無線區域網安全技術論文

　　目前,困擾無線區域網發展的因素己不是速度,而是安全、應用和互聯互通方面的問題,下面小編給大家分享，大家快來跟小編一起欣賞吧。

　　篇一

　　無線區域網安全淺析

　　【摘要】隨著無線區域網***WLAN***的廣泛發展，它的應用也越來越面向大眾的生活，它的飛速發展提高了企業、部門的工作效率，加快了企業、部門與科技接軌的速度，給人們的生活提供了便利。但同時，在使用中，安全問題是自無線區域網誕生以來一直困擾其發展的重要原因，本文研究了無線區域網面臨的主要安全問題，並介紹了相應的解決辦法。

　　【關鍵詞】無線區域網;安全802.11標準;ACL WEP

　　無線網路是利用電磁波在空氣中傳送和接受資料，而無需線纜介質連線形式的網路。近年來，無線區域網以它接入速率高，組網靈活，在傳輸移動資料方面尤其具有得天獨厚的優勢等特點得以迅速發展。它是對有線連網方式的一種補充和擴充套件，使網上的計算機具有可移動性，能快速、方便地解決使用有線方式不易實現的網路連通問題。但是，隨著無線區域網應用領域的不斷拓展，無線區域網受到越來越多的威脅，無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊，還受到基於IEEE802.11標準本身的安全問題而受到威脅，其安全問題也越來越受到重視。與此同時，也暴露出了各種各樣的缺點，本文就802.11無線區域網中存在的安全問題給予了探討。

　　1. 非法接入無線區域網

　　無線區域網採用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、牆等物體，因此在一個無線區域網接入點***AccessPoint，AP***的服務區域中，任何一個無線客戶端***包括未授權的客戶端***都可以接收到此接入點的電磁波訊號。也就是說，由於採用電磁波來傳輸訊號，未授權使用者在無線區域網***相對於有線區域網***中竊聽或干擾資訊就容易得多。所以為了阻止這些非授權使用者訪問無線區域網絡，必須在無線區域網引入全面的安全措施。

　　1.1非法使用者的接入。

　　***1***基於服務設定識別符號***SSID***防止非法使用者接入。

　　服務設定識別符號SSID是用來標識一個網路的名稱，以此來區分不同的網路，最多可以有32個字元。無線工作站設定了不同的SSID就可以進入不同網路。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那麼AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法使用者的接入，保障無線區域網的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以檢視當前區域內的SSID。出於安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。

　　***2***基於無線網絡卡實體地址*** MAC ***過濾防止非法使用者接入。

　　由於每個無線工作站的網絡卡都有惟一的實體地址，利用MAC地址阻止未經授權的無限工作站接入。為AP設定基於MAC地址的AccessControl***訪問控制表***，確保只有經過註冊的裝置才能進入網路。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現實體地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。實體地址過濾屬於硬體認證，而不是使用者認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果使用者增加，則擴充套件能力很差，因此只適合於小型網路規模。

　　如果網路中的AP數量太多，可以使用802.1x埠認證技術配合後臺的RADIUS認證伺服器，對所有接入使用者的身份進行嚴格認證，杜絕未經授權的使用者接入網路，盜用資料或進行破壞。

　　***3***基於802.1x防止非法使用者接入。

　　802.1x技術也是用於無線區域網的一種增強性網路安全解決方案。當無線工作站與無線訪問點AP關聯後，是否可以使用AP的服務要取決於802.1x的認證結果。

　　如果認證通過，則AP為無線工作站開啟這個邏輯埠，否則不允許使用者上網。

　　1.2非法AP的接入。

　　無線區域網易於訪問和配置簡單的特性，增加了無線區域網管理的難度。因為任何人都可以通過自己購買的AP，不經過授權而連入網路，這就給無線區域網帶來很大的安全隱患。

　　基於無線網路的入侵檢測系統防止非法AP接入

　　使用入侵檢測系統IDS防止非法AP的接入主要有兩個步驟，即發現非法AP和清除非法AP。

　　1.2.1發現非法AP是通過分佈於網路各處的探測器完成資料包的捕獲和解析，它們能迅速地發現所有無線裝置的操作，並報告給管理員或IDS系統。當然通過網路管理軟體，比如SNMP，也可以確定AP接入有線網路的具體實體地址。發現AP後，可以根據合法AP認證列表***ACL***判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關引數，那麼就是RogueAP識別每個AP的MAC地址、SSID、Vendor***提供商***、無線媒介型別以及通道。判斷新檢測到AP的MAC地址、SSID、Vendor***提供商***、無線媒介型別或者通道異常，就可以認為是非法AP。

