无线网络安全技术

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇无线网络安全技术，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

关键字：无线网络；安全；技术

随着计算机网络技术的飞速发展，无线网络技术以独特的优点，被许多企业、政府、家庭所使用，由于无线网络传送的数据是利用电磁波在空中辐射传播，而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体，因此在一个无线局域网接入点（AP：Access Point）的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。这种传播方式是发散的、开放的，这给数据安全带来了诸多潜在的隐患。与有线网络相比较，WLAN难以采用隔离等物理手段来满足网络的安全要求，因此保护WLAN安全的难度要远大于保护有线网络。而我们也已经逐步意识到必须专门为WLAN设计安全防护机制，才能最大限度地保护数据在WLAN中传输的安全性。因此，探讨新形势下无线网络安全的应对之策，对确保无线网络安全，提高网络运行质量具有十分重要的意义。

1.无线网络安全问题

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线在合适的范围内对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。还有的部分设备、技术不完善，导致网络安全性受到挑战。

进行搜索也是攻击无线网络的一种方法，现在有很多针对无线网络识别与攻击的技术和软件。Netstumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的，或即使加密功能是处于活动状态，如果没有关闭AP（无线基站）广播信息功能，AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息，如网络名称、SSID（安全集标识符）等可给黑客提供入侵的条件。同时，许多用户由于安全意识淡薄，没有改变缺省的配置选项，而缺省的加密设置都是比较简单或脆弱，容易遭受黑客攻击。

除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

目前无线网络受到的主要威胁是：传输的数据被偷听、传输的数据被中途截获或修改、拒绝服务（DOS）、偶然威胁（合法访问者可能在启动便携式计算机时无意间连接了我们的网络，然后自动连接到单位的WLAN。

2.基于协议的无线网络安全技术

MAC地址过滤：每个网络适配器都有唯一的MAC地址，可以利用MAC地址过滤方式控制用户终端的接入但IEEE 802.11x协议在数据链路层认证上的缺陷使MAC地址容易被获取和伪造，这样会给虚假AP和非法客户终端提供可乘之机。MAC地址认证通常用在功能单一、硬件性能较差的的固定终端设备匕，例如摄像头、打印机等。

AP隔离：主要采用数据报文传送地址分析法，让各个接入的无线客户端之间相互保持隔离，被隔离用户不能通过网巨邻居互相访问，类似有线网络的VLAN技术，提供彼此间更加安全的接入。

WEP（有线等效加密）：主要在身份认证和数据传输时对信息进行加密，其数据校验算法是CRC32，加密算法是RC4，可以生成长度为40bit的密钥。但因为是静态非交换式密钥，各用户终端使用的密钥相同，会被快速破解。

在无线局域网中，如果使用了无线局域网接入点首先要启用WEP功能，并记下密钥，然后在每个无线客户端启用WEP，并输入该密钥，这样就可以保证安全连接。在无线客户端启用的方法如下：在windowsXP中，首先，右键单击任务栏无线网络连接图标，选择“查看可用的无线连接”，在打开的窗口中单击“高级”按钮；接着，在打开的属性窗口中选择“无线网络配置”选项卡，在“首选网络”中选择搜索到的无线网络连接，单击“属性”按钮。然后，在打开的属性窗口中选中“数据加密（WEP启用）”，去掉“自动为我提供此密钥”，在“网络密钥”中输入在无线AP中创建的一个密钥。最后，单击“确定”按钮即可。

EAP（可扩展认证协议技术）：是执行身份验证的网络工程任务小组（IETF）标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。因为EAP是一种可插入身份验证方法，因此有多种不同的EAP类型。最佳的EAP类型实质上使用加密来保护身份验证会话，并能在过程中动态生成用于加密的密钥。

WPA（Wi-Fi Protected Aecess，Wi-Fi安全存取）为了弥补WEP的缺陷，采用了暂时密钥完整协议（TKIP），虽然加密算法仍是RC4，但是能生成128bit的动态密钥。WPA数据校验算法为Michael，IV长度也增加到48bit。另外还使用可扩展身份验证协议（EAP），对用户终端进行身份认证。所以，WPA包含了认证、加密和数据完整性校验三个组成部分，整体安全性大大提高。

