㈠ wapi是什麼
wapi是無線區域網鑒別和保密基礎結構,同時也是中國無線區域網安全強制性標准。它像紅外線、藍牙、GPRS、CDMA1X等協議一樣,是無線傳輸協議的一種。只不過跟它們不同的是它是無線區域網(WLAN)中的一種傳輸協議而已。
WAPI是中國無線區域網強制性標准中的安全機制,主要用於增強無線區域網的安全性。它對普通用戶幾乎沒有什麼影響。它可以打開也可關閉,但這並沒有收到影響,如果開機後設備的功耗確實加快建議不要開啟。
注意事項:
WAPI使用稱為WLAN身份驗證和隱私基礎結百構WAPI的安全協議,而802.11b使用有線增強等度效隱私WEP安全協議。對於個人用戶WAPI的最大好處是使他們的筆記本電腦更加安全, WAPI是中國自主開發和擁有的無線區域網安全技術標准。
與 WI-FI 的單向加密認證不同,WAPI 採用雙向認證,安全系統採用公鑰密碼技術,簡單來說就是增加了網路連接的安全性。
㈡ wlan無線區域網安全常用技術有哪些
有多種無線區域網的安全技術,以下列舉部分:
物理地址(
MAC
)過濾、服務區標識符(SSID)匹配、有線對等保密(WEP)、埠訪問控制技術(IEEE802.1x)、WPA
(Wi-Fi
Protected
Access)、IEEE
802.11i
等。
㈢ 無線網路安全
給你找了個 自己抄吧
論文
無線區域網的安全防護
學 科、專業 計算機技術及應用
學 生 姓 名 雷磊
學 號 200512118
指導教師姓名 史虹湘
2008年10月30日
無線區域網的安全防護
摘要:
在網路應用日益普及的今天,區域網作為一種通用的聯網手段,得到了極為廣泛的應用,其傳輸速率、網路性能不斷提高。不過,它基本採用的是有線傳輸媒介,在許多不適宜布線的場合,受到很大程度的限制。另一方面,無線數據傳輸技術近年來不斷獲得突破,標准化進展也極為迅速,這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上,無線區域網開始崛起,越來越受到人們的重視。但是,無線區域網給我們帶來方便的同時,它的安全性更值得我們關注,本篇論文通過了解無線區域網的組成,它的工作原理,以及無線區域網的優、缺點,找出影響安全的因素,通過加密、認證等手段並且應用完整的安全解決方案,從而更好的做到無線區域網的安全防護。
關鍵詞:無線區域網;安全性;WPAN
目錄
第一章 引言 3
1.1無線區域網的形成 3
1.2無線區域網的常用設備 3
第二章、無線區域網的概況及特點 4
2.1無線區域網(WLAN)方案 4
2.2無線區域網的常見拓撲形式 6
2.3 無線區域網的優勢 6
2.4無線區域網的缺點 7
第三章、無線區域網的安全性及其解決方案 7
3.1無線區域網的安全性 7
3.2完整的安全解決方案 11
第四章、結束語 13
第一章 引言
1.1無線區域網的形成
隨著計算機技術和網路技術的蓬勃發展,網路在各行各業中的應用越來越廣。然而,隨著移動計算技術的日益普及和工業標准逐步為市場所採納和接受,無線網路的應用領域正在不斷地擴大。無線區域網的出現使人們不必再圍著機器轉,它採用乙太網的幀格式,使用簡單。無線區域網方便了用戶訪問網路數據,高吞吐量無線區域網可以實現11Mb/s的數據傳輸速率。
從網路角度來看,它涉及互聯網和城域網(Metropolitan Area Network-MAN)、區域網(Local Area Network-LAN)及最近提出的「無線個域網」 (Wireless Personal Area Network - WPAN)。在廣域網(Wide Area Network-WAN)、城域網和區域網的層次結構中,WPAN的范圍是最小的。
1.2無線區域網的常用設備
WPAN將取代線纜成為連接包括行動電話、筆記本個人電腦和掌上設備在內的各類用戶個人設備的工具。WPAN可以隨時隨地地為用戶實現設備間的無縫通訊,並使用戶能夠通過蜂窩電話、區域網或廣域網的接入點聯入網路。
1.2.1Bluetooth應用
通過Bluetooth(藍牙)技術,它使人們周圍的電子設備通過無線的網路連接在一起。這些設備包括:桌上型電腦、筆記本電腦、列印機、手持設備、行動電話、傳呼機和可攜帶的音樂設備等。
藍牙技術是由愛立信、IBM、英特爾、諾基亞和東芝這五大公司於1998年5月聯合推出的一項旨在實現網路中各類數據及語音設備(如PC、撥號網路、筆記本電腦、列印機、傳真機、數碼相機、行動電話、高品質耳機等)互連的計劃,並為紀念第一個統一北歐語言的人Norse國王而命名為藍牙。
藍牙收發信機採用跳頻擴譜技術,在2.45 GHz ISM頻帶上以1600跳/s的速率進行跳頻。依據各國的具體情況,以2.45 GHz為中心頻率,最多可以得到79個1MHz帶寬的信道。除採用跳頻擴譜的低功率傳輸外,藍牙還採用鑒權和加密等措施來提高通信的安全性。
1.2.2HomeRF應用
無線區域網技術HomeRF,是專門為家庭用戶設計的短距離無線聯網方案。
它基於共享無線訪問協議(shared Wireless Access Protocol,SWAP),可應用於家庭中的移動數據和語音設備與主機之間的通信。
符合SWAP規范的產品工作在2.4GHz頻段,使用每秒50跳的跳頻擴展頻譜技術,通過家庭中的一台主機在移動數據和語音設備之間實現通信,既可以通過時分復用支持語音通信,又能通過載波監聽多重訪問/沖突避免協議提供數據通信服務。同時,HomeRF提供了與TCP/IP良好的集成,支持廣播和48位IP地址。
