写论文没有思路的时候,经常查阅一些论文范文,小编为此精心准备了《无线局域网安全性分析论文(精选3篇)》,欢迎大家借鉴与参考,希望对大家有所帮助!摘要:无线局域网给人们的工作、学习和生活带来了便利,但是,也带来了很大的安全隐患。本文首先分析了无线局域网的特点,然后对无线局域网面临的安全攻击进行了分析,最后提出了无线局域网的防御策略。
无线局域网安全性分析论文 篇1:
优化无线局域网管理的几点思考
摘要:随着时代的进步,社会的发展,人们的生活水平越来越高,我国社会经济的发展越来越迅猛,与此同时,我国计算机科学技术的发展也有了一个质的飞跃,随着我国计算机技术的飞速发展,无线局域网技术已经越来越广泛的应用在我们生活工作中的每个角落,并且占有非常重要的地位,起着无可替代的作用,我们的生活工作已经越来越离不开无线局域网的应用。所以,如何更好地优化无线局域网络管理已经成为我国网络通信发展的重中之重。我国各界人士也非常重视无线局域网的开发和研究,投资了大量的人力物力以及财力才支持和推动无线局域网的优化管理,但是由于很多方面的研究,我国无线局域网的管理中还存在很多问题,这些问题严重影响着各大企业以及学校的管理建设,该文就我国无线局域网的管理中存在的问题进行了简要分析,并且就此提出了具体的优化措施,希望对加强我国无线局域网的管理能够有所帮助。
关键词: 优化;无线局域网管理;问题;策略
随着科学技术的不断发展,市场各大企业经济发展的竞争越来越激烈,各大高校的管理和建设也上升到一个高平台,为了能够提升综合实力和核心竞争力,各大企业和高校都对通信技术方面加大了开发研究的力度,尤其是加强对无线局域网络的优化管理。无线局域网具有其独特的特征,成为管理发展中重要的组成部分。各企业和高校都非常重视无线局域网的开发和研究工作,但是如今基于无线局域网的管理中的开发遇到很多问题和困境,直接影响着其优化管理的研究,阻碍无线局域网的有效发展,我们应该采取有效的措施解决其中存在的问题,加强无线局域网的开发和研究,使其更有利的运用到企业和学校的管理发展中。
1 无线局域网管理存在的问题
1)技术管理人员的问题
如今,由于社会风气的影响,有很多企业单位在招聘工作上出现问题,相关人员不能够严格按照管理制度进行招聘,导致有很多资历、学历、能力不够的技术管理人员进入管理岗位,他们没有足够的技术,对无线局域网管理的认识不高,不能够认识到无线局域网的重要性。这样的技术管理员的工作,一定会给无线局域网的优化管理带来严重的影响。而且这些技术管理员由于资历不够,没有过强的心理素质和应急能力,导致无线局域网的使用一旦出现突发状况,技术管理员就无法应对,造成对公司、对用户的严重损失。
2)无线局域网管理系统自身问题
除了相关人员的管理技术问题,无线局域网系统自身也会存在这样那样的问题。比如说,有的无线局域网应用程序比较落后或者使用较长时间,都会导致管理系统的安全性、可靠性降低,有些数管理系统根本就无法跟上计算机通信技术发展的节奏,一直处于较原始的状态,这样的管理系统无法满足用户的要求和需求,它的反应都比较迟缓,操作系统也存在很多漏洞,它已经无法保障用户数据信息的安全性和完整性,坚持使用,会造成更大的危害和损失。还有的无线局域网管理系统由于长时间没有升级和更新,或者更新系统也不够成熟,会导致用户数据信息存在很多安全问题,一旦出现安全问题,造成的损失不是我们轻易能够承担和弥补的。
