无线网络安全论文范文
时间:2023-03-04 00:39:53
无线网络安全论文范文第1篇
[论文摘要]探讨无线网络中实现安全通信的若干手段,并对比它们之间的差异,供同行参考。
一、引言
无线通信采用无线电波传输,具有保密性强、移动性高、抗干扰性好、架设与维护容易等特点,还能支持移动计算,越来越成为室外通信的最佳方案。目前无线通信可以实现计算机局域网、无线接入、网际互联、图文传真、电子邮件、互联网浏览、数据采集和遥测遥控等,已经成为现代通信手段的重要组成部分。因此,无线网络的安全通信技术成为业界的研究热点。
二、无线网络的安全通信措施
(一)WLAN的安全保障
虽然目前广泛使用的跳频扩频技术可以让人难于截取,但也只是对普通人难而已,随着通信技术的飞速发展,相信很快就会普及起来。
IEEE802.11标准制定了如下3种方法来为WLAN的数据通信提供安全保障:
1.使用802.11的服务群标识符SSID。但是,在一个中等规模的WLAN上,即使每年只进行两次基本群标识符的人工修改,也足以证明这是一个低效的不可靠的安全措施。
2.使用设备的MAC地址来提供安全防范,显然这也是一个低水平的防护手段。
3.安全机制相比前两种效果要好得多,即WEP(WiredEquivalentPrivacy)。它是采用RC4算法来加密传输的网络分组,通过WEP协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接(即网络适配器验证,而不是利用网络资源进行加密的),还有其他的一些不可靠问题,人们在重要点的加密场合,都不使用WEP安全协议。
(二)VPN与IPSec的作用
VPN首先是用于在Internet上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域,甚至在不同的国家。VPN是一个加密了的隧道,在隧道中它对IP中的所有数据进行封装。在VPN中最常用的两种隧道协议是,点对点隧道协议PPTP和第二层隧道化协议LTP,它们分别是由微软和Cisco公司开发的。还有一种现在也在VPN中广泛使用的有隧道功能的协议即IPSec,它还是一个IETF建议IP层安全标准。IPSec首先是作为IPv4的附加系统实现的,而IPv6则将该协议功能作为强制配置了。
(三)IPSec协议及其实施
IPSec协议包括如下:验证头AH(Authentication),封装安全载荷ESP(EncapsulationSecurityPayload),Internet密钥交换IKE(InternetKeyExchange),Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)及转码。IPSec体系定义了主机和网关应该提供的各科能力,讨论了协议的语义,以及牵涉到IPSec协议同TCP/IP协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、载荷头的格式以及它们提供的服务,还定义了包的处理规则。转码方式定义了如何对数据进行转换,以保证其安全。这些内容包括:算法、密钥大小、转码程序和算法专用信息。IKE可以为IPSec协议生成密钥。还有一个安全策略的问题,它决定了两个实体间是否能够通信,采取哪一种转码方式等。
IPSec的工作模式有如下2种:
1.通道模式:这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时,也要选用通道模式。在通道模式中,IPSec模块在一个正常的普通IP数据包内封装了IPSec头,并增加了一个外部IP头。
2.传送模式:在传送模式中,AH和ESP保护的是传送头,在这种模式中,AH和ESP会拦截从传送层到网络层的数据包,并根据具体情况提供保护。例如:A、B是两个已配置好的主机,它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证,则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。
(四)一个实现无线通信加密的方法
在给出下面加密方案之前,首先确定加密的位置:综前所述,选择在TCP/IP协议的IP层进行加密(当然也含了解密功能,下同)处理,可以达到既便利又满足尽可能与上下游平台无关性。为了叙述方便,笔者定义一个抽象实体:加密模块,当它是一台PC或工控机时,它就是具备基本网络协议解析与转换功能的安全(加密)网关;当它是一个DSP或FPGA芯片时,它就是一个具备网络协议功能的加密芯片;当它是一个与操作系统内核集成的软件模块时,它就是一个加密模块。至此,就形成如下加密方案的雏形:
1.在无线网络的桥路器或是无线Hub与有线LAN间置一加密模块,这时可用一台功能强劲的PC或是工控机(方便户外携带使用),最好是双CPU的,具备强大的数学运算能力,实现网络层到链路层之间的功能和IP数据包的加解密功能。
2.BlackBox:对FPGA(FieldProgrammableGateArray)进行集群,初定为由3块FPGA芯片构成,1块加密,1块解密,1块进行协议处理。之所以要求集群,是基于这样一个事实:由独立的一块100-1000MIPS的FPGA芯片完成协议处理和加解密这样超强度的运算处理,缺乏可行性。
3.在购买第三方厂商的无线HUB及桥路器时,与厂商进行技术合作,要求他们在设备上提供FPGA的接口,逻辑上FPGA只完成IP包数据的加解密功能,不涉及协议处理(由厂商的软硬件平成)。但这涉及知识产权归属的问题,对厂商来说,由他们来实现这一点是非常容易的。
三、小结
网络协议是数据传输安全的基础,加密技术是数据传输完全的核心技术,通讯传输机制是数据传输安全的实现方式,网络管理是数据传输安全的保障,网络数据的安全传输是在多方面机制的共同作用下实现的。因此,研究网络安全机制也应从网络协议、网络管理、网络传输、数据加密及安全认证机制等多方面进行探讨,网络的安全性应当在网络运行机制中的各个环节中得到保障。
参考文献:
[1]赵冬梅、徐宁、马建峰,无线网络安全的风险评估[J].网络安全技术与应用,2006.(03).