WPA用户认证是使用802.1x和扩展认证协议来实现的。在802.11标准里，802.1x身份认证是可选项，在WPA里802.1x身份认证是必选项。对于加密，WPA使用临时密钥完整性协议TKIP的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮，同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。WPA标准里包括了下述的安全特性：WPA队认证、WPA以加密密钥管理、临时密钥完整性协议、Michael消息完整性编码（MIC）、高级加密标准（AES）支持。

尽管有如此相对完善的安全策略，但是WLAN安全性仍是大多数单位采用无线局域网的大障碍。随着科学技术的发展，无线网络将会面临更多的威胁，这需要我们不断的发展完善无线网络安全技术。

参考文献

1.林敏，陈少涌.无线校园网安全和融合是关键.中国教育网络，2011；

第2篇

关键词：无线网络；防范措施；校园网络

随着信息技术的飞速发展，近年来无线网络已经成为一种较为普及的网络访问方式，并且在一些领域已经占据了主流的地位。特别是在高校中传统有线网络已经不能满足师生对移动网络的要求，无线网络作为有线网络的补充手段，被更多的师生所认同和接受。众多师生开始在无线网络中开展各种应用业务，教学、科研等，这表明无线网络有者传统网络不能比拟的优势，但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。因此，对无线网络安全技术的研究就具有特别重要的意义。

1、WLAN的安全隐患

1.1 非法用户侵入

由于无线局域网具有公开、易获取的特性，便于开放式访问，所以非法用户可以未经授权而擅自使用网络资源，后果是不仅占用了宝贵的无线信道资源，增加了带宽成本，而且还降低了合法用户的服务质量。

1.2 网络监听

由于无线局域网具有开放访问的特点，入侵者无需将窃听或分析设备物理地接人被窃听的网络，就可以乘机在无线信号覆盖范围之内，进行窃听、恶意修改并转发数据。

1.3 无线加密协议（WEP）破解

互联网上已经普遍存在的一些非法程序，能够通过收集足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。最快可以在两个小时内攻破WEP密钥。

1.4 地址欺骗和会话拦截

非法用户通过网络窃听，获取网络中合法站点的MAc地址，然后通过ARP欺骗，利用这些合法的MAC地址进行欺骗攻击。同时还可以通过截获会话帧从而进一步进入网络获取更多信息。

1.5 拒绝服务

是最为严重的攻击方式，一般有两种情况，一种就是攻击者对AP进行泛洪式的攻击，使AP拒绝服务。另外一种是对某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，也就是通常称的能源消耗攻击。

2、WLAN的安全技术

2.1 服务集标识符（SSID）

通过对多个无线接入点AP（Access Point）设置不同的SSID，并要求无线工作站出示正确的SSID才能访问API这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。

2.2 物理地址过滤（MAC）

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

2.3 连线对等保密（WEP）

WEP主要通过加密在中心HUB和访问点（Access Point）进出的数据包完成对数据的保护，在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了_40位（有时也称为64位）和128位长度的密钥机制，40位的钥匙在今天很容易被破解，目前为了提高安全性，建议采用128位加密钥匙。

2.4 Wi-Fi保护接入（WPA）

WPA（Wi-Fi Protected Access）是继承了WEP基本原理而又解决了WEP缺点的—种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于Rc4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

