求准确地向an发送认证向量,或antFU在使用之前需要通过密钥协商来完成密钥的创建认证过程。
1.2.3机密性
机密性主要包括密钥协商和加密算法的机密性及信令数据和用户信息的机密性,其一般需要借助me和Sn才能够实现算法和密钥的安全传输。
1.2.4完整性
完整性主要包括密钥协商和加密算法的完整性,同时囊括了信令数据和用户信息的完整性,从而确保接受方(Sn或me)能够对信令数据进行验证,以确保其是否来自实体,且在对其进行发送时不会被修改。
1.2.5移动设备认证
该安全认证技术在紧急呼叫时无法得到有效应用,并且移动设备标识号(imei)在Sn被认证之后只能发送出去,否则需要把所有数据存储在终端设备罩中,从而确保信息的安全性。
24G无线网络技术发展现状
随着4G无线网络技术的发展,其逐渐在我国的移动通信领域占据了一定地位,因此对其发展现状进行分析具有十分重要的意义。目前,4G无线网络技术主要以通信服务为主,例如其中的ipv6能够为4G无线网络技术提供统一的地址支持,并且借助自动配置系统来实现地址唯一,能够更好地满足不同位置移动用户所享受的同等通信信号,从而确保了信息传输的效率与质量。4G无线网络技术中所具有的智能天线技术(Sa)能够对外界的干扰信号进行有效的屏蔽,从而为信息传输提供了安全环境,此外还能够对相关数据信息的传输进行自动跟踪,提高了通信定位服务的质量。
正交频分复用技术(oFDm)是借助正交分割信道来实现信息算法在高速信号中的有效转化,从而形成了一套具有低速特性的信息流,实现了对信道的科学、合理分配,与此同时还能够提高信号传递能力,确保信息的高速传输,在一定程度上避免了不同信道之间存在的干扰。正交频分复用技术对于推动4G无线网络通信技术的发展具有重要意义,该技术不仅实现了对3G技术的超越,还能推动通信服务质量的升级,尽可能的为用户提供多样化的服务。目前,4G无线网络技术更多的集中在通信领域,但其中还存在或多或少的问题阻碍了该技术的发展,因此需要采取措施分析解决其中存在的问题,从而为4G无线网络技术在我国的发展奠定良好的基础。
例如,我国移动通信行业对4G无线网络技术给予了高度重视,并且以移动、联通、电信为代表的三大运营商在获得4G牌照后进行了激烈的竞争。在ott业务的影响下,大部分网络用户对4G无线网络技术的选择进一步加剧了各大运营商之间的竞争,因此需要采取措施处理好各个领域之间的市场竞争,只有这样才能维持市场稳定、确保用户享有更高质量的通信服务。
34G无线网络安全接入技术认证新方案
为了更好地满足4G无线网络用户需求,使其更好的适应无线网络终端的漫游性和移动性,提高信息传输的安全性,就需要将安全接入技术引入其中。本文主要介绍了基于自证实公钥系统的安全接入技术认证新方案。对用户在首次接入网络、再次接入网络两种场景下进行安全技术认证,其认证过程主要包括两个阶段:(1)首次/切换接入场景下需要与密钥交换协议(aKeBSp)进行认证;(2)再次接入时,为了提高安全性能,需要进行采用快速重认证协议,从而提高认证效率和质量。
3.1参数描述
在4G无线网络安全接入技术认证新方案中,主要参数要求如下:│x│用于描述x的长度,并且其中所使用的整数a、B、S需要满足│a│≥│B│+│S│+80,│B│≥32,│S│≥160。其中,│S│代表了安全技术中私钥S的长度。在进行安全接入技术认证过程中,me一般需要借助可信机构ta才能够获取自己所需的私钥和自证实公钥,其过程主要包括以下三个阶段:
(1)首先me需要根据需求为自己选定私钥xme,然后按照Vme=g-xmemodn对其进行计算,从而得到Vme。最后还需要将iDHe、iDme和Vme发送给ta。该过程中,iDme是me的永久身份标识符(imSi),而iDHe一般是me在归属环境下的He身份标识符;
(2)ta在获取me所传输的消息之后,首先要按照Yme=(Vme-iDme-iDHe)dmodn对其进行计算,从而获得me的公钥Yme,并将最终的公钥发送给me;
(3)当me获得ta所传输的公钥后,需要对Yme+iDme+iDHe=Vme是否成立进行验证,如果成立则可以得到公钥Yme和私钥xme。同理,an也可以通过选定私钥xan,并借助ta来获得公钥Yan。
