開(kāi)篇：寫(xiě)作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇無(wú)線(xiàn)網(wǎng)絡(luò)安全論文，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng)絡(luò)；安全威脅；安全技術(shù)；安全措施

無(wú)線(xiàn)網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶(hù)的自由，然而，這種自由同時(shí)也帶來(lái)了安全性問(wèn)題。無(wú)線(xiàn)網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對(duì)策?我們對(duì)上述問(wèn)題作一簡(jiǎn)要論述。

1無(wú)線(xiàn)網(wǎng)絡(luò)存在的安全威脅

無(wú)線(xiàn)網(wǎng)絡(luò)一般受到的攻擊可分為兩類(lèi)：一類(lèi)是關(guān)于網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊；另一類(lèi)是基于無(wú)線(xiàn)通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對(duì)于第一類(lèi)攻擊在有線(xiàn)網(wǎng)絡(luò)的環(huán)境下也會(huì)發(fā)生?？梢?jiàn)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

1.1有線(xiàn)等價(jià)保密機(jī)制的弱點(diǎn)

IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學(xué)會(huì))制定的802.11標(biāo)準(zhǔn)中，引入WEP(WiredEquivalentPrivacy，有線(xiàn)保密)機(jī)制，目的是提供與有線(xiàn)網(wǎng)絡(luò)中功能等效的安全措施，防止出現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)偶然竊聽(tīng)的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)。

(1)加密算法過(guò)于簡(jiǎn)單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì)，常常出現(xiàn)重復(fù)使用現(xiàn)象，易于被他人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法，在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)，容易被黑客攻破。此外，用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗(yàn)碼。

(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出，WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過(guò)外部管理系統(tǒng)控制方式減少I(mǎi)V的沖突數(shù)量，使無(wú)線(xiàn)網(wǎng)絡(luò)難以被攻破。但由于這種方式的過(guò)程非常復(fù)雜，且需要手工進(jìn)行操作，所以很多網(wǎng)絡(luò)的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對(duì)破解密鑰的難度大大減少。

(3)用戶(hù)安全意識(shí)不強(qiáng)。許多用戶(hù)安全意識(shí)淡薄，沒(méi)有改變?nèi)笔〉呐渲眠x項(xiàng)，而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱的，經(jīng)不起黑客的攻擊。

1.2進(jìn)行搜索攻擊

進(jìn)行搜索也是攻擊無(wú)線(xiàn)網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的軟件。很多無(wú)線(xiàn)網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動(dòng)狀態(tài)，如果沒(méi)有關(guān)閉AP(wirelessAccessPoint，無(wú)線(xiàn)基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱(chēng)、SSID(SecureSetIdentifier，安全集標(biāo)識(shí)符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽(tīng)、截取和監(jiān)聽(tīng)。竊聽(tīng)是指偷聽(tīng)流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式，它是以被動(dòng)和無(wú)法覺(jué)察的方式入侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量，從而識(shí)別出可以破解的信息。

1.4無(wú)線(xiàn)網(wǎng)絡(luò)身份驗(yàn)證欺騙

欺騙這種攻擊手段是通過(guò)騙過(guò)網(wǎng)絡(luò)設(shè)備，使得它們錯(cuò)誤地認(rèn)為來(lái)自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過(guò)同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的，最簡(jiǎn)單的方法是重新定義無(wú)線(xiàn)網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計(jì)原因，幾乎無(wú)法防止MAC/IP地址欺騙。只有通過(guò)靜態(tài)定義MAC地址表才能防止這種類(lèi)型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過(guò)智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過(guò)的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候，簡(jiǎn)單地通過(guò)讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無(wú)線(xiàn)網(wǎng)身份驗(yàn)證。

1.5網(wǎng)絡(luò)接管與篡改

同樣因?yàn)門(mén)CP/IP設(shè)計(jì)的原因，某些欺騙技術(shù)可供攻擊者接管為無(wú)線(xiàn)網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP，那么所有來(lái)自無(wú)線(xiàn)網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上，包括其他用戶(hù)試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線(xiàn)網(wǎng)或無(wú)線(xiàn)網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)，而且這種攻擊通常不會(huì)引起用戶(hù)的懷疑，用戶(hù)通常是在毫無(wú)防范的情況下輸人自己的身份驗(yàn)證信息，甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后，仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。

1.6拒絕服務(wù)攻擊

無(wú)線(xiàn)信號(hào)傳輸?shù)奶匦院蛯?zhuān)門(mén)使用擴(kuò)頻技術(shù)，使得無(wú)線(xiàn)網(wǎng)絡(luò)特別容易受到DoS(DenialofService，拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶(hù)無(wú)法獲得這些資源。黑客要造成這類(lèi)的攻擊：①通過(guò)讓不同的設(shè)備使用相同的頻率，從而造成無(wú)線(xiàn)頻譜內(nèi)出現(xiàn)沖突；②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請(qǐng)求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當(dāng)?shù)哪康牡?，那么所有的網(wǎng)絡(luò)用戶(hù)都將無(wú)法使用網(wǎng)絡(luò)。無(wú)線(xiàn)攻擊者可以利用高性能的方向性天線(xiàn)，從很遠(yuǎn)的地方攻擊無(wú)線(xiàn)網(wǎng)。已經(jīng)獲得有線(xiàn)網(wǎng)訪問(wèn)權(quán)的攻擊者，可以通過(guò)發(fā)送多達(dá)無(wú)線(xiàn)AP無(wú)法處理的通信量進(jìn)行攻擊。

1.7用戶(hù)設(shè)備安全威脅

由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶(hù)分配是一個(gè)靜態(tài)密鑰，因此只要得到了一塊無(wú)線(xiàn)網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無(wú)線(xiàn)網(wǎng)使用的合法MAC地址。也就是說(shuō)，如果終端用戶(hù)的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID及密鑰。

2無(wú)線(xiàn)網(wǎng)絡(luò)采用的安全技術(shù)

采用安全技術(shù)是消除無(wú)線(xiàn)網(wǎng)絡(luò)安全威脅的一種有效對(duì)策。無(wú)線(xiàn)網(wǎng)絡(luò)的安全技術(shù)主要有七種。

2.1擴(kuò)展頻譜技術(shù)

擴(kuò)頻技術(shù)是用來(lái)進(jìn)行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)。

一些無(wú)線(xiàn)局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號(hào)，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無(wú)線(xiàn)信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上(例如通道1、18、47、22……)。無(wú)線(xiàn)電波每秒鐘變換頻率許多次，將無(wú)線(xiàn)信號(hào)按順序發(fā)送到每一個(gè)通道上，并在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)之間沒(méi)有相互干擾，因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶(hù)截獲。

2.2用戶(hù)密碼驗(yàn)證

為了安全，用戶(hù)可以在無(wú)線(xiàn)網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類(lèi)似。由于無(wú)線(xiàn)網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶(hù)，所以嚴(yán)格的密碼策略等于增加一個(gè)安全級(jí)別，這有助于確保工作站只被授權(quán)用戶(hù)使用。

2.3數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對(duì)數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡(luò)，能有效地起到保密作用。

此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線(xiàn)局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價(jià)格的第三方產(chǎn)品，為用戶(hù)提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

2.4WEP配置

WEP是IEEE802.11b協(xié)議中最基本的無(wú)線(xiàn)安全加密措施，其主要用途包括提供接入控制及防止未授權(quán)用戶(hù)訪問(wèn)網(wǎng)絡(luò)；對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽(tīng)；防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認(rèn)證功能。2.5防止入侵者訪問(wèn)網(wǎng)絡(luò)資源

這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線(xiàn)網(wǎng)絡(luò)的加密很相似。在這種情況下，入侵者為了將他的工作站和有線(xiàn)LAN連接也必須達(dá)到這個(gè)前提。

2.6端口訪問(wèn)控制技術(shù)

端口訪問(wèn)控制技術(shù)(802.1x)是用于無(wú)線(xiàn)局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線(xiàn)工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則AP為用戶(hù)打開(kāi)這個(gè)邏輯端口，否則不允許用戶(hù)上網(wǎng)。802.1x除提供端口訪問(wèn)控制能力之外，還提供基于用戶(hù)的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公司的無(wú)線(xiàn)接入解決方案。

2.7使用VPN技術(shù)

VPN(VirtualPrivateNetwork，虛擬專(zhuān)用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標(biāo)準(zhǔn)定義；但是用戶(hù)可以借助VPN來(lái)抵抗無(wú)線(xiàn)網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于RADIUS的用戶(hù)認(rèn)證以及計(jì)費(fèi)。因此，在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問(wèn)方法。

3無(wú)線(xiàn)網(wǎng)絡(luò)采取的安全措施

要排除無(wú)線(xiàn)網(wǎng)絡(luò)的安全威脅，另一種對(duì)策是采取如下八項(xiàng)安全措施。

3.1網(wǎng)絡(luò)整體安全分析

網(wǎng)絡(luò)整體安全分析是要對(duì)網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時(shí)，要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃，及時(shí)采取措施，排除無(wú)線(xiàn)網(wǎng)絡(luò)的安全威脅。

3.2網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署

選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時(shí)還要做到如下幾點(diǎn)：修改設(shè)備的默認(rèn)值；把基站看作RAS(RemoteAccessServer，遠(yuǎn)程訪問(wèn)服務(wù)器)；指定專(zhuān)用于無(wú)線(xiàn)網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線(xiàn)對(duì)授權(quán)用戶(hù)和入侵者的影響；在網(wǎng)絡(luò)上，針對(duì)全部用戶(hù)使用一致的授權(quán)規(guī)則；在不會(huì)被輕易損壞的位置部署硬件。

3.3啟用WEP機(jī)制

要正確全面使用WEP機(jī)制來(lái)實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能，必須做到五點(diǎn)。一是通過(guò)在每幀中加入一個(gè)校驗(yàn)和的做法來(lái)保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來(lái)試圖破解密鑰流；二是必須在每個(gè)客戶(hù)端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用；三是不使用預(yù)先定義的WEP密鑰，避免使用缺省選項(xiàng)；四是密鑰由用戶(hù)來(lái)設(shè)定，并且能夠經(jīng)常更改；五是要使用最堅(jiān)固的WEP版本，并與標(biāo)準(zhǔn)的最新更新版本保持同步。

3.4MAC地址過(guò)濾

MAC(MediaAccessController，物理地址)過(guò)濾可以降低大量攻擊威脅，對(duì)于較大規(guī)模的無(wú)線(xiàn)網(wǎng)絡(luò)也是非?？尚械倪x項(xiàng)。一是把MAC過(guò)濾器作為第一層保護(hù)措施；二是應(yīng)該記錄無(wú)線(xiàn)網(wǎng)絡(luò)上使用的每個(gè)MAC地址，并配置在AP上，只允許這些地址訪問(wèn)網(wǎng)絡(luò)，阻止非信任的MAC訪問(wèn)網(wǎng)絡(luò)；三是可以使用日志記錄產(chǎn)生的錯(cuò)誤，并定期檢查，判斷是否有人企圖突破安全措施。

3.5進(jìn)行協(xié)議過(guò)濾

協(xié)議過(guò)濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式，在協(xié)議過(guò)濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過(guò)濾會(huì)給無(wú)線(xiàn)網(wǎng)絡(luò)提供一種安全保障。過(guò)濾協(xié)議是個(gè)相當(dāng)有效的方法，能夠限制那些企圖通過(guò)SNMP(SimpleNetworkManagementProtocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)訪問(wèn)無(wú)線(xiàn)設(shè)備來(lái)修改配置的網(wǎng)絡(luò)用戶(hù)，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會(huì)用作拒絕服務(wù)攻擊的協(xié)議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency，無(wú)線(xiàn)頻率)通信，但是通過(guò)防止SSID從AP向外界廣播，就可以克服這個(gè)缺點(diǎn)。封閉整個(gè)網(wǎng)絡(luò)，避免隨時(shí)可能發(fā)生的無(wú)效連接。把必要的客戶(hù)端配置信息安全地分發(fā)給無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)。

3.7有效管理IP分配方式

分配IP地址有靜態(tài)地址和動(dòng)態(tài)地址兩種方式，判斷無(wú)線(xiàn)網(wǎng)絡(luò)使用哪一個(gè)分配IP的方法最適合自己的機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動(dòng)獲得IP地址，限制在網(wǎng)絡(luò)上傳遞對(duì)設(shè)備的第三層的訪問(wèn)；而動(dòng)態(tài)地址可以簡(jiǎn)化WLAN的使用，可以降低那些繁重的管理工作。

3.8加強(qiáng)員工管理

加強(qiáng)單位內(nèi)部員工的管理，禁止員工私自安裝AP；規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員；禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)；加強(qiáng)員工的學(xué)習(xí)和技術(shù)培訓(xùn)，特別是對(duì)網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)。

此外，在布置AP的時(shí)候要在單位辦公區(qū)域以外進(jìn)行檢查，通過(guò)調(diào)節(jié)AP天線(xiàn)的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域，同時(shí)要加強(qiáng)對(duì)單位附近的巡查工作，防止外部人員在單位附近接入網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]鐘章隊(duì).無(wú)線(xiàn)局域網(wǎng)[M].北京：科學(xué)出版社，2004.

第2篇

論文摘要：無(wú)線(xiàn)網(wǎng)絡(luò)作為一種新型的便捷性網(wǎng)絡(luò)資源，正在日益普及，尤其是在現(xiàn)代校園中的應(yīng)用更是大勢(shì)所需，但是無(wú)線(xiàn)網(wǎng)絡(luò)的安全性成為其在普及應(yīng)用中的一大難題。本文經(jīng)過(guò)深入分析無(wú)線(xiàn)網(wǎng)絡(luò)的安全隱患，提出了相應(yīng)的防范措施，并結(jié)合校園學(xué)習(xí)生活的特點(diǎn)，提出了在校園中的具體應(yīng)用策略，望有助于相關(guān)人士的參考與借鑒。

1、常見(jiàn)的無(wú)線(xiàn)網(wǎng)絡(luò)安全措施

無(wú)線(xiàn)網(wǎng)絡(luò)受到安全威脅，主要是因?yàn)椤敖尤腙P(guān)”這個(gè)環(huán)節(jié)沒(méi)有處理好，因此以下從兩方面著手來(lái)直接保障企業(yè)網(wǎng)線(xiàn)網(wǎng)絡(luò)的安全性。

1.1 MAC地址過(guò)濾

MAC地址過(guò)濾作為一種常見(jiàn)的有線(xiàn)網(wǎng)絡(luò)安全防范措施，憑借其操作手法和有線(xiàn)網(wǎng)絡(luò)操作交換機(jī)一致的特性，經(jīng)過(guò)無(wú)線(xiàn)控制器將指定的無(wú)線(xiàn)網(wǎng)卡MAC地址下發(fā)至每個(gè)AP中，或者在AP交換機(jī)端實(shí)行設(shè)置，或者直接存儲(chǔ)于無(wú)線(xiàn)控制器中。

1.2 隱藏SSID

所謂SSID，即指用來(lái)區(qū)分不同網(wǎng)絡(luò)的標(biāo)識(shí)符，其類(lèi)似于網(wǎng)絡(luò)中的VLAN，計(jì)算機(jī)僅可和一個(gè)SSID網(wǎng)絡(luò)連接并通信，因此SSID就被定為區(qū)別不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。SSID最多由32個(gè)字符構(gòu)成，當(dāng)無(wú)線(xiàn)終端接入無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)須要有效的SIID，經(jīng)匹配SSID后方可接入。通常無(wú)線(xiàn)AP會(huì)廣播SSID，從而接入終端通過(guò)掃描即可獲知附近存在的無(wú)線(xiàn)網(wǎng)絡(luò)資源。比如windows XP系統(tǒng)自帶掃描功能，檢索附近的無(wú)線(xiàn)網(wǎng)絡(luò)資源、羅列出SSID信息。然而，為了網(wǎng)絡(luò)安全最好設(shè)置AP不廣播SSID，同時(shí)將其名字設(shè)置成難以猜解的長(zhǎng)字符串。通過(guò)這種手段便于隱藏SSID，避免接入端利用掃描功能獲取到該無(wú)線(xiàn)網(wǎng)絡(luò)名稱(chēng)，即使知道其存在也是難以通過(guò)輸入其全稱(chēng)來(lái)接入此網(wǎng)絡(luò)的。

2、無(wú)線(xiàn)網(wǎng)絡(luò)安全措施的選擇

網(wǎng)絡(luò)的安全性和便捷性永遠(yuǎn)是相互矛盾的關(guān)系，安全性高的網(wǎng)絡(luò)一定在使用前或使用中較為繁瑣，然而，科技的進(jìn)步就是為了便捷我們的生活，因此，在對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行設(shè)置時(shí)，需要兼顧安全性和便捷性這兩個(gè)主要方面，使其均衡地發(fā)展使用。

接入無(wú)線(xiàn)AP時(shí)選取WAP加密模式的方法，此外，SSID即使被隱藏，也會(huì)被攻擊者利用相關(guān)軟件探測(cè)到，所以無(wú)需進(jìn)行隱藏SSID，增強(qiáng)接入便捷性，在接入時(shí)實(shí)行一次性輸入密碼完成設(shè)置任務(wù)。

與此同時(shí)，采用強(qiáng)制Portal+802.1X的認(rèn)證方式，兩種方法的融合可以有效確保無(wú)線(xiàn)網(wǎng)絡(luò)的安全。來(lái)訪用戶(hù)更關(guān)注的是使用時(shí)的便捷性，對(duì)其安全性沒(méi)有過(guò)高要求。強(qiáng)制Portal認(rèn)證方式免除安裝額外的客戶(hù)端軟件，用戶(hù)通過(guò)瀏覽器認(rèn)證后即可獲取網(wǎng)絡(luò)資源。這種便捷的方法，其不足之處就是安全性較低。倘若花費(fèi)一定資金用來(lái)購(gòu)置無(wú)線(xiàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備展開(kāi)主動(dòng)性防御，是可以在一定程度上保障無(wú)線(xiàn)網(wǎng)絡(luò)安全性的。

其實(shí)，網(wǎng)絡(luò)安全技術(shù)是人類(lèi)發(fā)明的，并依靠人的使用而發(fā)揮作用，所以網(wǎng)絡(luò)使用者是安全防線(xiàn)的最后一關(guān)，加強(qiáng)網(wǎng)絡(luò)使用者的安全意識(shí)，是保障無(wú)線(xiàn)網(wǎng)絡(luò)安全的根本。

3、校園無(wú)線(xiàn)網(wǎng)絡(luò)的應(yīng)用

(1)在校園網(wǎng)絡(luò)建設(shè)中，無(wú)線(xiàn)網(wǎng)絡(luò)作為一種流程趨勢(shì)正在普及開(kāi)來(lái)，同時(shí)其用戶(hù)也在日益增多。當(dāng)前在校園網(wǎng)絡(luò)不同環(huán)境下，主要用戶(hù)分為以下幾類(lèi)人群，第一類(lèi)為固定用戶(hù)群，包括機(jī)關(guān)辦公、機(jī)房電腦、教學(xué)樓、試驗(yàn)室等眾多使用者；第二類(lèi)是活動(dòng)用戶(hù)群，主要包括教師的個(gè)人電腦和學(xué)生的自用電腦；第三類(lèi)為臨時(shí)用戶(hù)群，特指在學(xué)術(shù)交流會(huì)時(shí)所使用電腦上網(wǎng)的群體。經(jīng)過(guò)劃分出三類(lèi)用戶(hù)群，便于無(wú)線(xiàn)網(wǎng)絡(luò)在接入Internet網(wǎng)絡(luò)時(shí)采取相應(yīng)的安全策略，以保障整個(gè)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

(2)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全措施除了進(jìn)行WEP數(shù)據(jù)加密協(xié)議外，更要結(jié)合不同用戶(hù)群特點(diǎn)，制定相應(yīng)的安全防范措施。對(duì)于固定用戶(hù)群可以實(shí)行綁定MAC地址，限制非法用戶(hù)的訪問(wèn)，網(wǎng)絡(luò)信息中心通過(guò)統(tǒng)一分配IP地址來(lái)配置MAC地址，進(jìn)行這種過(guò)濾策略保障無(wú)線(xiàn)網(wǎng)絡(luò)的安全運(yùn)行；針對(duì)活動(dòng)用戶(hù)群實(shí)行端口訪問(wèn)控制，即連接工作站STA和訪問(wèn)點(diǎn)AP，再利用802.1x認(rèn)證AP服務(wù)，一旦認(rèn)證許可，AP便為STA開(kāi)通了邏輯端口，不然接入被禁止執(zhí)行。802.1x需要工作站安裝802.1x的客戶(hù)端軟件，并在訪問(wèn)點(diǎn)內(nèi)置802.1x的認(rèn)證，再作為Radius的客戶(hù)端把用戶(hù)的認(rèn)證信息轉(zhuǎn)發(fā)至Radius服務(wù)器。802.1x不僅控制端口的訪問(wèn)，還為用戶(hù)提供了認(rèn)證系統(tǒng)及其計(jì)費(fèi)功能。

AP隔離措施近似于有線(xiàn)網(wǎng)絡(luò)的VLAN，對(duì)無(wú)線(xiàn)客戶(hù)端進(jìn)行全面隔離，僅可訪問(wèn)AP所連接的固定網(wǎng)絡(luò)，進(jìn)而增強(qiáng)接入Internet網(wǎng)絡(luò)的安全性；最后一類(lèi)臨時(shí)用戶(hù)群，可以通過(guò)設(shè)置密碼限制訪問(wèn)，無(wú)密碼者無(wú)法接入無(wú)線(xiàn)網(wǎng)絡(luò)，利用此手段保障授權(quán)用戶(hù)安全穩(wěn)定的使用無(wú)線(xiàn)網(wǎng)絡(luò)，避免他人肆意進(jìn)入無(wú)線(xiàn)網(wǎng)絡(luò)發(fā)生干擾，尤其適合于會(huì)議等臨時(shí)性場(chǎng)所的使用。

4、結(jié)語(yǔ)

建設(shè)校園無(wú)線(xiàn)網(wǎng)絡(luò)，可以為校園學(xué)習(xí)生活帶來(lái)極大的便捷性，但與此同時(shí)，其中也潛在著安全隱患，無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)需要不斷研究、完善，方可保證校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全性、可靠性，實(shí)現(xiàn)校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。

無(wú)線(xiàn)網(wǎng)絡(luò)中的威脅無(wú)處不在，不法分子利用網(wǎng)絡(luò)技術(shù)手段可以竊取校園中傳輸?shù)闹匾獢?shù)據(jù)，截取或篡改教學(xué)數(shù)據(jù)，嚴(yán)重威脅著學(xué)校中重要資料的安全性。只有結(jié)合上述相應(yīng)手段，才能有效控制非法用戶(hù)侵入校園無(wú)線(xiàn)網(wǎng)絡(luò)，維持校園無(wú)線(xiàn)網(wǎng)絡(luò)的純凈度，實(shí)現(xiàn)健康資源的共享。其實(shí)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全防范措施還有很多，須要在科學(xué)技術(shù)的發(fā)展進(jìn)步中，不斷分析，進(jìn)行完善，以共同打造美好的校園網(wǎng)絡(luò)學(xué)習(xí)生活為目標(biāo)。

參考文獻(xiàn)

[1]孔雪蓮.淺談無(wú)線(xiàn)局域網(wǎng)中的安全及黑客防范[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流)，2007(13).

