無線局域網(wǎng)安全策略

時(shí)間：2022-10-06 12:17:50 計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文我要投稿

相關(guān)推薦

無線局域網(wǎng)安全策略

　　無線局域網(wǎng)安全策略【1】

　　[摘要] 在分析WLAN通信協(xié)議的基礎(chǔ)上，針對無線局域網(wǎng)安全現(xiàn)狀，提出了基于OSI模型層次化的WLAN安全策略，采用該策略能夠最大限度地杜絕非法用戶接入WLAN，保證了數(shù)據(jù)在傳輸過程中安全保密。

　　[關(guān)鍵詞] WLAN IEEE802.11 網(wǎng)絡(luò)安全 WEP VPN

　　1.引言

　　無線通信技術(shù)的發(fā)展推動了無線網(wǎng)絡(luò)的快速發(fā)展，無線局域網(wǎng)在推出之后得到了快速普及。

　　無線局域網(wǎng)采用無線傳輸媒介進(jìn)行通信，擺脫了線纜的束縛，打破了地域和客觀條件的制約，具有靈活性、移動性強(qiáng)，成本低，吞吐量高的特點(diǎn)。

　　隨著個(gè)人通信的發(fā)展，無線局域網(wǎng)已經(jīng)掀起了移動計(jì)算的新浪潮并在社會生活的方方面面得到了廣泛的應(yīng)用。

　　然而，無線局域網(wǎng)在帶來便利的同時(shí)卻給整個(gè)網(wǎng)絡(luò)帶來了巨大的安全威脅。

　　無線局域網(wǎng)信號在自由空間中進(jìn)行傳輸，無法像有線網(wǎng)絡(luò)一樣通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被惡意x聽并獲取。

　　所以無線局域網(wǎng)面臨一系列的安全問題。

　　首先，由于移動終端與網(wǎng)絡(luò)之間的無線接口是開放性的，使得在無線信道上傳送的信令和業(yè)務(wù)消息很容易被他人x聽，且很難被發(fā)現(xiàn)。

　　其次，移動終端與網(wǎng)絡(luò)之間缺乏固定的物理連接，用戶必須通過無線信道來傳送其身份信息，身份認(rèn)證機(jī)制不完善。

　　因此，無線局域網(wǎng)必須采取更嚴(yán)密的安全措施以確保通信安全。

　　無線局域網(wǎng)安全分為身份認(rèn)證和數(shù)據(jù)傳輸安全兩大塊，有關(guān)無線局域網(wǎng)的安全策略也是圍繞這兩方面進(jìn)行分析和設(shè)計(jì)。

　　文獻(xiàn)[4]中提出的安全方案需要改動WLAN基礎(chǔ)設(shè)施來保障身份認(rèn)證。

　　文獻(xiàn)[5]中的安全方案基于對稱密碼體制的第三方認(rèn)證來解決身份認(rèn)證和密碼協(xié)商。

　　文獻(xiàn)[6]提出了基于IPSec的解決方案。

　　本文提出了基于OSI模型層次化的WLAN安全策略，在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層分別采取了相應(yīng)的安全措施，能夠最大限度地保障無線局域網(wǎng)通信安全。

　　2.WLAN 物理層協(xié)議及MAC協(xié)議

　　IEEE 802.11x WLAN 的物理層定義了數(shù)據(jù)傳輸?shù)男盘柼卣骱驼{(diào)制方式：射頻(RF)和紅外線(IR)傳輸。

　　RF分為直接序列擴(kuò)頻(DSSS)和跳頻擴(kuò)頻(FHSS)兩種傳輸方式。

　　DSSS采用擴(kuò)展的冗余編碼方式進(jìn)行數(shù)據(jù)傳輸，通過用高碼率的擴(kuò)頻碼序列與數(shù)據(jù)信號相乘實(shí)現(xiàn)擴(kuò)頻。

　　FHSS系統(tǒng)中發(fā)射機(jī)的載波頻率在一個(gè)預(yù)定集合(2.4G一2.483G)中隨時(shí)跳變，接收方和發(fā)送方事先協(xié)商跳頻模式。

　　IEEE 802.11的數(shù)據(jù)鏈路層由邏輯鏈路控制子層(LLC)和介質(zhì)訪問控制子層(MAC)組成。

　　IEEE 802.11使用和IEEE 802.3完全相同的LLC子層，并且與IEEE 802協(xié)議中所規(guī)定的使用48位MAC地址要求完全相同。

　　IEEE 802.11 MAC層的幀格式由幀頭(MAC Header)、幀實(shí)體(Frame Body)和錯(cuò)誤檢查碼(FCS)共同構(gòu)成。

