畢業(yè)論文-淺析wlan及其安全性

1、<p><b>　　畢 業(yè) 論 文</b></p><p><b>　　內(nèi) 容 摘 要</b></p><p>　　無(wú)限局域網(wǎng)（Wireless Local Area Networks; WLAN）是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，用射頻（Radio Frequency；RF）的技術(shù)，取代舊式礙手礙腳的雙絞銅線（Coaxial）所構(gòu)成的局域網(wǎng)絡(luò)

2、，使得無(wú)限局域網(wǎng)絡(luò)能夠利用簡(jiǎn)單的存取架構(gòu)讓用戶透過它，達(dá)到“信息隨身化，便利走天下”的理想境界。它以方便、快捷、廉價(jià)等優(yōu)勢(shì)漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分。在許多特殊領(lǐng)域得到了廣泛應(yīng)用。伴隨著WLAN的應(yīng)用越來越廣泛，無(wú)限局域網(wǎng)收到越來越多的威脅。伴之而來的安全性問題也隨之不斷增加，在使用中的安全性也越來越收到人們的關(guān)注。</p><p>　　[關(guān)鍵詞] 無(wú)限局域網(wǎng) 標(biāo)準(zhǔn) 安全性 發(fā)展趨勢(shì)<

3、/p><p><b>　　Abstract </b></p><p>　　Wireless Local Area network (Wireless Local Area network WLAN) is quite grow independently; the data transmission system is convenient, have been usin

4、g RF ; the technology, replace old-fashioned double ground wire (getting Coaxial) that form the Local Area network, making Wireless Local Area network can use simple access architecture allows users to "information

5、through it, convenient walk with the ideal state of the world". As well as a convenient, fast, cheap gradually became an important part</p><p>　　Key words： WLAN，Standard，Security，Development trend</p

6、><p><b>　　目 錄</b></p><p>　　1.WLAN的基本知識(shí)1</p><p>　　1.1WLAN基本原理1</p><p>　　1.2WLAN應(yīng)用領(lǐng)域1</p><p>　　1.3WLAN 協(xié)議標(biāo)準(zhǔn)1</p><p>　　1.3.1 802.

7、11協(xié)議1</p><p>　　1.3.2藍(lán)牙標(biāo)準(zhǔn)2</p><p>　　1.3.3 HomeRF工業(yè)標(biāo)準(zhǔn)2</p><p>　　1.4WLAN 硬件設(shè)備2</p><p>　　1.4.1無(wú)線網(wǎng)卡2</p><p>　　1.4.2無(wú)線AP2</p><p>　　1.4.3無(wú)線天線2

8、</p><p>　　1.5 WLAN 技術(shù)要求2</p><p>　　2.WLAN 安全性3</p><p>　　2.1無(wú)線局域網(wǎng)安全的發(fā)展概況3</p><p>　　2.2無(wú)線局域網(wǎng)的安全必要性3</p><p>　　2.3無(wú)線局域網(wǎng)面臨的安全問題3</p><p>　　2.3.1

9、網(wǎng)絡(luò)被偵測(cè)3</p><p>　　2.3.2 網(wǎng)絡(luò)被竊聽4</p><p>　　2.3.3信息被竊取或篡改4</p><p>　　2.3.4網(wǎng)絡(luò)拒絕服務(wù)4</p><p>　　2.4無(wú)線局域網(wǎng)的安全措施4</p><p>　　2.4.1合理規(guī)劃天線的放置,掌控信號(hào)覆蓋范圍4</p><p

10、>　　2.4.2通過使用WEP,來提高無(wú)線設(shè)備的安全性能4</p><p>　　2.4.3加密就是保護(hù)信息不泄露給那些未授權(quán)掌握的實(shí)體4</p><p>　　2.4.4入侵檢測(cè)系統(tǒng)安裝4</p><p>　　2.5 無(wú)線局域網(wǎng)的安全性5</p><p>　　2.6 無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì)5</p><

11、p>　　2.6.1安全性問題5</p><p>　　2.6.2漫游切換問題5</p><p>　　2.6.3無(wú)線網(wǎng)絡(luò)管理問題6</p><p>　　2.6.4無(wú)線局域網(wǎng)與3G6</p><p><b>　　注釋8</b></p><p><b>　　參考文獻(xiàn)9</

12、b></p><p><b>　　致 謝10</b></p><p>　　1.WLAN基本知識(shí)</p><p>　　1.1 WLAN基本原理</p><p>　　WLAN是Wireless Local Area Network的縮寫，指應(yīng)用無(wú)線通信技術(shù)將計(jì)算機(jī)設(shè)備互聯(lián)起來，構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的網(wǎng)絡(luò)體系