3)无线局域网的缺陷
无线局域网在给用户带来便捷和方便的同时,也存在很多缺陷,影响着用户的用网安全。首先,无线局域网的无线路由器的安全性能非常低,几乎完全公开,如果没有经过设置,私自加设无线路由就可能导致地址重复,造成无线局域网的整个运行系统瘫痪。其次,无线局域网不可能完全取代有线网络,他们二者只能互补互取,却不能完全取代对方。再者,无线局域网的管理人员和操作工具在很多时候不够专业,而无限的效率控制、频率选择等问题必须经过专业人员的设置。还有就是无线局域网的支撑系统应该被注重,否则无线设备之间的不兼容性或网络管理的混乱就会导致大量问题的出现。
2 优化无线局域网管理的策略
1)加强无线局域网管理人员的技能
无线局域网管理人员是无线局域网有效管理和正常运行的核心人员,要想加强无线局域网的管理工作,我们就应该有效的加强其管理人员的技能,提供更多的机会培训管理人员,培训他们的专业基础知识和实践能力,让他们具备足够的资历构建和管理维护无线局域网。其次,定期对管理人员进行考核,以督促他们自觉主动的学习专业知识,提升自己的能力,最后,尽可能多的提供机会派有资历的管理人员外出学习,学习先进技能回来领导无线局域网管理的创新观念进行改革。企业还应该建立专门的无线局域网校检部门,定期对无线局域网的每个环节都严格校检,一旦检验出有任何问题,就应该严格审核,并且及时进行准确的维修,以免积攒更多的问题造成无线局域网运行的安全隐患。而且无线局域网的安全管理需要管理人员真正明确无线局域网的重要性,以高度负责任的态度来进行管理工作。公司领导人需要定期组织培训,不断提高数据库管理人员的专业技能,保证他们能够在遇到问题时可以及时地进行解决。
2)加强无线局域网管理系统的更新与维护
在构建和完善无线局域网的同时,应该注重无线网络的完善和管理维护。如今,社会经济迅速发展,国家政策也不断变化,企业名下各个工厂也不断革新,所以数据信息无时无刻不在变化更新中,这就需要我们对无线局域网涉及的数据信息以及软件系统都不断进行更新,完善无线局域网的管理系统。其次,也要加强无线局域网的管理维护,定期对无线局域网进行检查审核,不断更新信息,保证无线局域网的安全管理。随着社会的不断进步,系统正在不断地发生改变,所以无线局域网管理人员一定要及时对管理系统进行更新,以便系统能够达到更高的安全标准,真正确保无线局域网管理的安全性。
3)重视用户的无线局域网教育
很多无线局域网的用户都不清楚如何正确使用无线局域网,在使用过程中,由于用户的不熟练,会导致无线局域网运行过程中出现很多问题,所以,要想有效优化无线局域网管理,就应该重视用户的无线局域网教育。我们应该找合适的时间对用户适当地进行培训,培训他们基础的无线网使用知识,保证他们熟练地掌握无线局域网的运行,并且能够技术准确的处理无线局域网运行过程中出现的问题,从而既能让用户方便快捷的使用无线局域网,又能避免其出现安全隐患。或者,我们也可以编制适合用户使用的无线局域网使用说明,让用户根据说明书能够准确快捷的使用无线局域网,并且有效提升其工作效率。
4)创建良好的无线局域网使用环境
光有完善、先进的无线局域网管理系统是远远不够的,其运行过程中还需要良好的无线局域网使用环境,所以,构建好无线局域网管理系统之后,我们应该创建良好的无线局域网使用环境,方便其更好地使用和管理维护。首先,我们应该给用户的计算机以及其软件定期进行严格的检测维修,防止其安全隐患的发生,保证无线局域网的正常使用。还有就是在用户在使用电子设备的同时,提供良好的网络环境,在很大程度上能够提升工作效率。