第3篇

    1无线网络安全体系的分析

    无线网络在网络协议中规定的安全体系主要是WAP中规定的应用。主要是保障数据通信在保密性、真实性、完整性以及不可否认性四个属性中的安全。保密性主要是从数据加密技术上来进行保障与防御,保密性是为了确保个人隐私不被截取或者中间阅读,通过强密码加密明文致使明文不可能被别人截取,除非在接受者能够获取口令的情况下,否则密钥保护足以抵挡被入侵的风险。为此,无线网络安全体系必须保障加密系统在理论上是不可攻破的,其次是在实际操作中也是不可攻破的。系统不能依赖于自身密码的保护,而应该依赖于密钥的保护,否则当前的黑客软件配上密码表通过最笨的方法也能够不断的测试出其中的密码设计;真实性是用来确保信息人的身份内容,它同样是一种技术,是为了在无线网络应用中确定对方同样为身份识别人的一种要求;完整性相对于安全体系来说是要确定所接收的数据是原始的,完整的,在其数据传输过程的中间环节没有被修改过。通过数字签名等技术制约可以降低完整性不足的风险,在大多数的网络攻击情况下,完整性的重要意义甚至高于保密性,这说明一个问题,我们所保密的不一定的完整的,而完整的起码是保密的;不可否认性的意义在于强调认证系统的安全性,即整个安全系统的认证是无法被篡改的,考验这种安全性的内容主要有,确认信息的不可更改性和不能抵赖性,接受者能通过验证并合法,其他人无法更改和否定信息等内容。除了数据通信的安全性外还需要无线网络的安全性保障与防御,即无线传输层的安全保障。无线传输层的安全保障(WirelessTrans-PortationLayerSeeurity)主要包括无线传输层的规范、无线传输层的结构、真实性、密钥交换、完整性与保密性。无线传输层通过安全连接来保证层级规范协议的有效性,通过将客户与整个安全网络的连接来保障协议的实现。通过控制网关使用参数的可能性,确保数据的安全。协议规定要求双方安全协商,只有本区域的网络代表才能够有资格进入协商层级,从而在虚拟的结构中实现了有线网络式的单线单网。客户与网络两个终端间也能够有效的互相验证。无线网络的结构是一个层级协议,握手、报警、密钥交换以及应用使得结构趋于完整。无线网络中的真实性是通过网络证书来实现的,通过网络证书的交换,实现了应用网络中的真实性确认;无线网络中的完整性则是通过信息验证程序来进行维护和保障,通过不同的计算方法来实现网络完整;无线网络中的密钥交换是一个关键步骤,是无线网络安全性的一个具体保障措施,首先是Server发送一个Server密钥交换信息,通过计算的方式转移到客户层面,客户也通过相应的的计算机辅助计算来实现密钥的交换,双方互相验证,获得通关密码的生成;最后,主密码通过20字节的序号加诸于计算公式中得到保密性验证。这便形成了一系列的无线网络安全定制,从而有效的保障的无线网络数据传输的安全保卫与防御工作。

    2无线网络安全技术的发展

    随着全球化无线网络的不断进步与实现,无线网络的安全技术在不断的朝向深层次发展,这成为了支持无线网络发展的最可靠保障。无线网络的特点决定其未来发展网络数据传输中的主流。不论是从长距离传输还是短距离使用,无线网络都将不断的实现突破和发展,尽管在攻击与防御的主要矛盾下,无线网络技术的安全性从未间断过考验,但是正是由于危机与考验的出现,为无线网络的技术发展提供了可靠的发展动力,并最终实现网络安全的整体进步,无线网络的发展是大趋势、大潮流,无线网络安全技术保障问题也势必成为无线网络领域内发展的主要课题,成为我们必须一直关注的网络基本问题。

第4篇

通过AP或无线路由设置MAC地址来限制无线网络用户的访问权，对MAC地址实施与IP地址绑定后，用户如果要进行网络访问，则其MAC地址必须包含在AP或路由器的MAC列表中，否则将无法对网络进行访问，如图1所示。

2改变网络服务集标识

（SSID）并且禁止SSID广播服务集标识（SSID）技术，就是把一个物理的无线网络划分为若干个逻辑子网络，通过SSID来标识，每个子网须经身份认证下后才可以进入网络进行资源访问，其中SSID就量个子网的名称，用户客户端必须设置与访问点一致的SSID才能访问网络，如图2所示。如果在运行过程中，禁止SSID广播，无线客户端将无法自动获得访问点的SSID，这样就可以在一定程度上防止非授权用户无意获取网络SSID对网络进行访问，其相当于一道网络访问密码，起到一定的安全作用。

3启用有线等效保密

（WEP）和wpawpa2有线等效加密WEP（WiredEquivalentPrivacy），又称无线加密协议WEP是保护无线网络（WiFi）信息安全的体制。无线局域网进行信息交换的原理是通过无线电波进行，它比有线网络更容易被窃听。WEP就是为加强无线网络的安全而设计的。但WEP后来被发现有一定的安全弱点，后来在2003年被WPA（Wi-FiProtectedAccess)取代，2004年又由完整的IEEE802.11i标准（又称为WPA2）所取代。WPA是继承了WEP的优点，又解决了WEP缺点，它加强了生成加密密钥的算法，通过收集到网络相关的信息，在目前的技术条件下，也无法算出通用密钥。因此，WPA加密技术比WEP具更高的安全性。目前大多数的系统windows，Android，Linux等都支持这个加密技术。在实际应用中，在AP或无线路由器启用WPA认证，可提高无线网络的安全性。