[2]张东黎,无线网络安全与认证[J].网络安全技术与应用,2005.(04).
[3]黄晶,确保无线网络安全实现文件安全共享[J].微电脑世界,2002.(23).
无线网络安全论文范文第2篇
关键词:无线网络;数据安全;思考
一、无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
二、保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。:
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
三、结语
无线网络安全论文范文第3篇
[关键词]无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
[2]沈芳阳.基于IEEE802.11系列标准的无线局域网安全性研究[D].广东工业大学,2004.
无线网络安全论文范文第4篇
关键词:无线网络;安全威胁;安全技术;安全措施
无线网络的应用扩展了网络用户的自由,然而,这种自由同时也带来了安全性问题。无线网络存在哪些安全威胁?采取什么安全对策?我们对上述问题作一简要论述。
1无线网络存在的安全威胁
无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
1.1有线等价保密机制的弱点
IEEE(InstituteofElectricalandElectronicsEngineers,电气与电子工程师学会)制定的802.11标准中,引入WEP(WiredEquivalentPrivacy,有线保密)机制,目的是提供与有线网络中功能等效的安全措施,防止出现无线网络用户偶然窃听的情况出现。然而,WEP最终还是被发现了存在许多的弱点。
(1)加密算法过于简单。WEP中的IV(InitializationVector,初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(CyclicRedundancyCheck,循环冗余校验)只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。
(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
1.2进行搜索攻击
进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭AP(wirelessAccessPoint,无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条件。
1.3信息泄露威胁
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监听和分析通信量,从而识别出可以破解的信息。
1.4无线网络身份验证欺骗
欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。
1.5网络接管与篡改
同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。
1.6拒绝服务攻击
无线信号传输的特性和专门使用扩频技术,使得无线网络特别容易受到DoS(DenialofService,拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率,从而造成无线频谱内出现冲突;②攻击者发送大量非法(或合法)的身份验证请求;③如果攻击者接管AP,并且不把通信量传递到恰当的目的地,那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线,从很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量进行攻击。
1.7用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。
2无线网络采用的安全技术
采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。
2.1扩展频谱技术
扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、18、47、22……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。
2.2用户密码验证
为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。
2.3数据加密
数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,例如商业用或军用的网络,能有效地起到保密作用。
此外,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。
2.4WEP配置
WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。2.5防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
2.6端口访问控制技术
端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
2.7使用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
3无线网络采取的安全措施
要排除无线网络的安全威胁,另一种对策是采取如下八项安全措施。
3.1网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。
3.2网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(RemoteAccessServer,远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.3启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
3.4MAC地址过滤
MAC(MediaAccessController,物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。
3.5进行协议过滤
协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。
3.6屏蔽SSID广播
尽管可以很轻易地捕获RF(RadioFrequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。
3.7有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。
3.8加强员工管理
加强单位内部员工的管理,禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Adhoc网络结构;加强员工的学习和技术培训,特别是对网络管理人员的业务培训。
此外,在布置AP的时候要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社,2004.
[2]王乐.中国标准撼动Wi-Fi[J].电脑报,2003,(49).
