張軼北 蔡大鵬
北京青年政治學院 北京 100102
隨著廣大師生對網(wǎng)絡要求的增高以及終端設備的多樣性,校園網(wǎng)對終端的多樣性和網(wǎng)絡拓撲的靈活性有了更高的要求。在此情況下無線局域網(wǎng)越來越多地被引入到校園網(wǎng),成為了師生進行教學、科研和學習的主要網(wǎng)絡。但由于無線局域網(wǎng)安全性相比有線局域網(wǎng)存在較多隱患,因此越來越多的網(wǎng)絡攻擊發(fā)生在無線局域網(wǎng)中。對無線局域網(wǎng)的依賴和安全性隱患成了一對矛盾,如何保障無線校園網(wǎng)的安全成了亟待解決的問題。
從理論上來說,無線網(wǎng)絡安全性弱于有線網(wǎng)絡。因為被攻擊端的電腦與攻擊端的電腦并不需要網(wǎng)線設備上的連接,他只要在你無線路由器或中繼器的有效范圍內(nèi),就可以進入你的內(nèi)部網(wǎng)絡,訪問你的資源,如果你在內(nèi)部網(wǎng)絡傳輸?shù)臄?shù)據(jù)并未加密的話,更有可能被人家窺探你的數(shù)據(jù)隱私。此外,無線網(wǎng)絡就其發(fā)展的歷史來講,遠不如有線網(wǎng)絡長,其安全理論和解決方案遠不夠完善。所有的這些都將導致無線網(wǎng)絡的安全性比有線網(wǎng)絡差。 而無線局域網(wǎng)受攻擊主要有以下表現(xiàn):
(1) 用戶名和密碼威脅
無線網(wǎng)絡都是通過一個無線路由器或中繼器來訪問外部網(wǎng)絡。通常這些路由器或中繼器設備制造商為了便于用戶設置這些設備建立起無線網(wǎng)絡,都提供了一個管理頁面工具。這個頁面工具可以用來設置該設備的網(wǎng)絡地址以及賬號等信息。為了保證只有設備擁有者才能使用這個管理頁面工具,該設備通常也設有登錄界面,只有輸入正確的用戶名和密碼的用戶才能進入管理頁面。然而在設備出售時,制造商給每一個型號的設備提供的默認用戶名和密碼都是一樣,不幸的是,很多校園網(wǎng)用戶購買這些設備回來之后,都不會去修改設備的默認的用戶名和密碼。這就使得黑客們有機可乘。他們只要通過簡單的掃描工具很容易就能找出這些設備的地址并嘗試用默認的用戶名和密碼去登錄管理頁面,如果成功則立即取得該路由器/交換機的控制權(quán)。并且無線網(wǎng)絡在默認傳輸中使用明文傳輸,易被竊取用戶名和密碼。在攻擊者獲得管理員用戶名和密碼之后,便可以進入系統(tǒng)進行高級別操作,造成毀壞性。
(2) 帶寬搶占
校園網(wǎng)的無線AP使得無線信號覆蓋全校園甚至周邊地區(qū),非學校人員可通過暴力破解的方式獲取密碼占用無線網(wǎng)絡帶寬,使得校園網(wǎng)無線帶寬變得緊張,影響師生使用無線網(wǎng)絡。
(3) 信號壓制
目前校園區(qū)域往往有多個無線信號,比如某一辦公室自行接入無線路由器便形成一個無線信號。非法入侵者可偽造一個強信號并將名字偽裝成校園無線網(wǎng)信號,來騙取師生登錄,進而獲得信息并影響師生使用無線網(wǎng)。
(4) 其它常見攻擊
有線網(wǎng)中的服務拒絕、蠕蟲、木馬和間諜軟件等攻擊也存在于無線網(wǎng)絡中。
目前,無線網(wǎng)絡均使用身份認證系統(tǒng)。本文將數(shù)字簽名加密技術(shù)加入到身份認證系統(tǒng)中以增強網(wǎng)絡安全性。
(1) 身份認證技術(shù)。身份認證系統(tǒng)的構(gòu)成: 動態(tài)認證系統(tǒng)主要由令牌、身份認證軟件、API接口三部分組成。動態(tài)身份認證技術(shù)特點表現(xiàn)為:適應各種網(wǎng)絡環(huán)境;對信息資源提供深度保護;遵循相關(guān)標準協(xié)議,具備高度通用性;利用函數(shù)對接實現(xiàn)與客戶軟件無縫連接;提供令牌和認證服務器的物理安全保護,防止強行竊取相關(guān)信息;采用專用認證服務軟件進行集中認證,既提高效率、又簡化系統(tǒng)管理。認證系統(tǒng)與客戶系統(tǒng)集成。
動態(tài)身份認證服務器提供了與客戶服務器的軟件接口,即認證服務接口函數(shù)。通過對它的調(diào)用得到認證服務器提供的認證服務。函數(shù)接受調(diào)用請求后,能自動決定把請求發(fā)往認證服務器或后備服務器,隨后把認證結(jié)果返回給客戶服務器。當客戶服務器上的應用程序收到網(wǎng)絡客戶的存取要求時,調(diào)用令牌, 認證客戶端函數(shù),后者負責向認證服務器發(fā)送認證請求并反饋認證結(jié)果。應用程序根據(jù)反饋的認證結(jié)果決定用戶訪問授權(quán)或請求拒絕。