按照SWAP規范,用戶可以建立無線家庭網路,用戶可在PC、PC增強無繩電話、手持式遠程顯示器等設備之間共享話音、數據和Internet連接;用手持顯示裝置在房間內和房間周圍的任何地方訪問Internet;在多台PC間共享文件、數據機、列印機等;向多個無繩手機、傳真機和話音郵箱轉發電話;使用小型PC增強無繩電話手機重復收聽話音、傳真和電子郵件;簡單地使用PC增強無繩電話手機發出話音命令,來激活其他家用電子系統;可以玩PC或Internet上的多人游戲。
第二章、無線區域網的概況及特點
2.1無線區域網(WLAN)方案
在網路應用日益普及的今天,區域網作為一種通用的聯網手段,得到了極為廣泛的應用,其傳輸速率、網路性能不斷提高。不過,它基本採用的是有線傳輸媒介,在許多不適宜布線的場合,受到很大程度的限制。另一方面,無線數據傳輸技術近年來不斷獲得突破,標准化進展也極為迅速,這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上,無線區域網開始崛起,越來越受到人們的重視。
2.1.1無線區域網概念和工作原理
一般來講,凡是採用無線傳輸媒體的計算機區域網都可稱為無線區域網。這里的無線媒體可以是無線電波、紅外線或激光。
無線區域網的基礎還是傳統的有線區域網,是有線區域網的擴展和替換。它只是在有線區域網的基礎上通過無線HUB、無線訪問節點(AP)、無線網橋、無線網卡等設備使無線通信得以實現。
2.1.2無線區域網標准
實際上,無線區域網早在80年代就已經得到廣泛應用,當時受到技術上的制約,通信速率只有860kb/s,工作在900MHz的頻段。能夠了解並享受它的好處的人少之又少。
到了90年代初,隨著技術的進步,無線區域網的通信速率已經提高到1 ~2Mb/s,工作頻段為2.4GHz,並開始向醫療、教育等多媒體應用領域延伸。
無線區域網的發展也引起國際標准化組織的關注,IEEE從1992年開始著手制訂802.11標准,以推動無線區域網的發展。1997年,該標准獲得通過,它大大促進了不同廠商產品之間的互操作性,並推進了已經萌芽的產業的發展。
802.11標准僅限於物理(PHY)層和媒介訪問控制(MAC)層。物理層對應於國際標准化組織的七層開放系統互連(OSI)模型的最低層,MAC層與OSI第二層的下層相對應,該層與邏輯鏈路控制(LLC)層構成了OSI的第二層。
標准實際規定了三種不同的物理層結構,用戶可以從中選出一種,它們中的每一種都可以和相同的MAC層進行通信。802.11工作組的成員認為在物理層實現方面有多個選擇是必要的,因為這可以使系統設計人員和集成人員根據特定應用的價格、 性能、 操作等方面的因素來選擇一種更合適的技術。這些選擇實際上非常類似,就像10BaseT, 10Base2及100BaseT等都在乙太網領域取得了很大的成功一樣。另外,企業區域網通常會使用有線乙太網和無線節點混合的方式,它們在使用上沒有區別。
近年來,無線區域網的速率有了本質的提高,新的IEEE802.11b標准支持11Mb/s高速數據傳輸。這為寬頻無線應用提供了良好的平台。
2.1.3無線區域網傳輸方式
就傳輸方式而言,無線區域網可以分為兩類:紅外線系統和射頻系統。前者的優點在於不受無線電的干擾;鄰近區域無干擾;不受管制機構的政策限制;在視距范圍內傳輸,監測和竊聽困難,保密性好。不過,由於紅外線傳輸對非透明物體的透過性極差,傳輸距離受限。
此外,它容易受到日光、熒光燈等雜訊干擾,並且只能進行半雙工通信。所以,相比而言,射頻系統的應用范圍遠遠高於紅外線系統。
採用射頻方式傳輸數據,一般都需要引入擴頻技術。在擴頻系統中,信號所佔用的帶寬遠大於所需發送信息的最小帶寬,並採用了獨立的擴展信號。擴頻技術具有安全性高、抗干擾能力強和無需許可證等優點。目前,在全球范圍內應用比較廣泛的擴頻技術有直接序列(DS)擴頻技術和跳頻(FH)擴頻技術。就頻帶利用來說,DS採用主動佔有的方式,FH則是跳換頻率去適應。在抗干擾方面,FH通過不同信道的跳躍避免干擾,丟失的數據包在下一跳重傳。DS方式中數據從冗餘位中得到保證,移動到相鄰信道避免干擾。同DS方式相比,FH方式速度慢,最多隻有2 ~3Mb/s。DS傳輸速率可以達到11Mb/s,這對多媒體應用來說非常有價值。從覆蓋范圍看,由於DS採用了處理增益技術,因此在相同的速率下比FH覆蓋范圍更大。不過,FH的優點在於抗多徑干擾能力強。此外,它的可擴充性要優於DS。DS有3個獨立、不重疊的信道,接入點限制為三個。FH在跳頻不影響性能時最多可以有15個接入點。
新的無線區域網標准協議IEEE802.11b只支持DS方式,但是IEEE802.11對這兩種技術都是推薦的。應該說,FH和DS這兩種擴頻方式在不同的領域都擁有適合自身的應用環境,一般說來,在需要大范圍覆蓋時選DS,需要高數據吞吐量時選擇DS,需要抗多徑干擾強時選擇FH。
2.2無線區域網的常見拓撲形式
根據不同的應用環境,目前無線區域網採用的拓撲結構主要有網橋連接型、訪問節點連接型、HUB接入型和無中心型四種。
(1)網橋連接型。該結構主要用於無線或有線區域網之間的互連。當兩個區域網無法實現有線連接或使用有線連接存在困難時,可使用網橋連接型實現點對點的連接。在這種結構中區域網之間的通信是通過各自的無線網橋來實現的,無線網橋起到了網路路由選擇和協議轉換的作用。
(2)訪問節點連接型。這種結構採用移動蜂窩通信網接入方式,各移動站點間的通信是先通過就近的無線接收站(訪問節點:AP)將信息接收下來,然後將收到的信息通過有線網傳入到「移動交換中心」,再由移動交換中心傳送到所有無線接收站上。這時在網路覆蓋范圍內的任何地方都可以接收到該信號,並可實現漫遊通信。
(3)HUB接入型。在有線區域網中利用HUB可組建星型網路結構。同樣也可利用無線HUB組建星型結構的無線區域網,其工作方式和有線星型結構很相似。但在無線區域網中一般要求無線HUB應具有簡單的網內交換功能。
