關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文

時(shí)間：2016-01-19 12:04:25 曉斌668由分享

　　關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文一：

　　自從20世紀(jì)90年代以來，互聯(lián)網(wǎng)和移動(dòng)通信是信息產(chǎn)業(yè)發(fā)展最快的兩個(gè)領(lǐng)域，它們直接影響了億萬人的生活，互聯(lián)網(wǎng)能夠使人們獲取各種各樣想要知道的信息，移動(dòng)通信則使人們可以任何時(shí)間、任何地點(diǎn)和任何人進(jìn)行聯(lián)絡(luò)。無線網(wǎng)絡(luò)能夠?qū)⒒ヂ?lián)網(wǎng)和移動(dòng)通信很好的結(jié)合起來，使得人們可以在任何時(shí)間和任何地點(diǎn)同任何人進(jìn)行聯(lián)網(wǎng)。你可以想象這樣的情形嗎?校園里學(xué)生帶著他們的筆記本電腦校園里漫步時(shí)，坐在草坪上討論問題時(shí)或則在咖啡廳里靜靜的學(xué)習(xí)時(shí)，都能夠從圖書館中獲得他們想要知道的信息，而這些正是無限網(wǎng)絡(luò)讓它們變成了現(xiàn)實(shí)。

　　一、無線通信的類型

　　計(jì)算機(jī)無線方式通信使用的無線電波(短波，微波或FM)和光波(紅外，激光)。這些無線通訊媒體有自己的特點(diǎn)和適用性。

　　(一)紅外和激光：易受天氣，沒有穿透力，在實(shí)踐中難以適用。

　　(二)短波或超短波：類似廣播電視，使用載波的振幅，頻率或相位調(diào)制，通信距離可以達(dá)到幾十公里，長(zhǎng)期使用電腦通信，但幅度速度慢，安全性差，有沒有一個(gè)單一性別的溝通。和窄范圍的通信，都與其他無線電或電器設(shè)備的干擾，可靠性差，易受他人干擾。和通道的擁擠，和樂隊(duì)需要專門申請(qǐng)。這樣沒有無線網(wǎng)絡(luò)的基本要求。

　　(三)微波爐：微波收入，作為一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)通信信道的頭發(fā)烘干機(jī)，因?yàn)樗母哳l率，它可以實(shí)現(xiàn)高速數(shù)據(jù)傳輸速率，受天氣影響非常小。這種高頻通信兩個(gè)彼此可視化，但一定的滲透和控制波通信的角度是非常有用的。

　　二、無線網(wǎng)絡(luò)的特點(diǎn)

　　(一)移動(dòng)性強(qiáng)。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛，只要在有無線網(wǎng)絡(luò)信號(hào)覆蓋的地區(qū)則可以在該地區(qū)內(nèi)任何位置訪問互聯(lián)網(wǎng)，并且支持自由移動(dòng)和持續(xù)連接，能夠完美的解決移動(dòng)辦公問題。

　　(二)高速帶寬。隨著無限網(wǎng)絡(luò)的發(fā)展，用戶對(duì)速率傳輸率要求越來越高，IEEE802.11g無限局域網(wǎng)實(shí)現(xiàn)的物理層關(guān)鍵調(diào)制技術(shù)隨著WLAN技術(shù)應(yīng)用日益廣泛，其最高傳輸率為54Mbps，很好的滿足了用戶的需求。

　　(三)維護(hù)成本低。雖然無限網(wǎng)絡(luò)搭建的初期投入的成本會(huì)比較高，但對(duì)于后期來說，維護(hù)則相對(duì)的方便，運(yùn)行的費(fèi)用也相比有線網(wǎng)絡(luò)大約低50%左右。

