无线网络的安全

2024-10-15

无线网络的安全（精选11篇）

无线网络的安全篇1

随着信息化技术的飞速发展, 很多单位都开始实现无线网络的覆盖, 以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量, 为用户提供了便捷的网络服务, 但同时也由于无线网络本身的特点造成了安全上的隐患。具体来讲, 就是无线介质信号由于其传播的开放性设计, 使得在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获, 利用漏洞来攻击网络。因此, 如何在组网和进行网络设计的时候为无线网络和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。

一、无线通信网络中的不安全因素

无线通信网络之所以得到广泛的应用, 是因为无线网络的建设不像有线网络那样受到地理环境的限制, 无线通信用户也不会受到通信电缆的限制, 而是可以在移动中通信。无线通信网络的这些优势都来自于它们所采用的无线通信信道, 而无线信道是一个开放的信道, 它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素, 如通信内容容易被窃听、通信内容可以被更改和通信双方身份可能被假冒等。当然, 无线通信网络同时也存在着有线通信网络所具有的不安全因素。

1. 无线窃听。

在无线通信网络中, 所有网络通信内容 (如移动用户的通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间信令信息等) 都是通过无线信道传送的。而无线信道是一个开放性信道, 任何具有适当无线设备的人均可以通过窃听无线信道来获得上述信息。虽然有线通信网络也可能会遭到搭线窃听, 但这种搭线窃听要求窃听者能接触到被窃听的通信电缆, 而且需要对通信电缆进行专门的处理, 这样就很容易被发现。而无线窃听相对来说比较容易, 只需要适当的无线接收设备即可, 而且很难被发现。

2. 截取和篡改传输数据。

如果攻击者能够连接到内部网络, 则他可以使用计算机通过伪造网关等途径来截获甚至修改两个合法用户正常传输的网络数据。

信息篡改攻击在一些“存储-转发”型有线通信网络 (如因特网等) 中十分常见的, 而在一些无线通信网络如无线局域网中, 两个无线站之间的信息传递可能需要其他无线站或网络中心的转发, 这些“中转站”就可能篡改转发的消息。对于移动通信网络, 当主动攻击者比移动用户更接近基站时, 主动攻击者发射的信号功率要比移动用户的信息强很多倍, 使得基站忽略移动用户发射的信号而接收主动攻击者的信号。这样, 主攻攻击者就可以在篡改移动用户的信号后再传给基站。在移动通信网络中, 信息篡改攻击对移动用户与基站之间的信令传输构成了很大的威胁。

二、常见的无线网络安全措施

综合上述, 针对无线网络的各种安全威胁, 我们不难发现, 把好“接入关”是我们保障企业无线网络安全性的最直接的方法。目前的无线网络安全措施基本都是在接入关对入侵者设防, 常见的安全措施有以下2种。

1. MAC地址过滤。

MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段, 因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址 (MAC地址) 下发到各个AP中, 或者直接存储在无线控制器中, 在AP交换机端进行设置。

2. 隐藏SSID。

SSID (一种标识符服务标识符) 是用来区分不同的网络, 其作用类似于有线网络中的VLAN, 计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了, SSID经常被用来作为不同网络服务的标识。一个SSID最多由32个字符构成, 无线终端接入无线网路时必须提供有效的SSID, 只有匹配的SSID才可以接入。一般来说, 无线AP会广播SSID, 这样接入终端可以通过扫描获知附近存在哪些可用的无线网络, 例如WINDOWS XP自带的扫描功能, 可以将能联系到的所有无线网络的SSID罗列出来。因此, 出于安全考虑, 可以设置AP不广播SSID, 并将SSID的名字构造成一个不容易猜解的长字符串。这样, 由于SSID被隐藏起来了, 接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络, 即使知道有一个无线网络存在, 但猜不出SSID全名也无法接入到这个网络中。

三、无线网络安全措施的选择

系统应用的方便性与安全性之间永远是一对矛盾。安全性越高, 则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中, 我们不能不考虑应用的方便性。因此, 我们在选择无线网路安全措施的时应该均衡考虑方便性和安全性的问题。

在接入无线AP时采用WAP加密模式, 又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID, 因此不隐藏SSID, 以提高接入的方便性。这样在接入时只要第一次需要输入接入的密码, 以后就可以不用输入接入密码了。

使用强制Portal+802.1x这两种认证方式相结合的方法能够有效地解决无线网络的安全问题, 具有一定的现实意义。来访用户所关心的是方便和快捷, 对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件, 用户直接使用Web浏览器认证后即可上网。采用此种方式, 对来访用户来说简单、方便和快速, 但安全性较差。

此外, 在资金充足的前提下, 在无线网络中使用无线网络入侵检测设备进行主动防御, 也是进一步加强无线网络安全性的有效手段。任何的网络安全技术都是在人的使用下发挥作用的, 因此, 最后一道防线就是使用者, 只有每一个使用者加强无线网络安全意识, 才能真正实现无线网络的安全。否则, 黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。HK

无线网络的安全篇2

2.1容易被入侵

工业无线网络的无线信号是广播的状态，即在特定范围内的用户都可以发现Wi-Fi信号的存在，任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式，如WEP、WPA和WPA2协议等，但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络，一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码，一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外，还有可能利用社会工程学的入侵手段进行接入，如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。

2.2有限带宽容易被恶意攻击占用和地址欺骗

入侵者在接入Wi-Fi网络后发送大量的ping流量，或者向无线AP发送大量的服务请求，无线AP的消息均由入侵者接收，而真正的移动节点却被拒绝服务，严重的可能会造成网络瘫痪；入侵者同时发送广播流量，就会同时阻塞多个AP；攻击者在与无线网络相同的无线信道内发送信号，而被攻击的网络就会通过CSMA/CA机制进行自动使用，这样同样会影响无线网络的传输；恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见，入侵者恶意堵塞网络，极有可能是要故意破坏生产环境，造成一定的损失。在工业生产中可用性应该是第一位的，对工业网络安全来说，保证网络的可用性也是第一位的`。所以这种威胁对工业无线网络来说威胁是比较大的。

2.3数据在传输的过程中很容易被截取

通过监听无线通信，入侵者可从中还原出一些敏感信息；当工业无线网络传输数据被截取后，入侵者甚至可能伪造某些指令给工业生产造成损失。

2.4伪造AP入侵者

可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中，无法正常工作。

2.5高级入侵

只要是入侵者采用合法或者非法手段接入无线城区，他就可以以此作为入侵其它系统的跳板，采用黑客手段攻击其它系统或网络，而他的行踪则很难被追寻；或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤，攻击者不但能够获取无线账户及密码，遭遇到更深层面的欺诈等。

3结束语

论无线网络的安全威胁及对策篇3

一、无线网络存在的安全威胁

1.有线等价保密机制的弱点

(1)加密算法过于简单。WEP(有线保密)中的IV(初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(循环冗余校验),只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。

(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。

(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。

2.进行搜索攻击

进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。很多无线网络不使用加密功能,或即使加密功能也是处于活动状态,如果没有关闭AP(无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,可给黑客提供入侵的条件。

