无线局域网与网络安全技术(共13篇)
1.无线局域网与网络安全技术 篇一
作者:空军第一航空学院 冯祥 梁伟洋 摘要:以正交频分复用(0FDM)为代表的多载波传输技术可以大大提高系统容量,因而受到人们的广泛关注并得到广泛的应用,介绍了OFDM的原理及其在无线局域网中的应用情况,总结了0FDM的特点。 并针对无线信道的特点介绍了一
作者:空军第一航空学院 冯祥 梁伟洋
摘要:以正交频分复用(0FDM)为代表的多载波传输技术可以大大提高系统容量,因而受到人们的广泛关注并得到广泛的应用。介绍了OFDM的原理及其在无线局域网中的应用情况,总结了0FDM的特点。
并针对无线信道的特点介绍了一种可靠的自适应传输方案。
关键词:OFDM;无线局域网;自适应传输;通信
l引言
近年来,正交频分复用(0FDM)技术因其可有效对抗多径干扰(IsI)和提高系统容量而受到人们的极大关注,已在数字音频广播(DAB)、数字视频广播(DVB)、无线局域网(WLAN)中得到应用,是第四代移动通信系统的有力竞争者。OFDM是多载波传输方案的实现方式之一,在许多文献中OFDM也被称为离散多音(DMT)调制。它通过串并变换将高速数据流分配到多个子载波上,使得每个子载波上的数据符号持续长度相对增加,从而可以有效地提高系统容量和对抗因无线信道的时间弥散引起的ISI。通过引入循环前缀(CP)有效地消除了因多径造成的信道间干扰(ICI),从而保持子载波间的正交性。另外,它可以利用快速傅立叶变换算法实现调制和解调,为其应用提供了可能。
2OFDM的特点
图1示出0FDM的基带模型。OFDM技术的主要优点是:可以有效对抗多径传播造成的符号间干扰,其实现复杂度比采用均衡器的单载波系统小很多;在变化相对较慢的信道上,0FDM系统可以根据每个子载波的信噪比优化分配每个子载波上传送的信息比特,从而大大提高系统传输信息的容量:OFDM系统抗脉冲干扰的能力比单载波系统强。因为OFDM信号的解调是在1个很长的符号周期内积分,从而使脉冲噪声的影响得以分散;频谱利用率高,OFDM信号由N个信号叠加而成,每个信号的频谱均为Sinc函数,且与相邻的信号频谱有1/2的重叠,故其频谱利用率:
ηOFDM=N/(N+1)log2M
其中,M为星座点数。与MOAM调制方式(ηMQAM=0.5xlog2M)相比,频谱利用率提高近l倍。
与传统的单载波传输系统相比,OFDM的主要缺点是:对于载波频率偏移和定时误差的敏感程度比单载波系统高;OFDM系统中的信号存在较高的峰值平均功率比(PAPR)使得它对放大器的线性要求很高;为了实现相干解调,必须进行信道估计。针对这些缺点,OFDM的3项关键技术即频偏估计、降低峰平比和信道估计算法成为目前的3个研究热点。
3OFDM在无线局域网中的应用
IEEE802.11a是0FDM应用于WLAN的标准。IEEE802.11a工作在5GHz频段,
利用OFDM作为物理层技术,可提供6Mb/s到54Mb/s的数据速率。为了恢复处于不同衰落环境的子载波上的信号,它在不同的子载波上采用不同码率的编码方式,主要有1/2、2/3、3/4三种码率。其中1/2编码器采用约束长度为7的卷积编码,生成多项式为(133,171),其他二种码率通过对1/2编码器进行凿孔获得。表1给出IEEE802.11a支持的8种模式,为了对比。表中还给出了HIPERLAN/2支持的7种模式。
可以看出,IEEE802.11a中使用4种调制映射方式(BPSK、QPSK、16QAM和64QAM)。每个OFDM符号有64个子载波,其中48个传输数据,保护间隔为800ns,有效OFDM符号长度为3.2μs,总带宽为20MHz。其定时同步、载波频偏估计和信道估计都是由2个前置训练符号完成的,训练符号由二部分组成:10个短训练符号和2个长训练符号,总的训练时间长度为161xs。在选择短训练符号和长训练符号时,考虑到系统的PAPR问题,通过合理的选择训练符号。使得PAPR可以在3dB左右。
4自适应传输策略
为了进一步提高系统性能,针对无线信道的特点,很多文献对自适应OFDM技术进行了研究。包括自适应调制、编码和交织等。通过研究发现,在时间色散信道传输OFDM信号的误比特率决定于信道的频率响应,错误比特主要集中在衰落严重的子载波上,而对那些信道质量较好的子信道,误比特率很低。因此,可以根据每个子信道的情况,动态分配子载波的传输方式,对于信道质量好的子信道,采用阶数较高的调制方式和码率较高的编码方式,以提高系统的传输效率;对于信道质量较差的子信道,采用低阶调制和低码率的编码方式.从而保证系统传输的可靠性。这就是基于子载波的自适应传输技术SbSA(Subcarrierrier-by-SubcarrierAdapta-tion)。显然,为了实现自适应传输,必须包括以下3项关键技术:接收机根据导频信号估计信道质量;发射机根据信道情况选择合适的传输方式;采用信令传输或盲检测技术告诉接收机所采用的传输参数。为了使发射机选择正确的传输方式,必须使发射机收到正确的信道信息。上行链路传送的信道信息因无线信道的衰落或干扰而发生错误,就会造成发射机对信道的错误预测.从而导致选择不合适的传输方式,使系统性能下降。针对这一问题,本文介绍一种较为可靠的机制(见图2),可以在反向链路传输发生错误的情况下,仍能选择较合适的传输方式.从而保证系统的性能。本文仍然假定信道是慢衰落信道,接收机接收的导频位置的信道状态信息(CSI)首先被量化.然后再对量化后的CSI进行循环冗余校验编码(CRC)和BPSK调制。最后将CRC后的CSI信息传给发射机,发射机如果检测到收到的CSI没有错误.就根据当前的信道状态从备择模式中选择传输模式,如果有错误,仍使用前一时刻的调制编码方式。
5结束语
从理论上说.OFDM与单载波传输具有相同的信道容量.但是当存在严重符号间干扰或者在多径信道中采用OFDM传输可获得较好的性能。近来受到国内外广泛关注的研究领域是OFDM在下一代蜂窝无线通信系统中的应用,OFDM与多天线技术(MIMO)及空时编码(STC)技术的结合可以大大提高蜂窝通信系统的性能。
到目前为止.OFDM技术已经在众多的高速数据传输领域得到成功的应用.如欧洲的数字音频和视频广播(DAB/DVB)、欧洲和北美的高速无线局域网系统f如HIPERLAN/2、IEEE802.11a1,以及高比特率数字用户线(xDSL)。当前,人们正在考虑在基于IEEE802.16标准的无线城域网、基于IEEE802.15标准的个人信息网(PAN)及下一代无线蜂窝移动通信系统中使用OFDM技术。可以预见.OFDM在未来的实际通信系统中将有广泛的应用.OFDM已经被公认为下一代蜂窝通信系统的核心技术。
原文转自:www.ltesting.net
2.无线局域网与网络安全技术 篇二
随着无线通信技术的广泛应用,无线局域网(WLAN)应运而生。WLAN是指采用无线传输媒介的计算机局域网络,它能在难以布线的区域进行通信。但是,由于WLAN应用具有很大的开放性,数据传播范围很难控制,所以WLAN将面临非常严峻的安全问题。
2 无线局域网的安全危胁
WLAN的安全危胁远比有线局域网严重得多,无线信道开放弥散的特性使得其传输的数据没有了物理隔离的天然屏障,机密数据更加容易被非法窃取,非法用户也更加容易侵入网络。因此WLAN安全便成为了WLAN技术中最重要的问题之一。
大体上来讲,WLAN主要存在两大安全危胁:(1)对WLAN的非法访问。如何阻止非法用户访问WLAN便成为WLAN安全设计中应解决的一个问题。(2)对WLAN的窃听。非法用户即使不能直接侵入到W L A N内部,因此如何实现无线数据的保密传输便成为WLAN安全设计中应解决的又一个问题。
3 无线局域网的安全技术
为了解决WLAN的安全问题,早期常用的WLAN安全技术有业务组标识符(SSID)和物理地址(MAC)过滤,再后来IEEE 802.11标准中定义了两种认证机制与有线等效保密(WEP)算法。在WEP的安全性受到广泛质疑之后,专门制订了IEEE 802.11i及其过渡标准WPA(Wi-Fi保护访问)。
3.1 早期常用的WLAN安全技术
SSID:无线客户端必需出示正确的SSID才能访问无线接入点(AP),利用SSID,避免任意漫游带来的安全和访问性能的问题。然而无线接入点AP向外广播其SSID,使安全程度下降。
MAC过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。然而非法用户完全可以盗用合法的MAC地址进行非法接入。
3.2 ISO/IEC 8802-11:1999中的安全技术
IEEE 802委员会在1997年推出了IEEE 802.11标准,后来在1999年推出了IEEE 802.11a和IEEE 802.11b两项扩展性标准。WEP虽然通过加密提供网络的初步的安全性,但其安全性非常脆弱,可以通过很多简单的攻击方法使其变得毫无意义,主要的攻击方法有统计攻击、完整性攻击、假冒无线站(STA)攻击和假冒AP攻击等。
3.3 WPA(Wi-Fi保护访问)
WPA技术核心仍然和WEP技术相同,因为WPA是基于目前ISO/IEC 8802-11:1999标准中WEP安全标准的RC4算法,有先天的缺陷,换汤不换药。它们的区别在于在通信的过程中不断地变更WEP密钥,变换的频度以假设目前的计算技术无法将WEP密钥计算出来为依据。但是对称加密的不足在于AP和STA使用相同密钥,黑客只要监听到足够的数据包,同样可以破解网络。
3.4 IEEE 802.11i标准
在采用IEEE802.1x的WLAN中,STA安装IEEE802.1x客户端软件,AP内嵌IEEE802.1x认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。当STA登录到AP后,是否可以使用AP的服务要取决于IEEE802.1x的认证结果,如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户接入。
在IEEE802.11i标准中TKIP是作为一种过渡安全解决方案。将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。然而WEP算法的安全漏洞是由于WEP机制本身引起的,并不能从根本上解决问题。
IEEE802.11i标准的终极安全解决方案为基于IEEE802.1x认证的CCMP加密技术,即以AES为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP采用128位的AES分组密码算法,相比前面所述的所有算法安全程度更高。
3.5 WAPI安全机制
WAPI安全机制是我国无线局域网国家标准GB 15629.11-2003中采用的WLAN安全技术,用于保障STA的安全接入与保密通信,包括WAI和WPI两个组成部分。WAI基于公钥密码技术实现STA和AP之间的双向身份认证,其中鉴别服务器(AS)负责颁发和验证STA和AP的公钥证书。后者实现STA和AP之间的保密通信。WAPI采用国家密码管理局批准的非对称密钥体制的ECDSA和ECDH算法,以及对称密钥体制的SM4分组密码算法,分别用于WLAN设备的数字签名、密钥协商和传输数据的加解密。
根据以上所述的无线局域网安全技术,其对比分析如表1所示。
4 结语
WLAN目前正处于蓬勃发展时期,已广泛应用于各个行业中。但是,随之而来的安全问题也变得越来越严峻。与此同时,WLAN安全技术也需要不断地改善和升级,只有将身份认证和传输数据的加密等多种措施结合起来,才能构筑安全的WLAN。
摘要:随着无线局域网技术的广泛应用,其安全问题变得越来越严峻。本文对各种无线局域网安全技术进行了分析与比较。结果显示:WAPI安全机制是一种有效的WLAN安全技术。
关键词:无线局域网,WEP,WPA,TKIP,CCMP,WAPI
参考文献
[1]IEEE Standard for Information Technology-Telecommunica-tions and Information Exchange Between Systems-LAN/MAN Spe-cific Requirements-Part 11:Wireless LAN Medium Access Con-trol(MAC)and Physical Layer(PHY)Specifications[S].IEEE 802.11,1999.