4无线局域网的安全策略

在无线网络管理中，我们可以使用各种各样的技术来维护网络的安全。从传统的WEP加密、SSID，WPA/WPA2，从MAC地址过滤，IP绑定到IEEE802.1x安全认证技术，对于不同规模、不同的应用层次的网络，组织不同的策略，既让网络的安全得到保障，又能使用户方便地使用网络资源，是网络管理的重要课题。

4.1初级网络安全策略

规模小的网络，如中小学、家、庭用户、学生宿舍、小型单位等，由于其用户数量少，也无专业的网络管理人员，对网络的安全要求不高，无须配备专业的认证设备来进行安全管理，可以采用无线接入点AP真接认证，WPA+接入点SSID隐藏，如果需要再加MAC地上认证即可保证安全要求。

4.2中级网络安全策略

在大学、医院、中型企业，无线网络覆盖范围增大，网络规模增大，功能强，涉及的信息增加，安全要求高，网络存在的安全隐患也相应增加，只通过WPA+接入点SSID隐藏已经不能满足网络管理和用户的要求，因此建立支持IEEE802.1x认证的无线访问点（AP）作为无线网络的安全中心。并建立Radius服务器，通过网络后台进行无线用户身份认证，有效地对用户进行过滤，提高网络的安全性。

4.3专业级网络安全

在社区、飞机场、大型大学校园等各类公共场合，以及网络运营商、大中型企业、金融机构等环境中，用户需要在热点公共地区（如机场、咖啡店等）通过无线接入Internet，用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证，就有可能造成服务盗用的问题，造成各种不可接受的损失，及信息安全问题，为了较好地满足用户需求，通过用户隔离技术、IEEE802.1i、Radius的用户认证以及计费方式确保用户的安全。

5结束语

第5篇

【关键词】无线网络；信息安全；电脑技术；安全策略

【中图分类号】TN711.4

【文献标识码】A

【文章编号】1672-5158（2012）12-0007-01

1 引言

随着无线网络技术的出现，为用户提供了一种崭新的接入互联网的方式，使我们摆脱了网线的束缚，更使我们距离随时随地与任何人进行任何内容通信的人类通信终极梦想又进了一步。但是由于无线网络是采用公共的电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层和墙等物体，因此在一个无线网络接入点所在的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号，这样就可能包括一些恶意用户也能接收到该无线网络信号，因此数据安全成为了无线网络技术当下迫切要解决的问题。

2 无线网络的安全隐患

当前在规划和建设无线网络中现面临两大问题：

（1）网络劫持

网络劫持指的是网络黑客将自己的主机伪装成默认网关或者特定主机，使得所有试图进入网络或者连接到被网络黑客顶替的机器上的用户都会自动连接到伪装机器上。典型的无线网络劫持就是使用欺骗性AP。他们会通过构建一个信号强度好的AP，使得无线用户忽视通常的AP而连接到欺骗性AP上，这样网络黑客就会接收到来自其他合法用户的验证请求和信息后，就可以将自己伪装成为合法用户并进入目标网络。

（2）嗅探

这是一种针对计算机网络通信的电子窃听。通过使用这种工具，网络黑客能够察看到无线网络的所有通信。要想使无线网络不被该工具发现，必须关闭用于网络识别的广播以及任何未经授权用户访问资格。然而关闭广播意味着无线网络不能被正常用户端发现，因此要使用户免受该工具攻击的唯一方法就是尽可能使用加密。

3 无线网络主要信息安全技术

（1）扩频技术

该技术是军方为了使用无线通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中，是一直扰和越权接收的。扩频技术是将非常低的能量在一系列的频率范围中发送。通常我们使用直序扩频技术和跳频扩频技术来实现传输。一些无线网络产品在ISM波段的2.4～2.4835GHz范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号是被发送到成为随机序列排列的每一个通道上。我们知道无线电波每秒钟变换频率次数是很多的，现将无线信号按顺序发送到每一个通道上，并且在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每—通道上停留的时问和跳频图案，系统外的劫持站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担心网络上的数据被其他人截获。

