無線局域網安全性分析畢業(yè)論文

1、<p>　　無線局域網安全性分析與探討</p><p><b>　　摘要</b></p><p>　　無線局域網WLAN本質上是一種網絡互連技術，它是計算機網絡與無線通信技術相結合的產物。隨著互聯(lián)網的高速發(fā)展，無限網絡將是未來發(fā)展的趨勢。本文簡要介紹了無限局域網的相關技術，分析了無限局域網面臨的若干安全威脅，并有針對性地提出了安全保障措施。 　　關鍵詞：無

2、線局域網；網絡安全；措施。 </p><p><b>　　目 錄</b></p><p>　　第1章　無線局域網安全發(fā)展</p><p>　　1.1無線局域網安全攻略</p><p>　　1.2無線網絡的安全進程</p><p>　　1.3多元化的無線安全策略</p><p

3、>　　1.4 Wi-Fi保護接入</p><p>　　第2章 無線局域網安全技術研究的必要性</p><p>　　2.1 無線局域網安全的重要性</p><p>　　第3章 無線局域網的安全現(xiàn)狀及安全性缺陷</p><p>　　3.1 IEEE 802.11標準本身的安全問題 </p><p>　　3.

4、2 靜態(tài)密鑰的缺陷</p><p>　　3.3訪問控制機制的安全缺陷</p><p>　　第4章 無線局域網安全保障措施</p><p>　　4.1 防止非法用戶接入的保障措施</p><p>　　4.2　防止非法AP接入的保障措施</p><p>　　4.3 數(shù)據(jù)傳輸?shù)陌踩员ＷC</p><

5、;p>　　4.4　數(shù)據(jù)訪問控制的安全策略 </p><p>　　4.5 VDN技術的運用</p><p>　　第一章　無線局域網安全發(fā)展</p><p>　　由于無線局域網采用公共的電磁波作為載體，因此對越權存取和竊聽的行為也不容易防備?，F(xiàn)在，大多數(shù)廠商生產的無線局域網產品都基于802.11b標準，802.11b標準在公布之后就成為事實標準，但其安全協(xié)議WE

6、P一直受到人們的質疑。如今，能夠截獲無線傳輸數(shù)據(jù)的硬件設備已經能夠在市場上買到，能夠對所截獲數(shù)據(jù)進行解密的黑客軟件也已經能夠在Internet上下載。無線局域網安全問題已越發(fā)引起人們的重視，新的增強的無線局域網安全標準正在不斷研發(fā)中。 </p><p>　　我國現(xiàn)已制定了無線認證和保密基礎設施WAPI，并成為國家標準，于2003年12月執(zhí)行。WAPI使用公鑰技術，在可信第三方存在的條件下，由其驗證移動終端和接入點

7、是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標，達到安全通信的目的。了解無線局域網安全技術的發(fā)展，使我們能夠更加清楚地認識到無線局域網安全標準的方方面面.有利于無線局域網安全技術的研究。</p><p>　　1.1 無線局域網安全攻略</p><p>　　安全問題始終是無線局域網的軟肋，一直制約著無線局域網技術的進一步推廣。從無線局域網技術的發(fā)展來看，人們一直都致力于解

8、決無線局域網的安全問題。了解無線網絡的安全進程，有助于用戶采取有效的安全措施。</p><p>　　1.2 無線網絡的安全進程</p><p>　　在無線局域網的早期發(fā)展階段，物理地址（MAC）過濾和服務區(qū)標識符(SSID)匹配是兩項主要的安全技術。物理地址過濾技術可以在無線訪問點AP中維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。服務區(qū)標識符匹配則要求無線工作站出示正確的SSID，

9、才能訪問AP，通過提供口令認證機制，實現(xiàn)一定的無線安全。</p><p>　　1.3 多元化的無線安全策略</p><p>　　面對形形色色的無線安全方案，用戶需要保持清醒：即使最新的802.11i也存在缺陷，沒有一種方案就能解決所有安全問題。例如，許多Wi-Fi解決方案當前所提供的128位加密技術，不可能阻止黑客蓄意發(fā)起的攻擊活動。許多用戶也常常會犯一些簡單錯誤，如忘記啟動WEP功能，從

10、而使無線連接成為不設防的連接，用戶沒有在企業(yè)防火墻的外部設置AP，結果使攻擊者利用無線連接避開防火墻，入侵局域網。對于用戶來說，與其依賴一種安全技術，不如選擇適合實際情況的無線安全方案，建立多層的安全保護機制，這樣才能有助于避免無線技術帶來的安全風險。</p><p>　　1.4 Wi-Fi保護接入</p><p>　　Wi-Fi保護接入（Wi-Fi Protected Access，WP