3.信息泄露威胁

泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监听和分析通信量,从而识别出可以破解的信息。

4.无线网络身份验证欺骗

欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。

5.网络接管与篡改

同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输入自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。此外,还包括拒绝服务攻击、用户设备安全威胁,在此不详细论述。

二、无线网络采用的安全技术

1.扩展频谱技术。扩频技术是用来进行数据保密传输、提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。

2.用户密码验证。为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。

3.数据加密。数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。

4.WEP配置。WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。

5.防止入侵者访问网络资源。这是用一个验证算法来实现的,在这种算法中,适配器需要证明自己知道当前的密钥,这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

6.端口访问控制技术。端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。

7.使用VPN技术。VPN(虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义。但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。

三、无线网络采取的安全措施

1.网络整体安全分析。网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。

2.网络设计和结构部署。选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,把基站看作RAS(远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。

3.启用WEP机制。要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点:一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本,来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。

4.MAC地址过滤。MAC(物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。

5.进行协议过滤。协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。

除上述五项应对安全措施外,屏蔽SSID广播、有效管理IP分配方式、加强员工管理也是有效的措施。在布置AP时,要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。

参考文献

[1]钟章队.无线局域网[M].北京:科学出版社,2004

无线网络的安全防范篇4

关键词：无线网络,网络安全,安全防范

一、引言

随着信息技术的飞速发展, 人们对网络通信的需求不断提高, 对Internet访问的持续性、移动性和适应性等方面取得很大进展, 近年来无线网络已经成为一种较为普及的网络访问方式, 并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势, 但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。

二、无线局域网中主要的安全防范技术

现在已经有一些较为有效的安全防范技术应用于无线网络中, 比较通行的有以下一些技术:

(1) 服务集标识符 (SSID) :Service Set Identifier相当于一个局域网的简单标志或口令, 它设置于无线接入点AP (Access Point) 上, 无线工作站要与AP连接必须要有一个和AP一致的SSID, 无线工作站可以籍此来选择想要来连接的网络, 从安全的角度来看, SSID提供一个较低级别的安全认证。

(2) 物理地址过滤 (MAC) :在小规模的网络中, 每一个被允许访问AP无线工作站的网卡的物理地址被登记下来, 设置在AP中作为允许访问的过滤条件, 在AP中没有登记的网卡无法访问AP。

(3) 连线对等保密 (WEP) :WEP是Wired Equivalent Privacy的简称, 是802.11b标准里定义的一个用于无线局域网 (WLAN) 的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性, 如同端对端发送一样。由于在WLAN中, 无需物理连接就可以连接到网络, 因此IEEE选择在数据链路层使用加密, 采用RC4对称加密技术, 用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源, 从而防止非授权用户的监听以及非法用户的访问。

三、无线局域网安全防范措施

1、建立更安全的网络构架

采用何种网络构架对于无线网络的安全具有决定性的作用, 随着人们对无线网络普遍使用, 无线网络的安全问题越来越重视。

(1) 采用端口访问技术 (802.1x) 进行控制, 防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定, 防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信, 提供便捷的认证方式。

(2) 对于密度等级高的网络采用VPN进行连接, 目前广泛应用于局域网络及远程接入等领域的虚拟专用网 (VPN) 安全技术。与802.11b标准所采用的安全技术不同, 在IP网络中, VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与802.11b安全技术结合起来, 是目前较为理想的无线局域网络的安全解决方案。

2、无线接入点的安全措施

(1) 在有条件的情况下, 可以采用支持WPA规范的设备, WPA标准作为一种可替代WEP的无线安全技术, 考虑到了不同的用户和不同的应用安全需要, 在企业模式下, 通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式 (包括小型办公室) 下, 在AP (或者无线路由器) 以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。

(2) 如果只能选择WEP加密技术, 则最好采用128位WEP加密, 并不要使用设备自带的WEP密钥。

(3) 禁止AP向外广播其SSID, 并设置复杂的SSID, 由于一般情况下, 用户自己配置客户端系统, 所以很多人都知道该SSID, 很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能, 自动连接到AP。所以这些措施是比较脆弱的, 但如果配置AP向外广播其SSID, 那么安全程度还将下降。

(4) 设置MAC过滤, 在AP中可以设定哪些MAC地址不能与AP通信, 这样可防止非法网卡登录到AP上, 也可以防止非法客户机访问AP下的无线网客户机。但应该知道, 实际上MAC是很容易被假冒的。

3、无线终端上的安全措施

系统管理员如果需要防止无线终端上的网络设置泄漏, 可以选用支持修改属性需要密码的网卡, 要开启该功能, 防止网卡属性被修改和信息泄漏。

与在传统网络中相比, 无线终端更应当注意安装防火墙等安全软件, 并及时更新系统漏洞补丁。

4、管理与培训

安全与管理是两个需要同等重视的问题, 而且是互相影响互相推动的。对于大型网络, 我们应该制定周密的计划, 支持多种安全策略应对不同的情况, 从而提高无线局域网的性能, 并能在企业无线局域网内支持新的移动模式。

数字校园的无线网络安全性研究篇5

关键词:数字校园 802.11 WEP

中图分类号:TP309文献标识码:A文章编号:1673-8454(2009)19-0029-03

早在2004年的网络建设调查中,校园网的覆盖率在全国大部分高校中已达到97%,已覆盖到科研、电教、图书馆、学生公寓等各个教学场地。虽然有线网络的覆盖点已遍布高校各个重要教学场所,但随着校园师生移动学习和办公要求越来越高,有线网络的接入受到环境、配套设施的限制。近几年,随着无线网络技术的发展,欧美的高校已开始大面积地部署校园无线网络。与此同时,国内发达地区的高校也利用WLAN技术,开始建设无线校园网络。无线网络的建设,使教学资源的利用从以往的固定桌面PC,延伸到移动便携、PDA、手机等。无线网络的资源利用率、灵活性、快捷性以及个性化受到众多师生青睐。但无线网络在建设中,最受到关注的仍然是安全问题。

无线网络具有移动性强、可靠性高、运行成本低且便于维护的优点,但也正是这些特性决定了它具有与普通有线网络不同的安全性要求。无线网络的安全涉及方方面面,本文主要针对无线网络协议分析,探讨校园无线网的安全问题和解决措施。

一、高校无线局域网的安全问题

高校通常采用WLAN技术在校园中建设无线网络。WLAN(Wireless Local Area Network)是指以无线信道作传输媒介的计算机局域网,目前广泛采用兼容802.11标准的无线接入点(AP)设备完成整个局域网络的建设。

1.SSID非法接入危害

无线接入点(AP)在使用时,SSID(Service Set Identifier)是用来标识一个无线网络的名称,以此来区分不同的网络。无线工作站必须使用正确的SSID,才能进入不同的网络。通常情况下,AP对SSID通过广播方式传输。开启SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号。移动设备通过无线网络查找就能访问得到SSID。这种方式虽然非常方便,但网络接入点完全暴露出来,未得到任何保护。