（2）用户验证

即采用密码控制，在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。由于无线网络支持使用笔记本或其它移动设备的漫游用户，所以精确的密码策略可以增加一个安全级别，这样就可以确保该无线网络只被授权人使用。

（3）数据加密

对数据的安全要求极高的系统，例如金融或军队的网络，需要一些特别的安全措施，这就要用到数据加密的技术。借助于硬件或软件，在数据包被发送之前给予加密，那么只有拥有正确密钥的工作站才能解密并读出数据。

如果要求整体的安全性，数据加密将是最好的解决办法。这种方法通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中，由制造商提供，另外我们还可以选择低价格的第三方产品。

（4）WEP加密配置

WEP加密配置是确保经过授权的无线网络用户不被窃听的验证算法，是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。

（5）防止入侵者访问网络资源

这是用一个验证算法来实现的。在这种算法中，适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下，入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

4 改进方法及措施

（1）正确放置网络的接入点设备

在网络配置中，要确保无线接入点放置在防火墙范围之外。

（2）利用MAC阻止黑客攻击

利用基于MAC地址的访问控制表，确保只有经过注册的用户端才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其它低安全性的网络。

（3）WEP协议的重要性

WEP是802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应该立即更改WEP密钥的缺省值。

最理想的方式是WEP的密钥能够在用户登录后进行动态改变。这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护，为网络增加另外一层防范。

（4）简化网络安全管理：集成无线和有线网络安全策略

无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都需要采用集成化的单一用户ID和密码。

第6篇

一、当前校园无线网络所面临的主要安全威胁

就校园无线网络来说，有线网络中存在的安全威胁在无线网络中基本都存在，且部分安全威胁是有线网络中所没有的，这说明校园无线网络安全问题更为复杂，这就对校园无线网络安全问题的解决提出了挑战，需要我们对校园无线网络安全威胁予以重新认识。一般来说，对于校园无线网络安全威胁的防范，主要集中两个方面，它们分别是访问控制和数据加密，访问控制能从源头杜绝网络安全威胁，数据加密则能进一步保证威胁侵入校园无线网络数据的安全性。就当前校园无线网络所面临安全威胁，概括起来主要有以下几种：

（一）信息重放威胁

信息重放是使用最多的校园无线网络侵入、攻击方式，即通过使用一种利用非法AP（接入点）的方式进行中间人欺骗攻击。如果单纯的使用VPN方式予以阻止、保护，无法彻底、有效避免这种攻击行为，因为其是借助于“中间人”的作用，可以同时对授权客户端和AP双方同时进行欺骗，达到窃取、篡改网络信息的目的。

（二）WEP破解威胁

基于WEP的无线网络安全认证是当前使用最多的网络安全认证协议，而黑客等攻击者完全可以集中捕获AP覆盖范围内的大量甚至所有数据包，再利用当前网上流行的非法软件对加密数据包中的WEP密钥破译分析，获得有效的WEP密钥，而成为AP合法用户。一般来说，校园无线网络速度较快，而发送数据的主机又较多情况下，完全可以在一小时以内破解无线网络的WEP访问密钥。

（三）网络窃听威胁

无线信号是校园无线网络的主要传输媒介，这就使得对校园无线网络资源的访问控制不可能像有线媒介中使用物理网络访问限制的方式来保证网络的安全；即入侵者可以在任意一个校园无线网络覆盖的地方尝试进行网络连接，使用各种方式、方法对校园无线网络进行攻击、窃听而不易被发现，是当前校园无线网络所面临的最大威胁之一。

（四）MAC地址欺骗威胁

基于MAC地址的访问控制，是当前校园无线网络主要接入控制方式之一，也是有效的网络安全威胁防范技术之一；但是也很容易被入侵者利用，即入侵者先通过专门的网络窃听工具来获取校园无线网络的数据包，通过对大量的数据包中MAC地址的分析，获得关于AP允许通信的静态地址池，再利用MAC地址伪装的方式以“合法身份”接入网络。

（五）拒绝服务威胁

拒绝服务威胁是校园无线网络遭受的最多威胁之一，因为无线网络攻击者在开始时都会对校园无线AP进行所谓的泛洪攻击，导致校园无线AP拒绝服务，网线陷入瘫痪状态，然后攻击会采用进一步的攻击方式。另外，攻击者还可能使用移动模式只对校园无事网络中的某个节点进行攻击，使该节点不停的进行数据包转发，导致网络反应变慢，该类攻击也称为“消耗攻击”。