[2]蘆艷芳，吳娜.淺談威脅無(wú)線(xiàn)網(wǎng)絡(luò)安全的途徑與防范措施[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2010(1).

第3篇

關(guān)鍵詞:無(wú)線(xiàn)網(wǎng)絡(luò);網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TN711 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

前言

伴隨著因特網(wǎng)蓬勃發(fā)展的步伐，另一種聯(lián)網(wǎng)的方式已經(jīng)悄悄茁壯成長(zhǎng)，這就是無(wú)線(xiàn)網(wǎng)絡(luò)。無(wú)線(xiàn)通信一直是人們夢(mèng)寐以求的技術(shù)。借助無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)，我們終于可以擺脫那些煩人的電纜和網(wǎng)線(xiàn)，無(wú)論何時(shí)何地，都可以輕松地接入互聯(lián)網(wǎng)。但是由于標(biāo)準(zhǔn)、可靠性、安全性等原因，無(wú)線(xiàn)網(wǎng)絡(luò)至今不能象有線(xiàn)網(wǎng)絡(luò)那樣普及。特別是安全性和有線(xiàn)網(wǎng)絡(luò)還存在很大距離。為了適應(yīng)無(wú)線(xiàn)網(wǎng)絡(luò)發(fā)展的需要，各種安全技術(shù)也應(yīng)運(yùn)而生。其中許多技術(shù)都是借鑒了成熟的有線(xiàn)網(wǎng)絡(luò)安全技術(shù)，并針對(duì)無(wú)線(xiàn)環(huán)境進(jìn)行了優(yōu)化。

一、無(wú)線(xiàn)網(wǎng)絡(luò)安全發(fā)展概況

無(wú)線(xiàn)網(wǎng)絡(luò)802.11 公布之后，迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是，從它的誕生開(kāi)始，其安全協(xié)議WEP 就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov，Goldberg 和Wagner 最早指出了WEP 協(xié)議中存在的設(shè)計(jì)失誤，接下來(lái)信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP 協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實(shí)驗(yàn)中破譯了經(jīng)WEP 協(xié)議加密的無(wú)線(xiàn)傳輸數(shù)據(jù)?，F(xiàn)在，能夠截獲無(wú)線(xiàn)傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買(mǎi)到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP 不安全已經(jīng)成一個(gè)廣為人知的事情，人們期待WEP 在安全性方面有質(zhì)的變化，新的增強(qiáng)的無(wú)線(xiàn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。我國(guó)從2001 年開(kāi)始著手制定無(wú)線(xiàn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，經(jīng)過(guò)西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無(wú)線(xiàn)網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時(shí)兩年多制定了無(wú)線(xiàn)認(rèn)證和保密基礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003 年12 月執(zhí)行。WAPI 使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書(shū)，以期完成雙向認(rèn)證、接入控制、會(huì)話(huà)密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI 在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成，類(lèi)似于802.11 工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國(guó)的密碼算法一般是不公開(kāi)的，WAPI 標(biāo)準(zhǔn)雖然是公開(kāi)的，然而對(duì)其安全性的討論在學(xué)術(shù)界和工程界目前還沒(méi)有展開(kāi)。增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開(kāi)一次會(huì)議，會(huì)議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AES-OCB 算法，開(kāi)始工作組決定使用該算法作為無(wú)線(xiàn)網(wǎng)絡(luò)未來(lái)的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB 作為缺省，半年后又提議CCMP 作為缺省，AES-OCB 作為候選，又過(guò)了幾個(gè)月，干脆把AES-OCB 算法完全刪除，只使用CCMP 算法作為缺省的未來(lái)無(wú)線(xiàn)網(wǎng)絡(luò)的算法。

二、無(wú)線(xiàn)網(wǎng)絡(luò)中的不安全因素

無(wú)線(xiàn)網(wǎng)絡(luò)除了具有有線(xiàn)網(wǎng)絡(luò)所存在的不安全因素外, 還存在許多其他不安全因素。

1、信息篡改

信息篡改是指攻擊者將竊聽(tīng)到的信息進(jìn)行修改( 如刪除或替代部分或全部信息) 之后再將信息傳給原本的接受者, 其目的有兩種: 惡意破壞合法用戶(hù)的通信內(nèi)容, 阻止合法用戶(hù)建立通信鏈接; 將修改的消息傳給接收者, 企圖欺騙接受者相信修改后的消息。信息篡改攻擊對(duì)物理網(wǎng)絡(luò)中的信令傳輸構(gòu)成很大的威脅。

2、服務(wù)后抵賴(lài)

服務(wù)后抵賴(lài)是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種威脅在電子商務(wù)中常見(jiàn)。

3、無(wú)線(xiàn)竊聽(tīng)

在無(wú)線(xiàn)網(wǎng)絡(luò)中所有的通信內(nèi)容都是通過(guò)無(wú)線(xiàn)信道傳送的, 任何具有適當(dāng)無(wú)線(xiàn)設(shè)備的人均可通過(guò)竊聽(tīng)無(wú)線(xiàn)信道而獲得所需信息。對(duì)于無(wú)線(xiàn)局域網(wǎng)其通信內(nèi)容更容易被竊聽(tīng), 因?yàn)樗鼈兌脊ぷ髟谌蚪y(tǒng)一公開(kāi)的工業(yè)、科學(xué)和醫(yī)療頻帶, 雖然無(wú)線(xiàn)局域網(wǎng)通信設(shè)備的發(fā)射功率不是很高, 通信距離有限, 但實(shí)驗(yàn)證明通過(guò)高增益天線(xiàn)在其規(guī)定的通信距離外仍可有效的竊聽(tīng)。

4、假冒攻擊

某個(gè)實(shí)體家裝成另外一個(gè)實(shí)體訪問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò), 即所謂的假冒攻擊。這是侵入某個(gè)安全防線(xiàn)的最為通用的方法。在無(wú)線(xiàn)網(wǎng)絡(luò)中, 移動(dòng)站與網(wǎng)絡(luò)控制中心及其他移動(dòng)站之間不存在任何固定的哦物理鏈接, 移動(dòng)站必須通過(guò)無(wú)線(xiàn)信道傳輸其身份信息, 身份信息在無(wú)線(xiàn)信道中傳輸時(shí)可能被竊聽(tīng), 當(dāng)攻擊者截獲一合法用戶(hù)的身份信息時(shí), 可利用該用戶(hù)的身份侵入網(wǎng)絡(luò), 這就是所謂的身份假冒攻擊。在所謂不同的無(wú)線(xiàn)網(wǎng)絡(luò)中, 身份假冒攻擊的目標(biāo)不同, 在移動(dòng)通信網(wǎng)絡(luò)中, 其工作頻帶是收費(fèi)的, 移動(dòng)用戶(hù)必須付費(fèi)才能通話(huà), 攻擊者假冒合法用戶(hù)主要是逃避付費(fèi)。而無(wú)線(xiàn)局域網(wǎng)中, 工作頻帶是免費(fèi)的, 網(wǎng)絡(luò)資源和信息是不公開(kāi)的、收費(fèi)的, 只有合法用戶(hù)才能訪問(wèn)這些信息攻擊者假冒合法用戶(hù)主要是非法訪問(wèn)網(wǎng)絡(luò)資源。

5、重傳攻擊

重傳攻擊是指攻擊者將竊聽(tīng)到的有效信息經(jīng)過(guò)一段時(shí)間后, 在傳給信息的接受者。其目的是利用曾經(jīng)有效的信息在改變了的情形下達(dá)到同樣的目的。值得一提的是無(wú)線(xiàn)移動(dòng)設(shè)備還存在失竊的威脅, 移動(dòng)設(shè)備的功能不斷增強(qiáng), 它不僅是一個(gè)通信工具, 還存儲(chǔ)著一些用戶(hù)信息, 防止移動(dòng)設(shè)備中秘密信息的失竊也是很重要的。

三、無(wú)線(xiàn)網(wǎng)絡(luò)中的安全機(jī)制

無(wú)線(xiàn)網(wǎng)絡(luò)中的安全業(yè)務(wù)都需要相應(yīng)的安全機(jī)制來(lái)保證, 用加密技術(shù)實(shí)現(xiàn)保密性業(yè)務(wù), 通過(guò)訪問(wèn)控制實(shí)現(xiàn)身份認(rèn)證業(yè)務(wù), 用消息認(rèn)證機(jī)制實(shí)現(xiàn)完整性業(yè)務(wù), 用數(shù)字簽名技術(shù)實(shí)現(xiàn)不可否認(rèn)性業(yè)務(wù)。

1、加密機(jī)制

保密性業(yè)務(wù)是通過(guò)加密技術(shù)實(shí)現(xiàn)的, 加密是一種最基本的安全機(jī)制, 加密過(guò)程如圖1 所示:

當(dāng)加密密鑰不等于解密密鑰, 即系統(tǒng)中每個(gè)用戶(hù)擁有兩個(gè)密鑰( 公開(kāi)密鑰和秘密密鑰) , 則稱(chēng)其為非對(duì)稱(chēng)密碼系統(tǒng)或公鑰密碼系統(tǒng)。任何人都可用一個(gè)用戶(hù)的公開(kāi)密鑰將信息加密后傳給該用戶(hù), 只有該用戶(hù)才能用其秘密密鑰解密, 其他人因不知道秘密密鑰而不能解密。公鑰密碼算法復(fù)雜, 因而不適合資源受限的無(wú)線(xiàn)通信設(shè)備, 但由于其不需要通信雙方共享任何秘密, 在密鑰管理方面有很大的優(yōu)越性。

2、消息認(rèn)證機(jī)制

完整檢測(cè)技術(shù)用于提供消息認(rèn)證, 防止消息被篡改。典型的完整性檢測(cè)技術(shù)是消息認(rèn)證碼, 其工作原理如圖2所示。

3、身份認(rèn)證機(jī)制

身份認(rèn)證技術(shù)提供通信雙方的身份認(rèn)證, 以防身份假冒。它通過(guò)檢測(cè)證明方擁有什么或知道什么來(lái)確認(rèn)證明方的身份是否合法。密碼學(xué)中的身份認(rèn)證主要基于驗(yàn)證明方是否知道某個(gè)秘密( 如證明方與驗(yàn)證方之間共享的秘密密鑰, 或證明方自己的私有密鑰) , 基于共享秘密的身份認(rèn)證方案建立在運(yùn)算簡(jiǎn)單的單密鑰密碼算法和雜湊函數(shù)基礎(chǔ)上, 適合無(wú)線(xiàn)通信網(wǎng)絡(luò)中的身份認(rèn)證。

4、不可否認(rèn)機(jī)制

數(shù)字簽名用于提供不可否認(rèn)性的安全機(jī)制, 防止抵賴(lài)。數(shù)字簽名有以下優(yōu)點(diǎn): 采用電子形式, 容易在網(wǎng)絡(luò)中傳輸; 只有知道秘密密鑰的人才能生成簽名, 因而很難偽造;可以對(duì)整個(gè)消急進(jìn)行簽名, 簽名后消息不可更改。數(shù)字簽名大多基于公鑰密碼技術(shù), 在公鑰密碼系統(tǒng)中, 用戶(hù)的公開(kāi)密鑰向所有人公開(kāi), 秘密密鑰只有自己知道, 用戶(hù)用自己的秘密密鑰對(duì)消急或消息的雜湊值簽名,然后將消息及簽名一起傳給驗(yàn)證方, 驗(yàn)證方利用簽名者的公開(kāi)密鑰就可以鑒別簽名的真?zhèn)?。因只有簽名者知道自己的秘密密鑰, 只有他才能形成數(shù)字簽名, 故簽名者一旦對(duì)某個(gè)消息簽名就無(wú)法抵賴(lài)。

結(jié)束語(yǔ)

可以預(yù)見(jiàn)，隨著無(wú)線(xiàn)網(wǎng)絡(luò)安全事件的不斷出現(xiàn)，能否為用戶(hù)提供優(yōu)質(zhì)的安全服務(wù)， 將成為無(wú)線(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)商在商業(yè)競(jìng)爭(zhēng)中能否取勝的關(guān)鍵?；诎踩?wù)的整體安全解決方案，將成為未來(lái)

網(wǎng)絡(luò)信息安全的主流發(fā)展方向。

參考文獻(xiàn)

第4篇

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng)絡(luò)；安全；Portal認(rèn)證；802.1x

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)35-2103-01

Campus Wireless Network Security Strategy

LI Qiang

(Network Management Center of North University for Ethics,Yinchuan 750021,China)

Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.

Key words: wireless network;security;portal certificate;802.1 x

1 引言

在過(guò)去的很多年，計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴(lài)銅纜或光纜，構(gòu)成有線(xiàn)局域網(wǎng)。但有線(xiàn)網(wǎng)絡(luò)在實(shí)施過(guò)程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問(wèn)題，無(wú)線(xiàn)網(wǎng)絡(luò)作為有線(xiàn)網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，逐漸得到的普及和發(fā)展。

在校園內(nèi)，教師與學(xué)生的流動(dòng)性很強(qiáng)，很容易在一些地方人員聚集，形成“公共場(chǎng)所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長(zhǎng)，無(wú)論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性，使有線(xiàn)網(wǎng)絡(luò)無(wú)法靈活滿(mǎn)足他們對(duì)網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。

將無(wú)線(xiàn)網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場(chǎng)所，如網(wǎng)絡(luò)教室，會(huì)議室，報(bào)告廳、圖書(shū)館等區(qū)域，可以率先覆蓋無(wú)線(xiàn)網(wǎng)絡(luò)，讓用戶(hù)能真正做到無(wú)線(xiàn)漫游，給工作和生活帶來(lái)巨大的便利。隨后，慢慢把無(wú)線(xiàn)的覆蓋范圍擴(kuò)大，最后做到全校無(wú)線(xiàn)的覆蓋。

2 校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)安全現(xiàn)狀

在無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)成熟的今天，無(wú)線(xiàn)網(wǎng)絡(luò)解決方案能夠很好滿(mǎn)足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過(guò)無(wú)線(xiàn)上網(wǎng)，這都源于無(wú)線(xiàn)局域網(wǎng)拓展了現(xiàn)有的有線(xiàn)網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí)，無(wú)線(xiàn)接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無(wú)線(xiàn)網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：① 基于MAC地址的認(rèn)證?；?MAC地址的認(rèn)證就是MAC地址過(guò)濾，每一個(gè)無(wú)線(xiàn)接入點(diǎn)可以使用 MAC地址列表來(lái)限制網(wǎng)絡(luò)中的用戶(hù)訪問(wèn)。實(shí)施 MAC地址訪問(wèn)控制后，如果MAC列表中包含某個(gè)用戶(hù)的MAC地址，則這個(gè)用戶(hù)可以訪問(wèn)網(wǎng)絡(luò)，否則如果列表中不包含某個(gè)用戶(hù)的MAC地址，則該用戶(hù)不能訪問(wèn)網(wǎng)絡(luò)。② 共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無(wú)線(xiàn)設(shè)備和接入點(diǎn)上都使用有線(xiàn)對(duì)等保密算法。如果用戶(hù)有正確的共享密鑰，那么就授予該用戶(hù)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的訪問(wèn)權(quán)。③ 802.1x認(rèn)證。802．1x協(xié)議稱(chēng)為基于端口的訪問(wèn)控制協(xié)議，它是個(gè)二層協(xié)議，需要通過(guò) 802.1x客戶(hù)端軟件發(fā)起請(qǐng)求，通過(guò)認(rèn)證后打開(kāi)邏輯端口，然后發(fā)起 DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)。

可以說(shuō) ，校園網(wǎng)的不少無(wú)線(xiàn)接入點(diǎn)都沒(méi)有很好地考慮無(wú)線(xiàn)接入的安全問(wèn)題，就連最基本的安全，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒(méi)有設(shè)置，更不用說(shuō)像 802.1 x這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng)，會(huì)搜索到很多無(wú)線(xiàn)接入點(diǎn)，這些接入點(diǎn)幾乎沒(méi)有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進(jìn)入無(wú)線(xiàn)網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

3 校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)建成后，怎樣才能有效地保障無(wú)線(xiàn)網(wǎng)絡(luò)的安全?前面提到的基于 MAC地址的認(rèn)證存在兩個(gè)問(wèn)題，一是數(shù)據(jù)管理的問(wèn)題，要維護(hù) MAC數(shù)據(jù)庫(kù)，二是 MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰；802.1x定義了三種身份：申請(qǐng)者(用戶(hù)無(wú)線(xiàn)終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。

雖然 802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE 802.11i和 WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來(lái)提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無(wú)線(xiàn)客戶(hù)端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證，或基于證書(shū)驗(yàn)證。建議在執(zhí)行基于證書(shū)的客戶(hù)端身份驗(yàn)證時(shí)使用EAP-TLS；在執(zhí)行基于密碼的客戶(hù)端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)，該協(xié)議在PEAP(Protected Extensible Authentication Protoco1)協(xié)議中，也稱(chēng)作PEAP－EAP－MSCHAPv2。

考慮到校園群體的特殊性，為了保障校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全，可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類(lèi)不同的用戶(hù)，一類(lèi)是校內(nèi)用戶(hù)，一類(lèi)是來(lái)訪用戶(hù)。校內(nèi)用戶(hù)主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時(shí)接入無(wú)線(xiàn)網(wǎng)絡(luò)，訪問(wèn)校園網(wǎng)內(nèi)資源以及訪問(wèn)Internet。這些用戶(hù)的數(shù)據(jù)，如工資、科研成果 、研究資料和論文等的安全性要求比較高。對(duì)于此類(lèi)用戶(hù)，可使用 802.1x認(rèn)證方式對(duì)用戶(hù)進(jìn)行認(rèn)證。來(lái)訪用戶(hù)主要是來(lái)校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶(hù)。這類(lèi)用戶(hù)對(duì)網(wǎng)絡(luò)安全的需求不是特別高，對(duì)他們來(lái)說(shuō)最重要的就是能夠非常方便而且快速地接入Intemet，以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類(lèi)用戶(hù)，可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無(wú)線(xiàn)網(wǎng)絡(luò)。

如圖所示，開(kāi)機(jī)后，來(lái)訪用戶(hù)先通過(guò)DHCP服務(wù)器獲得IP地址。當(dāng)來(lái)訪用戶(hù)打開(kāi)瀏覽器訪問(wèn)Intemet網(wǎng)站時(shí)，強(qiáng)制Porta控制單元首先將用戶(hù)訪問(wèn)的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶(hù)只能訪問(wèn)該網(wǎng)站中提供的服務(wù)，無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書(shū)館期刊全文數(shù)據(jù)庫(kù)等。如果要訪問(wèn)校園網(wǎng)以外的資源，必須通過(guò)強(qiáng)制Portal認(rèn)證．認(rèn)證通過(guò)就可以訪問(wèn)Intemet。對(duì)于校內(nèi)用戶(hù)，先由無(wú)線(xiàn)用戶(hù)終端發(fā)起認(rèn)證請(qǐng)求，沒(méi)通過(guò)認(rèn)證之前，不能訪問(wèn)任何地方，并且不能獲得IP地址?？赏ㄟ^(guò)數(shù)字證書(shū)(需要設(shè)立證書(shū)服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證，既可以防止非法用戶(hù)使用網(wǎng)絡(luò)，也可以防止用戶(hù)連入非法AP。雙向認(rèn)證通過(guò)后，無(wú)線(xiàn)用戶(hù)終端從DHCP服務(wù)器獲得IP地址。無(wú)線(xiàn)用戶(hù)終端獲得IP地址后，就可以利用雙方約定的密鑰，運(yùn)用所協(xié)商的加密算法進(jìn)行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。

使用強(qiáng)制 Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實(shí)意義。來(lái)訪用戶(hù)所關(guān)心的是方便和快捷，對(duì)安全性的要求不高。強(qiáng)制 Portal認(rèn)證方式在用戶(hù)端不需要安裝額外的客戶(hù)端軟件，用戶(hù)直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式，對(duì)來(lái)訪用戶(hù)來(lái)說(shuō)簡(jiǎn)單、方便、快速，但安全性比較差。雖然用戶(hù)名和密碼可以通過(guò) SSL加密，但傳輸?shù)臄?shù)據(jù)沒(méi)有任何加密，任何人都可以監(jiān)聽(tīng)。當(dāng)然，必須通過(guò)相應(yīng)的權(quán)限來(lái)限制和隔離此類(lèi)用戶(hù)，確保來(lái)訪用戶(hù)無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶(hù)所關(guān)心的主要是其信息的安全，安全性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較麻煩，設(shè)置步驟也比較多，且要有專(zhuān)門(mén)的802.1x客戶(hù)端，但擁有極好的安全性，因此針對(duì)校內(nèi)用戶(hù)可使用802.1x認(rèn)證方式，以保障傳輸數(shù)據(jù)的安全。

4 結(jié)束語(yǔ)

