關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文

關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文

因無線網(wǎng)絡(luò)的出現(xiàn)，使信息交流的速度和質(zhì)量有了提高，有助于為許多用戶提供方便快捷的網(wǎng)絡(luò)服務(wù)。具體來說，無線媒介由于開放式設(shè)計的蔓延，以信號在傳輸過程中信號的傳輸介質(zhì)，以實施有效的保護，這使得傳輸信號盡可能不被他人截獲不法分子在網(wǎng)絡(luò)上的攻擊的漏洞，造成了很多困難。以下是小編為大家整理到的關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文，歡迎大家前來閱讀。

關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文一：

自從20世紀90年代以來，互聯(lián)網(wǎng)和移動通信是信息產(chǎn)業(yè)發(fā)展最快的兩個領(lǐng)域，它們直接影響了億萬人的生活，互聯(lián)網(wǎng)能夠使人們獲取各種各樣想要知道的信息，移動通信則使人們可以任何時間、任何地點和任何人進行聯(lián)絡(luò)。無線網(wǎng)絡(luò)能夠?qū)⒒ヂ?lián)網(wǎng)和移動通信很好的結(jié)合起來，使得人們可以在任何時間和任何地點同任何人進行聯(lián)網(wǎng)。你可以想象這樣的情形嗎?校園里學生帶著他們的筆記本電腦校園里漫步時，坐在草坪上討論問題時或則在咖啡廳里靜靜的學習時，都能夠從圖書館中獲得他們想要知道的信息，而這些正是無限網(wǎng)絡(luò)讓它們變成了現(xiàn)實。

一、無線通信的類型

計算機無線方式通信使用的無線電波(短波，微波或FM)和光波(紅外，激光)。這些無線通訊媒體有自己的特點和適用性。

(一)紅外和激光：易受天氣，沒有穿透力，在實踐中難以適用。

(二)短波或超短波：類似廣播電視，使用載波的振幅，頻率或相位調(diào)制，通信距離可以達到幾十公里，長期使用電腦通信，但幅度速度慢，安全性差，有沒有一個單一性別的溝通。和窄范圍的通信，都與其他無線電或電器設(shè)備的干擾，可靠性差，易受他人干擾。和通道的擁擠，和樂隊需要專門申請。這樣沒有無線網(wǎng)絡(luò)的基本要求。

(三)微波爐：微波收入，作為一個計算機網(wǎng)絡(luò)通信信道的頭發(fā)烘干機，因為它的高頻率，它可以實現(xiàn)高速數(shù)據(jù)傳輸速率，受天氣影響非常小。這種高頻通信兩個彼此可視化，但一定的滲透和控制波通信的角度是非常有用的。

二、無線網(wǎng)絡(luò)的特點

(一)移動性強。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛，只要在有無線網(wǎng)絡(luò)信號覆蓋的地區(qū)則可以在該地區(qū)內(nèi)任何位置訪問互聯(lián)網(wǎng)，并且支持自由移動和持續(xù)連接，能夠完美的解決移動辦公問題。

(二)高速帶寬。隨著無限網(wǎng)絡(luò)的發(fā)展，用戶對速率傳輸率要求越來越高，IEEE802.11g無限局域網(wǎng)實現(xiàn)的物理層關(guān)鍵調(diào)制技術(shù)隨著WLAN技術(shù)應(yīng)用日益廣泛，其最高傳輸率為54Mbps，很好的滿足了用戶的需求。

(三)維護成本低。雖然無限網(wǎng)絡(luò)搭建的初期投入的成本會比較高，但對于后期來說，維護則相對的方便，運行的費用也相比有線網(wǎng)絡(luò)大約低50%左右。

三、無線網(wǎng)絡(luò)的安全威脅

因無線網(wǎng)絡(luò)的出現(xiàn)，使信息交流的速度和質(zhì)量有了提高，有助于為許多用戶提供方便快捷的網(wǎng)絡(luò)服務(wù)。具體來說，無線媒介由于開放式設(shè)計的蔓延，以信號在傳輸過程中信號的傳輸介質(zhì)，以實施有效的保護，這使得傳輸信號盡可能不被他人截獲不法分子在網(wǎng)絡(luò)上的攻擊的漏洞，造成了很多困難。另一個由于無線網(wǎng)絡(luò)的傳輸介質(zhì)，無線終端移動性和動態(tài)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，以及無線終端的計算能力和存儲能力的限制，開放性，使得一些安全方案和技術(shù)在有線網(wǎng)絡(luò)環(huán)境可以不適用于直接無線網(wǎng)絡(luò)，而且還安全計劃的實施，增加了許多限制。因此，如何在網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)計的無線網(wǎng)絡(luò)信號有效的安全機制，已成為當前無線網(wǎng)絡(luò)的主要問題。