2.窃听、假冒身份与信息篡改

在无线网络中,所有的通信内容通过无线信道传送,传递的信息非常容易被窃听。从被窃听的数据包中,可以找到用户的相关信息。窃取者便可假冒合法用户的身份信息侵入网络,构成身份假冒攻击。

同时,被窃听的数据报文可能被窃听者篡改,用户正常的通讯信息受到严重干扰。一方面造成正常的通信内容被破坏,另一方面合法的访问链路遭到破坏。这对物理网络中的信令传输构成很大的威胁。

3.非法AP接入危害

WLAN无线频谱是一种固定资源。我国规定802.11a工作在5.8GHz频段频率范围,802.11b工作在2.4GHz频段,工业、科学、医疗设备也使用该频段,实现频率共用。由于频段资源有限,若私自建立AP接入点,相邻接入点就会出现同频干扰。其结果就是周边AP功率和信道都需要进行调整,这将使整个网络中上百台AP设备重新分配资源,严重影响网络质量。另外,在无线AP接入有线集线器时,会遇到非法AP的攻击,从而危害无线网络的宝贵资源。

二、无线网络协议和安全分析

1.无线网络协议

无线局域网协议包括802.11(a、b、g)以及为其安全访问所设立的WEP协议。802.11协议是一组用于无线局域网技术的行业标准,其中使用较广泛的是802.11b。802.11b在2.4-2.5 GHz的公共频段内以1、2、5.5或11 Mbps的速度传输数据。

在802.11协议族中,802.11a与802.11b相比,传输速率快,达到54Mbps。其工作频率在5GHz下,采用正交频分复用(OFDM)技术,可支持语音、数据、图像的传输。

802.11g在802.11b的基础上改进,支持2.4GHz工作频率以及直接序列展频技术(DSSS),并结合802.11a高速的特点以及OFDM技术。该协议可达到54Mbps传输速率,集中了802.11b和802.11a的优点。

2.IEEE 802.11协议的安全分析

802.11协议定义了有线等效加密(WEP)的加密规范。该规范在网络MAC层上采用RC4算法对节点间无线传输的数据实施加密,防止数据窃听后被篡改。WEP协议在传输时,采用共享密钥加解密传输数据。图1描述了WEP完成无线通讯的加密过程。

发送节点加密数据时,将共享密钥和一个24位的初始向量(IV)串接成种子。产生的种子输入到伪随机数发生器,产生密钥序列。明文和密钥序列进行异或运算得到密文。明文经过完整性校验算法处理得到完整检查码(ICV)。发送节点将生成的密文、初始向量及完整检查码送往接收节点。

接收节点收到信息时,将初始向量与共享密钥串接成伪随机数发生器的种子,经由伪随机数发生器处理后得到密钥序列。此序列与密文进行XOR运算后得到明文。为进一步检查数据在传送过程中是否篡改,接收节点重新计算ICV。若接收节点计算的ICV与原ICV不匹配,则接收节点拒绝该帧。

该加密算法体系逻辑严密,但存在着如下安全隐患。

(1)WEP协议中的核心是RC4算法,负责数据报文的加解密。然而,RC4算法本身存在一定缺陷。该算法在传输一定大小的数据包后,IV值会出现重复取值的问题。根据协议的加密过程可知,IV值在数据报文中以明文形式存在,并和原始密钥一起串接成种子。如果两次IV值相同,意味着使用相同的IV和密钥加密消息。若知道其中某一条明文,则所有这类的数据报文都会被解密,从而导致明文被泄漏。通过这个漏洞,整个加密协议链条就会被破坏。

(2)在802.11标准中没有明确WEP共享密钥的分配和修改方式。所有的站点和AP使用同一个密钥。密钥的修改和分发通常独立于安全信道进行。长期暴露在无线网络中的数据报文容易被收集和破解,安全防范非常被动。

(3)RC4算法中普遍使用40位长的密钥,加密强度不高。目前已有工具在10分种左右就能强力破解。虽然密钥强度已提高到128位,减去24位的IV长,实际有效密钥长度为104位,其强度有待近一步提高。

(4)WEP协议中没有一套统一的密钥管理机制,未建立系统级别的安全机制。其次,WEP协议的身份认证过程是单项的,单项认证也存在着众多弊端。这是WEP协议管理机制上存在的一些安全隐患。

以上由于安全协议所带来的问题,都需要在无线局域网的构建中加以考虑和防范。

三、高校无线网络安全的技术解决措施

基于高校无线网络建设的现实情况和802.11协议的分析,下面从安全技术的管理、操作、配置等多个层面对无线网的安全提出如下技术保障措施。

1.AP的SSID管理

通常,路由器/中继器设备制造商都为其产品设置默认并且相同的SSID。例如Cisco设备的SSID通常是“tsunami”,linksys设备的SSID通常是“linksys”。若一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。

因而,在可能的情况下不应使用设备缺省的SSID,设置为封闭的无线网络不应响应那些将SSID设置为Any的无线设备。取消SSID主动广播机制,让无线工作站主动配置正确的SSID号进行访问。同时,建立双向的访问认证机制,这样能够减少无线网络被发现的可能。

2.加密保障数据安全

在无线网络中,如果数据未经过加密,黑客一旦进入,就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。

无线网络中存在好几种加密技术,通常选用能力最强的那种加密技术。在使用WEP协议对数据进行加密时,不应当一直使用默认密钥。对于初次访问系统的个人用户甚至应当创建单独的WEP密钥。变更AP的默认SSID和默认WEP密钥,是实现无线网络安全的最基本的防范。

通过数字证书和加密管理保障数据,实现通讯数据的不可抵赖性与完整性。针对无线网络,加密MAC地址可提高数据完整性,同时可通过CRC检测数据帧中的错误。

3.无线网卡的物理地址过滤机制

利用介质访问控制(Media Access Control,MAC)管理机制,阻止未经授权地接入。使用MAC地址过滤,建立基于地址的访问控制列表(Access Control List,ACL),来限制对特定设备的网络访问,仅让一些经过注册和信任的MAC地址访问无线网络。

对于WAP无线接入,尽量采用第3级WTLS(无线传输层安全协议)的无线设备,使用个人证书以及USB证书方式。通过证书黑名单的ACL列表,对不信任的证书进行严格地限制。该方式相对严格,适合校园无线办公网络小规模使用。

4.密钥和身份的管理

强化密钥管理和分发,提高密钥强度,标准化密钥交换和密钥分发机制。

对于802.11,建立基于RADIUS、Kerberos、SSL和IPSEC等协议的安全机制完成密钥分发。提高密钥强度,建立安全访问机制。如使用128位WEP加密,或128位AES加密以及128位偏移码本方式(OCB)数据认证标记,采用128位的初始向量(IV)等。