校園網(wǎng)各區(qū)域分別覆蓋無(wú)線(xiàn)局域網(wǎng)絡(luò)以后，用戶(hù)只需簡(jiǎn)單的設(shè)置就可以連接到校園網(wǎng)，從而實(shí)現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展，將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)的建設(shè)。 現(xiàn)在，不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無(wú)線(xiàn)覆蓋。但在建設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí)，由于對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全不夠重視，對(duì)校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全考慮不夠。在這點(diǎn)上，學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭，做好無(wú)線(xiàn)網(wǎng)絡(luò)的安全管理工作，并完成全校無(wú)線(xiàn)網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證，做到無(wú)線(xiàn)網(wǎng)絡(luò)與現(xiàn)有有線(xiàn)網(wǎng)絡(luò)的無(wú)縫對(duì)接，確保無(wú)線(xiàn)網(wǎng)絡(luò)的高安全性。

參考文獻(xiàn)：

第5篇

本系統(tǒng)是一個(gè)基于Java ME平臺(tái)的無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端的俄羅斯方塊游戲，利用Java ME Wireless Toolkit(WTK)開(kāi)發(fā)包工具在無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端上實(shí)現(xiàn)經(jīng)典的俄羅斯方塊游戲。論文開(kāi)始部分對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)系統(tǒng)開(kāi)發(fā)中常使用幾種開(kāi)發(fā)語(yǔ)言和環(huán)境作了比較，說(shuō)明了選擇Java ME Wireless Toolkit作為開(kāi)發(fā)環(huán)境的的原因并對(duì)它作了相關(guān)的介紹。并展示了在WTK中打開(kāi)一個(gè)項(xiàng)目、把源文件打包成JAR包、產(chǎn)生混淆包的方法和過(guò)程。在系統(tǒng)設(shè)計(jì)時(shí)，遵循了無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端程序的startApp、pauseApp、destroyApp的開(kāi)發(fā)生命周期。在設(shè)計(jì)與實(shí)現(xiàn)方面，分成難度選擇、游戲規(guī)則、方塊處理這幾個(gè)模塊進(jìn)行實(shí)現(xiàn)。在開(kāi)發(fā)與實(shí)現(xiàn)的同時(shí)也講解了俄羅斯方塊這款古老而經(jīng)典游戲的游戲背景、規(guī)則以及相關(guān)特性。最終展示了無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端的游戲開(kāi)發(fā)的基本開(kāi)發(fā)過(guò)程和設(shè)計(jì)思路。

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端；Java ME；俄羅斯方塊；游戲開(kāi)發(fā)

1. 引言

1.1 系統(tǒng)綜述

綜合運(yùn)用以前所學(xué)專(zhuān)業(yè)知識(shí)，在Java ME開(kāi)發(fā)平臺(tái)上實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端的俄羅斯方塊游戲。其研究主要包括以下內(nèi)容：第一，克服有限的可視屏幕尺寸，使游戲正常顯示；第二，解決有限的可用內(nèi)存調(diào)用問(wèn)題，實(shí)現(xiàn)游戲流暢運(yùn)行；第三，俄羅斯方塊游戲規(guī)則算法在Java ME平臺(tái)的實(shí)現(xiàn)，保證游戲可玩性；第四，游戲開(kāi)始、結(jié)束等邏輯在游戲進(jìn)行中的判斷。本系統(tǒng)在Windows XP的操作系統(tǒng)下，Java Micro Edition Wireless Toolkit 2.1為開(kāi)發(fā)工具，用中文版UltraEdit做為代碼編輯器而實(shí)現(xiàn)的。

1.2 Java ME游戲開(kāi)發(fā)背景

游戲開(kāi)發(fā)是藝術(shù)與編程技術(shù)相結(jié)合的完美表現(xiàn)。利用Java的“Write once，run anywhere”特性，可以真正達(dá)到程序只寫(xiě)一次，在任何平臺(tái)都可以執(zhí)行。同時(shí)Java語(yǔ)言對(duì)面向?qū)ο蟮牧己弥С?，使開(kāi)發(fā)具有高效性。所以Java ME(Java Micro Edition)是廣大無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端游戲開(kāi)發(fā)廠商和游戲開(kāi)發(fā)愛(ài)好者的首選平臺(tái)。

1.3 無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端游戲發(fā)展現(xiàn)狀

縱觀IT產(chǎn)業(yè)的歷史，計(jì)算機(jī)游戲已經(jīng)成為技術(shù)創(chuàng)新背后的動(dòng)力之一。計(jì)算機(jī)游戲者渴望更加強(qiáng)大的硬件計(jì)算能力，渴望不受不同的軟件的限制——無(wú)論是將圖形強(qiáng)制在人工智能(AI)上還是網(wǎng)絡(luò)安全性。而無(wú)線(xiàn)網(wǎng)絡(luò)移動(dòng)端游戲已成為IT產(chǎn)業(yè)中增長(zhǎng)最快的部分之一。

第6篇

關(guān)鍵詞：認(rèn)知無(wú)線(xiàn)電;網(wǎng)絡(luò)安全 

中圖分類(lèi)號(hào)：TP393     文獻(xiàn)標(biāo)識(shí)碼：A      文章編號(hào)：1006-8937（2015）36-0053-02

認(rèn)知無(wú)線(xiàn)電技術(shù)可以在不影響授權(quán)用戶(hù)的前提下允許其他用戶(hù)動(dòng)態(tài)接入空閑頻譜，這為解決無(wú)線(xiàn)頻譜資源短缺問(wèn)題提供了一種可行的解決方案。認(rèn)知無(wú)線(xiàn)電技術(shù)的概念一經(jīng)提出便受到了人們的廣泛關(guān)注，相關(guān)研究取得了飛速進(jìn)展。但認(rèn)知無(wú)線(xiàn)電技術(shù)由于引入了頻譜感知、智能學(xué)習(xí)、動(dòng)態(tài)頻譜分配等新技術(shù)，從而帶來(lái)了諸如模擬授權(quán)用戶(hù)攻擊、自私行為攻擊、虛假反饋攻擊等各種全新的安全問(wèn)題。而認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)的安全問(wèn)題將影響到認(rèn)知無(wú)線(xiàn)電技術(shù)的最終商用化。因此，對(duì)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)安全性方面的探索與實(shí)踐研究有著十分重要的意義。 

1  認(rèn)知無(wú)線(xiàn)電技術(shù)簡(jiǎn)介 

 認(rèn)知無(wú)線(xiàn)電（Cognitive Radio，CR）的概念最早由Joseph Mitolo博士提出，他指出認(rèn)知無(wú)線(xiàn)電是一種通過(guò)感知自身周?chē)h(huán)境，進(jìn)而通過(guò)與周?chē)h(huán)境交互來(lái)改變發(fā)射機(jī)參數(shù)的智能無(wú)線(xiàn)通信系統(tǒng)，其具備環(huán)境感知能力、學(xué)習(xí)能力、決策和自適應(yīng)能力、相互協(xié)作的能力。 

認(rèn)知無(wú)線(xiàn)電確立了三個(gè)基本任務(wù)： 

①頻譜感知：認(rèn)知用戶(hù)的接收端感知周?chē)臒o(wú)線(xiàn)頻譜環(huán)境，測(cè)量并估計(jì)環(huán)境中的干擾溫度，篩選可用的頻譜。 

②信道估計(jì)：根據(jù)環(huán)境中的干擾溫度信息，實(shí)時(shí)計(jì)算出各個(gè)子信道的信道容量。 

③動(dòng)態(tài)頻譜資源管理：認(rèn)知用戶(hù)的發(fā)射端根據(jù)已知的空閑頻譜和信道容量信息，動(dòng)態(tài)調(diào)整其發(fā)射頻率和功率，從而確保信息的可靠傳輸。 

認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)通過(guò)允許非授權(quán)用戶(hù)自適應(yīng)的感知授權(quán)頻譜，并機(jī)會(huì)式地使用空閑頻譜，使得非授權(quán)用戶(hù)可以在未取得授權(quán)的情況下接入傳輸條件更好、帶寬更寬的頻段，從而可以極大的改善頻譜利用率。認(rèn)知無(wú)線(xiàn)電技術(shù)的提出和發(fā)展為解決當(dāng)前頻譜資源緊張的問(wèn)題提供了一種可靠的解決方案。 

2  認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)安全面臨的主要威脅 

 隨著各類(lèi)無(wú)線(xiàn)設(shè)備的出現(xiàn)，頻譜資源日益緊張，在無(wú)線(xiàn)通信中 “認(rèn)知”概念的引入，可以有效解決該問(wèn)題，但也帶來(lái)了一系列新的無(wú)線(xiàn)網(wǎng)絡(luò)安全隱患，是認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)能夠?qū)崿F(xiàn)商用的一個(gè)難題。認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)的安全性研究尚處于初始階段，隨著頻譜感知、智能學(xué)習(xí)、動(dòng)態(tài)頻譜分配等一系列新技術(shù)的引入，其除了需要面對(duì)傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)安全威脅，還面臨著諸如模擬授權(quán)用戶(hù)攻擊、自私行為攻擊、虛假反饋攻擊等各種全新的安全問(wèn)題。 

目前，認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)安全防御機(jī)制研究主要集中在提高某種具體技術(shù)的安全性，尚未形成較為成熟的認(rèn)知無(wú)線(xiàn)電安全體系。但也已有研究和相關(guān)文獻(xiàn)[1]涉及了該方面，為認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)安全性研究提供了一定的借鑒。 

2.1  物理層攻擊行為 

 認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)在物理層引入了全新的頻譜感知和頻譜切換技術(shù)，認(rèn)知用戶(hù)可以通過(guò)頻譜感知和切換技術(shù)檢測(cè)和篩選可用的空閑頻譜加以利用。因此，除了面臨傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)物理層安全威脅外，認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)物理層中還因相關(guān)新技術(shù)的應(yīng)用而面臨一系列新的安全威脅。 

其中最受關(guān)注的是： 

①模擬授權(quán)用戶(hù)攻擊[2]（Primary User Emulation Attack，PUEA）當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)檢測(cè)到一個(gè)可用空閑頻段時(shí)，其通過(guò)發(fā)送與授權(quán)用戶(hù)信號(hào)特征相似的傳輸信號(hào)，從而達(dá)到獨(dú)占此空閑頻段的目的。 

②干擾授權(quán)用戶(hù)攻擊[3]（Primary Receiver Jamming Attack）在認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中存在惡意節(jié)點(diǎn)參與到網(wǎng)絡(luò)的協(xié)作數(shù)據(jù)傳送過(guò)程中，造成對(duì)授權(quán)用戶(hù)接收機(jī)進(jìn)行連續(xù)干擾。 

2.2  鏈路層攻擊行為 

 認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)的鏈路層負(fù)責(zé)將檢測(cè)到的空閑頻譜分配給需要的認(rèn)知無(wú)線(xiàn)電用戶(hù)，其需要在確保在一定公平性的基礎(chǔ)上盡可能提高頻譜的利用率。因此認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)鏈路層面臨的主要安全威脅是如何確保信道分配的公平性。 

目前普遍存在的三種攻擊行為是： 

①自私（惡意）行為攻擊[4]（Selfish Behavior Attack）自私節(jié)點(diǎn)以損害網(wǎng)絡(luò)整體性能為代價(jià)，通過(guò)修改頻譜分配的效用函數(shù)來(lái)提高自身性能，但同時(shí)也會(huì)造成其他認(rèn)知用戶(hù)可用頻譜資源減少。 

②飽和控制信道攻擊[5]（Control Channel Saturation Attacks）：惡意節(jié)點(diǎn)通過(guò)持續(xù)不斷發(fā)送偽造的控制信息，從而達(dá)到公共控制信道數(shù)據(jù)飽和、網(wǎng)絡(luò)整體性能下降的目的。 

③虛假反饋攻擊（False Feedback Attack）：認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)向其他認(rèn)知用戶(hù)反饋虛假的頻譜感知和分配信息，從而達(dá)到影響頻譜感知準(zhǔn)確性和頻譜分配公平性的目的。 

2.3  網(wǎng)絡(luò)層攻擊行為 

 在認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中，網(wǎng)絡(luò)層面臨的主要安全威脅為對(duì)路由信息的篡改和破壞，如拜占庭黑洞攻擊（Black Hole Attack）、急速泛洪攻擊（Flood Rushing Attack）、蟲(chóng)洞攻擊（Wormhole Attack）等。此外，隨著認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中頻譜感知技術(shù)的引入，致使環(huán)境中的每個(gè)接收機(jī)都存在多個(gè)可用信道，在數(shù)據(jù)傳輸過(guò)程中為確保一跳鏈路的雙方使用相同的信道，各個(gè)節(jié)點(diǎn)在進(jìn)行路由選擇的同時(shí)還需要對(duì)信道進(jìn)行選擇。認(rèn)知網(wǎng)絡(luò)中的惡意用戶(hù)可以通過(guò)發(fā)送虛假的路由和信道信息，從而誤導(dǎo)用戶(hù)選擇錯(cuò)誤的路由和信道，達(dá)到信道間干擾嚴(yán)重，網(wǎng)絡(luò)整體性能下降的目的?！?.4  高層攻擊行為 

  認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中的高層攻擊行為包括對(duì)傳輸層的攻擊和對(duì)應(yīng)用層的攻擊。認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)的高層結(jié)構(gòu)與傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)類(lèi)似，相關(guān)研究主要集中在空中接口部分。其面臨的主要安全威脅有會(huì)話(huà)劫持攻擊（Session Hijacking Attack）、拒絕服務(wù)攻擊（Denial of Service，DoS）、惡意代碼攻擊（Malicious Code Attack）等。 

3  認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)安全性分析 

 針對(duì)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)物理層所面臨的主要安全威脅：模擬授權(quán)用戶(hù)攻擊，2006年R.Chen、J.M.Park提出了模擬授權(quán)用戶(hù)攻擊的問(wèn)題，其具體表現(xiàn)形式為：當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)檢測(cè)到一個(gè)可用空閑頻段時(shí)，其通過(guò)發(fā)送與授權(quán)用戶(hù)信號(hào)特征相似的傳輸信號(hào)，從而達(dá)到獨(dú)占此空閑頻段的目的。 

通過(guò)相關(guān)研究證實(shí)傳統(tǒng)的頻譜檢測(cè)方法很難有效解決該威脅，因此R.Chen、J.M.Park提出了一種基于位置確認(rèn)的頻譜檢測(cè)方法來(lái)解決此種威脅，該方法包括兩種位置確認(rèn)方的驗(yàn)證算法：距離比驗(yàn)證和距離差異驗(yàn)證。實(shí)驗(yàn)表明上述兩種算法均可以檢測(cè)到網(wǎng)絡(luò)中是否存在惡意攻擊者，但還需提高其檢測(cè)的準(zhǔn)確性;解決該類(lèi)威脅的另一種可能的方法是在授權(quán)用戶(hù)信號(hào)中加入用于計(jì)算哈希值的原始數(shù)據(jù)，認(rèn)知用戶(hù)對(duì)接收到的原始數(shù)據(jù)做哈希值計(jì)算，通過(guò)比對(duì)計(jì)算結(jié)果同預(yù)先保留的參數(shù)值來(lái)確定其是否為惡意節(jié)點(diǎn)。 

針對(duì)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)物理層所面臨的安全威脅，最根本的解決方案還在于改善頻譜感知技術(shù)來(lái)實(shí)現(xiàn)頻譜利用的安全性。為確保認(rèn)知用戶(hù)獲取環(huán)境中頻譜使用情況的準(zhǔn)確性，可以建立實(shí)時(shí)無(wú)線(xiàn)電環(huán)境數(shù)據(jù)庫(kù)，通過(guò)將感知信息與數(shù)據(jù)庫(kù)比對(duì)，可以有效減少類(lèi)似模擬授權(quán)用戶(hù)攻擊和虛假反饋攻擊對(duì)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)造成的安全威脅。 

 認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)鏈路層所面臨的主要安全問(wèn)題是如何確保信道分配的公平性。目前，對(duì)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)鏈路層安全構(gòu)成最大威脅的是自私行為攻擊。因此，可以在認(rèn)知無(wú)線(xiàn)電信道感知和分配中引入信譽(yù)機(jī)制，其設(shè)計(jì)可以借鑒Ad Hoc網(wǎng)絡(luò)中引入的信任/信譽(yù)模型，首先需要收集各節(jié)點(diǎn)的行為信息，綜合該節(jié)點(diǎn)之前參與頻譜感知和分配過(guò)程中信譽(yù)度的歷史記錄，從而進(jìn)行相關(guān)信譽(yù)度的計(jì)算，然后數(shù)據(jù)融合中心利用信譽(yù)度來(lái)對(duì)所有節(jié)點(diǎn)的匯報(bào)結(jié)果進(jìn)行可信度區(qū)分，最后通過(guò)激勵(lì)或懲罰機(jī)制來(lái)使各節(jié)點(diǎn)間加強(qiáng)協(xié)作，減少自私行為，讓信譽(yù)度高的認(rèn)知用戶(hù)在頻譜分配過(guò)程中發(fā)揮更大的作用，從而提高頻譜感知和分配的公平性。 

  在認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中，公共控制信道的安全性至關(guān)重要，它能實(shí)現(xiàn)認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)各節(jié)點(diǎn)交換本地信道信息。對(duì)于公共控制信道的攻擊會(huì)造成網(wǎng)絡(luò)通信效率急劇降低甚至癱瘓，因此必須確保公共控制信道及信道中信息的安全性。 

解決公共控制信道面臨的安全性問(wèn)題可從以下三方面考慮： 

①可以通過(guò)在各節(jié)點(diǎn)間建立可靠的頻道列表來(lái)確保信道的安全; 

②通過(guò)引入加密認(rèn)證體系使在認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)節(jié)點(diǎn)（接受、發(fā)射端）實(shí)現(xiàn)雙向認(rèn)證來(lái)確保信道的安全。 

③可以借鑒Ad Hoc網(wǎng)絡(luò)中的節(jié)點(diǎn)分簇機(jī)制[6]，相關(guān)節(jié)點(diǎn)用戶(hù)自行組成一個(gè)本地協(xié)調(diào)組。 

每組用戶(hù)形成一個(gè)具有相同公共控制信道的多跳網(wǎng)絡(luò)，通過(guò)這種方法可以防止由于控制信道擁塞造成的中斷，有效改善飽和控制信道攻擊。 

4  結(jié)  語(yǔ) 

 認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)的安全問(wèn)題將影響到認(rèn)知無(wú)線(xiàn)電技術(shù)的最終商用，而針對(duì)這方面的研究也會(huì)越來(lái)越深入，我們可以充分借鑒其它無(wú)線(xiàn)網(wǎng)絡(luò)安全性技術(shù)，針對(duì)認(rèn)知無(wú)線(xiàn)電本身特點(diǎn)，最終完善其相關(guān)安全技術(shù)。 

參考文獻(xiàn)： 

[1] Jack L.Burbank. Security in cognitive radio networks： The required e 

volution in approaches to  wireless network security. IEEE Wireless 

Communications Magazine，2009. 

[2] 崔國(guó)華，盧社階.Ad hoc網(wǎng)絡(luò)中基于多徑路由協(xié)議的信譽(yù)機(jī)制[J].通信   學(xué)報(bào)，2008，（5）.   本文由wWw.DyLw.NeT提供，第一論 文 網(wǎng)專(zhuān)業(yè)教育教學(xué)論文和以及服務(wù)，歡迎光臨dYlw.nET

[3] Wang Changdal，Ju Shiguang. Multilevel security model for ad hoc ne 

tworks.Journal of Systems Engineering and Electronics，2008，（2）. 

[4] 孫麗艷.基于激勵(lì)機(jī)制的認(rèn)知無(wú)線(xiàn)電自私行為研究[J].計(jì)算機(jī)技術(shù)與   發(fā)展，2009，（10）. 

[5] 薛楠，周賢偉.認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)誘騙攻擊問(wèn)題及安全解決方案[J].電信   科學(xué)，2009，（5）. 