(4)無中心型結構。該結構的工作原理類似於有線對等網的工作方式。它要求網中任意兩個站點間均能直接進行信息交換。每個站點既是工作站,也是伺服器。
2.3 無線區域網的優勢
無線區域網在很多應用領域具有獨特的優勢:一是可移動性,它提供了不受線纜限制的應用,用戶可以隨時上網;二是容易安裝、無須布線,大大節約了建網時間;三是組網靈活,即插即用,網路管理人員可以迅速將其加入到現有網路中,並在某種環境下運行;四是成本低,特別適合於變化頻繁的工作場合。此外,無線網路相對來說比較安全,無線網路通信以空氣為介質,傳輸的信號可以跨越很寬的頻段,而且與自然背景噪音十分的相似,這樣一來,就使得竊聽者用普通的方式難以偷聽到數據。
「加密」也是無線網路必備的一環,能有效提高其安全性。所有無線網路都可加設安全密碼,竊聽者即使千方百計地接收到數據,若無密碼,想打開信息系統亦無計可施。
2.4無線區域網的缺點
目前,由於相關的配套技術不足,無線網路傳輸速度還存在著一些局限。現在無線網路的帶寬還比較局限,與有線區域網主幹可達千兆還差得很遠。與有線網路相比,無線網路的通信環境要受到更多的限制。由於電源限制、可用的頻譜限制以及無線網路的移動性等特點,無線數據網路一般具有帶寬少、延遲長、連接穩定性差、可用性很難預測等特點。盡管無線區域網有種種優點,但是PC廠商在出售無線LAN產品時多採取慎重態度。這是因為,在家庭里利用的無線聯網方式,除了無線LAN外,還有一些其他方案。藍牙主要用於在攜帶型信息設備之間以無線方式進行數據通信;HomeRF則用於PC同家電之間以無線方式進行數據通信。而無論藍牙還是HomeRF,其最大傳輸速度都只有2Mb/s。此外,它們的傳輸距離都只有幾十米,比無線LAN最多可達的100米要短。在鋼筋混凝土這類能使電波明顯衰減的使用環境里,藍牙和HomeRF的傳輸距離甚至會縮短到只有幾米。
第三章、無線區域網的安全性及其解決方案
3.1無線區域網的安全性
除了硬體方面的不足,無線區域網的安全性也非常值得關注。無線區域網的安全性,主要包括接入控制和加密兩個方面。
3.1.1IEEE802.11b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)。
1、認證
當一個站點與另一個站點建立網路連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。 IEEE 802.11b標准詳細定義了兩種認證服務:-開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識別認證站點身份的幀。 -共享密鑰認證(Shared Key Authentication):這種認證先假定每個站點通過一個獨立於802.11網路的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密演算法是有線等價加密(WEP)。 共享密鑰認證的過程如圖1所示,描述如下:
(1) 請求工作站向另一個工作站發送認證幀。
(2) 當一個站收到開始認證幀後,返回一個認證幀,該認證幀包含WEP服務生成的128位元組的質詢文本。
(3) 請求工作站將質詢文本復制到一個認證幀中,用共享密鑰加密,然後再把幀發往響應工作站。
(4) 接收站利用相同的密鑰對質詢文本進行解密,將其和早先發送的質詢文本進行比較。如果相互匹配,相應工作站返回一個表示認證成功的認證幀;如果不匹配,則返回失敗認證幀。
請求工作站 響應工作站
驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=1
驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=2
質詢文本
驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=3
質詢文本加密
驗證幀
驗證演算法標識=「共享密鑰」
驗證處理序列號=1
圖1 共享密鑰認證
認證使用的標識碼稱為服務組標識符(SSID:Service Set Identifier),它提供一個最底層的接入控制。一個SSID是一個無線區域網子系統內通用的網路名稱,它服務於該子系統內的邏輯段。因為SSID本身沒有安全性,所以用SSID作為接入控制是不夠安全的。接入點作為無線區域網用戶的連接設備,通常廣播SSID。
2、WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線區域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及演算法相同。WEP的目標是: 接入控制:防止未授權用戶接入網路,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享—包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後,就可以與子系統內所有用戶安全地通信。預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
幀體
明文
綜合檢測值
(ICV)
幀體
密鑰 密文
鍵序
圖2 WEP加密過程
WEP加密的演算法如圖2所示,過程如下:
(1) 在發送端,WEP首先利用一種綜合演算法對MAC幀中的幀體欄位進行加密,生成四位元組的綜合檢測值。檢測值和數據一起被發送,在接收端對檢測值進行檢查,以監視非法的數據改動。
(2) WEP程序將共用密鑰輸入偽隨機數生成器生成一個鍵序,鍵序的長度等於明文和綜合檢測值的長度。