5)不断建立与健全无线局域网管理监控系统
随着计算机技术的不断发展,用户需求也越来越大,传统的网络管理模式已经不能满足无线局域网的管理,所以,一定要不断建立与健全无线局域网管理监控系统,对无线局域网的管理和使用进行多方面的监控,以便真正确保无线局域网管理的安全性。
3 加强无线局域网的安全管理
1)有效设置访问权限
我们可以在无线局域网的应用中建立一个安全的访问控制,在这个访问控制中,只有具有一定条件限制的人才能够使用无线局域网,在无线局域网的使用过程中有效设置访问权限,每一个访问者都要通过访问控制,只有通过访问控制,符合访问要求,才能够使用网络,进行访问,否则,访问者将不能够进入无线局域网。这样,我们就可以有效的保障无线局域网用户信息的安全,防止非法人士盗取窃取重要资料和信息,大大提升了无线局域网的可靠性。权限管理和访问控制对计算机网路的安全防范起着非常重要的作用,加强用户权限管理和访问控制能够有效保障无线局域网网络信息的安全隐患。一般在无线局域网入口设置访问控制,是对用户身份的认证和识别,如果非本用户是无法进入网络使用界面的,只有识别用户才能合法进入并且运行计算机网络,这样就能有效解决计算机网络信息的安全隐患。
2)做好杀毒工作
如今的病毒非常可怕,它可以在你不知不觉的情况下以最快的速度,高度破坏计算机网络系统,所以,我们一定要做好有效的杀毒工作,在计算机上安装相应的杀毒软件以及修复软件,让软件能够及时发现无线局域网的病毒和漏洞,并且及时进行有效的杀毒和修复工作,保证数据信息的安全,进而极大的提高无线局域网的可靠性。
3)提升防火墙功能
我们也可以设置防火墙,防火墙具有识别功能,它可以进行阻止和允许,坦白讲就是让流量有选择的通过防火墙,只允许对无线局域网信息有利的进出防火墙,而阻止有害的进出。防火墙也可以及时检查是否有危险性攻击,而且可以有效地拦截有害攻击。但是,随着人们对防火墙的要求越来越高,防火墙的这点功能是远远不能供应市场需求的,所以,我们需要更加努力研究防火墙的功能,利用其实现更多的功能,来保障无线局域网的安全性便利于每一位无线局域网用户。防火墙技术是有效地加强数据信息归于防火墙保护之内,避免其受损害。防火墙可以将数据信息管理系统隔离成内部管理和外部管理两个部分。防火墙还能够有效进行用户权限管理和访问控制,保证只有被认证的用户才能够进入无线局域网管理区。
4 结束语
总之,无线局域网的优化管理有着非常重要的意义,所以,我们一定要重视如今无线局域网管理中存在的问题以及其中存在的安全隐患,认真分析其中存在的问题,以防其影响到正常的生活和工作。所以,我们要采取有效的措施,比如加强用户权限管理和访问控制、利用防火墙技术做好网络隔离等,解决无线局域网管理中存在的安全问题,加强无线局域网的安全防护,从而充分保护用户的网络使用环境。
参考文献:
[1] 范兴刚.网络控制系统若干通信网络实时特性研究[D].杭州: 浙江大学,2004.
[2] 陈刚,季智红,骆方丽.WLAN建设分析与建议[J]. 通信与信息技术,2009(6).
[3] 陈晓勇.无线网络环境下即时和离线数据同步技术的研究[D]. 上海:上海交通大学,2007.
