無線局域網安全策略

　　無線局域網安全策略【1】

　　[摘 要] 在分析WLAN通信協議的基礎上，針對無線局域網安全現狀，提出了基于OSI模型層次化的WLAN安全策略，采用該策略能夠最大限度地杜絕非法用戶接入WLAN，保證了數據在傳輸過程中安全保密。

　　[關鍵詞] WLAN IEEE802.11 網絡安全 WEP VPN

　　1.引言

　　無線通信技術的發展推動了無線網絡的快速發展，無線局域網在推出之后得到了快速普及。

　　無線局域網采用無線傳輸媒介進行通信，擺脫了線纜的束縛，打破了地域和客觀條件的制約，具有靈活性、移動性強，成本低，吞吐量高的特點。

　　隨著個人通信的發展，無線局域網已經掀起了移動計算的新浪潮并在社會生活的方方面面得到了廣泛的應用。

　　然而，無線局域網在帶來便利的同時卻給整個網絡帶來了巨大的安全威脅。

　　無線局域網信號在自由空間中進行傳輸，無法像有線網絡一樣通過對傳輸媒介的接入控制來保證數據不會被惡意x聽并獲取。

　　所以無線局域網面臨一系列的安全問題。

　　首先，由于移動終端與網絡之間的無線接口是開放性的，使得在無線信道上傳送的信令和業務消息很容易被他人x聽，且很難被發現。

　　其次，移動終端與網絡之間缺乏固定的物理連接，用戶必須通過無線信道來傳送其身份信息，身份認證機制不完善。

　　因此，無線局域網必須采取更嚴密的安全措施以確保通信安全。

　　無線局域網安全分為身份認證和數據傳輸安全兩大塊，有關無線局域網的安全策略也是圍繞這兩方面進行分析和設計。

　　文獻[4]中提出的安全方案需要改動WLAN基礎設施來保障身份認證。

　　文獻[5]中的安全方案基于對稱密碼體制的第三方認證來解決身份認證和密碼協商。

　　文獻[6]提出了基于IPSec的解決方案。

　　本文提出了基于OSI模型層次化的WLAN安全策略，在物理層、數據鏈路層、網絡層和應用層分別采取了相應的安全措施，能夠最大限度地保障無線局域網通信安全。

　　2.WLAN 物理層協議及MAC協議

　　IEEE 802.11x WLAN 的物理層定義了數據傳輸的信號特征和調制方式：射頻(RF)和紅外線(IR)傳輸。

　　RF分為直接序列擴頻(DSSS)和跳頻擴頻(FHSS)兩種傳輸方式。

　　DSSS采用擴展的冗余編碼方式進行數據傳輸，通過用高碼率的擴頻碼序列與數據信號相乘實現擴頻。

　　FHSS系統中發射機的載波頻率在一個預定集合(2.4G一2.483G)中隨時跳變，接收方和發送方事先協商跳頻模式。

　　IEEE 802.11的數據鏈路層由邏輯鏈路控制子層(LLC)和介質訪問控制子層(MAC)組成。

　　IEEE 802.11使用和IEEE 802.3完全相同的LLC子層，并且與IEEE 802協議中所規定的使用48位MAC地址要求完全相同。

　　IEEE 802.11 MAC層的幀格式由幀頭(MAC Header)、幀實體(Frame Body)和錯誤檢查碼(FCS)共同構成。

　　幀頭包括幀控制(Frame Control)、持續時間(Duration / ID)、地址信息(Address)和順序控制(Sequence Control)等字段，如圖1所示。

　　圖1：無線局域網幀頭結構

　　3.層次化的無線局域網安全策略

　　3.1 無線局域網安全技術及其缺陷

　　SSID (服務配置標識符) 用來標識無線局域網，無線AP默認定時進行SSID廣播，黑客利用偵測軟件可以輕易獲得SSID。

　　無線AP中存有合法MAC地址列表，管理員通過手工維護合法MAC列表可控制無線終端的訪問權限。

　　但是攻擊者通過無線偵聽即可獲取合法的MAC地址并非法接入。

　　WEP在鏈路層采用RC4對稱加密技術，它將密鑰擴展成任意長度的偽隨機位“密鑰流”，該算法的缺陷是：如果對兩個不同的消息使用相同的IV和密鑰進行加密，則可完全破解兩個消息的信息。

　　同時，如果通過無線偵聽收集到包含特定IV密鑰的分組信息并對其進行解析，那么連通用密鑰也可被破解出來。

　　WAPI協議分為WAI和WPI兩部分，分別實現對用戶身份的鑒別和對傳輸的數據加密。

　　由于WAPI與原有WiFi標準存在較大差異，在設備兼容方面存在問題。

　　所以WAPI標準仍在推廣之中，并沒有應用到現有的無線局域網之中。

　　WLAN所面臨的安全威脅分為被動攻擊和主動攻擊兩大類。

　　被動攻擊是對WLAN信號的x聽或干擾，主動攻擊則是對WLAN進行非法接入并篡改網絡設置等活動。

　　為部署更安全的無線局域網，必須完善無線局域網網絡安全策略，在OSI網絡模型之上進行嚴格把關，在無線設備和終端之間建立多層次的保護機制，從根本上做到防止非法用戶接入WLAN，并保證數據在傳輸過程中安全、保密。