13、。無(wú)線局域網(wǎng)本質(zhì)的特點(diǎn)是不再使用通信電纜將計(jì)算機(jī)與網(wǎng)絡(luò)連接起來而是通過無(wú)線的方式連接，從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。無(wú)線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE（Institute of Electrical and Electronics Engineers）定義的802.11系列標(biāo)準(zhǔn)[1]。 </p><p>　　1.2 WLAN應(yīng)用領(lǐng)域</p><p>　?。?）接入網(wǎng)絡(luò)信息系統(tǒng)電子

14、郵件、文件傳輸和終端仿真。 </p><p>　?。?）難以布線的環(huán)境老建筑、布線困難或昂貴的露天區(qū)域、城市建筑群、校園和工廠。</p><p>　?。?）頻繁變化的環(huán)境頻繁更換工作地點(diǎn)和改變位置的零售商、生產(chǎn)商以及野外勘測(cè)、試驗(yàn)、軍事、公安和銀行等。 </p><p>　　（4）使用便攜式計(jì)算機(jī)等可移動(dòng)設(shè)備進(jìn)行快速網(wǎng)絡(luò)連接。</p><p

15、>　?。?）用于遠(yuǎn)距離信息的傳輸如在林區(qū)進(jìn)行火災(zāi)、病蟲害等信息的傳輸公安交通管理部門進(jìn)行交通管理等。</p><p>　?。?）專門工程或高峰時(shí)間所需的暫時(shí)局域網(wǎng)學(xué)校、商業(yè)展覽、建設(shè)地點(diǎn)等人員流動(dòng)較強(qiáng)的地方利用無(wú)線局域網(wǎng)進(jìn)行信息的交流零售商、空運(yùn)和航運(yùn)公司高峰時(shí)間所需的額外工作站等。</p><p>　　（7）流動(dòng)工作者可得到信息的區(qū)域需要在醫(yī)院、零售商店或辦公室區(qū)域流動(dòng)時(shí)

16、得到信息的醫(yī)生、護(hù)士、零售商、白領(lǐng)工作者。</p><p>　　（8）辦公室和家庭用戶以及需要方便快捷地安裝小型網(wǎng)絡(luò)的用戶。</p><p>　　1.3 WLAN 協(xié)議標(biāo)準(zhǔn)</p><p>　　1.3.1 802.11協(xié)議</p><p>　　802.11是IEEE最初制定的一個(gè)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端

17、的無(wú)線接入，主要限于數(shù)據(jù)存取，速率最高只能達(dá)到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE（電氣和電子工程師協(xié)會(huì)）隨后又相繼推出了802.11b和802.11a兩個(gè)新標(biāo)準(zhǔn)。</p><p>　　802.11b物理層支持5.5Mbps和11Mbps兩個(gè)新速率。802.11標(biāo)準(zhǔn)在擴(kuò)頻時(shí)是一個(gè)11位調(diào)制芯片而802.11b標(biāo)準(zhǔn)采用CCK調(diào)制完成。802.11b使用動(dòng)態(tài)速率漂移可因環(huán)境變化

18、在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換,且在2Mbps、1Mbps速率時(shí)與802.11兼容。</p><p>　　802.11a工作在5GHzU-NII頻帶物理層速率可達(dá)54Mb/s傳輸層可達(dá)25Mbps。采用正交頻分復(fù)用Orthogonal Frequency Division MultiplexingOFDM的獨(dú)特?cái)U(kuò)頻技術(shù)可提供25Mbps的無(wú)線ATM接口和10Mbps的以太網(wǎng)無(wú)線幀

19、結(jié)構(gòu)接口以及TDD/TDMA的空中接口。</p><p><b>　　1.3.2藍(lán)牙標(biāo)準(zhǔn)</b></p><p>　　藍(lán)牙（IEEE802.15）是一項(xiàng)最新標(biāo)準(zhǔn)對(duì)于802.11來說它的出現(xiàn)不是為了競(jìng)爭(zhēng)而是相互補(bǔ)充。其設(shè)備使用全球通行的、無(wú)需申請(qǐng)?jiān)S可的2.45GHz頻段，可實(shí)時(shí)進(jìn)行數(shù)據(jù)和語(yǔ)音傳輸，其傳輸速率可達(dá)到10Mbps，在支持3個(gè)話音頻道的同時(shí)還支持高達(dá)723.