第7篇

[論文摘要]安全問(wèn)題是自無(wú)線(xiàn)局域網(wǎng)誕生以來(lái)一直困擾其發(fā)展的重要原因,本文研究了現(xiàn)階段無(wú)線(xiàn)局域網(wǎng)面臨的主要安全問(wèn)題,并介紹了相應(yīng)的解決辦法。

近年來(lái),無(wú)線(xiàn)局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動(dòng)數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢(shì)等特點(diǎn)得以迅速發(fā)展。但是,隨著無(wú)線(xiàn)局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,無(wú)線(xiàn)局域網(wǎng)受到越來(lái)越多的威脅,無(wú)線(xiàn)網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線(xiàn)網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊,還受到基于IEEE802.11標(biāo)準(zhǔn)本身的安全問(wèn)題而受到威脅,其安全問(wèn)題也越來(lái)越受到重視。

一、非法接入無(wú)線(xiàn)局域網(wǎng)

無(wú)線(xiàn)局域網(wǎng)采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、墻等物體,因此在一個(gè)無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)(AccessPoint,AP)的服務(wù)區(qū)域中,任何一個(gè)無(wú)線(xiàn)客戶(hù)端(包括未授權(quán)的客戶(hù)端)都可以接收到此接入點(diǎn)的電磁波信號(hào)。也就是說(shuō),由于采用電磁波來(lái)傳輸信號(hào),未授權(quán)用戶(hù)在無(wú)線(xiàn)局域網(wǎng)(相對(duì)于有線(xiàn)局域網(wǎng))中竊聽(tīng)或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶(hù)訪問(wèn)無(wú)線(xiàn)局域網(wǎng)絡(luò),必須在無(wú)線(xiàn)局域網(wǎng)引入全面的安全措施。

1.非法用戶(hù)的接入

(1)基于服務(wù)設(shè)置標(biāo)識(shí)符(SSID)防止非法用戶(hù)接入

服務(wù)設(shè)置標(biāo)識(shí)符SSID是用來(lái)標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)的名稱(chēng),以此來(lái)區(qū)分不同的網(wǎng)絡(luò),最多可以有32個(gè)字符。無(wú)線(xiàn)工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無(wú)線(xiàn)工作站必須提供正確的SSID,與無(wú)線(xiàn)訪問(wèn)點(diǎn)AP的SSID相同,才能訪問(wèn)AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供口令認(rèn)證機(jī)制,阻止非法用戶(hù)的接入,保障無(wú)線(xiàn)局域網(wǎng)的安全。SSID通常由AP廣播出來(lái),例如通過(guò)windowsXP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號(hào),這樣無(wú)線(xiàn)工作站端就必須主動(dòng)提供正確的SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。

(2)基于無(wú)線(xiàn)網(wǎng)卡物理地址過(guò)濾防止非法用戶(hù)接入

由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權(quán)的無(wú)限工作站接入。為AP設(shè)置基于MAC地址的AccessControl(訪問(wèn)控制表),確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表,實(shí)現(xiàn)物理地址過(guò)濾。但是MAC地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過(guò)濾屬于硬件認(rèn)證,而不是用戶(hù)認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新,目前都是手工操作。如果用戶(hù)增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。

如果網(wǎng)絡(luò)中的AP數(shù)量太多,可以使用802.1x端口認(rèn)證技術(shù)配合后臺(tái)的RADIUS認(rèn)證服務(wù)器,對(duì)所有接入用戶(hù)的身份進(jìn)行嚴(yán)格認(rèn)證,杜絕未經(jīng)授權(quán)的用戶(hù)接入網(wǎng)絡(luò),盜用數(shù)據(jù)或進(jìn)行破壞。

(3)基于802.1x防止非法用戶(hù)接入

802.1x技術(shù)也是用于無(wú)線(xiàn)局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線(xiàn)工作站與無(wú)線(xiàn)訪問(wèn)點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。

如果認(rèn)證通過(guò),則AP為無(wú)線(xiàn)工作站打開(kāi)這個(gè)邏輯端口,否則不允許用戶(hù)上網(wǎng)。

2.非法AP的接入

無(wú)線(xiàn)局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單的特性,增加了無(wú)線(xiàn)局域網(wǎng)管理的難度。因?yàn)槿魏稳硕伎梢酝ㄟ^(guò)自己購(gòu)買(mǎi)的AP,不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò),這就給無(wú)線(xiàn)局域網(wǎng)帶來(lái)很大的安全隱患。

(1)基于無(wú)線(xiàn)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)防止非法AP接入

使用入侵檢測(cè)系統(tǒng)IDS防止非法AP的接入主要有兩個(gè)步驟,即發(fā)現(xiàn)非法AP和清除非法AP。

發(fā)現(xiàn)非法AP是通過(guò)分布于網(wǎng)絡(luò)各處的探測(cè)器完成數(shù)據(jù)包的捕獲和解析,它們能迅速地發(fā)現(xiàn)所有無(wú)線(xiàn)設(shè)備的操作,并報(bào)告給管理員或IDS系統(tǒng)。當(dāng)然通過(guò)網(wǎng)絡(luò)管理軟件,比如SNMP,也可以確定AP接入有線(xiàn)網(wǎng)絡(luò)的具體物理地址。發(fā)現(xiàn)AP后,可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法,如果列表中沒(méi)有列出該新檢測(cè)到的AP的相關(guān)參數(shù),那么就是RogueAP識(shí)別每個(gè)AP的MAC地址、SSID、Vendor(提供商)、無(wú)線(xiàn)媒介類(lèi)型以及信道。判斷新檢測(cè)到AP的MAC地址、SSID、Vendor(提供商)、無(wú)線(xiàn)媒介類(lèi)型或者信道異常,就可以認(rèn)為是非法AP。

當(dāng)發(fā)現(xiàn)非法AP之后,應(yīng)該立即采取的措施,阻斷該AP的連接,有以下三種方式可以阻斷AP連接:

①采用DoS攻擊的辦法,迫使其拒絕對(duì)所有客戶(hù)的無(wú)線(xiàn)服務(wù);

②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件,確定該非法AP的物理連接位置,從物理上斷開(kāi)。

(2)檢測(cè)出非法AP連接在交換機(jī)的端口,并禁止該端口

基于802.1x雙向驗(yàn)證防止非法AP接入。利用對(duì)AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查,防止非法AP的接入。在無(wú)線(xiàn)AP接入有線(xiàn)交換設(shè)備時(shí),可能會(huì)遇到非法AP的攻擊,非法安裝的AP會(huì)危害無(wú)線(xiàn)網(wǎng)絡(luò)的寶貴資源,因此必須對(duì)AP的合法性進(jìn)行驗(yàn)證。AP支持的IEEE802.1x技術(shù)提供了一個(gè)客戶(hù)機(jī)和網(wǎng)絡(luò)相互驗(yàn)證的方法,在此驗(yàn)證過(guò)程中不但AP需要確認(rèn)無(wú)線(xiàn)用戶(hù)的合法性,無(wú)線(xiàn)終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問(wèn)點(diǎn),然后才能進(jìn)行通信。通過(guò)雙向認(rèn)證,可以有效地防止非法AP的接入。

(3)基于檢測(cè)設(shè)備防止非法AP的接入

在入侵者使用網(wǎng)絡(luò)之前,通過(guò)接收天線(xiàn)找到未被授權(quán)的網(wǎng)絡(luò)。對(duì)物理站點(diǎn)的監(jiān)測(cè),應(yīng)當(dāng)盡可能地頻繁進(jìn)行。頻繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率。選擇小型的手持式檢測(cè)設(shè)備,管理員可以通過(guò)手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè),清除非法接入的AP。

二、數(shù)據(jù)傳輸?shù)陌踩?/p>

在無(wú)線(xiàn)局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問(wèn)控制保障數(shù)據(jù)傳輸?shù)陌踩浴Ｊ褂孟冗M(jìn)的加密技術(shù),使得非法用戶(hù)即使截取無(wú)線(xiàn)鏈路中的數(shù)據(jù)也無(wú)法破譯;使用數(shù)據(jù)訪問(wèn)控制能夠減少數(shù)據(jù)的泄露。

1.數(shù)據(jù)加密

(1)IEEE802.11中的WEP

有線(xiàn)對(duì)等保密協(xié)議(WEP)是由IEEE802.11標(biāo)準(zhǔn)定義的,用于在無(wú)線(xiàn)局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開(kāi)發(fā)的RC4對(duì)稱(chēng)加密算法,在鏈路層加密數(shù)據(jù)。

WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量?jī)H為24位,算法強(qiáng)度并不算高,于是有了安全漏洞?，F(xiàn)在,已經(jīng)出現(xiàn)了專(zhuān)門(mén)的破解WEP加密的程序,其代表是WEPCrack和AirSnort。

(2)IEEE802.11i中的WPA

Wi-Fi保護(hù)接入(WPA)是由IEEE802.11i標(biāo)準(zhǔn)定義的,用來(lái)改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式,更頻繁地變換密鑰來(lái)獲得安全。它還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無(wú)法計(jì)算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能,WEP中的缺點(diǎn)得以解決。

2.數(shù)據(jù)的訪問(wèn)控制

訪問(wèn)控制的目標(biāo)是防止任何資源(如計(jì)算資源、通信資源或信息資源)進(jìn)行非授權(quán)的訪問(wèn),所謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷(xiāo)毀以及指令等。用戶(hù)通過(guò)認(rèn)證,只是完成了接入無(wú)線(xiàn)局域網(wǎng)的第一步,還要獲得授權(quán),才能開(kāi)始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源,授權(quán)主要是通過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。

訪問(wèn)控制也是一種安全機(jī)制,它通過(guò)訪問(wèn)BSSID、MAC地址過(guò)濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對(duì)用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源的限制。訪問(wèn)控制可以基于下列屬性進(jìn)行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類(lèi)型、用戶(hù)ID、用戶(hù)時(shí)長(zhǎng)等。

3.其他安全性措施

許多安全問(wèn)題都是由于AP沒(méi)有處在一個(gè)封閉的環(huán)境中造成的。所以,首先,應(yīng)注意合理放置AP的天線(xiàn)。以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。例如,將天線(xiàn)遠(yuǎn)離窗戶(hù)附近,因?yàn)椴Ａo(wú)法阻擋信號(hào)。最好將天線(xiàn)放在需要覆蓋的區(qū)域的中心,盡量減少信號(hào)泄露到墻外,必要時(shí)要增加屏蔽設(shè)備來(lái)限制無(wú)線(xiàn)局域網(wǎng)的覆蓋范圍。其次,由于很多無(wú)線(xiàn)設(shè)備是放置在室外的,因此需要做好防盜、防風(fēng)、防雨、防雷等措施,保障這些無(wú)線(xiàn)設(shè)備的物理安全。

綜合使用無(wú)線(xiàn)和有線(xiàn)策略。無(wú)線(xiàn)網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線(xiàn)和無(wú)線(xiàn)網(wǎng)絡(luò)安全策略,能夠最大限度提高安全水平。

為了保障無(wú)線(xiàn)局域網(wǎng)的安全,除了通過(guò)技術(shù)手段進(jìn)行保障之外,制定完善的管理和使用制度也是很有必要的。

參考文獻(xiàn):

[1]趙偉艇:無(wú)線(xiàn)局域網(wǎng)的加密和訪問(wèn)控制安全性分析.微計(jì)算機(jī)信息,2007年21期

第8篇

關(guān)鍵詞 無(wú)線(xiàn)局域網(wǎng)，802.1x，認(rèn)證服務(wù)器，安全協(xié)議，WAPI

1 802.11無(wú)線(xiàn)局域網(wǎng)的安全機(jī)制

802.11無(wú)線(xiàn)局域網(wǎng)運(yùn)作模式基本分為兩種：點(diǎn)對(duì)點(diǎn)（Ad Hoc）模式和基本（Infrastructure）模式。點(diǎn)對(duì)點(diǎn)模式指無(wú)線(xiàn)網(wǎng)卡和無(wú)線(xiàn)網(wǎng)卡之間的直接通信方式。只要PC插上無(wú)線(xiàn)網(wǎng)卡即可與另一具有無(wú)線(xiàn)網(wǎng)卡的PC連接，這是一種便捷的連接方式，最多可連接256個(gè)移動(dòng)節(jié)點(diǎn)?；灸Ｊ街笩o(wú)線(xiàn)網(wǎng)絡(luò)規(guī)模擴(kuò)充或無(wú)線(xiàn)和有線(xiàn)網(wǎng)絡(luò)并存的通信方式，這也是802.11最常用的方式。此時(shí)，插上無(wú)線(xiàn)網(wǎng)卡的移動(dòng)節(jié)點(diǎn)需通過(guò)接入點(diǎn)AP（Access Point）與另一臺(tái)移動(dòng)節(jié)點(diǎn)連接。接入點(diǎn)負(fù)責(zé)頻段管理及漫游管理等工作，一個(gè)接入點(diǎn)最多可連接1024個(gè)移動(dòng)節(jié)點(diǎn)。當(dāng)無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)擴(kuò)增時(shí)，網(wǎng)絡(luò)存取速度會(huì)隨著范圍擴(kuò)大和節(jié)點(diǎn)的增加而變慢，此時(shí)添加接入點(diǎn)可以有效控制和管理頻寬與頻段。

與有線(xiàn)網(wǎng)絡(luò)相比較，無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題具有以下特點(diǎn)：（1）信道開(kāi)放，無(wú)法阻止攻擊者竊聽(tīng)，惡意修改并轉(zhuǎn)發(fā)；（2）傳輸媒質(zhì)―無(wú)線(xiàn)電波在空氣中的傳播會(huì)因多種原因（例如障礙物）發(fā)生信號(hào)衰減，導(dǎo)致信息的不穩(wěn)定，甚至?xí)G失；（3）需要常常移動(dòng)設(shè)備（尤其是移動(dòng)用戶(hù)），設(shè)備容易丟失或失竊；（4）用戶(hù)不必與網(wǎng)絡(luò)進(jìn)行實(shí)際連接，使得攻擊者偽裝合法用戶(hù)更容易。由于上述特點(diǎn)，利用WLAN進(jìn)行通信必須具有較高的通信保密能力。

802.11無(wú)線(xiàn)局域網(wǎng)本身提供了一些基本的安全機(jī)制。802.11接入點(diǎn)AP可以用一個(gè)服務(wù)集標(biāo)識(shí)SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）來(lái)配置。與接入點(diǎn)有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。但這是一個(gè)非常脆弱的安全手段。因?yàn)镾SID通過(guò)明文在大氣中傳送，甚至被接入點(diǎn)廣播，所有的網(wǎng)卡和接入點(diǎn)都知道SSID。

802.11的安全性主要包括以有線(xiàn)同等保密WEP（Wired Equivalent Privacy）算法為基礎(chǔ)的身份驗(yàn)證服務(wù)和加密技術(shù)。WEP 是一套安全服務(wù)，用來(lái)防止 802.11 網(wǎng)絡(luò)受到未授權(quán)用戶(hù)的訪問(wèn)。啟用 WEP 時(shí)，可以指定用于加密的網(wǎng)絡(luò)密鑰，也可自動(dòng)提供網(wǎng)絡(luò)密鑰。如果親自指定密鑰，還可以指定密鑰長(zhǎng)度（64 位或 128 位）、密鑰格式（ASCII 字符或十六進(jìn)制數(shù)字）和密鑰索引（存儲(chǔ)特定密鑰的位置）。原理上密鑰長(zhǎng)度越長(zhǎng)，密鑰應(yīng)該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為《RC4秘鑰時(shí)序算法缺點(diǎn)》的論文，講述了關(guān)于WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問(wèn)題。

另外，這一安全機(jī)制的一個(gè)主要限制是標(biāo)準(zhǔn)沒(méi)有規(guī)定一個(gè)分配密鑰的管理協(xié)議。這就假定了共享密鑰是通過(guò)獨(dú)立于802.11的秘密渠道提供給移動(dòng)節(jié)點(diǎn)。當(dāng)這種移動(dòng)節(jié)點(diǎn)的數(shù)量龐大時(shí)，將是一個(gè)很大的挑戰(zhàn)。

2 802.1x協(xié)議的體系

IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無(wú)線(xiàn)局域網(wǎng)用戶(hù)的接入認(rèn)證問(wèn)題。802.1x 協(xié)議又稱(chēng)為基于端口的訪問(wèn)控制協(xié)議，可提供對(duì)802.11無(wú)線(xiàn)局域網(wǎng)和對(duì)有線(xiàn)以太網(wǎng)絡(luò)的驗(yàn)證的網(wǎng)絡(luò)訪問(wèn)權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)與關(guān)閉，對(duì)于合法用戶(hù)接入時(shí)，打開(kāi)端口；對(duì)于非法用戶(hù)接入或沒(méi)有用戶(hù)接入時(shí)，則端口處于關(guān)閉狀態(tài)。

IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實(shí)體：客戶(hù)端Supplicant System、認(rèn)證系統(tǒng)Authenticator System、認(rèn)證服務(wù)器Authentication Server System。

（1）客戶(hù)端：一般為一個(gè)用戶(hù)終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶(hù)端軟件，用戶(hù)通過(guò)啟動(dòng)這個(gè)客戶(hù)端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程。

（2）認(rèn)證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對(duì)應(yīng)于不同用戶(hù)的端口有兩個(gè)邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個(gè)邏輯接入點(diǎn)（非受控端口），允許驗(yàn)證者和 LAN 上其它計(jì)算機(jī)之間交換數(shù)據(jù)，而無(wú)需考慮計(jì)算機(jī)的身份驗(yàn)證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開(kāi)放狀態(tài)），主要用來(lái)傳遞EAPOL協(xié)議幀，可保證客戶(hù)端始終可以發(fā)出或接受認(rèn)證。第二個(gè)邏輯接入點(diǎn)（受控端口），允許經(jīng)驗(yàn)證的 LAN 用戶(hù)和驗(yàn)證者之間交換數(shù)據(jù)。受控端口平時(shí)處于關(guān)閉狀態(tài)，只有在客戶(hù)端認(rèn)證通過(guò)時(shí)才打開(kāi)，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶(hù)未通過(guò)認(rèn)證，則受控端口處于未認(rèn)證（關(guān)閉）狀態(tài)，則用戶(hù)無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù)。

（3）認(rèn)證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶(hù)的信息，比如用戶(hù)名和口令、用戶(hù)所屬的VLAN、優(yōu)先級(jí)、用戶(hù)的訪問(wèn)控制列表等。當(dāng)用戶(hù)通過(guò)認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶(hù)的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表，用戶(hù)的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。

3 802.1x協(xié)議的認(rèn)證過(guò)程

利用IEEE 802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶(hù)是否登錄網(wǎng)絡(luò)的情況下都訪問(wèn)網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問(wèn)該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒(méi)有有效的身份驗(yàn)證密鑰，AP會(huì)禁止所有的網(wǎng)絡(luò)流量通過(guò)。

（1）當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn)（申請(qǐng)者）進(jìn)入一個(gè)無(wú)線(xiàn)AP認(rèn)證者的覆蓋范圍時(shí)，無(wú)線(xiàn)AP會(huì)向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)問(wèn)詢(xún)。

（2）在受到來(lái)自AP的問(wèn)詢(xún)之后，移動(dòng)節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。

（3）AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動(dòng)身份驗(yàn)證服務(wù)。

（4）RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)的類(lèi)型。

（5）移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS。

（6）在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP。該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請(qǐng)求通過(guò)AP的“非控制”端口進(jìn)行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節(jié)點(diǎn)通過(guò)“受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒(méi)有經(jīng)過(guò)身份驗(yàn)證。）

（7）AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全傳輸--特定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話(huà)密鑰以及多播/全局身份驗(yàn)證密鑰。

全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個(gè)加密密鑰，這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全TLS（Transport Level Security）協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機(jī)制。

移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)。

4 802.1x協(xié)議的特點(diǎn)

IEEE 802.1x具有以下主要優(yōu)點(diǎn)：

（1）實(shí)現(xiàn)簡(jiǎn)單。IEEE 802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

（2）認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE 802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶(hù)通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求，業(yè)務(wù)可以很靈活，尤其在開(kāi)展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢(shì)，所有業(yè)務(wù)都不受認(rèn)證方式限制。

IEEE 802.1x同時(shí)具有以下不足

802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會(huì)話(huà)，這一會(huì)話(huà)使用IETF的EAP（Extensible Authentication Protocol）認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機(jī)制的體系結(jié)構(gòu)框架使得能夠在802.11實(shí)體之間發(fā)送EAP包，并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對(duì)MAC地址的認(rèn)證對(duì)802.1x來(lái)說(shuō)是最基本的，如果沒(méi)有高層的每包認(rèn)證機(jī)制，認(rèn)證端口沒(méi)有辦法標(biāo)識(shí)網(wǎng)絡(luò)申請(qǐng)者或其包。而且實(shí)驗(yàn)證明802.1x由于其設(shè)計(jì)缺陷其安全性已經(jīng)受到威脅，常見(jiàn)的攻擊有中間人MIM攻擊和會(huì)話(huà)攻擊。

所以802.11與802.1x的簡(jiǎn)單結(jié)合并不能提供健壯的安全無(wú)線(xiàn)環(huán)境，必須有高層的清晰的交互認(rèn)證協(xié)議來(lái)加強(qiáng)。幸運(yùn)的是，802.1x為實(shí)現(xiàn)高層認(rèn)證提供了基本架構(gòu)。

5 802.1x認(rèn)證協(xié)議的應(yīng)用

IEEE 802.1x 使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶(hù)標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和記帳。802.1x身份驗(yàn)證可以增強(qiáng)安全性。IEEE 802.1x身份驗(yàn)證提供對(duì)802.11無(wú)線(xiàn)網(wǎng)絡(luò)和對(duì)有線(xiàn)以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問(wèn)權(quán)限。IEEE 802.1x 通過(guò)提供用戶(hù)和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下，作為 RADIUS 客戶(hù)端配置的無(wú)線(xiàn)接入點(diǎn)將連接請(qǐng)求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶(hù)端獲得身份驗(yàn)證，并且為會(huì)話(huà)生成唯一密鑰。IEEE 802.1x為可擴(kuò)展的身份驗(yàn)證協(xié)議 EAP 安全類(lèi)型提供的支持使您能夠使用諸如智能卡、證書(shū)以及 Message Digest 5 (MD5) 算法這樣的身份驗(yàn)證方法。

擴(kuò)展身份驗(yàn)證協(xié)議EAP是一個(gè)支持身份驗(yàn)證信息通過(guò)多種機(jī)制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來(lái)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間傳遞驗(yàn)證信息。這意味著EAP消息需要通過(guò)LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間轉(zhuǎn)遞消息。身份驗(yàn)證服務(wù)器可以是一臺(tái)遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)（RADIUS）服務(wù)器。

以下舉一個(gè)例子，說(shuō)明對(duì)申請(qǐng)者進(jìn)行身份驗(yàn)證所需經(jīng)過(guò)的步驟：

（1）認(rèn)證者發(fā)送一個(gè)EAP - Request/Identity（請(qǐng)求/身份）消息給申請(qǐng)者。

（2）申請(qǐng)者發(fā)送一個(gè)EAP - Response/Identity（響應(yīng)/身份）以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器。

（3）身份驗(yàn)證服務(wù)器利用一個(gè)包含口令問(wèn)詢(xún)的EAP - Request消息通過(guò)認(rèn)證者對(duì)申請(qǐng)者做出響應(yīng)。

（4）申請(qǐng)者通過(guò)認(rèn)證者將它對(duì)口令問(wèn)詢(xún)的響應(yīng)發(fā)送給身份驗(yàn)證服務(wù)器。

（5）如果身份驗(yàn)證通過(guò)，授權(quán)服務(wù)器將通過(guò)認(rèn)證者發(fā)送一個(gè)EAP - Success響應(yīng)給申請(qǐng)者。認(rèn)證者可以使用“Success”（成功）響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。

6 802.1x與智能卡

智能卡通常用在安全性要求比較高的場(chǎng)合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)；而智能卡能保護(hù)密鑰也是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)，密鑰絕對(duì)不能被泄密，但為安全原因所增加的成本卻不能太多。

智能卡自身硬件的資源極為有限。用其實(shí)現(xiàn)安全系統(tǒng)面臨著存儲(chǔ)器容量和計(jì)算能力方面受到的限制。目前市場(chǎng)上的大多數(shù)智能卡有128到1024字節(jié)的RAM，1 k到16 k字節(jié)的EEPROM，6 k到16 k字節(jié)的ROM，CPU通常為8比特的，典型的時(shí)鐘頻率為3.57 MHz。任何存儲(chǔ)或者是處理能力的增強(qiáng)都意味著智能卡成本的大幅度提高。