作者:付长城
无线局域网安全性分析论文 篇2:
论校园无线局域网的攻击与防御
摘要:无线局域网给人们的工作、学习和生活带来了便利,但是,也带来了很大的安全隐患。本文首先分析了无线局域网的特点,然后对无线局域网面临的安全攻击进行了分析,最后提出了无线局域网的防御策略。
关键词:无线局域网;黑客攻击;防御
1 引言
进入21世纪以来,网络技术飞速发展,特别是近年来,无线网络的发展极为迅猛。家用无线网络、运营商无线网络、各单位的无线网络越来越普及,无线网络的接入也变得更加的方便,而随着笔记本电脑、平板电脑、智能手机等各类移动终端的增多,无线网络已经成为人们工作、学习和生活中必不可少的一部分。很多城市的公共场所、公交车站等都已经推行免费无线网络,而随着“互联网+”战略的推进,无线网络在社会中占有越来越重要的地位。
校园无线网络是各类无线网络的重要组成部分,随着无线网络的不断发展,人们的工作、学习和生活都发生了翻天覆地的变化,变得越来越方便与快捷,但是,在另一方面,无线网络的安全性问题也日益突出,对人们的信息安全造成了极大的威胁,也阻碍了无线网络的进一步发展。校园无线网络作为无线网络的重要组成部分,而且学校作为相对特殊的场所,其网络安全问题也受到了广泛关注。
2 无线局域网的特点分析
2.1无线局域网的优点
随着网络技术的发展和各种智能终端的普及,无线局域网的发展势头非常迅猛,目前,无线局域网的地位和重要性已经足以与有线局域网分庭抗礼。无线局域网相对于有线局域网来说,有其相应的优势,主要体现在以下几个方面:第一,无线局域网具有很强的移动性,有线局域网由于其网络接口位置是固定的,因此,要接入有线局域网,就必须在存在有线局域网网络接口的位置才能接入网络,无法满足人们随时随地上网的需求,而无线局域网则没有这样的弊端,只要在无线局域网覆盖的区域,人们就可以利用智能终端接入网络,从而实现了随时随地上网;第二,无线局域网的布线相对有线局域网而言更加方便,有线局域网布线复杂,施工难度大,而无线局域网则只需要在一定范围内安装无线发射设备即可实现无线网络覆盖。第三,组网方便,无线局域网只需要在现有有线网络的基础上,进行无线局域网的部署,就可以实现用户接入无线网络;第四,无线局域网的可扩展性很强,在无线局域网中,诸如无线AP等网络设备,可以相对方便和自由的进行改变和移动,不像有线网络中的HUB和网线,改变和移动相当困难,这就可以根据实际的上网需求来进行适当的更改,从而满足不同的上网需求。
2.2无线局域网的缺陷
无线局域网给人们带来了便捷,但是,无线局域网并不是十全十美的,其仍然存在很多的缺陷:第一,性能不够完善,无线局域网的数据传输是通过无线电波来实现的,但是障碍物和干扰会影响电波的传输,比如说,建筑物和树木的障碍,还有其他电磁干扰等,这些因素都会影响电波的传输,影响无线网络数据的传送,进而影响无线网络的性能;第二,相比于有线网络而言,无线网络的传输速率相对较低,当前,无线局域网的网络传输速率平均为54Mbit/s,这种传输速率相对有线网络而言是很低的,因此,无线局域网不适合网络设备很多的场所使用;第三,安全性能较差,相对于有线网络而言,无线网络可以更为方便快捷地接入网络,这是一把双刃剑,一方面方便了人们的使用,另一方面,也带来了安全隐患,无线网络不是以物理方式连接的,任何人,只要知道无线局域网的登录密码即可接入网络,如果不法分子恶意接入的话,无线局域网中的传输信号就可能会被监听,导致用户信息被泄露,甚至局域网会被恶意攻击。
有线局域网经过多年的发展,其安全性和可靠性已经相对成熟,而无线局域网的安全性仍然处于不成熟阶段,安全隐患相对较多,因此,很多黑客都对无线局域网展开攻击,而且,攻击技术和攻击手段不断升级,这些都严重威胁了无线局域网的安全。无线局域网让人们上网更加的方便快捷,但是也为网络攻击提供了网络接入接口,黑客可以利用网络接口来开展攻击,窃取信息、删除和修改数据、植入病毒和木马等,这些都给无线局域网带来了极大的安全隐患。
因此,无线局域网如何防御攻击,已经成为无线局域网在发展过程中亟待解决的问题。由于无线局域网中的数据是依靠无线电波来传播,因此,要解决无线局域网的安全问题,只需要从无线局域网的接入方面和加密方面进行控制,就可以有效保障无线局域网的安全。
