2017無線局域網(wǎng)安全技術(shù)論文

2017無線局域網(wǎng)安全技術(shù)論文

　　無線局域網(wǎng)安全技術(shù)是對有線連網(wǎng)方式的一種補(bǔ)充和擴(kuò)展，使網(wǎng)上的計算機(jī)具有可移動性，能快速、方便地解決使用有線方式不易實現(xiàn)的網(wǎng)絡(luò)連通問題。下面是學(xué)習(xí)啦小編整理的2017無線局域網(wǎng)安全技術(shù)論文，希望你能從中得到感悟!

　　2017無線局域網(wǎng)安全技術(shù)論文篇一

　　無線局域網(wǎng)安全淺析

　　【摘要】隨著無線局域網(wǎng)(WLAN)的廣泛發(fā)展，它的應(yīng)用也越來越面向大眾的生活，它的飛速發(fā)展提高了企業(yè)、部門的工作效率，加快了企業(yè)、部門與科技接軌的速度，給人們的生活提供了便利。但同時，在使用中，安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因，本文研究了無線局域網(wǎng)面臨的主要安全問題，并介紹了相應(yīng)的解決辦法。

　　【關(guān)鍵詞】無線局域網(wǎng);安全802.11標(biāo)準(zhǔn);ACL WEP

　　無線網(wǎng)絡(luò)是利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無需線纜介質(zhì)連接形式的網(wǎng)絡(luò)。近年來，無線局域網(wǎng)以它接入速率高，組網(wǎng)靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢等特點得以迅速發(fā)展。它是對有線連網(wǎng)方式的一種補(bǔ)充和擴(kuò)展，使網(wǎng)上的計算機(jī)具有可移動性，能快速、方便地解決使用有線方式不易實現(xiàn)的網(wǎng)絡(luò)連通問題。但是，隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，無線局域網(wǎng)受到越來越多的威脅，無線網(wǎng)絡(luò)不但因為基于傳統(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊，還受到基于IEEE802.11標(biāo)準(zhǔn)本身的安全問題而受到威脅，其安全問題也越來越受到重視。與此同時，也暴露出了各種各樣的缺點，本文就802.11無線局域網(wǎng)中存在的安全問題給予了探討。

　　1. 非法接入無線局域網(wǎng)

　　無線局域網(wǎng)采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、墻等物體，因此在一個無線局域網(wǎng)接入點(AccessPoint，AP)的服務(wù)區(qū)域中，任何一個無線客戶端(包括未授權(quán)的客戶端)都可以接收到此接入點的電磁波信號。也就是說，由于采用電磁波來傳輸信號，未授權(quán)用戶在無線局域網(wǎng)(相對于有線局域網(wǎng))中竊聽或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問無線局域網(wǎng)絡(luò)，必須在無線局域網(wǎng)引入全面的安全措施。

　　1.1非法用戶的接入。

　　(1)基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入。

　　服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個字符。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。

　　(2)基于無線網(wǎng)卡物理地址( MAC )過濾防止非法用戶接入。

　　由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP設(shè)置基于MAC地址的AccessControl(訪問控制表)，確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

　　如果網(wǎng)絡(luò)中的AP數(shù)量太多，可以使用802.1x端口認(rèn)證技術(shù)配合后臺的RADIUS認(rèn)證服務(wù)器，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。

　　(3)基于802.1x防止非法用戶接入。

　　802.1x技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與無線訪問點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。

　　如果認(rèn)證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。

　　1.2非法AP的接入。

　　無線局域網(wǎng)易于訪問和配置簡單的特性，增加了無線局域網(wǎng)管理的難度。因為任何人都可以通過自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)，這就給無線局域網(wǎng)帶來很大的安全隱患。

　　基于無線網(wǎng)絡(luò)的入侵檢測系統(tǒng)防止非法AP接入

　　使用入侵檢測系統(tǒng)IDS防止非法AP的接入主要有兩個步驟，即發(fā)現(xiàn)非法AP和清除非法AP。

　　1.2.1發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡(luò)各處的探測器完成數(shù)據(jù)包的捕獲和解析，它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作，并報告給管理員或IDS系統(tǒng)。當(dāng)然通過網(wǎng)絡(luò)管理軟件，比如SNMP，也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。發(fā)現(xiàn)AP后，可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù)，那么就是RogueAP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認(rèn)為是非法AP。