3.2首次/切换移动终端的接入认证过程
首次/切换移动终端接入过程中的认证流程如图1所示。其过程分为如下几步:
(1)首先an需要对自身的公钥Yan和iDan进行广播,并且需要选择接入an过程中所需要的Yan和iDan,该过程还需要选择一个随机数Cme,并将其与Yan和iDan一起发送给an。
(2)在an收到相关数据之后,需要对其iDan进行验证,如果满足自己所需的身份标识符,则可以随机选取两个随机数ran和Can,并按照tan=ran+xan・Cme和Ran=granmodn来获取相关数据,最后再将Can、Ran、tan等结果发送给me。
(3)当me获取(2)所发送的消息之后,还需要对其进行验证,如果验证结果符合要求,则需要对gran(Yan+iDan)Cmemodn=Ran进行验证,如果两次验证结果均满足要求,则选择一个随机数rme,然后进行tme=rme+xme・Can,Rme=grmemodn计算,并将最终的计算结果发送给an。
(4)当an受到me发来的计算结果之后,需要对信息进行解密处理,并对相关计算公式进行验证,如果验证结果符合要求,则需要对an和me之间的会话密钥Kam进行计算,生成me所需要的临时身份tiDme,并将该临时身份发送给me。
(5)me受到临时身份之后,同样需要对其进行解密处理,以提取出临时身份,并再次对其进行核对,核对正确之后才允许网络使用。
3.3移动终端再次接入时的安全认证过程
在借助4G无线网络进行移动通信的过程中,为了提高安全性,一般还要对其进行频繁认证,而且每次都需要执行一个系统的、完整的认证过程,但是这样会给系统带来较大的负担。如果连接用户的数量比较多,上述缺陷就会更加明显,此举进一步增加了终端认证过程所需花费的时间,所以为了提高再次接入时的认证效率,引入了图2所示的认证流程。
如果在首次/切换接入认证之后还需要再次接入时,me可以借助临时身份tiDme来取代自己的身份进行再次接入认证,这样可以对me的身份隐私实现有效保护。tiDme可以替代tDme完成再次接入认证,这样不仅可以确保信息的顺利传输,还能保护me的隐私。tiDme是an为了确保me信息的传输而引用的一个全新临时身份,Kam则是an的会话密钥,这样可以降低攻击者对用户所进行的攻击,从而确保了信息传输的安全性。
4结语
随着网络技术的发展,通信技术和无线网络的衔接更加成熟,进而推动了移动网络技术的发展。而4G无线网络技术的出现进一步推动了通信技术的发展,但为了提高信息传输的安全性,需引用安全接入技术,以确保用户的身份得到有效保护,提高移动通信传输的安全性。
参考文献
[1]吴畏,马书才,高双喜.4G无线网络安全接入技术探析[J].中国新通信,2015,8(3):15.
无线网络安全技术篇6
一、当前校园无线网络所面临的主要安全威胁
就校园无线网络来说,有线网络中存在的安全威胁在无线网络中基本都存在,且部分安全威胁是有线网络中所没有的,这说明校园无线网络安全问题更为复杂,这就对校园无线网络安全问题的解决提出了挑战,需要我们对校园无线网络安全威胁予以重新认识。一般来说,对于校园无线网络安全威胁的防范,主要集中两个方面,它们分别是访问控制和数据加密,访问控制能从源头杜绝网络安全威胁,数据加密则能进一步保证威胁侵入校园无线网络数据的安全性。就当前校园无线网络所面临安全威胁,概括起来主要有以下几种:
(一)信息重放威胁
信息重放是使用最多的校园无线网络侵入、攻击方式,即通过使用一种利用非法ap(接入点)的方式进行中间人欺骗攻击。如果单纯的使用Vpn方式予以阻止、保护,无法彻底、有效避免这种攻击行为,因为其是借助于“中间人”的作用,可以同时对授权客户端和ap双方同时进行欺骗,达到窃取、篡改网络信息的目的。
(二)wep破解威胁
基于wep的无线网络安全认证是当前使用最多的网络安全认证协议,而黑客等攻击者完全可以集中捕获ap覆盖范围内的大量甚至所有数据包,再利用当前网上流行的非法软件对加密数据包中的wep密钥破译分析,获得有效的wep密钥,而成为ap合法用户。一般来说,校园无线网络速度较快,而发送数据的主机又较多情况下,完全可以在一小时以内破解无线网络的wep访问密钥。
(三)网络窃听威胁