無線網(wǎng)絡(luò)的基本原則是連接一臺計算機終端，以形成資源共享系統(tǒng)，可以連接到對方和通信，無線通信技術(shù)。不同的無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)的特點是通過空間的電磁波，以取代傳統(tǒng)的電纜來實現(xiàn)傳輸?shù)男畔⒑吐?lián)系。

在無線網(wǎng)絡(luò)的規(guī)劃和建設(shè)工作人員面臨著兩大問題：首先，以市場為標準的安全解決方案，最終選擇什么是好的，第二，如何避免網(wǎng)絡(luò)已被破壞或攻擊?有線網(wǎng)絡(luò)的階段，技術(shù)人員可以創(chuàng)建一個防止外部的攻擊，通過防火墻的硬件安全設(shè)備的部署防線，然而，“考慮到的防線往往是從內(nèi)部突破”。無線網(wǎng)絡(luò)接入和方便的特點，在現(xiàn)有的有線網(wǎng)絡(luò)部署成本，并防止設(shè)備很容易繞過無用的“馬其諾防線”。

無線網(wǎng)絡(luò)的主要安全威脅如下：

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)對網(wǎng)絡(luò)流量可能導致機密和敏感數(shù)據(jù)泄漏，無保護的接觸到用戶的憑據(jù)，導致身份盜竊。它還允許有經(jīng)驗的入侵者的移動電話用戶，IT環(huán)境中，然后使用此信息來攻擊對方是沒有漏洞的系統(tǒng)或數(shù)據(jù)。社會工程攻擊，甚至攻擊的供應(yīng)商范圍。

2.攔截和篡改的數(shù)據(jù)傳輸。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò)，他可以使用一個惡意計算機攔截或修改法律方面的劍鍛造網(wǎng)關(guān)和其他渠道的網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。

3.信息重放。在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊，及時采用了等保護措施也很難防范這樣的攻擊。

4.MAC地址欺騙。通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進一步獲得AP答應(yīng)通信的靜態(tài)地址池，這樣不法之徒就能通過MAC地址偽裝等手段合理的接入網(wǎng)絡(luò)中。

5.拒絕服務(wù)。為了使得AP拒絕服務(wù)，攻擊者可能對AP進行泛洪攻擊，而這種攻擊是最為嚴重的，另外還可以選擇對移動的節(jié)點進行攻擊，讓移動節(jié)點提供服務(wù)或則幫忙轉(zhuǎn)發(fā)數(shù)據(jù)包，使得該節(jié)點能源耗盡而不能正常工作，這樣的攻擊也成為能源耗盡攻擊。

四、無限網(wǎng)絡(luò)的安全防范措施

我們從以上的幾個對無限網(wǎng)絡(luò)的安全危險看出，如何保護好“接入關(guān)”是確保無線網(wǎng)絡(luò)安全性非常直接的舉措，目前對無限網(wǎng)絡(luò)安全措施的方法都是對接入關(guān)對入侵者進行防范，那么最常見的幾種措施有以下幾種：

(一)MAC地址過濾。在有線網(wǎng)絡(luò)的保安措施，MAC地址過濾是一個非常普遍的安全手段，因此它的操作與在有線網(wǎng)絡(luò)的開關(guān)操作是一致的。通過無線控制器的AP運輸向前將指定的無線網(wǎng)卡的物理地址(MAC地址)，或直接保存在無線控制器或AP的交換機端設(shè)置。

(二)規(guī)劃天線的放置，掌控信號的覆蓋范圍。要部署無線的封閉方位點，首先就是要找到合理放置天線的位置，使得能夠限制信號在覆蓋區(qū)外的傳輸距離，最好就是選擇在覆蓋區(qū)的中心放置，這樣比較能有效減少信號的外泄至墻外。

(三)端口訪問控制技術(shù)。使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

(四)連線對等保密(WEP)，啟用無線設(shè)備的安全能力。保護無線網(wǎng)絡(luò)安全最基礎(chǔ)的方法就是加密，我們可以通過設(shè)置AP及網(wǎng)卡等設(shè)備，就可以啟用加密，雖然WEP加密存在著一些漏洞并且也比較脆弱，但對于非法入侵者來說也設(shè)置了不笑的障礙，在鏈路層采用RC4對稱加密技術(shù)，鑰匙長40位，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同，并且一個服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙。

