無線局域網(wǎng)安全性分析畢業(yè)論文

1、<p>　　無線局域網(wǎng)安全性分析與探討</p><p><b>　　摘要</b></p><p>　　無線局域網(wǎng)WLAN本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)，它是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。隨著互聯(lián)網(wǎng)的高速發(fā)展，無限網(wǎng)絡(luò)將是未來發(fā)展的趨勢(shì)。本文簡(jiǎn)要介紹了無限局域網(wǎng)的相關(guān)技術(shù)，分析了無限局域網(wǎng)面臨的若干安全威脅，并有針對(duì)性地提出了安全保障措施。 　　關(guān)鍵詞：無

2、線局域網(wǎng)；網(wǎng)絡(luò)安全；措施。 </p><p><b>　　目 錄</b></p><p>　　第1章　無線局域網(wǎng)安全發(fā)展</p><p>　　1.1無線局域網(wǎng)安全攻略</p><p>　　1.2無線網(wǎng)絡(luò)的安全進(jìn)程</p><p>　　1.3多元化的無線安全策略</p><p

3、>　　1.4 Wi-Fi保護(hù)接入</p><p>　　第2章 無線局域網(wǎng)安全技術(shù)研究的必要性</p><p>　　2.1 無線局域網(wǎng)安全的重要性</p><p>　　第3章 無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷</p><p>　　3.1 IEEE 802.11標(biāo)準(zhǔn)本身的安全問題 </p><p>　　3.

4、2 靜態(tài)密鑰的缺陷</p><p>　　3.3訪問控制機(jī)制的安全缺陷</p><p>　　第4章 無線局域網(wǎng)安全保障措施</p><p>　　4.1 防止非法用戶接入的保障措施</p><p>　　4.2　防止非法AP接入的保障措施</p><p>　　4.3 數(shù)據(jù)傳輸?shù)陌踩员ＷC</p><

5、;p>　　4.4　數(shù)據(jù)訪問控制的安全策略 </p><p>　　4.5 VDN技術(shù)的運(yùn)用</p><p>　　第一章　無線局域網(wǎng)安全發(fā)展</p><p>　　由于無線局域網(wǎng)采用公共的電磁波作為載體，因此對(duì)越權(quán)存取和竊聽的行為也不容易防備?，F(xiàn)在，大多數(shù)廠商生產(chǎn)的無線局域網(wǎng)產(chǎn)品都基于802.11b標(biāo)準(zhǔn)，802.11b標(biāo)準(zhǔn)在公布之后就成為事實(shí)標(biāo)準(zhǔn)，但其安全協(xié)議WE

6、P一直受到人們的質(zhì)疑。如今，能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備已經(jīng)能夠在市場(chǎng)上買到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在Internet上下載。無線局域網(wǎng)安全問題已越發(fā)引起人們的重視，新的增強(qiáng)的無線局域網(wǎng)安全標(biāo)準(zhǔn)正在不斷研發(fā)中。 </p><p>　　我國(guó)現(xiàn)已制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)

7、是否持有合法的證書，以期完成雙向認(rèn)證、接入控制、會(huì)話密鑰生成等目標(biāo)，達(dá)到安全通信的目的。了解無線局域網(wǎng)安全技術(shù)的發(fā)展，使我們能夠更加清楚地認(rèn)識(shí)到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面.有利于無線局域網(wǎng)安全技術(shù)的研究。</p><p>　　1.1 無線局域網(wǎng)安全攻略</p><p>　　安全問題始終是無線局域網(wǎng)的軟肋，一直制約著無線局域網(wǎng)技術(shù)的進(jìn)一步推廣。從無線局域網(wǎng)技術(shù)的發(fā)展來看，人們一直都致力于解

8、決無線局域網(wǎng)的安全問題。了解無線網(wǎng)絡(luò)的安全進(jìn)程，有助于用戶采取有效的安全措施。</p><p>　　1.2 無線網(wǎng)絡(luò)的安全進(jìn)程</p><p>　　在無線局域網(wǎng)的早期發(fā)展階段，物理地址（MAC）過濾和服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配是兩項(xiàng)主要的安全技術(shù)。物理地址過濾技術(shù)可以在無線訪問點(diǎn)AP中維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。服務(wù)區(qū)標(biāo)識(shí)符匹配則要求無線工作站出示正確的SSID，

