无线局域网及安全技术

2024-08-21

无线局域网及安全技术(通用12篇)

无线局域网及安全技术 篇1

1、引言

WLAN是WirelessLAN的简称, 即无线局域网。它是利用无线电波作为传输媒介而构成的计算机信息网络。与传统有线局域网相比, 无线局域网可实现移动办公, 架设以及使维护更容易等。但是无线局域网采用公共的电磁波作为传输介质, 因此在无线局域网接入点 (Access Point) 的服务区域中, 任何一个无线客户端都可接收到此接入点的电磁波信号。同时, 非授权的客户端也能接收到电磁波信号。这样, 由于采用电磁波来传输信号, 非授权用户在无线局域网中窃听或干扰信息就容易得多。因此为了阻止非授权用户访问无线局域网, 无线局域网安全问题就显得尤为重要。

2、无线局域网的安全技术

在无线局域网这个道高一尺, 魔高一丈的环境里, 如何保卫这些数据的安全?致力于无线局域网发展的各厂家及国际Wi-Fi联盟都纷纷提出新的技术来加固无线局域网的安全, 以使其广泛应用。

网络的安全性主要包括访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问;而数据加密则保证传送的数据只被正确的接收者接收和理解。无线局域网同样需要这两方面的安全性, 而且由于其特殊性, 它还有着自己独特的安全技术, 常用的无线局域网安全技术有以下几种:

2.1 服务集标识符 (SSID, Service Set ID)

通过对多个无线接入点AP设置不同的SSID, 并要求无线工作站出示正确的SSID才能访问AP, 这样就可以允许不同群组的用户接入, 并对资源访问的权限进行区别限制。但是这只是一个简单的口令, 所有使用该网络的人都知道该SSID, 很容易泄漏, 只能提供较低级别的安全。如果配置AP向外广播其SSID, 那么安全程度还将下降。

2.2 物理地址 (MAC, Media Access Controller) 过滤

由于每个无线工作站的网卡都有唯一的物理地址, 因此可以在AP中手工维护一组允许访问的MAC地址列表, 实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新, 可扩展性差, 无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造, 因此这也是较低级别的授权认证。

2.3 端口访问控制技术 (802.1x)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。802.1x除提供端口访问控制能力之外, 还提供基于用户的认证系统及计费, 特别适合于无线接入解决方案。

2.4 可扩展的身份验证协议 (E A P)

IEEE802.11i协议使用了EAP以及802.1x强迫使用者进行验证以及交互验证;并且使用了MIC (信息完整性编码) 检测传送的字节是否有被修改的情况;此外使用TKIP、CCMP和WRAP三种加密机制使加密的过程由原来的静态变为动态, 让攻击者更难以破解。

2.5 连线对等保密 (WEP, Wired Equivalen Protection)

在链路层采用RC4对称加密技术, 用户的加密密钥必须与AP的密钥相同时才能获准使用网络的资源, 从而防止非法用户的监听以及非法用户的访问。WEP提供了40位 (有时也称为64位) 和128位长度的密钥机制, 但是它仍然存在许多缺陷, 现在逐步由WPA所取代。

2.6 Wi-Fi保护接入 (WPA/WPA2)

WPA是一种基于标准的可互操作的WLAN安全性增强解决方案, 大大增强无线局域网系统的数据保护和访问控制水平。WPA改进了WEP所使用密钥的安全性和算法。它改变了密钥生成方式, 更频繁地变换密钥来获得安全, 还增加了消息完整性检查功能来防止数据包伪造。WPA的功能主要用于替代现行的WEP协议。

WPA2与WPA后向兼容, 支持更高级的AES加密。AES (Advanced Encryption Standard) 是一种可用来保护电子数据的新型加密算法, 可以使用128, 192和256位密钥的迭代式对称密钥块密码, 并且可以对128位的数据块进行加密和解密。一般认为, AES是目前最安全的加密算法。

2.7 虚拟专用网络 (VPN, Virtual Private Net-work)

VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性, 用户可以借助VPN来抵抗无线网络的不安全因素, 同时还可以提供基于RADIUS的用户认证以及计费。

VPN技术可以应用在无线的安全接入上。在这个应用中, 无线接入网络VLAN (AP和VPN服务器之问的线路) 已经被VPN服务器和内部网络隔离出来, 同时VPN服务器提供网络的认证和加密。

2.8 入侵检测技术

无线入侵检测技术同传统的入侵检测技术类似, 但无线入侵检测技术增加了无线局域网的检测和对破坏系统反应的特性。在无线局域网应用中, 无线入侵检测技术通过监视分析用户的活动, 判断入侵事件的类型, 检测非法的网络行为, 对异常的网络流量进行报警。无线入侵检测系统不仅能找出入侵者, 还能加强策略。通过使用强有力的策略, 会使无线局域网更安全。

3、无线局域网的安全保证

在无线局域网的安全技术基础上, 对无线局域网的安全保证问题应采取以下相应措施:

3.1 避免非法物理访问。在AP上使用定向天线, 限制信号的方向, 避免无线信号溢出到不该去的地方。

3.2 控制无线客户端。实施MAC过滤, 利用MAC阻止未经授权的接入端。

3.3 保护接入点, 不广播自己的SSID, 不使用预设的SSID密码, 防止被非法访问。

3.4 部署一套可行的安全模式, 不仅依靠WPA, 而且使用VPN技术。目前IPSecVPN或SSL VPN被视为最佳的保护技术之一。

3.5 使用802.1x、VPN或证书来对无线网络用户进行身份验证和授权;使用客户端证书可以使攻击者几乎无法获得访问权限。

3.6 监测网络, 利用分析器和监测器分析无线网络的数据流, 发现未经授权的接入点, 并且根据需要阻止或断开客户机, 以及检测入侵者。

4、结束语

随着无线网络的普及, 其安全性也越来越被人们重视。随着WLAN安全技术研究的进一步深入, 未来的无线网络安全性将会有更大的进步, 不仅能满足用户的需要, 同时也会促进WLAN的快速发展。

摘要:近年来, 无线局域网有了突飞猛进的发展, 而随着无线局域网的普及, 其网络安全问题也变得日益严峻。本文重点分析了无线局域网中基本的安全技术, 并提出了在安全保证问题中所采用的措施和对策。

关键词:无线局域网,安全技术,端口控制,加密

参考文献

[1]钟章队.无线局域网[M].北京:科学出版社, 2004.