20、2Kbps的數(shù)據(jù)傳輸速率[2]。也就是說，在辦公室、家庭和旅途中，無(wú)需在任何電子設(shè)備間布設(shè)專用線纜和連接器，通過藍(lán)牙遙控裝置可以形成一點(diǎn)到多點(diǎn)的連接，即在該裝置四周組成一個(gè)“微網(wǎng)”，網(wǎng)內(nèi)任何藍(lán)牙收發(fā)器都可與該裝置互通信號(hào)。而且，這種連接無(wú)需復(fù)雜的軟件支持。藍(lán)牙收發(fā)器的一般有效通信范圍為10米，強(qiáng)的可以達(dá)到100米左右。嚴(yán)格來講，它不算是真正的局域網(wǎng)技術(shù)。</p><p>　　1.3.3 HomeRF工業(yè)標(biāo)準(zhǔn)<

21、;/p><p>　　HomeRF是由HomeRF工作組開發(fā)的，適合家庭區(qū)域范圍內(nèi)，在PC和用戶電子設(shè)備之間實(shí)現(xiàn)無(wú)線數(shù)字通信的開放性工業(yè)標(biāo)準(zhǔn)。它是IEEE802.11與DECT（Digital Enhanced Cordless Telecommunications ）數(shù)字增強(qiáng)無(wú)繩通信的結(jié)合，旨在降低語(yǔ)音數(shù)據(jù)成本。HomeRF也采用了擴(kuò)頻技術(shù)工作在2.4GHz頻帶，能同步支持4條高質(zhì)量語(yǔ)音信道。但目前HomeRF的傳輸

22、速率只有1~2Mbps，F(xiàn)CC（Federal Communications Commission ）美國(guó)聯(lián)邦通訊委員會(huì)建議增加到10Mbps[3]。</p><p>　　1.4 WLAN 硬件設(shè)備</p><p><b>　　1.4.1無(wú)線網(wǎng)卡</b></p><p>　　無(wú)線網(wǎng)卡的作用和以太網(wǎng)中的網(wǎng)卡的作用基本相同它作為無(wú)線局域網(wǎng)的接口

23、能夠?qū)崿F(xiàn)無(wú)線局域網(wǎng)各客戶機(jī)間的連接與通信。</p><p><b>　　1.4.2無(wú)線AP</b></p><p>　　AP是Access Point的簡(jiǎn)稱無(wú)線AP就是無(wú)線局域網(wǎng)的接入點(diǎn)、無(wú)線網(wǎng)關(guān)它的作用類似于有線網(wǎng)絡(luò)中的集線器。</p><p><b>　　1.4.3無(wú)線天線</b></p><p

24、>　　當(dāng)無(wú)線網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備相距較遠(yuǎn)時(shí)隨著信號(hào)的減弱傳輸速率會(huì)明顯下降以致無(wú)法實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的正常通信此時(shí)就要借助于無(wú)線天線對(duì)所接收或發(fā)送的信號(hào)進(jìn)行增強(qiáng)。</p><p>　　1.5 WLAN 技術(shù)要求</p><p>　　由于無(wú)線局域網(wǎng)需要支持高速、突發(fā)的數(shù)據(jù)業(yè)務(wù)，在室內(nèi)使用還需要解決多徑衰落以及各子網(wǎng)間串?dāng)_等問題。具體來說，無(wú)線局域網(wǎng)必須實(shí)現(xiàn)以下技術(shù)要求：</p>

25、<p>　　（1）可靠性：無(wú)線局域網(wǎng)的系統(tǒng)分組丟失率應(yīng)該低于10-5，誤碼率應(yīng)該低于10-8。</p><p>　?。?）兼容性：對(duì)于室內(nèi)使用的無(wú)線局域網(wǎng)，應(yīng)盡可能使其跟現(xiàn)有的有線局域網(wǎng)在網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)軟件上相互兼容。</p><p>　?。?）數(shù)據(jù)速率：為了滿足局域網(wǎng)業(yè)務(wù)量的需要，無(wú)線局域網(wǎng)的數(shù)據(jù)傳輸速率應(yīng)該在1Mbps以上。</p><p>　

26、?。?）通信保密：由于數(shù)據(jù)通過無(wú)線介質(zhì)在空中傳播，無(wú)線局域網(wǎng)必須在不同層次采取有效的措施以提高通信保密和數(shù)據(jù)安全性能[4]。</p><p>　?。?）移動(dòng)性：支持全移動(dòng)網(wǎng)絡(luò)或半移動(dòng)網(wǎng)絡(luò)。</p><p>　?。?）節(jié)能管理：當(dāng)無(wú)數(shù)據(jù)收發(fā)時(shí)使站點(diǎn)機(jī)處于休眠狀態(tài)，當(dāng)有數(shù)據(jù)收發(fā)時(shí)再激活，從而達(dá)到節(jié)省電力消耗的目的。</p><p>　　（7）小型化、低價(jià)格：這是無(wú)線局域