无线网络安全论文范文第5篇
Wi-Fi技术是上世纪末由Wi-Fi联盟提出来的技术标准,属于在办公室和家庭中使用的短距离无线技术,主要应用于局域网中。除个别版本使用5GHz附近频段外,Wi-Fi技术主要使用2.4GHz或5GHz附近频段。当前应用的802.1la/b/g/n协议版本。Wi-Fi技术的定义其实只涉及数据链路层的MAC子层和物理层,上层协议和802.3的定义都遵守802.2。对于数据安全性,Wi-Fi技术中更多使用的是WEP或WPA加密方法来实现对网络访问的验证和数据的加密,而这两种加密方式都存在一定的安全风险,尤其是WEP协议。在WEP协议中,使用的RC4算法本身就有缺陷,同时协议没有密钥管理机制,缺少对数据包的身份认证。针对WEP的各种漏洞缺陷已经出现多种解密的工具,这些工具都能在拦截到足够多的数据信息的前提下,很快解析出WEP的用户密钥,信息量越大,解密速度越快。虽然WPA和WPA2的加密技术有很大的提高,但是仍有一定的安全风险。在WPA协议的4次握手包中包含和密码有联系的信息,可以依靠这个信息来进行字典攻击。在这里成功破解出信息,关键依赖良好的字典和运算速度。
2工业无线网络安全隐患
虽然Wi-Fi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点,但其本身在安全性方面存在缺陷,故采用Wi-Fi技术的工业无线网络也面临着不少安全威胁。
2.1容易被入侵
工业无线网络的无线信号是广播的状态,即在特定范围内的用户都可以发现Wi-Fi信号的存在,任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式,如WEP、WPA和WPA2协议等,但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络,一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码,一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外,还有可能利用社会工程学的入侵手段进行接入,如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。
2.2有限带宽容易被恶意攻击占用和地址欺骗
入侵者在接入Wi-Fi网络后发送大量的ping流量,或者向无线AP发送大量的服务请求,无线AP的消息均由入侵者接收,而真正的移动节点却被拒绝服务,严重的可能会造成网络瘫痪;入侵者同时发送广播流量,就会同时阻塞多个AP;攻击者在与无线网络相同的无线信道内发送信号,而被攻击的网络就会通过CSMA/CA机制进行自动使用,这样同样会影响无线网络的传输;恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见,入侵者恶意堵塞网络,极有可能是要故意破坏生产环境,造成一定的损失。在工业生产中可用性应该是第一位的,对工业网络安全来说,保证网络的可用性也是第一位的。所以这种威胁对工业无线网络来说威胁是比较大的。
2.3数据在传输的过程中很容易被截取
通过监听无线通信,入侵者可从中还原出一些敏感信息;当工业无线网络传输数据被截取后,入侵者甚至可能伪造某些指令给工业生产造成损失。
2.4伪造AP入侵者
可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中,无法正常工作。
2.5高级入侵
只要是入侵者采用合法或者非法手段接入无线城区,他就可以以此作为入侵其它系统的跳板,采用黑客手段攻击其它系统或网络,而他的行踪则很难被追寻;或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤,攻击者不但能够获取无线账户及密码,遭遇到更深层面的欺诈等。
3结束语
在面临的网络安全隐患中,对普通领域来说危害最大的就是入侵者通过对无线网络的入侵造成的数据泄漏,其次才是可用性。但是在工业领域恰恰相反,最看重的是可用性,可用性永远是第一位的,保证生产永远是第一位的。
无线网络安全论文范文第6篇
无线网络安全隐患的存在是多种因素综合作用的结果,根据调查统计目前照成无线网安全防范缺失的主要原因有以下三种:
(一)用户对无线网的防范意识非常差,广大的无线网用户在臣服于无线网强大的便利性的同时严重忽略了无线网的安全性,对这种高科技新生事物缺乏足够的敬畏和防范是当前无线网被不法分子广泛利用的重要原因。由于缺乏对无线网的保护,在使用的时候也就逐步的养成了多种不好的使用习惯,如无线网络设备长期处于开启状态;无线网络访问密码和互联网接入密码一致,而且长期不尽兴密码更换;任意将自己的终端设备接入陌生的无线网信号。这些行为都是非常危险的,随时有可能给自己带来麻烦和损失,因此我们的广大用户要保护无线网安全,首先就是要要提高防范意识。