　　1.2.2當發現非法AP之後，應該立即採取的措施，阻斷該AP的連線，有以下兩種方式可以阻斷AP連線：

　　***1***採用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務。

　　***2***網路管理員利用網路管理軟體，確定該非法AP的物理連線位置，從物理上斷開。

　　2. 資料傳輸的安全性

　　在無線區域網中可以使用資料加密技術和資料訪問控制保障資料傳輸的安全性。使用先進的加密技術，使得非法使用者即使擷取無線鏈路中的資料也無法破譯;使用資料訪問控制能夠減少資料的洩露。

　　2.1資料加密。

　　***1***IEEE802.11中的WEP。

　　有線對等保密協議***WEP***是由IEEE802.11標準定義的，用於在無線區域網中保護鏈路層資料。WEP使用40位鑰匙，採用RSA開發的RC4對稱加密演算法，在鏈路層加密資料。 　　WEP加密是存在固有的缺陷的。由於它的金鑰固定，初始向量僅為24位，演算法強度並不算高，於是有了安全漏洞。現在，已經出現了專門的破解WEP加密的程式，其代表是WEPCrack和AirSnort。

　　***2***IEEE802.11i中的WPA。

　　Wi-Fi保護接入***Wi-Fi Protected Access，WPA***是由IEEE802.11i標準定義的，用來改進WEP所使用金鑰的安全性的協議和演算法。它改變了金鑰生成方式，更頻繁地變換金鑰來獲得安全。它還增加了訊息完整性檢查功能來防止資料包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由於加強了生成加密金鑰的演算法，因此即便收集到分組資訊並對其進行解析，也幾乎無法計算出通用金鑰。WPA還追加了防止資料中途被篡改的功能和認證功能。由於具備這些功能，WEP中的缺點得以解決。

　　2.2資料的訪問控制。

　　訪問控制的目標是防止任何資源***如計算資源、通訊資源或資訊資源***進行非授權的訪問，所謂非授權訪問包括未經授權的使用、洩露、修改、銷燬以及釋出指令等。使用者通過認證，只是完成了接入無線區域網的第一步，還要獲得授權，才能開始訪問許可權範圍內的網路資源，授權主要是通過訪問控制機制來實現。

　　訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對使用者訪問網路資源的限制。訪問控制可以基於下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源埠、目的埠、協議型別、使用者ID、使用者時長等。

　　2.3其他安全性措施。

　　許多安全問題都是由於AP沒有處在一個封閉的環境中造成的。所以，首先，應注意合理放置AP的天線。以便能夠限制訊號在覆蓋區以外的傳輸距離，必要時要增加遮蔽裝置來限制無線區域網的覆蓋範圍。其次，由於很多無線裝置是放置在室外的，因此需要做好防盜、防風、防雨、防雷等措施，保障這些無線裝置的物理安全。

　　3. 結束語

　　計算機網路取得今天的發展成就，是人類文明進入到更高階段的標誌，它推動著人類社會向更現代化的方向發展，同時推動了知識經濟時代的到來，人們通過計算機網路的連線，打破了原先在時間和空間上的阻隔，在無形中拉近了人與人之間的距離，也在一定程度上擴大了我們生存的空間，網路給我們提供了超乎尋常的方便和成功。但是，網路也給社會帶來了更多的挑戰，它要求我們要以更高的層次去面對新的生活和環境，同時也要加強網路安全方面的意識，從各個層面來進行安全防控，我們要抓住網路時代帶給我們的機遇，不斷努力推動社會經濟的全面發展。

　　參考文獻

　　[1]趙偉艇：無線區域網的加密和訪問控制安全性分析.微計算機資訊，2007年21期.

　　[2]王茂才等：無線區域網的安全性研究.計算機應用研究，2007年01期.

　　[3]王玲等：IEEE802.11無線區域網技術及安全性研究.電腦開發與應用，2007年02期.

　　[文章編號]1006-7619***2013***08-13-760

　　[作者簡介] 宋勇濤***1980-***，男，學歷：大學本科，職稱：助理工程師，工作單位：陝西天元通訊規劃設計諮詢有限公司，長期從事有線傳輸網路和無線區域網絡的規劃、設計，具有豐富的傳輸網路和無線網路建設經驗。

點選下頁還有更多>>>