27、網(wǎng)得以普及的關(guān)鍵。</p><p>　?。?）電磁環(huán)境：無(wú)線局域網(wǎng)應(yīng)考慮電磁對(duì)人體和周邊環(huán)境的影響問題。</p><p>　　2.WLAN 安全性</p><p>　　2.1 無(wú)限局域網(wǎng)安全的發(fā)展概況</p><p>　　由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，因此對(duì)越權(quán)存取和竊聽的行為也不容易防備。我國(guó)從2001年開始著手制定無(wú)線局域網(wǎng)安全

28、標(biāo)準(zhǔn)，經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時(shí)兩年多制定了無(wú)線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI（Wireless LAN Authentication and Privacy Infrastructure）并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行[5]。</p><p>　　WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書，以期

29、完成雙向認(rèn)證、接入控制、會(huì)話密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元3部分組成，類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。了解無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展，使我們能夠更加清楚地認(rèn)識(shí)到無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面.有利于無(wú)線局域網(wǎng)安全技術(shù)的研究[6]。</p><p>　　2.2 無(wú)限局域網(wǎng)的安全必要性</p><p>　　由于WLA

30、N通過無(wú)線電波在空中傳輸數(shù)據(jù)，不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過無(wú)線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，無(wú)線網(wǎng)絡(luò)給網(wǎng)絡(luò)用戶帶來了自由，同時(shí)帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。無(wú)線局域網(wǎng)必須考慮的安全要素有三個(gè)：信息保密

31、、身份驗(yàn)證和訪問控制。如果這三個(gè)要素都沒有問題了，就不僅能保護(hù)傳輸中的信息</p><p>　　免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。</p><p>　　影響無(wú)線局域網(wǎng)安全的問題主要在以下方面：一是傳輸中數(shù)據(jù)被人查看或捕獲，傳輸中數(shù)據(jù)被人改動(dòng)、重新發(fā)送。二是未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息，或者是讓網(wǎng)絡(luò)感染上病

32、毒。另外未授權(quán)實(shí)體進(jìn)入網(wǎng)絡(luò)，還可利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的出發(fā)點(diǎn)(致使受危害的網(wǎng)絡(luò)卻被誤認(rèn)為攻擊始發(fā)者)。第三，入侵者對(duì)移動(dòng)終端發(fā)動(dòng)攻擊，或?yàn)榱藶g覽移動(dòng)終端上的信息，或?yàn)榱送ㄟ^受危害的移動(dòng)設(shè)備訪問網(wǎng)絡(luò)。因此，我們必須采取一些無(wú)線網(wǎng)絡(luò)安全技術(shù)來保障自身的無(wú)線局域網(wǎng)絡(luò)的正常運(yùn)行[7]。</p><p>　　2.3 無(wú)限局域網(wǎng)面臨的安全問題</p><p>　　無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)，網(wǎng)絡(luò)

33、必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。在目前的實(shí)際應(yīng)用中，無(wú)線局域網(wǎng)的安全問題主要表現(xiàn)在以下四個(gè)方面：</p><p>　　2.3.1網(wǎng)絡(luò)被偵測(cè)</p><p>　　入侵者通過利用互聯(lián)網(wǎng)上的應(yīng)用程序，能捕捉位于AP（接入點(diǎn)）信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集足夠的WEP（

34、有線等效保密）弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，可以在較短時(shí)間內(nèi)攻破WEP密鑰。</p><p>　　2.3.2網(wǎng)絡(luò)被竊聽</p><p>　　通常網(wǎng)絡(luò)通信是以明文形式進(jìn)行的，這會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的入侵者能監(jiān)聽并破解通信內(nèi)容。目前，這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問題之一。</p><

35、p>　　2.3.3信息被竊取或篡改</p><p>　　無(wú)線局域網(wǎng)在沒有足夠的安全防范技術(shù)的情況下，是很輕易受到利用非法AP進(jìn)行的中間人欺騙攻擊。中間人攻擊會(huì)對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。</p><p>　　2.3.4網(wǎng)絡(luò)拒絕服務(wù)</p><p>　　攻擊者能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。也能

36、對(duì)移動(dòng)網(wǎng)絡(luò)內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能正常工作，通常這也稱為能源消耗攻擊。</p><p>　　2.4 無(wú)限局域網(wǎng)的安全措施</p><p>　　要實(shí)現(xiàn)無(wú)線局域網(wǎng)的安全，保證其能有效應(yīng)用，可以從以下幾方面入手：</p><p>　　2.4.1合理規(guī)劃天線的放置,掌控信號(hào)覆蓋范圍</p><p>