(二)加密设施过于简单易破解。作为802.11b无线网络的安全协议标准wiredequivalentprivacy(简称WEP),通过对数据信息进行加密来为无线网提供安全保护。而事实上,这种加密方式在今天的社会已经很难起到有效的保护,通过一些黑客软件即可以进行破解。其次,如前文提到的,部分无线网提供者将无线信号访问密码和互联网接入密码设为一致,甚至通过无线信号可以直接访问互联网,这种方法虽然具有便利性但安全性却比较低。如果能够使用双重密码,其安全保护就将会有较大提高。
(三)无线网络信号具有开放性。在使用线缆传输的年代里,访问局域网内的资料必须将终端设备连接到局域网的线路上,这就具有较大的地域性,安全性相对较高。而无线网则具有开放性,在信号覆盖范围内谁都能看得到,如果信号能够得到进一步加强,那么地域限制就相对较小,从而给不法分子留下更大的作案空间。
二、保护无线网络安全的主要措施
(一)手动改变无线路由原始数据无线路由器由厂家生产出来之后都有一套统一的或者是具有一定规律性的数据信息,比如无线网络信号名称和密码,这两项是无线网访问的关键点,尤其是对于那些原始密码都一样的路由器,更需要及时进行手动更改无线信号名称和密码,避免其他人根据名称来获取路由器型号进而较容易的破解密码。同时在进行密码设置的时候应当使用难度较高的,比如密码内容包含大小写字母、数字和特殊符号。如果是单独的数字排列,尤其是具有序列性和规律性的数字排列是非常容易破解的。这点需要我们的用户养成良好的使用习惯,最好能够经常性对密码进行变更,其安全性就更好了。
(二)使用无线网络安全监控通过对无线网络进行监控,可以无间断的了解网络的使用情况和接入情况,一旦发现恶意接入或者出现遭受攻击的情况,可以通过监控系统对网络进行保护或者断开互联网接入和关闭无线信号,以此保护信息安全。
(三)对接入端口进行身份认证端口认证是一种无线局域网安全防范措施,当客户端需要访问无线网络时需要先进行802.1x进行认真,通过认证即可以利用接入点AP进入互联网,否则就无法接入到网络内部。这种方式增加了认真环节和破解难度,其目的在于阻止不合法的用户强行接入,能够对无线网起到较好的保护作用。
(四)将无线信号名设置为隐藏每一个无线网信号都可以设置名称,用户也是通过无线网卡扫描区域内的无线信号,然后根据对应的名称来选择接入点,但如果我们将自己的无线名称设置为隐藏,就只能通过手动添加网络名才能进行访问,这种情况下对陌生人来说,通过普通的扫描就接收不到该信号,也就不存在破解或者攻击的问题了。
(五)不要随意使用外界提供的无线网这一点主要是针对无线网使用者,当前许多被称为“低头族”的年轻人每到一个地方都习惯性的搜索无线网信号,希望有免费的Wi-Fi使用,事实上很多无线信号并不安全,当接入一个网络之后别人便可以通过网络信号窃取终端上的数据信息。这对用户来说是很不安全的,尤其是最新的技术显示网络病毒已经可以通过无线网进行传播,因此,我们的用户们最好养成良好的使用习惯,对陌生的无线网切忌盲目接入。
三、结语
在这个无线Wi-Fi随处可见的今天,无线网络已经深入社会生活的角角落落,无论是私人家庭还是公共的车站、机场、餐厅等几乎无处不在,当我们轻松的使用这些网络的时候其实危险就在我们身边。在这个信息化犯罪越来越便利越来越频繁的时代里,我们必须注重个人信息的保护,加强自我保护意识,充分利用现有的资源对所使用的无线网进行保护,养成良好的网络使用习惯,从而为自己提供保护,避免一是的疏忽大意而造成不可挽回的损失。
无线网络安全论文范文第7篇
关键词:无线网络 安全隐患 解决方案
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)09(a)-0018-01
1 引言
1.1 无线网络简介
无线网络是以电磁波为信息交换介质进行网络信息的传递与共享,根据网络覆盖范围、速率以及用途可大概分为以下几类。
无线广域网(WWAN,Wireless Wide Area Network)是通过卫星进行数据通信,覆盖范围广,典型技术有3G、4G传输速率较快。
无线城域网(WMAN,Wireless Metropolitan Area Network)主要是移动电话或车载装置移动通信,覆盖城市大部分地区,代表技术有IEEE802.20标准、IEEE802.16标准体系。
无线局域网(WLAN,Wireless Local Area Networks)覆盖范围较小,连接距离50~100m,代表技术有IEEE802.11系列和HomeRF技术。