5.多种手段检测防止非法AP接入

采用手持检测扫描设备快速地检测未被授权的网络,清除非法接入AP设备。

在无线网络中部署嗅探器,自动探测无线设备的操作,发送日志报告给管理员或入侵检测系统。管理员可对这些非法AP进行物理断开或禁止端口的操作管理。

6.避免Ad hoc方式接入

特定模式(Ad hoc Mode)用于将无线客户端直接连接在一起,实现点对点的通信。这种网络不需使用无线 AP 或任何有线网络。

Ad hoc模式允许WiFi用户直接连接到另一台相邻的无线客户端。这意味着将无线客户端整个硬盘暴露于危险中,并且入侵者可通过该联网无线客户端入侵整个网络。这种模式所承担的风险远远大于它所提供的便利。

7.公网防范

对于接入公网的AP节点可安装防火墙,增强抵御木马攻击及病毒能力;也可采用VPN机制,加强数据认证和加密。部署IPsec,在网络协议栈的IP层提供加密和认证服务。在支持用户服务端远程认证拨号时提供RADIUS认证,减小非法嗅探的可能性。

四、总结

高校中建设无线网络虽然有移动性强、组网灵活、投资小见效快等特点,但也存在着诸多安全隐患,必须采取多种安全防范措施手段,才能进行有效防范。在高校无线网络安全防范措施过程中,需要根据安全技术的发展不断地自我调整和完善安全策略,以确保广大师生在安全高效的无线网络环境中工作与学习。

参考文献:

[1]Mattbew S.Gast.802.11无线网络权威指南第二版(英文影印版),东南大学出版社,04/2006;

[2]Maclge Limited.Wireless LAN Security wKte Paper[EB/OL].http://www.maclge.tom,2003

[3]An ISS Techinal White Paper Wireless LAN Security 802.11b and Corportate Networks

[4]Wired Equivalent Privacy http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy

论无线网络的安全性篇6

无线网络所采用的通信技术、实现规模以及应用范围各不相同, 因此存在多种分类方式。按照网络规模和覆盖范围, 无线网络可以分为无线广域网、无线局域网、无线城域网和无线个人域网。

1.1 无线广域网

无线广域网 (Wireless Wide Area Networks, 简称WWAN) 一般指覆盖区域较大的蜂窝通信网络或卫星通信网络, 可以实现远距离通信, 发展历史也最为悠久。代表技术有传统的GSM网络、GPRS网络以及正在实现的3G网络和下一代IMT- 2000等类似系统。由于所采用的通信技术不同, 网络接入速度有很大差异, 从2G GSM/CDMA的9.6Kbps到2.5G CDMAIX的70Kbps-153.6Kbps, 到3G CDMA/CDMA2000/TD-SCDMA的384 Kbps-2Mbps, 数据传输速率不断提。以后的无线广域网发展将更侧重于多种网络业务的整合, 力图实现更加强劲的全IP网络。

1.2 无线局域网

无线局域网 (Wireless Local Area Networks, 简称WLAN) 技术是相当便利的数据传输系统, 是高速发展的现代无限通信技术在计算机网络中的应用。它利用射频 (Radio Frequency, 简称RF) 的技术, 取代旧式碍手碍脚的双绞铜线所构成的局域网络, 使得无线局域网络能利用简单的存取架构让用户透过它, 达到“信息随身化、便利走天下“的理想境界。无线局域网技术可以使用户在本地创建无线连接 (例如, 在公司或校园的大楼里, 或在某个公共场合, 如机场) 。数据传输速率在10Mbps到54Mbps之间, 覆盖范围从100米到10公里不等。

1.3 无线个人网

无线个人网 (Wireless personal area network, 简称WPAN) 提供了一种小范围内无线通信的手段, 是一种短距离无线网。最大传输距离为0.1-10米, 可扩展到100米, 最高数据传输速率为10 Mbp。这种网络具有移动性和便捷性, 而且网络成本低廉, 具有很大的发展前景。

1.4 无线城域网

无线城域网 (Wireless metropolitan area network, 简称WMAN) 是使用户可以在城区的多个场所之间创建无线连接 (例如一个城市或大学校园的多个办公楼之间) , 而不必花费高昂的费用铺设光缆、铜质电缆和租用线路。它能向固定、携带和游牧的设备提供宽带无线连接, 还可用来连接802.11热点与因特网, 提供校园连接, 以及在“最后一英里”宽带接入领域作为Cable Modem和DSL的无线替代品。它的服务区范围高达50 km, 用户与基站之间不要求视距传播, 每基站提供的总数据速率最高为280 Mps, 这一带宽足以支持数百个采用T1/E1型连接的企业和数千个采用DSL型连接的家庭。

2 无线网络的特点

无线网络的出现使有线网络所遇到的问题迎刃而解, 它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网关等无线设备使无线通信得以实现。在不进行传统的布线的同时, 提供有线网络的所有功能, 并能够随着用户的需要随意的更改扩展网络, 实现移动应用。无线网络具有传统有线网络无法比拟的特点:

(1) 灵活性, 不受线缆的限制, 可以随意增加和配置工作站;

(2) 低成本, 无线网络不再需要大量的工程布线, 同时节省了线路维护的费用;

(3) 移动性, 不受时间、空间的限制, 用户可在网络中漫游;

(4) 易安装, 对于有线网络来说, 无线网络的组建、配置和维护更为容易。而且, 通信范围不受环境条件的限制, 网络传输覆盖范围大大的拓展.室外可以传输几十公里、室内可以传输数十、几百米。

3 无线网络安全威胁

WAN在为用户带来巨大便利的同时, 也存在着许多安全上的问题。由于WAN通过无线电波在空中传输数据, 不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全。所以在数据发射机覆盖区域内的几乎任何一个WAN用户都能接触到这些数据, 要将WAN发射的数据仅仅传送给一位目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用, 任何人在视距范围之内都可以截获和插入数据。所以无线网络在通信过程中存在着重大的安全威胁。一般来说网络威胁可分为如下几种:

(1) 对网络基础设施的破坏;

(2) 软件设计后门、缺陷或错误;

(3) 权限设置不当或越权操作;

(4) 网络黑客攻击;

(5) 病毒入侵或执行恶意代码。

4 无线网络的安全保障

4.1 无线认证协议

无线认证协议亦称密码协议, 是以密码学为基础的消息交换过程, 目的在于为网络提供各种安全服务, 诸如实体认证、密钥协商/分派等。安全协议对于网络安全至关重要, 是实现各种网络安全需求以及应用安全需求的基础。

无线认证协议的设计目标与有线认证协议有着很大差异, 原因在于无线环境的复杂性、无线网络的本身特性以及以无线网络为实现平台的广泛应用。复杂的无线环境要求设计协议时要进行全面综合的考虑;无线网络特性要求认证协议适应网络实际情况;而无线网络的广泛应用则要求认证协议在除了实现最基本的目标之外, 还要实现其它高级安全目标。

无线认证协议应当遵循如下设计原则:

(1) 设计目标明确, 无二义性;

(2) 便于进行功能扩充;

(3) 最好应用形式语言对安全协议本身进行形式化描述;

(4) 通过形式化分析方法证明安全协议可以实现设计目标;