隨著無線應(yīng)用的普及，其安裝方便，使用，高速的接入速度，贏得了用戶的青睞連續(xù)訪問可移動的無線網(wǎng)絡(luò)。但仍然是一個主要的關(guān)注，我們應(yīng)該始終現(xiàn)在和未來的無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的入侵防御安全。事實上，根據(jù)不同的安全需求，透徹的分析，不同層次的無線網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)所固有的物理特性，采取適當措施保護，可用于無線網(wǎng)絡(luò)的安全性是完全可行的。

關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文二：

一、校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀

在無線網(wǎng)絡(luò)技術(shù)相對成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時，無線接入的安全性也面臨嚴峻的考驗。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種：①基于MAC地址的認證?；贛AC地址的認證就是MAC地址過濾，每一個無線接入點可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認證。共享密鑰認證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個第二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認證后打開邏輯端口，然后發(fā)起DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問。

從目前情況來看，不少校園網(wǎng)的無線接入點都沒有很好地考慮無線接入的安全問題，如基于MAC地址的認證或共享密鑰認證沒有設(shè)置，更不用說像802.1x這樣相對來說比較難設(shè)置的認證方法了。如果我們提著筆記本電腦在某個校園內(nèi)走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進入無線網(wǎng)絡(luò)，進而進入校園網(wǎng)，就會對我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

二、校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全。前面提到的基于MAC地址的認證存在兩個問題：一是數(shù)據(jù)管理的問題，要維護MAC數(shù)據(jù)庫;二是MAC可嗅探，也可修改。如果采用共享密鑰認證，攻擊者可以輕易地搞到共享認證密鑰。802.1x定義了三種身份：申請者(用戶無線終端)、認證者(AP)和認證服務(wù)器。整個認證的過程發(fā)生在申請者與認證服務(wù)器之間，認證者只起到了橋接的作用。申請者向認證服務(wù)器表明自己的身份，然后認證服務(wù)器對申請者進行認證，認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務(wù)器兩者之間的認證服務(wù)。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證，或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)。

該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中，也稱作PEAP-EAP-MSCHAPv2。考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶：一類是校內(nèi)用戶;另一類是來訪用戶。校內(nèi)用戶主要是學校的師生，由于工作和學習的需要，他們要求能夠隨時接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等安全性要求比較高。對于此類用戶，可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術(shù)交流的一些用戶。

這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對這類用戶，可采用DHCP+強制Portal認證的方式接入校園無線網(wǎng)絡(luò)。開機后，來訪用戶先通過DHCP服務(wù)器獲得IP地址。當來訪用戶打開瀏覽器訪問Internet網(wǎng)站時，強制Portal控制單元首先將用戶訪問的Internet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)，無法訪問校園網(wǎng)內(nèi)部的其他受限資源，比如學校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源，必須通過強制Portal認證，認證通過就可以訪問Internet。

對于校內(nèi)用戶，先由無線用戶終端發(fā)起認證請求，沒通過認證之前，不能訪問任何地方，并且不能獲得IP地址?？赏ㄟ^數(shù)字證書(需要設(shè)立證書服務(wù)器)實現(xiàn)雙向認證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連入非法AP。雙向認證通過后，無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協(xié)商的加密算法進行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。

使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷，對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽。當然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。因此針對校內(nèi)用戶可使用802.1x認證方式，以保障傳輸數(shù)據(jù)的安全。

校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后，用戶只需進行相應(yīng)的設(shè)置就可以連接到校園網(wǎng)，從而實現(xiàn)各自需要的功能，進一步促進校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)?，F(xiàn)在，不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時，因為對無線網(wǎng)絡(luò)的安全不夠重視，對校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時，也造成了一定的影響和破壞。由此可見，做好無線網(wǎng)絡(luò)的安全管理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證，是當前學校組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接，確保無線網(wǎng)絡(luò)的高安全性，提高學校的信息化的水平。

關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文三：

網(wǎng)絡(luò)技術(shù)的不斷進步使得無線網(wǎng)絡(luò)以其新的發(fā)展優(yōu)勢成為當下家庭構(gòu)建局域網(wǎng)的主流選擇，但是無線網(wǎng)絡(luò)的安全性問題也成為了WLAN應(yīng)用過程中所要面對的最重要的問題之一。如何實現(xiàn)無線網(wǎng)絡(luò)的安全使用是大多數(shù)家庭選擇無線網(wǎng)絡(luò)的一個關(guān)鍵影響要素。本文旨在通過分析無線網(wǎng)絡(luò)的安全威脅，提供常見的安全技術(shù)，引導普通家庭進行基本的安全設(shè)置，從而實現(xiàn)家庭式無線網(wǎng)絡(luò)的安全使用。