[2]李园, 王燕鸿, 张钺伟等.无线网络安全性威胁及应对措施[J].现代电子技术, 2007 (5) :91-94.

[3]朱道飞, 汪东艳, 陈前斌, 隆克平.无线局域网的安全协议分析[J].计算机工程与应用, 2005 (9) :162-164.

无线局域网及安全技术 篇2

对无线局域网的安全研究进行分析,首先对安全性的问题作出简介,并在接下来的内容中描述其研究的进展和研究的必要性。最后给对无线局域网的安全缺陷和相应的保障策略进行分析。

一、简介

无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析,并在此基础上对无线局域网的安全研究做出分析。

二、无线局域网安全研究的发展与研究必要性

无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。

IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后

的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(Temporal Key Integri

ty Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。

三、无线局域网的安全现状及安全性缺陷

由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的.安全性缺陷:

(一)静态密钥的缺陷

静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。

(二)访问控制机制的安全缺陷

1.封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。

2.以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。

四、无线局域网安全保障策略

(一)SSID访问控制

通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。

二)MAC地址过滤

每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。

(三)使用移动管理器

使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止

入侵者通过改变接入点配置而连接到网络上。

(四)运用VPN技术

VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。

五、结论

无线局域网及安全技术 篇3

关键词:无线局域网;安全;AP(Access Point)

中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21540-01

Discusses Wireless Local Area Network the Security Problem and the Solution

LV Chun-guang

(Shengyang Meteorological Centre of CAAC,Shenyang 110043,China)

Abstract:Along with wireless technical and the networking development, the wireless network is becoming the application hot spot, however along with the hacker technology enhancement, wireless local area network (WLAN) receives more and more many threats.In the article elaborated the wireless network information security technology characteristic, and aimed at this characteristic to analyze the security problem and the corresponding solution which in the wireless local area network appeared.

Key words:Wireless Local Area Network;Security;AP(Access Point)

1 引言

随着民航气象信息技术的发展,客户希望用更便捷的方式了解气象信息。无线网络技术以其便利的安装、使用,高速的接入速度,可移动的接入方式为民航气象信息提供了方便、快捷的浏览方式。但由于无线网络传送的数据是利用无线电波在空中辐射传播,数据安全成为最重要的问题。

2 无线网络主要信息安全技术

2.1扩频技术

扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输,最常用的是直序扩频和跳频扩频。

一些无线局域网产品在ISM波段的2.4~2.4835GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、32、67、42……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,也不用担心网络上的数据被其他用户截获。

2.2用户验证:密码控制

建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。

由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。

2.3数据加密

对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。

如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。

2.4 WEP(Wired Equivalent Privacy)加密配置

WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。

2.5防止入侵者訪问网络资源

这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

3 无线网络的主要安全缺陷及解决办法

3.1加强网络访问控制,防范网络入侵

无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。

为了防范网络入侵,一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP(Access Point)安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。

3.2限制非法的AP入网,定期进行的站点审查

无线局域网易于访问和配置简单的特性,使网络管理员不易管理网络。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。

像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

3.3授权使用服务,加强安全认证

一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。

最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保

网络设备使用了安全认证机制,并确保网络设备的配置正常。

3.4通过网络检测,限制服务和性能无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。

无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/Server系统都会产生很大的网络流量。

定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、幀的类型,帮助进行故障定位。

3.5隔离重要网络,防止地址欺骗和会话拦截

由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。

3.6进行流量分析与流量侦听,并采用可靠的协议对数据进行加密

802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。

如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

3.7隔离无线网络和核心网络,防止高级入侵

一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。

由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。

3 结论

无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从应用角度剖析了无线网络中常见的安全题,提出了解决方法。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。

无线局域网安全技术与安全策略 篇4

1 无线局域网安全技术相关简介

无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。

1.1 技术发展背景

信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。

1.2 接入认证技术

在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。

1.3 密钥管理技术

认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。

2 无线局域网面临的安全威胁因素

由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:

2.1 非法介入

对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。

2.2 伪造网络

在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。

2.3 拒绝服务

拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。

3 提高无线局域网安全性能的策略

时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。

3.1 资源保护

在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。

3.2 密钥管理

密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。

3.3 地址绑定

用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。

3.4 安装软件

随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。

4 结语

总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。

参考文献

[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.

[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.

[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.

[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.

全面了解无线局域网的安全设置 篇5

但是在无线局域网的安全性更值得我们去注意。由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,任何人都有条件 或干扰信息,数据安全也就成为最重要的问题。

因此,我们在一开始应用无线网络时,就应该充分考虑其安全性,了解足够多的防范措施,保护好我们自己的网络。下面,我们就向大家介绍一些无线局域网所面临的危险,知道了解危险如何存在,那么我们再去解决也就相对容易一些:

容易侵入

无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入,

非法的AP

无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。

经授权使用服务

一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。

服务和性能的限制

无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;

无线局域网安全分析 篇6

关键词:无线局域网;攻击;安全措施

中图分类号:TP393.1 文献标识码:A文章编号:1007-9599 (2010) 06-0000-01

Analysis of the Wireless Local Area Network Security

Huang Zhicheng

(Jilin Branch of China Unicom,Changchun130022,China)

Abstract:The wireless local area network has been experiencing a booming development.However,the wireless local area network existences security flaws.This paper listed attacks on the wireless local area networkproposed the safe solution as well as future research and development direction.

