畢業(yè)論文：無(wú)線局域網(wǎng)的安全技術(shù)研究

無(wú)線局域網(wǎng)的安全技術(shù)研究


摘 要 2
第一章 無(wú)線局域網(wǎng)(WLAN) 3
1.1無(wú)線局域網(wǎng)(WLAN)的優(yōu)缺點(diǎn) 4
1.2 無(wú)線局域網(wǎng)的安全問(wèn)題 4
1.3有線等同b_m 5
1.4 WEP的致命缺陷 6
1.5 問(wèn)題解決 8
1.6接入控制 9
第二章 無(wú)線局域網(wǎng)的七大安全困惑及解決方案 10
2.1問(wèn)題一 11
2.1.1容易侵入 11
2.1.2加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制 11
2.2　問(wèn)題二 12
2.2.1非法的AP 12
2.3.2定期進(jìn)行的站點(diǎn)審查 12
2.3問(wèn)題三 13
2.3.1未經(jīng)授權(quán)使用服務(wù) 13
2.4　問(wèn)題四 13
2.4.1服務(wù)和性能的限制 13
2.4.2　解決方案：網(wǎng)絡(luò)檢測(cè) 14
2.5問(wèn)題五 14
2.2.1地址欺騙和會(huì)話攔截 14
2.5.2　解決方案：同重要網(wǎng)絡(luò)隔離 15
2.6問(wèn)題六 15
2.6.1流量分析與流量偵聽(tīng) 15
2.6.2　解決方案：采用可靠的協(xié)議進(jìn)行加密 16
2.7問(wèn)題七 16
2.7.1　高級(jí)入侵 16
2.7.2決方案：隔離無(wú)線網(wǎng)絡(luò)和核心網(wǎng)絡(luò) 16
結(jié)束語(yǔ) 17
參考文獻(xiàn) 18