1無線網(wǎng)絡(luò)的安全威脅

雖然無線網(wǎng)絡(luò)的安全問題受到了各個網(wǎng)絡(luò)設(shè)備廠商的高度重視，并且在他們的產(chǎn)品設(shè)計開發(fā)上也都做了種種努力，但是無線局域網(wǎng)還是被認為是一種安全得不到保證的網(wǎng)絡(luò)，具體表現(xiàn)為：

1.1容易侵入。無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標賬，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其它任何地方對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

1.2非法的AP。無線局域網(wǎng)易于訪問和配置簡單的特性，使網(wǎng)絡(luò)管理員和安全管理員非常頭痛。因為任何人的計算機都可以通過自己購買的AP不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多用戶未通過授權(quán)就自己搭建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來了很大的安全隱患。

1.3未經(jīng)授權(quán)使用服務(wù)。一半以上的用戶在使用AP時只是在其默認的配置基礎(chǔ)上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用網(wǎng)絡(luò)資源，不僅會增加帶寬費用，更可能會導致法律糾紛。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款，可能會導致ISP中斷服務(wù)。

1.4服務(wù)和性能的限制。無線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網(wǎng)的實際最高有效吞吐量僅為標準的一半，并且該帶寬是被AP所有用戶共享的。如果受到來自有線網(wǎng)絡(luò)用戶發(fā)送的大量PING流量，或者是廣播流量，這時候就會阻塞一個或者多個AP，整個無線網(wǎng)絡(luò)的帶寬將受到吞噬;另一種情況是攻擊者可以在同無線網(wǎng)絡(luò)相同的無線時延內(nèi)發(fā)送信號，這樣被攻擊的網(wǎng)絡(luò)就會通過CSMA/CA機制進行自動適應(yīng)，同樣影響無線網(wǎng)絡(luò)的傳輸;最后一種情況，傳輸較大的數(shù)據(jù)文件或者復雜的Client/Server系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡(luò)流量。

1.5地址欺騙和會話攔截。由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP(AddressResolutionProtocol，地址轉(zhuǎn)換協(xié)議)表變得混亂。通過非常簡單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址，這些地址可以被惡意攻擊者使用。

1.6高級入侵。一旦攻擊者進入無線網(wǎng)絡(luò)，它將成為進一步入侵其它系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護的網(wǎng)絡(luò)內(nèi)部卻非常脆弱，也容易受到攻擊。無線網(wǎng)絡(luò)通過簡單配置就可以快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使網(wǎng)絡(luò)暴露出來從而遭到攻擊。

1.7控制發(fā)散區(qū)。無線網(wǎng)絡(luò)工作時會廣播出射頻(RF)信號，信號將無線數(shù)據(jù)從一個訪問點傳輸?shù)綗o線網(wǎng)卡，也能從無線網(wǎng)卡傳回。這種射頻的發(fā)散區(qū)可能相當大，這具體取決于基本發(fā)射單元的位置及信號強度。雖然實體墻、金屬梁和電線可能阻礙信號，但是與產(chǎn)品說明書所宣稱的相比，實際發(fā)散區(qū)通常都要大得多。這樣發(fā)散區(qū)的信號可能會泄漏到比實際服務(wù)區(qū)更遠的地方，黑客還可以用一些工具和技術(shù)將信號放大，使其能夠在更遠的距離里也能攻擊你的WLAN。

2無線網(wǎng)絡(luò)安全技術(shù)

針對以上無線網(wǎng)絡(luò)的危害，現(xiàn)有無線技術(shù)也提供了相應(yīng)的對策，常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種：

2.1服務(wù)集標識符

通過對多個無線接入點AP(AccessPoint)設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進行區(qū)別限制。因此可以認為SSID是一個簡單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式，只要無線工作站在AP的任何范圍內(nèi)，客戶端都會自動連接到AP，這將跳過SSID安全功能。

2.2物理地址過濾(MAC)

由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新，可擴展性差;而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新，目前都是手工操作;如果用戶增加，則擴展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

2.3連線對等加密(WEP)

在鏈路層采用RC4對稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同才能獲準存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)或128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一個密鑰，一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的，要手工維護，擴展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

2.4Wi-Fi保護接入(WPA)