无线信号是校园无线网络的主要传输媒介,这就使得对校园无线网络资源的访问控制不可能像有线媒介中使用物理网络访问限制的方式来保证网络的安全;即入侵者可以在任意一个校园无线网络覆盖的地方尝试进行网络连接,使用各种方式、方法对校园无线网络进行攻击、窃听而不易被发现,是当前校园无线网络所面临的最大威胁之一。
(四)maC地址欺骗威胁
基于maC地址的访问控制,是当前校园无线网络主要接入控制方式之一,也是有效的网络安全威胁防范技术之一;但是也很容易被入侵者利用,即入侵者先通过专门的网络窃听工具来获取校园无线网络的数据包,通过对大量的数据包中maC地址的分析,获得关于ap允许通信的静态地址池,再利用maC地址伪装的方式以“合法身份”接入网络。
(五)拒绝服务威胁
拒绝服务威胁是校园无线网络遭受的最多威胁之一,因为无线网络攻击者在开始时都会对校园无线ap进行所谓的泛洪攻击,导致校园无线ap拒绝服务,网线陷入瘫痪状态,然后攻击会采用进一步的攻击方式。另外,攻击者还可能使用移动模式只对校园无事网络中的某个节点进行攻击,使该节点不停的进行数据包转发,导致网络反应变慢,该类攻击也称为“消耗攻击”。
二、无线网络安全技术及其在校园无线网络中的应用
(一)基于802.1x认证的师生端口访问控制技术
802.1x认证技术集合了802.1xRaDiUS认证和maC地址两种认证方式的优点,可以有效防止校园无线网络中非授权用户的接入、访问。其主要由申请者、认证者和认证服务器三者组成,申请者向认证服务器表明身份,认证服务器对申请者开展认证,认证通过对密钥加密后发给申请者后可正常使用网络。
(二)校园无线网络临时用户的安全访问认证
对于校园无线网的临时用户来说,一般来说他们对校园无线网的安全的要求都不高,只需访问互联网、进行常规网络操作即可;对于这一部分临时用户的认证,建议使用DHCp+强制portal认证方式。
(三)使用加强版的wep加密技术
针对wep的密钥破解虽然存在,但是通过改进完全可以有效避免上述情况的发生。由于传统wep密钥多采用16位、32位加密方式,很容易被当前网络上流行的非法软件在15到30分钟内破译,为了有效增加破译难度、降低被破译的可能性,建议采用支持128位的wep密钥认证方式,并且建议不要使用设备自带的wep密钥,大大降低非授权用户侵入校园无线网络的可能。
(四)变更服务集标识符、禁用SSiD广播
从校园无线路网络安全角度来说,SSiD被认为是一个级别最低的安全认证方式,只相当于一个简单的标志、口令,用户可以使用它建立与接入点之间的连接,从而接入网络;建议及时变更SSiD,同时禁用SSiD广播功能。
(五)使用专业的无线网络入侵检测系统
无线网络安全技术篇7
关键词:无线网络;网络安全;无线协议;防范措施
1安全概述
狭义的“无线网络”,即基于802.11/b/g/n标准的无线网络,由于其具有可移动性、安装简单、高灵活性和高扩展性,作为传统有限网络的延伸,在许多领域得到了广泛应用。由于无线局域网以电磁波作为主要传输介质,设备之间可以相互接收数据,如果无线局域网不采用适当的链接认证、数据加密机制,数据传输的风险就会加大。当然,无线网络发展起初,安全便是无线局域网系统的重要组成部分,客户端接入无线网络的过程为扫描、认证、关联、连接成功。无线网络安全性保证,需要从认证和加密2个安全机制来分析。认证机制用来对客户端无线接入身份进行验证,授权以后才可以使用网络资源;加密机制用来对无线局域网的数据传输进行加密,以保证无线网络数据的通信安全。
2链路认证机制分析
客户端(Sta)获得足够的权限并拥有正确的密钥以后才能进行安全的、完整的、受保护的通信。链路认证即身份验证机制,认证通过即授权以后才能访问网络资源。无线局域网中,客户端同无线接入端进行802.11关联,首先必须进行接入认证。身份验证是客户端连接到无线网络的起点,任何一个Sta试图连接网络之前,都必须进行802.11的身份验证进行身份确认。802.11标准定义了2种链路层的认证,即开放系统身份认证和共享密钥身份认证。开放系统身份认证不需要确认客户端任何信息,和ap没有交互身份信息,可以认为是空加密,目的是使双方都认为应该在后面使用更安全的加密方式。也可以认为,先关联后核对身份信息。