11、A）是作為通向802.11i道路的不可缺失的一環(huán)而出現(xiàn)，并成為在IEEE 802.11i 標準確定之前代替WEP的無線安全標準協(xié)議。 在Wi-Fi推出的初期，專家也建議用戶通過VPN進行無線連接。VPN采用DES、3DES等技術來保障數(shù)據(jù)傳輸?shù)陌踩?。IPSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術。IPSec VPN運行在網絡層，保護在站點之間的數(shù)據(jù)傳輸安全，要求遠程接入者必須正確地安裝和配置客戶端軟件或接入設備，將

12、訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上，提供了較高水平的安全性。SSL被預先安裝在主機的瀏覽器中，是一種無客戶機的解決方案，可以節(jié)省安裝和維護成本。</p><p>　　對于安全性要求高的用戶，將VPN安全技術與其他無線安全技術結合起來，是目前較為理想的無線局域網安全解決方案</p><p>　　第二章　無線局域網安全技術研究的必要性</p>

13、<p>　　2.1無線局域網安全的重要性</p><p>　　無線局域網在帶來巨大應用便利的同時，也存在許多安全上的問題。由于局域網通過開放性的無線傳輸線路傳輸高速數(shù)據(jù)，很多有線網絡中的安全策略在無線方式下不再適用，在無線發(fā)射裝置功率覆蓋的范圍內任何接入用戶均可接收到數(shù)據(jù)信息，而將發(fā)射功率對準某一特定用戶在實際中難以實現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰(zhàn)。　　IEE

14、E標準化組織在發(fā)布802.11標準之后，也已經意識到其固有的安全性缺陷，并針對性的提出了加密協(xié)議（如WEP）來實現(xiàn)對數(shù)據(jù)的加密和完整性保護。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對無線局域網的接入控制。但隨后的研究表明，WEP協(xié)議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷，IEEE802.11工作組提出了新的安全體系，并開發(fā)了新的安全標準IEEE802.11i，其針對WEP機密機制的各種缺陷作了多方面的改進，并

15、定義了RSN（Robust Security Network）的概念，增強了無線局域網的數(shù)據(jù)加密和認證性能。IEEE802.11i建立了新的認證機制，重新規(guī)定了基于802.1x的認證機制，主要包括TKIP（Tempo</p><p>　　由于WLAN通過無線電波在空中傳輸數(shù)據(jù)，不能采用類似有線網絡那樣通過保護通信線路的方式來保護通信安全，所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內的幾乎任何一個WLAN用戶都能

16、接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊無法起作用，任何人在視距范圍之內都可以截獲和插入數(shù)據(jù)。因此，無線網絡給網絡用戶帶來了自由，同時帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。 </p><p>　　無線局域網必須考慮的安全要素有3個：信息保密、身份驗證和訪問控制。如果這3個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網絡和移動

17、設備免受危害。難就難在如何使用一個簡單易用的解決方案，同時獲得這三個安全要素。 </p><p>　　第三章　無線局域網的安全現(xiàn)狀及安全性缺陷</p><p>　　3.1　IEEE 802.11標準本身的安全問題 </p><p>　　無線局域網具有接人速率高、傳輸移動數(shù)據(jù)方便、組網靈活等優(yōu)點，因此發(fā)展迅速。但由于無線局域網是基于空間進行傳播，因此傳播方式具有開放性

18、，這使無線局域網的安全設計方案與有線網絡相比有很大不同。無線網絡不但要受到基于傳統(tǒng)TCP/IP架構的有線網絡方式的攻擊，而且因為無線局域網的主流標準為IEEE 802.11，其本身設計方面也存在缺陷，安全漏洞很多，并且缺少密鑰管理的方案，所以通過IEEE 802.11標準本身的漏洞也能夠對無線局域網進行攻擊。 </p><p><b>　　靜態(tài)密鑰的缺陷</b></p><

19、;p>　　靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網絡。除非用戶及時告知管理員，否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題，但當用戶少時，管理員可以定期更新這個靜態(tài)配置的密鑰，而且工作量也不大。但是在用戶數(shù)量可觀時，即便可以通過某些方法對所有AP（接入點）上的密鑰一起更新以減輕管理員的配置任務，管理員及時更新這些密鑰

20、的工作量也是難以想像的　　 </p><p>　　3.3　訪問控制機制的安全缺陷</p><p>　　1．封閉網絡訪問控制機制：幾個管理消息中都包括網絡名稱或SSID，并且這些消息被接入點和用戶在網絡中廣播，并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網絡名稱，獲得共享密鑰，從而連接到“受保護”的網絡上。  　　2．以太網MAC地址訪問控制表：MAC地址很容易的就會被攻擊者

21、嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無線網卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網卡中，從而偽裝一個有效地址，越過訪問控制。</p><p>　　第四章　無線局域網安全保障措施</p><p>　　4.1　防止非法用戶接入的保障措施 </p><p>　　對不同的AP設置不同的S