WPA(Wi-FiProtectedAccess)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。其原理為：根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。由于具備這些功能，WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法，而且有更為豐富的內(nèi)涵。作為802.11i標準的子集，WPA包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分，是一個完整的安全性方案。

2.5國家標準(WAPI)

WAPI(WLANAuthenticationandPrivacyInfrastructure)，即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標準GB15629.11中提出的WLAN安全解決方案。同時本方案已由ISO/IEC授權(quán)的機構(gòu)IEEERegistrationAuthority審查并獲得認可。它的主要特點是采用基于公鑰密碼體系的證書機制，真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用。與現(xiàn)有計費技術(shù)兼容的服務(wù)，可實現(xiàn)按時計費、按流量計費、包月等多種計費方式。AP設(shè)置好證書后，無須再對后臺的AAA服務(wù)器進行設(shè)置，安裝、組網(wǎng)便捷，易于擴展，可滿足家庭、企業(yè)、運營商等多種應(yīng)用模式。

2.6端口訪問控制技術(shù)(802.1x)

該技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當無線工作站STA與無線訪問點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過，則AP為STA打開這個邏輯端口，否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點要內(nèi)嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公共無線接入解決方案。

2.7虛擬專用網(wǎng)絡(luò)()

虛擬專用網(wǎng)是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，目前許多企業(yè)以及運營商已經(jīng)采用技術(shù)?？梢蕴娲B線對等加密解決方案以及物理地址過濾解決方案。采用技術(shù)的另外一個好處是可以提供基于Radius的用戶認證以及計費。技術(shù)不屬于802.11標準定義，因此它是一種增強性網(wǎng)絡(luò)解決方案。

2.8終端安裝防火墻

個人網(wǎng)絡(luò)受到保護的同時，各工作站、PC機本身也安裝防火墻軟件，實現(xiàn)上層攻擊的防患。

2.9針對信號泄露的防范

一種較為簡易的方法是控制訪問點的物理位置，可以將AP放在辦公室的中央位置，使發(fā)散區(qū)的范圍在實際服務(wù)區(qū)的范圍內(nèi);另一種方法是通過控制信號強度來決定信號的傳輸距離，有些AP設(shè)備可以通過軟硬件的設(shè)置來控制信號強度。

3家庭式應(yīng)用的無線網(wǎng)絡(luò)安全設(shè)置

3.1驅(qū)動器保護無線網(wǎng)絡(luò)

在802.11a、802.11b、802.11g中內(nèi)置有WEP(WiredEquivalentPrivacy)加密功能，由于加密的包比未加密的包更加難以讀取，且WEP的密鑰并不容易破解，所以使用WEP加密有足夠的安全性。每個AP在出廠時都預先設(shè)置了網(wǎng)絡(luò)名稱、IP地址、管理員賬戶名稱與密碼等，這些出廠設(shè)置很容易被破解，我們在安裝與設(shè)置的時候就需要對管理員賬戶名和密碼作相關(guān)的更改，同時也對AP的初驗IP地址進行更改，進一步保證AP的安全。

3.2保護終端數(shù)據(jù)

Windows操作系統(tǒng)的默認安全性很低，特別是資源的共享安全性，所認必須更改設(shè)置，以提高安全性能保護終端數(shù)據(jù)。以操作系統(tǒng)WindowsXP為例，它沒有一個選項來集中控制是否允許用戶從網(wǎng)絡(luò)訪問計算機的共享文件和打印機，所以在運行這類操作系統(tǒng)的計算機上必須逐一關(guān)閉共享功能。通過點擊目標后右擊鼠標會顯示快捷菜單，選擇“共享與安全”項來設(shè)置關(guān)閉目標資源的共享功能。由于磁盤中的文件夾結(jié)構(gòu)比較復雜，有時一個共享文件夾是深藏在磁盤中的某個位置，所以很難確定其路徑，因此可以利用操作系統(tǒng)內(nèi)置的控制臺來確定磁盤中到底有哪些共享文件夾，執(zhí)行“開始-運行”功能后輸入fsmgmt.msc指令打開“共享文件夾”控制臺，點擊“確定”后打開“共享文件夾”控制臺，在“共享文件夾”控制臺左邊樹狀目錄中單擊“共享”項目之后，可以查看本計算機所有共享的文件夾列表?！肮蚕砦募A”表示文件夾的共享名，“共享路徑”表示文件夾在磁盤中的位置。

3.3系統(tǒng)防火墻功能

防火墻可以篩選所有經(jīng)過網(wǎng)絡(luò)的包，管