另外智能卡的數(shù)據(jù)傳送是相對(duì)慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元必須要小，這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量，其傳送時(shí)間的減少則意味著實(shí)用性的增強(qiáng)。

將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點(diǎn)是：認(rèn)證更加安全；生成和管理密鑰方便；節(jié)省內(nèi)存空間；節(jié)省帶寬，提高實(shí)用性；節(jié)省處理時(shí)間，而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來(lái)的各優(yōu)點(diǎn)恰好彌補(bǔ)了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實(shí)用性。

7 發(fā)展方向和趨勢(shì)

802.11無(wú)線(xiàn)局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流：

（1）WPA。802.1x協(xié)議僅僅提供了一種用戶(hù)接入認(rèn)證的手段，并簡(jiǎn)單地通過(guò)控制接入端口的開(kāi)/關(guān)狀態(tài)來(lái)實(shí)現(xiàn)，這種簡(jiǎn)化適用于無(wú)線(xiàn)局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn)物理或邏輯端口的接入認(rèn)證。WPA（Wi-Fi 受保護(hù)訪問(wèn)）是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi 聯(lián)盟經(jīng)過(guò)努力，于 2002 年 10 月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法，以便開(kāi)發(fā)更加穩(wěn)定的無(wú)線(xiàn) LAN 安全解決方法來(lái)滿(mǎn)足 802.11的要求。WPA 包括 802.1x 驗(yàn)證和 TKIP 加密（一種更高級(jí)和安全的 WEP 加密形式），以進(jìn)一步形成和完善IEEE 802.11i標(biāo)準(zhǔn)。

（2）WAPI。我國(guó)已于2003年12月1日起強(qiáng)制執(zhí)行了新的無(wú)線(xiàn)局域網(wǎng)安全國(guó)家標(biāo)準(zhǔn)―無(wú)線(xiàn)局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI（WLAN Authentication and Privacy Infrastructure）。WAPI由無(wú)線(xiàn)局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLAN Authentication Infrastructure）和無(wú)線(xiàn)局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLAN Privacy Infrastructure）組成。WAPI與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn)，充分體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機(jī)制相比在很多方面都進(jìn)行了改進(jìn)。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太網(wǎng)類(lèi)型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線(xiàn)密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶(hù)信息在無(wú)線(xiàn)傳輸狀態(tài)下的加密保護(hù)。

參考文獻(xiàn)：

[1]. IEEE’s “802.1x - Port Based Network Access Control” 2002年3月22日 URL：ieee802.org/1/pages/802.1x.html

[2]. Jim Geier “802.1x Offers Authentication and Key Management” 2002年5月7日 URL：80211-planet.com/tutorials/article/0，，10724_1041171，00.html

[3]. Kristin Burke “Wireless Network Security 802.11/802.1x” 2002年5月31日 URL：cs.fsu.edu/~yasinsac/wns02/19b.pdf

[4]. Scott Fluhrer， Itsik Mantin， Adi Shamir “Weaknesses in the Key Scheduling Algorithm of RC4” 2001年7月25日 URL：drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf

第9篇

關(guān)鍵詞：無(wú)線(xiàn)局域網(wǎng)；標(biāo)準(zhǔn)；安全；趨勢(shì)

前言 無(wú)線(xiàn)局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無(wú)線(xiàn)局域網(wǎng)使用無(wú)線(xiàn)電波代替雙絞線(xiàn)、同軸電纜等設(shè)備，省去了布線(xiàn)的麻煩，組網(wǎng)靈活。無(wú)線(xiàn)局域網(wǎng)（WLAN)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線(xiàn)通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿(mǎn)足各類(lèi)便攜機(jī)的入網(wǎng)要求，也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。無(wú)線(xiàn)局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動(dòng)中聯(lián)網(wǎng)和在網(wǎng)間漫游的場(chǎng)合，并在不易架設(shè)有線(xiàn)的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。因此，WLAN已在軍隊(duì)、石化、醫(yī)護(hù)管理、工廠車(chē)間、庫(kù)存控制、展覽和會(huì)議、金融服務(wù)、旅游服務(wù)、移動(dòng)辦公系統(tǒng)等行業(yè)中得到了應(yīng)用，受到了廣泛的青睞，已成為無(wú)線(xiàn)通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅提高用戶(hù)訪問(wèn)信息的及時(shí)性和有效性，還可以克服線(xiàn)纜限制引起的不便性。但由于無(wú)線(xiàn)局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線(xiàn)局域網(wǎng)將面臨著更嚴(yán)峻的安全問(wèn)題。

1． 無(wú)線(xiàn)局域網(wǎng)安全發(fā)展概況

無(wú)線(xiàn)局域網(wǎng)802.11b公布之后，迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是，從它的誕生開(kāi)始，其安全協(xié)議WEP就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov，Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計(jì)失誤，接下來(lái)信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無(wú)線(xiàn)傳輸數(shù)據(jù)?，F(xiàn)在，能夠截獲無(wú)線(xiàn)傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買(mǎi)到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個(gè)廣為人知的事情，人們期待WEP在安全性方面有質(zhì)的變化，新的增強(qiáng)的無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生[1]。

我國(guó)從2001年開(kāi)始著手制定無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)，經(jīng)過(guò)西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無(wú)線(xiàn)網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時(shí)兩年多制定了無(wú)線(xiàn)認(rèn)證和保密基礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書(shū)，以期完成雙向認(rèn)證、接入控制、會(huì)話(huà)密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成，類(lèi)似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國(guó)的密碼算法一般是不公開(kāi)的，WAPI標(biāo)準(zhǔn)雖然是公開(kāi)的，然而對(duì)其安全性的討論在學(xué)術(shù)界和工程界目前還沒(méi)有展開(kāi)[2]。

增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開(kāi)一次會(huì)議，會(huì)議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AES-OCB算法，開(kāi)始工作組決定使用該算法作為無(wú)線(xiàn)局域網(wǎng)未來(lái)的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過(guò)了幾個(gè)月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來(lái)無(wú)線(xiàn)局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過(guò)程中，我們能夠更加清楚地認(rèn)識(shí)到無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面，有利于無(wú)線(xiàn)局域網(wǎng)安全的研究[3][4]。

2．無(wú)線(xiàn)局域網(wǎng)的安全必要性

WLAN在為用戶(hù)帶來(lái)巨大便利的同時(shí)，也存在著許多安全上的問(wèn)題。由于WLAN 通過(guò)無(wú)線(xiàn)電波在空中傳輸數(shù)據(jù)，不能采用類(lèi)似有線(xiàn)網(wǎng)絡(luò)那樣的通過(guò)保護(hù)通信線(xiàn)路的方式來(lái)保護(hù)通信安全，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶(hù)都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過(guò)無(wú)線(xiàn)電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，雖然無(wú)線(xiàn)網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶(hù)的自由，它安裝時(shí)間短，增加用戶(hù)或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì)，可提供無(wú)線(xiàn)覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而，這種自由也同時(shí)帶來(lái)了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個(gè)：信息保密、身份驗(yàn)證和訪問(wèn)控制。如果這三個(gè)要素都沒(méi)有問(wèn)題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。國(guó)外一些最新的技術(shù)研究報(bào)告指出，針對(duì)目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽(tīng)事件正越來(lái)越頻繁[5]，故對(duì)WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發(fā)現(xiàn)其可能存在的安全缺陷，研究相應(yīng)的改進(jìn)措施，提出新的改進(jìn)方案，對(duì) WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。

同有線(xiàn)網(wǎng)絡(luò)相比，無(wú)線(xiàn)局域網(wǎng)無(wú)線(xiàn)傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?，所以首先要加?qiáng)這一方面的安全性。

無(wú)線(xiàn)局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)是逐跳的方式，要么是用戶(hù)設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備，飯由接入設(shè)備轉(zhuǎn)發(fā)，要么是兩臺(tái)用戶(hù)設(shè)備直接通信，每一種通信方式都可以用鏈路層加密的方法來(lái)實(shí)現(xiàn)至少與有線(xiàn)連接同等的安全性。無(wú)線(xiàn)信號(hào)可能被偵聽(tīng)，但是，如果把無(wú)線(xiàn)信號(hào)承載的數(shù)據(jù)變成密文，并且，如果加密強(qiáng)度夠高的話(huà)，偵聽(tīng)者獲得有用數(shù)據(jù)的可能性很小。另外，無(wú)線(xiàn)信號(hào)可能被修改或者偽造，但是，如果對(duì)無(wú)線(xiàn)信號(hào)承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶(hù)掌握的某種秘密生成的冗余數(shù)據(jù)，以使得接收方可以檢測(cè)到數(shù)據(jù)是杏被更改，那么，對(duì)于無(wú)線(xiàn)信號(hào)的更改將會(huì)徒勞無(wú)功。而秘密的獨(dú)有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。

這樣，通過(guò)數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無(wú)線(xiàn)局域網(wǎng)提供一個(gè)類(lèi)似有線(xiàn)網(wǎng)的物理安全的保護(hù)。對(duì)于無(wú)線(xiàn)局域網(wǎng)中的主機(jī)，面臨病毒威脅時(shí)，可以用最先進(jìn)的防毒措施和最新的殺毒工具來(lái)給系統(tǒng)增加安全外殼，比如安裝硬件形式的病毒卡預(yù)防病毒，或者安裝軟件用來(lái)時(shí)實(shí)檢測(cè)系統(tǒng)異常。PC機(jī)和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對(duì)抗，接下來(lái)的無(wú)線(xiàn)設(shè)備如何與病毒對(duì)抗還是一個(gè)待開(kāi)發(fā)領(lǐng)域。

對(duì)于DOS攻擊或者DDOS攻擊，可以增加一個(gè)網(wǎng)關(guān)，使用數(shù)據(jù)包過(guò)濾或其它路由設(shè)置，將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過(guò)對(duì)外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址，可以減小風(fēng)險(xiǎn)。對(duì)于內(nèi)部的惡意用戶(hù)，則要通過(guò)審計(jì)分析，網(wǎng)絡(luò)安全檢測(cè)等手段找出惡意用戶(hù)，并輔以其它管理手段來(lái)杜絕來(lái)自?xún)?nèi)部的攻擊。硬件丟失的威脅要求必須能通過(guò)某種秘密或者生物特征等方式來(lái)綁定硬件設(shè)備和用戶(hù)，并且對(duì)于用戶(hù)的認(rèn)證也必須基于用戶(hù)的身份而不是硬件來(lái)完成。例如，用MAC地址來(lái)認(rèn)證用戶(hù)是不適當(dāng)?shù)腫5]。

除了以上的可能需求之外，根據(jù)不同的使用者，還會(huì)有不同的安全需求，對(duì)于安全性要求很高的用戶(hù)，可能對(duì)于傳輸?shù)臄?shù)據(jù)要求有不可抵賴(lài)性，對(duì)于進(jìn)出無(wú)線(xiàn)局域網(wǎng)的數(shù)據(jù)要求有防泄密措施，要求無(wú)線(xiàn)局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以，無(wú)線(xiàn)局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證，只能結(jié)合用戶(hù)的具體需求，結(jié)合其它的安全系統(tǒng)來(lái)一起提供安全服務(wù)，構(gòu)建安全的網(wǎng)絡(luò)。

當(dāng)考慮與其它安全系統(tǒng)的合作時(shí)，無(wú)線(xiàn)局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密，數(shù)據(jù)的完整，提供身份識(shí)別框架和接入控制框架，完成用戶(hù)的認(rèn)證授權(quán)，信息的傳輸安全等安全業(yè)務(wù)。對(duì)于防病毒，防泄密，數(shù)據(jù)傳輸?shù)牟豢傻仲?lài)，降低DoS攻擊的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來(lái)實(shí)現(xiàn)。

3．無(wú)線(xiàn)局域網(wǎng)安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)是指無(wú)線(xiàn)局域網(wǎng)中的資源面臨的威脅。無(wú)線(xiàn)局域網(wǎng)的資源，包括了在無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)和無(wú)線(xiàn)局域網(wǎng)中的主機(jī)。

3．1 無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無(wú)線(xiàn)電波可以繞過(guò)障礙物向外傳播，因此，無(wú)線(xiàn)局域網(wǎng)中的信號(hào)是可以在一定覆蓋范圍內(nèi)接聽(tīng)到而不被察覺(jué)的。這如用收音機(jī)收聽(tīng)廣播的情況一樣，人們?cè)陔娕_(tái)發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機(jī)收聽(tīng)廣播，如果收音機(jī)的靈敏度高一些，就可以收聽(tīng)到遠(yuǎn)一些的發(fā)射臺(tái)發(fā)出的信號(hào)。當(dāng)然，無(wú)線(xiàn)局域網(wǎng)的無(wú)線(xiàn)信號(hào)的接收并不像收音機(jī)那么簡(jiǎn)單，但只要有相應(yīng)的設(shè)備，總是可以接收到無(wú)線(xiàn)局域網(wǎng)的信號(hào)，并可以按照信號(hào)的封裝格式打開(kāi)數(shù)據(jù)包，讀取數(shù)據(jù)的內(nèi)容[6]。

另外，只要按照無(wú)線(xiàn)局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取，并且，如果使用一些信號(hào)截獲技術(shù)，還可以把某個(gè)數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺(jué)。

因此，無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)可能會(huì)被偵聽(tīng)、修改、偽造，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟(jì)損失。

3．2 無(wú)線(xiàn)局域網(wǎng)中主機(jī)面臨的威脅

無(wú)線(xiàn)局域網(wǎng)是用無(wú)線(xiàn)技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn)，除了目前有線(xiàn)網(wǎng)絡(luò)上流行的病毒之外，還可能會(huì)出現(xiàn)專(zhuān)門(mén)針對(duì)無(wú)線(xiàn)局域網(wǎng)移動(dòng)設(shè)備，比如手機(jī)或者PDA的無(wú)線(xiàn)病毒。當(dāng)無(wú)線(xiàn)局域網(wǎng)與無(wú)線(xiàn)廣域網(wǎng)或者有線(xiàn)的國(guó)際互聯(lián)網(wǎng)連接之后，無(wú)線(xiàn)病毒的威脅可能會(huì)加劇。

對(duì)于無(wú)線(xiàn)局域網(wǎng)中的接入設(shè)備，可能會(huì)遭受來(lái)自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無(wú)線(xiàn)局域網(wǎng)和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對(duì)該IP的Dog或者DDoS會(huì)使得接入設(shè)備無(wú)法完成正常服務(wù)，造成網(wǎng)絡(luò)癱瘓。當(dāng)某個(gè)惡意用戶(hù)接入網(wǎng)絡(luò)后，通過(guò)持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會(huì)造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰，造成系統(tǒng)混亂。無(wú)線(xiàn)局域網(wǎng)中的用戶(hù)設(shè)備具有一定的可移動(dòng)性和通常比較高的價(jià)值，這造成的一個(gè)負(fù)面影響是用戶(hù)設(shè)備容易丟失。硬件設(shè)備的丟失會(huì)使得基于硬件的身份識(shí)別失效，同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會(huì)泄漏。

這樣，無(wú)線(xiàn)局域網(wǎng)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅，用戶(hù)設(shè)備則要考慮丟失的后果。

4．無(wú)線(xiàn)局域網(wǎng)安全性

無(wú)線(xiàn)局域網(wǎng)與有線(xiàn)局域網(wǎng)緊密地結(jié)合在一起，并且己經(jīng)成為市場(chǎng)的主流產(chǎn)品。在無(wú)線(xiàn)局域網(wǎng)上，數(shù)據(jù)傳輸是通過(guò)無(wú)線(xiàn)電波在空中廣播的，因此在發(fā)射機(jī)覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無(wú)線(xiàn)局域網(wǎng)終端接收。安裝一套無(wú)線(xiàn)局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此，無(wú)線(xiàn)局域網(wǎng)的用戶(hù)主要關(guān)心的是網(wǎng)絡(luò)的安全性，主要包括接入控制和加密兩個(gè)方面。除非無(wú)線(xiàn)局域網(wǎng)能夠提供等同于有線(xiàn)局域網(wǎng)的安全性和管理能力，否則人們還是對(duì)使用無(wú)線(xiàn)局域網(wǎng)存在顧慮。

4．1 IEEE802. 11 b標(biāo)準(zhǔn)的安全性

IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)的接入控制和加密：系統(tǒng)ID（SSID）和有線(xiàn)對(duì)等加密（WEP）[7][8]。

4.1.1認(rèn)證

當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過(guò)認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù)：一開(kāi)放系統(tǒng)認(rèn)證（Open System Authentication）：是802.11b默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡(jiǎn)單，分為兩步：首先，想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀；然后，接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證（Shared Key Authentication ）：這種認(rèn)證先假定每個(gè)站點(diǎn)通過(guò)一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個(gè)秘密共享密鑰，然后這些站點(diǎn)通過(guò)共享密鑰的加密認(rèn)證，加密算法是有線(xiàn)等價(jià)加密（WEP ）。

4. 1 .2 WEP

IEEE 802.11b規(guī)定了一個(gè)可選擇的加密稱(chēng)為有線(xiàn)對(duì)等加密，即WEP。WEP提供一種無(wú)線(xiàn)局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對(duì)稱(chēng)加密，加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶(hù)接入網(wǎng)絡(luò)，他們沒(méi)有正確的WEP密鑰。

加密：通過(guò)加密和只允許有正確WEP密鑰的用戶(hù)解密來(lái)保護(hù)數(shù)據(jù)流。

IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無(wú)線(xiàn)局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶(hù)適配器。當(dāng)用戶(hù)得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶(hù)安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶(hù)適配器建立一個(gè)與其它用戶(hù)聯(lián)系的密鑰表。該方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。

4．2 影響安全的因素[9][10]

4. 2. 1硬件設(shè)備

在現(xiàn)有的WLAN產(chǎn)品中，常用的加密方法是給用戶(hù)靜態(tài)分配一個(gè)密鑰，該密鑰或者存儲(chǔ)在磁盤(pán)上或者存儲(chǔ)在無(wú)線(xiàn)局域網(wǎng)客戶(hù)適配器的存儲(chǔ)器上。這樣，擁有客戶(hù)適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶(hù)共享一個(gè)客戶(hù)適配器，這些用戶(hù)有效地共享MAC地址和WEP密鑰。

當(dāng)一個(gè)客戶(hù)適配器丟失或被竊的時(shí)候，合法用戶(hù)沒(méi)有MAC地址和WEP密鑰不能接入，但非法用戶(hù)可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測(cè)到這種問(wèn)題，因此用戶(hù)必須立即通知網(wǎng)絡(luò)管理員。接到通知后，網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶(hù)適配器使用相同密鑰的客戶(hù)適配器重新編碼靜態(tài)加密密鑰?？蛻?hù)端越多，重新編碼WEP密鑰的數(shù)量越大。

4.2.2虛假接入點(diǎn)

IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證，而不是互相認(rèn)證。接入點(diǎn)鑒別用戶(hù)，但用戶(hù)不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無(wú)線(xiàn)局域網(wǎng)內(nèi)，它可以通過(guò)劫持合法用戶(hù)的客戶(hù)適配器進(jìn)行拒絕服務(wù)或攻擊。

因此在用戶(hù)和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的，每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩?hù)和認(rèn)證服務(wù)器是通過(guò)接入點(diǎn)進(jìn)行通信的，接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測(cè)和隔離虛假接入點(diǎn)成為可能。

4.2.3其它安全問(wèn)題

標(biāo)準(zhǔn)WEP支持對(duì)每一組加密但不支持對(duì)每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流，組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過(guò)監(jiān)測(cè)工EEE802. 11 b控制信道和數(shù)據(jù)信道，黑客可以得到如下信息：客戶(hù)端和接入點(diǎn)MAC地址，內(nèi)部主機(jī)MAC地址，上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶(hù)或設(shè)備的詳細(xì)資料。為減少這種黑客活動(dòng)，一個(gè)終端應(yīng)該使用每一個(gè)時(shí)期的WEP密鑰。

4．3 完整的安全解決方案

無(wú)線(xiàn)局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)，是一個(gè)標(biāo)準(zhǔn)的開(kāi)放式的安全方案，它能為用戶(hù)提供最強(qiáng)的安全保障，確保從控制中心進(jìn)行有效的集中管理。它的核心部分是：

擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP），是遠(yuǎn)程認(rèn)證撥入用戶(hù)服務(wù)（RADIUS）的擴(kuò)展?？梢允篃o(wú)線(xiàn)客戶(hù)適配器與RADIUS服務(wù)器通信。

當(dāng)無(wú)線(xiàn)局域網(wǎng)執(zhí)行安全保密方案時(shí)，在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過(guò)認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話(huà)框或類(lèi)似的東西內(nèi)輸入用戶(hù)名和密碼時(shí)，客戶(hù)端和RADIUS服務(wù)器（或其它認(rèn)證服務(wù)器）進(jìn)行雙向認(rèn)證，客戶(hù)通過(guò)提供用戶(hù)名和密碼來(lái)認(rèn)證。然后RADIUS服務(wù)器和用戶(hù)服務(wù)器確定客戶(hù)端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認(rèn)證的過(guò)程是：一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò)，否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶(hù)在網(wǎng)絡(luò)登錄對(duì)話(huà)框和類(lèi)似的結(jié)構(gòu)中輸入用戶(hù)名和密碼。用IEEE802. lx協(xié)議，站點(diǎn)和RADIUS服務(wù)器在有線(xiàn)局域網(wǎng)上通過(guò)接入點(diǎn)進(jìn)行雙向認(rèn)證?？梢允褂脦讉€(gè)認(rèn)證方法中的一個(gè)。

相互認(rèn)證成功完成后，RADIUS服務(wù)器和用戶(hù)確定一個(gè)WEP密鑰來(lái)區(qū)分用戶(hù)并提供給用戶(hù)適當(dāng)?shù)燃?jí)的網(wǎng)絡(luò)接入。以此給每一個(gè)用戶(hù)提供與有線(xiàn)交換幾乎相同的安全性。用戶(hù)加載這個(gè)密鑰并在該登錄期內(nèi)使用。

RADIUS服務(wù)器發(fā)送給用戶(hù)的WEP密鑰，稱(chēng)為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶(hù)，用戶(hù)用時(shí)期密鑰來(lái)解密。用戶(hù)和接入點(diǎn)激活WEP，在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。