如果认证类型设置为开放系统认证,则Sta发送的第一个authentication报文只要是开放系统就通过认证,接着就顺利完成关联。共享密钥身份认证是一种增强无线网络安全性的认证机制,其在wep机制中得到应用。这种认证的前提是Sta和ap都有配置静态的wep密钥,认证的目的就是确认两者使用的密钥是否一致。共享密钥认证是通过4个认证帧的交互来完成的,Sta首先发送一个认证报文(authentication报文)给ap,然后ap会给Sta回复一个挑战明文(Challenge包),接着Sta使用密钥对这个明文进行加密并发送给ap,最后ap对其解密。如果解密成功且明文与最初给Sta的字符串一致,则表示认证成功并回复,接着为Sta打开逻辑端口,便可以使用无线接入点服务,否则不允许用户连接网络。目前常用的链路认证有pSK接入认证、eap拓展认证。预共享密钥pSK是802.11i中定义的一种身份验证方式,以预共享密钥的方式对无线用户接入进行控制,并能动态产生密钥,以保证无线局域网用户的数据安全。该认证方式要求无线客户端和接入端配置相同的预共享密钥。如果密钥相同,则pSK接入认证成功,否则认证失败,一般应用于家庭或小型网络公司。eap拓展认证协议主要运行于数据链路层,比如ppp、有线局域网,同样支持无线局域网,在ieee802.11i进行了描述。该架构支持多路认证方法,具有灵活性,eap允许使用后台认证服务器(BaS,BackendauthenticationServer)。某些情况认证实体并不是真正处理身份认证,它仅仅将验证请求转发给后台认证服务器来处理。这种架构拓展了eap的适用范围。aaa(认证、授权、计费)认证是基于eap协议,属于BaS的一种具体形式,包括常用的RaDiUS服务器等。如果没有后台验证服务器,eap服务器功能就在验证请求实体中,无线网络一般是ap。
3无线加密方式对比
无线网络加密主要是对数据链路层(包含媒介访问控制、逻辑链路控制部分)进行加密,目前无线局域网涉及到的加密算法有有线等效加密(wep)、暂时密钥集成协议(tKip)和高级加密标准aeS-CCmp。
3.1有线等效加密
有线等效加密是目前802.11无线加密的基础,是无线网络基础安全加密机制。其通过共享密钥来实现认证,认证机制简单,并且是单向认证,没有密钥管理、更新及分发机制。完全手工配置并不方便,所以用户往往不更改。802.11定义了2个wep版本,wep-40和wep-104,分别支持64,128位加密,含24位初始化向量iV,因此无线设备上配置的共享密钥为40或104位,其还包括一个数据校验机制iCV,用来保护信息传输不被篡改。随着技术的不断发展,发现wep存在许多密码学缺陷,基础缺陷是RC4加密算法以及短iV向量。另外,还发现其容易受到重传攻击。iCV也有弱点。虽然wep协议通过高位wep和动态wep方式改进,但是有实验证明高位wep虽然密码复杂程度高,但核心算法RC4已经公开,破解花费时间不是很长,根本无法保证数据的机密性、完整性和用户身份认证。动态wep,指定期动态更新密钥,但由于是私有方案而非标准,无法从根本上解决wep存在的问题。
3.2暂时密钥集成协议
暂时密钥集成协议是针对wep加密算法漏洞而制定的一种临时解决方案,其核心是对wep加密算法的改进。与wep不同的是,tKip针对不同客户端周期性动态产生新的密钥,避免密钥被盗用。并且tKip密钥长度为128位,初始化向量iV增加为48位,降低了密钥冲突,提高了加密安全性。同时数据包增加信息完整码miC(messageintegrityCode)校验,可防止伪装、分片、重放攻击功能等黑客攻击行为,为无线安全提供了强有力的保证。另外,如果使用tKip加密,只要支持wep加密就不需要进行硬件升级。
3.3高级加密标准aeS-CCmp
基于计数器模式CBC-maC协议的aeS安全加密技术(aeS-CCmp),是目前为止最高级的无线安全协议,加密使用128位aeS算法(一种对称迭代数据加密技术)实现数据保密,使用CBC-maC来保证数据的完整性和安全性。另外,通过数据包增加pn(packetnumber)字段,使其具有防止回放、注入攻击的功能。这样就可提供全部4种安全服务,即认证、数据保密性、完整性和重发保护。aeS加密算法是密码学中的高级加密标准,采用对称的区块加密技术,比wep与tKip加密核心算法RC4具有更高的加密性能,不仅安全性能更高,而且其采用最新技术,在无线网络传输速率上也要比tKip快,快于tKip及wep的54mbps的最大网络传输速度。