　　三、無線網(wǎng)絡(luò)的安全威脅

　　因無線網(wǎng)絡(luò)的出現(xiàn)，使信息交流的速度和質(zhì)量有了提高，有助于為許多用戶提供方便快捷的網(wǎng)絡(luò)服務(wù)。具體來說，無線媒介由于開放式設(shè)計(jì)的蔓延，以信號(hào)在傳輸過程中信號(hào)的傳輸介質(zhì)，以實(shí)施有效的保護(hù)，這使得傳輸信號(hào)盡可能不被他人截獲不法分子在網(wǎng)絡(luò)上的攻擊的漏洞，造成了很多困難。另一個(gè)由于無線網(wǎng)絡(luò)的傳輸介質(zhì)，無線終端移動(dòng)性和動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以及無線終端的計(jì)算能力和存儲(chǔ)能力的限制，開放性，使得一些安全方案和技術(shù)在有線網(wǎng)絡(luò)環(huán)境可以不適用于直接無線網(wǎng)絡(luò)，而且還安全計(jì)劃的實(shí)施，增加了許多限制。因此，如何在網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)計(jì)的無線網(wǎng)絡(luò)信號(hào)有效的安全機(jī)制，已成為當(dāng)前無線網(wǎng)絡(luò)的主要問題。

　　無線網(wǎng)絡(luò)的基本原則是連接一臺(tái)計(jì)算機(jī)終端，以形成資源共享系統(tǒng)，可以連接到對(duì)方和通信，無線通信技術(shù)。不同的無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)的特點(diǎn)是通過空間的電磁波，以取代傳統(tǒng)的電纜來實(shí)現(xiàn)傳輸?shù)男畔⒑吐?lián)系。

　　在無線網(wǎng)絡(luò)的規(guī)劃和建設(shè)工作人員面臨著兩大問題：首先，以市場(chǎng)為標(biāo)準(zhǔn)的安全解決方案，最終選擇什么是好的，第二，如何避免網(wǎng)絡(luò)已被破壞或攻擊?有線網(wǎng)絡(luò)的階段，技術(shù)人員可以創(chuàng)建一個(gè)防止外部的攻擊，通過防火墻的硬件安全設(shè)備的部署防線，然而，“考慮到的防線往往是從內(nèi)部突破”。無線網(wǎng)絡(luò)接入和方便的特點(diǎn)，在現(xiàn)有的有線網(wǎng)絡(luò)部署成本，并防止設(shè)備很容易繞過無用的“馬其諾防線”。

　　無線網(wǎng)絡(luò)的主要安全威脅如下：

　　1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量可能導(dǎo)致機(jī)密和敏感數(shù)據(jù)泄漏，無保護(hù)的接觸到用戶的憑據(jù)，導(dǎo)致身份盜竊。它還允許有經(jīng)驗(yàn)的入侵者的移動(dòng)電話用戶，IT環(huán)境中，然后使用此信息來攻擊對(duì)方是沒有漏洞的系統(tǒng)或數(shù)據(jù)。社會(huì)工程攻擊，甚至攻擊的供應(yīng)商范圍。

　　2.攔截和篡改的數(shù)據(jù)傳輸。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò)，他可以使用一個(gè)惡意計(jì)算機(jī)攔截或修改法律方面的劍鍛造網(wǎng)關(guān)和其他渠道的網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。

　　3.信息重放。在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊，及時(shí)采用了等保護(hù)措施也很難防范這樣的攻擊。

　　4.MAC地址欺騙。通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP答應(yīng)通信的靜態(tài)地址池，這樣不法之徒就能通過MAC地址偽裝等手段合理的接入網(wǎng)絡(luò)中。

　　5.拒絕服務(wù)。為了使得AP拒絕服務(wù)，攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，而這種攻擊是最為嚴(yán)重的，另外還可以選擇對(duì)移動(dòng)的節(jié)點(diǎn)進(jìn)行攻擊，讓移動(dòng)節(jié)點(diǎn)提供服務(wù)或則幫忙轉(zhuǎn)發(fā)數(shù)據(jù)包，使得該節(jié)點(diǎn)能源耗盡而不能正常工作，這樣的攻擊也成為能源耗盡攻擊。

　　四、無限網(wǎng)絡(luò)的安全防范措施

　　我們從以上的幾個(gè)對(duì)無限網(wǎng)絡(luò)的安全危險(xiǎn)看出，如何保護(hù)好“接入關(guān)”是確保無線網(wǎng)絡(luò)安全性非常直接的舉措，目前對(duì)無限網(wǎng)絡(luò)安全措施的方法都是對(duì)接入關(guān)對(duì)入侵者進(jìn)行防范，那么最常見的幾種措施有以下幾種：