(3) WEP對明文和綜合檢測值進行模二加運算,生成密文,完成對數據的加密。偽隨機數生成器可以完成密鑰的分配,因為每台終端只用到共用密鑰,而不是長度可變的鍵序。
(4) 在接收端,WEP利用共用密鑰進行解密,復原成原先用來對幀進行加密的鍵序。
(5) 工作站計算綜合檢測值,隨後確認計算結果與隨幀一起發送來的值是否匹配。如果綜合檢測失敗,工作站不會把MSDU(介質服務單元)送到LLC(邏輯鏈路控制)層,並向MAC管理程序發回失敗聲明。
3.1.2影響安全的因素
1、硬體設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁碟上或者存儲在無線區域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰並可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。 當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網路管理系統不可能檢測到這種問題,因此用戶必須立即通知網路管理員。接到通知後,網路管理員必須改變接入到MAC地址的安全表和WEP密鑰,並給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
2、虛假接入點
IEEE802.11b共享密鑰認證表採用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線區域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證伺服器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證伺服器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
3、其它安全問題
標准WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。
通過監測IEEE802.11b控制信道和數據信道,黑客可以得到如下信息:
客戶端和接入點MAC地址
內部主機MAC地址
上網時間
黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
3.2完整的安全解決方案
3.2.1無線區域網的安全方案
無線區域網完整的安全方案以IEEE802.11b為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS伺服器通信。
IEEE 802.1X, 一個控制埠接入的提議標准。
當無線區域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以後才能與接入點結合。當站點在網路登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS伺服器(或其它認證伺服器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然後 RADIUS伺服器和用戶伺服器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免於攻擊。
這種方案認證的過程是:
一個站點要與一個接入點連接。
除非站點成功登錄到網路,否則接入點將禁止站點使用網路資源。
用戶在網路登錄對話框和類似的結構中輸入用戶名和密碼。
用IEEE802.1x協議,站點和RADIUS伺服器在有線區域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。例如:RADIUS伺服器向用戶發送一個認證請求,客戶端對用戶提供的密碼進行一種hash運算來響應這個請求,並把結果送到RADIUS伺服器;利用用戶資料庫提供的信息,RADIUS伺服器創建自己的響應並與客戶端的響應相比較。一旦伺服器認證了用戶,就進行相反的處理使用戶認證RADIUS伺服器。
相互認證成功完成後,RADIUS伺服器和用戶確定一個WEP密鑰來區分用戶並提供給用戶適當等級的網路接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶載入這個密鑰並在該登錄期內使用。
RADIUS伺服器發送給用戶的WEP密鑰,稱為時期密鑰。
接入點用時期密鑰加密它的廣播密鑰並把加密密鑰發送給用戶,用戶用時期密鑰來解密。
用戶和接入點激活WEP,在這時期剩餘的時間內用時期密鑰和廣播密鑰通信。
認證的全部過程如圖3所示。
4.RADIUS伺服器和站點雙
向認證並且生成WEP密鑰
無線 有線
6. 站 點 和AP 激活 5.RADIUS伺服器
WEP,加密傳輸數據 把密鑰傳給AP
圖3 基於IEEE802.1x的安全傳輸
3.2.2無線區域網的應用環境
(1) 無線區域網的應用方向之一是增加電腦的移動性,讓電腦更符合人性,例如在辦公室內,企業經理們可以像使用室內無繩電話那樣,隨心所欲地使用聯網的筆記本電腦。
(2) 在難於布線的室外環境下,無線區域網可充分發揮其高速率、組網靈活之優點。尤其在公共通信網不發達的狀態下,無線區域網可作為區域網(覆蓋范圍幾十公里)使用。
它的范圍可以延伸到城市建築群間通信;學校校園網路;工礦企業廠區自動化控制與管理網路;銀行、金融證券城區網路;城市交通信息網路;礦山、水利、油田等區域網路;港口、碼頭、江河湖壩區網路;野外勘測、實驗等流動網路;軍事、公安流動網路等領域。
(3) 無線區域網與有線主幹網構成了移動計算網路。