4wpa/wpa2安全分析
wi-Fi网络安全存取技术(wpa)是在802.11i草案基础上制定的无线局域网安全技术系统,因wep有严重的缺陷,wpa的目的就是替代传统的wep加密认证。wpa主要使用tKip加密算法,其核心加密算法还是RC4,不过其密钥与网络上设备maC地址、初始化向量合并。这样每个节点都使用不同的密钥加密。wpa使用michael算法取代wep加密的CRC均支持。这样,wpa既可以通过外部Radius服务进行认证,也可以在网络中使用Radius协议自动更改分配密钥。wpa的核心内容是ieee802.1x认证和tKip加密。wpa含2个版本,即针对家庭及个人的wpa-pSK和针对企业的wpa-enterprise。wpa2(无线保护接入V2)是经由wi-Fi联盟验证过的ieee802.11i标准的认证形式,即强健安全网络,它的出现并不是为了解决wpa的局限性。它支持aeS高级加密算法,使用CCm(Counter-mode/CBC-maC)认证方式。这比tKip更加强大和健壮,更进一步加强了无线局域网的安全和对用户信息的保护。最初,其与wpa的核心区别是定义了具有更高安全性的加密标准,不过现在两者都已经支持aeS加密。同样,wpa2允许使用基于具有ieee802.X功能的RaDiUS服务器和预共享密钥(pSK)的验证模式。一般RaDiUS服务器验证模式适用于企业,预共享密钥适用于个人验证。不过专业技术人员wpa/wpa2的4次握手过程仍然存在字典攻击的可能。近来,随着对无线安全的深入了解,黑客通过字典及pin码破解就能攻破wpa2加密。
5无线网络安全防范措施
目前,大多数企事业单位及个人家庭wi-Fi产品都支持wpa2,wpa2已经成为一种无线设备强制性标准。wpa2基本上可以满足部分企业和政府机构等需要导入aeS的用户需求。具体来说,用户可以采取以下一些措施来降低无线网络的安全风险:①定期维护加密密码,不要使用默认用户名,组合使用字母、数字、特殊字符来设置密码,并要定期变更密码。②定期修改SSiD或隐蔽SSiD。选取ap的SSiD时,不要使用公司或部门名称、接入点默认名称及测试用SSiD,并定期更改无线路由器的SSiD号。另建议用户关闭无线路由器的SSiD广播功能。③必要时,关闭无线路由器的DHCp服务。DHCp服务会暴露用户网络的一些信息,无线客户端可以获得ip地址、子网掩码、网关等信息。这样,入侵者很轻易就可以使用无线路由器的资源,成为一个有隐患的漏洞。④充分利用路由器的安全功能,通过路由器提供安全设置功能对ip地址进行过滤、maC地址绑定等,限制非法用户接入。⑤选择最新加密设置。目前大多数无线客户端、路由器及ap都已经全面支持wpa协议,wep在当今基本失去安全意义,可以选择wpa/wpa2和wpa-pSK/wpa2-pSK这几种模式,同时建议采用aeS加密算法。⑥采用802.1x身份验证。该认证用于以太网和无线局域网中的端口访问与控制。基于ppp协议定义的eap扩展认证协议,可以采用mD5、公共密钥等更多认证机制,从而提供更高级别的安全。802.1x的客户端认证请求可以独立搭建Radius服务器进行认证,目前已经成为大中型企业、高校等无线网络强化的首选。
6结束语
无线局域网使用简单、操作安装方便,移动灵活性强,但同时面临着复杂的无线安全问题。网络技术管理人员应关注网络安全技术,提高安全防范意识,切不可对无线网络安全掉以轻心,同时采取合理的网络安全措施规避无线网络安全风险。
参考文献
[1]Joshuawright.黑客大曝光:无线网络安全[m].李瑞民,冯全红,沈鑫,译.北京:机械工业出版社,2011.
[2]杨哲,Zerone无线安全团队.无线网络黑客攻防[m].北京:中国铁道出版社,2011.
[3]安淑林,白凤娥.降低无线网络风险的策略探析[J].山西科技,2010,25(2).
