无线网络技术论文

计算机新技术专题课程论文论文题目：无线局域网的安全技术分析姓名：曾 亮学号：0643041176专业：网络工程班号：06304012评阅成绩：无线局域网的安全技术分析网络工程专业学生 曾亮摘要 随着无线技术运用的日益广泛，无线网络的安全问题越来越受到人们的关注。通常 网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权 用户进行访问，而数据加密则保证发射的数据只能被所期望的用户所接收和理解。对于有线 网络来说，访问控制往往以物理端口接入方式进行监控，它的数据输出通过电缆传输到特定 的目的地，一般情况下，只有在物理链路遭到破坏的情况下，数据才有可能被泄漏，而无线 网络的数据传输则是利用微波在空气中进行辐射传播，因此只要在Access Point （AP）覆盖的 范围内，所有的无线终端都可以接收到无线信号， AP 无法将无线信号定向到一个特定的接 收设备，因此无线的安全保密问题就显得尤为突出。关键词：访问控制数据加密IEE802。111端口访问控制一无限局域网络技术介绍无线局域网可以在普通局域网基础上通过无线Hub、无线接入站（Access Point， AP， 亦译作网络桥通器）、无线网桥、无线Modem及无线网卡等来实现，以无线网卡最为普 遍，使用最多。不过，无线网络产品通常是一机多用。例如，几乎所有无线网络产品都 自含无线发射/接收功能，有的无线路由器覆盖了无线网桥的功能，一些无线MoDEM 经适当组合可以形成无线集线器（Hub），具有组合灵活、多样等特点。例如，用CyLink公司 的 AIRLINK 无线 MoDEM 系列产品、 TAL 公司的 REMoTE cLIENT 无线路由器、 AccEss PoINT 无 线网桥，都可以分别组成城域级无线网。与有线网络一样，无线局域网同样也需要传送介质。 但它不是使用双绞线或者光纤， 而是红外（IR）或者射频（RF）波段，以后者使用居多。红外线局域网采用小于1mm波长的红外线作为传输媒体，有较强的方向性，受太阳 光的干扰大；支持12Mbps数据速率，适于近距离通信。而采用射频作为媒体，覆盖 范围大，发射功率较自然背景的噪声低，基本避免了信号的偷听和窃取，使通信非常安 全。这其中，无线局域网一般普遍采用扩频微波技术，主要是由于如下因素：第一，它使用的频段有三个，L频段（902MHz928MHz）、S频段（2.4GHz2.4835GHz）、 C频段（5.725GHz5.85GHz）。大多数产品使用S频段，这个频段也叫ISM（ Industry Science Medical）即工业科学医疗频段，该频段在美国不受FCC （美国联邦通信委员会）的限制， 属于工业自由辐射频段。第二，采用扩频技术，特别是直接序列扩频调制方法具有抗干扰抗噪声能力、抗衰 落能力，隐蔽性、保密性强，不干扰同频的系统等性能特点，具有很高的可用性。无线网通信协议通常采用 iEEE802.3 和 802.11， 802.3 用于点对点方式， 802.11 用于 一点对多点方式。 无线局域网的拓扑结构可分为两类：无中心拓扑（对等式拓扑）和有中心拓扑。无 中心拓扑的网络要求网中任意两点均可直接通信。 采用这种结构的网络一般使用公用广 播信道，而信道接入控制（MAC ）协议多采用载波监测多址接入（CSMA ）类型的多址 接入协议。有中心拓扑结构中则要求一个无线站点充当中心站，所有站点对网络的访问 均由中心站控制。二者的拓扑结构如图所示。对于不同局域网的应用环境与需求，无线局域网可采取不同的网络结构来实现互连。网桥连接型：不同的局域网之间互连时，由于物理上的原因，若采取有线方式不 方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的 物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的 通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换中心自 行组网，还可以通过广域网与远地站点组建自己的工作网络。 Hub接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线 Hub组 网方式相类似的优点。在该结构基础上的无线局域网，可采用类似于交换型以太网的工 作方式，要求Hub具有简单的网内交换功能。无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使 用公用广播信道， MAC 层采用 CSMA 类型的多址接入协议。举例来说，某单位总部的一座大楼内已建成一条有线局域网，在总部大楼外有七个 分部需要与大楼内的有线网相连。总部大楼外的七个分部，至总部最远距离15km，最近3km，其中有两个在一栋建筑物内已建成一个小有线局域网，各分部一般拥有 2至4 台工作站。这种情况下采用无线局域网比较适合。