二、无线网络安全技术及其在校园无线网络中的应用

（一）基于802.1x认证的师生端口访问控制技术

802.1x认证技术集合了802.1xRADIUS认证和MAC地址两种认证方式的优点，可以有效防止校园无线网络中非授权用户的接入、访问。其主要由申请者、认证者和认证服务器三者组成，申请者向认证服务器表明身份，认证服务器对申请者开展认证，认证通过对密钥加密后发给申请者后可正常使用网络。

（二）校园无线网络临时用户的安全访问认证

对于校园无线网的临时用户来说，一般来说他们对校园无线网的安全的要求都不高，只需访问互联网、进行常规网络操作即可；对于这一部分临时用户的认证，建议使用DHCP+强制Portal认证方式。

（三）使用加强版的WEP加密技术

针对WEP的密钥破解虽然存在，但是通过改进完全可以有效避免上述情况的发生。由于传统WEP密钥多采用16位、32位加密方式，很容易被当前网络上流行的非法软件在15到30分钟内破译，为了有效增加破译难度、降低被破译的可能性，建议采用支持128位的WEP密钥认证方式，并且建议不要使用设备自带的WEP密钥，大大降低非授权用户侵入校园无线网络的可能。

（四）变更服务集标识符、禁用SSID广播

从校园无线路网络安全角度来说，SSID被认为是一个级别最低的安全认证方式，只相当于一个简单的标志、口令，用户可以使用它建立与接入点之间的连接，从而接入网络；建议及时变更SSID，同时禁用SSID广播功能。

（五）使用专业的无线网络入侵检测系统

第7篇

关键词：校园无线网络；安全措施；802.11x认证；Portal认证

随着信息技术的发展和教育信息化进程的推进，在校园网内全面实现信息电子化交换、信息资源共享和信数字化管理成为必然，校园无线网络覆盖作为有线网络的补充受到越来越多重视。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点．但是无线网络技术本身存在一定的局限性。由于无线介质上信号传播的开放性为校园无线局域网的设计与实现带来许多区别于有线网的特殊问题，如无线局域网络由于无法在传输介质中保护其信号不被他人截获，从而很容易遭受攻击．因此校园无线局域网的安全性是网络设计、管理和应用中必须解决的重要问题，对无线网络应进行更为完备的安全设计，使其能够有效的为教学、科研工作服务。

一、针对无线网络的安全威胁

校园无线局域网是在校园内，利用无线通信技术链接计算机设备，构成相互通信和资源共享的局域网体系。无线局域网的本质特点就是以空间电磁波的方式取代电缆的方式链接计算机与网络，增强了网络构建和终端移动的灵活性。与传统有线网络相比较而言，SWLAN的优点很明显：可移动性、安装简单、高灵活性和扩展能力，且不受地理空间的限制。也正是由于它的这些特点，使得SWLAN难以采用隔离等物理手段来满足网络的安全要求，因此保护SWLAN安全的难度要远大于保护有线网络。

学校IT技术人员在规划和建设校园无线网络中面临两大问题：首先，市面上的标准与安全解决方案太多，到底选什么好，无所适从；第二，如何避免网络遭到入侵或攻击？在有线网络阶段，技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线，但是，“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点，使得我们原先耗资部署的有线网络防范设备轻易地就被绕过，成为形同虚设的“马奇诺防线”。

针对无线网络的主要安全威胁有如下一些：

1、数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光，引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息，然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。

2、截取和篡改传输数据。如果攻击者能够连接到内部网络，则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。

二、常见的无线网络安全措施

综合上述针对无线网络的各种安全威胁，我们不难发现，把好“接入关”是我们保障校园无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防，常见的安全措施有以下各种。

1、MAC地址过滤

MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段，因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址（MAC地址）下发到各个AP中，或者直接存储在无线控制器中，或者在AP交换机端进行设置。