无线网络安全技术篇8
关键词:无线网络;安全;校园
中图分类号:tp393文献标识码:a文章编号:1674-7712(2012)18-0036-01
无线网络适合学校的一些不易网络布线的场所应用,因此大部分高校都架设了自己的无线校园网,但是由于无线网络在数据传输时采用的是信道共享通信方式,较易受到各种网络威胁的影响,如未经授权的ap设备、wep加密中使用了弱向量加密数据、拒绝服务型攻击等。
非法的ap设备对于企业网络的安全来说是一个严重的威胁。用户私自架设未经授权的基站,用户也许没有足够的能力和意愿,正确的运用安全性的功能。即使这些设备已经采取适当防护,未经授权的设备也有可能干扰现有网络的运作。
一、非法设备的检测与抑制
(一)非法设备的检测
要避免非法设备的安全威胁,首先要确定它们是不是存在。确定未经授权设备的存在后,可以使用具有检测程序的特殊设备,而这种检测程序已经被整合进无线局域网设备系统。检测设备可以定期的搜寻未经授权的设备,对非法设备的扫描,可以被动的聆听数据,或者主动使用802.11probeRequest帧,让未经授权的网络自动现形。为了达到效果,检测程序须涵盖所有可用的802.11信道。无线局域网络须具备这种检测能力,可以使用独立的检测设备,也可以使用同时提供接入服务和具有检测功能的设备。网管人员通常在提供给用户的服务品质、检测信息品质和成本之间做出取舍。独立的检测设备可以提供较好的检测结果,但成本会提高。以原本提供用户服务的设备来检测未经授权的设备会降低成本,但可能会中断或降低服务的质量。
监控ap通过扫描周围的无线网络环境来检测。扫描过程可以分为主动扫描和被动扫描,扫描过程在所有信道间进行。
在扫描期间,监控ap接收其它设备发送的802.11帧,扫描结果会周期性的发送到aC。aC接收到扫描报告后,根据预先定义的规则,将设备判定为合法设备或非法设备。若开启了反制措施,将根据非法设备产生attackList,将该攻击列表发送到相应的监控ap。监控ap通过使用非法设备的地址发送假的解除认证报文进行反制。如果该非法设备是一个接入点,那么将通过使用该接入点的BSSiD来发送假的广播型解除认证报文,使得通过该BSSiD接入的Station下线;如果该非法设备是一个Station,那么将使用该Station的地址发送单播解除认证报文,使得该Station同其关联的接入点断开。
(二)非法设备判定的规则
非法设备根据类型主要有非法ap、非法Client、非法wirelessBridge、ad-hocmode,大致可以归为两大类,一类是接入点,一类是无线终端。
(三)非法设备抑制措施
对非法设备的抑制是使用一些协议上的技巧,来阻止或打断私设基站的连接。一般而言,这些做法可以阻止其他工作站连接到私设基站,或者是设法中断现有的连接。
要中断连接程序,可以使用设备送出伪造的Beacon或probeResponse帧,由于Beacon或probeResponse帧不会经过验证,因此基站可以轻易冒充非法设备。伪造的帧所包含的信息,可能和非法设备所传送的帧彼此冲突,令工作站不知所从。
二、802.11攻击检测
802.11攻击检测是为了及时发现无线网络中的恶意或者无意的攻击,通过添加攻击者至黑名单或记录信息、发送日志的方式通知网络管理者。目前攻击检测包括802.11报文泛洪攻击检测、apSpoof检测等。
(一)泛洪攻击(Floodattack)
wLan设备在短时间内接收大量同一源maC地址的同种类型的管理报文或空数据帧报文时,设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文,此时,系统会认为发生了泛洪攻击。设备检测通过持续监控每台设备的流量的大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为是在网络内泛洪,从而将被锁定。如果设备同时开启了动态黑名单,被检查到的泛洪设备将被加入动态黑名单,并被强制下线。在动态黑名单老化之前,设备不再处理此源地址发送的报文。
(二)欺骗攻击(Spoofattack)
欺骗攻击也称为中间人攻击,这种攻击是以其它设备的名义发送欺骗攻击报文。设备通过检测上述两种报文中的BSSiD和源maC地址是否合法来判断是否发生了Spoofattack。如果接入点是工作在监控模式,则检查报文的BSSiD是不是为当前接入点的射频地址,如果是,那么该报文就是一个Spoof报文,否则,将不被认为发生了Spoof攻击。如果接入点工作在普通模式,则先判断报文是不是为广播解除认证报文,如果是,则进一步的判断报文的源maC地址是不是为一个合法接入的Station,如果是合法的Station,则不认为发生了Spoof攻击,否则,判断该报文的BSSiD是不是为当前网络中的一个合法BSSiD,如果是当前网络的BSSiD,则认为发生了Spoof攻击。wiDS对于检测到的Spoof型攻击,将记录日志,并上报tRap信息并通知网管,通过其它管理手段解决。