由于使用射频进行工作，要求两个通信点的 天线之间最好没有物体遮挡，但由于大楼处于繁华地带，因此选择一个楼层较高的分部 作为无线局域网的中心站点。在中心站点上接入一个无线接入点，其它各分部通过接入 一个站适配器与中心站点进行通信，分部大楼内的有线局域网则通过接入一个无线网桥 与中心站点的无线接入点进行通信。这样各分部与总部所有站点对无线局域网的访问均 通过中心站点的控制来实现，它们共享中心站点无线接入点的 3M 带宽。二无线安全基本技术访问控制：利用ESSID、MAC限制，防止非法无线设备入侵为了提高无线网络的安全性，在IEEE802.11b协议中包含了一些基本的安全措施，包括： 无线网络设备的服务区域认证 ID （ESSID）、MAC 地址访问控制以及 WEP 加密等技术。 IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一 个服务区域认证ID，每当无线终端设备要连上AP时，AP会检查其ESSID是否与自己的ID 一致，只有当AP和无线终端的ESSID相匹配时，AP才接受无线终端的访问并提供网络服务， 如果不符就拒绝给予服务。利用ESSID，可以很好地进行用户群体分组，避免任意漫游带来 的安全和访问性能的问题。每个AP可以设置特定的ESSID(可以相同)，同时每块无线网卡也可以设置ESSID,只有 当AP和网卡的ESSID匹配时，AP才接受无线网卡的访问。利用ESSID,可以很好地进行用户 群体分组，避免任意漫游带来的安全和访问性能的问题，另一种限制访问的方法就是限制接 入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥 有唯一的MAC地址，在AP内部可以建立一张“MAC地址控制表”(Access Control),只有 在表中列出的MAC才是合法可以连接的无线网卡，否则将会被拒绝连接oMAC地址控制可以 有效地防止未经过授权的用户侵入无线网络。铺跳艇中測昨阳叫,站10,M, 加岳.万一洋屈通翥也不A&OMflGPW ASPWEP.C0111100011 .M l I lObDOl 0每一块无线网卡拥有唯一的MAC地址，由厂方出厂前设定，无法更改。AP内部可以建 立一张“MAC地址控制表”，只有在表中列出的MAC才是合法可以连接的无线网卡，否则会 被拒绝连接使用ESSID和MAC地址限制来控制访问权限的方法相当于在无线网络的入口增加 了一把锁，提高了无线网络使用的安全性。在搭建小型无线局域网时，使用该方法最为简单、 快捷，网络管理员只需要通过简单的配置就可以完成访问权限的设置，十分经济有效。数据加密：基于 WEP 的安全解决方案无线网络安全的另一重要方面数据加密可以通过WEP(Wired Equivalent Privacy)协议 来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过WiFiTM 认证的无线局域网络产品所支持的一项标准功能，由国际电子与电气工程师协会(IEEE)制 定，其主要用途是： 提供接入控制，防止未授权用户访问网络；WEP加密算法对数据进行加密，防止数据被攻击者窃听； 防止数据被攻击者中途恶意纂改或伪造。WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证 功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet4/7给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误， 才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或(与)128位的静态WEP 加密，有效地防止数据被窃听盗用。BGAD7BAiiovnCflbrtn-A PMAC:OOSOB3 B6SA90IMACiOOgOBS &685SDOOBOB3 66AO7S006003 6CSA9O MOOBQAO M0C63OOBQAQ 5OTGIA利用128位WEP加密，使得数据在无线发射之前进行复杂的编码处理，在接受之后通过 反向处理获取原数据。这种加密方式确保数据如果泄漏，也不会暴露数据的原值由于WEP密钥必须通过人工手动设置，因此AboveCable建议在无线覆盖范围不是很大，终 端用户数量不是很多，且对安全要求不是很高的应用环境下使用该技术是最经济且方便的 无线安全基本技术特别适合一些小型企业、家庭用户等小型环境的无线网络应用，无需额 外的设备支出，配置方便，且安全防护性好，从终端的访问控制到数据链路中的数据加密都 定义了有效的解决方案。有了这些技术，用户可以快速地建立起一个安全的无线网络环境 即节约了成本又可达到预计的安全目标，使无线网络的使用价值大大提高。