毕业论文无线局域网安全性分析.doc

江西省高等教育自学考试计算机网络技术专业本/专科毕业论文/设计论文题目：无线局域网安全性分析与探讨论文作者：准考证号：010910300117作者单位：南昌理工学院指导教师： 主考学校：南昌理工学院完成时间：  2012年  3   月摘要无线局域网WLAN本质上是一种网络互连技术，它是计算机网络与无线通信技术相结合的产物。随着互联网的高速发展，无限网络将是未来发展的趋势。本文简要介绍了无限局域网的相关技术，分析了无限局域网面临的若干安全威胁，并有针对性地提出了安全保障措施。 关键词：无线局域网；网络安全；措施。 目 录第1章无线局域网安全发展 1.1无线局域网安全攻略 1.2无线网络的安全进程 1.3多元化的无线安全策略 1.4 Wi-Fi保护接入第2章 无线局域网安全技术研究的必要性 2.1 无线局域网安全的重要性第3章 无线局域网的安全现状及安全性缺陷3.1 IEEE 802.11标准本身的安全问题 3.2 静态密钥的缺陷 3.3访问控制机制的安全缺陷第4章 无线局域网安全保障措施4.1 防止非法用户接入的保障措施 4.2防止非法AP接入的保障措施 4.3 数据传输的安全性保证4.4数据访问控制的安全策略 4.5 VDN技术的运用第5章 无线局域网安全威胁与安全技术类型 5.1安全威胁的类型 5.2安全技术的类型结束语致谢参考文献第一章无线局域网安全发展 由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也不容易防备。现在，大多数厂商生产的无线局域网产品都基于802.11b标准，802.11b标准在公布之后就成为事实标准，但其安全协议WEP一直受到人们的质疑。如今，能够截获无线传输数据的硬件设备已经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视，新的增强的无线局域网安全标准正在不断研发中。 我国现已制定了无线认证和保密基础设施WAPI，并成为国家标准，于2003年12月执行。WAPI使用公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。了解无线局域网安全技术的发展，使我们能够更加清楚地认识到无线局域网安全标准的方方面面.有利于无线局域网安全技术的研究。1.1 无线局域网安全攻略安全问题始终是无线局域网的软肋，一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看，人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程，有助于用户采取有效的安全措施。1.2 无线网络的安全进程在无线局域网的早期发展阶段，物理地址（MAC）过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。1.3 多元化的无线安全策略面对形形色色的无线安全方案，用户需要保持清醒：即使最新的802.11i也存在缺陷，没有一种方案就能解决所有安全问题。例如，许多Wi-Fi解决方案当前所提供的128位加密技术，不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误，如忘记启动WEP功能，从而使无线连接成为不设防的连接，用户没有在企业防火墙的外部设置AP，结果使攻击者利用无线连接避开防火墙，入侵局域网。对于用户来说，与其依赖一种安全技术，不如选择适合实际情况的无线安全方案，建立多层的安全保护机制，这样才能有助于避免无线技术带来的安全风险。1.4 Wi-Fi保护接入Wi-Fi保护接入（Wi-Fi Protected Access，WPA）是作为通向802.11i道路的不可缺失的一环而出现，并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。 在Wi-Fi推出的初期，专家也建议用户通过VPN进行无线连接。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN是目前两种具有代表意义的VPN技术。IPSec VPN运行在网络层，保护在站点之间的数据传输安全，要求远程接入者必须正确地安装和配置客户端软件或接入设备，将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上，提供了较高水平的安全性。SSL被预先安装在主机的浏览器中，是一种无客户机的解决方案，可以节省安装和维护成本。对于安全性要求高的用户，将VPN安全技术与其他无线安全技术结合起来，是目前较为理想的无线局域网安全解决方案第二章无线局域网安全技术研究的必要性 2.1无线局域网安全的重要性 无线局域网在带来巨大应用便利的同时，也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据，很多有线网络中的安全策略在无线方式下不再适用，在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息，而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。IEEE标准化组织在发布802.11标准之后，也已经意识到其固有的安全性缺陷，并针对性的提出了加密协议（如WEP）来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明，WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷，IEEE802.11工作组提出了新的安全体系，并开发了新的安全标准IEEE802.11i，其针对WEP机密机制的各种缺陷作了多方面的改进，并定义了RSN（Robust Security Network）的概念，增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制，重新规定了基于802.1x的认证机制，主要包括TKIP（Temporal Key Integri  ty Protoco1），CCMP（Counter CBCMAC Protoco1）和WRAP（Wireless RobustAuthenticated Protoco1）等3种加密机制，同时引入了新的密钥管理机制，也提供了密钥缓存、预认证机制来支持用户的漫游功能，从而大幅度提升了网络的安全性。由于WLAN通过无线电波在空中传输数据，不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全，所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据，要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用，任何人在视距范围之内都可以截获和插入数据。