網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂谩o(wú)論有線(xiàn)絡(luò)還是無(wú)線(xiàn)網(wǎng)絡(luò)都必須防止物理上的損害、竊聽(tīng)、非法接入和各種內(nèi)部（合法用戶(hù)）的攻擊。

無(wú)線(xiàn)網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無(wú)線(xiàn)網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制，其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過(guò)程中，頻率波段和調(diào)制不斷變化，計(jì)時(shí)和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運(yùn)算法則和IEEE 802.11的規(guī)定要求無(wú)線(xiàn)網(wǎng)絡(luò)至少要和有線(xiàn)網(wǎng)絡(luò)（不使用加密技術(shù)）一樣安全。其中，認(rèn)證提供接入控制，減少網(wǎng)絡(luò)的非法使用，加密則可以減少破壞和竊聽(tīng)。目前，在基本的WEP安全機(jī)制之外，更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中[12]。

5．無(wú)線(xiàn)局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì)

目前無(wú)線(xiàn)局域網(wǎng)的發(fā)展勢(shì)頭十分強(qiáng)勁，但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在：一是真正的安全保障；二個(gè)是將來(lái)的技術(shù)發(fā)展方向；三是WLAN有什么比較好的應(yīng)用模式；四是WLAN的終端除PCMCIA卡、PDA有沒(méi)有其他更好的形式；五是WLAN的市場(chǎng)規(guī)模?？磥?lái)無(wú)線(xiàn)局域網(wǎng)真正的騰飛并非一己之事[13]。

無(wú)線(xiàn)局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動(dòng)，達(dá)到互利互惠的目的。歐洲是GSM網(wǎng)的天下，而WLAN的崛起使得他們開(kāi)始考慮WLAN和3G的互通，兩者之間的優(yōu)勢(shì)互補(bǔ)性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?，F(xiàn)在國(guó)內(nèi)中興通訊己經(jīng)實(shí)現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通，而對(duì)于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案，這條路必定越走越寬。

互通中的安全問(wèn)題也必然首當(dāng)其沖，IEEE的無(wú)線(xiàn)局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)系列里面，并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點(diǎn)。

無(wú)線(xiàn)網(wǎng)絡(luò)的互通，現(xiàn)在是一個(gè)趨勢(shì)。802.11工作組新成立了WIG（Wireless lnterworking Grouq），該工作組的目的在于使現(xiàn)存的符合ETSI，IEEE，MMAC所制訂的標(biāo)準(zhǔn)的無(wú)線(xiàn)域網(wǎng)之間實(shí)現(xiàn)互通。另外3GPP也給出了無(wú)線(xiàn)局域網(wǎng)和3G互通的兩個(gè)草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛(ài)立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上，實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)和G1VIS/GPRS的互通。

不同類(lèi)型無(wú)線(xiàn)局域網(wǎng)互通標(biāo)準(zhǔn)的制定，使得用戶(hù)可以使用同一設(shè)備接入無(wú)線(xiàn)局域網(wǎng)。3G和無(wú)線(xiàn)局域網(wǎng)的互通者可以使用戶(hù)在一個(gè)運(yùn)營(yíng)商那里注冊(cè)，就可以在各地接入。當(dāng)然，用戶(hù)享用上述方便的同時(shí)，必然會(huì)使運(yùn)營(yíng)商或制造商獲得利潤(rùn)，而利潤(rùn)的驅(qū)動(dòng)，則是這個(gè)互通風(fēng)潮的根本動(dòng)力。為了達(dá)到互通的安全，有以下需求：支持傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)設(shè)備，對(duì)用戶(hù)端設(shè)備，比如客戶(hù)端軟件，影響要最小，對(duì)經(jīng)營(yíng)者管理和維護(hù)客戶(hù)端SW的要求要盡量少，應(yīng)該支持現(xiàn)存的UICC卡，不應(yīng)該要求該卡有任何改動(dòng)，敏感數(shù)據(jù)，比如存在UICC卡中的長(zhǎng)期密鑰不能傳輸。對(duì)于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-， Response模式。用戶(hù)對(duì)無(wú)線(xiàn)局域網(wǎng)接入的安全級(jí)別應(yīng)該和3GPP接入一樣，應(yīng)該支持雙向認(rèn)證，所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù)，應(yīng)該支持無(wú)線(xiàn)局域網(wǎng)接入NW的密鑰分配方法，無(wú)線(xiàn)局域網(wǎng)與3GPP互通所選擇的認(rèn)證機(jī)制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級(jí)別，無(wú)線(xiàn)局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全，所選擇的無(wú)線(xiàn)局域網(wǎng)認(rèn)證機(jī)制應(yīng)該支持會(huì)話(huà)密鑰素材的協(xié)商，所選擇的無(wú)線(xiàn)局域網(wǎng)密鑰協(xié)商和密鑰分配機(jī)制應(yīng)該能防止中間人攻擊。也就是說(shuō)中間人不能得到會(huì)話(huà)密鑰素材，無(wú)線(xiàn)局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無(wú)線(xiàn)局域網(wǎng)UE和無(wú)線(xiàn)局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來(lái)保證完整性。所有的用于用戶(hù)和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長(zhǎng)期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。

對(duì)于非漫游情況的互通時(shí)，這種情況是指當(dāng)用戶(hù)接入的熱點(diǎn)地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡(jiǎn)單地說(shuō)，就是用戶(hù)在運(yùn)營(yíng)商那里注冊(cè)，然后在該運(yùn)營(yíng)商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點(diǎn)地區(qū)接入時(shí)的一種情況。無(wú)線(xiàn)局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下：UE（用戶(hù)設(shè)備）、3G-AAA（移動(dòng)網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計(jì)帳服務(wù)器）、HSS（歸屬業(yè)務(wù)服務(wù)器）、CG/CCF（支付網(wǎng)關(guān)/支付采集功能）、OCS（在線(xiàn)計(jì)帳系統(tǒng)）。

對(duì)于漫游的互通情況時(shí)，3G網(wǎng)絡(luò)是個(gè)全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)的漫游。在漫游情況下，一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問(wèn)網(wǎng)絡(luò)分開(kāi)，歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶(hù)所注冊(cè)的歸屬網(wǎng)絡(luò)。

在無(wú)線(xiàn)局域網(wǎng)與3G互通中有如下認(rèn)證要求：該認(rèn)證流程從用戶(hù)設(shè)備到無(wú)線(xiàn)局域網(wǎng)連接開(kāi)始。使用EAP方法，順次封裝基于USIM的用戶(hù)ID，AKA-Challenge消息。具體的認(rèn)證在用戶(hù)設(shè)備和3GPAAA服務(wù)器之間展開(kāi)。走的是AKA過(guò)程，有一點(diǎn)不同在于在認(rèn)證服務(wù)器要檢查用戶(hù)是否有接入無(wú)線(xiàn)局域網(wǎng)的權(quán)限。

上述互通方案要求客戶(hù)端有能夠接入無(wú)線(xiàn)局域網(wǎng)的網(wǎng)卡，同時(shí)還要實(shí)現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶(hù)權(quán)限表，增加對(duì)于無(wú)線(xiàn)局域網(wǎng)的接入權(quán)限的判斷。

無(wú)線(xiàn)局域網(wǎng)的崛起使得人們開(kāi)始考慮無(wú)線(xiàn)局域網(wǎng)和3G的互通，兩者之間的優(yōu)勢(shì)互補(bǔ)性必將使得無(wú)線(xiàn)局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?，F(xiàn)在國(guó)內(nèi)中興通訊已經(jīng)實(shí)現(xiàn)了無(wú)線(xiàn)局域網(wǎng)和CDMA系統(tǒng)的互通，而對(duì)于使用中興設(shè)備的無(wú)線(xiàn)局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案，這條路必定越走越寬。

參考文獻(xiàn)

[1] 郭峰，曾興雯，劉乃安，《無(wú)線(xiàn)局域網(wǎng)》，電子工業(yè)出版杜，1997

[2] 馮錫生，朱榮，《無(wú)線(xiàn)數(shù)據(jù)通信》1997

[3] 你震亞，《現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)教程》，電子工業(yè)出版社，1999

[4] 劉元安，《寬帶無(wú)線(xiàn)接入和無(wú)線(xiàn)局域網(wǎng)》，北京郵電大學(xué)出版社，2000

[5] 吳偉陵，《移動(dòng)通信中的關(guān)鍵技術(shù)》，北京郵電大學(xué)出版社，2000

[6] 張公忠，陳錦章，《當(dāng)代組網(wǎng)技術(shù)》，清華大學(xué)出版社，2000

[7] 牛偉，郭世澤，吳志軍等，《無(wú)線(xiàn)局域網(wǎng)》，人民郵電出版社，2003

[8] Jeffrey Wheat，《無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)》，莫蓉蓉等譯，機(jī)械工業(yè)出版社，2002

[9] Gil Held，《構(gòu)建無(wú)線(xiàn)局域網(wǎng)》，沈金龍等澤，人民郵電出版社，2002

[10] Christian Barnes等，《無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)》，林生等譯，機(jī)械工業(yè)出版社.2003

[11] Juha Heiskala等，《OFDM無(wú)線(xiàn)局域網(wǎng)》，暢曉春等譯，電子工業(yè)出版社，2003

[12] Eric Ouellet等，《構(gòu)建Cisco無(wú)線(xiàn)局域網(wǎng)》，張穎譯，科學(xué)出版社，2003

[13] Mark Ciampa，《無(wú)線(xiàn)周域網(wǎng)設(shè)計(jì)一與實(shí)現(xiàn)》，王順滿(mǎn)譯，科學(xué)出版社.2003

第10篇

【關(guān)鍵詞】：無(wú)線(xiàn)局域網(wǎng)；標(biāo)準(zhǔn)；安全；趨勢(shì)

中圖分類(lèi)號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：E 文章編號(hào)：1006-0510(2008)09066-05

前言

無(wú)線(xiàn)局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無(wú)線(xiàn)局域網(wǎng)使用無(wú)線(xiàn)電波代替雙絞線(xiàn)、同軸電纜等設(shè)備，省去了布線(xiàn)的麻煩，組網(wǎng)靈活。無(wú)線(xiàn)局域網(wǎng)（WLAN)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線(xiàn)通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿(mǎn)足各類(lèi)便攜機(jī)的入網(wǎng)要求，也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。無(wú)線(xiàn)局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動(dòng)中聯(lián)網(wǎng)和在網(wǎng)間漫游的場(chǎng)合，并在不易架設(shè)有線(xiàn)的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。因此，WLAN已在軍隊(duì)、石化、醫(yī)護(hù)管理、工廠車(chē)間、庫(kù)存控制、展覽和會(huì)議、金融服務(wù)、旅游服務(wù)、移動(dòng)辦公系統(tǒng)等行業(yè)中得到了應(yīng)用，受到了廣泛的青睞，已成為無(wú)線(xiàn)通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性，它能大幅提高用戶(hù)訪問(wèn)信息的及時(shí)性和有效性，還可以克服線(xiàn)纜限制引起的不便性。但由于無(wú)線(xiàn)局域網(wǎng)應(yīng)用具有很大的開(kāi)放性，數(shù)據(jù)傳播范圍很難控制，因此無(wú)線(xiàn)局域網(wǎng)將面臨著更嚴(yán)峻的安全問(wèn)題。

1．無(wú)線(xiàn)局域網(wǎng)安全發(fā)展概況

無(wú)線(xiàn)局域網(wǎng)802.11b公布之后，迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是，從它的誕生開(kāi)始，其安全協(xié)議WEP就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov，Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計(jì)失誤，接下來(lái)信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無(wú)線(xiàn)傳輸數(shù)據(jù)?，F(xiàn)在，能夠截獲無(wú)線(xiàn)傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買(mǎi)到，能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個(gè)廣為人知的事情，人們期待WEP在安全性方面有質(zhì)的變化，新的增強(qiáng)的無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。

我國(guó)從2001年開(kāi)始著手制定無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)，經(jīng)過(guò)西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無(wú)線(xiàn)網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān)，歷時(shí)兩年多制定了無(wú)線(xiàn)認(rèn)證和保密基礎(chǔ)設(shè)施WAPI，并成為國(guó)家標(biāo)準(zhǔn)，于2003年12月執(zhí)行。WAPI使用公鑰技術(shù)，在可信第三方存在的條件下，由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書(shū)，以期完成雙向認(rèn)證、接入控制、會(huì)話(huà)密鑰生成等目標(biāo)，達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成，類(lèi)似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國(guó)的密碼算法一般是不公開(kāi)的，WAPI標(biāo)準(zhǔn)雖然是公開(kāi)的，然而對(duì)其安全性的討論在學(xué)術(shù)界和工程界目前還沒(méi)有展開(kāi)。

增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開(kāi)一次會(huì)議，會(huì)議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AES-OCB算法，開(kāi)始工作組決定使用該算法作為無(wú)線(xiàn)局域網(wǎng)未來(lái)的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過(guò)了幾個(gè)月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來(lái)無(wú)線(xiàn)局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過(guò)程中，我們能夠更加清楚地認(rèn)識(shí)到無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面，有利于無(wú)線(xiàn)局域網(wǎng)安全的研究。

2．無(wú)線(xiàn)局域網(wǎng)的安全必要性

WLAN在為用戶(hù)帶來(lái)巨大便利的同時(shí)，也存在著許多安全上的問(wèn)題。由于WLAN 通過(guò)無(wú)線(xiàn)電波在空中傳輸數(shù)據(jù)，不能采用類(lèi)似有線(xiàn)網(wǎng)絡(luò)那樣的通過(guò)保護(hù)通信線(xiàn)路的方式來(lái)保護(hù)通信安全，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶(hù)都能接觸到這些數(shù)據(jù)，要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過(guò)無(wú)線(xiàn)電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此，雖然無(wú)線(xiàn)網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶(hù)的自由，它安裝時(shí)間短，增加用戶(hù)或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì)，可提供無(wú)線(xiàn)覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而，這種自由也同時(shí)帶來(lái)了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個(gè)：信息保密、身份驗(yàn)證和訪問(wèn)控制。如果這三個(gè)要素都沒(méi)有問(wèn)題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案，同時(shí)獲得這三個(gè)安全要素。國(guó)外一些最新的技術(shù)研究報(bào)告指出，針對(duì)目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽(tīng)事件正越來(lái)越頻繁，故對(duì)WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發(fā)現(xiàn)其可能存在的安全缺陷，研究相應(yīng)的改進(jìn)措施，提出新的改進(jìn)方案，對(duì) WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。

同有線(xiàn)網(wǎng)絡(luò)相比，無(wú)線(xiàn)局域網(wǎng)無(wú)線(xiàn)傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?，所以首先要加?qiáng)這一方面的安全性。

無(wú)線(xiàn)局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)是逐跳的方式，要么是用戶(hù)設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備，飯由接入設(shè)備轉(zhuǎn)發(fā)，要么是兩臺(tái)用戶(hù)設(shè)備直接通信，每一種通信方式都可以用鏈路層加密的方法來(lái)實(shí)現(xiàn)至少與有線(xiàn)連接同等的安全性。無(wú)線(xiàn)信號(hào)可能被偵聽(tīng)，但是，如果把無(wú)線(xiàn)信號(hào)承載的數(shù)據(jù)變成密文，并且，如果加密強(qiáng)度夠高的話(huà)，偵聽(tīng)者獲得有用數(shù)據(jù)的可能性很小。另外，無(wú)線(xiàn)信號(hào)可能被修改或者偽造，但是，如果對(duì)無(wú)線(xiàn)信號(hào)承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶(hù)掌握的某種秘密生成的冗余數(shù)據(jù)，以使得接收方可以檢測(cè)到數(shù)據(jù)是杏被更改，那么，對(duì)于無(wú)線(xiàn)信號(hào)的更改將會(huì)徒勞無(wú)功。而秘密的獨(dú)有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。

這樣，通過(guò)數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無(wú)線(xiàn)局域網(wǎng)提供一個(gè)類(lèi)似有線(xiàn)網(wǎng)的物理安全的保護(hù)。對(duì)于無(wú)線(xiàn)局域網(wǎng)中的主機(jī)，面臨病毒威脅時(shí)，可以用最先進(jìn)的防毒措施和最新的殺毒工具來(lái)給系統(tǒng)增加安全外殼，比如安裝硬件形式的病毒卡預(yù)防病毒，或者安裝軟件用來(lái)時(shí)實(shí)檢測(cè)系統(tǒng)異常。PC機(jī)和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對(duì)抗，接下來(lái)的無(wú)線(xiàn)設(shè)備如何與病毒對(duì)抗還是一個(gè)待開(kāi)發(fā)領(lǐng)域。

對(duì)于DOS攻擊或者DDOS攻擊，可以增加一個(gè)網(wǎng)關(guān)，使用數(shù)據(jù)包過(guò)濾或其它路由設(shè)置，將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過(guò)對(duì)外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址，可以減小風(fēng)險(xiǎn)。對(duì)于內(nèi)部的惡意用戶(hù)，則要通過(guò)審計(jì)分析，網(wǎng)絡(luò)安全檢測(cè)等手段找出惡意用戶(hù)，并輔以其它管理手段來(lái)杜絕來(lái)自?xún)?nèi)部的攻擊。硬件丟失的威脅要求必須能通過(guò)某種秘密或者生物特征等方式來(lái)綁定硬件設(shè)備和用戶(hù)，并且對(duì)于用戶(hù)的認(rèn)證也必須基于用戶(hù)的身份而不是硬件來(lái)完成。例如，用MAC地址來(lái)認(rèn)證用戶(hù)是不適當(dāng)?shù)摹?/p>

除了以上的可能需求之外，根據(jù)不同的使用者，還會(huì)有不同的安全需求，對(duì)于安全性要求很高的用戶(hù)，可能對(duì)于傳輸?shù)臄?shù)據(jù)要求有不可抵賴(lài)性，對(duì)于進(jìn)出無(wú)線(xiàn)局域網(wǎng)的數(shù)據(jù)要求有防泄密措施，要求無(wú)線(xiàn)局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以，無(wú)線(xiàn)局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證，只能結(jié)合用戶(hù)的具體需求，結(jié)合其它的安全系統(tǒng)來(lái)一起提供安全服務(wù)，構(gòu)建安全的網(wǎng)絡(luò)。

當(dāng)考慮與其它安全系統(tǒng)的合作時(shí)，無(wú)線(xiàn)局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密，數(shù)據(jù)的完整，提供身份識(shí)別框架和接入控制框架，完成用戶(hù)的認(rèn)證授權(quán)，信息的傳輸安全等安全業(yè)務(wù)。對(duì)于防病毒，防泄密，數(shù)據(jù)傳輸?shù)牟豢傻仲?lài)，降低DoS攻擊的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來(lái)實(shí)現(xiàn)。

3．無(wú)線(xiàn)局域網(wǎng)安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)是指無(wú)線(xiàn)局域網(wǎng)中的資源面臨的威脅。無(wú)線(xiàn)局域網(wǎng)的資源，包括了在無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)和無(wú)線(xiàn)局域網(wǎng)中的主機(jī)。

3.1 無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無(wú)線(xiàn)電波可以繞過(guò)障礙物向外傳播，因此，無(wú)線(xiàn)局域網(wǎng)中的信號(hào)是可以在一定覆蓋范圍內(nèi)接聽(tīng)到而不被察覺(jué)的。這如用收音機(jī)收聽(tīng)廣播的情況一樣，人們?cè)陔娕_(tái)發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機(jī)收聽(tīng)廣播，如果收音機(jī)的靈敏度高一些，就可以收聽(tīng)到遠(yuǎn)一些的發(fā)射臺(tái)發(fā)出的信號(hào)。當(dāng)然，無(wú)線(xiàn)局域網(wǎng)的無(wú)線(xiàn)信號(hào)的接收并不像收音機(jī)那么簡(jiǎn)單，但只要有相應(yīng)的設(shè)備，總是可以接收到無(wú)線(xiàn)局域網(wǎng)的信號(hào)，并可以按照信號(hào)的封裝格式打開(kāi)數(shù)據(jù)包，讀取數(shù)據(jù)的內(nèi)容。

另外，只要按照無(wú)線(xiàn)局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包，把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取，并且，如果使用一些信號(hào)截獲技術(shù)，還可以把某個(gè)數(shù)據(jù)包攔截、修改，然后重新發(fā)送，而數(shù)據(jù)包的接收者并不能察覺(jué)。

因此，無(wú)線(xiàn)信道上傳輸?shù)臄?shù)據(jù)可能會(huì)被偵聽(tīng)、修改、偽造，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾，并有可能造成經(jīng)濟(jì)損失。

3.2 無(wú)線(xiàn)局域網(wǎng)中主機(jī)面臨的威脅

無(wú)線(xiàn)局域網(wǎng)是用無(wú)線(xiàn)技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn)，除了目前有線(xiàn)網(wǎng)絡(luò)上流行的病毒之外，還可能會(huì)出現(xiàn)專(zhuān)門(mén)針對(duì)無(wú)線(xiàn)局域網(wǎng)移動(dòng)設(shè)備，比如手機(jī)或者PDA的無(wú)線(xiàn)病毒。當(dāng)無(wú)線(xiàn)局域網(wǎng)與無(wú)線(xiàn)廣域網(wǎng)或者有線(xiàn)的國(guó)際互聯(lián)網(wǎng)連接之后，無(wú)線(xiàn)病毒的威脅可能會(huì)加劇。

對(duì)于無(wú)線(xiàn)局域網(wǎng)中的接入設(shè)備，可能會(huì)遭受來(lái)自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無(wú)線(xiàn)局域網(wǎng)和外部網(wǎng)接通后，如果把IP地址直接暴露給外部網(wǎng)，那么針對(duì)該IP的Dog或者DDoS會(huì)使得接入設(shè)備無(wú)法完成正常服務(wù)，造成網(wǎng)絡(luò)癱瘓。當(dāng)某個(gè)惡意用戶(hù)接入網(wǎng)絡(luò)后，通過(guò)持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會(huì)造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰，造成系統(tǒng)混亂。無(wú)線(xiàn)局域網(wǎng)中的用戶(hù)設(shè)備具有一定的可移動(dòng)性和通常比較高的價(jià)值，這造成的一個(gè)負(fù)面影響是用戶(hù)設(shè)備容易丟失。硬件設(shè)備的丟失會(huì)使得基于硬件的身份識(shí)別失效，同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會(huì)泄漏。