　　幀頭包括幀控制(Frame Control)、持續(xù)時(shí)間(Duration / ID)、地址信息(Address)和順序控制(Sequence Control)等字段，如圖1所示。

　　圖1：無線局域網(wǎng)幀頭結(jié)構(gòu)

　　3.層次化的無線局域網(wǎng)安全策略

　　3.1 無線局域網(wǎng)安全技術(shù)及其缺陷

　　SSID (服務(wù)配置標(biāo)識符) 用來標(biāo)識無線局域網(wǎng)，無線AP默認(rèn)定時(shí)進(jìn)行SSID廣播，黑客利用偵測軟件可以輕易獲得SSID。

　　無線AP中存有合法MAC地址列表，管理員通過手工維護(hù)合法MAC列表可控制無線終端的訪問權(quán)限。

　　但是攻擊者通過無線偵聽即可獲取合法的MAC地址并非法接入。

　　WEP在鏈路層采用RC4對稱加密技術(shù)，它將密鑰擴(kuò)展成任意長度的偽隨機(jī)位“密鑰流”，該算法的缺陷是：如果對兩個(gè)不同的消息使用相同的IV和密鑰進(jìn)行加密，則可完全破解兩個(gè)消息的信息。

　　同時(shí)，如果通過無線偵聽收集到包含特定IV密鑰的分組信息并對其進(jìn)行解析，那么連通用密鑰也可被破解出來。

　　WAPI協(xié)議分為WAI和WPI兩部分，分別實(shí)現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。

　　由于WAPI與原有WiFi標(biāo)準(zhǔn)存在較大差異，在設(shè)備兼容方面存在問題。

　　所以WAPI標(biāo)準(zhǔn)仍在推廣之中，并沒有應(yīng)用到現(xiàn)有的無線局域網(wǎng)之中。

　　WLAN所面臨的安全威脅分為被動攻擊和主動攻擊兩大類。

　　被動攻擊是對WLAN信號的x聽或干擾，主動攻擊則是對WLAN進(jìn)行非法接入并篡改網(wǎng)絡(luò)設(shè)置等活動。

　　為部署更安全的無線局域網(wǎng)，必須完善無線局域網(wǎng)網(wǎng)絡(luò)安全策略，在OSI網(wǎng)絡(luò)模型之上進(jìn)行嚴(yán)格把關(guān)，在無線設(shè)備和終端之間建立多層次的保護(hù)機(jī)制，從根本上做到防止非法用戶接入WLAN，并保證數(shù)據(jù)在傳輸過程中安全、保密。

　　3.2 層次化的無線局域網(wǎng)安全策略

　　無線局域網(wǎng)的安全貫穿網(wǎng)絡(luò)架構(gòu)、使用和維護(hù)的整個(gè)過程，單層次的安全技術(shù)并不能保證無線通信的絕對安全，一個(gè)設(shè)計(jì)良好，架構(gòu)完整的無線局域網(wǎng)安全方案應(yīng)該基于OSI參考模型，以分層方式整合多種不同的安全措施，以最大限度來確保無線局域網(wǎng)的通信安全。

　　考慮到WLAN物理層的安全，在架構(gòu)WLAN時(shí)，通過專用審計(jì)儀器測量架設(shè)環(huán)境，確定AP的最佳位置，控制發(fā)散區(qū)，盡量減少無線信號泄露到網(wǎng)絡(luò)范圍以外的區(qū)域。

　　當(dāng)網(wǎng)絡(luò)中存在多個(gè)AP時(shí)，調(diào)整各AP的工作頻道，最大限度的減少干擾。

　　WLAN數(shù)據(jù)鏈路層的安全重點(diǎn)是對無線設(shè)備合理高效的`應(yīng)用。

　　在WLAN中，啟用AP的MAC地址過濾功能。

　　啟用WPA或WEP加密，選擇104或40位(一些舊設(shè)備不支持104位)加密密鑰。

　　圖2：無線局域網(wǎng)安全構(gòu)架

　　在配置無線AP時(shí)，將SSID設(shè)置為長而復(fù)雜的字符并關(guān)閉SSID廣播功能，在AP中設(shè)置最大長度的共享密鑰并定期更改密鑰，將WLAN的地址分配設(shè)置為靜態(tài)手工分配。

