电子信息类论文：无线局域网安全机制探索__墨水学术,论文发表,发

所属栏目：计算机网络论文范文发布时间：2011-02-25浏览量:209

副标题#e#摘要：随着科技的日新月异使互联网的普及率逐年提高，人民群众生活水平的逐年提高使更多的可移动设备进入千家万户。也就使得无线局域网迅速普及，但由于无线局域网采用公共的电磁波作为载体，因此在一个无线局域网接入点的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。非授权用户在无线局域网中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，必须在无线局域网中引入全面的安全机制。
　　关键词：WLAN、AP、非法接入、安全性
　　无线网络概述
　　在这个互联网飞速发展的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了电磁波采用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（Wirelesslocal-areanetwork，WLAN）就是在不采用传统缆线的同时，提供以太网的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长，对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。
　　无线网络技术涵盖的范围很广，既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术。通常用于无线网络的设备包括便携式计算机、台式计算机、手持计算机、PDA和移动电话。无线技术用于多种实际用途。例如，手机用户可以使用移动电话查看电子邮件。使用便携式计算机的旅客可以通过安装在机场、火车站和其他公共场所的基站连接到互联网。在家中，用户可以连接桌面设备来同步数据和发送文件。
　　无线网络的标准
　　为了解决各种无线网络设备互连的问题，美国电气和电子工程师协会(IEEE)推出了IEEE802.11无线协议标准。目前802.11主要有802.11b、802.11a、802.11g三个标准。最开始推出的是802.11b，它的最大传输速度为11MB／s，最大距离室外300米，室内约50米。因为它的连接速度比较低，随后推出了802.11a标准，它的连接速度可达54MB／s。但由于两者不互相兼容，致使一些早已购买802.11b标准的无线网络设备在新的802.11a网络中不能用，所以IEEE又正式推出了完全兼容802.11b标准且与802.11a速率上兼容的802.11g标准，这样通过802.11g，原有的802.11b和802.11a两种标准的设备就可以在同一网络中使用。IEEE802.11g同802.11b一样，也工作在2.4GHz频段内，比现在通用的802.11b速度要快出5倍，并且与802.11完全兼容，在选购设备时建议弄清是否支持该协议标准。选择适合自己的，802.11g标准现在已经开始普及。
　　三、无线局域网的相关概念
　　在一个典型的无线局域网环境中，有一些进行数据发送和接收的设备，称为接入点(AccessPoint，AP)。通常，一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下，AP可以通过标准的Ethernet电缆与传统的有线网络相联，作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
　　1、无线局域网在室外主要有以下几种结构：点对点型、点对多点型、多点对点型和混合型。●点对点型
　　该类型常用于固定的要联网的两个位置之间，是无线联网的常用方式，使用这种联网方式建成的网络，优点是传输距离远，传输速率高，受外界环境影响较小。
　　●点对多点型
　　该类型常用于有一个中心点，多个远端点的#p#副标题#e#情况下。其最大优点是组建网络成本低、维护简单；其次，由于中心使用了全向天线，设备调试相对容易。该种网络的缺点也是因为使用了全向天线，波束的全向扩散使得功率大大衰减，网络传输速率低，对于较远距离的远端点，网络的可靠性不能得到保证。
　　●混合型
　　这种类型适用于所建网络中有远距离的点、近距离的点，还有建筑物或山脉阻挡的点。在组建这种网络时，综合使用上述几种类型的网络方式，对于远距离的点使用点对点方式，近距离的多个点采用点对多点方式，有阻挡的点采用中继方式。
　　2、无线局域网的室内应用则有以下两类情况
　　●独立的无线局域网
　　这是指整个网络都使用无线通信的情形。在这种方式下可以使用AP，也可以不使用AP。在不使用AP时，各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近，且当用户数量较多时，性能较差。
　　●非独立的无线局域网
　　在大多数情况下，无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下，多个AP通过线缆连接在有线网络上，以使无线用户即能够访问网络的各个部分。
　　3、其他相关概念
　　●微单元和无线漫游
　　无线电波在传播过程中会不断衰减，导致AP的通讯范围被限定在一定的范围之内，这个范围被称为微单元。当网络环境存在多TAP，且它们的微单元互相有一定范围的重合时，无线用户可以在整个无线局域网覆盖区内移动，无线网卡能够自动发现附近信号强度最大的AP，并通过这个AP收发数据，保持不间断的网络连接，这就称为无线漫游。
　　●扩频
　　大多数的无线局域网产品都使用了扩频技术。扩频技术原先是军事通讯领域中使用的宽带无线通信技术。使用扩频技术，能够使数据在无线传输中完整可靠，并且确保同时在不同频段传输的数据不会互相干扰。
　　●直序扩频
　　所谓直接序列扩频，就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。
　　●跳频扩频
　　跳频技术与直序扩频技术完全不同，是另外一种扩频技术。跳频的载频受一个伪随机码的控制，在其工作带宽范围内，其频率按随机规律不断改变频率。接收端的频率也按随机规律变化，并保持与发射端的变化规律一致。