這樣，無(wú)線(xiàn)局域網(wǎng)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn)，接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅，用戶(hù)設(shè)備則要考慮丟失的后果。

4．無(wú)線(xiàn)局域網(wǎng)安全性

無(wú)線(xiàn)局域網(wǎng)與有線(xiàn)局域網(wǎng)緊密地結(jié)合在一起，并且己經(jīng)成為市場(chǎng)的主流產(chǎn)品。在無(wú)線(xiàn)局域網(wǎng)上，數(shù)據(jù)傳輸是通過(guò)無(wú)線(xiàn)電波在空中廣播的，因此在發(fā)射機(jī)覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無(wú)線(xiàn)局域網(wǎng)終端接收。安裝一套無(wú)線(xiàn)局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此，無(wú)線(xiàn)局域網(wǎng)的用戶(hù)主要關(guān)心的是網(wǎng)絡(luò)的安全性，主要包括接入控制和加密兩個(gè)方面。除非無(wú)線(xiàn)局域網(wǎng)能夠提供等同于有線(xiàn)局域網(wǎng)的安全性和管理能力，否則人們還是對(duì)使用無(wú)線(xiàn)局域網(wǎng)存在顧慮。

4.1 IEEE802. 11 b標(biāo)準(zhǔn)的安全性

IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)的接入控制和加密：系統(tǒng)ID（SSID）和有線(xiàn)對(duì)等加密（WEP）。

4.1.1認(rèn)證

當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前，必須首先通過(guò)認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù)：一開(kāi)放系統(tǒng)認(rèn)證（Open System Authentication）：是802.11b默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡(jiǎn)單，分為兩步：首先，想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀；然后，接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證（Shared Key Authentication ）：這種認(rèn)證先假定每個(gè)站點(diǎn)通過(guò)一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道，已經(jīng)接收到一個(gè)秘密共享密鑰，然后這些站點(diǎn)通過(guò)共享密鑰的加密認(rèn)證，加密算法是有線(xiàn)等價(jià)加密（WEP ）。

4.1.2 WEP

IEEE 802.11b規(guī)定了一個(gè)可選擇的加密稱(chēng)為有線(xiàn)對(duì)等加密，即WEP。WEP提供一種無(wú)線(xiàn)局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對(duì)稱(chēng)加密，加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶(hù)接入網(wǎng)絡(luò)，他們沒(méi)有正確的WEP密鑰。

加密：通過(guò)加密和只允許有正確WEP密鑰的用戶(hù)解密來(lái)保護(hù)數(shù)據(jù)流。

IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無(wú)線(xiàn)局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶(hù)適配器。當(dāng)用戶(hù)得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶(hù)安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶(hù)適配器建立一個(gè)與其它用戶(hù)聯(lián)系的密鑰表。該方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。

4.2 影響安全的因素

4.2.1 硬件設(shè)備

在現(xiàn)有的WLAN產(chǎn)品中，常用的加密方法是給用戶(hù)靜態(tài)分配一個(gè)密鑰，該密鑰或者存儲(chǔ)在磁盤(pán)上或者存儲(chǔ)在無(wú)線(xiàn)局域網(wǎng)客戶(hù)適配器的存儲(chǔ)器上。這樣，擁有客戶(hù)適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶(hù)共享一個(gè)客戶(hù)適配器，這些用戶(hù)有效地共享MAC地址和WEP密鑰。

當(dāng)一個(gè)客戶(hù)適配器丟失或被竊的時(shí)候，合法用戶(hù)沒(méi)有MAC地址和WEP密鑰不能接入，但非法用戶(hù)可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測(cè)到這種問(wèn)題，因此用戶(hù)必須立即通知網(wǎng)絡(luò)管理員。接到通知后，網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶(hù)適配器使用相同密鑰的客戶(hù)適配器重新編碼靜態(tài)加密密鑰。客戶(hù)端越多，重新編碼WEP密鑰的數(shù)量越大。

4.2.2 虛假接入點(diǎn)

IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證，而不是互相認(rèn)證。接入點(diǎn)鑒別用戶(hù)，但用戶(hù)不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無(wú)線(xiàn)局域網(wǎng)內(nèi)，它可以通過(guò)劫持合法用戶(hù)的客戶(hù)適配器進(jìn)行拒絕服務(wù)或攻擊。

因此在用戶(hù)和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的，每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩?hù)和認(rèn)證服務(wù)器是通過(guò)接入點(diǎn)進(jìn)行通信的，接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測(cè)和隔離虛假接入點(diǎn)成為可能。

4.2.3 其它安全問(wèn)題

標(biāo)準(zhǔn)WEP支持對(duì)每一組加密但不支持對(duì)每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流，組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過(guò)監(jiān)測(cè)工EEE802. 11 b控制信道和數(shù)據(jù)信道，黑客可以得到如下信息：客戶(hù)端和接入點(diǎn)MAC地址，內(nèi)部主機(jī)MAC地址，上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶(hù)或設(shè)備的詳細(xì)資料。為減少這種黑客活動(dòng)，一個(gè)終端應(yīng)該使用每一個(gè)時(shí)期的WEP密鑰。

4.3 完整的安全解決方案

無(wú)線(xiàn)局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ)，是一個(gè)標(biāo)準(zhǔn)的開(kāi)放式的安全方案，它能為用戶(hù)提供最強(qiáng)的安全保障，確保從控制中心進(jìn)行有效的集中管理。它的核心部分是：

擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP），是遠(yuǎn)程認(rèn)證撥入用戶(hù)服務(wù)（RADIUS）的擴(kuò)展?？梢允篃o(wú)線(xiàn)客戶(hù)適配器與RADIUS服務(wù)器通信。

當(dāng)無(wú)線(xiàn)局域網(wǎng)執(zhí)行安全保密方案時(shí)，在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過(guò)認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話(huà)框或類(lèi)似的東西內(nèi)輸入用戶(hù)名和密碼時(shí)，客戶(hù)端和RADIUS服務(wù)器（或其它認(rèn)證服務(wù)器）進(jìn)行雙向認(rèn)證，客戶(hù)通過(guò)提供用戶(hù)名和密碼來(lái)認(rèn)證。然后RADIUS服務(wù)器和用戶(hù)服務(wù)器確定客戶(hù)端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認(rèn)證的過(guò)程是：一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò)，否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶(hù)在網(wǎng)絡(luò)登錄對(duì)話(huà)框和類(lèi)似的結(jié)構(gòu)中輸入用戶(hù)名和密碼。用IEEE802. lx協(xié)議，站點(diǎn)和RADIUS服務(wù)器在有線(xiàn)局域網(wǎng)上通過(guò)接入點(diǎn)進(jìn)行雙向認(rèn)證。可以使用幾個(gè)認(rèn)證方法中的一個(gè)。

相互認(rèn)證成功完成后，RADIUS服務(wù)器和用戶(hù)確定一個(gè)WEP密鑰來(lái)區(qū)分用戶(hù)并提供給用戶(hù)適當(dāng)?shù)燃?jí)的網(wǎng)絡(luò)接入。以此給每一個(gè)用戶(hù)提供與有線(xiàn)交換幾乎相同的安全性。用戶(hù)加載這個(gè)密鑰并在該登錄期內(nèi)使用。

RADIUS服務(wù)器發(fā)送給用戶(hù)的WEP密鑰，稱(chēng)為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶(hù)，用戶(hù)用時(shí)期密鑰來(lái)解密。用戶(hù)和接入點(diǎn)激活WEP，在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。

網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂?。無(wú)論有線(xiàn)絡(luò)還是無(wú)線(xiàn)網(wǎng)絡(luò)都必須防止物理上的損害、竊聽(tīng)、非法接入和各種內(nèi)部（合法用戶(hù)）的攻擊。

無(wú)線(xiàn)網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域，這樣就存在電子破壞（或干擾）的可能性。無(wú)線(xiàn)網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制，其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過(guò)程中，頻率波段和調(diào)制不斷變化，計(jì)時(shí)和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運(yùn)算法則和IEEE 802.11的規(guī)定要求無(wú)線(xiàn)網(wǎng)絡(luò)至少要和有線(xiàn)網(wǎng)絡(luò)（不使用加密技術(shù)）一樣安全。其中，認(rèn)證提供接入控制，減少網(wǎng)絡(luò)的非法使用，加密則可以減少破壞和竊聽(tīng)。目前，在基本的WEP安全機(jī)制之外，更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中。

5．無(wú)線(xiàn)局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì)

目前無(wú)線(xiàn)局域網(wǎng)的發(fā)展勢(shì)頭十分強(qiáng)勁，但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在：一是真正的安全保障；二個(gè)是將來(lái)的技術(shù)發(fā)展方向；三是WLAN有什么比較好的應(yīng)用模式；四是WLAN的終端除PCMCIA卡、PDA有沒(méi)有其他更好的形式；五是WLAN的市場(chǎng)規(guī)模?？磥?lái)無(wú)線(xiàn)局域網(wǎng)真正的騰飛并非一己之事。

無(wú)線(xiàn)局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動(dòng)，達(dá)到互利互惠的目的。歐洲是GSM網(wǎng)的天下，而WLAN的崛起使得他們開(kāi)始考慮WLAN和3G的互通，兩者之間的優(yōu)勢(shì)互補(bǔ)性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?，F(xiàn)在國(guó)內(nèi)中興通訊己經(jīng)實(shí)現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通，而對(duì)于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案，這條路必定越走越寬。

互通中的安全問(wèn)題也必然首當(dāng)其沖，IEEE的無(wú)線(xiàn)局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)系列里面，并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點(diǎn)。

無(wú)線(xiàn)網(wǎng)絡(luò)的互通，現(xiàn)在是一個(gè)趨勢(shì)。802.11工作組新成立了WIG，該工作組的目的在于使現(xiàn)存的符合ETSI，IEEE，MMAC所制訂的標(biāo)準(zhǔn)的無(wú)線(xiàn)域網(wǎng)之間實(shí)現(xiàn)互通。另外3GPP也給出了無(wú)線(xiàn)局域網(wǎng)和3G互通的兩個(gè)草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛(ài)立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上，實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)和G1VIS/GPRS的互通。

不同類(lèi)型無(wú)線(xiàn)局域網(wǎng)互通標(biāo)準(zhǔn)的制定，使得用戶(hù)可以使用同一設(shè)備接入無(wú)線(xiàn)局域網(wǎng)。3G和無(wú)線(xiàn)局域網(wǎng)的互通者可以使用戶(hù)在一個(gè)運(yùn)營(yíng)商那里注冊(cè)，就可以在各地接入。當(dāng)然，用戶(hù)享用上述方便的同時(shí)，必然會(huì)使運(yùn)營(yíng)商或制造商獲得利潤(rùn)，而利潤(rùn)的驅(qū)動(dòng)，則是這個(gè)互通風(fēng)潮的根本動(dòng)力。為了達(dá)到互通的安全，有以下需求：支持傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)設(shè)備，對(duì)用戶(hù)端設(shè)備，比如客戶(hù)端軟件，影響要最小，對(duì)經(jīng)營(yíng)者管理和維護(hù)客戶(hù)端SW的要求要盡量少，應(yīng)該支持現(xiàn)存的UICC卡，不應(yīng)該要求該卡有任何改動(dòng)，敏感數(shù)據(jù)，比如存在UICC卡中的長(zhǎng)期密鑰不能傳輸。對(duì)于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-, Response模式。用戶(hù)對(duì)無(wú)線(xiàn)局域網(wǎng)接入的安全級(jí)別應(yīng)該和3GPP接入一樣，應(yīng)該支持雙向認(rèn)證，所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù)，應(yīng)該支持無(wú)線(xiàn)局域網(wǎng)接入NW的密鑰分配方法，無(wú)線(xiàn)局域網(wǎng)與3GPP互通所選擇的認(rèn)證機(jī)制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級(jí)別，無(wú)線(xiàn)局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全，所選擇的無(wú)線(xiàn)局域網(wǎng)認(rèn)證機(jī)制應(yīng)該支持會(huì)話(huà)密鑰素材的協(xié)商，所選擇的無(wú)線(xiàn)局域網(wǎng)密鑰協(xié)商和密鑰分配機(jī)制應(yīng)該能防止中間人攻擊。也就是說(shuō)中間人不能得到會(huì)話(huà)密鑰素材，無(wú)線(xiàn)局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無(wú)線(xiàn)局域網(wǎng)UE和無(wú)線(xiàn)局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來(lái)保證完整性。所有的用于用戶(hù)和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長(zhǎng)期的安全要素應(yīng)該可以在一張UICC卡中存下。

對(duì)于非漫游情況的互通時(shí)，這種情況是指當(dāng)用戶(hù)接入的熱點(diǎn)地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡(jiǎn)單地說(shuō)，就是用戶(hù)在運(yùn)營(yíng)商那里注冊(cè)，然后在該運(yùn)營(yíng)商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點(diǎn)地區(qū)接入時(shí)的一種情況。無(wú)線(xiàn)局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下：UE（用戶(hù)設(shè)備）、3G-AAA（移動(dòng)網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計(jì)帳服務(wù)器）、HSS（歸屬業(yè)務(wù)服務(wù)器）、CG/CCF（支付網(wǎng)關(guān)/支付采集功能）、OCS（在線(xiàn)計(jì)帳系統(tǒng)）。

對(duì)于漫游的互通情況時(shí)，3G網(wǎng)絡(luò)是個(gè)全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實(shí)現(xiàn)無(wú)線(xiàn)局域網(wǎng)的漫游。在漫游情況下，一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問(wèn)網(wǎng)絡(luò)分開(kāi)，歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶(hù)所注冊(cè)的歸屬網(wǎng)絡(luò)。

在無(wú)線(xiàn)局域網(wǎng)與3G互通中有如下認(rèn)證要求：該認(rèn)證流程從用戶(hù)設(shè)備到無(wú)線(xiàn)局域網(wǎng)連接開(kāi)始。使用EAP方法，順次封裝基于USIM的用戶(hù)ID，AKA-Challenge消息。具體的認(rèn)證在用戶(hù)設(shè)備和3GPAAA服務(wù)器之間展開(kāi)。走的是AKA過(guò)程，有一點(diǎn)不同在于在認(rèn)證服務(wù)器要檢查用戶(hù)是否有接入無(wú)線(xiàn)局域網(wǎng)的權(quán)限。

第11篇

美國(guó)電子電氣學(xué)會(huì)（IEEE）　802.11任務(wù)組于1997年6月推出IEEE802.11無(wú)線(xiàn)局域網(wǎng)標(biāo)準(zhǔn)，經(jīng)過(guò)不斷的完善發(fā)展，現(xiàn)已成為最具影響力的無(wú)線(xiàn)局域網(wǎng)工業(yè)標(biāo)準(zhǔn)。到目前為止，已經(jīng)的高速物理層標(biāo)準(zhǔn)如表1所示。

1.1　MIMO+OFDM技術(shù)分析

多入多出MIMO技術(shù)是一種在發(fā)射端和接收端同時(shí)使用多副天線(xiàn)的無(wú)線(xiàn)收發(fā)技術(shù)，　主要包括發(fā)射分集技術(shù)和空間復(fù)用技術(shù)。MIMO技術(shù)充分利用隨機(jī)衰落及多徑時(shí)延擴(kuò)展，在不需要增加天線(xiàn)發(fā)送功率和頻譜資源情況下，利用MIMO信道提供的空間分集增益可以有效降低誤碼率，提高信道的容量和可靠性。MIMO收發(fā)模式可以用縮寫(xiě)“Y*Z”來(lái)表示，分別代表發(fā)送天線(xiàn)數(shù)和接收天線(xiàn)數(shù)。IEEE802.11n設(shè)備默認(rèn)支持2*2模式空間流，最多支持4*4模式無(wú)線(xiàn)鏈路進(jìn)行空間復(fù)用；正交頻分復(fù)用OFDM技術(shù)是一種無(wú)線(xiàn)環(huán)境下多載波的高速擴(kuò)頻傳輸技術(shù)，通過(guò)將給定頻域內(nèi)的信道分成若干個(gè)正交子信道，　每個(gè)子信道都可以使用獨(dú)立的子載波（Sub　Carrier），根據(jù)具體需要選擇不同調(diào)制方式進(jìn)行調(diào)制，并且這些子載波可以并行發(fā)送，因此可以提高數(shù)據(jù)發(fā)送速度。同時(shí)，相互正交的子載波不但提高了頻譜利用率而且減小了子載波間的相互干擾。

MIMO可以有效利用多徑衰落提高信道容量，但對(duì)頻率選擇性衰落無(wú)能為力；OFDM技術(shù)可以有效利用頻率選擇性衰落，在不受帶寬和功率限制條件下，　OFDM技術(shù)可以以任意速率傳輸。實(shí)際上WLAN只能在帶寬和功率受限的情況下提高信道傳輸能力。因此將MIMO和OFDM兩種技術(shù)相結(jié)合，可揚(yáng)長(zhǎng)避短實(shí)現(xiàn)最佳傳輸效果。MIMO-OFDM技術(shù)原理如圖1所示。

MIMO+OFDM技術(shù)在發(fā)送端將發(fā)送信息先進(jìn)行信道編碼和MIMO編碼，然后將此Bit流進(jìn)行串/并轉(zhuǎn)換分為多個(gè)分支，每個(gè)分支都進(jìn)行OFDM處理，最后經(jīng)MIMO陣列天線(xiàn)發(fā)送到無(wú)線(xiàn)信道中。接收端進(jìn)行著與發(fā)射端進(jìn)行相反的信號(hào)處理，并進(jìn)行信道估計(jì)和同步等處理，最后恢復(fù)出與發(fā)送端發(fā)送一樣的比特流信息。

1.2　綁定的信道結(jié)構(gòu)技術(shù)分析

比較不同通信系統(tǒng)的有效性時(shí)，單看它們的傳輸速率是不夠的，還應(yīng)該看在這樣的傳輸速率下所占信道的寬度。所以真正衡量數(shù)字通信系統(tǒng)傳輸效率的應(yīng)當(dāng)是單位頻帶內(nèi)的碼元傳輸速率，即頻譜效率（spectrum　effectiveness），以比特每秒每赫茲為單位。

IEEE802.lln標(biāo)準(zhǔn)定義20MHz為強(qiáng)制信道，40MHz為可選信道。20MHz信道主要為了和802.11b/a/g兼容，且20MHz頻譜在世界范圍內(nèi)都是可用的，可實(shí)現(xiàn)802.lln產(chǎn)品在全世界范圍統(tǒng)一。在每個(gè)信道20MHz帶寬下。IEEE802.lln使用了56個(gè)子載波，其中52個(gè)用于傳輸數(shù)據(jù)信號(hào)，4個(gè)用于傳輸導(dǎo)頻信號(hào)。40MHz信道由兩個(gè)相鄰的20MHz信道綁定在一起來(lái)實(shí)現(xiàn)的，其中心頻率處有三個(gè)空子載波（-1，0，1），原有的20MHz信道的中心頻率設(shè)定在新的40MHz信道的第+/-32個(gè)子載波處。-6至6是保護(hù)頻帶，為了增加吞吐量，40MHz信道使用的導(dǎo)頻子載波數(shù)是6個(gè)，數(shù)據(jù)子載波數(shù)是108個(gè)，子載波數(shù)總共為114個(gè)。盡管不是所有的子載波都可以用來(lái)傳輸數(shù)據(jù)，但子載波的數(shù)量仍然是越多越好，因?yàn)槊慷嘁粋€(gè)就意味著能多傳遞一組調(diào)制信號(hào)。因此，40MHz信道可提供比20MHz信道更高的數(shù)據(jù)吞吐量。

1.3　短保護(hù)間隔ShortGI技術(shù)分析

無(wú)線(xiàn)信號(hào)的收發(fā)過(guò)程并非一刻不停。為了保證收發(fā)效果，在接收發(fā)送之間或多次發(fā)送過(guò)程中，必須有一定的時(shí)間間隔，即保護(hù)間隔。在使用OFDM調(diào)制方式發(fā)送數(shù)據(jù)時(shí)，整個(gè)幀被劃分成不同的數(shù)據(jù)塊進(jìn)行發(fā)送，在多徑環(huán)境下，后數(shù)據(jù)塊的前端比前一數(shù)據(jù)塊的末端更快到達(dá)接收機(jī)，從而引起數(shù)據(jù)塊間產(chǎn)生干擾。前后數(shù)據(jù)塊由不同路徑到達(dá)，前一數(shù)據(jù)塊尚未被接收機(jī)完全接收，后一數(shù)據(jù)塊卻由一個(gè)更短路徑到達(dá)。數(shù)據(jù)塊間干擾會(huì)降低射頻鏈路的SNR（signal　to　noise　ratio）。GI是前后數(shù)據(jù)塊間的一段空白時(shí)間，可以為遲到信號(hào)提供更長(zhǎng)的緩沖時(shí)間。

GI長(zhǎng)度根據(jù)多徑狀態(tài)選擇。802.11a/g的GI時(shí)長(zhǎng)為800ns，　IEEE802.11n提供了一個(gè)可選項(xiàng)，當(dāng)多徑情況較少、射頻環(huán)境較好時(shí)，允許用戶(hù)選擇啟用400　ns的保護(hù)間隔，即更短　GI?。⊿hort　GI）特性，以得到更高的數(shù)據(jù)傳輸速率。在40MHz信道下，將保護(hù)間隔減小到最小的400ns，如果采用64-QAM調(diào)制方式、編碼率5/6、2個(gè)空間流來(lái)傳送，可將最大速率提升到300Mbps；如果采用64-QAM調(diào)制方式、編碼率5/6、4個(gè)空間流傳送，　可將最大速率提升到600Mbps，實(shí)現(xiàn)802.11n定義的最高速率。

