无线网络(WLAN)军用安全问题探讨
摘 要:本文主要探讨了WLAN军用的价值、要求与安全性、安全性优化途径预计未来发展与应用趋势等方面的问题,以供与大家交流学习。
关键词:无线网络,WLAN军用,安全性,发展
中图分类号:T393.08 文献标识码:A 文章编号:
1.引言
无线局域网WLAN以其方便、快捷、廉价等诸多优势,这几年在民用领域取得了长足的发展和巨大的成功。同时无线局域网的诸多特性也符合现代战争对军事通信提出的许多新要求。因此将无线局域网用于军事通信领域,这也是一个值得研究的课题,尤其是对其标准问题和安全问题的持续探索上。
军用的价值
可以想象,在信息战争和战场中,由于地点不确定而无法在移动时访问局域网网络、增加新用户时原有的端口不够用等诸如此类问题的困惑。随着无线网络技术的快速发展和成熟,这些问题迎刃而解。无线网络(WLAN),即以无线电波等来代替有线局域网(LAN)中的部分或全部传输媒介,它是有线网络的补充和延伸。在进行网络规划中,在适当的场合选用一些无线设备,并配置可行的网络方案,可以加强我军指挥或者作战网络的灵活性,可以作为紧急情况下的备用方案考虑,因此探讨使用无线网络在军队的使用具有重要的军事技术价值和军事战略意义。
3. WLAN军用的一般要求和安全性
3.1系统功能要求
军用无线局域网络系统功能要求一般为:(1)提供一个开放的通用局域网络平台;(2)能实现网络内信息资源共享;(3)能进行视讯传输,实现后方支援功能;(4)根据GPS数据信息自动定位;(5)可实现“数据、视频、语音”的有效传输,能方便进行网络接续;(6)网络传输的数据安全保密;(7)解决复杂环境(多山地域)下无线网络的连通问题;(8)天线的自动定向;(9)系统有较强的抗干扰能力;(10)系统要有较高的稳定性;(11)系统操作实现智能化;(12)短波电台拨号组网功能。
3.2WLAN的安全性
WLAN经过这几年的快速发展,已经能够逐步满足以上这些功能,在最关注的安全性上,现在也逐步得到解决。国外采用空间屏蔽技术,使WLAN可保证军用级射频安全性。无线局域网的安全性是困扰军方采用无线局域网方案最为关注的一大问题,通常即使有包加密,网络仍然容易受到被动窃听的攻击,当采用无线连接时,这些包内的信息就被收集。目前,无线技术基础设施专业公司Meru Networks开发出一种安全软件,这种软件能够阻挡那些会对正常信号造成干扰的源自非法接入点的无线电信号,从而在RF信号级保护了无线网络。所采用的微扫描(Micro-scanning)技术令网络上的每一个接入点都能同时作为监控器和Wi-Fi接入点而工作,无需干扰通达客户的服务。这对运行无线VoIP尤其重要,目前该产品在市场的升级费用约为每接入点50美元。对于我国来说,积极研究和开发适合军用的无线网络系统,还需要在安全性上持续进行技术创新和改革。
4. WLAN军用安全性的优化途径
无线网络要在军队中应用,最先考虑无线环境的"安全性",其中包含了两个最重要的因素"连接控制"与"数据保密"。连接控制在于确保机密资料只能由被授权的使用者存取;而数据保密则侧重透过无线网络传递的资料只能被特定使用者接收与解读。
4. 1使用无线网络自带的安全手段
无线网路协议802.11标准在连接控制方面,制定了包含开放与共享密钥的两种无线网路客户端认证机制;除此之外还提供了服务识别码SSID (Service Set Identifier)和MAC地址认证机制。在802.11标准中采用WEP加密法来保护无线网络基站与客户端网络间的资料安全。其加密方式为利用40位或128位的密钥,透过RC4演算法对资料进行加密。 WEP密钥还可被视为一种控制存取的机制,当使用者缺少WEP密钥时,将无法从无线网络存取点接收或传送资料。
(1)开放式认证。开放式认证本身是一种无效的认证演算法,如果没有配合数据加密技术,无线网路基站将会准予任何来自客户端的认证要求,即任何知道基站SSID的客户端装置,都可以连线到此网络。但若基站使用了WEP数据加密,WEP密钥就成为了另一种存取控制机制。假设没有WEP密钥,客户端就算是通过了认证,也无法传送资料到基站,更不用说将基站传送出来的信息解码。