這種網路傳輸速率高、覆蓋面大,是一種可傳輸多媒體信息的個人通信網路。這也是無線區域網的發展方向。
第四章、結束語
無線網路安全技術在21世紀將成為信息網路發展的關鍵技術,21世紀人類步入信息社會後,信息這一社會發展的重要戰略資源需要網路安全技術的有力保障,才能形成社會發展的推動力。在我國信息網路安全技術的研究和產品開發仍處於起步階段,仍有大量的工作需要我們去研究、開發和探索,以走出有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網路的安全,推動我國國民經濟的高速發展。
雖然我的論文作品不是很成熟,還有很多不足之處,但這次做論文的經歷使我終身受益,我感受到做論文是要真真正正用心去做的一件事情,是真正的自己學習的過程和研究的過程,沒有學習就不可能有研究的能力,沒有自己的研究,就不會有所突破,希望這次的經歷能讓我在以後學習中激勵我繼續進步。
最後,感謝史虹湘老師對我論文的精心指導和無私的幫助,感謝經濟管理幹部學院老師們的辛勤栽培,使我能夠很好的掌握和運用專業知識。
參考文獻:
[1] 網路安全 徐國愛. 北京郵電大學出版社,2006.5
[2] 計算機網路基礎 劉遠生. 清華大學出版社,2004.9
[3] 區域網組建、管理與維護 揚威. 電子工業出版社,2005.7
㈣ 無線區域網應採取的安全措施有哪些
1、wpa2加密方式不容易破解
2、隱藏SSID,選擇手機或者電腦主動去連接路由器
㈤ 無線區域網中的安全措施
摘要:由於在現在區域網建網的地域越來越復雜,很多地方應用了無線技術來建設區域網,但是由於 無線網路 應用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述,給出了一些應對的安全 措施 ,以保證無線區域網能夠安全,正常的運行。
關鍵字:WLAN,WEP,SSID,DHCP,安全措施
1、 引言
WLAN是Wireless LAN的簡稱,即無線區域網。所謂無線網路,顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路,由於WLAN產品不需要鋪設通信電纜,可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性,在難以重新布線的區域提供快速而經濟有效的區域網接入,無線網橋可用於為遠程站點和用戶提供區域網接入。但是,當用戶對WLAN的期望日益升高時,其安全問題隨著應用的深入表露無遺,並成為制約WLAN發展的主要瓶頸。[1]
2、 威脅無線區域網的因素
首先應該被考慮的問題是,由於WLAN是以無線電波作為上網的傳輸媒介,因此無線網路存在著難以限制網路資源的物理訪問,無線網路信號可以傳播到預期的方位以外的地域,具體情況要根據建築材料和環境而定,這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點,給入侵者有機可乘,可以在預期范圍以外的地方訪問WLAN,竊聽網路中的數據,有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊,當然是在入侵者擁有了網路訪問權以後。
其次,由於WLAN還是符合所有網路協議的計算機網路,所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機,甚至會產生比普通網路更加嚴重的後果。
因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。
IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示:「談到無線網路,企業的IT經理人最擔心兩件事:首先,市面上的標准與安全解決方案太多,使得用戶無所適從;第二,如何避免網路遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限於建築物實體界線,因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。
3、無線區域網的安全措施
3.1採用無線加密協議防止未授權用戶
保護無線網路安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品,交付設備時關閉了WEP功能。但一旦採用這種做法,黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID),在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網路被發現的可能。[2]
但是目前IEEE 802.11標准中的WEP安全解決方案,在15分鍾內就可被攻破,已被廣泛證實不安全。所以如果採用支持128位的WEP,解除128位的WEP的是相當困難的,同時也要定期的更改WEP,保證無線區域網的安全。如果設備提供了動態WEP功能,最好應用動態WEP,值得我們慶幸的,Windows XP本身就提供了這種支持,您可以選中WEP選項「自動為我提供這個密鑰」。同時,應該使用IPSec,,SSH或其他
WEP的替代方法。不要僅使用WEP來保護數據。
3.2 改變服務集標識符並且禁止SSID廣播
SSID是無線接人的身份標識符,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的,並且每個廠商都用自己的預設值。例如,3COM 的設備都用「101」。因此,知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣,你的無線網路就不能夠通過廣播的方式來吸納更多用戶.當然這並不是說你的網路不可用.只是它不會出現在可使用網路的名單中。[3]