[2]IEEE Supplement to Standard for Information Technology-Telecommunications and Information Exchange Between Systems-LAN/MAN Specific Requirements-Part 11:Wireless LAN Me-dium Access Control(MAC)and Physical Layer(PHY)Specifications:Specification for Enhanced Security[S].IEEE 802.11i,2004.
[3]中华人民共和国国家标准.GB15629.11-2003(信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范)[S].北京:中国标准出版社,2003.
3.无线局域网络技术浅析 篇三
【关键词】无线局域网(WiFi)技术;IEEE802.11标准;网络安全
根据摩尔定律:当价格不变时,集成电路上可容纳的元器件的数目,约每隔18~24个月便会增加一倍,性能也将提升一倍,我们身边的电子设备在飞速的发展着。从最早的大哥大,到小巧的彩屏手机,到现在的平板电脑、智能手机。这些电子设备都离不开网络。可是我们又不能把粗大的RJ45接口做到这些电子设备里,还要让它们能访问internet,这就应运而生了无线局域网(WiFi)技术。
无线局域网(WiFi)技术是一种全新的通过无线网络协议组网的网络技术。它摒弃掉了传统网络必须依赖的网线,你可以在单位、家里或这种公共场所随时随地、随心所欲的使用无线终端通过无线局域网(WiFi)技术畅游网络。
无线局域网(WiFi)技术基于IEEE802.11标准。
IEEE802.11a:工作频率5GHz,最大传输速率54Mbps,不能与802.11b兼容。
IEEE 802.11b:工作频率2.4GHz,最大传输速率 11Mbps。
IEEE802.11g:工作频率2.4GHz最大传输速率108Mbps,能够兼容802.11b。
SSID ,简单的来理解SSID就是一个网络的标识,用于区分不同的无线局域网。在无线路由器上,一般可以控制SSID的广播。当路由器关闭了SSID广播,在终端的就无法通过搜索来找到这个无线局域网,必须通过手动添加SSID,来加入无线局域网。这样的好处是增加了无线局域网的安全性,弊端就是牺牲了部分便利性。
简单的家庭无线WLAN:家里组建无线局域网最实用的例子,一台无线路由器作为网络防火钱,简单路由器,交换机及无线终端接入设备。
网络防火墙可以简单的阻断外界的攻击。它可以通过设置局域网中可以执行WEB操作的计算机MAC地址,来控制那台内网计算机可以操作这台路由器,也可以设置远程WEB管理IP地址,来实现局域网外计算机的操作控制。
静态ARP绑定设置,可以把某一个IP地址通过ARP绑定固定分配给一个MAC地址,这样这个IP地址就不会在DHCP中分配给其它机器,如果家里又网络打印机的话,就应该用这一功能把某一个IP地址固定分配给打印机。
IP带宽控制功能,可以限制某一个IP地址的上行带宽和下行带宽。当局域网中某一台机器流量过大时,可以应用此功能限制带宽,以免影响局域网内其它机器。
上网控制功能。这是一个非常实用的功能,通过规则的建立管理,可以控制局域网内哪些机器可以上网,在什么时段上网。严格控制了终端的网络访问。
开启WDS功能,家用无线路由器中的WDS功能,就是简单的通过WDS把路由器之间进行桥接(中继)。通过这一功能我们可以把无线覆盖范围扩展到原来的一倍。WDS工作模式可以为点对点、点对多点等。每个家庭都多多少少有几道墙,这就会大大的减弱无线路由器的信号,最好的解决办法就是通过WDS多设置几台路由器,一起工作。解决信号不足的问题,达到增强信号强度的目的。
无线局域网的接入方式:
根据具体应用不同,无线局域网采用的拓扑方式有网桥型、终端节点连接型、交换机接入型、无中心型结构。
主要应用的协议有:
DHCP协议。
动态主机分配协议(DHCP),使用UDP协议工作,主要功能是能够为内部计算机自动分配IP地址,而无需手动分配,减少网络接入时间,增加了网络接入的便利性。能够为网络管理员提供便利的终端控制手段。一般建议用默认的地址池即可,无须重新设置。有效的控制IP地址冲突。
保障无线局域网安全的几点措施:
1.高强度的密码。
一个高强度的密码,会增加暴力破解的难度、延长暴力破解的时间。这个密码需要包括字母的大小写、数字、特殊符号。密码至少要求十位。一个一位的密码,如果是数字的话,10次就能破解,如果加入小写字母的话,36次就可以破解,在加入大写字母,62次才可以破解,如果在加入特殊符号,密码在变为10为,破解难度会成几何数量级增加。
2.SSID。
刚才说到的SSID广播。很多的初级破解技术,都是通过扫描SSID来寻找系统漏洞。虽然隐藏了SSID 不是什么真正的网络安全手段,但是也可以减少外界的威胁。
SSID的命名,不要用默认的无线网络名字,WPA2加密技术把SSID作为密码的一部分来使用。如果不对其进行修改,那么黑客就会利用这一漏洞加快无线局域网的密码破解速度。
3.采用WPA2加密方式。
旧的WEP加密方式,破解难度太低,对破解设备也没有特殊要求,加单的web插件就可以破解。WPA2是目前比较安全的加密方式,对破解要求非常高,难度大。建议采用这种加密方式。
4.MAC地址访问控制。
在底层限制了能够访问这台路由器的计算机MAC地址,路由器不会处理MAC地址池外的数据,大大的增加的无线局域网的完全性。
5.网络不用时关闭网络。
如果网络不需要7*24工作,就可以在不用的时候关闭它。找不到、看不见就无法攻击它,也就是最安全的。
6.终端安全。
确保终端设备的安全,关闭不必要的服务,及时安装系统补丁,开启windows防火墙。即使网络被攻破,也不会丢失终端数据。
7.定时定期的更改网络密码。
一个定时定期更改的高强度密码对于无线局域网络来说至关重要。
故障问题分析:
1.无线客户端接收不到信号。
检测无线终端与无线路由器之间距离是否太远,中间是否有墙体遮挡。检测无线信号强度。必要时增加桥接无线路由器,增强无线信号。检测无线路由器是否加电,工作状态灯是否正常。无线客户端是否正常设置IP地址。如果设置了MAC地址过滤,请检测终端设备的MAC地址是否在路由器的MAC地址池内。
2.无线终端能够正常接收信号但无法接入无线局域网。
检测无线路由器的DHCP服务是否工作正常。DHCP的地址池是否用完。无线终端是否是自动获取IP地址方式。如果是手动分配方式,请检测手动分配的地址是否与路由器同一网段。
3.无线局域网内部访问正常,但无法访问因特网。
4.无线局域网安全意识不可松懈 篇四
正如许多人所共知的,通过无线方式连接至家庭网络,再通过ISP连接到Internet确实是一种行之有效的方式。但是如何保护用户以及在他们计算机上存储的公司数据,就必须首先理解所存在的无线局域网安全风险。
把握安全风险
毋庸质疑,WLAN确实存在脆弱性,当这种脆弱性与威胁等级遭遇到敏感信息窃取事件后,将会为公司造成大量损失。且这一脆弱性完全是因为WLAN技术本身的原因而造成的。对此,很多人有过亲身体验,当驱车行驶于高速公路时,甚至可采集到多达8个WAP访问点。但是WLAN技术所产生的威胁(或者威胁等级)则很难具体衡量,还须综合考虑多种物理参数。
当将对公司网络的威胁分析拓展至员工家庭网络,同样存在价值。因此,一旦攻击者将目标锁定于家庭网络用户,威胁等级将会攀升。至于如何估算因一次家庭网络入侵而对公司(或个人)造成的损失?这需酌情而定。实际上,在屋内安装了一台家用WAP(Wireless Acess Point,以下简称WAP)后,就相当于从一台交换机拉了一条5类网线到车道尽头,为宽带的高速公路增添了新的快车道。然而,别有用心之人却可以跑到房子外面,插好网线,然后访问用户的家庭网络。通过连接WAP,他们可以肆无忌弹,甚至可以嗅探到在WAP和每一个无线客户端之间传送的所有无线数据包。
重视策略、规程制定
针对家庭用户,或许最好的无线局域网安全应用策略就是禁止使用。但即使知道可能存在着无线局域网安全风险,用户出于使用需求,却仍可能选择忽略这条禁令。因此,切实可行的是制定一些切实可行的操作准则,便于遵守。
首先,应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如用户想把他们的工作用电脑连接到家庭无线局域网上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。但是这在实现上存在的缺陷,使这个密钥生成机制成为一个摆设,
如果用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,必须每周改变一次密钥。
用户应该改变其WAP上的所有默认设置。默认密钥必须更换,默认无线局域网安全设置必须修改(因为所有这些设备都默认禁用了WEP),默认的广播频道也必须更换,而且必须将SSID重命名为某个不常见的名字。
用户应该更改WAP的默认IP地址以及默认的管理密码。有的WAP使用一个外置的USB端口来进行管理,但许多产品都允许使用一个通过网络连接的Web界面来进行管理。如果邻居家的小孩启动了他的无线网卡,并看到了您的WAP广播(因为两家使用的广播频道是一样的),并看到您的SSID是“Linksys”,他就可能好奇地尝试连接IP地址“192.168.1.251”,并使用密码“admin”来登录。每有厂商都有类似的默认设置,这正是为什么必须更改默认设置的原因。
运行WLAN的用户将面临比其他移动用户更大的无线局域网安全风险。PC断电和待机的时候,可以通过磁盘加密来保护PC上的数据。然而,如果数据在一个家庭网络中传输,就需要对网络或者计算机实行额外的保护。个人防火墙是必须使用的,而且要设置一个防火墙策略,不允许计算机之间的SMB服务。否则,就难以避免外部的计算机访问。
最后,或许是最重要的一点:建立一个策略,要求家庭无线局域网用户必须配置他们的WAP来进行过滤,只和固定MAC地址的设备进行通信。如果一个企业部署的计算机很多,这明显是一个相当繁琐的任务。但是,对于在家庭网络上工作的人来说,要进行这个配置是非常容易的。
并不是每个员工都安装了家庭无线局域网,也并不是每个人都有家庭网络。但是,就像目前没有家庭网络的每个计算机用户都有可能在某一天装上家庭网络一样,目前有家庭网络的每个人都有可能很快添加一个无线访问点。用户可以在某种程度上控制WLAN在办公室中的使用。但是,企业信息主管经常开车至每个员工住宅附近检查WAP的使用情况无法完全实现,所以必须提前制定好相关的策略和操作规程,尽可能减小员工现在或者将来在家庭无线局域网中使用工作电脑所带来的无线局域网安全风险。在这种情况下,人们虽然是在家中工作,但也必须接受网络的监管。
5.全面了解无线局域网的安全设置 篇五
但是在无线局域网的安全性更值得我们去注意。由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,任何人都有条件 或干扰信息,数据安全也就成为最重要的问题。