3 无线局域网面临的安全攻击
3.1搜索无线局域网络隐藏的服务集标识
每一个无线局域网都有自身特有的SSID,这个SSID是无线局域网自身的专属代号。一般情况下,无线局域网络设备在初始状态下,服务集标识是没有进行加密的,处于完全开放状态,这种状态的安全性非常低,但是,也只有在这种状态下,无线网络用户才能利用智能终端接入无线网络。黑客攻击无线局域网,一般都是搜索服务集标识,并且利用服务集标识来开展攻击,因此,要防御网络攻击,可以对服务集标识进行隐藏,防止被黑客搜索到并加以利用。但是,随着网络技术的不断发展,黑客攻击的技术和手段不断提升,隐藏服务集标识的方法已经越来越难以防御黑客攻击。很多黑客利用先进的网络攻击工具,搜索服务集标识,并利用服务集标识来对无线局域网开展攻击,这也成为黑客攻击无线局域网的主要手段。
3.2破解WEP的加密方式
WEP是对两台设备间无线传输的数据进行加密的方式,用来防御无线网络的入侵,或者防止被非法用户窃听数据。WEP协议是802.11b标准中适用于无线局域网的安全协议,能够为无线局域网提供安全保障。WEP协议的设计相对简单,也因此存在着很多的安全漏洞,比如说,其认证机制是单向认证的,这种安全机制过于简单,很容易遭受黑客的攻击。因此,因为WEP协议的无线局域网的安全性并不高,所以我国早在2003年就采用了WPA加密方式来替换WEP加密方式,WPA加密方式是利用密钥的架构和管理方法,用动态密钥的方式来进行加密,取代了WEP静态密钥的方式,而且WPA加密方式还增加了密钥的长度,只有当认证服务器确认用户的信息正确之后,才会将密钥通过安全通道发送给AP和客户端,从而建立了一个安全可靠的信息传输渠道。WPA加密方式,是依靠动态加密来实现的,其被破解的可能性大大降低,虽然不可能完全避免被破解,但是,只需要定期修改密码,并且加强密码认证等级,则可以基本保障无线局域网的安全可靠。WPA密码设置过程中,可以采用大写字母、小写字母、数字、特殊符号相结合的方式进行加密,极大地提高了无线局域网的安全等级。
4 无线局域网的防御
4.1设置特定的物理地址
AP,是WirelessAccessPoint的简称,叫做无线访问接入点,相当于传统有线网络中的HUB,其作用是将无线网络中的客户端连接到一起,并且将无线网络接入以太网。在无线局域网中,各类智能终端都要通过AP来接入无线局域网中,很多黑客就是利用AP接入无线局域网之后对无线局域网展开攻击,因此,要避免无线局域网被恶意攻击,可以利用限制AP接入的方式来进行。可以在AP中设置可以接入无线局域网的物理地址,从而防止一些非法用户的接入,从源头上遏制黑客攻击。把允许接入无线局域网的智能终端设备的物理地址设置进AP的列表中,只有这些智能终端设备才能接入无线局域网,不在列表中的智能终端设备不被允许接入无线局域网,这样,可以有效防止非法用户接入无线局域网,也能有效防止无线局域网被攻击,提高了无线局域网的安全等级。
4.2开启无线安全网关
无线访问接入点(AP)是利用局域网交换机或者转发器来与无线安全网关来进行连接的,用户的智能终端设备是利用接入点的AP来实现网络资源的使用,因此,加强无线安全网关的安全建设,对用户和网络服务器之间的通信进行严密监控,从而有效保障无线局域网的安全。要实现这一目的,用户的客户端必须要支持IPsec。目前,IPsec的发展和普及速度非常迅猛,已经有了极为广泛的应用,无线安全网关也支持IPsec服务,利用VPN隧道技术可以有效保障用户和无线安全网关之间的通信安全。
4.3利用先进的加密技术
为了防御黑客攻击,无线局域网不但可以采用上述的防御措施之外,还可以从加密技术上做文章。由于黑客攻击技术和攻击手段的不断提升,简单的加密技术已经无法防御黑客的恶意攻击,因此,可以采用先进、复杂的加密技术,来对无线局域网进行保护。比如说,可以采用128位加密钥匙的WEP加密技术来保证无线局域网的安全,这种加密技术可以对用户的信息进行加密处理。一方面,黑客很难截获用户的信息,就算截获了用户的信息,也需要极为强大的分析工具,获取解密密钥,才能解密被加密的信息。但是,由于是采用128位加密钥匙和WEP加密技术,黑客很难破解,因此,也无法获取相应的用户信息。