3.3 靜態IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網路來說是有安全隱患的,「不法」分子只要找到了無線網路,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了區域網絡中。因此,建議關閉DHCP服務,為家裡的每台電腦分配固定的靜態IP地址,然後再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址,即使得到了,因為還要驗證綁定的MAC地址,相當於兩重關卡。[4]設置方法如下:
首先,在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能,把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」),以後要固定使用的IP地址,其網卡的MAC地址都如實填寫好,最後點「執行」就可以了。
3.4 技術在無線網路中的應用
對於高安全要求或大型的無線網路,方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。
對於無線商用網路,基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中,在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議,包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣,技術可以應用在無線的安全接入上,在這個應用中,不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網),但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密,並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同,方案具有較強的擴充、升級性能,可應用於大規模的無線網路。
3.5 無線入侵檢測系統
無線入侵檢測系統同傳統的入侵檢測系統類似,但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說,是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者,還能加強策略。通過使用強有力的策略,會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析,找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。[1]
3.6 採用身份驗證和授權
當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時,他們可以嘗試建立與AP關聯。目前,有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於,如果您沒有其他的保護或身份驗證機制,那麼您的無線網路將是完全開放的,就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請,然後AP發回口令。接著,STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應,那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證/授權機制。使用 802.1x,或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術,例如設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容;加強企業內部管理等等的方法來加強WLAN的安全性。
4、 結論
無線網路應用越來越廣泛,但是隨之而來的網路安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施,有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段,但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣,所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣,但是安全措施的思路是正確的,能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線區域網的安全。
參考文獻
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.
[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.
[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.
[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26):79-81.
[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.