　　同時(shí)應(yīng)采用IPSec的嵌套通道來構(gòu)造VPN的安全通信，以確保WLAN網(wǎng)絡(luò)層的安全。

　　應(yīng)用層的安全至關(guān)重要。

　　在客戶無線終端和無線網(wǎng)絡(luò)間建立VPN(虛擬專用網(wǎng))連接，在無線終端和VPN網(wǎng)關(guān)之間建立一對一的安全連接。

　　同時(shí)在WLAN中架設(shè)RADIUS(Remote Authentication Dial-In User Service)服務(wù)器，對系統(tǒng)的遠(yuǎn)程連接進(jìn)行身份驗(yàn)證、為網(wǎng)絡(luò)資源提供授權(quán)并記錄日志。

　　此外，應(yīng)該在客戶終端中安裝個(gè)人防火墻并在WLAN中架設(shè)入侵檢測系統(tǒng)。

　　4.小結(jié)

　　隨著人們對無線互聯(lián)需求的增長, 無線局域網(wǎng)技術(shù)必將會得到進(jìn)一步的發(fā)展, 其安全性也會逐步完善。

　　本文分析了現(xiàn)有無線局域網(wǎng)的安全技術(shù)及其漏洞, 提出了更為安全可靠的無線局域網(wǎng)部署方案。

　　參考文獻(xiàn)：

　　[1] 劉峰,王相林.WLAN安全方案及802.11i標(biāo)準(zhǔn)研究.計(jì)算機(jī)工程與設(shè)計(jì),2006年13期.

　　[2] 姚志強(qiáng),蒲江,唐金藝.802.11無線局域網(wǎng)安全性分析.計(jì)算機(jī)安全,2006年 04期.

　　[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計(jì)算機(jī)應(yīng)用研究,2006年03期.

　　[4] 趙鵬,羅平,曹學(xué)武.改進(jìn)無線局域網(wǎng)的安全.計(jì)算機(jī)工程與應(yīng)用,2004年02期.

　　[5] 陳卓,陳建峽,楊木祥.基于對稱密碼體制的第三方認(rèn)證的無線局域網(wǎng)安全方案研究.計(jì)算機(jī)工程與科學(xué),2005年07期.

　　[6] 周星,康耀紅,孫盛杰.基于IPSec的無線局域網(wǎng)安全解決方案的研究.計(jì)算機(jī)工程與應(yīng)用,2003年18期.

　　無線局域網(wǎng)網(wǎng)絡(luò)安全策略【2】

　　摘要：無線局域網(wǎng)可以說實(shí)現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與無線通訊技術(shù)的有機(jī)結(jié)合，其在一定范圍內(nèi)實(shí)現(xiàn)了無線網(wǎng)絡(luò)通訊服務(wù)，因此近年得到了廣泛推廣應(yīng)用。

　　針對無線局域網(wǎng)而言，確保其安全是首要任務(wù)。

　　本文分析了無線局域網(wǎng)及其網(wǎng)絡(luò)安全的現(xiàn)狀，在此基礎(chǔ)上提出了無線局域網(wǎng)的網(wǎng)絡(luò)安全策略。

　　關(guān)鍵詞：無線局域網(wǎng);網(wǎng)絡(luò)安全;策略

　　無線局域網(wǎng)能夠?qū)崿F(xiàn)無縫覆蓋以及可移動通信等優(yōu)勢特點(diǎn)，從而實(shí)現(xiàn)對有線網(wǎng)絡(luò)的補(bǔ)充作用，因此應(yīng)用領(lǐng)域較廣，其應(yīng)用對于人們獲取信息及進(jìn)行交流提供了極大的方便。

　　因此，確保無線局域網(wǎng)的網(wǎng)絡(luò)安全是一項(xiàng)重要的研究課題。

　　面對無線局域網(wǎng)現(xiàn)存的各種安全隱患問題，我們必須認(rèn)真對待，提出切實(shí)可行的措施，加強(qiáng)技術(shù)保障，從而保證無線局域網(wǎng)的安全穩(wěn)定運(yùn)行。

