【正文】 級本 科畢業(yè)設(shè)計(jì)論文 第 25 頁 共 26 頁 參 考 文 獻(xiàn) 1 賴小龍 . 無線局域網(wǎng)的安全技術(shù) [D] .西安電子科技大學(xué) ， 2020 2 倪 源 .無線局域網(wǎng)系統(tǒng)安全技術(shù)研究、應(yīng)用與實(shí)現(xiàn) :西安電子科技大學(xué) ， 2020 3 田海博 .無線局域網(wǎng)安全研究 .西安電子科技大學(xué) ， 2020 4 馮登國 .網(wǎng)絡(luò)安全原理與技術(shù) .北京：科學(xué)出版社 ， 2020 5 李濤 .網(wǎng)絡(luò)安全概論 .北京：電子工業(yè)出版社 ， 2020 6 方旭明 .下一代無線因特網(wǎng)技術(shù)：無線 mesh 網(wǎng)絡(luò) .北京：人民出版社 ， 2020 7 呂征宇 ， 陳國柱，錢照明，汪生 .電力電子中的數(shù)字化控制技術(shù) [J].機(jī)電工程 ，2020 8 朱洪波 ， 傅海陽等 .無線接入網(wǎng) (M).北京 :人民郵電出版社 ， 2020 9 沈慶國 .移動計(jì)算機(jī) 通信網(wǎng) 絡(luò) (M).北京 :人民郵電出版社 ， 1999. 10 劉元安等 .寬帶無線接入和無線局域網(wǎng) (M).北京：北京郵電出版社， 2020 11 sensor IEEE Information Theory Workshop,1998 139140 12 IEEE Working Group. (1999) ， Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Highspeed Physical Layer in the 5 GHz Band, IEEE 13 IEEE Working Group. (1999) ， Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: HigherSpeed Physical Layer Extension in the GHz Band， IEEE 14 L B puil， J M S Nogueira,A A P :a management acchitecture for wireless sensor munication magazine,2020,41 (2):116125 15 IEEE 一 1999， IEEE puter society， 1999 年 級本 科畢業(yè)設(shè)計(jì)論文 第 26 頁 共 26 頁 致 謝 。無線技術(shù)領(lǐng)域的活躍除表現(xiàn)在新技術(shù)不斷涌現(xiàn)外，還表現(xiàn)在其傳輸能力的不斷拓展。而自去年開始的WAPI 標(biāo)準(zhǔn)之爭，吸引了全球的關(guān)注目光。今年 4 月份，第三批 寬帶固定無線接入頻率評選（招標(biāo)）工作在我國進(jìn)行，使 MMDS 技術(shù)在我國的應(yīng)用進(jìn)一步擴(kuò)大，這也使 固定無線接入技術(shù)成為今年業(yè)界的熱點(diǎn)之一。今天，第三代移動通信 3G 格外引人矚目，成為無線通信產(chǎn)業(yè)的最大熱點(diǎn)。 無線局域網(wǎng)安全技術(shù) 主要包括 3G、 MMDS、 WLAN、 WiMax、 UWB 等五大熱點(diǎn)。需要注意的是，使用無線局域網(wǎng)的最終目標(biāo)不是消除有線設(shè)備，而是盡量減少線纜和斷線時(shí)間，讓有線與無線網(wǎng)絡(luò)很好地配合工作。 保障整個(gè)網(wǎng)絡(luò)安全是非常重要的，無論是否有無線網(wǎng)段，大多數(shù)的局域網(wǎng)都必須要有一定級別的安全措施。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過物理站點(diǎn)的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進(jìn)行，頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率，選擇小型的手持式檢測設(shè)備，管理員可以通過手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測。通過雙向認(rèn)證 ，可以有效的防止非法 AP 的接入。 4. 利用對 AP 的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法 AP 的接入 在無線AP 接入有線集線器的時(shí)候，可能會遇到非法 AP的攻擊，非法安裝的 AP會危害無線網(wǎng)絡(luò)的寶貴資源，因此必須對 AP 的合法性進(jìn)行驗(yàn)證。在傳 輸信息時(shí)，WEP 可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。 