(2) 目前校園無線網(wǎng)絡一般使用“雙認證”方式,即用戶身份于數(shù)據(jù)庫中進行比對來確認用戶身份,另外一個是登錄名和密碼比對,這兩種普通認證方式存在安全隱患,容易被攻擊者攻破。因此將數(shù)字簽名技術(shù)被引入到校園無線網(wǎng)絡中,而且隨著無線AP節(jié)點性能的提升,經(jīng)過驗證將數(shù)字簽名加密技術(shù)加入無線網(wǎng)絡并不影響網(wǎng)絡傳輸質(zhì)量。
(3) 數(shù)字簽名是基于公共密鑰的身份驗證,公開密鑰的加密機制提供了良好的保密性,但難以鑒別發(fā)送者,即任何得到公開密鑰的人都可以生成和發(fā)送報文,數(shù)字簽名機制則在此基礎(chǔ)上提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。數(shù)字簽名的簽名算法至少要滿足以下條件:簽名者事后不能否認;接受者只能驗證;任何人不能偽造;雙方對簽名的真?zhèn)伟l(fā)生爭執(zhí)時,有SA(安全聯(lián)盟)進行判定。目前數(shù)字簽名技術(shù)的研究主要是基于公鑰密碼體制。比較著名的數(shù)字簽名算法包括RSA 數(shù)字簽名算法和DSA。這里數(shù)字簽名采用對稱加密技術(shù),通過對DSA加密算法整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算,如其結(jié)果為明文,則簽名有效,證明對方的身份是真實的??紤]到無線網(wǎng)絡相比于有線網(wǎng)絡健壯性相對不足,因此不采用更加耗費資源的非對稱算法,這里應用Shamir門限機制來加密。
圖1 認證系統(tǒng)流程圖
門限機制是一種應用于密碼學的機制,Shamir門限機制由于加密算法并不過于復雜,因此在網(wǎng)絡安全中應用較實用。
Shamir提出基于多項式的(t,n)門限方案,該方案表述如下:
網(wǎng)絡系統(tǒng)中一個t-1次多項式:f(x)=s+a1x+a2x2+....+at-1xt-1(modq)
其中a1,a2,...,at-1∈Zq,且f(0)=sNi(1≤i≤n)隨機選擇各不相同的數(shù)v1,v2,...,vn-1∈Zq,系統(tǒng)為每個節(jié)點計算fi值,fi為每個節(jié)點擁有的私鑰部分。那么在無線網(wǎng)絡中任意t個節(jié)點可以一起恢復出主密鑰,其中而少于t個節(jié)點則無法恢復出主密鑰s,上式由拉格朗日插值公式得到證明。
在Linux系統(tǒng)環(huán)境下實現(xiàn)該算法,以20個節(jié)點為例進行了模擬仿真,證明了其可用性,并且經(jīng)過抓包測試對網(wǎng)絡傳輸速度不產(chǎn)生影響。
基于Shamir門限機制的認證體系的研究,為校園無線網(wǎng)絡建設的認證奠定堅實的基礎(chǔ)。結(jié)合獲取終端更多的物理特征信息,將會使本認證體系更為完善,使高校園無線網(wǎng)的安全性。認證系統(tǒng)與防火墻策略、路由策略、服務器訪問策略的一起發(fā)揮作用,將有助于實施對校園網(wǎng)網(wǎng)絡安全的管理。
[1] 楊義先,鈕心悕.網(wǎng)絡安全理論與技術(shù)[Z].北京:人民郵電出版社.2005.
[2] 李園,王燕鴻,張鉞偉.無線網(wǎng)絡安全性威脅及應對措施[J].現(xiàn)代電子技術(shù).2007.
[3] 王秋華,章堅武.淺析無線網(wǎng)絡實施的安全措施[J].中國科技信息.2005.
[4] XU Y N, CHING W Y. Electronic, optical, and structural properties of some wurtzite crystals[ J]. Phys Rev B.1993.
[5] WRIGHT A F, NELSON J S. Explicit treatment of the gallium 3d electrons in GaN using the plane wave pseudopotential method[J]. Phys Rev B.1994.
[6] 王育民,劉建偉.通信網(wǎng)的安全—理論與技術(shù)[M].陜西:西安電子科大出版社.1999.
[7] 盧開澄.計算機密碼學—計算機網(wǎng)絡中的數(shù)據(jù)保密與安全[M].北京:清華大學出版社.1998.