因此，无线网络给网络用户带来了自由，同时带来了新的挑战，这些挑战其中就包括安全性。 无线局域网必须考虑的安全要素有3个：信息保密、身份验证和访问控制。如果这3个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。 第三章无线局域网的安全现状及安全性缺陷 3.1IEEE 802.11标准本身的安全问题 无线局域网具有接人速率高、传输移动数据方便、组网灵活等优点，因此发展迅速。但由于无线局域网是基于空间进行传播，因此传播方式具有开放性，这使无线局域网的安全设计方案与有线网络相比有很大不同。无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击，而且因为无线局域网的主流标准为IEEE 802.11，其本身设计方面也存在缺陷，安全漏洞很多，并且缺少密钥管理的方案，所以通过IEEE 802.11标准本身的漏洞也能够对无线局域网进行攻击。 3.2 静态密钥的缺陷 静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量可观时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是难以想像的 3.3访问控制机制的安全缺陷1封闭网络访问控制机制：几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。  2以太网MAC地址访问控制表：MAC地址很容易的就会被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。第四章无线局域网安全保障措施 4.1防止非法用户接入的保障措施 对不同的AP设置不同的SSID，只有无线工作站通过正确的SSID才能访问对应的AP，这样不同的用户组可以设置不同的权限，并对用户所访问的资源也可以设置不同的权限加以限制。 另外，每个无线客户端的网卡都有唯一的MAC地址，可以在AP中设置一组允许访问的MAC地址列表，这个过程可以通过手工的方式来实现物理地址过滤。加入RADIUS认证服务器可以解决网络中AP数量太多的问题，通过使用802.1x端口认证技术对所有接入无线网络的用户进行严格的身份认证，防止未经授权用户接入网络，非法使用或者破坏数据。 4.2防止非法AP接入的保障措施 上面的讨论只能防止非法用户接人无线局域网，但如果不限制非法AP，任何人都可以通过非法AP不经过授权而连人无线网络。防止非法AP的接入有以下一些措施： 一是通过入侵检测系统防止非法AP接入。可以分以下两步：查找非法AP和消除非法AP。查找非法AP的方法是完成数据包的捕获和解析，它是通过分布于网络各处的探测器来完成的。这些探测器能准确无误地记录所有无线设备的操作，并通知IDS系统或网络管理员。找到AP后，如果AP合法，则该AP会出现在合法AP认证列表(ACL)中，如果新检测到的AP的相关参数没有出现在列表中，那么再去识别这个AP的SSID和MAC地址、无线媒介类型、提供商以及信道。如果新检测到的AP的SSID和MAC地址、无线媒介类型、提供商以及信道异常，就可以认为它是非法AP。 二是通过检测设备防止非法AP的接入。这种方法主要是在非法用户使用无线网络之前，就通过接收天线来查找非法AP的信号。对非法AP的监测应当不间断地反复进行，不间断的、反复的监测可增加发现非法AP站点的概率。管理员可以手持小型的检测设备随时到网络的任何位置进行检测，如果发现非法接入的AP应及时清除。 4.3数据传输的安全性保证 为了保障无线局域网络数据的安全传输，我们在无线局域网中使用了数据访问控制技术和数据加密技术。数据访问控制技术的使用能够对数据权限进行控制，而数据加密技术的应用使非法用户即使窃取了无线网络中的数据也无法使用。 IEEE 802.11标准定义了有线对等保密协议(WEP)。该协议在链路层加密数据，其目的是保护无线局域网中的链路层数据，WEP采用了RC4对称加密算法，此算法由RSA开发，密钥长度为40位。 4.4数据访问控制的安全策略 访问控制的目的是防止合法资源在没有授权的情况下进行访问，即所谓非授权访问，包括未经授权而泄露、使用、破坏、改动和发布指令等。访问者需要通过认证，但这并不能完全接入无线局域网，访问者还需要获得访问控制权限，才能在获得的权限范围内访问网络资源，而获得权限的过程就是由访问控制机制来实现的。 4.5VDN技术的运用 无线网络安全性能保障的另一重要技术就是VPN技术。 VPN技术可以实现3个方面安全保障：用户认证、数据加密和数据认证。用户认证是保障只有授权的合法用户才能够访问无线网络。数据加密是非法用户即使截获了传输信号，没有足够的手段和技术也无法知道传输的内容。数据认证保证数据的权限，只有获得权限的用户才能够访问相应的资源。 第五章 无线局域网安全威胁与安全技术类型 5.1 安全威胁的类型安全威胁类型由于无线局域网采用公共的电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体，因此在一个AP所服务的区域中，任何一个无线客户端都可以接受到此接人点的电磁波信号，这样就可能包括一些恶意用户也能接收到其他无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网当中，去窃听或干扰信息就来得容易得多。目前WLAN所面临的安全威胁主要有网络窃听、AP中间人欺骗、WEP破解、MAC地址欺骗等。5.2安全技术类型安全技术类型为了有效保障无线局域网（WLAN）的安全性，就必须实现以下几个安全目标：提供接入控制：验证用户，授权他们接人特定的资源，同时拒绝未经授权的用户提供接入；确保连接的保密与完好：利用强有力的加密和校验技术，防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。防止拒绝服务（DoS）攻击：确保不会有用户占用某个接入点的所有可用带宽，从而影响其他用户的正常接人。针对需实现的安全目标，常采用的无线网络安全技术主要有：服务区标识符（SSID）匹配、无线网卡MAC过滤、WEP、端口访问控制技术（IEEE802. 1X）和可扩展认证协议（EAP）、WPA（Wi.Fi保护访问）技术、高级的无线局域网安全标准一IEEE802.11i。结束语 虽然无线局域网存在比有线网络更多的安全问题，但这并不能限制无线局域网的迅猛发展。本文分析了无线局域网存在的安全问题，并给出了相应的解决措施，我们的最终目的是加强无线网络的安全防范，不断更新安全解决方案，使无线网络更好地为我们服务，让我们的生活更加自由。致谢参考文献1贾光炯。浅谈无线局域网的安全性J.广东通信技术，2005，（2）