　　(一)MAC地址過濾。在有線網(wǎng)絡(luò)的保安措施，MAC地址過濾是一個(gè)非常普遍的安全手段，因此它的操作與在有線網(wǎng)絡(luò)的開關(guān)操作是一致的。通過無線控制器的AP運(yùn)輸向前將指定的無線網(wǎng)卡的物理地址(MAC地址)，或直接保存在無線控制器或AP的交換機(jī)端設(shè)置。

　　(二)規(guī)劃天線的放置，掌控信號(hào)的覆蓋范圍。要部署無線的封閉方位點(diǎn)，首先就是要找到合理放置天線的位置，使得能夠限制信號(hào)在覆蓋區(qū)外的傳輸距離，最好就是選擇在覆蓋區(qū)的中心放置，這樣比較能有效減少信號(hào)的外泄至墻外。

　　(三)端口訪問控制技術(shù)。使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速,但安全性比較差。

　　(四)連線對(duì)等保密(WEP)，啟用無線設(shè)備的安全能力。保護(hù)無線網(wǎng)絡(luò)安全最基礎(chǔ)的方法就是加密，我們可以通過設(shè)置AP及網(wǎng)卡等設(shè)備，就可以啟用加密，雖然WEP加密存在著一些漏洞并且也比較脆弱，但對(duì)于非法入侵者來說也設(shè)置了不笑的障礙，在鏈路層采用RC4對(duì)稱加密技術(shù)，鑰匙長(zhǎng)40位，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙。

　　隨著無線應(yīng)用的普及，其安裝方便，使用，高速的接入速度，贏得了用戶的青睞連續(xù)訪問可移動(dòng)的無線網(wǎng)絡(luò)。但仍然是一個(gè)主要的關(guān)注，我們應(yīng)該始終現(xiàn)在和未來的無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的入侵防御安全。事實(shí)上，根據(jù)不同的安全需求，透徹的分析，不同層次的無線網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)所固有的物理特性，采取適當(dāng)措施保護(hù)，可用于無線網(wǎng)絡(luò)的安全性是完全可行的。

　　關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文二：

　　一、校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀

　　在無線網(wǎng)絡(luò)技術(shù)相對(duì)成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性，已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時(shí)，無線接入的安全性也面臨嚴(yán)峻的考驗(yàn)。目前無線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：①基于MAC地址的認(rèn)證?；贛AC地址的認(rèn)證就是MAC地址過濾，每一個(gè)無線接入點(diǎn)可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實(shí)施MAC地址訪問控制后，如果MAC列表中包含某個(gè)用戶的MAC地址，則這個(gè)用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個(gè)用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對(duì)無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個(gè)第二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請(qǐng)求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問。

　　從目前情況來看，不少校園網(wǎng)的無線接入點(diǎn)都沒有很好地考慮無線接入的安全問題，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證沒有設(shè)置，更不用說像802.1 x這樣相對(duì)來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)，會(huì)搜索到很多無線接入點(diǎn)，這些接入點(diǎn)幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

　　二、校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案

　　校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全。前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問題：一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫(kù);二是MAC可嗅探，也可修改。如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰。802.1x定義了三種身份：申請(qǐng)者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。

　　雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE 802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證，或基于證書驗(yàn)證。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)。

　　該協(xié)議在PEAP(Protected Extensible Authentication Protoco1)協(xié)議中，也稱作PEAP-EAP-MSCHAPv2。考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶：一類是校內(nèi)用戶;另一類是來訪用戶。校內(nèi)用戶主要是學(xué)校的師生，由于工作和學(xué)習(xí)的需要，他們要求能夠隨時(shí)接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等安全性要求比較高。對(duì)于此類用戶，可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。