9、才能訪問AP，通過提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的無線安全。</p><p>　　1.3 多元化的無線安全策略</p><p>　　面對(duì)形形色色的無線安全方案，用戶需要保持清醒：即使最新的802.11i也存在缺陷，沒有一種方案就能解決所有安全問題。例如，許多Wi-Fi解決方案當(dāng)前所提供的128位加密技術(shù)，不可能阻止黑客蓄意發(fā)起的攻擊活動(dòng)。許多用戶也常常會(huì)犯一些簡(jiǎn)單錯(cuò)誤，如忘記啟動(dòng)WEP功能，從

10、而使無線連接成為不設(shè)防的連接，用戶沒有在企業(yè)防火墻的外部設(shè)置AP，結(jié)果使攻擊者利用無線連接避開防火墻，入侵局域網(wǎng)。對(duì)于用戶來說，與其依賴一種安全技術(shù)，不如選擇適合實(shí)際情況的無線安全方案，建立多層的安全保護(hù)機(jī)制，這樣才能有助于避免無線技術(shù)帶來的安全風(fēng)險(xiǎn)。</p><p>　　1.4 Wi-Fi保護(hù)接入</p><p>　　Wi-Fi保護(hù)接入（Wi-Fi Protected Access，WP

11、A）是作為通向802.11i道路的不可缺失的一環(huán)而出現(xiàn)，并成為在IEEE 802.11i 標(biāo)準(zhǔn)確定之前代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。 在Wi-Fi推出的初期，專家也建議用戶通過VPN進(jìn)行無線連接。VPN采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩PSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術(shù)。IPSec VPN運(yùn)行在網(wǎng)絡(luò)層，保護(hù)在站點(diǎn)之間的數(shù)據(jù)傳輸安全，要求遠(yuǎn)程接入者必須正確地安裝和配置客戶端軟件或接入設(shè)備，將

12、訪問限制在特定的接入設(shè)備、客戶端程序、用戶認(rèn)證機(jī)制和預(yù)定義的安全關(guān)系上，提供了較高水平的安全性。SSL被預(yù)先安裝在主機(jī)的瀏覽器中，是一種無客戶機(jī)的解決方案，可以節(jié)省安裝和維護(hù)成本。</p><p>　　對(duì)于安全性要求高的用戶，將VPN安全技術(shù)與其他無線安全技術(shù)結(jié)合起來，是目前較為理想的無線局域網(wǎng)安全解決方案</p><p>　　第二章　無線局域網(wǎng)安全技術(shù)研究的必要性</p>

13、<p>　　2.1無線局域網(wǎng)安全的重要性</p><p>　　無線局域網(wǎng)在帶來巨大應(yīng)用便利的同時(shí)，也存在許多安全上的問題。由于局域網(wǎng)通過開放性的無線傳輸線路傳輸高速數(shù)據(jù)，很多有線網(wǎng)絡(luò)中的安全策略在無線方式下不再適用，在無線發(fā)射裝置功率覆蓋的范圍內(nèi)任何接入用戶均可接收到數(shù)據(jù)信息，而將發(fā)射功率對(duì)準(zhǔn)某一特定用戶在實(shí)際中難以實(shí)現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時(shí)也帶來了安全性方面的新的挑戰(zhàn)。　　IEE

14、E標(biāo)準(zhǔn)化組織在發(fā)布802.11標(biāo)準(zhǔn)之后，也已經(jīng)意識(shí)到其固有的安全性缺陷，并針對(duì)性的提出了加密協(xié)議（如WEP）來實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和完整性保護(hù)。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對(duì)無線局域網(wǎng)的接入控制。但隨后的研究表明，WEP協(xié)議同樣存在致命性的弱點(diǎn)。為了解決802.11中安全機(jī)制存在的嚴(yán)重缺陷，IEEE802.11工作組提出了新的安全體系，并開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i，其針對(duì)WEP機(jī)密機(jī)制的各種缺陷作了多方面的改進(jìn)，并

15、定義了RSN（Robust Security Network）的概念，增強(qiáng)了無線局域網(wǎng)的數(shù)據(jù)加密和認(rèn)證性能。IEEE802.11i建立了新的認(rèn)證機(jī)制，重新規(guī)定了基于802.1x的認(rèn)證機(jī)制，主要包括TKIP（Tempo</p><p>　　由于WLAN通過無線電波在空中傳輸數(shù)據(jù)，不能采用類似有線網(wǎng)絡(luò)那樣通過保護(hù)通信線路的方式來保護(hù)通信安全，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能

16、接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊無法起作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，無線網(wǎng)絡(luò)給網(wǎng)絡(luò)用戶帶來了自由，同時(shí)帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。 </p><p>　　無線局域網(wǎng)必須考慮的安全要素有3個(gè)：信息保密、身份驗(yàn)證和訪問控制。如果這3個(gè)要素都沒有問題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)