㈥ 無線區域網安全技術解析
由於無線區域網是以射頻方式在開放的空間進行工作的,因而其開放性特點增加了確定無線 區域網安全 的難度,所以說相對於傳統有線區域網而言,無線區域網的安全問題顯得更為突出。其安全的內容主要體現在訪問控制與信息保密兩部分,目前已經有一些針對無線區域網的安全問題的解決 方法 ,但仍須不斷改善。下面一起來學習無線區域網安全技術知識。
1無線區域網中不安全因素
無線區域網攻擊可分為主動攻擊和被動攻擊兩類。主動攻擊是入侵者能夠針對數據和通信內容進行修改,主動攻擊主要有:
(1)信息篡改:網路攻擊者能夠針對網路通信數據進行刪除、增加或改動。
(2)數據截獲:是利用TCP/IP網路通信的弱點進行的,該方法會掠奪合法使用者的通信信道,進而獲得系統的操作許可權,截獲數據。
(3)拒絕服務攻擊:網路攻擊者通過各種可能的方法使網路管理者無法獲得系統資源及服務。
(4)重傳攻擊:網路攻擊者從網路上獲取某些通信內容,然後重新發送這些內容,以對伺服器認證系統實施欺騙。
被動攻擊主要是指網路入侵者取得對通信資源的存取許可權,但是並不對數據內容進行篡改。主要有:
(1)非法竊聽:入侵者針對通信數據進行偵聽。(2)流量分析:入侵者可以得知諸如網路伺服器位置及網路通信模式等相關信息。
2IEEE802.11標準的安全性
IEEE802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)認證和有線對等加密(W-EP)。
2.1認證
當一個站點與另一個站點建立網路連接之前,必須首先通過認證,執行認證的站點發送一個管理認證幀到一個相應的站點,IEEE802.11b標准詳細定義了兩種認證服務:一是開放系統認證是802.11b默認的認證方式,是可用認證演算法中簡單的一種,分為兩步,首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識別認證站點身份的幀。另一是共享密鑰認證,這種認證先假定每個站點通過一個獨立於802.11網路的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密演算法是有線等價加密(WEP)。
2.2WEP-WiredEquivalentPrivacy加密技術
WEP安全技術源自於名為RC4的RSA數據加密技術,以滿足用戶更高層次的網路安全需求。
WEP提供一種無線區域網數據流的安全方法,WEP是一種對稱加密,加密和解密的密鑰及演算法相同,WEP的目標是接入控制,防止未授權用戶接入網路,他們沒有正確的WEP密鑰。通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後,就可以與子系統內所有用戶安全通信,預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案是在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
2.3IEEE802.11的安全缺陷
無線區域網IEEE802.11的安全缺陷可以從以下幾個方面考慮:
(1)WEP的缺陷:密鑰管理系統不夠健全、安全機制提供的安全級別不高、數據包裝演算法不完善、認證系統不完善、初始化向量IV的操作存在不足。
(2)RC4加密演算法的缺陷:WEP採用RC4密碼演算法,RC4演算法的密鑰序列與明文無關,屬於同步流密碼(SSC)。其弱點是解密丟步後,其後的數據均出錯,若攻擊者翻轉密文中的bit位,解碼後明文中的對應比特位也是翻轉的,若攻擊者截獲兩個使用相同密鑰流加密的密文,可得到相應明文的異或結果,利用統計分析解密明文成為可能。(3)認證安全缺陷:IEEE802.11b標準的默認認證協議是開放式系統認證,實際上它是一個空的認證演算法。它的認證機制就已經給黑客入侵打開了方便之門。
(4)訪問控制的安全缺陷:封閉網路訪問控制機制,因為管理消息在網路里的廣播是不受任何阻礙的,因此,攻擊者可以很容易地嗅探到網路名稱,獲得共享密鑰;乙太網MAC地址訪問控製表,一是MAC地址很易被攻擊者嗅探到,二是大多數的無線網卡可以用軟體來改變MAC地址,偽裝一個有效地址,越過防線,連接到網路。
3無線區域網中安全技術
(1)有線對等保密協議WEP:WEP協議設計的初衷是使用無線協議為網路業務流提供安全保證,使得 無線網路 的安全達到與有線網路同樣的安全等級。是為了達到以下兩個目的:訪問控制和保密。
(2)Wi-Fi保護接入(WPA):制定Wi-Fi保護接入協議是為了改善或者替換有漏洞的WEP加密方式。WPA提供了比WEP更強大的加密方式,解決了WEP存在的許多弱點。
(3)臨時密鑰完整性協議(TKIP):TKIP是一種基礎性的技術,允許WPA向下兼容WEP協議和現有的無線硬體。TKIP與WEP一起工作,組成了一個更長的128位密鑰,並根據每個數據包變換密鑰,使這個密鑰比單獨使用WEP協議安全許多倍。