Keywords:WLAN;Attack;Security measure

当今的无线移动通信网络,是以移动通信网和无线接入网两个方向并行发展的。随着无线通信和Internet技术的迅速发展,越来越多的用户希望获得高速的移动接入服务。无线局域网(WLAN)技术作为一种网络接入手段,以其频带免费、组网灵活、易于迁移等优点,成为无线通信与Internet技术相结合的新兴发展方向之一。无线通信技术的发展为企业和个人带来很多便利,它具有轻便灵活、工作效率高、安装成本低廉等优点。无线局域网允许用户在不断开网络连接的同时,可以使用便携式笔记本计算机方便在办公环境中进行移动。然而,使用无线技术存在着一定的风险,有些风险在有线网络中就存在,还有些风险是无线网络所特有的,产生原因是无线网络传输介质的开放性。目前,安全问题已经成为阻碍无线局域网技术普及的原因,在无线局域网的IEEE802.11系列标准中,规定了数据加密和用户认证的有关措施,但是随后研究者揭示了这些安全措施中的种种设计缺陷,这使得用户对于无线局域网的安全性缺乏信心。本文针对IEEE802.ll的安全性缺陷问题进行研究,并在此基础上对无线局域网的安全措施做出分析。

一、无线局域网的安全现状

无线局域网的安全问题与其传输介质的特性息息相关,采用电磁波进行传输,信道是开放的、信道上传输的数据资源在一定范围内也是开放的,而且网络边界具有不确定性。除此之外,由于无线移动设备在存储能力、计算能力和带电时间等方面的局限以及终端的移动性,使得某些有线网络的安全方案和安全技术不能应用于无线局域网,如计算量较大的加密解密算法等等。因此,无线局域网必然面临更多的安全威胁,这些安全威胁可分为主动型攻击和被动型攻击两大类,主动攻击通常包括信息篡改、身份伪装、拒绝服务攻击和重放攻击,被动攻击包括网络窃听。

(一)主动型攻击

主动型攻击通常指入侵者利用某种技术手段干扰或阻止正常的网络活动,主要包括:信息篡改、身份伪装、拒绝服务攻击、重放攻击。

1.信息篡改:数据在传输的过程中被暴露在开放的无线信道上,攻击者很容易截获到某些消息帧,从而对其内容恶意更改,也可能通过改变消息路由等方式进行攻击,使接收方到错误的消息内容或阻止消息到达接收方。

2.身份伪装:即通过伪装成合法的网络设备的方式对网络进行攻击,通常攻击者会伪装合法接入设备或合法终端用户。

3.拒绝服务攻击:所谓拒绝服务攻击是指攻击者采用各种方法来阻止合法用户对网络服务的接受,使合法用户无法和网络进行正常的交互。

4.重放攻击:是指攻击者通过获取授权客户端与AP之间的通信信息,然后在其他时刻将这些信息不经修改重新发送给相应的接收方,以此获取某种服务或者导致拒绝服务攻击,干扰正常的网络通信。

(二)被动型攻击

被动型攻击通常指入侵者只窃取网络信息资源,而并不影响网络活动的正常进行,采取的主要方式是:网络窃听。

网络窃听:处于无线局域网信号覆盖范围之内的攻击者可以对网络中传输的数据信息进行监听或进一步破解。网络窃听分为两种情况下的窃听:一种是针对没有加密措施的数据,另一种是针对加密数据。

尽管网络窃听属于被动型攻击,但它往往是主动攻击的基础,常常为主动型攻击的实施提供条件。各种类型的攻击之间往往互相支撑,相互依赖。

二、无线局域网的安全措施

(一)基本安全措施

1.合理安装配置无线网络设备

WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间;更改缺省的SSID使之不易被猜测到,关闭定期广播功能,这样虽然客户机必须发送探测帧询问SSID但窃听者要获得它就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问,经常查看AP日志,及时发现攻击者;激活WEP、改变缺省WEP密钥,经常改变WEP密钥或使用动态密钥来避免密钥重用。尽管WEP和WEP2均不能确保敏感数据的安全,对蓄意攻击者来说充其量只能算一道小小的障碍,但对于大多数的偶尔闯入者来说则是一道关卡;安装企业级防火墙,可以拦截许多非法用户的可疑数据包,隔离通过工Internet的攻击:如果知道所有的非法用户的MAC地址和IP地址,使用入侵检测工具定期扫描搜索便可发现非法用户;此外使用静态IP地址而不是由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。

2.客户端采取的安全措施

对使用者来说,要充分意识到无线网的安全性缺陷,除了使用口令和个人防火墙保护个人系统之外,对于无线通信要经常性地更换WEP密钥,使用变化的初始化向量,增加统计攻击的难度。最有效的是,选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件,实现端到端的数据加密,这样可以绕过对WLAN的各种有效攻击,保证数据不被解密。

3.定期检测AP

2002年底WLAN的提供商已开发出新的能够检测远程访问节点的网络管理工具,可实现对内部网络的所有访问节点做审计,确定欺骗访问节点,建立规章制度来约束它们或者完全从网络上剥离掉它们。

4.有效隔离

由于无线网络的安全性较低,所以无线网络和核心网络要隔离,无线网络要接在安全设备如防火墙的外面。同时如果将AP安置在像防火墙这样的网络安全设备的外面,可以阻止针对流量侦听和流量分析等攻击手段,还可以采用其他技术手段如SSH、SSL、IPSec等加密技术来加强数据的安全性。

(二)部署VPN

部署虚拟专用网VPN结合远程鉴定拨入用户服务RADIUS也是一个良好的解决方案。RADIUS服务器使用的是基于端口的鉴定标准802.lx,通过访问中心数据库对多种服务客户进行鉴定,可实现客户与AP间的相互鉴定,检测和隔离欺诈性AP。同时RADIUS服务器具有中心管理功能,可同时提供VPN服务,缺点是VPN降低了传输效率而且不支持多播和广播。对于安全要求比较高的大型无线网络VPN是一个更好的选择。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和 SSL VPN目前是两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。

(三)无线入侵检测系统

由于目前无线局域网中固有的弱点,使得公司网络和个人通信容易遭受到恶意用户有目的性或无目的性的攻击。要保证数据的安全,仅仅进行攻击防护是不够的,攻击检测技术可以作为另一道墙来保护网络系统网。传统的入侵检测系统己经不能用于WLAN,而WLAN入侵检测系统的研究和实现才刚刚起步,我们提出的两种入侵检测系统架构,可以分别用于基础结构模式和移动自组网模式。WLAN基础结构模式采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。

三、结语

无线网络应用越来越广泛,随之而来的网络安全问题也越来越严重,本文分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备功能不一样,所以在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。

参考文献:

[1]曹秀英,耿嘉,沈平等.无线局域网安全系统[M].电子工业出版社,2004

[2]郭峰等著.无线局域网[M].电子工业出版社,2001

无线局域网的安全技术分析 篇7

关键词:无线局域网,安全技术,措施

1无线局域网的发展现状及技术问题

以往的有线局域网在特定的场合会受到很大的限制, 如布线以及改线, 且设计的工程量相当大, 线路容易受到人为损坏, 以及网络中的节点不能够轻易移动。无线局域网 (WLAN) 就是在这种情况下应运而生的, 主要为了解决有限局域网的各种技术缺陷。无线局域网能够在无线技术的支持下快速连入以太网, 不需要特别布线, 也可以不用受到布线的限制, 十分适合用于移动办公客户, 发展的市场前景非常广阔。主要应用的领域有医疗保健行业、库存管理与控制等特殊的行业领域, 近几年已经逐渐普及到家庭网络和相关教育机构。