17、設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。 </p><p>　　第三章　無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷</p><p>　　3.1　IEEE 802.11標(biāo)準(zhǔn)本身的安全問題 </p><p>　　無線局域網(wǎng)具有接人速率高、傳輸移動(dòng)數(shù)據(jù)方便、組網(wǎng)靈活等優(yōu)點(diǎn)，因此發(fā)展迅速。但由于無線局域網(wǎng)是基于空間進(jìn)行傳播，因此傳播方式具有開放性

18、，這使無線局域網(wǎng)的安全設(shè)計(jì)方案與有線網(wǎng)絡(luò)相比有很大不同。無線網(wǎng)絡(luò)不但要受到基于傳統(tǒng)TCP/IP架構(gòu)的有線網(wǎng)絡(luò)方式的攻擊，而且因?yàn)闊o線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE 802.11，其本身設(shè)計(jì)方面也存在缺陷，安全漏洞很多，并且缺少密鑰管理的方案，所以通過IEEE 802.11標(biāo)準(zhǔn)本身的漏洞也能夠?qū)o線局域網(wǎng)進(jìn)行攻擊。 </p><p><b>　　靜態(tài)密鑰的缺陷</b></p><

19、;p>　　靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲(chǔ)器中，因此當(dāng)適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時(shí)告知管理員，否則將產(chǎn)生嚴(yán)重的安全問題。及時(shí)的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題，但當(dāng)用戶少時(shí)，管理員可以定期更新這個(gè)靜態(tài)配置的密鑰，而且工作量也不大。但是在用戶數(shù)量可觀時(shí)，即便可以通過某些方法對(duì)所有AP（接入點(diǎn)）上的密鑰一起更新以減輕管理員的配置任務(wù)，管理員及時(shí)更新這些密鑰

20、的工作量也是難以想像的　　 </p><p>　　3.3　訪問控制機(jī)制的安全缺陷</p><p>　　1．封閉網(wǎng)絡(luò)訪問控制機(jī)制：幾個(gè)管理消息中都包括網(wǎng)絡(luò)名稱或SSID，并且這些消息被接入點(diǎn)和用戶在網(wǎng)絡(luò)中廣播，并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱，獲得共享密鑰，從而連接到“受保護(hù)”的網(wǎng)絡(luò)上。  　　2．以太網(wǎng)MAC地址訪問控制表：MAC地址很容易的就會(huì)被攻擊者

21、嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進(jìn)行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個(gè)有效地址，越過訪問控制。</p><p>　　第四章　無線局域網(wǎng)安全保障措施</p><p>　　4.1　防止非法用戶接入的保障措施 </p><p>　　對(duì)不同的AP設(shè)置不同的S

22、SID，只有無線工作站通過正確的SSID才能訪問對(duì)應(yīng)的AP，這樣不同的用戶組可以設(shè)置不同的權(quán)限，并對(duì)用戶所訪問的資源也可以設(shè)置不同的權(quán)限加以限制。 </p><p>　　另外，每個(gè)無線客戶端的網(wǎng)卡都有唯一的MAC地址，可以在AP中設(shè)置一組允許訪問的MAC地址列表，這個(gè)過程可以通過手工的方式來實(shí)現(xiàn)物理地址過濾。加入RADIUS認(rèn)證服務(wù)器可以解決網(wǎng)絡(luò)中AP數(shù)量太多的問題，通過使用802.1x端口認(rèn)證技術(shù)對(duì)所有接入無線

23、網(wǎng)絡(luò)的用戶進(jìn)行嚴(yán)格的身份認(rèn)證，防止未經(jīng)授權(quán)用戶接入網(wǎng)絡(luò)，非法使用或者破壞數(shù)據(jù)。 </p><p>　　4.2　防止非法AP接入的保障措施 </p><p>　　上面的討論只能防止非法用戶接人無線局域網(wǎng)，但如果不限制非法AP，任何人都可以通過非法AP不經(jīng)過授權(quán)而連人無線網(wǎng)絡(luò)。防止非法AP的接入有以下一些措施： </p><p>　　一是通過入侵檢測(cè)系統(tǒng)防止非法AP接入