1.4　低密度奇偶校驗(yàn)碼編碼技術(shù)分析

IEEE802.11n采用LDPC糾錯(cuò)編碼技術(shù)。在數(shù)字通信的領(lǐng)域中，廣泛使用糾錯(cuò)編碼技術(shù)改善數(shù)字信道通信可靠性。糾錯(cuò)編碼主要包括分組碼、卷積碼、LDPC碼和Turbo碼。LDPC是一類(lèi)可以用非常稀疏的Parity-Check（奇偶校驗(yàn)矩陣）定義的線(xiàn)性分組糾錯(cuò)碼，其特點(diǎn)是：不僅有逼近Shannon限的良好性能，而且具有譯碼復(fù)雜度較低、較大的靈活性、可驗(yàn)證性、可并行操作、適合硬件實(shí)現(xiàn)等優(yōu)良特性。因此，　結(jié)合LDPC編碼技術(shù)的IEEE802.11n性能更加優(yōu)越。

2　IEEE802.11n　MAC層關(guān)鍵技術(shù)分析

IEEE802.11n物理層數(shù)據(jù)速率盡管非常高，但為了保持與802.11a/b/g的兼容，　MAC層的幀間隔時(shí)間IFS（InterFrame　Space）保持不變，　PHY層包頭、廣播幀、組播幀和控制幀必須統(tǒng)一802.11數(shù)據(jù)速率發(fā)送，這導(dǎo)致MAC層的吞吐量受限。為此IEEE802.11n在原有的MAC層傳輸協(xié)議數(shù)據(jù)包切割和多速率傳輸基礎(chǔ)上提出了幀聚合、雙向傳輸、塊確認(rèn)、減少幀間隔等關(guān)鍵技術(shù)，進(jìn)一步提高M(jìn)AC層數(shù)據(jù)吞吐量。同時(shí)，引入IEEE802.lle進(jìn)一步擴(kuò)展IEEE802.11n的服務(wù)質(zhì)量Qos（Quality　of　Service）。

2.1　無(wú)線(xiàn)媒體訪問(wèn)控制技術(shù)分析

IEEE802.11無(wú)線(xiàn)局域網(wǎng)MAC層具有無(wú)線(xiàn)媒體訪問(wèn)、網(wǎng)絡(luò)連接、數(shù)據(jù)驗(yàn)證和加密三個(gè)主要功能。其中無(wú)線(xiàn)媒體訪問(wèn)協(xié)議稱(chēng)為基于分布方式的無(wú)線(xiàn)媒體訪問(wèn)控制協(xié)議（distributed　function　wireless　MAC，DFW-MAC），它支持自組織結(jié)構(gòu)（Ad　hoc）和基礎(chǔ)結(jié)構(gòu)（infrastructure）兩種類(lèi)型的WLAN。IEEE802.11nMAC層在原有IEEE802.11標(biāo)準(zhǔn)分布協(xié)調(diào)功能（distr ibuted　coordination　function，DCF）和點(diǎn)協(xié)調(diào)功能（point　coordination　function，PCF）兩種無(wú)線(xiàn)媒體訪問(wèn)控制方式基礎(chǔ)上，引入IEEE802.lle擴(kuò)展支持Qos的HCF（Hybrid　coordination　function）信道接入方式。HCF包括可以提供優(yōu)先級(jí)服務(wù)的增強(qiáng)型DCF（enhanced　distributed　channel　access，EDCA）和可滿(mǎn)足參數(shù)化QoS要求的HCCA（HCF　controlled　channel　access，HCCA）兩種接入方式。其中，DCF是IEEE　802.11最基本的媒體訪問(wèn)控制方法，　是HCF和PCF的基礎(chǔ)，它提供基于競(jìng)爭(zhēng)的數(shù)據(jù)接入服務(wù)，在所有站點(diǎn)（station，　STA）上都進(jìn)行實(shí)現(xiàn)。

DCF協(xié)議采用兩路握手的基本接入機(jī)制　（basic　access）和可選的四路握手RTS/CTS兩種工作機(jī)制，它們都基于載波偵聽(tīng)沖突避免多路訪問(wèn)CSMA/CA技術(shù)和二進(jìn)制指數(shù)退避算法。Basic　access的接入時(shí)序如圖2（a）所示，發(fā)送端在發(fā)送數(shù)據(jù)之前，先監(jiān)聽(tīng)信道狀態(tài)，如果沒(méi)有人使用信道并維持大于等于DIFS時(shí)間段后，就立即占用信道并送出數(shù)據(jù)。反之必須等到信道空閑DIFS時(shí)間段后，進(jìn)入退避過(guò)程進(jìn)行競(jìng)爭(zhēng)信道使用。

RTS/CTS機(jī)制可以有效解決隱藏終端從而達(dá)到減少碰撞損失的目的，其接入時(shí)序如圖2（b）所示。發(fā)送端發(fā)送數(shù)據(jù)前，先發(fā)送RTS報(bào)文?。≧equest　to　Send）給目標(biāo)端，目標(biāo)端收到后，向自己范圍內(nèi)所有站點(diǎn)廣播CTS（Clear　to　Send　）報(bào)文，隨后開(kāi)始占用信道傳送數(shù)據(jù)信息。RTS/CTS可以確保隨后的數(shù)據(jù)傳輸不會(huì)發(fā)生碰撞。由于RTS/CTS封包很小，所以傳送的無(wú)效開(kāi)銷(xiāo)比發(fā)生碰撞的開(kāi)銷(xiāo)小很多。圖中NAV（network　allocation　vector）表示一個(gè)減法計(jì)時(shí)器，值的大小表示信道將被占用的時(shí)間長(zhǎng)短。其它站點(diǎn)的NAV取值由當(dāng)前信道上傳送的MAC幀中Duration域所攜帶的傳輸持續(xù)時(shí)間信息確定。

2.2　數(shù)據(jù)包聚合技術(shù)分析

IEEE802.11n主要有數(shù)據(jù)幀、控制幀和管理幀三種幀（Frame）類(lèi)型。數(shù)據(jù)幀（Data　Frame）負(fù)責(zé)在工作站之間搬運(yùn)數(shù)據(jù)；控制幀（Control　Frame?。┴?fù)責(zé)區(qū)域的清空、信道的取得以及載波監(jiān)聽(tīng)的維護(hù)，并于收到數(shù)據(jù)時(shí)予以肯定確認(rèn)，借此提高工作站之間數(shù)據(jù)傳送的可靠性，包括RTS　幀、CTS　幀、ACK　幀、BlockAckReq幀和BlockAck等九種類(lèi)型幀；管理幀（Management　Frame）負(fù)責(zé)監(jiān)督，主要用來(lái)加入或退出無(wú)線(xiàn)網(wǎng)絡(luò)以及處理接入點(diǎn)之間關(guān)聯(lián)的轉(zhuǎn)移事宜。Data　Frame和Management　Frame格式如圖3所示。

IEEE802.11n在MAC層對(duì)幀結(jié)構(gòu)進(jìn)行了進(jìn)一步優(yōu)化?！AC幀主要包括MAC　Header和Frame　body兩個(gè)部分，為了向前兼容，MAC　Header必須以基本速率發(fā)送。為了降低此部分發(fā)送時(shí)間上的開(kāi)銷(xiāo)，IEEE802.11n將多個(gè)MAC幀進(jìn)行聚合，使其共用一個(gè)PHY　Header，從而有效提高負(fù)載的傳輸效率。根據(jù)聚合所在的子層的不同分為MAC層服務(wù)數(shù)據(jù)單元聚合（A-MSDU）、MAC層協(xié)議數(shù)據(jù)單元聚合（A-MPDU）、物理層協(xié)議數(shù)據(jù)單元聚合（A-PPDU）和物理層協(xié)議數(shù)據(jù)單元突發(fā)傳輸（PPDU　Bursting）　四種。A-MSDU在邏輯鏈路控制層（LLC）和MAC層之間實(shí)現(xiàn)，A-MPDU在MAC層和PHY層之間實(shí)現(xiàn)，A-PPDU和?。≒PDU　Bursting）在PHY層實(shí)現(xiàn)。其中A-MSDU和A-MPDU聚合過(guò)程如圖4所示。

圖4中DA是數(shù)據(jù)包的最終接收實(shí)體的地址，SA是發(fā)送數(shù)據(jù)包的MAC實(shí)體地址，Padding是填充字段，Delimiter是分隔符。A-MSDU中每個(gè)MSDU具有相同的MAC　Header、PHY　Header和FCS，因此A-MSDU聚合度很高且發(fā)往同一個(gè)目的地址，同時(shí)傳輸可靠性較差，只適合小數(shù)據(jù)包MSDU的批量發(fā)送。A-MPDU中每個(gè)MSDU具有獨(dú)立的MAC　Header和FCS，因此A-MPDU可發(fā)往不同的目的地址且具有較高的傳輸可靠性，效率比較前者略底；采用A-PPDU和PPDU聚合方式傳輸，雖然可靠性提高了，但在PHY層數(shù)據(jù)速率很高且聚合個(gè)數(shù)較多時(shí)效率下降很快。

2.3雙向傳輸機(jī)制（reverse　direction　function）分析

雙向傳輸機(jī)制是指通過(guò)高效利用傳輸機(jī)會(huì)TXOP（Transmission　Opportunity），實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)高速傳輸?shù)囊环N機(jī)制。TXOP是一個(gè)有限的時(shí)間區(qū)間，當(dāng)發(fā)送方站點(diǎn)通過(guò)競(jìng)爭(zhēng)獨(dú)占信道之后，在TXOP時(shí)間內(nèi)發(fā)送完自己的數(shù)據(jù)后，如果TXOP時(shí)間還有剩余，就可以通知接受方在剩余的TXOP時(shí)間內(nèi)，進(jìn)行反向傳輸而無(wú)需再競(jìng)爭(zhēng)信道的使用權(quán)。雙向傳輸機(jī)制實(shí)例如圖5所示。

雙向傳輸機(jī)制主要用于在EDCA、HCCA和非TXOP的DCF信道接入機(jī)制，并且發(fā)送方要傳輸數(shù)據(jù)量較少時(shí)，通過(guò)提高站點(diǎn)TXOP利用率來(lái)提高系統(tǒng)的吞吐量。

2.4　塊應(yīng)答（Block　Ack）技術(shù)分析

802.11協(xié)議為了提高數(shù)據(jù)傳輸?shù)目煽啃?，?guī)定接收端每收一個(gè)數(shù)據(jù)幀，應(yīng)該立即采用ACK應(yīng)答。因此，當(dāng)采用這種方式接收端在收到聚合幀A-MPDU后，就需要對(duì)其中的每一個(gè)MPDU進(jìn)行處理并逐個(gè)發(fā)送應(yīng)答幀ACK。在高速的802.11n中，為了降低每一次由于競(jìng)爭(zhēng)使用信道和多ACK應(yīng)答帶來(lái)的時(shí)間損耗，接收方在連續(xù)接收多個(gè)數(shù)據(jù)幀后通過(guò)Block　Acknowledgement方式，使用一個(gè)ACK幀來(lái)完成對(duì)多個(gè)MPDU的應(yīng)答，以降低這種情況下ACK幀的數(shù)量，這種方式就叫做Block　ACK方式。Block　ACK有延遲型Block　ACK和立即型Block　ACK兩種方式，Block　ACK方式也可使用于非聚合的MPDU。塊應(yīng)答與幀間間隔實(shí)例如圖6所示。

2.5　精簡(jiǎn)幀間間隔（Reduced　InterFrame　Spacing）技術(shù)分析

幀間間隔IFS（InterFrame　Space）是指在收發(fā)雙方傳輸數(shù)據(jù)幀時(shí)，每?jī)蓚€(gè)數(shù)據(jù)幀之間要有一個(gè)固定的時(shí)間間隔。在802.11網(wǎng)絡(luò)中，有四種不同的幀間隔時(shí)間，這四種IFS按照時(shí)間從短到長(zhǎng)的順序依次為：SIFS（Short　InterFrame　Space）、PIFS（PCF　InterFrame　Space）、DIFS（DCF　InterFrame　Space）和EIFS（Extended　InterFrame　Space）。在IEEE　802.11不同標(biāo)準(zhǔn)中，aSlotTime和不同類(lèi)型幀間間隔時(shí)間的值不同，如表2所示。

其中SIFS是最小幀間隔，發(fā)送方和接收方數(shù)據(jù)幀傳輸時(shí)使用，采用SIFS的節(jié)點(diǎn)具有訪問(wèn)無(wú)線(xiàn)鏈路的最高優(yōu)先級(jí)，如圖6（a）?。╞）　（c）所示。DFC接入方式時(shí)使用DIFS時(shí)間間隔，PCF接入方式時(shí)使用PIFS時(shí)間間隔，EIFS時(shí)間間隔用于收發(fā)雙方差錯(cuò)處理。此外，還有支持Qos的仲裁幀間間隔AIFS，AIFS值的大小應(yīng)根據(jù)數(shù)據(jù)類(lèi)型設(shè)置。在802.11n網(wǎng)絡(luò)中采用精簡(jiǎn)幀間間隔RIFS，　如圖6（b）?。╟）所示，把原來(lái)的每發(fā)一個(gè)兩個(gè)幀幀間間隔從SIFS的10μs或16μs調(diào)整為RIFS的2μs　，以適應(yīng)IEEE802. 11n高傳輸速率要求。

3　結(jié)束語(yǔ)

基于IEEE802.11n技術(shù)的無(wú)線(xiàn)局域網(wǎng)絡(luò)不再是簡(jiǎn)單的接入層，已經(jīng)成為與3G網(wǎng)絡(luò)對(duì)等的移動(dòng)互聯(lián)網(wǎng)中重要的高速數(shù)據(jù)承載平臺(tái)。目前，基于802.11n技術(shù)的運(yùn)營(yíng)商網(wǎng)絡(luò)和終端市場(chǎng)份額在逐步擴(kuò)大，已經(jīng)超過(guò)了50%甚至更高的份額。但由于現(xiàn)有終端大部分只支持802.11a/b/g標(biāo)準(zhǔn)，所以要組建純802.11n標(biāo)準(zhǔn)的網(wǎng)絡(luò)面臨著用戶(hù)發(fā)展的問(wèn)題。在向高速802.11n無(wú)線(xiàn)局域網(wǎng)發(fā)展過(guò)程中，必需考慮與原有802.11a/b/g標(biāo)準(zhǔn)的兼容。在802.11n發(fā)展初期，運(yùn)營(yíng)商可先采用雙頻設(shè)備組網(wǎng)，等到大部分終端都支持802.11n標(biāo)準(zhǔn)后，再通過(guò)對(duì)設(shè)備的重新配置等手段統(tǒng)一為802.11n單模組網(wǎng)。同時(shí)，在利用802.11n技術(shù)組網(wǎng)時(shí)還需要根據(jù)具體的復(fù)雜的無(wú)線(xiàn)環(huán)境，科學(xué)規(guī)劃頻率資源，合理配置網(wǎng)絡(luò)參數(shù)，并進(jìn)一步深入研究802.lln多信道管理、鏈路自適應(yīng)、網(wǎng)絡(luò)安全、天線(xiàn)選擇以及與影響系統(tǒng)吞吐量提升的相關(guān)技術(shù)，以便使用戶(hù)享受到IEEE802.11n帶來(lái)的安全、高速、高質(zhì)量的無(wú)線(xiàn)網(wǎng)絡(luò)服務(wù)體驗(yàn)。

參考文獻(xiàn)：

[1]　郭剛，陸曉峰.IEEE802.11n　MAC性能優(yōu)化策略分析[J].計(jì)算機(jī)工程與科學(xué)，2009，31（3）：13-15.

.電信工程技術(shù)與標(biāo)準(zhǔn)化，2011，（4）：1-6.

[3]　毛建兵，毛玉明.基802.11的多信道MAC協(xié)議性能分析[J].計(jì)算機(jī)研究與發(fā)展，2009　46（10）：1651-1659.

[4]　溫景容，甄巖，武穆清.IEEE　802.11e　EDCA在Ad　Hoc網(wǎng)絡(luò)中應(yīng)用仿真分析[J].小型微型計(jì)算機(jī)系統(tǒng)，2010，（5）：908-911.

第12篇

汽車(chē)正在成為黑客們的下一個(gè)目標(biāo)。各大影院熱映的《速度與激情6》已經(jīng)生動(dòng)地為看客們展示了未來(lái)黑客們的入侵——或許，在未來(lái)，當(dāng)某個(gè)“重要人物”駕駛智能轎車(chē)飛速奔赴目的地時(shí)，千里之外的黑客，只是輕輕動(dòng)了動(dòng)手指，就讓他的汽車(chē)再也開(kāi)不起來(lái)，從而使他的計(jì)劃“泡了湯”。

8月初，在位于拉斯維加斯舉行的全球規(guī)模最大的國(guó)際黑客大會(huì)（Def Con hacking convention）上，Twitter公司軟件安全工程師米勒（Charlie Miller）和IOActive安全公司智能安全總監(jiān)瓦拉賽克（Chris Valasek）——這兩位曾因?qū)ふ业轿④浐吞O(píng)果軟件的漏洞而名聲大振的工程師，在獲得美國(guó)政府許可的情況下，了他們攻擊汽車(chē)數(shù)月后的研究。

“壞小子”們?cè)陂L(zhǎng)達(dá)100頁(yè)的白皮書(shū)中，詳細(xì)闡述攻擊豐田普銳斯（Prius）和福特翼虎（Escape）關(guān)鍵系統(tǒng)的方法——他們讓以每小時(shí)130公里速度行駛的豐田普銳斯突然剎車(chē)，當(dāng)然也可以讓汽車(chē)突然加速，甚至控制方向盤(pán)。還讓福特翼虎在慢速行駛時(shí)剎車(chē)失靈，司機(jī)不論用多大力氣踩剎車(chē)都于事無(wú)補(bǔ)。

當(dāng)然，他們的研究并非為了為非作歹，“殺人于無(wú)形之中”，而是為了搶在不法分子之前找到系統(tǒng)漏洞，這類(lèi)黑客被稱(chēng)為“白帽黑客”。

米勒和瓦拉賽克希望他們的數(shù)據(jù)能激勵(lì)其他“白帽黑客”去發(fā)現(xiàn)更多的汽車(chē)安全漏洞，這樣就能夠加以修復(fù)。米勒調(diào)侃道：“與其相信福特和豐田的眼光，我倒寧可相信100名安全研究人士的眼力。”

這樣看來(lái)，似乎汽車(chē)“太智能”也會(huì)帶來(lái)困擾。當(dāng)移動(dòng)互聯(lián)網(wǎng)技術(shù)進(jìn)入汽車(chē)，汽車(chē)更像是一個(gè)個(gè)“移動(dòng)終端”時(shí)候，如何來(lái)保證未來(lái)的駕駛安全？其實(shí)早在2011年，就有學(xué)術(shù)界人士談到如何利用藍(lán)牙系統(tǒng)和無(wú)線(xiàn)網(wǎng)絡(luò)入侵汽車(chē)，不過(guò)在當(dāng)時(shí)，學(xué)術(shù)界人士對(duì)細(xì)節(jié)秘而不宣，甚至拒絕透露他們?nèi)肭至耸裁葱吞?hào)的車(chē)輛。

被研究的“對(duì)象”有點(diǎn)坐不住了。豐田發(fā)言人漢森（John Hanson）稱(chēng)豐田正對(duì)此加以評(píng)估。他稱(chēng)，豐田在汽車(chē)電子安全方面投入了大量資金，但還是存在一些漏洞。而福特發(fā)言人戴奇（Craig Daitch）稱(chēng)，福特認(rèn)真看待其車(chē)輛的電子安全。但他指出，由于米勒和瓦拉賽克的攻擊方法必須要坐在目標(biāo)車(chē)輛里才能實(shí)現(xiàn)，因此實(shí)際風(fēng)險(xiǎn)是相對(duì)較低的。

同樣被暴露出軟件存在漏洞的還有大眾汽車(chē)旗下的4個(gè)豪華車(chē)品牌。英國(guó)伯明翰大學(xué)的加西亞（Flavio D. Garcia）、荷蘭內(nèi)梅亨大學(xué)的維杜特（RoelVerdult）和艾齊（BarisEge）一直致力于研究如何突破奧迪、保時(shí)捷、賓利和蘭博基尼等大眾汽車(chē)集團(tuán)旗下豪華車(chē)品牌的Megamos Crypto防護(hù)系統(tǒng)。三人發(fā)現(xiàn)了車(chē)輛內(nèi)部的獨(dú)特邏輯代碼，以及能夠允許車(chē)輛識(shí)別點(diǎn)火鑰匙的特征。而目前，除了大眾以外，不少其他車(chē)企的點(diǎn)火鑰匙也使用Megamos Crypto邏輯。

“白帽三劍客”基于研究撰寫(xiě)的論文原本計(jì)劃在今年8月美國(guó)華盛頓Usenix安全研討會(huì)上發(fā)表，但此舉遭到大眾汽車(chē)反對(duì)，大眾稱(chēng)，論文泄露啟動(dòng)密碼可能“使得某些人，尤其是經(jīng)驗(yàn)豐富的犯罪集團(tuán)獲得利器，輕易地突破車(chē)輛安全系統(tǒng)并實(shí)施盜竊”。

大眾近而向英國(guó)高等法院提訟，并獲得了英國(guó)高院的支持。英國(guó)高院了暫時(shí)性禁令，阻止他們，其所屬的兩所大學(xué)的內(nèi)部刊物也表示將遵從禁令，暫緩發(fā)表該論文。

對(duì)此，專(zhuān)家們表示不滿(mǎn)，認(rèn)為只是在進(jìn)行“合法的學(xué)術(shù)研究”，目的是為所有人改善安全狀況。被法院禁止后，三人決定退出今年的研討會(huì)。

盡管還沒(méi)有消費(fèi)者因汽車(chē)被黑造成事故，但美國(guó)國(guó)家公路交通安全管理局發(fā)表的一份聲明中表示：“電子控制和連接越來(lái)越多，它強(qiáng)化了交通安全和效率，但給抵抗?jié)撛谌毕輲?lái)新挑戰(zhàn)?！?/p>

安全專(zhuān)家也在表示，由于對(duì)計(jì)算機(jī)依賴(lài)程度日益增加的新無(wú)線(xiàn)技術(shù)能夠使汽車(chē)更安全、能耗更低、更現(xiàn)代化，汽車(chē)遭黑客攻擊已開(kāi)始由以前的理論轉(zhuǎn)入現(xiàn)實(shí)世界。