　　這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高，對(duì)他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類用戶，可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。開機(jī)后，來訪用戶先通過DHCP服務(wù)器獲得IP地址。當(dāng)來訪用戶打開瀏覽器訪問Internet網(wǎng)站時(shí)，強(qiáng)制Portal控制單元首先將用戶訪問的Internet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)，無法訪問校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書館期刊全文數(shù)據(jù)庫(kù)等。如果要訪問校園網(wǎng)以外的資源，必須通過強(qiáng)制Portal認(rèn)證，認(rèn)證通過就可以訪問Internet。

　　對(duì)于校內(nèi)用戶，先由無線用戶終端發(fā)起認(rèn)證請(qǐng)求，沒通過認(rèn)證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數(shù)字證書(需要設(shè)立證書服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連入非法AP。雙向認(rèn)證通過后，無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運(yùn)用所協(xié)商的加密算法進(jìn)行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。

　　使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷，對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式，對(duì)來訪用戶來說簡(jiǎn)單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽。當(dāng)然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)證方式，以保障傳輸數(shù)據(jù)的安全。

　　校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后，用戶只需進(jìn)行相應(yīng)的設(shè)置就可以連接到校園網(wǎng)，從而實(shí)現(xiàn)各自需要的功能，進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)?，F(xiàn)在，不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí)，因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視，對(duì)校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí)，也造成了一定的影響和破壞。由此可見，做好無線網(wǎng)絡(luò)的安全管理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證，是當(dāng)前學(xué)校組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接，確保無線網(wǎng)絡(luò)的高安全性，提高學(xué)校的信息化的水平。

　　關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文三：

　　網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步使得無線網(wǎng)絡(luò)以其新的發(fā)展優(yōu)勢(shì)成為當(dāng)下家庭構(gòu)建局域網(wǎng)的主流選擇，但是無線網(wǎng)絡(luò)的安全性問題也成為了WLAN應(yīng)用過程中所要面對(duì)的最重要的問題之一。如何實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全使用是大多數(shù)家庭選擇無線網(wǎng)絡(luò)的一個(gè)關(guān)鍵影響要素。本文旨在通過分析無線網(wǎng)絡(luò)的安全威脅，提供常見的安全技術(shù)，引導(dǎo)普通家庭進(jìn)行基本的安全設(shè)置，從而實(shí)現(xiàn)家庭式無線網(wǎng)絡(luò)的安全使用。

　　1無線網(wǎng)絡(luò)的安全威脅

　　雖然無線網(wǎng)絡(luò)的安全問題受到了各個(gè)網(wǎng)絡(luò)設(shè)備廠商的高度重視，并且在他們的產(chǎn)品設(shè)計(jì)開發(fā)上也都做了種種努力，但是無線局域網(wǎng)還是被認(rèn)為是一種安全得不到保證的網(wǎng)絡(luò)，具體表現(xiàn)為：

　　1.1 容易侵入。無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)賬，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其它任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

　　1.2 非法的AP。無線局域網(wǎng)易于訪問和配置簡(jiǎn)單的特性，使網(wǎng)絡(luò)管理員和安全管理員非常頭痛。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購(gòu)買的AP不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多用戶未通過授權(quán)就自己搭建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來了很大的安全隱患。

　　1.3 未經(jīng)授權(quán)使用服務(wù)。一半以上的用戶在使用AP時(shí)只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改。幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用網(wǎng)絡(luò)資源，不僅會(huì)增加帶寬費(fèi)用，更可能會(huì)導(dǎo)致法律糾紛。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款，可能會(huì)導(dǎo)致ISP中斷服務(wù)。

　　1.4 服務(wù)和性能的限制。無線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網(wǎng)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。如果受到來自有線網(wǎng)絡(luò)用戶發(fā)送的大量PING流量，或者是廣播流量，這時(shí)候就會(huì)阻塞一個(gè)或者多個(gè)AP，整個(gè)無線網(wǎng)絡(luò)的帶寬將受到吞噬;另一種情況是攻擊者可以在同無線網(wǎng)絡(luò)相同的無線時(shí)延內(nèi)發(fā)送信號(hào)，這樣被攻擊的網(wǎng)絡(luò)就會(huì)通過CSMA/CA機(jī)制進(jìn)行自動(dòng)適應(yīng)，同樣影響無線網(wǎng)絡(luò)的傳輸;最后一種情況，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的Client/Server系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。