(2)共享密钥式认证。共享密钥式认证是802.11标准中的第二种认证模式,其要求客户端先设定一个静态的WEP密钥;客户端首先将共享密钥的认证要求(Authentication Request)传送给基站;基站再传送包含了认证字串的认证回应(Authentication Response);客户端使用其设定的WEP密钥将该认证字串加密编码之后再传送一个包含此加密信息的认证要求给基站;如果基站可以成功地解密该消息,且此数据能与原传送的认证字串相符合,则基站将传送连接回应(Association Response)并开放与该客户端的连接。
(3)服务识别码SSID。SSID主要是用来划分不同无线网络服务的区域,一般而言,客户端需要设定适当的服务识别码才能读取到无线网络。
(4)MAC地址认证。MAC地址认证并不包含于802.11标准中,但是有很多无线设备供应商,运作逻辑为基站可针对事先设定好的MAC地址名单,或是透过认证服器来对客户端进行认证;主要目的是加强开放式与共享密钥式的认证机制,进一步限制未经过授权的客户端装置对网络进行存取的动作。
以上四种安全机制在安全上都存在一定的缺陷,开放式认证如果不配合其它安全措施,极易被攻击;共享密钥式认证数据在被截获后,也可以进行解密;服务识别码SSID可以通过无线网络分析器,例如Sniffer Pro,即可从资料封包中找出基站的SSID。MAC地址认证中的MAC地址以不加密的方式传送,因此入侵者可直接经由监听无线网路,取得一个可用的MAC地址。
针对以上四种认证机制存在的缺陷,后面提供了网络层的加密技术IPSec、基于相互认证以及密钥发送方式的802.1x标准来加强无线网络数据传输和控制的安全。
(1)IPSec。IPSec是一种开放式的通讯协议,能确保私有资料在IP网络上传送时的安全性。在无线环境中使用IPSec,必须在每个无线网络的客户端上安装IPSec,并且在无线基站和有线网络中间架设VPN通道,而任何无线网络客户端要传送到有线网络的通讯,也都必须建立IPSec通道。IPSec使用3DES演算法,并利用3个不同的密钥将资料加密三次,借此确保资料的安全性。
(2)802.1x与EAP标准。IEEE 802.1x 与EAP(Extens
ible Authentication Protocol,可扩充式验证协议)是新一代的无线网路安全标准。让企业可采用符合标准且能集中管理的安全性架构,来部署数千个使用者的无线网路环境。EAP允许无线网路客户端使用多种不同的认证方式,来与后端的认证服务器沟通。
4.2开发针对无线数据加密模块
无线网路协议802.11以及IEEE 802.1x标准都提供了开发接口,用户可以根据自己的需要进行二次开发,针对军队安全保密的特殊要求,可以开发单独的数据加密模块,军用无线网络的所有客户端都使用加密模块,这样可以保证加密和安全的需求。
5. 结束语
今后,还需要研究的方向是军用无限局域网的标准领域,无线局域网标准(WIFI)的军事应用,解决的是固定式军用网络与移动平台、战场单兵相链接的“最后1英里”(Last mile)到底采用何种军用无线局域网。
还值得的提出的是,要将其用于军事通信系统,还面临:民用系统发展很快,标准变化太快;需要更可靠的信息安全机制;抗干扰、抗截获性能有待提高;传输距离不太远;为了适应野战条件和移动通信的需要,要解决功耗和电源问题;要开发出适合野战条件的防水、防震等的数据终端。同时,WLAN也正向高频大容量发展。毫米波(30-300GHz)WLAN可提供1-2GHz的传输带宽。2001年5月,日本通信综合研究所对其开发的60GHz的毫米波WLAN进行了实验。毫米波具有抗多径,方向性好等特点,并且由于毫米波在自由空间中的衰耗较大,传输距离较小,敌方很难进行有效的干扰和截获。因此,毫米波WLAN在军事通信领域中具有极好的发展前景。总之,关注安全性、将无线局域网用于军事通信领域,这会是一个长期值
上一篇:数字电视技术的应用及发展趋势