无线局域网主要利用的载体是电磁波, 它能够穿过天花板、楼板、玻璃、强等阻隔物体, 在任何一个无线局域网覆盖的服务范围内, 用户都能接收到电磁波, 并实现自由上网。所以, 没有经过授权的客户端用户也能够接收到这种电磁波信号, 很容易实现对无线局域网的干扰以及窃听。因此, 加强无线局域网的安全技术问题就显得尤为重要。

事实上, 无线局域网的应用比普通的有线局域网在安全性上来的更高, 在第二次世界大战的时候, 无线局域网就被应用于军方的信号传输。目前世界上主要使用的无线局域网产品参考IEEE国际标准, 绝大多数产品都使用DSSS通讯技术来传输信号数据, 这项技术能够信号在无线传输的途中以外丢失或者干扰破坏等问题。无线局域网的技术安全保障主要来自于三项特定技术:第一种是SSID技术, 它能够将无线局域网划分成不同身份的子网络, 每一个子网络都有不同的身份验证, 用户只有通过了身份验证才能够连入该项子网络;第二项是MAC技术, 此技术能够在无线局域网的每个接入点上设置一个特定的用户地址清单, 对于MAC地址无法通过的用户, 则会被拒绝连入网络;第三种是WEP技术, 即一种加密技术, 由于无线局域网的信号传播主要依靠电磁波, 电磁波泄露就会增加被窃听的风险, 运用加密技术能够降低此项风险。

2无线局域网的安全技术发展

2.1防止未授权客户端接入

无线局域网应该使用各种科学化的身份验证手段, 防止没有经过授权的用户随意接入网络。由于无线的电磁波信号能够在空气中进行传播, 信号很可能会在非预定的范围内传播自如, 在较大范围的信号范围之内, 一些非法的客户端不需要任何线路连接就能无线网络的信号数据。因此, 必须要加强阻止非法入侵的客户端, 防止网络数据信号的泄露。

2.2利用MAC地址清单

每个无线局域网的网卡都有一个特定的MAC地址, 这个地址是唯一不变的, 保证只有注册过的客户才能够连入该局域网。采用802.1x的端口认证方式进行客户身份验证, 并结合后台运行的认证服务设备, 对所有连入用户的身份进行精确认证, 将非法入侵者拒绝在网络门槛之外, 保证数据信息的安全性。

2.3利用加密技术, 拦截非法用户

利用WEP的加密来阻止非法用户进行拦截或窃听无线局域网络中的数据信号。WEP是世界标准网络协议, 能够通过对传输过程的信号进行加密提供网络保护, 经过简单便利的安装和启用便可以设置密钥, 达到保护的目的。

2.4防止非法AP接入

把无线的AP接入到有限的集线器时, 可能会遭遇到来自非法AP的入侵和攻击。这些非法的AP会扰乱网络的正常秩序, 浪费宝贵的资源, 只有加强对每个AP的合法验证, 才能保证无线局域网的安全技术问题。AP支持的互联网技术将客户主机与局域网络互相连接起来, 并进行相互的验证。在此过程中, 不仅仅是AP要被确认合法性, 无限的终端数据也要认证该AP是否真实, 只有验证通过之后才能继续访问。这种双向验证的手段可以在极大程度上防止非法的AP入侵。对于一些不支持特定端口的AP, 需要进一步通过周期性的站点审核。赶在非法入侵的AP进入网络之前, 利用接收天线寻找未经授权的用户, 使用物理监测系统发现未授权站点的所在, 并选用小型的检测设备进行扫描, 确定网络各个角落的非法入侵AP。

2.5限制非授权跨部门联网

ESSID技术是一项可以进行部门分组的安全保障技术, 有够在极大程度上避免任意连接带来的安全风险。使用MAC地址设置能够有效控制各个连接入网的部门AP终端, 防止未经授权的非法用户跨部门连入无线局域网, 避免泄露数据的同时能够保护网络资源。此外, 利用特定的检测器和分析设备能够监测无线局域网的各项数据流情况, 一旦发现未经授权的端口, 就能阻止该客户端非法入侵。

以上就是主要的无线局域网安全技术保障措施。由于网络安全在现今社会的地位越来越重要, 加强安全保障措施也显得意义非凡。绝大部分的局域网络都必须配备有一定的安全保障措施。相对于有限网络来说, 无线网路在安全性能方面要高出一截。但是值得关注的一点是:无线局域网并不能完全替代有限局域网, 智能是对有限局域网的提高与弥补, 使用无线局域网并不代表最终我们将消灭所有的有限设备和有限网络, 主要目的还是减少布线和断线发生的概率, 使得有限网络与无线网络能够和睦相处, 共同取得进步。

参考文献

无线局域网技术安全发展探究 篇8

1.1 WLAN的基本安全

目前WALN的主要标准有:IEEE802.11标准 (IEEE) 、Hiper LAN标准 (ETSI) 、Home RF (美国家用射频委员会) 。

1.1.1 IEEE802.11标准

1997年, IEEE标准委员会提出了IEEE802.11标准, 成为了无线网络技术发展的重要节点之一。之后的许多年内, IEEE针对各种情况对原标准进行了修改和调整, 接连推出了802.11a、802.11b、802.11c等, 再此不加以赘述。

1.1.2 Hiper LAN标准

由隶属于ESTI (即欧洲电信化协会) 的BRAN小组制定该标准, 并且被泛欧标准所纳入。现已推出Hiper LAN1和Hiper LAN2两种版本。前者由于传输数据的速度不高, 因此使用率较低;而后者则是现今较为完善的WLAN协议:高传输速率 (能达到54Mbps) , 能够支持多种无线网络, 具备关于WLAN检测功能、转换信令、性能和服务质量的详细定义。