因此,我们在一开始应用无线网络时,就应该充分考虑其安全性,了解足够多的防范措施,保护好我们自己的网络。下面,我们就向大家介绍一些无线局域网所面临的危险,知道了解危险如何存在,那么我们再去解决也就相对容易一些:
容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入,
非法的AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;
6.无线局域网与网络安全技术 篇六
各种无线网络接入方式都有明显的优势和缺点,在选择网络接入方式之前,各种接入设备标称的理论值往往会误导消费者。我们先看看不同的无线接入方式的实际传输速度如何。
一、 CDMA 1X vs GPRS
GPRS的理论网络速度峰值可以达到112Kbps,而CDMA 1X的峰值为152Kbps,两者相差并不是很多。当然,对于无线网络技术而言,单纯的理论值对比没有什么意义,实际的速度测试才有价值。
为了公平起见,测试之前不经过任何软件优化,而且选择国内外各地的服务器进行三次下载速度对比测试,测试使用Flashget三个线程,取最终的平均速度。此外,我们还使用普通56K外置Modem的测试成绩作为参考。
从速度表现来看,CDMA 1X是最为出色的,尽管距离理论上的峰值仍有不小的距离,但是已经超越了56K外置Modem,速度完全能够让人接受。相对而言,GPRS表现欠缺一些,或许是因为中国移动的网络负荷量过大,其速度下降十分明显,甚至不如56K Modem。
二、 WIFI无线局域网效果测试
如日中天的WIFI无线局域网效果几乎已经没有对手,从技术指标来看,其速度与传输距离都相当出色。事实上,无线网络并不仅仅用于无线宽带上网,组建无线局域网对于企业用户而言具有非凡的意义。
那么,无线网络在速度以及传输距离方面究竟能达到何种境界呢?在30米的半径范围之内,IEEE802.11b无线网络可以达到最高的11Mbps速率,因此我们采用了与之速度相仿的10Mbps网络进行对比测试。
测试中所采用的无线路由器与无线网卡都是AboveCable的产品,通过WIFI无线局域网效果认证。尽管IEEE802.11b在理论上具有11Mbps带宽,高于10Mbps网络,但是在实际使用中,无线技术还是难以超越有线介质。
在测试中,我们将无线网卡与路由器的距离和方向多次调整,发现传输性能没有任何变化,因此可以排除障碍物对无线网络的影响。客观而言,目前IEEE802.11b无线网络在速度上还难以完全满足用户的需求。
如果仅仅是办公数据传输、家庭局域网、小规模网络或者无线上网,那么这项技术还是能够胜任的,但是在需要进行频繁数据交换的应用环境下,价格高昂且速度较低的无线网络暂时没有足够的资本来吸引用户,看来更高带宽的IEEE802.11g和IEEE802.11n才是发展方向。
完成了速度测试之后,我们更加关注传输距离。从实际测试效果来看,IEEE802.11b最多只能穿越两座墙壁,而且此时网速已经大大下降,因为IEEE802.11b会根据信号的强弱自动调整带宽,
毫无疑问,未来信号穿透能力将是WIFI无线局域网效果发展的重点,尽管通过安装信号放大器以及AP节点可以解决问题。
三、 蓝牙 vs 红外线 WIFI无线局域网效果
从带宽来看,蓝牙技术只有1Mbps,而FIR标准的红外线达到了4Mbps。在速度方面,红外线无疑占据不小的优势。我们使用一个4MB的ZIP文件在两台笔记本之间进行实际测试,结果蓝牙耗时1分10秒,而FIR标准的红外线只用了38秒。
无论是蓝牙还是红外线,其实际测试速度都与理论值之间有不小的差距,但是红外线的综合速度表现还是优于蓝牙。然而不能忽视的是,对于低速度无线技术而言,或许带宽并不是最重要的,传输距离才是关键。
红外线的传输距离被限制在1.5米之内,而且发射器必须互相对准,中间也不能有障碍物。在实际测试中,我们使用一个茶杯来阻挡信号,结果速度大幅度下降。毫无疑问,红外线的这一缺点决定其应用范围只能是临时性的网络。相反,蓝牙的传输距离大得多,而且不易受到障碍物干扰,甚至可以穿透一座墙壁。
总体而言,如果说蓝牙略微令人失望,那么红外线又让我们看到新的希望。作为近距离的无线传输,红外线依旧是无可替代的廉价解决方案,而以小功耗、穿透力强而著称的蓝牙也有着相当广阔的前景。可以预见,未来带宽达到16Mbps的VFIR标准红外线将令近距离临时无线传输更为高效率,而新版本的蓝牙将在带宽与成本方面更进一步。
802.11g的来龙去脉 WIFI无线局域网效果
6月12日,IEEE802.11g正式作为技术标准发布,1个月后,Wi-Fi联盟认证了第一批采用802.11g标准的产品。IEEE802.11g可以看作是IEEE802.11b的高速版,但为了实现54Mbit/s的传输速度,11g采用了与11b不同的OFDM(正交频分复用)调制方式,它支持54Mbps的传输速率。
由于11a和11b所使用的频带不同,因此互不兼容;虽然有部分厂商也推出了同时配备11a和11b功能的产品,但只能通过切换分网使用,而不能同时使用。11g是能够兼容11b的,但它同样不兼容11a。
在11g和11b终端混用的场合,11g接入点可以为每个数据包根据不同的对象单独切换不同的调制方式――也就是说以11g调制方式与11g终端通信,以11b方式与11b终端通信。11g接入点具有这样一种特殊功能:当11g和11b终端混合到一起时,会对11g通信进行控制,以免11b终端产生干扰。
这种功能被称为RTS/CTS(请求发送/清除发送)。 IEEE802.11g接入点一般包括“11b混合模式”和“11g专用模式”两种设置,11g专用模式不使用RTS/CTS功能。因此,如果在11g网络中只使用11g终端,那么使用11g专用模式就可以提高通信速度。
7.无线局域网技术安全发展探究 篇七
1.1 WLAN的基本安全
目前WALN的主要标准有:IEEE802.11标准 (IEEE) 、Hiper LAN标准 (ETSI) 、Home RF (美国家用射频委员会) 。
1.1.1 IEEE802.11标准
1997年, IEEE标准委员会提出了IEEE802.11标准, 成为了无线网络技术发展的重要节点之一。之后的许多年内, IEEE针对各种情况对原标准进行了修改和调整, 接连推出了802.11a、802.11b、802.11c等, 再此不加以赘述。
1.1.2 Hiper LAN标准
由隶属于ESTI (即欧洲电信化协会) 的BRAN小组制定该标准, 并且被泛欧标准所纳入。现已推出Hiper LAN1和Hiper LAN2两种版本。前者由于传输数据的速度不高, 因此使用率较低;而后者则是现今较为完善的WLAN协议:高传输速率 (能达到54Mbps) , 能够支持多种无线网络, 具备关于WLAN检测功能、转换信令、性能和服务质量的详细定义。
1.1.3 Home RF标准
通过将数字增强型无绳通话技术与无线局域网技术相结合, 发展得到了Home RF技术。1998年, Home RF的工作小组制订了SWAP, 即共享无线接入协议。该协议以TD—MA和CSMA/CA的方式, 能提供优质的语音和数据业务服务, 可以说兼备了DECT和IEEE802.11两者的特点。同时, Home RF可以在2.4GHz ISM频段工作, 传输速率可达10Mbps。
1.2 无限局域网技术的安全缺陷
和有线网络相比, 无线局域网优点明显:便捷的安装程序, 灵活的使用方式, 低廉的经济成本, 简单的扩展方法等。然而, 在为广大用户带来巨大便利的同时, 无线局域网本身的许多安全问题也被放大。下面列举WLAN安全问题的主要几个方面。
开放自由的信道。自由的数据传输信道使得对局域网的攻击和窃听防不胜防。根据上文论述, 无线网络中的信息凭借无线电波在空气介质传播, 因此, 只要具备了一定的数据接收装备, 就能够在发送者无法检测的情况下窃取信息。更有甚者, 能够对原有传输信息加以修改, 并且在网络上恶意传播虚假信息。除此之外, 攻击者还能通过施放特定频率的电磁波影响无线网络信号的传播。
对于移动用户而言, 无线设备易于丢失。WLAN需要经常移动大量相关设备, 在移动过程中, 难以保证如此多的设备不会丢失或者失窃——对于移动用户, 一旦设备丢失将会导致以硬件为基础的安全机制产生安全问题。
在连接网络的过程中, 用户实际上不需要与网络直接连接, 因此攻击者很容易伪装成真正的合法用户。无线网络与有线网络相比, 不需要用户与网络产生实际的连接——这使得攻击者能够无时无刻在WLAN覆盖的任意地点实施攻击。而网络安全人员很难侦测到这种飘忽不定的攻击, 因此攻击者一旦伪装成合法用户, 对网络实施攻击将变得轻而易举。
无线电波在空气中的传播容易受到多种因素而越来越小, 使得传送信息丢失。无线电波的覆盖面积受到限制, 在空气传播的过程中无线电波能量会不断衰减;此外, 通信环境中可能存在某些障碍物, 在通过障碍物的过程中信息极有可能缺失, 导致传输的数据不完整, 终而导致了网络安全隐患。
2 常见的提高无线局域网安全性措施
2.1 加强对网络访问的控制
开放的信道使得设备容易访问——但这并不意味着攻击一定会容易。我们可以通过在AP之间构建VPN, 而VPN可以帮助用户抵御无线网络当中的不安全因素;与此同时, 还能提供基于Radius的用户认证和计费过程。除此以外, 我们还能购置具备VPN功能的防火墙, 在基站与AP之间架设VPN通道, 这样一来, 整个无线网络的安全性能得到了极大地提升, 从而数据的完整性、可信性和可确认性也得到了极大地保证。以上是通过强力的网络访问控制降低无线网络的配置风险;甚至还有一种的极端的方法:在房屋周边建立电磁屏蔽, 隔绝电磁波信息的泄露。
2.2 审查站点定期化
在攻击者访问无线网络之前, 我们可以利用接收天线搜寻未授权的网络。通过频繁的进行物理站点的监测提高发现非法配置站点的概率——但是, 频繁的监测会花费大量的人力物力以及时间, 并且移动性很差。对此作出适当修改得到了相对折中的方法:管理员携带小型的手持式检测设备随时到WLAN覆盖的任何地区内进行检测。以上的措施主要针对的是非法AP接入。
2.3 进行严格的安全认证
我们可以通过双向认证, 使得用户在于AP通信认证的过程中, AP能够确认它在与合法的授权用户进行通信, 而用户也能确认自己是否在与合法的AP通话。这样一来, 就能有效避免中间人的攻击, 并且使得重放和会话拦截攻击变得困难。
2.4 采用更可靠的协议进行加密
802.11无法阻止采用被动方式的攻击者监听网络流量;WEP则存在漏洞会被攻击者利用, 仅能保护用户和网络通信的初始数据, 而WEP无法加密和认证帧的管理与控制。这样一来, 攻击者能够通过欺骗帧终止网络通信。早期的WEP易被相关工具解密, 但后来很多厂商发布的固件能够有效阻挡这些攻击。
如果用户打算通过WLAN传输较为敏感的信息, 那么仅仅采用WEP加密显然是远远不够的, 可以进一步采用IPSec、SSL、SSH等加密方式提高安全度。
无线局域网络安全问题, 是个十分复杂的综合性系统问题, 仅凭单纯的技术措施不足以彻底解决安全隐患。保护无线网络安全, 是一项任重而道远的任务, 值得我们持之以恒的努力下去。
参考文献
[1]利业鞑.无线局域网技术安全发展的研究[J].网络安全技术与应用, 2012, (7) :32-35.