无线个域网(WPAN,Wireless Personal Area Network)一般指个人计算中无线设备间的网络,传输距离一般为10 m,代表技术有IEEE802.15、ZigBee和Bluetooth技术。
无线体域网(BAN,Body Area Network)主要是指体表或体内传感器间的无线通信,多应用于医疗、军事方面,传输距离约为2m。
1.2 无线网络安全现状
无线网络传输媒体的开放性,、网络中应用终端的移动性、网络拓扑的动态性等都增加了网络安全风险。只要在特定无线电波范围内,通过适当的设备即可捕获网络信号,从而轻易传播病毒或间谍软件,且由于无线终端的计算和存储有限,故不能直接应用有线网络中的成熟的安全方案和相关技术。一般而言,由电信等ISP部署的较大无线网络,其安全机制较为完善,而中小规模的无线网络则可能由于技术水平、安全意识、硬件设备投入等因素造成安全性较低,总之,无线网络安全性能差,安全管理难度大,且管理措施实施困难。
2 无线网络安全问题
2.1 网络隐蔽性差
无线网络是运用射频技术连接网络,通过一定频率范围的无线电波传输数据,在信号范围内黑客可以凭借一台接受设备,例如,配有无线网卡的计算机便可轻易登陆该无线网。
2.2 防范意识差
很多无线网络用户都未设置安全机制或设置较为简易密码,这一现象多见家庭用户。这就为他人非法侵入提供了条件,埋下重大安全隐患。
2.3 窃听、截取和监听
所谓窃听是指偷听流经网络的计算机通信的电子形式;监听是对未使用加密认证的通信内容进行监听,并通过终端获得内容,或通过工具软件监听、截取并分析通信信息,来破解密钥得到明文信息,来辅助进一步攻击。
2.4 拒绝服务
这类攻击中攻击者恶意占用主机或网络几乎所有资源,或是攻击无线网络中的设备使其拒绝服务,再或是利用同频信号干扰无线信道工作,从而造成用户无法正常使用网络。
2.5 非授权访问
无线网络的开放身份验证只需提供SSID或正确WEP密钥即可,容易受黑客攻击。而共享机密身份验证的“口令-响应”过程则是通过明文传送的,故极易被破解用于加密的密钥。此外,由于802.1x身份验证只是服务器对用户进行验证,故容易遭到“中间人”窃取验证信息从而非法访问网络。
3 无线网络安全解决方案
3.1 接入控制
合理控制所有接入无线网络的所有的物理终端,例如,针对设备信号覆盖范围问题,须选择合理的位置,限制可达无线基站范围以内的控制访问量。
要求所有无线网络用户设置一个严格的身份验证安全机制,建立用户认证,对网络中的设备定期进行密码变换。也可利用直接序列扩频技术(DSSS)加强硬件的抗干扰性,利用WEP和WPA加密技术,避免入侵。面对授权用户设置授权区域和可访问的资源,对于非法入侵者一律拒绝访问。
3.2 隔离策略
在构建企业、校园无线网络时,要注意与内部网络的隔离,在AP和内网之间设置防火墙、筛选器等设备避免无线网络被攻击后的进一步的侵害。且由于无线网络用户的不确定性和移动性,需要对用户之间的互访进行隔离,使客户端只能访问AP接入的网络,保证各方之间的安全接入。
3.3 数据安全
对于无线网络中的数据安全,首先鼓励相关用户积极使用无线加密协议对无线网络中的信息进行加密,防止非法用户对无线网中的信息进行篡改、截取等操作。再者,无线网络数据安全防范主要措施在于网络动态主机配置协议的禁用,同时还要设置无线设备的MAC地址过滤功能,有效控制无线客户端的接入。此外合理管理IP分配方式也至关重要,或通过动态分配减轻繁琐的管理工作,或通过静态地址控制IP,防止入侵者自动获取。最后,无线网络之间的数据传输中要禁止SSID广播并改变服务集标识符,以保证用户终端接入点和网络设备之间的相对独立,从而确保无线网络数据的安全。
4 结语
无线网络进一步加强了人们日常生活与网络之间的联系,极大地便捷和丰富了人们的生活,尤其在电商经济高速发展的大背景下,它具有极大的经济前景,当然也要对其技术背后的安全性问题有足够认识,只有同时注意到它的优势与风险,才能更好发挥其潜力。
总之没有绝对安全的网络,只有足够的安全防范意识,合适的防范措施,不断改进的技术与管理才能真正保证无线网络环境的安全。
参考文献
[1] 朱建民.无线网络安全方法与技术研究[D].西安电子科技大学博士论文.
[2] 张丽.无线网络安全的思考[J].科技创新论坛・硅谷,2012(6).
[3] 杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2006(2).
[4] 孙亚旭.无线网络安全的解决方案研究:电子信息与计算机科学[J].河南科技,2014.