1.1.3 Home RF标准

通过将数字增强型无绳通话技术与无线局域网技术相结合, 发展得到了Home RF技术。1998年, Home RF的工作小组制订了SWAP, 即共享无线接入协议。该协议以TD—MA和CSMA/CA的方式, 能提供优质的语音和数据业务服务, 可以说兼备了DECT和IEEE802.11两者的特点。同时, Home RF可以在2.4GHz ISM频段工作, 传输速率可达10Mbps。

1.2 无限局域网技术的安全缺陷

和有线网络相比, 无线局域网优点明显:便捷的安装程序, 灵活的使用方式, 低廉的经济成本, 简单的扩展方法等。然而, 在为广大用户带来巨大便利的同时, 无线局域网本身的许多安全问题也被放大。下面列举WLAN安全问题的主要几个方面。

开放自由的信道。自由的数据传输信道使得对局域网的攻击和窃听防不胜防。根据上文论述, 无线网络中的信息凭借无线电波在空气介质传播, 因此, 只要具备了一定的数据接收装备, 就能够在发送者无法检测的情况下窃取信息。更有甚者, 能够对原有传输信息加以修改, 并且在网络上恶意传播虚假信息。除此之外, 攻击者还能通过施放特定频率的电磁波影响无线网络信号的传播。

对于移动用户而言, 无线设备易于丢失。WLAN需要经常移动大量相关设备, 在移动过程中, 难以保证如此多的设备不会丢失或者失窃——对于移动用户, 一旦设备丢失将会导致以硬件为基础的安全机制产生安全问题。

在连接网络的过程中, 用户实际上不需要与网络直接连接, 因此攻击者很容易伪装成真正的合法用户。无线网络与有线网络相比, 不需要用户与网络产生实际的连接——这使得攻击者能够无时无刻在WLAN覆盖的任意地点实施攻击。而网络安全人员很难侦测到这种飘忽不定的攻击, 因此攻击者一旦伪装成合法用户, 对网络实施攻击将变得轻而易举。

无线电波在空气中的传播容易受到多种因素而越来越小, 使得传送信息丢失。无线电波的覆盖面积受到限制, 在空气传播的过程中无线电波能量会不断衰减;此外, 通信环境中可能存在某些障碍物, 在通过障碍物的过程中信息极有可能缺失, 导致传输的数据不完整, 终而导致了网络安全隐患。

2 常见的提高无线局域网安全性措施

2.1 加强对网络访问的控制

开放的信道使得设备容易访问——但这并不意味着攻击一定会容易。我们可以通过在AP之间构建VPN, 而VPN可以帮助用户抵御无线网络当中的不安全因素;与此同时, 还能提供基于Radius的用户认证和计费过程。除此以外, 我们还能购置具备VPN功能的防火墙, 在基站与AP之间架设VPN通道, 这样一来, 整个无线网络的安全性能得到了极大地提升, 从而数据的完整性、可信性和可确认性也得到了极大地保证。以上是通过强力的网络访问控制降低无线网络的配置风险;甚至还有一种的极端的方法:在房屋周边建立电磁屏蔽, 隔绝电磁波信息的泄露。

2.2 审查站点定期化

在攻击者访问无线网络之前, 我们可以利用接收天线搜寻未授权的网络。通过频繁的进行物理站点的监测提高发现非法配置站点的概率——但是, 频繁的监测会花费大量的人力物力以及时间, 并且移动性很差。对此作出适当修改得到了相对折中的方法:管理员携带小型的手持式检测设备随时到WLAN覆盖的任何地区内进行检测。以上的措施主要针对的是非法AP接入。

2.3 进行严格的安全认证

我们可以通过双向认证, 使得用户在于AP通信认证的过程中, AP能够确认它在与合法的授权用户进行通信, 而用户也能确认自己是否在与合法的AP通话。这样一来, 就能有效避免中间人的攻击, 并且使得重放和会话拦截攻击变得困难。

2.4 采用更可靠的协议进行加密

802.11无法阻止采用被动方式的攻击者监听网络流量;WEP则存在漏洞会被攻击者利用, 仅能保护用户和网络通信的初始数据, 而WEP无法加密和认证帧的管理与控制。这样一来, 攻击者能够通过欺骗帧终止网络通信。早期的WEP易被相关工具解密, 但后来很多厂商发布的固件能够有效阻挡这些攻击。

如果用户打算通过WLAN传输较为敏感的信息, 那么仅仅采用WEP加密显然是远远不够的, 可以进一步采用IPSec、SSL、SSH等加密方式提高安全度。

无线局域网络安全问题, 是个十分复杂的综合性系统问题, 仅凭单纯的技术措施不足以彻底解决安全隐患。保护无线网络安全, 是一项任重而道远的任务, 值得我们持之以恒的努力下去。

参考文献

[1]利业鞑.无线局域网技术安全发展的研究[J].网络安全技术与应用, 2012, (7) :32-35.

浅谈无线局域网安全技术 篇9

1 无线局域网安全发展概况

由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也不容易防备。现在,大多数厂商生产的无线局域网产品都基于802.11b标准,802.11b标准在公布之后就成为事实标准,但其安全协议WEP一直受到人们的质疑。如今,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。WEP不安全己经成一个广为人知的事情,无线局域网安全问题已经越发引起人们的重视,新的增强的无线局域网安全标准正不断研发中。

我国现已制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展,使我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全技术的研究。

2 无线局域网的安全必要性

由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,无线网络给网络用户带来了自由,同时带来了新的挑战,这些挑战其中就包括安全性。

无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。

影响无线局域网安全的问题主要在以下方面:一是传输中数据被人查看或捕获,传输中数据被人改动、重新发送。二是未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。另外未授权实体进入网络,还可利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。因此,我们必须采取一些无线网络安全技术来保障自身的无线局域网络的正常运行。

3 几种常见的无线网络安全技术

3.1 数据加密

无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,由接入设备转发;要么是两台用户设备直接通信。每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是否被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。

3.2 物理地址(MAC)过滤

由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。

3.3 服务集标识符(SSID)

通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。这只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。

3.4 连线对等保密(WEP)

在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)或128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络不安全。(下转第2341页)(接第2347页)

3.5 端口访问控制技术(802.1x)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。

根据不同的WLAN使用者,会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的每种安全技术不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的无线网络。

4 具体实现实例

笔者所在公司一工程项目现场建立了无线局域网络,该无线局域网配置有四个无线AP,覆盖了办公和生活的所有区域,保证了我公司现场员工随时随地都可以通过无线网卡接入项目内部网站及Internet。但工程现场人员复杂,其他多家公司也在此办公。为保证项目内部网站信息不外泄,同时也为了我公司项目网络不被人为恶意破坏,必须对无线局域网络进行一定的安全防范。