　　1.2.2當(dāng)發(fā)現(xiàn)非法AP之后，應(yīng)該立即采取的措施，阻斷該AP的連接，有以下兩種方式可以阻斷AP連接：

　　(1)采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務(wù)。

　　(2)網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法AP的物理連接位置，從物理上斷開。

　　2. 數(shù)據(jù)傳輸?shù)陌踩?/p>

　　在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩?。使用先進(jìn)的加密技術(shù)，使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯;使用數(shù)據(jù)訪問控制能夠減少數(shù)據(jù)的泄露。

　　2.1數(shù)據(jù)加密。

　　(1)IEEE802.11中的WEP。

　　有線對等保密協(xié)議(WEP)是由IEEE802.11標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。 　　WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強(qiáng)度并不算高，于是有了安全漏洞?，F(xiàn)在，已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort。

　　(2)IEEE802.11i中的WPA。

　　Wi-Fi保護(hù)接入(Wi-Fi Protected Access，WPA)是由IEEE802.11i標(biāo)準(zhǔn)定義的，用來改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中的缺點得以解決。

　　2.2數(shù)據(jù)的訪問控制。

　　訪問控制的目標(biāo)是防止任何資源(如計算資源、通信資源或信息資源)進(jìn)行非授權(quán)的訪問，所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實現(xiàn)。

　　訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

　　2.3其他安全性措施。

　　許多安全問題都是由于AP沒有處在一個封閉的環(huán)境中造成的。所以，首先，應(yīng)注意合理放置AP的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離，必要時要增加屏蔽設(shè)備來限制無線局域網(wǎng)的覆蓋范圍。其次，由于很多無線設(shè)備是放置在室外的，因此需要做好防盜、防風(fēng)、防雨、防雷等措施，保障這些無線設(shè)備的物理安全。

　　3. 結(jié)束語

　　計算機(jī)網(wǎng)絡(luò)取得今天的發(fā)展成就，是人類文明進(jìn)入到更高階段的標(biāo)志，它推動著人類社會向更現(xiàn)代化的方向發(fā)展，同時推動了知識經(jīng)濟(jì)時代的到來，人們通過計算機(jī)網(wǎng)絡(luò)的連接，打破了原先在時間和空間上的阻隔，在無形中拉近了人與人之間的距離，也在一定程度上擴(kuò)大了我們生存的空間，網(wǎng)絡(luò)給我們提供了超乎尋常的方便和成功。但是，網(wǎng)絡(luò)也給社會帶來了更多的挑戰(zhàn)，它要求我們要以更高的層次去面對新的生活和環(huán)境，同時也要加強(qiáng)網(wǎng)絡(luò)安全方面的意識，從各個層面來進(jìn)行安全防控，我們要抓住網(wǎng)絡(luò)時代帶給我們的機(jī)遇，不斷努力推動社會經(jīng)濟(jì)的全面發(fā)展。

　　參考文獻(xiàn)

　　[1]趙偉艇：無線局域網(wǎng)的加密和訪問控制安全性分析.微計算機(jī)信息，2007年21期.

　　[2]王茂才等：無線局域網(wǎng)的安全性研究.計算機(jī)應(yīng)用研究，2007年01期.

　　[3]王玲等：IEEE802.11無線局域網(wǎng)技術(shù)及安全性研究.電腦開發(fā)與應(yīng)用，2007年02期.

　　[文章編號]1006-7619(2013)08-13-760

　　[作者簡介] 宋勇濤(1980-)，男，學(xué)歷：大學(xué)本科，職稱：助理工程師，工作單位：陜西天元通信規(guī)劃設(shè)計咨詢有限公司，長期從事有線傳輸網(wǎng)絡(luò)和無線局域網(wǎng)絡(luò)的規(guī)劃、設(shè)計，具有豐富的傳輸網(wǎng)絡(luò)和無線網(wǎng)絡(luò)建設(shè)經(jīng)驗。

點擊下頁還有更多>>>2017無線局域網(wǎng)安全技術(shù)論文