8.无线局域网协议安全性研究与改进 篇八
关键词:无线局域网;安全;认证;有线等效保密算法
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21551-03
1 引言
随着无线通信技术的广泛应用,无线局域网(Wireless Local Area Network, WLAN)以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用,有着广阔的发展空间。
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN通过无线信号传输数据,所以在信号覆盖区域内的几乎任何一个用户都能接触到这些数据,针对目前最流行的802.11系列无线局域网标准的攻击和窃听事件正越来越频繁。2004年在雅典举行的奥运会上,由于Wi-Fi的安全性问题,国际奥委会在雅典奥运会的网络架构中没有铺设WLAN网络。所以对WLAN的安全性研究,特别是广泛使用的IEEE802.11 WLAN的安全性研究,发现其安全缺陷,研究相应改进措施,提出新的改进方案,对WLAN技术的使用、研究和发展都有着深远的影响。
2 WLAN的安全机制
在IEEE802.11的WLAN中通常使用以下几种安全机制:
(1)服务区标识符(SSID)
可由服务区标识符SSID来识别连接在WLAN上的接入点AP。试图接入无线局域网的客户端必须配置与网络中接入点AP相同的SSID。客户端配置一个SSID以后,即可以防止客户端和带有不同的SSID的邻近接入点AP建立连接。
(2)MAC地址过滤
一些厂商的接入点允许使用MAC地址过滤来进行简单的访问控制。接入点AP可以访问一个允许接入WLAN的客户端的MAC地址列表,这提供了一个阻止客户端访问请求的方法,也提供了另一层访问控制。
(3)有线等效保密(WEP)算法
WEP算法是一种可选的链路层安全机制,用来提供访问控制,数据加密和安全性检验等。802.11定义了WEP算法对数据进行加密,加密过程是使明文与一个等长的伪随机序列按比特进行异或操作。其中的密钥序列是由伪随机码产生器WEP PRNG产生的,加密过程如图2所示,一个40比特的密钥与一个24比特初始化向量(IV)相串连生成一个密钥序列。该系统同时还采用CRC32作为完整性检验,以保证在传送过程中信息没有被修改,CRC32的计算结果称作(ICV)。初始化向量,密文,完整性检验值都要进行传输。
图1 加密过程
接收端的解密过程如图3所示。它采用与加密同样的办法产生解密密钥序列,将密文与之异或得到明文,将明文按照CRC32算法计算得到完整性校验值ICV',如果加密密钥与解密密钥相同,且ICV'=ICV,则接收端就得到了原始明文数据,否则解密失败。
图2 解密过程
WEP算法通过以上的操作试图达到以下的目的:
a 采用WEP加密算法保证通信的安全性,以对抗窃听。
b 采用CRC32算法作为完整性检验,以对抗对数据的窜改。
3 WLAN中的安全缺陷
3.1 RC4的安全分析与攻击
(1)密钥重复
(2)同步问题
RC4算法的加密过程是使用伪随机数发生器(PRNG)生成随机密钥流与明文异或生成密文,密钥流的生成与明文相互独立,因此属于同步密码。在加密端,密钥序列发生器产生密钥流序列;在解密端,另一个密钥序列发生器产生相同的密钥流序列。其特点是提供了一定的安全性能、自同步且易于用软硬件实现,但也存在一定的问题。作为流加密算法,如果在接收时丢失了一个比特,则后续的每一个比特都不能正确解密。这种错误一旦发生,发送者和接收者就必须在继续通信前使两个密钥序列发生器重新同步。
因为数据丢失会造成加密和解密的不同步,这样丢失的数据越多,重新同步的问题就会变得更严重。而在无线网络中,会经常丢失整个数据包,因此像RC4这种流密码不适合用在多个数据帧的加密中。而且在WEP中是在每传输一个新的数据帧时,重新初始化密钥生成器生成新的密钥流序列,用于数据的加密。采用这种同步机制对密钥的需求量很大,会导致密钥重用问题。
(3)弱密钥问题
在RC4算法中密钥的脆弱性将导致生成具有识别格式化前缀的密钥流,攻击者收集到足夠的使用具有格式化前缀的密钥流的包后,对它们进行统计分析,只需尝试很少的密钥就可以反推出WEP密钥。
(4)密钥生成方式过于简单
RC4算法中的密钥是由原始密钥Key与IV串联而成,密钥生成方式过于简单,不具有良好的安全性,容易导致相对密钥攻击。因为密钥流的第一个字节主要受IV与原始密钥的影响,分析IV与原始密钥的第一个字节对密钥流输出的第一个字节的影响,通过对密钥流输出的第一个字节的分析,可以找到原始密钥的第一个字节。同样,攻击者可以使用相同的方法逐步推出原始密钥的每一个字节。
3.2 IV重用问题
每一个使用WEP协议封装的数据包中都包含一个初始化矢量IV,它是一个24bit长的二进制数。IV在帧中以明文形式传输,同时它也和原始密钥Key一起作为种子密钥,用来生成加密有效载荷(即明文和它的CRC校验值)的RC4密钥流。但是在WEP协议中没有对如何生成IV做出规定。在目前采用802.11协议的WLAN产品中,主要有两种方法来给定IV的值。其一是当无线网卡在初始化时,IV的值取为0或某一个随机数,然后随着数据包的个数增加逐次递增,当增加到224时IV的值又返回到0,实际上是在做模224的二进制累加。另一种方法是在[0,224-1]上随机地选取IV的值。
不管如何选取IV的值,IV的取值都只有224种也就是16777216个可能的值,假设网络流量是11M,传输1500字节的包,那么在五个小时左右,就会出现不同的数据包使用相同IV的情况,这种现象称为IV的碰撞(IV collision)。
实际产品中使用的WEP加密密钥Key通常在很长的一段时间内都不会改变。在这段时间内,一个攻击者可以使用无线监听设备记录下大量的无线传输数据包。由于IV在帧中以明文形式出现,他可以轻松地从中选择出使用相同IV的数据包,而加密这些数据包的原始密钥Key也是同一个密钥,所以加密时用的密钥RC4{ IV,Key}也一样,此时攻击者解密出明文只不过是时间迟早的问题了。一旦知道了一个明密文对P和C,则加密时使用的密钥RC4 {IV, Key}也就可以算出来。如果具有充足的计算资源和耐心,就很有可能推算出所有的224个RC4加密密钥,然后将对应的IV与RC4加密密钥组织成一个解密字典的形式,从此就可以对无线传输数据进行实时的解密。
3.3 线性校验和CRC-32的使用问题
WEP协议为了保障无线数据在传输中的完整性,防止数据遭到窜改,使用了CRC-32校验的办法。因为CRC并不是一种真正意义上的信息认证码,实际上并不能满足安全需求。
在传输数据前,发送方先计算明文的CRC校验值,然后将明文与校验值一起加密后再发出,接收方收到WEP加密数据后,根据IV和原始密钥来产生RC4密钥流,用以实现解密。解密出明文及其CRC校验值以后,接收方计算解密出的明文的CRC-32校验值,如果与收到的校验值相同,则认为数据在传输中未遭窜改,接受传来的数据,否则丢弃该数据包。CRC校验值是一个完全由明文决定的函数,而且是一个线性函数,RC4算法的运算也是线性的,于是若将明文的值与某一任意值X相异或以后再使用WEP加密,得到的密文值等于明文在未与X异或前加密得到的密文值再与X相异或,加密的CRC-32校验值等于原先的明文校验值经加密后再与X的CRC-32校验值相异或。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
这样的话,我们可以随意地更改WEP密文,只要注意使我们的更改符合以上的原则。接收方在收到被窜改的数据包以后,因为被窜改的数据可以通过CRC校验,所以接收方根本无法发觉数据己经被窜改过。只要我们能够截获一个WEP加密帧,我们就可以向网络中注入任意的看似合法的数据流而不被察觉。所以说WEP协议实际上根本不能保护传输数据不受篡改。
避免数据的线性运算是密码学中的一个基本原则,而WEP协议显然违背了这一原则。若WEP协议如果想真正保护数据完整性,则它必须放弃使用CRC校验和,而使用杂凑函数。
3.4 密钥管理分析
使用WEP的STA与AP之间通过共享密钥来实现数据加密和身份认证,但是WEP并没有具体规定共享密钥是如何生成、如何分发的,也没有说明如果密钥泄漏以后,如何更改密钥,以及如何来定期的实现密钥的更新、密钥备份和密钥恢复。WEP协议将这些在实际应用中的重要问题留给设备制造商去自行解决,这是WEP协议的一个不足之处。在现有的具体实现中,有相当多的密钥是通过用户口令生成的,甚至就直接是用户口令。设备制造商对于信息安全知识的匾乏导致出现了在密钥管理中留有隐患的大批产品。
WEP中允许移动站STA与访问点AP之间共享多对密钥,通过在数据包的初始化矢量IV和密文之间加入一个密钥标志符域(Key ID byte)来指定对当前包加密使用的是哪一个密钥。802.11标准也允许每个STA与唯一的密钥相联系,但在实际中,许多网络内的所有设备共享一个密钥导致密钥不能很好的隐藏,影响系统的安全。同时,多个设备使用同一个密钥,增加了初始化向量冲突的可能性,使密钥重用攻击更容易实施。
3.5 对身份认证的安全性分析与攻击
在802.11中规定了开放系统认证和共享密钥认证,这两种认证都是不安全的。开放系统认证实质上是一种空认证机制,在开放式认证过程中和开放式认证后的所有通信包均以明文方式传输,没有采用任何加密技术来保护它们,因而网络的安全性没有任何改善。
首先,在WEP协议中规定的身份认证是单方向的,即访问点AP对申请接入的移动站STA进行身份认证,而STA并不对AP的身份进行认证。这样就有可能存在假冒的AP。要想避免这种情况,必须进行双向认证,即AP与STA之间互相都需要验证对方的身份。
攻击者可以轻易地伪造认证。这是因为,在认证过程中,AP发给STA用于验证身份的Challenge Text是明文的。而接下来的步骤中,移动站STA向AP发送经加密处理的Challenge Text。如果攻击者截获了Challenge Text的明文和密文,则他可以恢复出该密钥序列RC4{IV,Key}=C?茌P。这样,攻击者就知道了认证数据帧中所有信息。因为Challenge Text在所有的认证回应中是一样的,这样攻击者可以通过下述步骤成功地认证:
(1)攻击者向AP发送认证请求;
(2)AP发送用于认证的Challenge Text给攻击者;
(3)攻击者计算出正确的认证数据帧,通过Challenge Text与密钥序列RC4{IV,Key}异或并计算出对应的正确的CRC值;
(4)AP通过验证,认为是正确的,并且授权攻击者进入网络。
所以WEP协议使用的身份认证方式对于具有监听和截取数据能力的攻击者来说几乎是形同虚设的,而且使用共享同一密钥的方式来实现身份认证也不符合密码学原理。如果身份认证问题不能得到有效的解决,则整个无线网络缺乏起码的安全性。在现代密码学中,实现身份认证最有效的办法是使用数字签名。为了实现真正有效的身份认证,WEP协议就必须采用数字签名来实现接入控制。
4 缺陷产生的原因、防范及改进
IEEE 802.11协议中的安全机制存在许多广为人知的缺陷,使IEEE802.11 WLAN在攻击者面前毫无安全保证。这些缺陷主要源于WLAN中不恰当地使用RC4算法,CRC和初始化向量。究其原因,存在主观和客观因素如下:
(1)安全协议设计本身是一件很复杂、很困难的事情,需要网络工程协议之外的很多专业知识,并且需要深刻理解密码原语和性质。在纯粹工程角度上,CRC-32和RC4的使用是合理的,速度快,易于实现。但许多攻击正是源于流加密和CRC技术,导致WEP无效,并且流加密技术在丢包率高的WLAN中本来就不是很恰当。又如在网络工程中,把协议设计为无状态的是一个很好的原则;但从安全的角度来看,这样的原则却是危险的,给攻击者提供了自由操作的机会,数据插入攻击就是利用了这一点。安全是整个系统的性质,每一个设计者都要考虑安全问题。
(2)WEP的设置使得安全设计困难。链路层的协议需要同时考虑很多不同实体的交互。IP重定向攻击依赖于插入消息的攻击设备和Internet上其他主机的交互,802.11 AP复杂的功能使它很容易遭受攻击。
(3)IEEE802.11协议的设计缺乏广泛的验证。
防范协议攻击,改进安全协议,可以从以下方面入手:
(1)在认证方式上,访问点AP与移动站STA之间应该使用双向认证(单向认证作为可选设置),增加其它认证方式,例如生物特征认证,证书认证和一次性口令认证。
(2)在加密和校验算法的选取上,认证密钥与加密密钥应当分开;加密算法不能使用流密码算法;为了保护数据完整性、防止恶意篡改,应采用消息杂凑函数而非CRC-32 校验算法;
(3)应该尽可能地对WEP协议兼容,因为采用该协议的产品已经大量面世;提供WEP协议中未曾涉及的密钥管理机制;
(4)还应具备一定的灵活性,可以采用现有的各种认证和加密技术并能為采用以后出现的技术留有余地;
5 小结
本文从分析WLAN的基本安全机制入手,分析了IEEE 802.11b标准中采用的WEP协议,分析了WEP协议的工作原理,总结WEP协议中存在的主要安全缺陷及产生原因,如采用RC4算法的问题;CRC-32的使用问题;密钥管理问题和身份认证存在的问题。最后总结WEP缺陷产生的原因,指出了应该怎样防范协议攻击和改进安全协议。
参考文献:
[1]Qu Wei,Srinivas S.IPSec-based Security Wireless Virtual Private Network.IEEE MilCom2002, California,2002.
[2]IEEE.LAN MAN Standard of IEEE Computer Society.Port-Based Network Access Control,2001,(10):1102-1109.
[3]孙宏,杨义先.无线局域网协议802.11安全性分析[J].电子学报,2003,31(7).
[4]Miller SK.Facing the challenge of wireless security.Computer,2001,34(7).
9.无线局域网与网络安全技术 篇九
1.临时性现场无线网络解决方案 2.家庭(SOHO一族)无线网络解决方案 3.中小型办公室无线网络解决方案 4.中大型企业无线网络解决方案 5.室外无线桥接方案
6.电信运营商“热点”场所无线网络解决方案
1.临时性现场无线网络解决方案
需求分析:
工作中经常会有这样的需求,需要组建一个临时的计算机网络。比如说,有些项目组需要封闭开发,有些野外工作队需要对现场数据进行联网测试或计算等等。这些网络的应用一般说都是暂时的,如果只是为了一次临时应用就投入人力物力做网络布线构建网络显然是一种不合理的投资。
解决方案:
采用无线局域网的解决方案,数人的开发小组和野外的工作队可以通过无线网卡或无线的接入 器临时 的组建一个无线的局域网,达到随时随地的迅速的组建网络的目的,而且这种方案最好的保护了节省了投资、减少了布线所带来的麻烦。
主要产品:
主要采用 802.11g 54M 的无线局域网产品。
型号
产品描述
WG602 802.11g 54M—无线局域网接入点(AP)
WG511
802.11g 54M—无线 CardBus 笔记本电脑卡
WG311
802.11g 54M—无线 PCI 卡
WGE101
802.11g 54M—无线以太网客户端桥接器
WG121
802.11g 54M—无线 USB 适配器 MA701
802.11b—11MCF 卡
2、家庭(SOHO 一 族)无线网络解决方案
需求分析:
家庭拥有几台计算机,需要一个家庭局域网实现移动宽带上网;或者对于 SOHO 一 族,解决家庭局域网办公。
解决方案:
随着拥有两台甚至更多台的计算机的家庭不断的增加,随着 SOHO 家庭式办公的普及,家庭局域网逐渐的成为人们关注的焦点。
现在,家庭上网普遍以 PSTN 普通拨号为主,但在很多小区已经实现了宽带,一条宽带城域网或者 ADSL、Cable Modem 的以太网线连接到了家里。有什么方法能达到这样要求:既能将所有计算机互连;又能够宽带网上冲浪;还能够在家中任何一个角落移动使用电脑联网;并且不用更改线路不再布线。综合所有的因素,你的选择只有一个――无线局域网。
主要产品:
主要采用 802.11g 54M 的无线局域网产品。
型号
产品描述
WG602
802.11g 54M—无线局域网接入点(AP)
WG511
802.11g 54M—无线 CardBus 笔记本电脑卡
WG311
802.11g 54M—无线 PCI 卡
WGE101
802.11g 54M—无线以太网客户端桥接器
WG121
802.11g 54M—无线 USB 适配器
WGR614
802.11g 54M—无线宽带路由器
3、中小型办公室无线网络解决方案
需求分析:
对于中小企业来说,尤其是对于那些只有少数员工的办公室、或刚刚组建的小公司,如何为临时工作人员,或在临时空间内提供网络服务,解决内部的网络化办公和互联网络的访问接入。
解决方案:
中小企业处在不断的发展过程中,为适应市场的变化,不可避免经常对公司内部进行调整,人员的增加和办公室工位的变化使原有的布线接口不能满足调整后办公室的需要,而且公司工作方式发生变化,经常有临时人员在办公室处理业务。最让办公室经理头痛的问题是:如何为临时工作人员,或在临时工作空间内没有固定工作场地的工作的人员提供网络服务。
如图中小型企业无线局域网解决方案所示,通过 ADSL/Cable Modem 或者宽带城域网可以方便的宽带接入互联网。有线用户可以继续使用有线的网络互联,无线用户省去了烦杂的布线,也可以宽带互联并能够移动的使用。并且,公司再增加人员就不会有网络信息点的限制了,只需一片无线网卡就可以灵活的将新增加人员连接到网络。无线用户除了可以享受到有线用户所有的服务以外,还能享受到有线所不能提供的网络服务,如移动办公。这样大大提高了公司办公网络的灵活性,节约了开支降低了成本,进而提高了工作效率。
主要产品:
主要采用 802.11g 54M 的无线局域网产品。
型号
产品描述
WG602
802.11g 54M—无线局域网接入点(AP)
WG511
802.11g 54M—无线 CardBus 笔记本电脑卡
WG311
802.11g 54M—无线 PCI 卡
WGE101 802.11g 54M—无线以太网客户端桥接器
WG121
802.11g 54M—无线 USB 适配器
WGR614
802.11g 54M—无线宽带路由器
FS608 端口 10/ 100M 快速以太网交换机
4、中大型企业无线网络解决方案
需求分析:
实现中大型企业的移动网络办公,使其能够自由调整网络结构和随意增加减少工位,提供随时随地的企业网络资源访问,提高办公的效率。
解决方案:
规模在 300~500 人的政府、科研及教育等单位的网络都可以作为中大型企业网。根据各种行业对网络的不同需求,其网络的规模、网络系统的复杂程度及其网络的应用程度都有所不同,但无外 乎提供 以下的功能:从简单的文件共享、办公自动化,到复杂的电子商务、ERP 等。
一般情况下,现代的多数中大型企业都采用集中办公的方式,几百员工集中在同在一个大厅里面办公。传统上,一般采用有线的方式布线,实现网络到桌面。自然的,烦杂的网络布线和让人头痛的工位布局设计是必不可少的。不管怎样,这种网络办公模式在无线没有出现之前已经大大提高了办公的效率,为企业创造了不小的效益。但是随着公司的对网络依赖性不断增强,这种传统的有线网络已经不能很好的满足企业日益发展的需要。比如,移动化的网络办公。
无线局域网技术的快速发展正在逐渐的弥补有线网络所不能做到的功能。采用无线的技术,加上少量的布线,只是根据建筑的结构布置一定数量的 AP(无线接入点)即可实现桌面 PC 及移动用户的以太网服务。
按照无线接入点同一区域最多支持 3 个独立信道的原则(802.11b 和 802.11g 标准均如此),合理的分布 AP 使之按照蜂窝结构分布。(在我国 AP 无线接入点可以支持 13 个信道,如其中如 1Ch、6Ch、11Ch 三个信道独立互不干扰。)无线用户分布在 AP 接入点所覆盖的无线区域内就可以实现与企业网络的连接,并能做到 AP 间在线的无缝移动漫游。如果整个企业的网络统一规划的话,公司的无线用户可以在公司不同的办公区域内实现无线的接入。同时,无线 128 位的 WEP 加密机制可以保证网络的安全。
随着企业对移动办公的需求的不断增强,采用成熟的无线局域网技术是目前实现这一目标的最佳途径。无线局域网网络架构简单灵活、投入成本低,易维护,并且同样可以实现有线网络所能提供的文件共享、办公自动化,电子商务和 ERP 等网络服务。
主要产品:
主要采用企业级无线局域网产品。主要有 Super G 108M 企业级无线局域网接入点(AP)--WG302 和 802.11b 11M 企业级无线局域网接入点 —ME103。
型号
产品描述
WG302
Super G 108M—企业级无线局域网接入点(AP)
WG511
802.11g 54M—无线 CardBus 笔记本电脑卡
WG311
802.11g 54M—无线 PCI 卡
WGE101
802.11g 54M—无线以太网客户端桥接器
WG121
802.11g 54M—无线 USB 适配器
ME103
802.11b 11M—企业级无线局域网接入点(AP)
FSM726S 个 10/ 100M 端口、2 个 10/100/ 1000M 端口、2 个 1000Base-X GBIC 槽,可 堆叠可网管理 交换机
FVL328
Pro Safe VPN 防火墙
5、室外无线桥接方案
需求分析:
由于某些原因,要将分布在不同物理位置的多栋大楼的局域网进行有线连接是非常困难或者说是成本太高,可采用室外无线桥接的方式低成本地实现局域网之间的无线互连。
解决方案:
在每栋楼中放置一个无线局域网的桥接器,用无线局域网的桥接器连接本栋楼内的有线或者无线局域网,就可实现多栋楼内局域网的室外无线连接。
如采用 11M 的产品方案,可选用具有多种工作模式的 ME103。如采用 54M 的产品方案,可选用 54M 的无线访问点 WG602 和 54M 的无线工作组桥接器 WGE101。这三个产品均具有可拆卸的天线,可换装高增益的天线实现远距离的信号覆盖。NETGEAR 公司也提供多咱不同增益的天线选择和不同长度的馈线选择,十分方便用户的组网。
主要产品:
型号
产品描述
WG602
802.11g 54M—无线局域网访问点 AP
WGE101
802.11g 54M—无线以太网客户端桥接器
ME103
802.11b 11M—企业级无线局域网接入点(AP)
6、电信运营商“热点”场所无线网络解决方案
需求分析:
公共访问无线解决方案是指针对于机场,车站,会议中心,酒店等公共区域提供无线宽带访问,在需要提供高性能,高扩展性 Internet 接入的同时,还要提供高安全性。该解决方案的拓扑结构类似于全国范围的远程拨号接入系统,无线访问点类似于远程拨号访问服务器。
解决方案:
在每个公共区域,按照用户规模摆放多台 ME103/ WG302 通过以太网可以直接上联宽带广域网,或通过宽带接入设备如 ADSL 上联广域网。每个公共区域配置 一 台本地认证服务器。
对于移动用户,建议配备具备 Wi-Fi 标准的无线网卡,同时支持 802.1x 应用,便于用户认证。如果用户的笔记本电脑只有以太网卡,那么可以在公共区的某些地方摆放 NETGEAR 公司的无线以太网客户端网桥,利用该网桥再通过无线上网。
对于一个运营商来说,它覆盖的每个公共区域配置一台认证服务器,并在全国网络中心进行后台集中管理和维护。用户的认证可以在本地进行,也可以在全国网络中心进行,支持全国漫游。
主要产品:
主要是 NETGEAR 针对电信 Hotspot 应用的 电信级 无线访问点 :WG302 和 ME103。
型号
产品描述
WG302
Super G 108M 企业级无线局域网访问点 AP
ME103
10.无线局域网与网络安全技术 篇十
摘 要:无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性,用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在,在研究相关技术的同时,相关专家应该加强交流,进行探讨。本文通过介绍无线网络的威胁,以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。
关键词:无线网络;非法访问;网络安全无线网络的现状和威胁
1.1 无线网络的现状
我们平时使用的无线局域网其实还存在着大量的安全隐患,这种隐患可能是我们遭受比较大的损失,特别对企业来说,黑客的侵入,可能会是一个企业的系统发生混乱和瘫痪,更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来,因为它对我们造成的影响已经无法继续无视下去,因此,我国对无线网络的安全问题已经开始重视,下发各种限令和规范措施来维护网络的安全性。
1.2 无线网络的威胁
我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络,网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题,其中安全问题是最重要的问题,因为网络是由很多交错的网络线路和众多的用户组成的巨型网络,设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内,任何都可以自由的获取信息或数据,当然这些都是在你根本没有察觉的情况下,你的隐私可以说是无处藏身的,一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外,一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析
2.1 无线网络安全的相关技术
现在为了保护无线网络的安全问题,出现了几种方法,第一种主要是控制他人的访问权,这样一来如果没有你的认证,其它人就不能访问,这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证,如果的不到用户的认证,那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施,一旦加密,就可以有效保护自己的信息或数据不被他人获取或拦截。当然,给自己的重要信息加密是保护我们网络信息安全的基础,我们每一个人都应该有这种意识。第三种是对访问者进行安全认证,我们可以通过安全认证来确定者是不是非法的,从而也能把它挡在门外。安全认证有实体认证和数据源认证,如果单单用其中的一种认证方式,那么安全认证效果就会大打折扣,两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证,这样可以防止不法访问者截取和谐该用户的重要信息和数据了。
2.2 无线网络安全的相关技术分析
为了维护无线网络的安全,出现了3A技术,这种技术是现在无线网络最基本的保证网络安全的用方法,同时也是应用最广泛,最基本的一种技术。另外新出现的WSAP技术,它其实是一种网络认证的协议,但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较,所以我们有信心有理由信任这种新的认证方法,它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展
要进一步实现保护无线网络安全的目的,除了用户自身要做好加密的措施外,还要好好利用一些功能和性能强大的认证体系,同时我们应加快一些更加好的协议出现的速度,因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着,所以无限网络安全的相关技术的开发工作时没有止境的,只有深刻的认识到无线网络存在的安全隐患,同时对不同的安全技术进行不断地研究和探讨,并不断开发新的保护技术才能使无线网络环境保持健康,继续成长。总结
近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中,特别是无线网络的兴起更加的方便了人们的生活,无线网络的开放性和移动性以及机动性都被我们所接受,但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境,我们应该加紧相关,安全技术开发的脚步,不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞,提前做好预防措施。相关研究开发人员应该加强交流和探讨,在对各种无线网络安全技术进行分析比较的情况下,开发出新的更有效的保护措施。
[参考文献]
11.论无线局域网安全措施 篇十一
(广东省理工职业技术学校,广东@广州@510500)
摘要:无线局域网的应用扩展了网络用户的自由,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。分析了无线局域网常见的安全问题,并提供了相应的对策。
关键词:无线;局域网;安全;措施
1无线局域网中常见的安全问题
1.12.5GHz方面
目前,用于无线局域网的IEEE 802.11b以及IEEE 802.11g标准使用的都是2.5GHz的无线电波进行网络通信,没有使用授权的限制。而且通常IEEE 802.11b标准的无线产品覆盖范围在100~300米之间,还可以穿透墙壁。所以,任何人都可以通过一台安装了无线网卡的电脑在无线覆盖范围内进行监听,网络数据很容易被泄漏,特别是在公司内部很容易发生。
1.2WEP脆弱性
虽然常见的IEEE 802.11b和IEEE 802.11g标准使用了WEP加密,但也是不安全的。因为,WEP一般采用40位(10个数字)的密钥,这样采用了WEP加密的无线网卡和无线AP之间的连接很容易被破解。更严重的安全隐患在于默认情况下通过Windows XP创建的无线网络连接以及无线路由器禁用WEP加密。
1.3拒绝服务攻击与干扰
在有线局域网中我们可以通过防火墙阻止DoS(拒绝服务)攻击,但是攻击者可以通过无线局域网绕过防火墙,对公司或其他网络实施攻击。另外,虽然无线局域网使用了扩频技术,但是恶意攻击者还可以通过干扰器来进行信号干扰,而且干扰源又不容易被查出来。
1.4服务集标识符(SSID)
如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
2无线局域网安全防范措施
2.1端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2.2加密无线网络
在无线局域网中,为了保证网络连接的安全性,通常可以采取WEP加密技术。目前,该加密技术一般可以提供64/128位长度的密钥机制,有的产品甚至支持256位的密钥机制。要启用WEP加密功能,首先可以打开无线路由器的“基本设置”页面,默认情况WEP是处于禁用状态的。接着,在WEP处选择“开启”选项,点击“WEP密钥设置”按钮,在密钥设置页面中,可以创建64位或128位的密钥。例如,我们要创建一个64位的密钥,那么可以点击“创建”按钮来创建4个密钥,记下这些密钥,点击“应用”按钮。
2.3连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
2.4综合预防
12.无线局域网的安全防范技术研究 篇十二
关键词:无线,安全防范,无线局域网
一、无线局域网简介
无线局域网是一种灵活的数据传输系统, 使用无线射频 (RF) 技术超越空间收发数据, 具有安装便捷、易于进行网络规划和调整、故障定位容易、易于扩展等优点。
二、无线通信带来的安全问题。
1、更容易截获和跟踪。无线网络的电磁辐射难以精确的控制在某个范围之内, 攻击者只需架设一幅天线即可获取数据或对业务流量进行分析, 软取有用信息。与有线网络相比更易于截获和跟踪信息而且不容易被发现。
2、中间人攻击Mi M (Man—in—the—Middle) 。无线窃听是一种常见的Mi M攻击方式。借助802.11分析器, 黑客可以捕捉到连接会话数据, 这部分数据往往包含用户名及口令。黑客在监听无线数据的同时, 也可伪装成合法用户修改数据。还有一种Mi M攻击就是基站伪装。黑客将具有强信号且未授权的设备置于无线网中, 伪装成合法的AP。
3、不同的DOS攻击。无线局域网的带宽是有限的, 入侵者可以产生大量的数据包, 从而耗尽网络的资源, 导致网络的瘫痪和中断, 使系统不能正常工作。此外还有IP重定向攻击、TCP响应攻击等与有线网络基本一样。
三、无线局域网的安全技术研究经历的阶段
1、早期基本的无线局域网安全技术
早期基本的无线局城阿安全技术主要分为无线网卡物理地址 (MAC) 过滤, 服务区标识符 (SSID) 匹配, 有线等效保密 (WEP) 。
2、无线局域网安全的认证
认证提供了关于用户的身份的特性。尽管不同的认证方式提定用户身份验证的具体流程不同, 但认证过程中所应实现的基本功能是一致的。目前无线局域时中采用的认证方式主要有PPPo E认证、web认证和802.1X认证。
3、访问控制
访问控制也是一种安全机制, 通过访问BSSID、MA C地址过滤、控制列表A CL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、
源端口、目的端口、协议类型、用户ID、用户时长等。
4、加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型:数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的, 而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。
5、数据完整性
所谓数据完整性, 是使接收方能够确切地判断所接收到的消息是否在传输过程中遭到插入, 篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏, 还能采取某种措施从完整性中恢复出来。