无线网络安全论文范文第8篇
关键词:无线网络;信息技术;网线;无线桥接
目前,人们生活在一个网络时代,科技的进步使无线网络普及到了千家万户。与有线网络相比,无线网络可以随时通过无线信号接入到无线网中,具有快捷、方便的特点,而且不会受到网线接头的限制。而无线网络也正是因为它的可移动性、灵活性、可扩展性等的一系列特点,在为人们工作生活带来极大便利的同时,也为使用者埋下了安全隐患。为此,本文就校园建设中无线网络安全问题及应对策略展开了分析,以期将无线网络变得更加安全、可靠。
1无线网络的优点
无线网络的优点有许多,具体而言有以下6个:①实现了无缝漫游。无线网络用户在利用无线终端设备上网时,在无线信号覆盖范围内可自由移动使用,AP切换不会造成不良影响。②实现了无线桥接。无线网络与有线网络互通,节省布线成本。③POE供电需要设备支持,通过网线供电使无线网络实施更加简化。④方便管理,易于扩展。通过设置设备自带软件,可以轻松接入网络,如果有DHCP或无需设置,用户接入数量多或想增大无线信号覆盖范围时,则只需增加AP,省去了传统网络设计、布线工作。⑤安全性高、移动性强,无线网络不受线缆束缚,用户可以在无线信号覆盖范围内实现移动学习、办公,且通过无线协议可满足数据传输安全性需求。⑥高效率、低成本。无线网络打破了空间束缚,使工作更加方便、快捷,效率更高,一个无线AP可同时接入数百个用户同时访问,投资和维护成本比有线信息网络大大降低。
2校园建设中的无线网络安全问题分析
无线网络由于其传播具有开放性,因此,易受到安全攻击,过于繁杂的安全设置又会降低用户的使用体验,如何使安全防御具有简单、使用的特点,是当前业内研究的热点。校园无线网络在学生中的使用人数已经达到了95%以上,无线网络攻击手段不断变化,最主要的有以下几种。2.1内、外部人员的入侵在有线网络中,计算机需要连接在网线上才可上网;无线网络则不同,只要在无线接入点(Thewirelessaccesspoint)覆盖范围内,任何无线终端设备都可以通过热点接入无线网络,无法确定其具置,且无线网络管理相对宽松,缺乏传输介质(光纤、双绞线、同轴电缆)的物理保护,导致未经授权的用户也可轻易进入网络,因此,存在很大的安全风险。比如,校园中的科研项目、师生论文等数据资料经常成为不法分子觊觎的对象,这些人利用无线AP开放性特点中存在的安全漏洞,通过会话欺骗、拦截等手段入侵网络系统,进而窃取重要资料,严重影响了校园网的用网安全。2.2网络窃听无线网络可以通过无线电波将数据传输到任何无线信号覆盖的地方,在此范围内可通过无线终端设备接收数据。这些数据大多以明文格式传输,因此,在给用户提供方便的同时,也极易被他人窃取,比如不法分子利用监视软件获取用户网址、聊天信息等,从这些数据信息中窥探用户隐私,谋取不正当的利益。用户数据被恶意破解往往会导致隐私泄露,个人利益受到威胁,进而威胁整个无线网络的安全。2.3WEP加密攻击WEP加密攻击大体分为以下3种:①不法分子在Windows环境下直接破解还原无线网络WEP加密密钥,通过对收集到的数据包进行破解,从而窃取用户的账户名称和密码;②通过对WEP安全协议的漏洞进行侦测,采取被动攻击或者主动攻击方式,对无线存取设备与用户间的通讯进行破解;③对WEP验证数据包进行复制,并反复发送虚假数据包,进而获取反馈信息,从而缩短收集验证数据包的时间,提高破解速度。因此,WEP加密对于不法分子而言,无异于半开着的大门。2.4移动无线网络攻击无线网络的攻击可以分为对移动终端的攻击和对移动核心网络的攻击,两种攻击方式相互支持,可提升攻击效果。其攻击方式包括利用伪基站攻击和利用通信协议漏洞攻击。这两种攻击都是以破坏用户通信为目的,利用木马对数据管理网络进行渗透,窃取用户信息,或对移动设备进行攻击,对无线网络的攻击与有线网络攻击目的相同,只是入口不同而已。
3保障无线网络安全的应对策略分析
3.1对入网用户进行筛查应从源头上防止不法分子入侵无线网络。校园无线网络在给师生带来方便、快捷的使用体验的同时,也存在很多安全隐患,而消除隐患最直接办法就是对入网用户进行资格验证,并将无线客户端的物理地址标识加入AP中的MAC地址列表,进行手工维护,从而实现对用户物理地址的过滤。由于这种方式需要手工维护,所以,扩展能力不足,并不适用于大型网络,同时,不法分子可通过盗用合法的MAC地址手段入侵。针对这一问题,目前采用VLAN+IP地址+MAC地址来唯一标识一个用户,从而防止不法分子鱼目混珠,非法入侵。在此基础上,还可利用设备制造商设定的服务集标识符(SSID)对用户群体进行分组,客户端出示正确的服务集标识符才能接入无线网络,避免潜在的安全威胁出现,尽可能地避免向外广播SSID或选择极难猜中的SSID,防止不法分子获得口令短语。3.2802.1x扩展认证协议基于802.1x的认证体系是由客户端设备、接入设备、后台RADIUS认证服务器三方完成的,采用标准安全协议提供集中的用户标识、身份验证、动态秘钥管理,从而消除无线网络的安全风险。