我们主要采取了以下无线网络安全技术:一是对无线AP进行加密,精心设计密码,并对密码严格保密,不扩散、不传播。二是物理地址(MAC)过滤,在AP中手工维护我公司允许访问的MAC地址列表。三是通过一些网络嗅探程序对无线网络进行了监控。通过这些技术手段,很好地保护了我公司WLAN的安全,为工程项目的顺利进行提供了坚强的信息技术保障。

5 结束语

无线局域网络的出现是为了解决有线网络无法克服的困难。虽然无线局域网络有很多不足,特别是在网络安全方面还存在一些问题。但我们应该相信,随着无线局域网安全技术的发展,WLAN的应用也会越来越广泛。无线局域网与广域网相结合的形式将在未来的网络生活中发挥更加重要的作用。

参考文献

无线局域网安全保密管控技术研究 篇10

无线局域网络具有良好的灵活性和兼容性, 在智能手机、移动设备等不断普及的今天,无线局域网络的应用越来越受到人们的青睐, 但是与之相关的无线局域网络的安全性问题也备受人们重视。无线局域网络与传统网络的区别在于其采用无线电波进行通信, 而无线电波没有固定的边界,并且存在网络鲁棒问题,这增加了无线局域网安全保密管控的难度, 因此本文分析目前常见的无线局域网络防护方式和方法, 提出无线局域网安全保密管控方案,通过实验测试,证明方案的可行性和安全性,为广大无线局域网用户提供较好的安全保密管理措施。

2 常见的无线局域网络防护方式与方法

2.1 MAC 地址过滤

MAC地址是网卡硬件表示 ,其是由48位二进制数组成,每一个MAC地址对应一个网卡,当无线设备通过WiFi访问网络时, 需要向无线路由器发送认证请求 ,在此时可通过在无线路由器上加载MAC过滤模块, 通过对用户信息与MAC地址列表进行比对, 比对成功者可实现网络的访问,相反则无法连接网络。

2.2 设置路由器服务集标识符 SSID 为禁播

目前无线局域网络通信协议标准为IEEE802.11,该协议在无线路由器工作中会将路由器的参数信息 ,包括:时间戳、信道频率、认证信息、服务集标识符SSID、帧间隔等,向路由器周围发送信标帧,攻击者可通过截取信标帧的方式发现路由器,并破解路由器。因此,修改路由器的SSID广播为禁播可防范此类攻击。

2.3 信号干扰器

信号干扰器是降低移动终端接收设备的信噪比或者伪装随机序列信号,达到干扰正常无线通信的目的。

3 无线局域网络防护问题

3.1 MAC 地址过滤问题

MAC地址过滤在现在的攻击手段中很容易被攻击者抓获无线路由器与移动设备之间的通信数据包 ,因为,无线通信网络采用802.11协议,其在MAC地址中的头字段并未加密,数据的发送方和接收方的MAC地址容易被攻击者截取,之后冒充该终端设备与无线路由器进行通信,由此MAC地址过滤防护方法变为无效。

3.2 设置路由器服务集标识符 SSID 为禁播问题

设置路由器服务集标识符SSID为禁播并不是真正的禁止路由器发送信标帧,而是其所发送的信标帧服务集标识符SSID的字段为空, 但无线路由器的MAC地址及配置信息仍在存在,目前,已经有工具可获得设置路由器服务集标识符SSID为禁播环境下的无线路由器MAC地址及配置信息 ,由此 ,这种方式也无法真正的规避信息泄露。

3.3 信号干扰器问题

信号干扰器干扰无线网络通信需要大功率干扰信号, 而发送的大功率干扰信号会产生较强的电磁污染,给人们的身体及环境带来危害。

4 无线局域网安全保密管控方案

4.1 硬件设计

无线局域网安全保密管控硬件设计主要包括主控单元设计、阻断单元设计和扫描单元设计。主控单元是由MCU与LAN口连接实现路由交换功能,阻断单元通过Minipci接口连接无线网卡,并与连接天线连接。扫描单元与阻断单元相似, 也通过Minipci接口连接无线网卡,并与连接天线连接。无线局域网安全保密管控硬件结构如图1所示。

MCU是由FLASF与SDRAM相连构成 ,主控单元通过RJ45与PC相连实现 人机交互 , 阻断单元 通过LAN口与主控板进行连接 ,可接收主控板指令 ,扫描单元也通过LAN口与主控板进行连接,接收主控板指令,天线设计扫描单元采用双频天线, 频率为2.4GHZ和5.8GHZ。

4.2 软件设计

系统软件采用模块化设计, 将软件分为主控模块、阻断模块和扫描模块。主控模块与阻断模块和扫描模块通过socket接口进行通信,主控模块发送参数和命令到阻断模块和扫描模块定义数据格式,socket接口接收和发送函数定义如下:

接收函数定义:

Int recv(int s,void *buf,int len,unsigned int flags);

发送函数定义:

Int send (int s,const void *msg,int len,unsigned intfalgs);

阻断模块通过阻断单元从socket接口中取得主控单元发送过来的阻断参数, 并对阻断平台进行设置,判断设置进行阻断。

扫描模块对网络信息进行扫描,扫描信息主要包括设备类型、网络名称、信道、MAC地址和是否加密。首先扫描单元从socket接口中取得主控单元发送过来的扫描参数,并对扫描平台进行设置,判断设置进行扫描。

5 性能测试

针对本文所设计的无线局域网安全保密管控方案进行系统功能的测试,测试指标包括信号强度、管控范围、管控标准。建立测试场地,分别在距离相同的两点布置无线局 域网管控 系统 , 无线网络 天线信号 满足2.4GHZ和5.8GHZ。测试利用实时频谱仪、无线AP和多台笔记本电脑所搭建的无线局域网环境,通过观察笔记本电脑与AP连接性能判断管控设备的阻断效果,通过实时频谱仪观测信号强度。

测试结果表明此方案可对2.4GHZ和5.8GHZ两个频段的无线通信进行阻断, 观察实时频谱仪在2.4GHZ频段中, 阻断单元电路能够实现信道间快速循环切换,同样在5.8GHZ频段中也能够实现信道快速切换, 由此判断此方案具有较好的可行性。