使用 端口認(rèn)證技術(shù)進(jìn)行身份認(rèn)證 使用 端口認(rèn)證技術(shù)配合后臺的 RADIUS 認(rèn)證服務(wù)器，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。 對無線局域網(wǎng)的安全防護(hù)應(yīng)考慮以下防范點(diǎn)和措施： 安全防范點(diǎn)： 1. 未經(jīng)授權(quán)用戶的接入 2. 網(wǎng)上鄰居的攻擊 3. 非法用戶截取無線鏈路中的數(shù)據(jù) 4. 非法 AP的接入 5. 內(nèi)部未經(jīng)授權(quán)的跨部門使用 相應(yīng)措施： 1. 使用各種先進(jìn)的身份認(rèn)證措施，防止未經(jīng)授權(quán)用戶的接入 由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達(dá)的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。許多用戶也常常會犯一些簡單錯(cuò)誤，如忘記啟動 WEP 功能，從而使無線連接成為不設(shè)防的連接，用戶沒有在企業(yè)防火墻的外部設(shè)置 AP，結(jié)果使攻擊者利用無線連接避開防火墻，入侵局域網(wǎng)。 面對形形色色的無線安全方案， 我們 需要保持清醒：即使最新的 也存在缺陷，沒有一種方案就能解決所有安全問題。安全標(biāo)準(zhǔn)的完善，無疑將有利于推動 WLAN 應(yīng)用。當(dāng)級本 科畢業(yè)設(shè)計(jì)論文 第 22 頁 共 26 頁 然無線局域網(wǎng)的各項(xiàng)技術(shù)均處在快速的發(fā)展過程當(dāng)中，但 54Mbps 的無線局域網(wǎng)規(guī)范IEEE 及 IEEE 將是 整個(gè)無線局域網(wǎng)業(yè)的熱點(diǎn)。此外，更改接入點(diǎn)上的缺省管理密碼和 SSID，并實(shí)施動態(tài)密鑰 ()或定期配置密鑰更新，這樣有助于最大限度地減少非法接入網(wǎng)絡(luò)的可能性。 安全制度建設(shè) 制定安全制度，進(jìn) 行定期安全檢查。 用戶安全教育 各級組織的網(wǎng)絡(luò)技術(shù)人員可以讓辦公室中的每位網(wǎng)絡(luò)用戶負(fù)責(zé)安全性，將所有網(wǎng)絡(luò)用戶作為“安全代理”，明確每位員工都負(fù)有安全責(zé)任并分擔(dān)安全破壞費(fèi)用，以幫助管理風(fēng)險(xiǎn)。 安全培訓(xùn)及制度建設(shè) 技術(shù)人員重視安全技術(shù)措施 從最基本的安全制度到最新的訪問控制 、數(shù)據(jù)加密協(xié)議，各級組織的網(wǎng)絡(luò)技術(shù)主管部門都需要采用最高安全保護(hù)措施。例如，應(yīng)將 AP置于接近建筑物中心的地方，遠(yuǎn)離外向墻壁或窗戶。 級本 科畢業(yè)設(shè)計(jì)論文 第 21 頁 共 26 頁 安全指標(biāo) 制定了安全規(guī)劃后，在選擇無線產(chǎn)品時(shí)，要仔細(xì)查看設(shè)備是否提供 SSID、 MAC 地址綁定、 WEP、 WPA、 TKIP、 AES 等安全機(jī)制，以保證無線網(wǎng)絡(luò)的順利部署。盡管 在某個(gè)時(shí)間瞬間所耗的功率可能較少，但在 網(wǎng)絡(luò)上傳輸／接收有意義的應(yīng)用數(shù)據(jù)量的時(shí)間卻可能比 ／ g 無線局域網(wǎng)長出五倍，支持更長的傳輸／接收時(shí)間所需的功率使 的功效大大低于 ／ g。 ／ g調(diào)制的功效比 高出二至三倍。 傳輸性能及功耗 無線產(chǎn)品目前主要有 、 、 標(biāo)準(zhǔn)。 從數(shù)據(jù)加密考慮 無線網(wǎng)絡(luò)的數(shù)據(jù)完全是在空氣中傳輸，只要處于該無線信號覆蓋范圍內(nèi)，就很容易通過其他無線設(shè)備截取信息，因此，保密性和安全性對無線產(chǎn)品尤為重要。支持 協(xié)議的 RADIUS 技術(shù)，提高了 WLAN 的用戶認(rèn)證能力， 技術(shù)能夠?yàn)橛脩魩砀咝?、靈活的無線網(wǎng)絡(luò)安全解決方案。 5 無線安全機(jī)制 制定安全規(guī)劃 各級組織在建設(shè) WLAN 時(shí)，在有數(shù)據(jù)安全需求時(shí)，保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)傳輸?shù)陌踩欠浅Ｖ匾膯栴}，必須確保重要數(shù)據(jù)不外泄和完整性，制定合理的安全規(guī)劃。哈里斯公司開發(fā)的安全無線局域網(wǎng) —— Harris SecNet 11 采用增強(qiáng)的 2 層隧道協(xié)議，目前美國國家安全局已允許政府使用。私有的 WEP 安全技術(shù)對 WEP 的形式進(jìn)行一定改變，但是還是容易被攻擊，而且私有協(xié)議不能互相兼容。但也有的將采用其他保密安全技術(shù)。 