专利名称:基于无线防火墙的网络安全方法
技术领域:
本发明涉及无线网络防火墙系统,尤其涉及一种基于无线防火墙的网络安全方法,属于Wi-Fi技术领域,其系统构架同样可应用于其他无线技术,如Zigbee和WiMAX。
背景技术:
网络通信发展的永恒主题是使人们能自由获得网络资源,而安全性保障是实现这一目标的关键要素和必要条件。安全性保障的缺失必然导致网络非法操作并继而影响上层通信内容的安全。随着Wi-Fi技术的逐步成熟,其价格已相当便宜,其潜在的应用领域非常广泛。目前,阻碍Wi-Fi在关键领域应用的主要原因是安全隐患,安全已经成为Wi-Fi的发展瓶颈。为了解决安全这个难题,国内外相关领域的专家已经进行了广泛的研究,并提出了各种适合于无线网络的安全协议,有些已经被批准为国际标准,例如在国际上得到广泛应用的IEEE 802. Ili和我国提出的无线网络安全标准WAPI (无线局域网鉴别和保密基础结 I^J, WLAN Authentication and Privacy Infrastructure)。 WAPI示t示JtU^S 织/国际电工委员会(IS0/IEC)于2010年6月批准为国际标准,这无疑将提升我国在信息技术安全领域的国际地位。然而,尽管这些安全标准为无线网络的通信安全提供了重要的保护,但是还远未达到完美的程度,并且也无法达到完美的境界,由网络安全机制的复杂性决定。
发明内容
本发明的目的是克服现有技术存在的不足,提供一种基于无线防火墙的网络安全方法,旨在提高Wi-Fi无线网络的安全性,防范黑客的攻击。本发明的目的通过以下技术方案来实现
基于无线防火墙的网络安全方法,特点是无线防火墙功能作用在OSI的MAC层,无线防火墙包含入侵侦测与入侵预防模块和第一帧钩子以及第二帧钩子,入侵侦测与入侵预防模块位于系统的用户空间,第一帧钩子连接操作系统的内核空间与用户空间,第一帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第一帧钩子的另一端在用户空间内并和入侵侦测与入侵预防模块相连,第一帧钩子将无线网卡驱动程序接收到的帧传递到入侵侦测与入侵预防模块,帧处理后,通过第一帧钩子送回驱动程序,或删除;第二帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第二帧钩子的另一端在用户空间内并和帧封装模块相连。进一步地,上述的基于无线防火墙的网络安全方法,其中,无线防火墙构造必要的帧通过第一帧钩子发送到无线网卡驱动程序,以改变IEEE802. 11状态机器的状态;第一帧钩子传递无线接口接收到的所有帧,或通过配置过滤器,选择部分帧传递到入侵侦测与入侵预防模块。本发明技术方案突出的实质性特点和显著的进步主要体现在
本发明有效提高抗黑客攻击能力,改善无线网络的可用性;增强数据的私密性,例如抵抗中间人攻击的能力。侦测到欺骗攻击;侦测到协议的不一致性;侦测到网络行为的不一致性;预防欺骗攻击;保护易受攻击的帧;增强网络的可用性;由于禁用了易受攻击的加密算法,使得数据的私密性更好。
下面结合附图对本发明技术方案作进一步说明 图1 无线防火墙构架示意图。
具体实施例方式通过无线防火墙来实现,主要采用无线网络入侵侦测和预防技术。无线防火墙功能作用在OSI的第二层即MAC层25 (MAC层即数据连接层,OSI包括Wi-Fi无线网卡23、驱动程序M、MAC层25、网络层沈及网络层以上各层),新型的无线防火墙构架,如图1所示, 无线防火墙包含入侵侦测与入侵预防模块11和第一帧钩子(Frame Hook)21以及第二帧钩子22,入侵侦测与入侵预防模块11位于系统的用户空间1,第一帧钩子21连接操作系统的内核空间2 (Kernel Space)与用户空间(User Space)l,第一帧钩子21的一端在操作系统内核空间2的无线网卡驱动程序M内,第一帧钩子21的另一端在用户空间内和入侵侦测与入侵预防模块11相连,第一帧钩子21将Wi-Fi无线网卡驱动程序M接收到的帧传递到解封装、入侵侦测与入侵预防模块11,帧处理后,通过帧钩子送回驱动程序对,或删除;第二帧钩子22的一端在操作系统内核空间2的无线网卡驱动程序M内,第二帧钩子22的另一端在用户空间内和帧封装模块12相连。