(5) 安全性与具体采用的密码算法无关;

(6) 保证临时值和会话密钥等重要消息的新鲜性, 防止重放攻击;

(7) 尽量采用异步认证方式, 避免采用同步时钟 (时戳) 的认证方式;

(8) 具有抵抗常见攻击, 特别是重放攻击的能力;

(9) 对协议的运行环境进行风险评估, 作尽可能少的初始安全假设;

(10) 适用性强, 适用于各种网络的不同协议层。

4.2 保密通信协议

保密通信亦称加密通信, 是指对通信内容进行加密以防止非意定接收者获悉的通信方式。保密通信既可以采用模拟通信技术实现, 也可以采用数字通信技术实现, 还可以采用混合方式实现。理论上, 保密通信可以在网络模型的任何层次上进行, 但一般都在数据链路层以下或者传输层以上实现。前者称为链链加密, 通过特定数据链接的任何数据都要被加密传输;后者则称为端端加密, 数据被选择性的加密, 并且只在最后的接收端进行解密。

保密通信协议应当遵循如下设计原则:

(1) 协议应当具备通用性。通用性体现在两方面:首先保密通信协议应当与基本的用户认证协议结合起来, 减少重复执行次数, 提高协议效率;其次在不同应用情况下协议的执行过程应该是相同的, 至少在无线接口上保持一致。

(2) 协议应该具备简洁性。由于无线设备的计算能力有限, 无线信道易于出错并且安全性较差, 因此要求协议消息尽可能的短小, 同时交互次数要少。

(3) 协议应该具备不对称性。无线设备极为有限的计算能力决定了代价昂贵的公钥操作是不适宜的;然而为了实现真正的保密通信 PKI 技术又是必不可少的, 因此需要在协议设计阶段协调需要由无线设备完成的计算工作。

摘要：阐述了无线网络的概念和类型;介绍了无线网络的分类及特点;分析了无线网络中存在的安全问题, 同时提出了两种安全保障的协议。

关键词：无线网络,安全威胁,安全保障

参考文献

[1]邓小波.浅谈无线局域网的安全性[J].长沙民政职业技术学院学报, 2009, (3) .

[2]徐胜波, 马文平.无线通信网中的安全技术[M].北京:人民邮电出版社, 2003.

无线网络的安全问题与对策篇7

1 无线网络中存在的主要安全问题

无线网络中存在着多种安全问题, 给无线网络正常运行带来的影响也不同。总结起来, 不法分子主要通过四种方式威胁无线网络安全:盗用无线网络、窃听网络通信、钓鱼攻击无线网络和控制无线AP, 这也是无线网络中存在的主要安全问题。

1.1 盗用无线网络

不法分子为了通过将非授权计算机接入正常用户的网络, 从而给正常用户的网络安全带来不利影响。不仅会影响正常用户浏览网页的速度, 造成用户不必要的经济损失, 而且会使正常用户网络受到攻击与入侵的可能性大大提高, 从而为正常用户的网络安全埋下隐患。

1.2 窃听网络通信

不法分子利用监听和分析正常用户通信信息的数据流及其模式, 从而窃听正常用户已加密的通信信息。例如不法分子可以利用监视软件捕获正常用户输入的网址和聊天信息, 将其在捕获软件中显示, 这样就可以获取正常用户的私密信息, 谋取不当得利。

1.3 钓鱼攻击无线网络

不法分子利用用户登录其事先建立的无线网络, 从而对用户的系统进行扫描和攻击, 进而控制用户计算机, 窃取用户计算机中的机密文件, 并使用户计算机遭受木马攻击的可能性大大增加。

1.4 控制用户的无线AP

家庭中的无线路由器大多都为无线AP, 而不法分子未经授权就非法获取正常用户的管理权限, 当其入侵正常用户的无线网络后, 就可以访问正常用户的管理界面, 如果用户的验证密码容易破解, 则不法分子就可以登陆管理界面而任意设置用户的无线AP, 这样就可盗取用户的个人信息, 如上网账号与口令等。

2 无线网络安全问题的应对措施

正常用户的无线网络虽然面临着众多的安全问题, 但是如果正常用户能够采取正确的措施, 仍然可以提高无线网络安全性, 将其遭受威胁与攻击的可能性降到最低, 从而净化无线网络正常运转的环境。

2.1 限制无线网络的接入

正常用户可以有效置无线网络的准入条件, 以避免非法分子的未经授权访问计算机, 这比较适用于家庭网络环境, 因为家庭网络环境计算机的数量有限且网络环境稳定。用户可以对家庭无线路由器中的MAC地址进行过滤, 将其设置为家庭计算机中的MAC地址, 这样就可以实现接入限制的目的。

2.2 隐藏SSID的广播功能

正常用户可以采取关闭SSID中的广播功能, 使其他用户和不法分子无法发现SSID发射的网络信号, 这样不法分子就无法通过没有经过授权的计算机查看正常用户的SSID, 进而寻找到其所发射的无线信号, 入侵正常用户的无线网络。同样的是关闭SSID广播功能的策略只适用于家庭无线网络环境或者客户端的计算机非常稳定。

2.3 选择合适的安全标准

传统的WEP安全标准经过实践应用的检验, 存在的安全漏洞较多, 安全性极不可靠, 容易为不法分子所利用, 从而给用户带来不必要的损失。因此, 用户可以采用WPA加密的安全标准, 虽然这样也可能被不法分子破解, 但是相对于WEP安全标准, 其安全的程度已经大幅提高, 可以将用户无线网络被非法入侵的可能性降到最低。

2.4 修改无线路由器的密码

部分用户在使用无线路由器以后, 缺乏对网络技术的了解, 仍然采用无线路由器默认用户名及密码, 这使得不法分子很容易就可以破解, 从而登陆无线网络的管理界面, 进行不法行为而给用户的无线网络买下安全隐患。因此, 用户在应用无线路由器后, 需要及时修改用户名及密码, 如将系统默认的“admin”修改为高级密码, 以增强无线网络的安全保障, 降低其被入侵的风险。

2.5 降低无线AP的功率

很多用户出于应用方便的目的, 常采用功率较大的无线AP, 以增加其发射功率的覆盖范围, 这就使用户无线网络被盗用的可能性大大增加。因此, 在满足自己对无线网速基本需求的前提下, 用户可以适当降低无线AP功率, 缩短其辐射的范围与距离, 减少不法分子非法访问自己无线网络的机会。

2.6 强壮无线网络的密码

在破解用户采用WPA加密的密码时, 不法分子常以字典工具进行暴力破解的方式, 而强壮密码可以有效降低无线网络密码被暴力破解的几率, 并且此种方法对于无线网络的环境没有要求。例如用户采用简单的数字排列, 不法分子只需要<1M的字典就可以轻而易举的破解;常见数字的组合排列, 不法分子只需要小于几M的字典n分钟破解;简单的纯字母组合, 不法分子也只需几千个G的字典n天就可以破解;用户将字母、数字和字符彼此组合, 即使不法分子用上万个G的字典也几乎不可能破解。因此, 用户在设置密码的时候, 需要采用强壮密码, 确保无线网络不会被不法分子入侵。

3 结束语

总之, 无线网络已经与人们的生活息息相关, 改变了人们工作、生活和学习的方式, 其所存在的安全问题不容忽视。用户只有针对不法分子可能威胁无线网络的手段, 采取合适的应对措施, 才能真正保障自己无线网络安全平稳的运行, 使自己的私密信息不被泄露。

参考文献

[1]周付安, 刘咏梅.无线网络存在的安全问题及应对策略[J].中国现代教育装备, 2012 (01) :9-12.