22、SID，只有無線工作站通過正確的SSID才能訪問對應的AP，這樣不同的用戶組可以設置不同的權限，并對用戶所訪問的資源也可以設置不同的權限加以限制。 </p><p>　　另外，每個無線客戶端的網卡都有唯一的MAC地址，可以在AP中設置一組允許訪問的MAC地址列表，這個過程可以通過手工的方式來實現(xiàn)物理地址過濾。加入RADIUS認證服務器可以解決網絡中AP數(shù)量太多的問題，通過使用802.1x端口認證技術對所有接入無線

23、網絡的用戶進行嚴格的身份認證，防止未經授權用戶接入網絡，非法使用或者破壞數(shù)據(jù)。 </p><p>　　4.2　防止非法AP接入的保障措施 </p><p>　　上面的討論只能防止非法用戶接人無線局域網，但如果不限制非法AP，任何人都可以通過非法AP不經過授權而連人無線網絡。防止非法AP的接入有以下一些措施： </p><p>　　一是通過入侵檢測系統(tǒng)防止非法AP接入

24、?？梢苑忠韵聝刹剑翰檎曳欠ˋP和消除非法AP。查找非法AP的方法是完成數(shù)據(jù)包的捕獲和解析，它是通過分布于網絡各處的探測器來完成的。這些探測器能準確無誤地記錄所有無線設備的操作，并通知IDS系統(tǒng)或網絡管理員。找到AP后，如果AP合法，則該AP會出現(xiàn)在合法AP認證列表(ACL)中，如果新檢測到的AP的相關參數(shù)沒有出現(xiàn)在列表中，那么再去識別這個AP的SSID和MAC地址、無線媒介類型、提供商以及信道。如果新檢測到的AP的SSID和MAC地址、

25、無線媒介類型、提供商以及信道異常，就可以認為它是非法AP。 </p><p>　　二是通過檢測設備防止非法AP的接入。這種方法主要是在非法用戶使用無線網絡之前，就通過接收天線來查找非法AP的信號。對非法AP的監(jiān)測應當不間斷地反復進行，不間斷的、反復的監(jiān)測可增加發(fā)現(xiàn)非法AP站點的概率。管理員可以手持小型的檢測設備隨時到網絡的任何位置進行檢測，如果發(fā)現(xiàn)非法接入的AP應及時清除。 </p><p&g

26、t;　　4.3　數(shù)據(jù)傳輸?shù)陌踩员ＷC </p><p>　　為了保障無線局域網絡數(shù)據(jù)的安全傳輸，我們在無線局域網中使用了數(shù)據(jù)訪問控制技術和數(shù)據(jù)加密技術。數(shù)據(jù)訪問控制技術的使用能夠對數(shù)據(jù)權限進行控制，而數(shù)據(jù)加密技術的應用使非法用戶即使竊取了無線網絡中的數(shù)據(jù)也無法使用。 </p><p>　　IEEE 802.11標準定義了有線對等保密協(xié)議(WEP)。該協(xié)議在鏈路層加密數(shù)據(jù)，其目的是保護無線局

27、域網中的鏈路層數(shù)據(jù)，WEP采用了RC4對稱加密算法，此算法由RSA開發(fā)，密鑰長度為40位。 </p><p>　　4.4　數(shù)據(jù)訪問控制的安全策略 </p><p>　　訪問控制的目的是防止合法資源在沒有授權的情況下進行訪問，即所謂非授權訪問，包括未經授權而泄露、使用、破壞、改動和發(fā)布指令等。訪問者需要通過認證，但這并不能完全接入無線局域網，訪問者還需要獲得訪問控制權限，才能在獲得的權限范圍

28、內訪問網絡資源，而獲得權限的過程就是由訪問控制機制來實現(xiàn)的。 </p><p>　　4.5　VDN技術的運用 </p><p>　　無線網絡安全性能保障的另一重要技術就是VPN技術。 </p><p>　　VPN技術可以實現(xiàn)3個方面安全保障：用戶認證、數(shù)據(jù)加密和數(shù)據(jù)認證。用戶認證是保障只有授權的合法用戶才能夠訪問無線網絡。數(shù)據(jù)加密是非法用戶即使截獲了傳輸信號，沒有足

29、夠的手段和技術也無法知道傳輸?shù)膬热?。?shù)據(jù)認證保證數(shù)據(jù)的權限，只有獲得權限的用戶才能夠訪問相應的資源。 </p><p><b>　　第五章　結束語</b></p><p>　　雖然無線局域網存在比有線網絡更多的安全問題，但這并不能限制無線局域網的迅猛發(fā)展。本文分析了無線局域網存在的安全問題，并給出了相應的解決措施，我們的最終目的是加強無線網絡的安全防范，不斷更新安全解