三、帧过滤
帧过滤是802.11maC和wiDS的一个子特性,包括白名单列表、静态黑名单列表和动态黑名单列表。过滤行为实体维持了接入终端的maC地址,只有在输入的maC地址匹配相应规则的情况下才被执行。
无线网络安全技术篇9
【关键词】4G通信技术无线网络安全通信
4G移动网络中融合了多种无线通信技术,能够使得人们的通信环境收到的干扰更小、传输速率更高,但是4G通信技术却存在一定的安全风险,对此应该加强对4G通信网络的无线网络的安全通信问题的研究,使得4G通信网络具有更加安全性的应用。
一、基于4G通信网络的无线网络安全通信问题
1、移动终端的安全通知问题。4G移动终端形式为了提高自身的多样化,加强了对多种系统的接入,通过4G移动终端的个性化服务,能够使得用户更好的接入到网络,能够具有视频通话和安全保障等方面的功能。但是为了保证上述功能的实现,需要保证4G移动终端的较高的宽带和速率的要求,并且需要物联网作用的充分发挥。并且随着用户数量的增多,需要保证用户和4G移动终端的紧密的联系,这就使得4G移动终端的存储计算能力得到相应的考验,经常会收到可执行的恶意程序,这些可执行的恶意程序对移动终端的抵抗力产生影响,出现了越来越多的安全隐患,不能充分的对无线网络的安全通信进行保证。
2、网络链路上的安全问题。基于4G通信技术的无线网络在应用的过程中需要发挥自身的全ip网络功能,需要保证各种通信系统的接入,但是因为4G系统和无线网络的发展过快,使得有限或者无线在链路上出现了安全问题。出现安全问题可能会使得链路上的数据被窃取、修改和删除等恶意操作,影响了网络的安全性。当前链路的容错率较低,经常会出现因为网络结构的不同而造成的数据的传输错误。通常情况下4G的无线终端会随机的出现在子网中,并且会不断的移动,网络链路也需要依靠网关或者路由器来保证网络的互通,但是随着用户数量的不断增多,会增加网络链路的负担,不能对网络连接的安全性进行充分的保证。
2、网络实体认证的安全问题。无论是在有线网络还是在无线网络中,都没有对网络实体认证给予相应的重视,这就会使得网络犯罪更加的容易,也会容易发生法律纠纷问题。当前4G网络实体认证因为收到了一些方面因素的影响而不能对4G无线网络的实体认证进行落实。出现这种情况的原因有很多方面,首先是因为互联网用户数量的剧增,使得网络实体认证的实施较为复杂,不能及时快速的完成所有的网络实体认证。我国当前无线网络在种类上较多,不能保证网络模式的固定,增加了网络实体认证的难度。
二、基于4G通信网络的无线网络安全通信措施
1、移动终端的防护。在4G移动终端的安全防护措施中,做好系统的硬件防护是防护措施之一。在系统的硬件防护保护措施中需要对4G网络操作系统进行加固,保证操作系统的可靠性,使得系统能够具有远程验证功能、地域隔离控制功能以及混合式访问控制功能等功能的支持。提高系统物理硬件的集成度也是很重要的,这样能够减少可能受到攻击的物理接口的数量。为了实现对物理攻击的防护,可以增加必要的电流检测电路和电压检测电路的防护。最后需要加强对存储保护、可信启动和完整性检验的保护。
2、建立安全体系机制。在4G网络安全通信中,无线网络的安全体系机制的建立是必要的,在建立相应安全防护措施的过程中,需要对系统安全效率、兼容性和可扩展性等方面的因素进行全面性的掌握。在对多策略机制安全防护措施的制定过程中,需要针对不同场景的网络通信使用状况进行合理的选择,为了完成对一定终端的安全防护选项的配置,应该加强对可配置机制的建立。合法用户在对移动终端的安全防护选项进行选择的时候,需要根据自身的需求来进行,然后通过对可协商机制的建立来为无线网络和移动终端进行自行协商安全协议的提供,保证网络连接的顺利程度。
3、入网安全措施的实施。无线网络接入的过程中,需要针对性的进行安全措施的实施,加上相应辅助安全设备的设置,能够对不安全移动终端的接入进行阻止。需要在无线接入网和移动终端之间进行双向身份认证机制的建立,然后利用数字认证来完成移动终端的安全接入。对于移动终端的访问行为,需要利用相关的技术来控制无线接入网的访问,根据无线接入设备的实际情况来统一的完成对监控系统进行构建,从而对移动终端的各种操作和行为进行完整有效的监控并进行相应的记录,提高无线接入网的可靠性和高效性。加强对视频和多媒体等方面数据的安全数据过滤手段的过滤,能够减少黑客的攻击和非法数据的接入,更好的保证内部系统和核心网络的保护。
结语:4G通信网络为人们的生产生活带来了极大的便利,但是应该加强对4G通信网络的无线网络安全通信的重视,通过相关措施的实施,使得4G通信网络得到更好的应用。
参考文献
[1]李炜键,孙飞.基于4G通信技术的无线网络安全通信分析[J].电力信息与通信技术,2014,01:127-131.