　　一、無線局域網(wǎng)的網(wǎng)絡(luò)安全現(xiàn)狀

　　無線局域網(wǎng)現(xiàn)存的網(wǎng)絡(luò)安全隱患主要是因網(wǎng)絡(luò)為開放式易于接入引起的。

　　因?yàn)閃LAN是通過無線電波在空中傳輸數(shù)據(jù)的，因此不能對通信線路進(jìn)行保護(hù)，WLAN的數(shù)據(jù)會在發(fā)射機(jī)所在的最大區(qū)域內(nèi)進(jìn)行傳遞，該區(qū)域內(nèi)凡是能收到WLAN信號的用戶，都能接觸到該數(shù)據(jù)。

　　如果該系統(tǒng)漏洞被不法分子利用，他們就會對數(shù)據(jù)進(jìn)行中途截取，從而造成嚴(yán)重的網(wǎng)絡(luò)攻擊。

　　總體來說，無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)在以下幾個(gè)方面：

　　1.傳輸數(shù)據(jù)攻擊。

　　非法用戶通過掃描軟件查找那些開放式的沒有加密功能的`無線局域網(wǎng)的接入點(diǎn)，通過它非法訪問互聯(lián)網(wǎng)，進(jìn)行攻擊;或利用一些網(wǎng)絡(luò)工具來監(jiān)聽和截取無線信號，分析獲取相關(guān)用戶信息，惡意修改或延遲數(shù)據(jù)通信，合法用戶造成損失。

　　2.安全協(xié)議攻擊。

　　有線等效保密(Wired Equivalent Privacy)簡稱WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位數(shù)太短、初始化的復(fù)位設(shè)計(jì)等。

　　一些網(wǎng)絡(luò)的部署者在選擇上更偏向與缺省的WEP密匙，而且不改變他的配置選項(xiàng)，這就導(dǎo)致了黑客在破解密匙的時(shí)候，只需要收集足夠的WEP弱密匙加密包就可以了，從而使整個(gè)網(wǎng)絡(luò)缺乏安全性，給整個(gè)網(wǎng)絡(luò)帶來危害。

　　3.地址欺騙攻擊。

　　802.11無線局域網(wǎng)對數(shù)據(jù)幀是不進(jìn)行認(rèn)證操作的，所以一些非法用戶可以通過簡單的方法獲取網(wǎng)絡(luò)中的站點(diǎn)地址，通過ARP的變動進(jìn)行身份認(rèn)證，在未經(jīng)授權(quán)的情況下使用網(wǎng)絡(luò)資源。

　　二、無線局域網(wǎng)的網(wǎng)絡(luò)安全策略

　　網(wǎng)絡(luò)安全問題是整個(gè)信息化發(fā)展必須要解決和考慮的問題，但是網(wǎng)絡(luò)的絕對安全性是不可以實(shí)現(xiàn)，只能說在原有的基礎(chǔ)上加強(qiáng)對網(wǎng)絡(luò)各個(gè)方面的管理，依靠現(xiàn)有的技術(shù)改善網(wǎng)絡(luò)環(huán)境，進(jìn)一步保障網(wǎng)絡(luò)的安全性。

　　具有可以實(shí)現(xiàn)以下幾點(diǎn)：

　　1.應(yīng)用專業(yè)技術(shù)。

　　利用服務(wù)集標(biāo)識符(SSID)和MAC地址過濾技術(shù)來加強(qiáng)訪問控制

　　確定無線客戶端網(wǎng)卡的唯一物理地址的標(biāo)示，使用戶在滿足客戶機(jī)地址與合法地址相匹配的前提下滿足用戶的使用，這樣就在一定程度上有利于維護(hù)無線網(wǎng)絡(luò)的安全，防止其它用戶在未經(jīng)授權(quán)的條件下非法使用網(wǎng)絡(luò)資源。

　　2.加強(qiáng)身份驗(yàn)證

　　盡量不要使用產(chǎn)商自帶的WEP秘鑰。

　　通常WEP身份確認(rèn)有兩種方法，一是默認(rèn)的認(rèn)證方式，二是使用共享秘鑰。

　　共享秘鑰在對用戶進(jìn)行身份確認(rèn)時(shí)，要向工作站點(diǎn)發(fā)送請求信號，工作站點(diǎn)在接收到后，會向用戶發(fā)送一個(gè)詢問信息，用戶在對詢問信息進(jìn)行確認(rèn)后，也就完成了相應(yīng)的身份確認(rèn)。

　　但是在這個(gè)過程中，如果網(wǎng)絡(luò)攻擊者對截取了這兩則信息，就會對無線局域網(wǎng)造成威脅。

　　針對這方面所采取的具體措施是，不使用產(chǎn)商自帶的秘鑰，自己運(yùn)用計(jì)算機(jī)采用手工方法選擇合適的加密秘鑰，比如數(shù)字和英文字母的混合組合等。