6 结束语

本文对目前无线局域网安全防护方式方法进行分析,研究其不足之处,并建立无线局域网安全保密管控方案,该方案采用阻断技术搭建由主控板、阻断板、扫描板所组成的无线局域网安全保密管控硬件结构,软件系统通过与socket接口进行通信实现主控板对阻断板及扫描板的控制。通过实验测试在2.4GHZ和5.8GHZ频段,此方案能够快速进行信道间的快速切换,表明该方案的可行性。

摘要:随着网络的发展和无线Wi Fi业务的应用不断普及,无线局域网安全保密性能得到了广泛的重视。本文对无线局域网的安全体系进行分析,研究无线局域网安全保密管控方案,通过性能测试证明本文所设计的无线局域网安全保密管控方案的可行性。

让无线局域网安全工作到底 篇11

1禁止使用点对点工作模式

一般来说,无线局域网中的普通工作站常常有两种基本的工作传输模式,一种模式就是基础架构模式,另外一种就是点对点工作模式。当无线局域网网络采用基础架构模式工作时,那么局域网中的所有无线工作站都需要通过一个无线路由器设备来进行信号处理;换句话说,无论我们是上网浏览网页内容,还是与相同局域网中的其他工作站进行共享传输交流,无线工作站的所有数据信号都需要经过无线路由器设备。大多数单位的无线局域网网络都属于这种类型的网络。

如果无线局域网网络采用点对点模式工作时,那么无线局域网中工作站与工作站之间的相互通信能够直接进行,而不需借助一个无线路由器设备或其他无线节点设备。在一些特定的场合下,这种工作模式比较有利于工作站快速网络访问,比方说要是我们想与局域网中其他工作站进行共享传输文件时,就可以选用点对点工作模式。不过比较麻烦的是,只要我们启用了点对点这种模式,那么本地无线网络附近的非法用户也能够在我们毫无知情的情况下偷偷访问本地网络中的重要隐私信息,这么一来本地无线局域网的工作安全性就会大大下降。

为了有效避免本地网络中的隐私信息对外泄露,我们强烈建议大家取消使用点对点工作模式,除非在万不得已的情况下,再启用该工作模式,而且一旦完成工作站之间的信息交流任务之后,必须立即再禁用点对点工作模式。

2拒绝广播无线网络标识符

为了方便无线局域网中的普通工作站能够快速地发现连接无线节点设备,每一个无线节点设备基本都有一个网络服务标识名称,这个名称信息一般被叫做无线节点的SSID标识符,普通工作站只有通过该标识符才能与无线节点设备建立正常的无线网络连接,要是不知道SSID标识符,那么普通工作站是无法加入到无线局域网中的。因此,要想阻止非法用户偷偷使用本地的无线网络,我们必须想办法不让非法用户知道本地无线局域网的SSID标识符信息。

目前,市场上推出的许多无线节点设备出厂默认设置都是允许无线网络标识符广播的,一旦启用了该功能后,就相当于无线节点设备会自动向无线覆盖范围内的所有普通工作站发布本地的无线网络标识符名称信息。尽管启用SSID标识符广播功能让大家能够非常方便地加入到本地无线网络中,但是该功能同样也让一些非法用户可以轻松地寻找到本地的无线网络,如此一来本地无线网络的安全性就会受到影响。为了保护本地无线网络的安全,我们强烈建议大家关闭这个SSOD标识符广播功能。

当然,需要提醒各位注意的是,要是非法用户已经知道本地的无线网络SSID标识符时,即使我们日后拒绝无线路由器广播无线网络标识符信息,非法用户也能够偷偷加入到本地网络。

3强化无线节点的管理密码

我们知道,一旦无线局域网网络附近的非法用户搜索到本地无线节点后,他们常常会尝试登录到无线节点的后台管理界面中,去修改它的无线网络参数,要是它们猜中了密码后,那么本地的无线上网参数可能会被非法用户随意修改,从而导致本地无线局域网网络不能正常工作:更为严重的是,这些非法用户一旦更换了无线节点的后台管理密码时,连本地的网络管理员可能都无法进入到无线节点的后台界面,去管理维护无线上网设备了。

由于目前很多无线节点设备在默认状态下设置的后台管理密码都比较简单,比方说将密码设置成“admin”、“0000”、“1234”或“aaaa”等等。要是我们不及时修改这些缺省的后台管理密码就把自己的无线节点设备接入到无线网络中的话,只要有非法用户利用专业工具得知本地的无线节点设备的生产厂家以及具体型号时,那么本地无线节点设备的管理密码无疑就已经被非法用户掌握了,此时本地无线网络的安全性就会受到严重威胁。

有鉴于此,我们在将无线节点设备接入到无线网络中之前,必须参照具体的操作说明书,及时登录到该设备的后台管理界面,找到后台管理密码修改选项,并将缺省密码调整成一个非常强壮的密码,确保非法用户无法猜中无线节点的管理密码,从而保证本地无线局域网的工作安全性。

4采用加密法保护无线信号

除了上面的几种方法能够保护无线局域网的工作安全性外,还有一种比较有效的保护方法,那就是对无线传输信号进行加密,这种方法往往具有很高的安全防范效果。

当前无线节点设备比较常用的加密方法包括两种:一种是WEP加密技术,另外一种就是WPA加密技术。其中WEP技术也叫对等保密技术,该技术一般在网络链路层进行RC4对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容,这样就能有效避免非授权用户通过监听或其他攻击手段来偷偷访问本地无线网络。正常来说,WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到上网传输信号,他们也无法看到其中的具体内容,如此一来本地无线上网信号就不容易对外泄密了,那么无线局域网的数据发送安全性和接收安全性就会大大提高。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。

不过WEP加密技术也存在明显缺陷,比方说同一个无线局域网中的所有用户往往都共享使用相同的一个密钥,只要其中一个用户丢失了密钥,那么整个无线局域网网络都将变得不安全。而且考虑到WEP加密技术已经被发现存在明显安全缺陷,非法用户往往能够在有限的几个小时内就能将加密信号破解掉。

在为无线节点设备设置加密密钥时,我们可以使用两种方式来进行:一种方式比较简单,另外一种方式则不那么简单。比较简单的方式就是我们可以使用无线节点设备中自带的密钥生成器来自动生成密钥,另外一种方式就是我们采用手工方法选择合适的加密密钥,比方说我们可以使用字母A-F和数字0-9的组合来混合设置加密密钥。