　　3.2 層次化的無線局域網安全策略

　　無線局域網的安全貫穿網絡架構、使用和維護的整個過程，單層次的安全技術并不能保證無線通信的絕對安全，一個設計良好，架構完整的無線局域網安全方案應該基于OSI參考模型，以分層方式整合多種不同的安全措施，以最大限度來確保無線局域網的通信安全。

　　考慮到WLAN物理層的安全，在架構WLAN時，通過專用審計儀器測量架設環境，確定AP的最佳位置，控制發散區，盡量減少無線信號泄露到網絡范圍以外的區域。

　　當網絡中存在多個AP時，調整各AP的工作頻道，最大限度的減少干擾。

　　WLAN數據鏈路層的安全重點是對無線設備合理高效的`應用。

　　在WLAN中，啟用AP的MAC地址過濾功能。

　　啟用WPA或WEP加密，選擇104或40位(一些舊設備不支持104位)加密密鑰。

　　圖2：無線局域網安全構架

　　在配置無線AP時，將SSID設置為長而復雜的字符并關閉SSID廣播功能，在AP中設置最大長度的共享密鑰并定期更改密鑰，將WLAN的地址分配設置為靜態手工分配。

　　同時應采用IPSec的嵌套通道來構造VPN的安全通信，以確保WLAN網絡層的安全。

　　應用層的安全至關重要。

　　在客戶無線終端和無線網絡間建立VPN(虛擬專用網)連接，在無線終端和VPN網關之間建立一對一的安全連接。

　　同時在WLAN中架設RADIUS(Remote Authentication Dial-In User Service)服務器，對系統的遠程連接進行身份驗證、為網絡資源提供授權并記錄日志。

　　此外，應該在客戶終端中安裝個人防火墻并在WLAN中架設入侵檢測系統。

　　4.小結

　　隨著人們對無線互聯需求的增長, 無線局域網技術必將會得到進一步的發展, 其安全性也會逐步完善。

　　本文分析了現有無線局域網的安全技術及其漏洞, 提出了更為安全可靠的無線局域網部署方案。

　　參考文獻：

　　[1] 劉峰,王相林.WLAN安全方案及802.11i標準研究.計算機工程與設計,2006年13期.

　　[2] 姚志強,蒲江,唐金藝.802.11無線局域網安全性分析.計算機安全,2006年 04期.

　　[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計算機應用研究,2006年03期.

　　[4] 趙鵬,羅平,曹學武.改進無線局域網的安全.計算機工程與應用,2004年02期.

　　[5] 陳卓,陳建峽,楊木祥.基于對稱密碼體制的第三方認證的無線局域網安全方案研究.計算機工程與科學,2005年07期.

　　[6] 周星,康耀紅,孫盛杰.基于IPSec的無線局域網安全解決方案的研究.計算機工程與應用,2003年18期.

　　無線局域網網絡安全策略【2】

　　摘 要：無線局域網可以說實現了計算機網絡技術與無線通訊技術的有機結合，其在一定范圍內實現了無線網絡通訊服務，因此近年得到了廣泛推廣應用。

　　針對無線局域網而言，確保其安全是首要任務。

　　本文分析了無線局域網及其網絡安全的現狀，在此基礎上提出了無線局域網的網絡安全策略。

　　關鍵詞：無線局域網;網絡安全;策略

　　無線局域網能夠實現無縫覆蓋以及可移動通信等優勢特點，從而實現對有線網絡的補充作用，因此應用領域較廣，其應用對于人們獲取信息及進行交流提供了極大的方便。

　　因此，確保無線局域網的網絡安全是一項重要的研究課題。

　　面對無線局域網現存的各種安全隱患問題，我們必須認真對待，提出切實可行的措施，加強技術保障，從而保證無線局域網的安全穩定運行。

　　一、無線局域網的網絡安全現狀

　　無線局域網現存的網絡安全隱患主要是因網絡為開放式易于接入引起的。

　　因為WLAN是通過無線電波在空中傳輸數據的，因此不能對通信線路進行保護，WLAN的數據會在發射機所在的最大區域內進行傳遞，該區域內凡是能收到WLAN信號的用戶，都能接觸到該數據。

　　如果該系統漏洞被不法分子利用，他們就會對數據進行中途截取，從而造成嚴重的網絡攻擊。

　　總體來說，無線網絡所面臨的威脅主要表現在以下幾個方面：

　　1.傳輸數據攻擊。

　　非法用戶通過掃描軟件查找那些開放式的沒有加密功能的`無線局域網的接入點，通過它非法訪問互聯網， 進行攻擊;或利用一些網絡工具來監聽和截取無線信號，分析獲取相關用戶信息，惡意修改或延遲數據通信，合法用戶造成損失。

　　2.安全協議攻擊。

　　有線等效保密(Wired Equivalent Privacy)簡稱WEP，但是它的初始化向量由于自身的原因容易被人破解密匙，如：位數太短、初始化的復位設計等。

　　一些網絡的部署者在選擇上更偏向與缺省的WEP密匙，而且不改變他的配置選項，這就導致了黑客在破解密匙的時候，只需要收集足夠的WEP弱密匙加密包就可以了，從而使整個網絡缺乏安全性，給整個網絡帶來危害。