无线防火墙可构造必要的帧通过帧钩子发送到驱动程序,以改变IEEE802. 11状态机器的状态。帧钩子可传递无线接口接收到的所有帧,也可通过配置过滤器(Filter),选择部分帧传递到无线防火墙模块。第一帧钩子21的一端位于驱动程序从无线网卡成功接收到IEEE802. 11帧后将其传递给IEEE802. 11 MAC处理的点上。第二帧钩子22的一端位于驱动程序将需要发送的帧传递给无线网卡的处理点上。(一)入侵侦测-异常侦测算法(AnomalyDetection Algorithm - ADA ) 黑客的入侵和攻击往往导致异常事件,这可表现在信息/状态/行为的不一致性。通
过检测这些不一致性,可以确定是否有黑客攻击行为。本发明的不一致性检测包括1)MAC 层25和网络层沈发送方式的不一致性如果MAC层25是以组播或广播方式发送的,而目的主机的IP地址却是单播地址,则可认为是一种欺骗攻击,例如黑客利用IEEE802. 11 MAC 的196号漏洞进行的攻击,等等;2) MAC帧的发送方式与协议约定的不一致性如果协议约定的帧发送方式和实际的帧发送方式不一致,则认为是一种欺骗攻击;例如ARP响应帧应该用单播的方式发送,如果该帧是以广播方式发送,则可认为是ARP欺骗攻击;3)网络行为的不一致性如果一个设备接收到了来自另一个设备的多个终止关联(Disassociation) 或终止认证(Deauthentication)通知,同时还不断收到来自该设备的数据包或认证 (Authentication)和关联(Association)请求,同时收到的认证或关联或数据帧的信号强度超过预先设定的阈值,或者来自该设备的误码率或误帧/包率低于预先设定的阈值(用以防止因为信号太弱或设备故障造成的误判),则可认为有黑客针对网络的攻击。
(二)入侵预防-帧封装技术和帧丢弃/注入技术(Frame Encapsulation Protocol and Frame Dropping/Injection Scheme)
采用两种技术进行防护帧封装技术和帧丢弃/注入技术。帧封装技术适合于AP和客户端都安装了无线防火墙的情形。帧丢弃/注入技术适合各种情况,可以只装在一端(AP或客户端),也可以同时装在两端(AP和客户端)。1)帧封装技术
为加强系统的安全性能,采用本技术的系统必须使用加密方案,并且禁止使用WEP,以防止密码被破解。在无线客户端与AP成功认证和关联,并取得密钥后,对易受攻击帧(如 Deauthentication, Disassociation, EAPOL-START 和 EAP0L-L0G0FF 帧等)采取保护措施。 其方法是使用封装技术,例如将需要保护的帧用CCMP (CTR with CBC-MAC Protocol,计数器模式密码块链消息完整码协议)进行封装,这要求系统采用AES加密技术。进行帧封装处理后,可以取得如下保护效果针对TOP的攻击将无法实施(本方案中禁止WEP的使用)。无法伪造被保护的帧对系统进行攻击。只要密钥没有泄漏,可以保证被保护的帧不能被第三方伪造(数据私密性),保证被保护的帧的内容在传输过程中不会被修改(数据完整性),保证该帧一定是持有相应密钥的实体发送的(不可抵赖性),防止重放攻击(Iteplay)0接收防火墙在接收到被保护的帧后,解封装,恢复正常帧结构以供系统正常使用。2)在由入侵侦测模块侦测到攻击后,入侵预防模块进一步采取以下措施帧丢弃和帧注入。帧丢弃-将入侵帧丢弃,由于帧被丢弃在进入MAC层25之前,因此可以起到防范攻击的作用。任何工作在MAC层25以上(如网络层沈)的机制都无法直接防范无线攻击, 因为当检测到攻击数据包时,该数据包已经穿越了无线链路层,已经达到了攻击的目的;相当一部分攻击帧是不需要到达(也没法到达)网络层,因此在MAC层以上的机制,无法预防在无线链路上发生的事件。帧注入-在检测到攻击帧后,如果能从攻击帧中解析出攻击者的真实MAC地址 (例如从ARP帧中),入侵预防模块构造一个Deauthentication或Disassociation帧通过第一帧钩子注入到设备的MAC层中,取消攻击者和本设备的关联或认证状态。当关联被断开后,黑客就无法进行攻击了(内部攻击)。如果必要(例如黑客不断尝试连接),入侵预防模块可以周期性地注入Deauthetication/Disassociation帧,使得黑客无法接入网络。值得注意的是在这里入侵预防模块并不需要通过无线网卡发送相应的帧,而只是注入到本机设备中。这一点与现有技术的相关专利和文献中提出的主动发送Deauthentication/ Disassociation帧(通过网卡接口)是有本质区别的。无线防火墙运行流程