另外,还可以对用户的物理地址、系统ID信息等进行加密,加密之后,就算黑客截取了这些信息,如果没有正确的密钥,也无法对信息进行解密,也就无法获取正确的信息内容。
5 结束语
无线局域网由于其强大的可移动性、可扩展性、施工难度小、组网方便等特点,已经在各行各业都得到了广泛的应用,校园无线局域网的应用也成为必然。但是,学校作为一个重要而且特殊的场所,其无线局域网的安全性和稳定性也受到了广泛的重视,如何保障校园无线局域网的安全,提高校园无线局域网防御攻击的能力,已经成为了人们关注的焦点。
计算机技术和网络技术的不断提升,给人们的工作、学习和生活带来了极大的便利,但是,各类数据信息泄露的事件层出不穷,人们越来越关注数据的安全性,因此,要有效保障用户的信息不被攻击和泄露,切实保障无线局域网的安全,特别是校园无线局域网的安全。
要保障无线局域网的安全,应该从技术层面上加强保护,采取切实可行的措施,提高无线局域网的安全防护等级,有效抵御黑客的攻击。本文对各种针对无线局域网的黑客攻击进行详细的分析和阐述,并且针对这些攻击手段进行了研究,提出了相应的防御措施,能够有效提升校园无线局域网的安全等级,防御黑客的恶意攻击。
参考文献:
[1] 邓体俊.论校园无线局域网通信安全策略[J].电脑知识与技术,2015(1):27-29.
[2] 田永民.基于无线网络WLAN安全机制分析[J].数字技术与应用,2011(5):60-70.
[3] 赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息,2007,23(7):65-67.
作者:倪娜
无线局域网安全性分析论文 篇3:
如何提高无线局域网的安全性能
【摘要】:无线局域网的覆盖范围为几百米,在这样一个范围内,无线设备可以自由移动,其适合于低移动性的应用环境。而且无线局域网的载频为公用频段,无需另外付费,因而使用无线局域网的成本很低。无线局域网带宽更会发展到上百兆的带宽,能够满足绝大多数用户的带宽要求。基于以上原因,无线局域网在市场赢得热烈的反响,并迅速发展成为一种重要的无线接入互联网的技术。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安个问题。文章在阐述无线局域网安全发展概况的基础上,分析了无线局域网的安全必要性,并从不同方面总结了无线局域网遇到的安全风险,同时重点分析了IEEE802. 11 b标准的安全性、影响因素及其解决方案,最后对无线局域网的安全技术发展趋势进行了展望。
【关键词】:无线局域网;标准;安全;趋势
前言
无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1.无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早发表论文指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开发布的,然而对其安全性的讨论在学术界和工程界目前还没有展开。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁,故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密性服务,数据的完整性服务,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4.1.2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素
4.2.1 硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2 虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3 其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG,该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的代理找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
作者:朱一帆