　　3.地址欺騙攻擊。

　　802.11無線局域網對數據幀是不進行認證操作的，所以一些非法用戶可以通過簡單的方法獲取網絡中的站點地址，通過ARP的變動進行身份認證，在未經授權的情況下使用網絡資源。

　　二、無線局域網的網絡安全策略

　　網絡安全問題是整個信息化發展必須要解決和考慮的問題，但是網絡的絕對安全性是不可以實現，只能說在原有的基礎上加強對網絡各個方面的管理，依靠現有的技術改善網絡環境，進一步保障網絡的安全性。

　　具有可以實現以下幾點：

　　1.應用專業技術。

　　利用服務集標識符(SSID)和MAC地址過濾技術來加強訪問控制

　　確定無線客戶端網卡的唯一物理地址的標示，使用戶在滿足客戶機地址與合法地址相匹配的前提下滿足用戶的使用，這樣就在一定程度上有利于維護無線網絡的安全，防止其它用戶在未經授權的條件下非法使用網絡資源。

　　2.加強身份驗證

　　盡量不要使用產商自帶的WEP秘鑰。

　　通常WEP身份確認有兩種方法，一是默認的認證方式，二是使用共享秘鑰。

　　共享秘鑰在對用戶進行身份確認時，要向工作站點發送請求信號，工作站點在接收到后，會向用戶發送一個詢問信息，用戶在對詢問信息進行確認后，也就完成了相應的身份確認。

　　但是在這個過程中，如果網絡攻擊者對截取了這兩則信息，就會對無線局域網造成威脅。

　　針對這方面所采取的具體措施是，不使用產商自帶的秘鑰，自己運用計算機采用手工方法選擇合適的加密秘鑰，比如數字和英文字母的混合組合等。

　　其具體的操作流程是，打開瀏覽器輸入無線節點設備默認的后臺管理地址，打開該地址后，選擇“無線網絡”和“安全方式”的選項，然后找出WEP加密協議。

　　在這里，用戶就可以自己選擇和設置“共享秘鑰”的驗證方式和密碼。

　　這樣就完成了用戶對自己的安全密鑰的設置。

　　3.采用TKIP協議

　　TKIP算法相比較WEP的一個最大優點就在于，增強了校對的完整性。

　　這一目標的實現，主要在于TKIP中擁有包序列計數器，它能做到每一個MAC層的協議數據單元都有唯一的數據加密秘鑰與之相對應，這就實現了完整性校對的過程。

　　TKIP在對無線局域網實現校對時采用的包序列計數器能實現對身份校對的防重放攻擊。

　　也就是說，TKIP接受包序列計數器的條件就是計數器必須要大于重放窗口的計數值。

　　如果該包序列計數器是經過改動的，那么，TKIP就會自動檢測出不正確的解密秘鑰，就會顯示包序列計數器出錯。

　　所以，TKIP防重放攻擊的采用，極大地減少了網絡攻擊者對驗證信息進行截取的幾率。

　　4.避免點點模式

　　該對策的提出主要是基于無線局域網工作站的兩種基本傳輸模式所存在的缺陷，其傳輸模式主要包括，基礎架構模式和點對點工作模式。

　　前者的工作流程是，局域網內的所有無線工作的實現都必須經過路由器的信號處理。

　　后者的工作流程是不采用路由器設備，直接將工作站和工作站相連，這樣的模式能加速網絡間數據傳輸的速度，但同時也為無線局域網附近的非法用戶提供了非法獲取和訪問信息的空當，使局域網的安全受到很大威脅，所以，必須減少或禁止點對點工作模式的使用。

　　三、結束語

　　無線局域網的網絡安全是巨大的系統工程，要想實現網絡安全，我們必須從無線局域網設置的各個環節出發，無論是從源頭對無線信號加以保護，還是對運行中的客戶認證進行檢測，亦或是對工作站工作模式的改變，所有這些都應該建立在用戶對無線局域網網絡安全問題高度警惕的基礎之上。

　　隨著無線局域網應用的日益廣泛，對其網絡安全的研究將更加系統。

　　參考文獻：

　　[1]連一峰，王航.網絡攻擊原理與技術[M].北京：科學出版社，2009：25-27.

　　[2]譚潤芳.無線網絡安全性探討[J].信息科技，2008(06)：24-26.

　　[3]李勤，張浩軍等.無線局域網安全協議的研究和實現[J].計算機應用，2005(01)：160-162.

【無線局域網安全策略】相關文章：

如何保護無線局域網安全10-26

檔案信息安全策略研究論文10-11

局域網信息安全論文10-08

局域網云安全技術綜述10-26

局域網建設合同09-06

淺析遠程網絡信息安全策略論文10-09

云計算下的網絡信息安全策略研究論文10-08

計算機網絡安全策略淺議10-26

農產品電子商務安全策略研究論文10-09

氣象信息網絡安全策略與技術論文10-08