(4)可擴展認證協議(EAP):有EAP的支持,WPA加密可提供與控制訪問無線網路有關的更多的功能。其方法不是僅根據可能被捕捉或者假冒的MAC地址過濾來控制無線網路的訪問,而是根據公共密鑰基礎設施(PKI)來控制無線網路的訪問。雖然WPA協議給WEP協議帶來了很大的改善,它比WEP協議安全許多倍。
(5)訪問控製表:在軟體開發上採用的另一種保證安全的機制是基於用戶乙太網MAC地址的訪問控制機制。每一個接入點都可以用所列出的MAC地址來限制網路中的用戶數。如果用戶地址存在於列表中,則允許訪問網路,否則,拒絕訪問。
4企業無線區域網安全防範建議
無線區域網安全技術可以劃分為三種安全策略。多數安全產品提供商在配置安全系統時會採用這三種安全策略的組合。第一種策略是認證。這種策略包括判斷客戶端是否是授權的無線LAN用戶以及確定該用戶有什麼許可權。同時它也包括阻比非授權用戶使用無線LAN的機制。第二種策略是在用戶得到認證並接入無線LAN後維護會話的保密性機制。一般來說.保密性通過使用加密技術得以實現。最後一種策略是校驗信息的完整性。
企業用戶必須依據使用環境的機密要求程度,對使用的應用軟體進行評估。切入點是從無線區域網的連接上開始,要考慮四個基本安全服務:
(1)經常進行審查:
保護WLAN的每一步就是完成網路審查,實現對內部網路的所有訪問節點都做審查,確定欺騙訪問節點,建立 規章制度 來約束它們,或者完全從網路上剝離掉它們;審查企業內無線網路設施及無線覆蓋范圍內的詳細情況。
(2)正確應用加密:首先要選擇合適的加密標准。無線網路系統不可能孤立地存在,在企業環境里尤其如此,所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法
(3)認證同樣重要:加密可以保護信息不被解除,但是無法保證數據的真實性和完整性,所以必須為其提供匹配的認證機制。在使用的無線網路系統帶有認證機制的情況下可以直接利用。但是與加密一樣,要保證認證機制與 其它 應用系統能夠協同工作,在需要的情況下企業應該增加對WLAN用戶的認證功能(如使用RADIUS),也可配置入侵檢測系統(IDS),作為一種檢測欺騙訪問的前期識別方式。
(4)及時評估機密性:企業用戶要每個季度對網路使用情況進行一次評估,以決定根據網路流量來改變網路中機密性要求,有針對性來分網段傳輸信息。
(5)將無線納入安全策略:對於企業應用環境來說,將無線區域網安全問題納入到企業整體網路安全策略當中是必不可少的。
企業有關信息安全方面的所有內容,包括做什麼、由誰來做、如何做等等,應該圍繞統一的目標來組織,只有這樣才能打造出企業健康有效的網路安全體系。
5結束語
縱觀無線網路發展歷史,可以預見隨著應用范圍的日益普及,無線網路將面臨越來越多的安全問題。然而,新的安全理論和技術的不斷涌現使得我們有信心從容面對眾多安全挑戰,實現無線網路更廣泛的應用。
㈦ 如何確保家庭無線網路安全
方法/步驟
1
進入TP無線路由的WEB管理界面,瀏覽器輸入192.168.1.1即可,輸入用戶名和密碼,進入無線路由的web管理界面,選擇「無線設置」標簽,
END
方法/步驟2
在「無線設置」標簽的「基本設置」下,在右側取消「開啟SSID廣播」的勾選,保存。該操作是吧無線路由的SSID廣播取消,通常所說的隱藏SSID,隱藏後當無線連接此路由時,需要手動輸入正確的SSID號,不知道SSID號的人是無法和此路由器建立聯系的
在「無線設置」標簽下切換到「無線安全設置」,此頁面設置無線網路的安全密碼,根據系統提示,選擇WPA-PSK/WPA2-PSK加密類型,在PSK密碼處設置密碼(不少於8位),確定。
此操作是為了加密無線網路,提高安全性,不知道密碼的用戶,即是知道了SSID也不能和路由建立連接
經過以上步驟的設置,你的無線網路已經很安全了,但為了絕對的安全,下面將啟用終極設置,MAC過濾。
在「無線設置」標簽下切換到「無線mac地址過濾」,選擇「啟用過濾」,「過濾規則」選擇」禁止「,然後選擇「添加新條目」,彈出一個警告框,確定後進入下一個頁面,開始手動設置「無線網路MAC地址過濾設置」,在「mac地址」裡面手動輸入你打算可以連接到本無線網路的設備的mac(網卡地址,相當於身份證號碼,全球唯一性),狀態選擇「生效」,保存,返回,即可以將可以加入到本無線網路的設備添加進來,多次重復該步驟,可以添加多個設備,然後,保存路由。
PS:此步驟是將設備的mac和路由進行綁定,在允許列表的設備才可以上網,不在列表的設備,即使知道前2個步驟的SSID和無線密碼,也無法通過無線路由的安全認證,也不能加入本無線網路,這對於提高無線網路的安全有著極高的作用。
該步驟可以和前2步驟分離,也即是僅設置該步驟,將設備的mac進行綁定,這樣可讓有心蹭網的人抓狂,明明是無加密,信號很強的,為嘛不能連接?呵呵,這點是不是很強大呢?