6、不可否认性
不可否认性是防止发送方或接收方抵赖所传输的消息的一种安全服务。当接收方接收到一条消息后, 能够提供足够的证据向第三方证明这条消息的确来自某个发送方, 而使得发送方抵赖发送过这条消息的图谋失败。
四、无线局域网的安全防范措施
1、使用无线加密协议 (WEP)
保护无线网络安全的最基本手段是加密, 通过简单的设置AP和无线网卡等设备, 就可以启用WEP加密。无线加密协议 (WEP) 是对无线网络上的流量进行加密的一种标准方法。一旦采用这种做法, 黑客就能利用无线嗅探器直接读取数据。
2、改变服务集标识符并且禁止SSID广播SSID是无线接入的身份标识符, 用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的, 并且每个厂商都用自己的缺省值。还应该禁止SSID向外广播。
3、静态l P与MAC地址绑定“不法”分子很容易就可以通过默认使用DHCP得到一个合法的IP地址, 由此就进入了局域网络中。因此, 建议关闭DHCP服务, 分配固定的静态IP地址, 然后再把这个IP地址与该电脑网卡的MAC地址进行绑定, 这样就能大大提升网络的安全性。
4、VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络, VPN方案是一个更好的选择。VPN技术可以应用在无线的安全接入上, AP可以被定义成无WEP机制的开放式接入, 但是无线接入网络AP和VPN服务器之问的线路从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密, 并充当局域网网络内部。与WEP机制和MAC地址过滤接入不同, VPN方案具有较强的扩充、升级性能, 可应用于大规模的无线网络。
5、无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统不但能找出入侵者, 它还能加强策略。通过使用强有力的策略, 会使无线局域网更安全。
五、结语
无线网络在突破了统有线网络的限制, 同时也让网络面临更大的安全风险, 这就要求我们有更高的安全防范意识和防范措施, 对无线网络的特性和结构进行安全风险分析, 针对性地采取适当的防范措施, 是可以保证业务的正常进行及业务数据的安全的。
参考文献
[1]赵琴:《浅谈无线网络的安全性研究》, 《机械管理开发》, 2008年。
13.无线局域网组网论文 篇十三
随着计算机技术与通信技术的日渐发达,无线网络的应用范围也越来越广。作为与有线网络的相互补充相得益彰的新型技术,无线网络发展至今日,技术已日渐成熟。在我国,越来越多的大中型企业开始在办公场所中构建和铺设无线网络,以用来弥补有线网络的信息点不足和有线的局限性。当涂供电公司是一个处于迅猛发展中的电力服务行业,随着调度大楼建筑布局的改变,如何在已有的有线网络的基础上合理的进行无线覆盖是个现实而迫切的问题。本文将就这个问题进行初步的探讨!
第二章 无线网络概述
2.1 何为无线局域网
在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相距较远的节点连接起来时,铺设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。2.2 无线局域网的特点
无线局域网利用电磁波在空气中发送和接受数据,而无需线缆介质。无线局域网的数据传输速率现在已经能够达到54Mbps,传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速方便地解决使用有线方式不易实现的网络联通问题。与有线网络相比,无线局域网具有以下优点: ·安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
·使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
·经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
·易于扩展
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点,所以发展十分迅速。无线局域网己经在政府、医院、商店、企业和学校等不适合网络布线的场合得到了广泛应用。这也是本文讨论的重点。第三章 无线网络的相关技术
3.1 IEEE 802.11标准
1997年IEEE 802.11标准的制定是无线局域网发展的里程碑,它是由大量的局域网以及计算机专家审定通过的标准。IEEE802.11标准定义了单一的MAC(Media Access Control)层和多样的物理层,其物理层标准主要有IEEE 802.11b, a和g。
1).IEEE802.11 b标准
1999年9月正式通过的IEEE802.l 1b标准是IEEE802.11协议标准的扩展。它可以支持最高11Mbps的数据速率,运行在2.4GHz的ISM(Industrial Scientific Medical)频段上,采用的调制技术是补码键控技术CCK(Complementary Code Keying)。
802.11 b信息特性:
1.每信道占用22MHz的频带;
2.最大提供11Mbps(CCK调制方式下)的数据传输速率;
3.同一个信号覆盖范围内最多容纳3个互不重叠的信道(1, 6, 11);4.同一区域可支持最多3个无线接入设备,从而提供总计达33Mbps的数据传输率。
2).IEEE802.11 a标准
IEEE802.11 a I作5GHz频段上,使用正交频分复用技术OFDM(Orthogonal Frequency Division Mustiplexing)调制技术可支持54Mbps的传输速率。802.11 a与802.11 b两个标准都存在着各自的优缺点,802.l 1b的优势在于价格低廉,但速率较低(最高11Mbps);而802.11 a优势在于传输速率快(最高54Mbps)且受干扰少,但价格相对较高。另外,a与b工作在不同的频段上,不能工作在同一AP的网络里,因此a与b互不兼容。
802.11 a信息特性:
1.每信道占用20MHz的频带带宽;
2.提供6/9/12/18/24/36/48/54Mbps数据传输速率;3.采用OFDM调制方式;
4.最多提供8+4=12个信道(美国)或19个信道(欧洲)3).IEEE802.11 g标准 为了解决上述问题,为了进一步推动无线局域网的发展,2003年7月802.11工作组批准了802.11g标准,新的标准终于浮出水面成为人们对无线局域网关注的焦点。IEEE802工作组开始定义新的物理层标准IEEE802.11g。该草案与以前的802.11协议标准相比有以下两个特点:其在2.4G频段使用OFDM调制技术,使数据传输速率提高到20Mbps以上;IEEE802.l1g标准能够与802.11 b的WIFI系统互相连通,共存在同一AP的网络里,保障了后向兼容性。这样原有的WLAN系统可以平滑的向高速无线局域网过渡,延长了工EEE802.11 b产品的使用寿命,降低用户的投资。
4).IEEE802.11n标准
IEEE己经成立802.lln工作小组,以制定一项新的高速无线局域网标准802.11n, 802.11n工作小组是由高吞吐量研究小组发展而来。IEEE802.11n计划将WLAN的传输速率从802.11 a和802.11 g的54Mbps增加至108Mbps以上,最高速率可达320Mbps,成为802.11b, 802.11a, 802.11.g之后的另一场重头戏。和以往地802.11标准不同,802.11 n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样n保障了与以往的802.11a, b, g标准兼容。
IEEE802.11 n计划采用MIMO与OFDM相结合,使传输速率成倍提高。另外,天线技术及传输技术,使得无线局域网的传输距离大大增加,可以达到几公里(并且能够保障100Mbps的传输速率)。IEEE802.l1n标准全面改进了802.11标准,不仅涉及物理层标准,同时也采用新的高性能无线传输技术提升MAC层的性能,优化数据帧结构,提高网络的吞吐量性能。
3.2 IEEE 802.11无线局域网的物理层关键技术
随着无线局域网技术的应用日渐广泛,用户对数据传输速率的要求越来越高。但是在室内,这个较为复杂的电磁环境中,多经效应、频率选择性衰落和其他干扰源的存在使得实现无线信道的高速数据传输比有线信道更困难,WLAN需要采用合适的调制技术。1.微单元和无线漫游
无线电波在传播过程中会不断衰减,导致AP的通讯范围被限定在一定的范围之内,这个范围被称为微单元。当网络环境存在多AP,且它们的微单元互相有一定范围的重合时,无线用户可以在整个无线局域网覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。2.扩频
大多数的无线局域网产品都使用了扩频技术。扩频技术原先是军事通讯领域中使用的宽带无线通信技术。使用扩频技术,能够使数据在无线传输中完整可靠,并且确保同时在不同频段传输的数据不会互相干扰。
3.DSSS(Direct Sequence Spread Spectrum)直接序列扩频调制技术 基于DSSS的调制技术有三种。最初IEEE802.11标准制定下采用DBPSK。如提供2Mbps的数据速率,要采用DQPSK,这个比特码元,成为双比特。第三种是基于CCK的QPSK,是IE用的基本数据调制方式。它采用了补码序列与直序列扩频技术,调制技术,通过PSK方式传输数据,传输速率分为1M, 5.5M和11Mbps.通过与接收端的Rake接收机配合使用,能够在高效率的传输克服多径效应。IEEE802.l1b使用了CCK调制技术来提高数据传输速率,最高可达11Mbps。但是传输速率超过11Mbps,CCK为了对抗多径干扰,需要更复杂的均衡及调制,实现起来非常困难。因此,802.11工作组,为的发展,又引入新的调制技术。
4.PBCC调制技术
PBCC调制技术是由TI公司提出的,己作为802.11 g的可选项被采纳。PBCC也是单载波调制,但它与CCK不同,它使用了更多复杂的信号星座图。PBCC采用8PSK,而CCK使用BPSK/QPSK;另外PBCC使用了卷积码,而CCK使用区块码。因此,它们的解调过程是不同的。PBCC可以完成更高速率的数据传输,其传输速率为11, 22和33Mbps。5.OFDM技术
OFDM技术是一种无线环境下的高速多载波传输技术。无线信道的频率响应曲线大多是非平坦的,而OFDM技术的主要思想:就是在频域内将给定信道分成许多正交子信道,在每个子信道上使用一个子载波进行调制,并且各子载波并行传输,从而有效的抑制无线信道的时间弥散所带来的工S工。这样就减少了接收机内均衡的复杂度,有时甚至可以不采用均衡器,仅通过插入循环前缀的方式消除ISI的不利影响。
6.MIMO OFDM技术
MIMO(Multiple Input Multiple Output)技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。它可以定义为发送端和接收端之间存在多个独立信道,也就是说天线单元之间存在充分的间隔,因此消除了天线间信号的相关性,提高信号的链路性能增加了数据吞吐量。第四章 无线局域网发展现状