　　1.5 地址欺騙和會(huì)話攔截。由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP(Address Resolution Protocol，地址轉(zhuǎn)換協(xié)議)表變得混亂。通過非常簡(jiǎn)單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被惡意攻擊者使用。

　　1.6 高級(jí)入侵。一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其它系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部卻非常脆弱，也容易受到攻擊。無線網(wǎng)絡(luò)通過簡(jiǎn)單配置就可以快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使網(wǎng)絡(luò)暴露出來從而遭到攻擊。

　　1.7 控制發(fā)散區(qū)。無線網(wǎng)絡(luò)工作時(shí)會(huì)廣播出射頻(RF)信號(hào)，信號(hào)將無線數(shù)據(jù)從一個(gè)訪問點(diǎn)傳輸?shù)綗o線網(wǎng)卡，也能從無線網(wǎng)卡傳回。這種射頻的發(fā)散區(qū)可能相當(dāng)大，這具體取決于基本發(fā)射單元的位置及信號(hào)強(qiáng)度。雖然實(shí)體墻、金屬梁和電線可能阻礙信號(hào)，但是與產(chǎn)品說明書所宣稱的相比，實(shí)際發(fā)散區(qū)通常都要大得多。這樣發(fā)散區(qū)的信號(hào)可能會(huì)泄漏到比實(shí)際服務(wù)區(qū)更遠(yuǎn)的地方，黑客還可以用一些工具和技術(shù)將信號(hào)放大，使其能夠在更遠(yuǎn)的距離里也能攻擊你的WLAN。

　　2無線網(wǎng)絡(luò)安全技術(shù)

　　針對(duì)以上無線網(wǎng)絡(luò)的危害，現(xiàn)有無線技術(shù)也提供了相應(yīng)的對(duì)策，常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種：

　　2.1 服務(wù)集標(biāo)識(shí)符

　　通過對(duì)多個(gè)無線接入點(diǎn)AP(Access Point)設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式，只要無線工作站在AP的任何范圍內(nèi)，客戶端都會(huì)自動(dòng)連接到AP，這將跳過SSID安全功能。

　　2.2 物理地址過濾(MAC)

　　由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差;而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新，目前都是手工操作;如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

　　2.3 連線對(duì)等加密(WEP)

　　在鏈路層采用RC4對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)或128位長(zhǎng)度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

　　2.4 Wi-Fi保護(hù)接入(WPA)

　　WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。其原理為：根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集，WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。

　　2.5 國(guó)家標(biāo)準(zhǔn)(WAPI)

　　WAPI(WLAN Authentication and Privacy Infrastructure)，即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問題，在中國(guó)無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE Registration Authority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。與現(xiàn)有計(jì)費(fèi)技術(shù)兼容的服務(wù)，可實(shí)現(xiàn)按時(shí)計(jì)費(fèi)、按流量計(jì)費(fèi)、包月等多種計(jì)費(fèi)方式。AP設(shè)置好證書后，無須再對(duì)后臺(tái)的AAA服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展，可滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。

　　2.6 端口訪問控制技術(shù)(802.1x)

　　該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無線接入解決方案。

　　2.7 虛擬專用網(wǎng)絡(luò)()

　　虛擬專用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用技術(shù)?？梢蕴娲B線對(duì)等加密解決方案以及物理地址過濾解決方案。采用技術(shù)的另外一個(gè)好處是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。技術(shù)不屬于802.11標(biāo)準(zhǔn)定義，因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案。

　　2.8 終端安裝防火墻

　　個(gè)人網(wǎng)絡(luò)受到保護(hù)的同時(shí)，各工作站、PC機(jī)本身也安裝防火墻軟件，實(shí)現(xiàn)上層攻擊的防患。

　　2.9 針對(duì)信號(hào)泄露的防范

　　一種較為簡(jiǎn)易的方法是控制訪問點(diǎn)的物理位置，可以將AP放在辦公室的中央位置，使發(fā)散區(qū)的范圍在實(shí)際服務(wù)區(qū)的范圍內(nèi);另一種方法是通過控制信號(hào)強(qiáng)度來決定信號(hào)的傳輸距離，有些AP設(shè)備可以通過軟硬件的設(shè)置來控制信號(hào)強(qiáng)度。