摘 要

無(wú)線局域網(wǎng)WLA
……（新文秘網(wǎng)http://jey722.cn省略842字，正式會(huì)員可完整閱讀）……　
，單是因?yàn)闊o(wú)線的關(guān)系，無(wú)線局域網(wǎng)就容易召來(lái)竊聽(tīng)！
無(wú)線局域網(wǎng)的安全系統(tǒng)要做到有效，就必須解決下面三個(gè)安全問(wèn)題：
•提供接入控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入
•確保鏈路的b_m與完好：防止未經(jīng)授權(quán)的用戶讀取、引入或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)
•防止阻斷服務(wù)攻擊：確保沒(méi)有一個(gè)用戶或一小批用戶可占用某個(gè)接入點(diǎn)的所有可用帶寬，阻斷其他用戶的正當(dāng)接入。
初期802.11安全實(shí)現(xiàn)方式：
驗(yàn)證：802.11網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)都使用一個(gè)網(wǎng)絡(luò)名稱(被稱為SSID，即服務(wù)集標(biāo)識(shí))。在接通一個(gè)特定的接入點(diǎn)(AP)之前，用戶可能被要求輸入此AP的SSID和密碼通行字。不幸的是，SSID定期被AP播放，可輕易探測(cè)到；通行字未經(jīng)加密即發(fā)送，而且允許無(wú)限多次的嘗試。這些都削弱了SSID作為驗(yàn)證令牌的作用。Wi-Fi卡的媒體接入控制(MAC)地址亦可用于驗(yàn)證和授權(quán)。MAC是一個(gè)48位的獨(dú)特序列號(hào)碼，每一個(gè)以太網(wǎng)類型的裝置都分配到一個(gè)。盡管接入控制清單不是802.11標(biāo)準(zhǔn)的一部分，很多賣主還是允許使用接入控制。經(jīng)過(guò)授權(quán)的MAC地址清單可儲(chǔ)存在每一個(gè)AP內(nèi)，只允許AP的接入控制清單上有其MAC地址的客戶端裝置接通此AP。但此種方式的問(wèn)題是，攻擊者可輕易探查到與AP連接的客戶端裝置的MAC地址，因?yàn)樗鼈儚膩?lái)都是不經(jīng)加密的。多數(shù)Wi-Fi客戶端裝置允許經(jīng)由軟件更動(dòng)MAC地址，因此，一旦獲得了一個(gè)有效的MAC地址，攻擊者可輕易假冒為正當(dāng)用戶。
1.3有線等同b_m
有線等同b_m：除了上述措施外，802.11標(biāo)準(zhǔn)還定義了一套結(jié)合接入控制、數(shù)據(jù)b_m和數(shù)據(jù)完好性的體系，稱為有線等同b_m(WEP)。它針對(duì)下列問(wèn)題：
•接入控制：Wi-Fi網(wǎng)絡(luò)上可配置WEP，使沒(méi)有正確密鑰的用戶不能得到接入。這種對(duì)稱的密鑰從40位到128位，而且通常是物理鍵入每一個(gè)裝置，保存起來(lái)以備后用。由于每一種移動(dòng)裝置使用同樣的密鑰，假如一個(gè)密鑰暴露了(如筆記本計(jì)算機(jī)失竊了)，那其它所有裝置都需要改動(dòng)密鑰。WEP目前還不提供這種密鑰管理功能
•鏈路b_m性：802.11標(biāo)準(zhǔn)采用WEP作為加密算法，用于確保無(wú)線局域網(wǎng)b_m性。具體算法是基于一種稱為RC4的標(biāo)準(zhǔn)，由RSA數(shù)據(jù)安全公司開(kāi)發(fā)。IEEE802.11小組選擇RC4用于WEP的原因是其產(chǎn)權(quán)使用費(fèi)低廉，而且易于實(shí)施，使作為小組成員的各家賣主能以適中的價(jià)格快速向市場(chǎng)推出產(chǎn)品。不過(guò)，RC4只是一種低層次的流密碼，已經(jīng)不算先進(jìn)了，而且必須以合適的方式實(shí)施
•鏈路與數(shù)據(jù)完好性：確保完好性的標(biāo)準(zhǔn)方式，是在傳輸前在每一個(gè)數(shù)據(jù)塊上附加某種形式的訊息驗(yàn)證碼。在WEP中，傳輸裝置產(chǎn)生一個(gè)32位的循環(huán)冗余碼(CRC-32)校驗(yàn)碼，附加在數(shù)據(jù)幀上。接收裝置對(duì)數(shù)據(jù)進(jìn)行一次運(yùn)算，假如答案與校驗(yàn)碼相符，就假定數(shù)據(jù)未受損。這是一種相當(dāng)基本的做法，但優(yōu)點(diǎn)是實(shí)施簡(jiǎn)便。
1.4 WEP的致命缺陷
WEP未能構(gòu)成一個(gè)優(yōu)良安全體系的原因，在于試圖將RC4用于驗(yàn)證和b_m兩項(xiàng)功能。RC4固然是一種沒(méi)什么不好的加密算法，但它未得到正確運(yùn)用。RC4明確警告永遠(yuǎn)不要兩次使用同樣的密鑰資料－無(wú)論負(fù)載是什么－因?yàn)樗皇且环N簡(jiǎn)單的*OR流密碼。在實(shí)地演示中，計(jì)算機(jī)黑客可在數(shù)小時(shí)內(nèi)破解WEP加密。
為解決此問(wèn)題，WPA應(yīng)運(yùn)而生。WPA包括暫時(shí)密鑰完整性協(xié)議(Temporal Key Integrity Protocol，TKIP)和802.1*機(jī)制。TKIP與802.1*一起為移動(dòng)客戶機(jī)提供了動(dòng)態(tài)密鑰加密和相互認(rèn)證功能。WPA通過(guò)定期為每臺(tái)客戶機(jī)生成惟一的加密密
鑰來(lái)阻止黑客入侵。
　　TKIP為WEP引入了新的算法，這些新算法包括擴(kuò)展的48位初始向量與相關(guān)的序列規(guī)則、數(shù)據(jù)包密鑰構(gòu)建、密鑰生成與分發(fā)功能和信息完整性碼(也被稱為“Michael”碼)。在應(yīng)用中，WPA可以與利用802.1*和EAP(一種驗(yàn)證機(jī)制)的認(rèn)證服務(wù)器(如遠(yuǎn)程認(rèn)證撥入用戶服務(wù))連接。這臺(tái)認(rèn)證服務(wù)器用于保存用戶證書(shū)。這種功能可以實(shí)現(xiàn)有效的認(rèn)證控制以及與已有信息系統(tǒng)的集成。
　　由于WPA具有運(yùn)行“預(yù)先共享的密鑰模式”的能力，SOHO環(huán)境中的WPA部署并不需要認(rèn)證服務(wù)器。與WEP類似，一部客戶機(jī)的預(yù)先共享的密鑰(常常被稱為“通行字”)必須與接入點(diǎn)中保存的預(yù)先共享的 ……（未完，全文共8657字，當(dāng)前僅顯示2364字，請(qǐng)閱讀下面提示信息。收藏《畢業(yè)論文：無(wú)線局域網(wǎng)的安全技術(shù)研究》）