37、　　第一步就是合理放置訪問點(diǎn)的天線,以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號(hào)泄露到區(qū)域外[8]。</p><p>　　2.4.2通過使用WEP,來提高無(wú)線設(shè)備的安全性能</p><p>　　建議常對(duì)WEP密鑰進(jìn)行更換,在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP 自動(dòng)分配密鑰。另外，在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID 更換為自定義

38、的SSID?，F(xiàn)在的A P 大部分都支持屏蔽SSID 廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣能減少無(wú)線網(wǎng)絡(luò)被偵測(cè)的可能[8]。</p><p>　　2.4.3加密就是保護(hù)信息不泄露給那些未授權(quán)掌握的實(shí)體</p><p>　　加密又可細(xì)分為兩種類型:數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。數(shù)據(jù)保密業(yè)務(wù)使得攻擊者想要從某個(gè)數(shù)據(jù)項(xiàng)中推出敏感信息是困難的, 而業(yè)務(wù)量保密業(yè)務(wù)使得攻擊者想要通過觀察

39、網(wǎng)絡(luò)的業(yè)務(wù)流來獲得敏感信息也是十分困難的。 根據(jù)密碼算法所使用的加密密鑰和解密是否相同, 由加密過程能否推導(dǎo)出解密過程(或是由解密過程推導(dǎo)出加密過程), 可將密碼體制分為單鑰密碼體制(也叫做對(duì)稱密碼體制、秘密密鑰密碼體制)和雙鑰密碼體制(也叫做非對(duì)稱密碼體制、公開密鑰密碼體制)。 </p><p>　　IEEE 802.11i 規(guī)范了802.1x 認(rèn)證和密鑰管理方式, 在數(shù)據(jù)加密方面, 定義了TKIP (Temp

40、oral Key Integrity Protocol)、CCMP(Counter CBC- MAC Protocol) 和WRAP (Wireless Robust Authenticated Protocol)三種加密機(jī)制。其中TKIP 可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法實(shí)現(xiàn), 達(dá)到提高WLAN安全的目的。CCMP 機(jī)制基于AES(Advanced Encryption Standard)加密算法CCM(Counter

41、 CBC-MAC)認(rèn)證方式, 使得WLAN的安全程度大大提高, 是實(shí)現(xiàn)RSN 的強(qiáng)制性要求。AES 是一種對(duì)稱的塊加密技術(shù), 有128/192/256 位不同加密位數(shù), 提供比WEP/TKIP 中RC4 算法更高的加密性能, 但由于AES對(duì)硬件要求比較高, 因此CCMP 無(wú)法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)[9]。</p><p>　　2.4.4入侵檢測(cè)系統(tǒng)安裝</p><p>　　無(wú)線

42、局域網(wǎng)的通信內(nèi)容通過無(wú)線信道開放傳送, 容易被監(jiān)聽和攻擊。IEEE802.11 為無(wú)線局域網(wǎng)和有線網(wǎng)等效加密等安全措施, 制定了兩種認(rèn)證服務(wù)來增強(qiáng)無(wú)線局域網(wǎng)的安全性能; 開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。然而認(rèn)證和加密的缺陷是容易破譯,入侵 者可以通過非法接入的AP, AP偽裝, MAC地址欺騙等方法對(duì)無(wú)線局域網(wǎng)進(jìn)行入侵。防火墻無(wú)法動(dòng)態(tài)識(shí)別或自適應(yīng)的調(diào)整規(guī)則或阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作。</p><p>　　入侵檢測(cè)技

43、術(shù)可以把無(wú)線局域網(wǎng)的安全管理能力擴(kuò)展到安全審計(jì)、安全檢測(cè)、攻擊識(shí)別和響應(yīng)等范疇[10]。這樣不僅提高了網(wǎng)絡(luò)的信息安全基礎(chǔ)結(jié)構(gòu)的完整性, 而且?guī)椭鷮?duì)付惡意用戶對(duì)局域網(wǎng)內(nèi)其他用戶的攻擊。</p><p>　　2.5 無(wú)限局域網(wǎng)的安全性</p><p>　　無(wú)線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起并且己經(jīng)成為市場(chǎng)的主流產(chǎn)品[11]。在無(wú)線局域網(wǎng)上，數(shù)據(jù)傳輸是通過無(wú)線電波在空中廣播的。因此在發(fā)射機(jī)

44、覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無(wú)線局域網(wǎng)終端接收。安裝一套無(wú)線局域網(wǎng)就好像在任何地方都放置了以太網(wǎng)接口。因此，無(wú)線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性，主要包括接入控制和加密兩個(gè)方面。除非無(wú)線局域網(wǎng)能夠提供等同于有線局域網(wǎng)安全性和管理能力，否則人們還是對(duì)使用無(wú)線局域網(wǎng)存在顧慮。</p><p>　　2.6無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì)</p><p>　　無(wú)線局域網(wǎng)技術(shù)的研究和應(yīng)用方興未艾，是目前