[2]袁枫.无线网络面临的安全问题及其侦查检测方法[J].计算机光盘软件与应用, 2012 (14) :150.

[3]朱丽, 毛华庆.认知无线网络安全问题研究[A].武汉大学.Proceedings of the Conference on Web Based Business Management[C].武汉大学, 2010 (06) .

无线网络的构建和安全策略研究篇8

一、无线局域网的通信标准

在无线网络组建中需要选用统一的通信标准, 目前最为常用的标准为802.11x系列通信标准。

802.11系列标准使用调频扩频和直接序列扩频两种方式进行无线传输, 其工作频率在2.4GHz频段。MAC使用的通信协议为CSMA/CA协议。主要工作环境为无线局域网中的用户接入和数据存储。

二、无线局域网的构建

无线局域网通常应用在较小范围内, 故本文重点讨论室内无线局域网的组建。

2.1室内对等连接

该网络的构建方式被称为Ad Hoc Demo Mode, 该模式下的局域网用户不需要使用AP对通信进行路由, 其中的某一个站点会自动被选取为初始站点, 该初始站点会对网络进行初始化, 组建局域网络, 网络中的多个站点之间可以同时进行信息传输。该无线局域网构建方式下的终端设备只需要具有一块无线网卡即可实现通信, 方便实惠, 非常适用于临时网络的构建。

2.2室内移动办公网络

该网络需要使用AP设备将网络覆盖区域内的终端组网成星形拓扑结构, 各终端之间的通信都需要经由AP进行接转。

三、无线局域网的安全策略

无线通信的方式决定了只要是在无线网络覆盖区域范围内的数据通信都有可能被监听、窃取或者修改, 这就为无线网络的应用带来了严重的安全威胁, 为保证无线通信的安全, 必须制定适当的安全策略。

3.1限制DHCP服务器的使用

通常一个无线局域网中的网络用户不会过多, 可以对每个用户进行IP地址分配, 让用户使用静态IP进行网络访问, 通过这种配置可以避免DHCP服务器泄露网络配置中的相关参数, 提高网络的安全性能。

3.2使用网络通信加密技术

在无线通信标准中提供了多种加密方式, 如WEP加密协议、EAP加密协议、WPA加密协议等。其中WEP加密方式在设计中存在一些先天性缺陷, 保密安全性能较差, 非常容易导致密码或通信信息被非法获取, 但是当加密密钥设置较长时, 保密性能会有所改善。为改善WEP加密协议的缺点, IEEE协会又应用了EAP加密协议和WPA加密协议对无线通信进行保护。

3.3使用防火墙技术

在一些无线局域网的组建中, 无线网络没有设置必要的安全防护, 故用户在使用网络时会非常危险, 为保证用户本地数据的安全, 可以配合使用防火墙技术。

3.4隐藏SSID

SSID技术可以将一个无线局域网分解为多个需要不同身份验证的子网络, 每个子网络均需要进行身份验证, 未被授权的用户是无法接入网络的。但是, 通常在AP设备被生产出来时, 同一厂家同一型号的SSID是相同的, 这就容易给攻击者应用通用初始化字符串对网络进行连接, 建立起数据通信链路, 从而给无线局域网中的其他用户造成威胁。为防止该现象的发生, 在应用AP设备进行组网时首先要修改本身SSID标识, 若需要进一步的提升安全防范性能, 可以禁止SSID广播, 使得该无线网络接入设备无法被他人通过SSID搜索到。

四、总结

无线网络, 尤其是应用最为广泛的无线局域网络可以利用射频技术替代原有的有限通信介质实现网络的搭建和数据传输, 故其在可用性、易用性、方便性等方面均具有非常明显的竞争优势。为无线局域网制定适当的安全策略可以有效提升无线通信的安全性能。

摘要：无线通信对通信设备的支持越来越多, 且无线网络的方便性、快捷性等促进了无线网络的普及。本文介绍了无线网络中应用的通信标准, 就无线网络的构建和网络安全策略进行了探讨和分析。

关键词：通信,无线网络,通信标准,网络构建,安全策略

参考文献

[1]尹晓东.无线网络安全防护体系的构建[J].科技情报开发与经济, 2005, 15 (24)

[2]马杰, 董洁.校园无线网络安全技术[J].电脑开发与应用, 2012, 25 (6)

[3]余镇全.构建无线网络安全防护体系[J].电子科技, 2006 (9)

医院无线网络安全防护的探讨篇9

2009年,国家新医改政策出台,新医改方案的主体框架是“四梁八柱”,其中信息系统作为“八柱”之一,首次成为了我国医疗卫生体系的重要支撑。医院信息系统经过20多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线临床信息系统。其中主流的无线网络架构有AP+集中式无线控制器和WLAN室内信号分布系统;无线应用终端有无线查房车、PDA、EDA及近2 a兴起的平板计算机;无线医疗系统有移动医生站系统、无线临床护理系统、无线药品管理系统、无线设备管理系统等。随着无线网络技术的日趋成熟,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛[1]。通过无线临床信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院药品和物资的管理,提升了医院管理水平。

1 医院无线网络面临的安全风险

随着医院对无线医疗信息系统应用的不断深入,医院对于无线网络的依赖程度也越来越深,由于无线网络具有需要通过无线信号传输的特性,医院无线网络面临的安全风险也越来越突出。医院无线网络作为原有局域网的补充,一方面扩展了局域网的应用范围,其在网络安全方面有类似于局域网的安全要求;另一方面也将相对封闭的局域网转变成了开放式的网络,因此也有其自身独特的安全管理要求;第三方面,无线网络作为医院局域网的扩展,其安全性不仅影响无线医疗系统的使用,同样也影响到与其相连的局域网中应用的其他医院信息系统。因此医院无线网络的安全将直接影响到医院整体信息系统的安全,无线网络一旦被入侵,轻则造成医院信息系统数据被窃取,重则造成网络瘫痪,医疗业务被中断。

2 医院无线网络安全防护措施

2.1 基础无线网络安全

国际上认可的无线局域网标准IEEE 802.11自1997年推出以来,在无线网络中应用最为广泛的安全措施是无线网络的MAC地址过滤、禁用SSID和静态地址分配。随着无线网络技术的快速发展,无线网卡的MAC地址可以由用户自由设置,因此通过MAC地址过滤已经不能满足医院无线网络安全的需求。但是,医院内部有些科室出于自身工作的需要,采用了家用无线AP扩展医院网络,而家用无线AP往往将MAC地址过滤作为主要的安全防护手段,一旦有克隆MAC的外部无线终端的侵入,将对医院网络安全造成严重的影响,因此从医院网络安全角度出发,应该杜绝在医院内使用家用无线AP扩展网络。