目前,全球无线局域网市场处在三种不同标准相互竞争走向统一、各种新标准蓬勃发展的战国时代。无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性,可以立竿见影地提高生产率,在各行业的广泛应用取得了引人瞩目的成果,展示了极为广的市场前景,它将创造崭新的生活和工作风尚。
用户渴望转向5GHz无线局域网环境,但他们所面对的,是一个被各种高速网络的多重标准分割得支离破碎的市场。5GHz波段的单一无线局域网标准——而不是802.11a, 802.11h和HiperLAN2三个不同的标准——将使适于54Mbps网络的各种产品可以随处运行。这个标准也会降低成本,因为它使芯片制造商、产品装配商和销售渠道可以只集中关注一种产品类型,而不是三种。
美国和欧洲的各标准团体和厂商对此不能达成一致意见,这就导致无线局域网市场的分割,情形很像移动电话市场。使这一问题进一步复杂化的是,欧洲将对美国的802.l la标准进行修改,使它符合欧洲的各种规章。这一变异的标准被称为802.l lh。
在美国,基于I EEE 802.11 a标准的首批产品已开始销售。基于802.11的各种无线局域网标准是由无线以太网兼容性联盟(WECA)发展的,被命名为Wi-Fi(802.11b)和Wi-Fi5(802.11a)。在欧洲,众多厂商正在推行HiperLAN2标准,各种产品在2002年年中推出,与此同时,各种基于802.11 h的产品也将会在欧洲出现。HiperLAN2标准和802.11标准在物理层上几乎是相同的,但在MAC层却大不相同。两种产品不能进行互操作。两个标准传输无线电射频的方式非常相似,但其数据包形成方式和设备选址等操作方式却完全不同。802.11是真正的无线以太网,而HiperLAN2从技术层次来讲,却更像是无线ATM。专家表示,基于这两个标准的各种产品可在同一间屋里运行,不会相互干扰。HiperLAN2全球论坛和WECA的代表都致认为,一个单一标准更好,但是在短期内,哪个标准将会成功将只能取决于市场。从长远来看,有望在一个单一的标准上进行合作。
第五章 无线局域网安全现状
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和工EEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。5.1 安全机制
目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
1.SSID(服务组标志符)
本质上,它是一个无线网单元的名称。这一信息是在各个用于建立关联的管理帧中携带的。一个终端在某一时间只能与一个接入点关联,而一个接入点却可与多个终端关联。关联是由终端来启动的。2.WEP
通过实施WEP,有可能使用共享密钥认证,通过共享的秘密WEP加密密钥信息证实身份,不需要公开传输密钥。广播和多点传送信息一般不加密。3.RADIUS认证
它是在认证过程中提供认证信息的安全方法。人们以用户无线MAC地址的形式使用认证信息以批准或拒绝接入网络。
接入点的作用如同一个RADIUS用户,它可收集用户认证信息并把这些信息传送到指定的RAD工US服务器上。RADIUS服务器的作用一是接收用户的各种连接请求:二是处理各种请求以鉴别用户;三是通过向用户提供服务所必须的信息对接入点做出响应。接入点对RADIUS服务器的回复响应起作用,许可或拒绝对网络的接入。各种认证特征内嵌于RAD工US服务器中。在接入点和RADIUS服务器之间的各种处理程序都通过使用一个从不在网络上传送的共享密码进行认证,而各种密码都是经过加密的。4.协议和地址过滤
它在无线网络上把接入点配置为“非”转发特定协议,可根据MAC地址(被拒绝的地址)拒绝对有线局域网的接入,也可根据MAC地址有选择地许可对有线局域网的接入。
5.SNMPv3 只有在SNMPv3上才可加密数据并使管理员对鉴别口令、隐私口令、鉴别兼隐私口令进行设置。6.802.1 x
在工EEE 802.11无线标准委员会内部,对I EEE 802.1 x(基于端口的网络接入控制)所具体指定的各种安全技术的合并工作正在起步。这些工作的目的是在各种交换的局域网端口上提供认证能力,为各种企业局域网提供安全接入的可能性。这些技术也包括鉴定和认证、密钥管理和其他认证及安全预防,如802.11 i将提高安全性和认证机制。7.PPP扩展认证协议(EPA)
EAP是PPP认证的一种普遍协议,支持多重认证机制。EAP不会在链路控制阶段选择一个特定的认证机制,而是把这种选择推迟到认证阶段。这就使认证者在确定具体的认证机制之前可获得更多的信息。它也允许使用’后端’(back-end)服务器,这种后端服务器实际上执行各种不同的机制,而认证者仅仅是通过认证交换。8.快速重置密钥(Rapid Re-Keying)
基于IEEE 802.1 x协议,该协议包括用户认证和各种WEP密钥分布特征。快速重置密钥也使用工EEE 802.1 x的周期性重置密钥选择。在接入点它周期性地生成新的、高质量、伪随机性的、碎片WEP密钥配对。快速重置密钥使用802.lx周期性地把这些密钥传送给各相关用户,这就需要802.1 x的EAP-TLS(扩展认证协议一传输层安全性)认证方法。9.VPN
无线用户也是VPN用户,它会创建针对VPN网关和政策服务器的加密隧道。这将使无线连接具有VPN安全特色。5.2 项目中拟采取的措施 5.2.1用户隔离
由于无线用户的流动性和不确定性,需要对用户之间互访的进行隔离,首先必须要求AP具有二层隔离功能。但是,仅仅AP具有二层隔离功能,只能保证连接在同一个AP下的两个无线用户之间的隔离,而连接在不同AP下的用户之间却可以通过上一级交换机进行通讯,因此仅AP实现隔离不能从根本上解决用户之间隔离的问题。为此,必须在连接AP的上一级交换机上为交换机的每个端口配置VLAN,以保证连接在不同AP下的用户之间的隔离,同时在Ocamar AC上的也应设置为用户隔离状态,这样就可以从根本上利用不同的网络设备实现用户之间的访问隔离。5.2.2认证方式
用户认证采用WEB+DHCP方式,即用户打开IE浏览器,输入一个URL,这时AC将用户的浏览器重定向到认证页面,要求用户在认证页面提供用户名和密码,当用户成功认证后,AC将用户浏览器重新带回刚才所键入的URL。基于WEB方式的认证,用户电脑设置简单,用户无须安装任何客户端软件,仅仅需要将用户网卡设为自动获得IP地址,AC会自动为用户分配正确的IP;即使用户将无线网卡设置了固定的IP地址,也可利用AC中的即插即用功能。认证通过后,为了提高安全性,AC对MAC地址、IP地址以及用户名三者实施了绑定策略。使用到无线AP中的三项功能,MAC地址绑定,DHCP服务和认证功能。采用MAC地址绑定功能通过设置MAC地址绑定功能后,其他没绑定MAC地址的终端就不能接入无线局域网;DHCP主要是为网内用户自动分配IP地址,所有有些用户就通过获取IP地址进入无线局域网中,只要将DHCP功能关闭就能杜绝这类事件的发生;目前,网络中最常用的认证方式就是802.1x端口认证技术,我们可通过这项功能限制非法用户访问无线局域网。
在大部分的无线AP中,提供了一种SSID功能,这项功能主要是用来区分不同的网络,实际上这就是无线局域网的名称,一般同一厂家的无线AP都采用同一种SSID,所以我们在无线局域网组建成功后最好将SSID进行重新设置。通常情况下,无线AP都是将SSID进行广播,为了防止其他用户搜索到SSID,我们最好将这项功能关闭,不过关闭之后对性能有影响,但无线局域网的安全却得到了提高。5.2.3用户权限和网络访问控制
根据业务模式和对用户权限管理的需要,需要对用户访问本地网络的权限进行控制。比如,公司员工允许通过WLAN访问本地网络资源,诸如文件服务器、打印服务器、MIS、视频服务等,同时允许访问INTERNET;对于来访人员,根据其不同身份级别,对其能否访问本地网络资源加以控制。根据这些需求,AC有两个Internet的出口,用于让某些不允许访问本地网络资源的用户直接访问INTERNET。
AC的一个端口(出口2)和企业收敛交换机相连,用于提供给某些用户(比如访客)上网出口,因为这些用户不允许访问企业内部网络。而AC的另一个端口(出口1)接企业内部局域网,这样,企业内部员工可以通过这条路由访问本地网络资源以及访问INTERNET,从而实现用户权限的控制和本地网络资源的控制。
此外,根据实际的业务需要,可增加MAC地址绑定方式,只有指定的MAC地址,并通过对应的用户名和密码进行认证,才能合法接入网络;或采用MAC地址验证方式,可根据不同的MAC地址为无线用户分配不同网段的IP地址,实现基于不同用户的业务策略和访问控制;也可根据 AC上不同的网口,对应交换机的VLAN分配不同网段的IP地址,实现基于不同区域的业务策略和访问控制。5.2.4无线网络设备管理安全
为了便于网络管理员对整个无线网络进行有效的管理,AC上内建了一个基于WEB的管理平台,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置,各模块运行状况监控等;对无线接入点的管理包括扫描指定网段的所有AP,实时报告所有AP运行状态,发现非法AP立即报警,群组更改AP的设置,如ESSID等,以便对所有AP进行集中化的管理。
第六章 结束语
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
同时,随着无线网络的普及发展以及在企业无线网络的应用的兴起,我坚信当涂供电公司调度大楼的无线网络项目也会在不久的将来实施的。本文虽就无线网络项目在当涂供电公司调度大楼的实施进行了简单的初步探讨研究,但仍希望在将来的实施过程中成为一种参考。由于本人能力有限,其中定有不少不足之处。希望通过此次答辩过程进一步完善,充实自己!为将来走上工作岗位积累宝贵的经验财富。
第七章 致 谢
经过半年的学习和工作,终于完成了毕业课题的论文撰写工作。在此,我必须要感谢学习中指导、帮助过我的倪政林老师和同学们,还有当涂供电公司信息中心的同事,没有他们的帮助,我是不可能完成整个课题的工作,并在其中不断学习和实践、获益非浅的。
本论文在倪政林老师的悉心指导和严格要求下业已完成,从课题选择、方案论证到具体设计,无不凝聚着倪老师的心血和汗水,在三年的学习和生活期间,也始终感受着导师们的精心指导和无私的关怀,我受益匪浅。在此向倪政林老师表示深深的感谢和崇高的敬意.不积跬步何以至千里,本设计能够顺利的完成,也归功于当涂电大分校邹元洪辅导员和各位任课老师的认真负责,使我能够很好的掌握和运用专业知识,并在设计中得以体现。正是有了他们的悉心帮助和支持,才使我的毕业论文工作顺利完成。
第八章 参考文献
【无线局域网与网络安全技术】推荐阅读:
实习报告四 局域网组建与网络互连认识07-05
(沪教版)信息技术说课稿——局域网的构建08-15
局域网安装与维护教案06-14
局域网组建与维护题库07-05
无线接入技术06-28
校园无线网络方案07-09
无线通信安全保密09-09
小区无线网络覆盖方案07-09
无线宽带运营网络建设08-24
学校无线网络建设方案09-01