45、無(wú)線通信領(lǐng)域乃至整個(gè)通信行業(yè)的研究熱點(diǎn)。從無(wú)線局域網(wǎng)的進(jìn)一步推廣應(yīng)用來看，未來的研究方向主要集中在安全性、移動(dòng)漫游、網(wǎng)絡(luò)管理以及與3G等其他移動(dòng)通信系統(tǒng)之間的關(guān)系上[12]。</p><p>　　2.6.1安全性問題</p><p>　　IEEE802.11協(xié)議標(biāo)準(zhǔn)建議使用兩種安全解決方案。</p><p>　　一種是IEEE 802.11安全任務(wù)組（TGi）構(gòu)建的

46、安全框架--魯棒型安全網(wǎng)絡(luò)（RSN）[13]。這種網(wǎng)絡(luò)用IEEE 802.1x提供基于端口的接入控制、鑒權(quán)和密鑰管理。該標(biāo)準(zhǔn)用可擴(kuò)展鑒權(quán)協(xié)議（EAP）實(shí)現(xiàn)對(duì)用戶的鑒權(quán)。鑒權(quán)服務(wù)器和用戶之間使用遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)協(xié)議（RADIUS）進(jìn)行通信，RADIUS協(xié)議在網(wǎng)絡(luò)接入的鑒權(quán)、授權(quán)和計(jì)費(fèi)（AAA）中得到廣泛采用。由于IEE802.1x主要是針對(duì)有線局域網(wǎng)設(shè)計(jì)的，在無(wú)線局域網(wǎng)中使用IEE802.1x不可避免地存在漏洞。所以，盡管它對(duì)無(wú)線局域

47、網(wǎng)的安全性能有很大改善，802.1x和802.11的結(jié)合仍然不能提供足夠的安全。 </p><p>　　另一種方式則是目前廣泛應(yīng)用于局域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的虛擬專用網(wǎng)（VPN）安全技術(shù)[14]。與802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同，在IP網(wǎng)絡(luò)中，VPN主要采用IPSec技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?。?duì)于安全性要求更高的用戶，將現(xiàn)有的VPN安全技術(shù)與802.11b安全技術(shù)結(jié)合起來，是目前較為理想的無(wú)線局域網(wǎng)絡(luò)的安

48、全解決方案。 </p><p>　　2.6.2漫游切換問題</p><p>　　無(wú)線局域網(wǎng)的漫游問題是繼安全問題之后的一個(gè)至關(guān)重要的問題[15]。在無(wú)線網(wǎng)絡(luò)中，如果一邊使用無(wú)線局域網(wǎng)接入服務(wù)，一邊移動(dòng)接入位置，那么一旦移動(dòng)終端超越子網(wǎng)覆蓋范圍，IP數(shù)據(jù)包就無(wú)法到達(dá)移動(dòng)終端，正在進(jìn)行的通信將被中斷。為此，IETF制定了擴(kuò)展IP網(wǎng)絡(luò)移動(dòng)性的系列標(biāo)準(zhǔn)。</p><p>　

49、　所謂移動(dòng)IP，就是指在IP網(wǎng)絡(luò)上的多個(gè)子網(wǎng)內(nèi)均可使用同一IP地址的技術(shù)。這種技術(shù)是通過使用被稱為本地代理（Home Agent）和外地代理（Foreign Agent）的特殊路由器對(duì)網(wǎng)絡(luò)終端所處位置的網(wǎng)絡(luò)進(jìn)行管理來實(shí)現(xiàn)的。在移動(dòng)IP系統(tǒng)中，可保證用戶的移動(dòng)終端始終使用固定的IP地址進(jìn)行網(wǎng)絡(luò)通信，不管在怎樣的移動(dòng)過程中皆可建立TCP連接并不會(huì)發(fā)生中斷。</p><p>　　在無(wú)線局域網(wǎng)系統(tǒng)中，廣泛的應(yīng)用移動(dòng)IP技

50、術(shù)可以突破網(wǎng)絡(luò)的地域范圍限制，并可克服在跨網(wǎng)段時(shí)使用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）方式所造成的通信中斷、權(quán)限變化等問題。</p><p>　　2.6.3無(wú)線網(wǎng)絡(luò)管理問題 </p><p>　　相對(duì)于有線網(wǎng)絡(luò)，無(wú)線局域網(wǎng)具有非常獨(dú)特的特性，因此必須建立相應(yīng)的無(wú)線網(wǎng)絡(luò)管理系統(tǒng)。除了系統(tǒng)結(jié)構(gòu)、用戶需求和典型應(yīng)用等模塊之外，一個(gè)好的無(wú)線網(wǎng)絡(luò)管理系統(tǒng)還必須考慮以下因素： </p><