要对无线上网信号进行加密时,我们可以先从普通无线工作站中运行IE浏览器程序,并在浏览窗口中输入无线节点设备默认的后台管理地址,之后正确输入管理员账号名称以及密码,进入到该设备的后台管理页面,单击该页面中的“首页”选项卡,并在对应选项设置页面的左侧显示区域单击“无线网络”项目,在对应该项目的右侧列表区域,找到“安全方式”设置选项,并用鼠标单击该设置项旁边的下拉按钮,从弹出的下拉列表中我们可以看到无线节点设备一般能够同时支持“WEP”加密协议和“WPA”加密协议。

无线局域网安全技术的分析与比较 篇12

随着无线通信技术的广泛应用,无线局域网(WLAN)应运而生。WLAN是指采用无线传输媒介的计算机局域网络,它能在难以布线的区域进行通信。但是,由于WLAN应用具有很大的开放性,数据传播范围很难控制,所以WLAN将面临非常严峻的安全问题。

2 无线局域网的安全危胁

WLAN的安全危胁远比有线局域网严重得多,无线信道开放弥散的特性使得其传输的数据没有了物理隔离的天然屏障,机密数据更加容易被非法窃取,非法用户也更加容易侵入网络。因此WLAN安全便成为了WLAN技术中最重要的问题之一。

大体上来讲,WLAN主要存在两大安全危胁:(1)对WLAN的非法访问。如何阻止非法用户访问WLAN便成为WLAN安全设计中应解决的一个问题。(2)对WLAN的窃听。非法用户即使不能直接侵入到W L A N内部,因此如何实现无线数据的保密传输便成为WLAN安全设计中应解决的又一个问题。

3 无线局域网的安全技术

为了解决WLAN的安全问题,早期常用的WLAN安全技术有业务组标识符(SSID)和物理地址(MAC)过滤,再后来IEEE 802.11标准中定义了两种认证机制与有线等效保密(WEP)算法。在WEP的安全性受到广泛质疑之后,专门制订了IEEE 802.11i及其过渡标准WPA(Wi-Fi保护访问)。

3.1 早期常用的WLAN安全技术

SSID:无线客户端必需出示正确的SSID才能访问无线接入点(AP),利用SSID,避免任意漫游带来的安全和访问性能的问题。然而无线接入点AP向外广播其SSID,使安全程度下降。

MAC过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。然而非法用户完全可以盗用合法的MAC地址进行非法接入。

3.2 ISO/IEC 8802-11:1999中的安全技术

IEEE 802委员会在1997年推出了IEEE 802.11标准,后来在1999年推出了IEEE 802.11a和IEEE 802.11b两项扩展性标准。WEP虽然通过加密提供网络的初步的安全性,但其安全性非常脆弱,可以通过很多简单的攻击方法使其变得毫无意义,主要的攻击方法有统计攻击、完整性攻击、假冒无线站(STA)攻击和假冒AP攻击等。

3.3 WPA(Wi-Fi保护访问)

WPA技术核心仍然和WEP技术相同,因为WPA是基于目前ISO/IEC 8802-11:1999标准中WEP安全标准的RC4算法,有先天的缺陷,换汤不换药。它们的区别在于在通信的过程中不断地变更WEP密钥,变换的频度以假设目前的计算技术无法将WEP密钥计算出来为依据。但是对称加密的不足在于AP和STA使用相同密钥,黑客只要监听到足够的数据包,同样可以破解网络。

3.4 IEEE 802.11i标准

在采用IEEE802.1x的WLAN中,STA安装IEEE802.1x客户端软件,AP内嵌IEEE802.1x认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。当STA登录到AP后,是否可以使用AP的服务要取决于IEEE802.1x的认证结果,如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户接入。

在IEEE802.11i标准中TKIP是作为一种过渡安全解决方案。将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。然而WEP算法的安全漏洞是由于WEP机制本身引起的,并不能从根本上解决问题。

IEEE802.11i标准的终极安全解决方案为基于IEEE802.1x认证的CCMP加密技术,即以AES为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP采用128位的AES分组密码算法,相比前面所述的所有算法安全程度更高。

3.5 WAPI安全机制

WAPI安全机制是我国无线局域网国家标准GB 15629.11-2003中采用的WLAN安全技术,用于保障STA的安全接入与保密通信,包括WAI和WPI两个组成部分。WAI基于公钥密码技术实现STA和AP之间的双向身份认证,其中鉴别服务器(AS)负责颁发和验证STA和AP的公钥证书。后者实现STA和AP之间的保密通信。WAPI采用国家密码管理局批准的非对称密钥体制的ECDSA和ECDH算法,以及对称密钥体制的SM4分组密码算法,分别用于WLAN设备的数字签名、密钥协商和传输数据的加解密。

根据以上所述的无线局域网安全技术,其对比分析如表1所示。

4 结语

WLAN目前正处于蓬勃发展时期,已广泛应用于各个行业中。但是,随之而来的安全问题也变得越来越严峻。与此同时,WLAN安全技术也需要不断地改善和升级,只有将身份认证和传输数据的加密等多种措施结合起来,才能构筑安全的WLAN。

摘要:随着无线局域网技术的广泛应用,其安全问题变得越来越严峻。本文对各种无线局域网安全技术进行了分析与比较。结果显示:WAPI安全机制是一种有效的WLAN安全技术。

关键词:无线局域网,WEP,WPA,TKIP,CCMP,WAPI

参考文献

[1]IEEE Standard for Information Technology-Telecommunica-tions and Information Exchange Between Systems-LAN/MAN Spe-cific Requirements-Part 11:Wireless LAN Medium Access Con-trol(MAC)and Physical Layer(PHY)Specifications[S].IEEE 802.11,1999.

[2]IEEE Supplement to Standard for Information Technology-Telecommunications and Information Exchange Between Systems-LAN/MAN Specific Requirements-Part 11:Wireless LAN Me-dium Access Control(MAC)and Physical Layer(PHY)Specifications:Specification for Enhanced Security[S].IEEE 802.11i,2004.

[3]中华人民共和国国家标准.GB15629.11-2003(信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范)[S].北京:中国标准出版社,2003.

上一篇:CO控制下一篇:丙烯酰胺聚合物