　　3家庭式應(yīng)用的無線網(wǎng)絡(luò)安全設(shè)置

　　3.1 驅(qū)動(dòng)器保護(hù)無線網(wǎng)絡(luò)

　　在802.11a、802.11b、802.11g中內(nèi)置有WEP(Wired Equivalent Privacy)加密功能，由于加密的包比未加密的包更加難以讀取，且WEP的密鑰并不容易破解，所以使用WEP加密有足夠的安全性。每個(gè)AP在出廠時(shí)都預(yù)先設(shè)置了網(wǎng)絡(luò)名稱、IP地址、管理員賬戶名稱與密碼等，這些出廠設(shè)置很容易被破解，我們?cè)诎惭b與設(shè)置的時(shí)候就需要對(duì)管理員賬戶名和密碼作相關(guān)的更改，同時(shí)也對(duì)AP的初驗(yàn)IP地址進(jìn)行更改，進(jìn)一步保證AP的安全。

　　3.2 保護(hù)終端數(shù)據(jù)

　　Windows操作系統(tǒng)的默認(rèn)安全性很低，特別是資源的共享安全性，所認(rèn)必須更改設(shè)置，以提高安全性能保護(hù)終端數(shù)據(jù)。以操作系統(tǒng)Windows XP為例，它沒有一個(gè)選項(xiàng)來集中控制是否允許用戶從網(wǎng)絡(luò)訪問計(jì)算機(jī)的共享文件和打印機(jī)，所以在運(yùn)行這類操作系統(tǒng)的計(jì)算機(jī)上必須逐一關(guān)閉共享功能。通過點(diǎn)擊目標(biāo)后右擊鼠標(biāo)會(huì)顯示快捷菜單，選擇“共享與安全”項(xiàng)來設(shè)置關(guān)閉目標(biāo)資源的共享功能。由于磁盤中的文件夾結(jié)構(gòu)比較復(fù)雜，有時(shí)一個(gè)共享文件夾是深藏在磁盤中的某個(gè)位置，所以很難確定其路徑，因此可以利用操作系統(tǒng)內(nèi)置的控制臺(tái)來確定磁盤中到底有哪些共享文件夾，執(zhí)行“開始-運(yùn)行”功能后輸入fsmgmt.msc指令打開“共享文件夾”控制臺(tái)，點(diǎn)擊“確定”后打開“共享文件夾”控制臺(tái)，在“共享文件夾”控制臺(tái)左邊樹狀目錄中單擊“共享”項(xiàng)目之后，可以查看本計(jì)算機(jī)所有共享的文件夾列表。“共享文件夾”表示文件夾的共享名，“共享路徑”表示文件夾在磁盤中的位置。