51、;p>　　（1）標(biāo)準(zhǔn)的網(wǎng)管通信方式</p><p>　　網(wǎng)管子系統(tǒng)通常與中央主機(jī)相連。網(wǎng)管子系統(tǒng)必須基于工業(yè)標(biāo)準(zhǔn)的管理協(xié)議(比如SNMP)，這樣才能監(jiān)視主機(jī)和子系統(tǒng)之間每條鏈路上的狀態(tài)信息，并可根據(jù)狀態(tài)信息快速分析和解決出現(xiàn)的問題。</p><p>　?。?） 網(wǎng)絡(luò)監(jiān)視和報(bào)告</p><p>　　主機(jī)必須能夠監(jiān)視無(wú)線網(wǎng)絡(luò)系統(tǒng)中所有單元?？紤]到無(wú)線網(wǎng)絡(luò)的連接性不

52、如有線網(wǎng)絡(luò)那樣穩(wěn)定，無(wú)線網(wǎng)絡(luò)管理系統(tǒng)必須監(jiān)視和報(bào)告無(wú)線信號(hào)的變化以及接入點(diǎn)的業(yè)務(wù)類型和負(fù)載情況，還須能自動(dòng)發(fā)現(xiàn)進(jìn)入無(wú)線網(wǎng)絡(luò)體系結(jié)構(gòu)的新設(shè)備。 </p><p>　　（3）有效地利用帶寬</p><p>　　盡管隨著新技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)的可用帶寬逐步增大，但還是遠(yuǎn)遠(yuǎn)小于有線局域網(wǎng)的帶寬。因此，在實(shí)際應(yīng)用中必須考慮帶寬的合理使用。 </p><p>　　2.6.4無(wú)線

53、局域網(wǎng)與3G</p><p>　　無(wú)線局域網(wǎng)不否會(huì)對(duì)第三代移動(dòng)通信系統(tǒng)構(gòu)成威脅是近年來業(yè)界關(guān)心的一個(gè)問題。實(shí)際上，無(wú)線局域網(wǎng)與3G采用的是截然不同的兩種技術(shù)，用于滿足不同的需要。與3G不同的是，無(wú)線局域網(wǎng)并不是一個(gè)完備的全網(wǎng)解決方案，而只用于滿足小型用戶群的需求。無(wú)線局域網(wǎng)與3G可以互補(bǔ)，因此不會(huì)對(duì)3G運(yùn)營(yíng)商造成威脅，運(yùn)營(yíng)商還可以從無(wú)線局域網(wǎng)和3G的共存中獲得好處。</p><p>　　N

54、orthStream的研究表明，無(wú)線局域網(wǎng)與3G和GPRS的結(jié)合可增加用戶的滿意程度和業(yè)務(wù)量，從而增加移動(dòng)運(yùn)營(yíng)商的利潤(rùn)。作為3G的一個(gè)重要補(bǔ)充，無(wú)線局域網(wǎng)可用于在諸如機(jī)場(chǎng)候機(jī)廳、賓館休息室和咖啡廳等地方建立無(wú)線Internet連接。</p><p>　　經(jīng)過10多年的發(fā)展，無(wú)線局域網(wǎng)在技術(shù)上已經(jīng)日漸成熟，應(yīng)用日趨廣泛，無(wú)線局域網(wǎng)將從小范圍應(yīng)用進(jìn)入主流應(yīng)用。WLAN產(chǎn)品不需要鋪設(shè)通信電纜，可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)

55、環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性，在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。</p><p>　　本文第一部分對(duì)WLAN基礎(chǔ)知識(shí)進(jìn)行了介紹包括WLAN的基本原理、應(yīng)用領(lǐng)域、協(xié)議標(biāo)準(zhǔn)、硬件設(shè)備技術(shù)要求五項(xiàng)內(nèi)容。第二部分是講述了現(xiàn)在WLAN技術(shù)的核心層次即安全相關(guān)內(nèi)容包括無(wú)線局域網(wǎng)安全發(fā)展概況、安全必要性、面臨的安全問題、安

