无线局域网安全策略

时间：2021-02-02 19:44:39 计算机网络毕业论文我要投稿

企业无线覆盖方案推荐度：
相关推荐

无线局域网安全策略

　　无线局域网安全策略【1】

　　[摘要] 在分析WLAN通信协议的基础上，针对无线局域网安全现状，提出了基于OSI模型层次化的WLAN安全策略，采用该策略能够最大限度地杜绝非法用户接入WLAN，保证了数据在传输过程中安全保密。

　　[关键词] WLAN IEEE802.11 网络安全 WEP VPN

　　1.引言

　　无线通信技术的发展推动了无线网络的快速发展，无线局域网在推出之后得到了快速普及。

　　无线局域网采用无线传输媒介进行通信，摆脱了线缆的束缚，打破了地域和客观条件的制约，具有灵活性、移动性强，成本低，吞吐量高的特点。

　　随着个人通信的发展，无线局域网已经掀起了移动计算的新浪潮并在社会生活的方方面面得到了广泛的应用。

　　然而，无线局域网在带来便利的同时却给整个网络带来了巨大的安全威胁。

　　无线局域网信号在自由空间中进行传输，无法像有线网络一样通过对传输媒介的接入控制来保证数据不会被恶意x听并获取。

　　所以无线局域网面临一系列的安全问题。

　　首先，由于移动终端与网络之间的无线接口是开放性的，使得在无线信道上传送的信令和业务消息很容易被他人x听，且很难被发现。

　　其次，移动终端与网络之间缺乏固定的物理连接，用户必须通过无线信道来传送其身份信息，身份认证机制不完善。

　　因此，无线局域网必须采取更严密的安全措施以确保通信安全。

　　无线局域网安全分为身份认证和数据传输安全两大块，有关无线局域网的安全策略也是围绕这两方面进行分析和设计。

　　文献[4]中提出的安全方案需要改动WLAN基础设施来保障身份认证。

　　文献[5]中的安全方案基于对称密码体制的第三方认证来解决身份认证和密码协商。

　　文献[6]提出了基于IPSec的解决方案。

　　本文提出了基于OSI模型层次化的WLAN安全策略，在物理层、数据链路层、网络层和应用层分别采取了相应的安全措施，能够最大限度地保障无线局域网通信安全。

　　2.WLAN 物理层协议及MAC协议

　　IEEE 802.11x WLAN 的物理层定义了数据传输的信号特征和调制方式：射频(RF)和红外线(IR)传输。

　　RF分为直接序列扩频(DSSS)和跳频扩频(FHSS)两种传输方式。

　　DSSS采用扩展的冗余编码方式进行数据传输，通过用高码率的扩频码序列与数据信号相乘实现扩频。

　　FHSS系统中发射机的载波频率在一个预定集合(2.4G一2.483G)中随时跳变，接收方和发送方事先协商跳频模式。

　　IEEE 802.11的数据链路层由逻辑链路控制子层(LLC)和介质访问控制子层(MAC)组成。

　　IEEE 802.11使用和IEEE 802.3完全相同的LLC子层，并且与IEEE 802协议中所规定的使用48位MAC地址要求完全相同。

　　IEEE 802.11 MAC层的帧格式由帧头(MAC Header)、帧实体(Frame Body)和错误检查码(FCS)共同构成。

　　帧头包括帧控制(Frame Control)、持续时间(Duration / ID)、地址信息(Address)和顺序控制(Sequence Control)等字段，如图1所示。

　　图1：无线局域网帧头结构

　　3.层次化的无线局域网安全策略

　　3.1 无线局域网安全技术及其缺陷

　　SSID (服务配置标识符) 用来标识无线局域网，无线AP默认定时进行SSID广播，黑客利用侦测软件可以轻易获得SSID。

　　无线AP中存有合法MAC地址列表，管理员通过手工维护合法MAC列表可控制无线终端的访问权限。

　　但是攻击者通过无线侦听即可获取合法的MAC地址并非法接入。

　　WEP在链路层采用RC4对称加密技术，它将密钥扩展成任意长度的伪随机位“密钥流”，该算法的缺陷是：如果对两个不同的消息使用相同的IV和密钥进行加密，则可完全破解两个消息的信息。

　　同时，如果通过无线侦听收集到包含特定IV密钥的分组信息并对其进行解析，那么连通用密钥也可被破解出来。

　　WAPI协议分为WAI和WPI两部分，分别实现对用户身份的鉴别和对传输的数据加密。

　　由于WAPI与原有WiFi标准存在较大差异，在设备兼容方面存在问题。

　　所以WAPI标准仍在推广之中，并没有应用到现有的无线局域网之中。

　　WLAN所面临的安全威胁分为被动攻击和主动攻击两大类。

　　被动攻击是对WLAN信号的x听或干扰，主动攻击则是对WLAN进行非法接入并篡改网络设置等活动。

　　为部署更安全的无线局域网，必须完善无线局域网网络安全策略，在OSI网络模型之上进行严格把关，在无线设备和终端之间建立多层次的保护机制，从根本上做到防止非法用户接入WLAN，并保证数据在传输过程中安全、保密。