　　其具體的操作流程是，打開瀏覽器輸入無線節(jié)點(diǎn)設(shè)備默認(rèn)的后臺管理地址，打開該地址后，選擇“無線網(wǎng)絡(luò)”和“安全方式”的選項(xiàng)，然后找出WEP加密協(xié)議。

　　在這里，用戶就可以自己選擇和設(shè)置“共享秘鑰”的驗(yàn)證方式和密碼。

　　這樣就完成了用戶對自己的安全密鑰的設(shè)置。

　　3.采用TKIP協(xié)議

　　TKIP算法相比較WEP的一個(gè)最大優(yōu)點(diǎn)就在于，增強(qiáng)了校對的完整性。

　　這一目標(biāo)的實(shí)現(xiàn)，主要在于TKIP中擁有包序列計(jì)數(shù)器，它能做到每一個(gè)MAC層的協(xié)議數(shù)據(jù)單元都有唯一的數(shù)據(jù)加密秘鑰與之相對應(yīng)，這就實(shí)現(xiàn)了完整性校對的過程。

　　TKIP在對無線局域網(wǎng)實(shí)現(xiàn)校對時(shí)采用的包序列計(jì)數(shù)器能實(shí)現(xiàn)對身份校對的防重放攻擊。

　　也就是說，TKIP接受包序列計(jì)數(shù)器的條件就是計(jì)數(shù)器必須要大于重放窗口的計(jì)數(shù)值。

　　如果該包序列計(jì)數(shù)器是經(jīng)過改動的，那么，TKIP就會自動檢測出不正確的解密秘鑰，就會顯示包序列計(jì)數(shù)器出錯(cuò)。

　　所以，TKIP防重放攻擊的采用，極大地減少了網(wǎng)絡(luò)攻擊者對驗(yàn)證信息進(jìn)行截取的幾率。

　　4.避免點(diǎn)點(diǎn)模式

　　該對策的提出主要是基于無線局域網(wǎng)工作站的兩種基本傳輸模式所存在的缺陷，其傳輸模式主要包括，基礎(chǔ)架構(gòu)模式和點(diǎn)對點(diǎn)工作模式。

　　前者的工作流程是，局域網(wǎng)內(nèi)的所有無線工作的實(shí)現(xiàn)都必須經(jīng)過路由器的信號處理。

　　后者的工作流程是不采用路由器設(shè)備，直接將工作站和工作站相連，這樣的模式能加速網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)乃俣�，但同時(shí)也為無線局域網(wǎng)附近的非法用戶提供了非法獲取和訪問信息的空當(dāng)，使局域網(wǎng)的安全受到很大威脅，所以，必須減少或禁止點(diǎn)對點(diǎn)工作模式的使用。

　　三、結(jié)束語

　　無線局域網(wǎng)的網(wǎng)絡(luò)安全是巨大的系統(tǒng)工程，要想實(shí)現(xiàn)網(wǎng)絡(luò)安全，我們必須從無線局域網(wǎng)設(shè)置的各個(gè)環(huán)節(jié)出發(fā)，無論是從源頭對無線信號加以保護(hù)，還是對運(yùn)行中的客戶認(rèn)證進(jìn)行檢測，亦或是對工作站工作模式的改變，所有這些都應(yīng)該建立在用戶對無線局域網(wǎng)網(wǎng)絡(luò)安全問題高度警惕的基礎(chǔ)之上。

　　隨著無線局域網(wǎng)應(yīng)用的日益廣泛，對其網(wǎng)絡(luò)安全的研究將更加系統(tǒng)。

　　參考文獻(xiàn)：

　　[1]連一峰，王航.網(wǎng)絡(luò)攻擊原理與技術(shù)[M].北京：科學(xué)出版社，2009：25-27.

　　[2]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技，2008(06)：24-26.

　　[3]李勤，張浩軍等.無線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2005(01)：160-162.

【無線局域網(wǎng)安全策略】相關(guān)文章：

如何保護(hù)無線局域網(wǎng)安全10-26

檔案信息安全策略研究論文10-11

局域網(wǎng)信息安全論文10-08

局域網(wǎng)云安全技術(shù)綜述10-26

局域網(wǎng)建設(shè)合同09-06

淺析遠(yuǎn)程網(wǎng)絡(luò)信息安全策略論文10-09