SSID的含义是服务集标志,医院的无线终端必须设置无线网络的SSID才能使用院内的无线网络。但是随着智能手机的普及,在医院里越来越多的人开始使用运营商的WIFI网络上网,医院内部SSID广播的网络就有可能被非医护人员尝试联接,因此通过禁用SSID广播能防止院外普通用户对医院无线网络的联接。禁用SSID广播之后,无线医疗网络就不会被他人搜索到,同时也不影响医务人员的正常使用[2]。但通过专业的无线网络扫描工具还是能查找到隐藏的SSID,因此禁用SSID广播也不能作为医院单一网络安全防护的方式。

有研究报告指出,绝大部分的网络入侵,是由无线网络按缺省值设置,普通用户好奇联入造成的,而运营商的WIFI网络都采用DHCP的方式给上网用户分配IP地址。因此,医院无线网络如果采用静态地址分配,外来手机等无线终端由于无法获得无线IP地址,而不能使用医院无线网络,但其安全级别还是较低。可见,医院无线网络通过SSID隐藏和静态地址分配作为无线网络的基础防护,只能防止普通用户联入医院无线网络。

2.2 登录认证增强

Wep于1999年成为无线网络IEEE 802.11标准的一部分,对无线网络接入的安全认证做了加强,并对设备间无线传输的数据进行加密,用以防止非法用户侵入或窃听无线网络。早期的医院无线网络一般都采用了Wep的数据加密方式,并且具有128位的有线等效加密(Wep)功能,可以提供等同于有线的局域网(LAN)的数据安全[3]。但是,Wep协议由于CRC-32的算法缺陷,2001年8月被证实破解,在Wep加密情况下通过专业破解工具可以在0.5 h内完成密文的破译[4]。因此,2004年6月通过的IEEE 802.11i将WPA、WPA2作为无线网络认证的安全协议,其中WPA2协议在安全性上做了进一步的增强,同时在企业级应用中增加了应用802.1x认证的RADIUS服务器。身份认证基于用户,每个访问无线网络的人都在RADIUS身份认证服务器上拥有1个独立的用户账户[5]。在医院无线网络环境下,较为安全的无线网络接入认证方式是应用WPA2协议结合RADIUS认证服务器的身份认证方式。但是,医院早期部署的交换机由于不能支持802.1x的协议,还需要通过交换机软件升级才能应用RADIUS认证,同时RADIUS安全认证方式采用的还是传统的用户名和密码的认证,其对于用户名和密码泄露引起的网络安全隐患仍不能避免。

2.3 数字证书身份认证

针对WPA2协议结合RADIUS认证服务器的身份认证方式,由用户名和密码泄露造成的安全问题,近些年来通过USB数字证书的无线网络身份认证方式开始得到应用。截止到2012年6月底,国家卫生部已通过4批22家数字证书认证服务机构。USB数字证书身份认证的最大优势在于:US-Bkey作为储存客户数字证书和私有密钥的载体,外部用户无法直接读取其内容[6]。因此,USB数字证书认证方式是目前较安全的身份认证手段。对比用户名和密码的无线网络认证方式,USB数字证书在不可复制方面的优势明显。结合WPA2协议加RADIUS认证服务器的用户密码认证,同时使用US-Bkey数字证书进行身份认证的双因子认证是目前无线网络认证级别中最安全的身份认证方式之一。

2.4 SSL(security socket layer)VPN进行数据加密和访问控制

由于在实际医疗活动中,医疗机构为了满足诊断、科研及教学需要,必须经常大量采集、发布、利用各种医疗数据,而这些数据就包含着个人的隐私信息[7]。由于原有医院局域网的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院无线局域网是开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。在医院无线应用的环境里,必须对无线终端与服务端交换的数据进行加密,才能防止医疗信息的泄漏。SSL协议是基于Web网络应用的安全协议,使用SSL可保证信息的真实性、完整性和保密性。SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术[8]。SSL VPN基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN的方式又能保证医院信息系统中CS构架系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。

另外,SSL VPN认证设备还具备访问控制列表(ACL)功能,通过对SSL VPN拨入用户组设定可访问的服务器列表,既限制了拨入客户端的相互访问,又限制了拨入用户对特定医院信息系统服务器的访问,避免其对其他服务器的非授权访问。

2.5 入侵检测系统(IDS)

IDS不是只针对无线网络检测的系统,同样也适用于有线局域网。但由于接入无线网络较为方便,无线网络用户越来越多,且各主机之间主要是对等的关系,不可避免地会使恶意的攻击行为也渗透到无线网络中[9]。因此,在医院开始应用无线网络后,IDS的应用需求将更为迫切。IDS依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。

2.6 终端准入控制

计算机病毒的危害性及破坏性在医院信息系统应用之初就已显现。当前计算机病毒都具有混合型的特征,利用一切可以利用的方式进行传播,破坏性强、欺骗性大,所以利用系统漏洞将成为病毒有力的传播方式[10]。在医院无线网络的环境下,结合木马的混合型病毒的危害性将更为突出。由于医院无线网络中,用户名和账号的认证是最为常用的方式,所以通过木马窃取用户账号和密码将严重危害医院无线网络的安全。通过无线应用终端准入控制系统,强制检查用户终端的病毒库和系统补丁信息,能够降低病毒和蠕虫蔓延的风险。阻止不符合安全策略(如未升级杀毒引擎、未升级病毒及木马库、未升级操作系统补丁等安全策略)的无线终端接入医院无线网络,保证只有在满足终端准入控制系统策略的无线终端设备才能接入医院网络。

2.7 医院无线网络制度建设

医院信息化发展迅速,但是医院信息化制度建设普遍滞后,而医院无线网络是近些年才开始逐步应用的新技术,因此医院无线网络的管理制度更为缺乏。由于无线网络的开放性和无边界性,也决定了医院在应用无线网络的同时,必须制定严格的管理制度,对于医院无线网络的使用者,首先要接受安全技术培训,严格认证账号和密码的使用;其次要防止工作用无线终端被用作其他用途,如上网、游戏等,防止病毒的入侵;第三要对无线终端的异常使用责任到人,有错必纠。对于无线网络的管理员,首先要加强对普通用户的无线网络安全教育;其次对医院无线网络的监控要实现常态化和日志化管理,以便于及时发现无线网络异常;第三需要不断学习新的无线网络知识,不断完善医院无线网络的运行机制,必要时,通过引进新的无线安全管理系统来改进医院无线网络的安全策略;第四还需要制定无线网络故障的应急处理预案及应急替代方案。

3 结语

医院无线网络的应用在给医护人员带来工作便利的同时,也对医院信息系统造成了安全隐患。任何单一的安全技术都不能满足无线网络持续性的安全需求,医院无线用户加强登录认证和无线数据传输的加密都是必要的,只有通过综合应用多种安全技术,才能实现医院无线网络的安全运行。无线网络在全球范围内医疗行业中的应用已成为一种趋势,将进一步提高医院的运营效率和服务质量,使医院的整体竞争力得到提升[11]。因此,对于医院无线网络的应用,既不能因噎废食,也不能听之任之,必须从无线设备选型、无线安全技术、无线管理制度等方面不断探索,才能设计出符合医院需求的无线网络应用模式。

参考文献

[1]韩雪峰.浅析医院无线网络的实施[J].医疗卫生装备,2010,31(1):61-63.