加 密安全技術(shù) 及技術(shù)比較 表 對幾種主要的無線加密技術(shù)進(jìn)行了比較。 VPN 支持中央安全管理，不足之處是需要在客戶機(jī)中進(jìn)行 數(shù)據(jù)的加密和解密，增加了系統(tǒng)的負(fù)擔(dān)，另外要求在 AP 后面配備 VPN 集中器，從而提高了成本。它不屬于 標(biāo)準(zhǔn)定義，是以另外一種強(qiáng)大的加密方法來保證傳輸安全的技術(shù)，可以和其它的無線安全技術(shù)一起使用。而在使用 WPA 時(shí)，系統(tǒng)頻繁地更新主密鑰，確保每一個(gè)用戶的數(shù)據(jù)分組使用不同的密鑰加密，即使截獲很多的數(shù)據(jù)，破解起來也非常地困難。WPA 不僅是一種比 WEP 更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。 WPA 還追加了防止數(shù)據(jù)中 途被篡改的功能和認(rèn)證功能。通過這種處理，所有客戶端的分組信息所交換的數(shù)據(jù)將由各個(gè)不相同的密鑰加密而成。 WPA 之所以比 WEP 更可靠，就是因?yàn)樗倪M(jìn)了 WEP 的加密算法。為了滿足不同要求用戶的需要， WPA 中規(guī)定了兩種應(yīng)用模式： 企業(yè)模式：通過使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機(jī)制來保護(hù) 無線網(wǎng)絡(luò)通信安全。 WPA實(shí)際上是 IEEE 的一個(gè)子集，其核心就是 IEEE 和 TKIP。而且黑客有可能發(fā)現(xiàn)網(wǎng)絡(luò)傳輸，然后利用這些工具來破解密鑰，截取網(wǎng)絡(luò)上的數(shù)據(jù)包，或非法訪問網(wǎng)絡(luò)。 WEP 標(biāo)準(zhǔn)在保護(hù)網(wǎng)絡(luò)安全方面存在固有缺陷，例如一個(gè)服 務(wù)區(qū)內(nèi)的所有用戶都共級本 科畢業(yè)設(shè)計(jì)論文 第 18 頁 共 26 頁 享同一個(gè)密鑰，一個(gè)用戶丟失或者泄漏密鑰將使整個(gè)網(wǎng)絡(luò)不安全。 無線局域網(wǎng)數(shù)據(jù)加密技術(shù) WEP(Wired Equivalent Privacy)有線等效保密 為了保證數(shù)據(jù)能安全地通過無線網(wǎng)絡(luò)傳輸而制定的一個(gè)加密標(biāo)準(zhǔn)，使用了共享 秘鑰 RC4 加密算法，只有在用戶的加密密鑰與 AP 的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。另外，無線路由器不僅支持多種用戶 WPA： EAPTLS、 EAPTTLS、 EAPPEAP；還在無線路由器間采用以WPA 為基礎(chǔ)的認(rèn)證功能，對新加入網(wǎng)絡(luò)的無線路由器進(jìn)行認(rèn)證，防止非法無線路由器接入。對于具有 WPA（ ）功 能的用戶而言，無線路由器會將用戶的認(rèn)證信息經(jīng)過 IPSec加密隧道 “ 透明地 ” 傳送到網(wǎng)絡(luò)中心的 RADIUS 認(rèn)證服務(wù)器進(jìn)行合法性認(rèn)證。每個(gè)無線路由器間均建立經(jīng)過加密的 IPSec 隧道，以便安全地傳送所有用戶的數(shù)據(jù)業(yè)務(wù)、內(nèi)部信令處理和管理信息，也就是說數(shù)據(jù)在無線路由器之間的傳送都處于 IPSec保護(hù)之下。所有的無線路由器可以使用基于 Web 的配置來進(jìn)行配置和監(jiān)控，所有的配置信息使用 HTTPS 進(jìn)行保護(hù)，這樣網(wǎng)絡(luò)管理者可以安全的配置和監(jiān)控每一個(gè)無線路由器。使用 128bit AES 加密 PWRP 路由協(xié)議傳輸?shù)墓?jié)點(diǎn)身份和路由選擇路徑信息。在三、四層 Tropos 使用 VPN 來實(shí)現(xiàn)網(wǎng)絡(luò)接入控制和保護(hù)數(shù)據(jù)傳輸。 （ 5）抑制網(wǎng)絡(luò)名（ ESSID）：接入點(diǎn)允許管理員有選擇的抑制網(wǎng)絡(luò)可用性的廣播，這樣可以使非法的節(jié)點(diǎn)不能發(fā)現(xiàn)接入點(diǎn)，除非他使用探測工具。 （ 4）使用 MAC 地址接入控制列表：接入點(diǎn)通過設(shè)置可接入名單和黑名單來進(jìn)接級本 科畢業(yè)設(shè)計(jì)論文 第 17 頁 共 26 頁 入控制。 WPA 利用 EAP和 RADIUS 提供更強(qiáng)的認(rèn)證，它還提供了基于 的端口接入控制。但是WEP 被證明易受被動攻擊，如果單獨(dú)使用不能提供充分的安全性。 鏈路層的保護(hù)是無線網(wǎng)絡(luò)安全機(jī)制的第一步，但是單獨(dú)的鏈路層保護(hù)不能提供對敏感數(shù)據(jù)的保護(hù)。 網(wǎng)的安全解決方案 目前 Tropos的 TroposMetroMesh方