56、全措施、安全性、安全技術(shù)的發(fā)展趨勢(shì)。在論文最后對(duì)本文所做的研究進(jìn)行了綜述。</p><p>　　今后幾年，無(wú)線局域網(wǎng)技術(shù)將更加成熟，產(chǎn)品性能將更加穩(wěn)定，市場(chǎng)將持續(xù)不斷地增長(zhǎng)，價(jià)錢將持續(xù)降低，大型設(shè)備提供商將進(jìn)入這個(gè)市場(chǎng)，大多數(shù)企業(yè)和公司將采用無(wú)線局域網(wǎng)進(jìn)行內(nèi)部網(wǎng)絡(luò)建設(shè)。面對(duì)如此良好的發(fā)展前景，我國(guó)應(yīng)大力推動(dòng)無(wú)線局域網(wǎng)技術(shù)的研究和實(shí)用化，抓住無(wú)線局域網(wǎng)發(fā)展的契機(jī)。這樣，不但可極大地推動(dòng)國(guó)家信息化的發(fā)展進(jìn)程，還將為我

57、國(guó)信息產(chǎn)業(yè)和通信市場(chǎng)步入國(guó)際市場(chǎng)提供大好機(jī)遇。</p><p><b>　　注釋</b></p><p>　　[1]郭峰、曾興雯、劉乃安:《無(wú)線局域網(wǎng)》，電子工業(yè)出版杜，1997第1版，第23頁(yè)。</p><p>　　[2]同上，第30頁(yè)。</p><p>　　[3]馮溪生、朱榮:《無(wú)線數(shù)據(jù)通信》，1997第1版，67頁(yè)

58、。</p><p>　　[4]斯進(jìn):無(wú)線局域網(wǎng)技術(shù)安全性現(xiàn)狀分析及探討[M].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006第1 版，第96頁(yè)。</p><p>　　[5][6][7]同上，第105至第127頁(yè)。</p><p>　　[8]吳偉陵:《移動(dòng)通信中的關(guān)鍵技術(shù)》，北京郵電大學(xué)出版社，2000版，第214頁(yè)。</p><p>　　[9]王開云、劉淵、范

59、曉嵐、姜建國(guó):無(wú)線局域網(wǎng)80211i 與IPSec的比較分析[M].計(jì)算機(jī)工程與設(shè)計(jì),2006年第3版，第153頁(yè)。</p><p>　　[10][11]同上，第188至192頁(yè)。</p><p>　　[12]蔣武、胡昌振:無(wú)線局域網(wǎng)環(huán)境中分布式入侵檢測(cè)系統(tǒng)研究.計(jì)算機(jī)安全[J],2006年第1版，第33頁(yè)。</p><p>　　[13]陳賽娉: 《WLAN網(wǎng)絡(luò)安全

60、性研究》，溫州大學(xué),2007年版，第67頁(yè)。</p><p>　　[14]斯桃枝:《局域網(wǎng)技術(shù)與局域網(wǎng)組建》，人民郵電大學(xué)出版社，2009版，第97頁(yè)。</p><p>　　[15]同上，第106頁(yè)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　?、俟?、曾興雯、劉乃安:《無(wú)線局域網(wǎng)》，電子工業(yè)出版杜

61、，1997。</p><p>　　②馮溪生、朱榮:《無(wú)線數(shù)據(jù)通信》，1997 。</p><p>　?、蹍莻チ?《移動(dòng)通信中的關(guān)鍵技術(shù)》，北京郵電大學(xué)出版社，2000。 </p><p>　　④斯進(jìn):無(wú)線局域網(wǎng)技術(shù)安全性現(xiàn)狀分析及探討[M].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,1。</p><p>　?、萃蹰_云、劉淵、范曉嵐、姜建國(guó):無(wú)線局域網(wǎng)80

62、211i 與IPSec的比較分析[M].計(jì)算機(jī)工程與設(shè)計(jì),2006,3。</p><p>　?、奘Y武、胡昌振:無(wú)線局域網(wǎng)環(huán)境中分布式入侵檢測(cè)系統(tǒng)研究.計(jì)算機(jī)安全[J],2006,1。</p><p>　　⑦陳賽娉: 《WLAN網(wǎng)絡(luò)安全性研究》，溫州大學(xué),2007。</p><p>　?、鄺钔?《局域網(wǎng)組建、管理與維護(hù)》，人民郵電大學(xué)出版社，2009，2。</p

63、><p>　?、崴固抑?《局域網(wǎng)技術(shù)與局域網(wǎng)組建》，人民郵電大學(xué)出版社，2009，4。</p><p>　　⑩張際平:《校園網(wǎng)絡(luò)技術(shù)與管理》，東南大學(xué)出版社，2001。</p><p><b>　　致 謝</b></p><p>　　行文至此，我的這篇論文已經(jīng)接近尾聲，在此論文撰寫的過程中，要特別感謝的指導(dǎo)老師龔彥兵。在整個(gè)