[2]杨洋.数字化影像信息系统在医院的移动应用[J].中国医学物理学杂志,2007,24(1):25-28,33.

[3]朗明.思科无线网络解决方案在美国医院的应用[J].当代医学,2003,9(1):44-46.

[4]ZDNet.WPA惨遭破解,难道无线安全真无药可救[J].网络与信息,2011,25(10):55.

[5]汪惠霞,胡敏,于京杰.医院无线接入的信息安全分析[J].医学研究生学报,2011,24(8):859-861.

[6]范智勇,许振和.无线扩展引发的网络边界安全问题探讨[J].计算机与现代化,2010,12(5):160-163.

[7]杨吉江,许有志,王青,等.面向医疗信息的数据隐私保护技术[J].中国数字医学,2010,5(8):50-54.

[8]henglei_wu.SSL VPN百度百科[EB/OL].(2012-06-15)[2012-07-19].http://baike.baidu.com/view/708397.htm.

[9]卢兴平.入侵检测系统在医院网络信息安全中的应用研究[J].医疗卫生装备,2010,31(5):31-34.

[10]王云志,李金余,杨玲.医院信息化建设中的网络安全分析与防护[J].医疗卫生装备,2009,30(6):34-36.

无线网络的安全篇10

Aolynk 系列SOHO 无线网络产品包括Aolynk WBR204g、Aolynk WAP304g等产品。其中Aolynk WBR204g是一款支持802.11g 的无线宽带路由器，提供1 个广域网端口，4个10Base-T/100Base-TX自适应以太网端口，另外还具备802.11g 接入能力。Aolynk WAP304g是一款802.11g的无线AP，提供1 个10Base-T/100Base-TX 自适应以太网端口和802.11g 无线接入能力。

华为3Com 公司， www.huawei-3com.com －杜飞龙

简讯

浅析学校无线网络的安全与防护篇11

无线技术的不断成熟的运用的同时,无线的网络在全球的范围都成为了一种趋向了,而且越来越多的学校也加入到运用无线技术的行列中,其无线校园网络的应用是对于学校的教学模式和教学管理方面都具有深远的意义和影响,也能够使学校的教师的工作和学生的学习有很多积极方面的影响。据有关数据显示,目前有15.1%的学校建有无线校园网络。而且还有36.2%的学校在计划建设无线校园网络,如此突飞猛进的无线校园网络计划,对于其的管理也非常的重要。无线校园网是一个计算机网络和无线通信技术相结合的产物,只要信号覆盖的范围都可以利用一个个护短接收到数据从而使用,这项技术为办公、学习都带来了很多的便利。

1 有线网络的局限性

随着电子信息技术的不断的发展,计算机是日常办公和学习中的必需品了,然而计算机的应用不断的扩大的同时,校园网络的规模也需要不断的扩大,网络的应用也在不断的增加,再这样的一个趋势下,传统的有限运输的网络也越来越表现出比较大的局限性和不足,首先是传统的额有限网络的传输设备比较的老化,而且容量有限,现如今的信息技术的发展需要高速的传递速度,而传统的有线网络在大家都共同使用的时候往往会导致网络的传输很不顺畅,甚至很容易出现瘫痪的状况。第二个是教师和学生们使用的笔记本在进行教学和学习的比较多,有线网络需要将笔记本控制在某一个地方,这种学习的方式不能够满足老师和学生的办公和学习的需要。最后在教室里的空间比较的宽阔,如果利用有线网络的话经常会将有线网络的线缆隐蔽在墙壁或者是在地板的内部,一旦有网络的升级改造的情况出现的话,会需要耗费巨大的工程量。

2 无线网络的发展优势

有线网络在学校的应用中存在着很多的局限性,而现在无线网络以其独有的优势和特征在发展的潮流中独占一席,首先无线网络的移动性比较的强,无线网络的使用可以说是摆脱了有线网络的束缚,使用起来比较的便捷,能够使学习远离教室,学生可以在网络所覆盖的任何一个位置上网,因为无线网络完全支持自由的移动,可以实现移动办公的目的。然后是无线网络的网速往往比有线网络更加的快,无线网的带宽很宽,这就非常的适合进行双向和多向各个方向的多媒体的信息运输,在速度方面,无线网络的速度可以提升到五倍左右,完全能够满足学生和老师们对于网速的要求。

3 无线网络在安全存在的问题

无线网络便捷了我们的学习和生活,为我们上网办公提供了便利,但是无线网络实际上的施用的过程中,也有可能会存在一些威胁着个人的信息的安全上面的问题,首先,无线网络的施用的过程中很容易会受到非法AP的攻击,因为无线网络的使用是开放的,任何一台在网络信号覆盖之下的计算机只有具有授权的无线路由的功能,都可能是实现轻松上网的目的,在这样的情况下,如果局域网中缺乏严格的安全防范措施的话,就会很容易受到非法AP进行的中间人的欺骗性攻击。有很多利用非法程序侵入互联用户的情况发生,这些非法的程序可以扑捉到AP讯号所覆盖的区域内的数据包,通过手机大量的WEP的加密的数据包就可以发射信号进行无线主机的数量的监听。除此之外,无线网络更有利于网络监听的发生,使用的无线网络的通信一般情况下都不采取加密的格式,所以在这种无线网络的信号覆盖的范围之内,不法分子可以利用一些仪器对于正在传输信息的用户会进行监听,这会给每个利用此网络的用户都带来很大的威胁,这种威胁也是无线局域网所面临的最大的一个问题。然后就是MAC地址的欺骗的问题,这种地址欺骗是指不法分子会通过网络窃听工具将无线网络中的用户的数据截取下来,然后再进一步的窃取去网络用户的AP答应通信的静态地址池,达到这个目的之后,再伪装成无线网络的用户的身份合理的接入网络,从而达到进一步非法的破坏网络的用户的信息的目的,这种安全问题会给用户带来很大的困扰。不法分子利用无线网络对用户信息造成的不安全性还有一个就是使AP拒绝服务,非法攻击者会对AP地址进行频繁的攻击,而如果出现了这样的额情况就会使AP对此产生一个错误的判断,产生这种判断之后,AP会拒绝提供继续服务,这种攻击的行为会对无线的局域网造成非常严重的后果,严重的话会使整个系统产生崩溃的现象。

4 对于无线网络安全性保护的措施

【无线网络的安全】推荐阅读：