RADIUS客户端配置的无线接入点可将连接请求发送到中央RADIUS服务器,RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,则该客户端获得身份验证,并生成唯一密钥,客户机与AP激活WEP,利用密钥可进行通信。3.3增强网络安全意识,加强网络管理上述几条措施可以在一定程度上防范不法分子的攻击,但无法杜绝,因此,校内师生应从自身出发,增强自身的安全防范意识,加强对无线网络设备的管理,定期查看服务器日志,利用无线入侵监测系统对不法分子的攻击行为提前预警,发现攻击行为果断采取措施,对异常终端设备进行屏蔽、拉黑,保证其他用户和整个校园无线网络的安全。校园无线网络摆脱了实体线路的束缚,具有广泛的应用需求,因此,保障无线网络信息的安全性是一项长期工作,需要根据互联网技术的发展,不断更新网络安全策略和安全设备,从而为无线网络用户提供安全的网络环境。
4结束语
综上所述,校园无线网络对学校及师生的成长和发展起着越来越重要的作用。构建稳定、安全和高效的无线网络是校园建设的必然趋势,但由于其本身具有的一些特性,导致无线网络存在诸多的安全问题,直接影响着校园系统的可靠性和稳定性。因此,为了满足校园师生对无线网络越来越高的要求,我们必须要面对当前不法分子各种各样的攻击手段,不断分析和调整应对策略,为师生提供一个安全的网络环境。
参考文献
[1]焦计划.校园无线网络安全存在的问题及应对策略探析[J].现代职业教育,2015(04).
[2]肖伟.无线网络安全问题与解决策略研究[J].网络安全技术与应用,2016(12).
[3]邱容.智慧校园建设中无线网络安全问题的探讨[J].通讯世界,2016(15).
无线网络安全论文范文第9篇
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
可以说,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于MAC地址的认证存在两个问题,一是数据管理的问题,要维护MAC数据库,二是MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
[1]杨峰,张浩军.无线局域网安全协议的研究和实现[J].计算机应用,2005,25(1):2.
无线网络安全论文范文第10篇
关键词:无线局域网;SSID;WEP协议;WPA协议
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4030-02
Enhance Wireless LAN Security
LIU Zhi-biao
(Fuyang Airport, Fuyang 236000, China)
Abstract: Setting up reasonable wireless network parameters and upgrade communication equipment firmware, It is to enhance the wireless network security foundation. Papers parsing the firmware upgrade, SSID Settings and encryption protocol application modes,As to promote wireless LAN security.
Key words: wireless lAN; SSID; WEP protocol; WPA protocol
无线网络不同于传统的有线局域网,只要在它的信号覆盖范围内,任何终端都可能接入该网络,因此无线网络的安全问题令人担忧。如何保障无线网络资源不被窃取和利用,需要如下几方面的改进和设置,就能增强无线网络安全。
1 升级无线路由器
无线路由器作为无线网络的核心通信设备,它所存在的安全隐患是最为致命的,设备中可能存在很多Bug,很容易被黑客利用,因此需要升级无线路由器的固件,修复它存在的问题和安全隐患。
1.1 固件版本
以“TP-LINK”无线路由器为例,运行Internet Explorer浏览器,在地址栏中输入“192.168.1.1/”后回车, “192.168.1.1”为该无线路由器的IP地址,然后输入管理员账号名和密码后,就登录到无线路由器管理界面。
依次展开“系统工具软件升级”项目,在右侧的“软件升级”框中,可以清楚的看到产品型号和固件版本。
知道了无线路由器设备的型号和固件版本后,就能下载该设备所需要的固件升级文件。建议从该设备的官方网站中下载,确保升级文件的完整性。
1.2 配置TFTP 服务器