三新一代无线安全技术IEEE80211i在某些场合，如大型企业、银行、证券行业，其现有的网络结构比较复杂且对网络的安 全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。为了进一步加强无线网 络的安全性，IEEE802.11工作组目前正在开发作为新的安全标准的“IEEE802.11i”，并 且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草 案中主要包含加密技术：TKIP (Temporal Key Integrity Protocol)和 AES (Advanced Encryption Standard)，以及认证协议：IEEE802.1x。在IEEE 802.11i标准最终确定前，WPA (WiFiTM Protected Access)技术将成为代替WEP 的无线安全标准协议，为IEEE 802.11无线局域网提供更强大的安全性能WPA是 IEEE802.11i的一个子集，其核心就是IEEE802.1X和TKIP。IEEE3D2 11.WPA； r.-.lrI6EEM2,1VEAPH去*匚i,TKIPIEEE802.11i是新一代的无线安全标准。在IEEE 802.11i标准最终确定前，WPA技术将成 为代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x 和 TKIPTKIP新一代的加密技术TKIP与WEP 样基于RC4加密算法，且对现有的WEP进行了改进，在 现有的 WEP 加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完 整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算 法，极大地提高了加密安全强度。TKIP与当前WiFiTM产品向后兼容，而且可以通过软件进 行升级，AboveCable无线产品完全支持WiFiTM标准，只需要简单的软件升级就可以实现对 TKIP 的支持。AESIEEE 802.11i中还定义了一种基于“高级加密标准” AES的全新加密算法，以实施更强大的加 密和信息完整性检查。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的 加密性能，它将在IEEE 802.11i最终确认后，成为取代WEP的新一代的加密技术，为无线网 络带来更强大的安全防护。端口访问控制技术（IEEE8021x）和可扩展认证协议（EAP）IEEE802.1x 是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行 认证和控制。IEEE802.1X可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只 有在认证通过以后才能连接网络。IEEE802.1X本身并不提供实际的认证机制，需要和上层认 证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类 型，能与后台不同的认证服务器进行通讯，如远程接入拨入用户服务（RADIUS）。AboveCable HotSopt AP已经加入了对IEEE802.1X和EAP的支持，大大提高了无线网络的安全 性能，为各行业安全地使用无线网络提供了坚实的基础，完全可以满足企业、学校、物流仓 储等对网络安全要求较高的无线用户的需求。IEEE802.1X认证过程如下：1）无线终端向AP发出请求，试图与AP进行通讯；2）AP 将加密的数据发送给验证服务器进行用户身份认证；3）验证服务器确认用户身份后，AP允许该用户接入；4）建立网络连接后授权用户通过AP访问网络资源；WPA（WiFi Protected Access）规范WPA是一种可替代WEP的无线安全技术，在IEEE 802.11i标准最终确定前，将为IEEE802.11 无线局域网（WLAN）提供更强大的安全性能。WPA是IEEE802.11i的一个子集，其核心就是 IEEE802.1X 和 TKIP。WPA 考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全保护（企 业级），否则可能会泄漏非常重要的商业机密；而家庭用户往往只是使用网络来浏览Internet、收发 email、打印和共享文件，这些用户对安全的要求相对较低。为了满足不同要求用户的需要， WPA中规定了两种应用模式：企业模式：通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式（包括小型办公室）：在AP （或者无线路由器）以及连接无线网络的无线终端上输 入共享密钥来保护无线链路的通信安全。IEEE802.1x 认证过程参考文献： 1TCP/IP 协议集2 于杨绿盟科技来自空中的威胁3 无线网络安全技术应用方案4 JAMES F.KUROSE KEITH W.ROSE 计算机网络