　　3.2 层次化的无线局域网安全策略

　　无线局域网的安全贯穿网络架构、使用和维护的整个过程，单层次的安全技术并不能保证无线通信的绝对安全，一个设计良好，架构完整的无线局域网安全方案应该基于OSI参考模型，以分层方式整合多种不同的安全措施，以最大限度来确保无线局域网的通信安全。

　　考虑到WLAN物理层的安全，在架构WLAN时，通过专用审计仪器测量架设环境，确定AP的最佳位置，控制发散区，尽量减少无线信号泄露到网络范围以外的区域。

　　当网络中存在多个AP时，调整各AP的工作频道，最大限度的减少干扰。

　　WLAN数据链路层的安全重点是对无线设备合理高效的应用。

　　在WLAN中，启用AP的MAC地址过滤功能。

　　启用WPA或WEP加密，选择104或40位(一些旧设备不支持104位)加密密钥。

　　图2：无线局域网安全构架

　　在配置无线AP时，将SSID设置为长而复杂的字符并关闭SSID广播功能，在AP中设置最大长度的共享密钥并定期更改密钥，将WLAN的地址分配设置为静态手工分配。

　　同时应采用IPSec的嵌套通道来构造VPN的安全通信，以确保WLAN网络层的安全。

　　应用层的安全至关重要。

　　在客户无线终端和无线网络间建立VPN(虚拟专用网)连接，在无线终端和VPN网关之间建立一对一的安全连接。

　　同时在WLAN中架设RADIUS(Remote Authentication Dial-In User Service)服务器，对系统的远程连接进行身份验证、为网络资源提供授权并记录日志。

　　此外，应该在客户终端中安装个人防火墙并在WLAN中架设入侵检测系统。

　　4.小结

　　随着人们对无线互联需求的增长, 无线局域网技术必将会得到进一步的发展, 其安全性也会逐步完善。

　　本文分析了现有无线局域网的安全技术及其漏洞, 提出了更为安全可靠的无线局域网部署方案。

　　参考文献：

　　[1] 刘峰,王相林.WLAN安全方案及802.11i标准研究.计算机工程与设计,2006年13期.

　　[2] 姚志强,蒲江,唐金艺.802.11无线局域网安全性分析.计算机安全,2006年 04期.

　　[3] 陈一天,Laingal Ming.802.11 WLAN通信安全的研究.计算机应用研究,2006年03期.

　　[4] 赵鹏,罗平,曹学武.改进无线局域网的安全.计算机工程与应用,2004年02期.

　　[5] 陈卓,陈建峡,杨木祥.基于对称密码体制的第三方认证的无线局域网安全方案研究.计算机工程与科学,2005年07期.

　　[6] 周星,康耀红,孙盛杰.基于IPSec的无线局域网安全解决方案的研究.计算机工程与应用,2003年18期.

　　无线局域网网络安全策略【2】

　　摘要：无线局域网可以说实现了计算机网络技术与无线通讯技术的有机结合，其在一定范围内实现了无线网络通讯服务，因此近年得到了广泛推广应用。

　　针对无线局域网而言，确保其安全是首要任务。

　　本文分析了无线局域网及其网络安全的现状，在此基础上提出了无线局域网的网络安全策略。

　　关键词：无线局域网;网络安全;策略

　　无线局域网能够实现无缝覆盖以及可移动通信等优势特点，从而实现对有线网络的补充作用，因此应用领域较广，其应用对于人们获取信息及进行交流提供了极大的方便。

　　因此，确保无线局域网的网络安全是一项重要的研究课题。

　　面对无线局域网现存的各种安全隐患问题，我们必须认真对待，提出切实可行的措施，加强技术保障，从而保证无线局域网的安全稳定运行。

　　一、无线局域网的网络安全现状

　　无线局域网现存的网络安全隐患主要是因网络为开放式易于接入引起的。

　　因为WLAN是通过无线电波在空中传输数据的，因此不能对通信线路进行保护，WLAN的数据会在发射机所在的最大区域内进行传递，该区域内凡是能收到WLAN信号的用户，都能接触到该数据。

　　如果该系统漏洞被不法分子利用，他们就会对数据进行中途截取，从而造成严重的网络攻击。

　　总体来说，无线网络所面临的威胁主要表现在以下几个方面：

　　1.传输数据攻击。

　　非法用户通过扫描软件查找那些开放式的没有加密功能的无线局域网的接入点，通过它非法访问互联网，进行攻击;或利用一些网络工具来监听和截取无线信号，分析获取相关用户信息，恶意修改或延迟数据通信，合法用户造成损失。