24、。可以分以下兩步：查找非法AP和消除非法AP。查找非法AP的方法是完成數(shù)據(jù)包的捕獲和解析，它是通過分布于網(wǎng)絡(luò)各處的探測(cè)器來完成的。這些探測(cè)器能準(zhǔn)確無誤地記錄所有無線設(shè)備的操作，并通知IDS系統(tǒng)或網(wǎng)絡(luò)管理員。找到AP后，如果AP合法，則該AP會(huì)出現(xiàn)在合法AP認(rèn)證列表(ACL)中，如果新檢測(cè)到的AP的相關(guān)參數(shù)沒有出現(xiàn)在列表中，那么再去識(shí)別這個(gè)AP的SSID和MAC地址、無線媒介類型、提供商以及信道。如果新檢測(cè)到的AP的SSID和MAC地址、

25、無線媒介類型、提供商以及信道異常，就可以認(rèn)為它是非法AP。 </p><p>　　二是通過檢測(cè)設(shè)備防止非法AP的接入。這種方法主要是在非法用戶使用無線網(wǎng)絡(luò)之前，就通過接收天線來查找非法AP的信號(hào)。對(duì)非法AP的監(jiān)測(cè)應(yīng)當(dāng)不間斷地反復(fù)進(jìn)行，不間斷的、反復(fù)的監(jiān)測(cè)可增加發(fā)現(xiàn)非法AP站點(diǎn)的概率。管理員可以手持小型的檢測(cè)設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)，如果發(fā)現(xiàn)非法接入的AP應(yīng)及時(shí)清除。 </p><p&g

26、t;　　4.3　數(shù)據(jù)傳輸?shù)陌踩员ＷC </p><p>　　為了保障無線局域網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸，我們?cè)跓o線局域網(wǎng)中使用了數(shù)據(jù)訪問控制技術(shù)和數(shù)據(jù)加密技術(shù)。數(shù)據(jù)訪問控制技術(shù)的使用能夠?qū)?shù)據(jù)權(quán)限進(jìn)行控制，而數(shù)據(jù)加密技術(shù)的應(yīng)用使非法用戶即使竊取了無線網(wǎng)絡(luò)中的數(shù)據(jù)也無法使用。 </p><p>　　IEEE 802.11標(biāo)準(zhǔn)定義了有線對(duì)等保密協(xié)議(WEP)。該協(xié)議在鏈路層加密數(shù)據(jù)，其目的是保護(hù)無線局

27、域網(wǎng)中的鏈路層數(shù)據(jù)，WEP采用了RC4對(duì)稱加密算法，此算法由RSA開發(fā)，密鑰長(zhǎng)度為40位。 </p><p>　　4.4　數(shù)據(jù)訪問控制的安全策略 </p><p>　　訪問控制的目的是防止合法資源在沒有授權(quán)的情況下進(jìn)行訪問，即所謂非授權(quán)訪問，包括未經(jīng)授權(quán)而泄露、使用、破壞、改動(dòng)和發(fā)布指令等。訪問者需要通過認(rèn)證，但這并不能完全接入無線局域網(wǎng)，訪問者還需要獲得訪問控制權(quán)限，才能在獲得的權(quán)限范圍

28、內(nèi)訪問網(wǎng)絡(luò)資源，而獲得權(quán)限的過程就是由訪問控制機(jī)制來實(shí)現(xiàn)的。 </p><p>　　4.5　VDN技術(shù)的運(yùn)用 </p><p>　　無線網(wǎng)絡(luò)安全性能保障的另一重要技術(shù)就是VPN技術(shù)。 </p><p>　　VPN技術(shù)可以實(shí)現(xiàn)3個(gè)方面安全保障：用戶認(rèn)證、數(shù)據(jù)加密和數(shù)據(jù)認(rèn)證。用戶認(rèn)證是保障只有授權(quán)的合法用戶才能夠訪問無線網(wǎng)絡(luò)。數(shù)據(jù)加密是非法用戶即使截獲了傳輸信號(hào)，沒有足

29、夠的手段和技術(shù)也無法知道傳輸?shù)膬?nèi)容。數(shù)據(jù)認(rèn)證保證數(shù)據(jù)的權(quán)限，只有獲得權(quán)限的用戶才能夠訪問相應(yīng)的資源。 </p><p><b>　　第五章　結(jié)束語</b></p><p>　　雖然無線局域網(wǎng)存在比有線網(wǎng)絡(luò)更多的安全問題，但這并不能限制無線局域網(wǎng)的迅猛發(fā)展。本文分析了無線局域網(wǎng)存在的安全問題，并給出了相應(yīng)的解決措施，我們的最終目的是加強(qiáng)無線網(wǎng)絡(luò)的安全防范，不斷更新安全解