　　3.3系統(tǒng)防火墻功能

　　防火墻可以篩選所有經(jīng)過網(wǎng)絡(luò)的包，管理員通過設(shè)置防火墻的包篩選規(guī)則限制因特網(wǎng)對(duì)終端用戶的訪問，從而保護(hù)局域網(wǎng)內(nèi)用戶的安全。仍以Windows XP操作系統(tǒng)為例，它內(nèi)置的個(gè)人防火墻功能可以用于控制網(wǎng)絡(luò)用戶對(duì)計(jì)算機(jī)的訪問，保護(hù)計(jì)算機(jī)的安全。運(yùn)行Windows XP的計(jì)算機(jī)可以啟用簡(jiǎn)單的個(gè)人防火墻功能，內(nèi)置的防火墻可以保護(hù)計(jì)算機(jī)免遭非法入侵，但是這個(gè)功能在默認(rèn)時(shí)并未啟用，用戶可以通過執(zhí)行以下操作來啟動(dòng)防火墻功能：打開無線網(wǎng)絡(luò)的屬性窗口后選擇高級(jí)選項(xiàng)，可以顯示W(wǎng)indows防火墻的設(shè)置項(xiàng)，點(diǎn)擊設(shè)置按鈕就可以對(duì)個(gè)人防火墻進(jìn)行設(shè)置。在常規(guī)選項(xiàng)中首先要啟用防火墻，在例外菜單中是針對(duì)系統(tǒng)中各應(yīng)用程序和服務(wù)的阻止設(shè)置，可以根據(jù)自身的需要進(jìn)行需求設(shè)置。在高級(jí)菜單選項(xiàng)中可以對(duì)各網(wǎng)絡(luò)連接的例外設(shè)置，還包括對(duì)安全日志的記錄、ICMP的設(shè)置。其中安全設(shè)置可以根據(jù)需要對(duì)被丟棄的數(shù)據(jù)包和記錄成功的連接進(jìn)行記錄，可以設(shè)置記錄日志的文件路徑和文件名，包括文件大小都可以設(shè)置。其中默認(rèn)情況下是在C:\WINDOWS\pfirewall.log中查看安全設(shè)置，文件大小默認(rèn)為4096K。

　　3.4 安裝無線網(wǎng)絡(luò)安全工具

　　除了系統(tǒng)本身的安全設(shè)置以外，為了進(jìn)一步保障局域網(wǎng)機(jī)器的安全性，還可以選擇安裝防病毒軟件如Norton，安裝防火墻軟件如瑞星等。Norton AntiVirus的防毒軟件，每次運(yùn)行都會(huì)實(shí)時(shí)監(jiān)控內(nèi)存、系統(tǒng)主引導(dǎo)扇區(qū)、引導(dǎo)扇區(qū)，若沒有發(fā)現(xiàn)異常，就接著監(jiān)控檢查程序中是否存在病毒。發(fā)現(xiàn)異?；蛘甙l(fā)現(xiàn)帶病毒程序，就會(huì)發(fā)出警告并且將當(dāng)前系統(tǒng)禁止運(yùn)行，提醒使用者退出系統(tǒng)進(jìn)行殺毒，這一點(diǎn)在系統(tǒng)已經(jīng)染毒，且第一次安裝該軟件時(shí)表現(xiàn)得尤為明顯。為了能夠進(jìn)一步預(yù)防病毒的產(chǎn)生，Norton AntiVirus軟件還提供了手動(dòng)掃描、調(diào)度掃描、啟動(dòng)掃描、自動(dòng)防護(hù)、疫苗及病毒定義文件等手段，使病毒侵襲的機(jī)會(huì)大大縮小。

　　Norton AntiVirus還提供了實(shí)時(shí)升級(jí)功能，是通過Live Update實(shí)現(xiàn)的。它有點(diǎn)類似于經(jīng)理人的角色，斡旋于Symantec與用戶之間，它會(huì)實(shí)時(shí)監(jiān)視Norton產(chǎn)品的各方面信息，如果有了新的病毒定義，它就會(huì)通知系統(tǒng)去獲得它們并得到新的病毒定義庫(kù)，使系統(tǒng)認(rèn)識(shí)新病毒，預(yù)防新病毒的侵襲。瑞星個(gè)人防火墻軟件可以對(duì)系統(tǒng)的安全級(jí)別進(jìn)行定義(分成高、中、普通三種級(jí)別)，并且通過對(duì)系統(tǒng)的各個(gè)端口(TCP，UDP)的實(shí)時(shí)監(jiān)控來觀察是否被黑客攻擊，受到攻擊將會(huì)產(chǎn)生報(bào)警，以提示用戶采用相應(yīng)的防范措施。軟件還能對(duì)內(nèi)存中運(yùn)行程序和應(yīng)用程序進(jìn)行信息包的監(jiān)控與限制，進(jìn)一步防止像木馬這種駐留內(nèi)存的信息獲取程序。軟件還能對(duì)系統(tǒng)中各應(yīng)用程序的安全規(guī)則進(jìn)行單獨(dú)設(shè)置，防止黑客通過各通訊應(yīng)用程序進(jìn)行攻擊。

關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文

相關(guān)文章

熱門文章