无线网络安全技术篇10
关键词:无线移动网络;安全模型;数据加密;windowsCe
1.无线移动网络安全概述
无线信道是一个开放性信道,它在赋予用户通信自由的同时也带来一些不安全因素。无线网络除了具有有线网络所存在的不安全因素外,还存在许多其他不安全因素。典型的无线安全问题包括:无线窃听、假冒攻击、休息篡改、服务后抵赖、重传攻击、系统故障与丢失。它用来实现基于公钥密码体制的证书产生、管理存储、发行和撤销等功能的安全平台,它使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、不可抵赖性;wpKi由公开密钥密码技术、数字证书、证书发放机构(Ca)和安全策略等基本成分共同组成。
ipSecVpn网关不直接与wpKi通信,而是通过一个wpKi服务器的实体间接通信,其安全性主要由ipSec协议保证,同时通过加密/解密来强制实施安全策略,确保只有授权用户与wp心服务器通信。此外,ipSecVpn网关不直接处理证书,而是把通信对方的地址或域名直接传给wpKi网关,由网关进入wpKJ系统进行查询得到相应证书,在鉴定后将确认和提取出的公钥发给ipSecVpn网关。
2.3Sip的安全机制
Sip执行过程中的安全性是一个至关重要的问题,但也是至今尚未解决的一个问题。但是,我们至少应该提供一些基本的安全服务来保证Sip网络的安全,例如:保证消息的机密性和完整性服务;提供对会话参与者的身份鉴别和保密服务;防止重放攻击和消息欺骗;防止DoS攻击、应用的安全性等。从理论上说,要实现上述安全服务,需要建立加密机制、鉴别机制和访问控制机制等。
(1).加密机制
在Sip网络中,若对Sip实体之间所传输的整个会话消息体都进行加密,肯定能保证Sip会话的机密性,同时保证会话消息在传输过程中不被恶意地修改。但是对Sip消息头域中的部分信息,如:路由信息等,对于消息经过的服务器或重定向服务器必须是可识别的明文形式,否则这些服务器无法对Sip消息进行路由,这将导致通信无法正常进行,所以应该采用多种加密机制。包括对Sip消息体和某些敏感头域的端到端加密、用以防止追踪呼叫双方的跳到跳加密和对via域进行跳到跳的加密来隐藏发起请求的路由。
(2).鉴别机制
Sip的鉴别机制一般用于用户网络服务器之间,网络服务器要求用户在发出第一个“inVite”请求消息之前验证其身份。同样用户也可以要求验证网络服务器的身份。Sip定义了一个消息头用于鉴别机制,这个授权消息头包含了对Sip消息的部分信息的签名计算。这个消息头由现时值、域、请求方法、请求方法的版本和授权类型等构成,它在传输过程中不会被中间的网络服务器修改。Sip同样也定义了一个授权消息头,用于用户向服务器鉴别身份。
(3).访问控制机制
在对请求访问资源的用户完成了身份鉴别后,通过访问机制对可访问资源或服务进行有效的控制,并不是所有资源或服务对通过身份鉴别的用户都是可访问的。
3.结束语
本论文重点考虑了wap技术的安全问题,从应用层上对无线移动网络的安全问题提出解决方案,在无线数据链路层中未考虑GSm的安全机制,所以对GSm承载网络的安全机制考虑的不够。针对无线移动应用系统的普及,特别是随着电子商务与电子政务的大规模应用,无线移动网络的安全技术一定会迅速发展。