①客户端接入AP,通过认证和关联,取得加密密钥;
②AP或客户端若支持无线防火墙,启动无线防火墙的入侵侦测和帧丢弃/注入模块;
③客户端等待AP询问是否支持无线防火墙,如果没有接到AP的询问,则不启动帧封装协议;
④AP给客户端发送询问,以确定客户端是否支持无线防火墙;
⑤如果客户端也支持无线防火墙,双方协商需保护的帧,协商完成后启动帧封装协议;如果客户端不支持无线防火墙(客户端没有应答AP的询问),则不启用帧封装协议;
⑥若AP和客户端均支持帧封装协议a)帧封装协议拦截需要发送的帧(通过第二帧钩子),如果需要,进行封装后发送;b)帧封装协议拦截驱动程序接收到的帧(通过第一帧钩子),如果需要进行解封装,则将该帧解封装,将其恢复为标准的IEEE802. 11帧;如果接收到的帧是需要被封装的却没有被封装,则将该帧丢弃。综上所述,本发明显著提高抗黑客攻击能力,改善无线网络的可用性;增强数据的私密性,例如抵抗中间人攻击(Man-h-The-Middle)的能力。侦测到部分欺骗攻击;侦测到协议的不一致性;侦测到网络行为的不一致性;预防部分欺骗攻击;保护易受攻击的帧;增强网络的可用性;由于禁用了易受攻击的加密算法,使得数据的私密性更好。需要理解到的是以上所述仅是本发明的优选实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.基于无线防火墙的网络安全方法,其特征在于无线防火墙功能作用在OSI的MAC 层,无线防火墙包含入侵侦测与入侵预防模块和第一帧钩子以及第二帧钩子,入侵侦测与入侵预防模块位于系统的用户空间,第一帧钩子连接操作系统的内核空间与用户空间,第一帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第一帧钩子的另一端在用户空间内并和入侵侦测与入侵预防模块相连,第一帧钩子将无线网卡驱动程序接收到的帧传递到入侵侦测与入侵预防模块,帧处理后,通过第一帧钩子送回驱动程序,或删除;第二帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第二帧钩子的另一端在用户空间内并和帧封装模块相连。
2.根据权利要求1所述的基于无线防火墙的网络安全方法,其特征在于无线防火墙构造必要的帧通过第一帧钩子发送到无线网卡驱动程序,以改变IEEE802. 11状态机器的状态;第一帧钩子传递无线接口接收到的所有帧,或通过配置过滤器,选择部分帧传递到入侵侦测与入侵预防模块。
全文摘要
本发明涉及基于无线防火墙的网络安全方法,无线防火墙在OSI的MAC层,无线防火墙包含入侵侦测与入侵预防模块和第一帧钩子以及第二帧钩子,入侵侦测与入侵预防模块位于系统的用户空间,第一帧钩子连接操作系统的内核空间与用户空间,第一帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第一帧钩子的另一端在用户空间内并和入侵侦测与入侵预防模块相连,第一帧钩子将无线网卡驱动程序接收到的帧传递到入侵侦测与入侵预防模块,帧处理后,通过帧钩子送回驱动程序,或删除;第二帧钩子的一端在操作系统内核空间的无线网卡驱动程序内,第二帧钩子的另一端在用户空间内并和帧封装模块相连。本发明提高抗黑客攻击能力,改善无线网络可用性。
文档编号H04W12/00GK102378166SQ20111026643
公开日2012年3月14日 申请日期2011年9月9日 优先权日2011年9月9日
发明者周伯生 申请人:周伯生