“TP-LINK”无线路由器的升级需要“TFTP 服务器”的支持,固件文件程序包中已经包含该程序。解压固件文件包后运行“Tftpd32.exe”程序,简单配置TFTP 服务器。点击“Current Directory”栏中的“Browse”按钮, 指定好固件文件所在的目录,然后在“Server interface”下拉列表框中指定TFTP 服务器的IP地址,这个IP地址就是进行固件升级操作的电脑的IP地址。
完成TFTP 服务器的设置后,再次登录到无线路由器管理界面,在“软件升级”框中的“文 件 名:”栏中输入升级文件的名字,接着在“TFTP 服务器 IP:”栏中输入TFTP 服务器的IP地址。
最后点击“升级”按钮,开始进行固件升级,整个升级过程大约需要20秒钟,完成后自动重新启动无线路由器,这样就完成了无线路由器的固件升级。
完成无线路由器的固件升级后,可以修复无线设备所存在的安全隐患和漏洞,这样就确保了无线网络的安全。
2 增强SSID安全性
SSID是用来标识一个无线局域网的,它的全称是服务集标识符。要接入一个无线局域网,首先要知道该网络的SSID才行,因此SSID就为无线局域网提供了最低级别的安全访问控制功能,虽然它的安全控制功能有限,但复杂的SSID值可以增强无线局域网安全性。
登录到无线路由器管理界面,然后依次展开“无线设置基本设置”选项,进入到基本设置框体,找到“SSID号”输入栏,对SSID值进行修改,输入一个健壮的SSID值,如“DNZS2011-Net”,包含了大小写字符、数字和特殊符号“-”;此外一定要取消“允许SSID广播”前的钩选,否则为SSID设置再健壮的字符串值都会功亏一篑,最后点击“保存”按钮,重新启动无线路由器即可。
3 WEP加密提升安全性能
SSID安全功能较弱,有先天的不足,为进一步加强无线安全, 可以使用无线加密协议WEP。
3.1 设置WEP
首先登录到无线路由器管理界面,依次展开“无线设置基本设置”,在基本设置框体中,首先要选中“开启安全设置”选项。
接着在“安全类型”框中选择“WEP”选项,然后还要进行身份验证方式选择,这里提供了三个选项:自动选择、开放系统和共享密匙,为了安全起见,建议选择“共享密匙”项目。
下面指定WEP密匙的格式,这里提供了“16进制”和“ASCII码”两种方式,为了方便输入密匙,在“密钥格式选择”框中选择“ASCII码”。还要设置密匙的长度,在“密匙类型”框中进行选择,提供了64位、128位和152位,当然密匙长度越长越安全,根据需要自行选择,接着在“密匙”框中设置好WEP加密密匙,最后点击“保存”按钮,重新启动无线路由器就完成了WEP参数设置。
3.2 修改客户端
启用WEP加密方式后,还要修改客户端的无线网络参数设置。
右键点击系统托盘中的无线网卡图标,选择“状态”选项,点击“属性”,切换到“无线网络配置”标签页,在“首选网络”框中找到无线网络项目,点击“属性”,切换到“关联”标签页。
接着在“网络验证”框中选择“共享式”项目,“数据加密”框中选择“WEP”,然后在“网络密匙”栏中输入WEP密匙,最后点击“确定”按钮,就能再次接入无线网络了,并且无线网络就更加安全。
4 使用WPA加密协议
WEP加密协议增加了无线局域网的安全,但高明的黑客只要截获一定数量的数据包后,还是可以进行暴力破解的。要更近一步增强无线网络安全性,建议使用WPA加密协议。
4.1 设置WPA加密
在IE浏览器中,登录到无线路由器管理界面,依次展开“无线设置?基本设置”,在基本设置框体中要记得选中“开启安全设置”选项。
然后在“安全类型”框中选择“WPA-PSK/WPA2-PSK”选项,接着设置“安全选项”参数,提供了三种选择方式:自动选择、WPA-PSK和WPA2-PSK,这里选择“WPA-PSK”;下面设置加密方法,通常有两种:TKIP、AES,这里选择“TKIP”;然后还要设置“PSK密码”,要注意,该密码最短为8个字符,完成PSK密码设置,点击“保存”按钮,重新启动无线路由器后,以上设置就会生效。
4.2 修改客户端
应用了加密协议WPA-PSK后,客户端也必须修改。
右键点击托盘中的网卡图标,选择“状态”,点击“属性”,切换到“无线网络配置”标签页,在“首选网络”框中选中你的无线网络项目,点击“属性”,切换到“关联”标签页,下面根据无线局域网要求进行修改。
在“网络验证”栏中选择“WPA-PSK”,然后还要将“数据加密”项目修改为“TKIP”,接着还要在“网络密匙”栏中两次输入无线局域网的PSK密码,这个PSK密码和无线路由器的一定要相同才行;最后点击“确定”按钮,这样你的客户机就可以重新接入无线局域网。
了解以上四种安全应用方式后,根据需要进行选择,能极大的增强无线网络的安全性,防止不速之客的来访和黑客的攻击。
参考文献:
[1] 段水福.无线局域网(WLAN)设计与实现[M].杭州:浙江大学出版社,2009.
[2] 张健.无线局域网维护和测试[M].上海:上海交通大学出版社,2006.
[3] 陈升.无线局域网[M].北京:人民邮电出版社,2001.
[4] 戴有炜.Windows Server 2003网络专业指南[M].北京:清华大学出版社,2004.