　　2.安全协议攻击。

　　有线等效保密(Wired Equivalent Privacy)简称WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位数太短、初始化的复位设计等。

　　一些网络的部署者在选择上更偏向与缺省的WEP密匙，而且不改变他的配置选项，这就导致了黑客在破解密匙的时候，只需要收集足够的WEP弱密匙加密包就可以了，从而使整个网络缺乏安全性，给整个网络带来危害。

　　3.地址欺骗攻击。

　　802.11无线局域网对数据帧是不进行认证操作的，所以一些非法用户可以通过简单的方法获取网络中的站点地址，通过ARP的变动进行身份认证，在未经授权的情况下使用网络资源。

　　二、无线局域网的网络安全策略

　　网络安全问题是整个信息化发展必须要解决和考虑的问题，但是网络的绝对安全性是不可以实现，只能说在原有的基础上加强对网络各个方面的管理，依靠现有的技术改善网络环境，进一步保障网络的安全性。

　　具有可以实现以下几点：

　　1.应用专业技术。

　　利用服务集标识符(SSID)和MAC地址过滤技术来加强访问控制

　　确定无线客户端网卡的唯一物理地址的标示，使用户在满足客户机地址与合法地址相匹配的前提下满足用户的使用，这样就在一定程度上有利于维护无线网络的安全，防止其它用户在未经授权的条件下非法使用网络资源。

　　2.加强身份验证

　　尽量不要使用产商自带的WEP秘钥。

　　通常WEP身份确认有两种方法，一是默认的认证方式，二是使用共享秘钥。

　　共享秘钥在对用户进行身份确认时，要向工作站点发送请求信号，工作站点在接收到后，会向用户发送一个询问信息，用户在对询问信息进行确认后，也就完成了相应的`身份确认。

　　但是在这个过程中，如果网络攻击者对截取了这两则信息，就会对无线局域网造成威胁。

　　针对这方面所采取的具体措施是，不使用产商自带的秘钥，自己运用计算机采用手工方法选择合适的加密秘钥，比如数字和英文字母的混合组合等。

　　其具体的操作流程是，打开浏览器输入无线节点设备默认的后台管理地址，打开该地址后，选择“无线网络”和“安全方式”的选项，然后找出WEP加密协议。

　　在这里，用户就可以自己选择和设置“共享秘钥”的验证方式和密码。

　　这样就完成了用户对自己的安全密钥的设置。

　　3.采用TKIP协议

　　TKIP算法相比较WEP的一个最大优点就在于，增强了校对的完整性。

　　这一目标的实现，主要在于TKIP中拥有包序列计数器，它能做到每一个MAC层的协议数据单元都有唯一的数据加密秘钥与之相对应，这就实现了完整性校对的过程。

　　TKIP在对无线局域网实现校对时采用的包序列计数器能实现对身份校对的防重放攻击。

　　也就是说，TKIP接受包序列计数器的条件就是计数器必须要大于重放窗口的计数值。

　　如果该包序列计数器是经过改动的，那么，TKIP就会自动检测出不正确的解密秘钥，就会显示包序列计数器出错。

　　所以，TKIP防重放攻击的采用，极大地减少了网络攻击者对验证信息进行截取的几率。

　　4.避免点点模式

　　该对策的提出主要是基于无线局域网工作站的两种基本传输模式所存在的缺陷，其传输模式主要包括，基础架构模式和点对点工作模式。

　　前者的工作流程是，局域网内的所有无线工作的实现都必须经过路由器的信号处理。

　　后者的工作流程是不采用路由器设备，直接将工作站和工作站相连，这样的模式能加速网络间数据传输的速度，但同时也为无线局域网附近的非法用户提供了非法获取和访问信息的空当，使局域网的安全受到很大威胁，所以，必须减少或禁止点对点工作模式的使用。

　　三、结束语

　　无线局域网的网络安全是巨大的系统工程，要想实现网络安全，我们必须从无线局域网设置的各个环节出发，无论是从源头对无线信号加以保护，还是对运行中的客户认证进行检测，亦或是对工作站工作模式的改变，所有这些都应该建立在用户对无线局域网网络安全问题高度警惕的基础之上。

　　随着无线局域网应用的日益广泛，对其网络安全的研究将更加系统。

　　参考文献：

　　[1]连一峰，王航.网络攻击原理与技术[M].北京：科学出版社，2009：25-27.

　　[2]谭润芳.无线网络安全性探讨[J].信息科技，2008(06)：24-26.

　　[3]李勤，张浩军等.无线局域网安全协议的研究和实现[J].计算机应用，2005(01)：160-162.

【无线局域网安全策略】相关文章：

无线通信论文07-05