　　跳频的高低直接反映跳频系统的性能，跳频越高，抗干扰的性能越好，军用的跳频系统可以达到每秒上万跳。实际上移动通信GSM系统也是跳频系统。出于成本的考虑，商用跳频系统跳速都较慢，一般在50跳/秒以下。由于慢跳频系统实现简单，因此低速无线局域网常常采用这种技术。
　　四、非法接入无线局域网的预防
　　无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、墙等物体，因此在一个无线局域网接入点的服务区域中，任何一个无线客户端（包括未授权的客户端）都可以接收到此接入点的电磁波信号。也就是说，由于采用电磁波来传输信号，未授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，必须在无线局域网引入全面的安全措施。
　　1、非法用户的接入
　　(1)基于服务设置标识符(SSID)防止非法用户接入
　　服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windowsXP自带的扫描功能可以查看当前区域内#p#副标题#e#的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
　　(2)基于无线网卡物理地址过滤防止非法用户接入
　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。
　　(3)基于802.1x防止非法用户接入
　　802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。[如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。
　　2、非法AP的接入
　　无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP，不经过授权而连入网络，这就给无线局域网带来很大的安全隐患。
　　基于无线网络的入侵检测系统防止非法AP接入
　　使用入侵检测系统IDS防止非法AP的接入主要有两个步骤，即发现非法AP和清除非法AP。
　　发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。发现AP后，可以根据合法AP认证列表判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。
　　当发现非法AP之后，应该立即采取的措施，阻断该AP的连接，有以下三种方式可以阻断AP连接:
　　采用DoS（DenialofService拒绝服务）攻击的办法，迫使其拒绝对所有客户的无线服务;
　　网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开。
　　检测出非法AP连接在交换机的端口，并禁止该端口
　　基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入。在无线AP接入有线交换设备时，可能会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效地防止非法AP的接入。
　　基于检测设备防止非法AP的接入
　　在入侵者使用网络之前，通过接收天线找到未被授权的网络。对物理站点的监测，应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测，清除非法接入的AP。五、数据安全措施
　　在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译；使用数据访问控制能够减少数据的泄露。
　　1、数据加密
　　(1)IEEE802.11中的WEP
　　有线对等保密协议（WEP）是由IEEE802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据#p#副标题#e#。
　　WEP加密是存在固有的缺陷的。由于它的密钥固定，初始向量仅为24位，算法强度并不算高，于是有了安全漏洞。现在，已经出现了专门的破解WEP加密的程序，其代表是WEPCrack和AirSnort。[
　　(2)IEEE802.11i中的WPA
　　Wi-Fi网络安全存取(WPA)是由IEEE802.11i标准定义的，用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中的缺点得以解决。
　　2、数据的访问控制
　　访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。
　　访问控制也是一种安全机制，它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
　　3、其他安全性措施
　　许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以，首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如，将天线远离窗户附近，因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外，必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次，由于很多无线设备是放置在室外的，因此需要做好防盗、防风、防雨、防雷等措施，保障这些无线设备的物理安全。
　　综合使用无线和有线策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略，能够最大限度提高安全水平。为了保障无线局域网的安全，除了通过技术手段进行保障之外，制定完善的管理和使用制度也是很有必要的。
　　六、结束语
　　网络协议是数据传输安全的基础，加密技术是数据传输完全的核心技术，通讯传输机制是数据传输安全的实现方式，网络管理是数据传输安全的保障，网络数据的安全传输是在多方面机制的共同作用下实现的。因此，研究网络安全机制也应从网络协议、网络管理、网络传输、数据加密及安全认证机制等多方面进行探讨，网络的安全性应当在网络运行机制中的各个环节中得到保障。
　　
　　
　　参考文献
　　1、 计算机网络基础人民邮电出报社袁晖主编
　　2、 企业组网技术北京理工大学出版社谭武梁主编
　　3、 无线局域网安全——方法与技术机械工业出版社朱建明主编