2、隐藏SSID

SSID（ServiceSetIdentifier，服务标识符）是用来区分不同的网络，其作用类似于有线网络中的VLAN，计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了，SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成，无线终端接入无线网路时必须提供有效的SIID，只有匹配的SSID才可接入。一般来说，无线AP会广播SSID，这样，接入终端可以通过扫描获知附近存在哪些可用的无线网络，例如WINDOWSXP自带扫描功能，可以将能联系到的所有无线网络的SSID罗列出来。因此，出于安全考虑，可以设置AP不广播SSID，并将SSID的名字构造成一个不容易猜解的长字符串。这样，由于SSID被隐藏起来了，接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络，即便他知道有一个无线网络存在，但猜不出SSID全名也是无法接入到这个网络中去的。

三、无线网络安全措施的选择

应用的方便性与安全性之间永远是一对矛盾。安全性越高，则一定是以丧失方便性为代价的。但是在实际的校园无线网络的应用中，我们不能不考虑应用的方便性。因此，我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。

在接入无线AP时采用WAP加密模式，又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID，因此不隐藏SSID，以提高接入的方便性。这样在接入时只要第一次需要输入接入密码，以后就可以不用输入接入密码了。

使用强制Portal+802．1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。

此外，如果在资金可以保证的前提下，在无线网络中使用无线网络入侵检测设备进行主动防御，也是进一步加强无线网络安全性的有效手段。

第8篇

关键词：无线网络；攻击；防范

中图分类号：TP393 文献标识码：A文章编号：1009-3044（2014）08-1695-03

无线网络以其无可替代的便捷性、移动性和灵活性给人们带来更好的服务体验，使得近几年无线网络的普及率越来越高。然而由于无线网络的特点，其安全面临巨大挑战。

1 无线网络安全

在有线网络广泛应用的同时，组网灵活、方便快捷的无线网络技术也在逐渐普及，越来越多的事实证明，无线网络更容易受到入侵，它的可移动性、不需要使用线缆等特点，使得攻击范围也越来越大。而且，无线网络发展迅速，最初的安全性考虑并不是很周密，使得无线网络的安全一度变得很脆弱，面临很大的安全隐患。

1.1 无线网络不同于有线网络的特性

1.1.1 传输方式不同

目前，无线局域网主要使用无线电波和红外线作为传输媒体。基于无线电波的无线局域网主要有扩展频谱和窄带调制两种方式。基于红外线的传输技术最近几年有了很大发展，最大优点是不受无线电干扰，且红外线的使用不受国家无线电管理委员会的限制，缺点是对非透明物体的透过性极差，传输距离受限。

1.1.2 网络拓扑不同

无线网络的拓扑结构包括无中心或对等式（Peer to Peer）拓扑和有中心（HUB-Based）拓扑。在对等式拓扑结构中，网中任意两个节点均可直接通信，网络抗毁性好。在中心拓扑结构中，由一个节点控制其它所有节点对网络的访问，抗毁性差。无论是哪种拓扑，在无线网络中，每一个节点都可以自由地移动，在任何时间都可能离开或接入一个网络，移动性良好。

1.1.3 带宽资源不同

无线网路的带宽非常有限，流行的802.11b为11Mbps ，802.11g为54Mbps，802.11n为300Mbps，而有线网络一般是百兆、千兆，甚至是万兆。

1.2 无线网络的安全性

无线网络的信号是开放的，只要在信号范围内，任何无线客户端设备都可以连接。正是由于无线网络这种传输方式的特性，决定了无线网络必然面临一定的风险。攻击者不仅能够对在咖啡店、机场等公共场所的无线网络进行攻击，对家庭用或者企业自建的无线网络也成为黑客攻击的目标。越来越多的人在使用无线网络时遭受到了攻击，隐私泄露、钱财损失、企业泄密等等安全问题层出不穷。因此，必须要从信息保密、密钥安全、身份认证、访问控制等方面考虑无线网络的安全性。主要有以下几种技术。

1.2.1 服务集标识符（SSID）匹配

无线AP通过设置不同的SSID可以实现不同用户的接入，因此，对不同的用户，通过SSID可以区分其对数据的访问。

1.2.2 有线等效加密（WEP）

有线等效加密协议用于在两台无线设备间对数据传输进行加密，从而防止被入侵，是由802.11标准定义的。WEP采用RC4算法，使用40位或128位密钥，工作于链路层。WEP还提供认证功能。WEP加密算法实际上是利用RC4流密码算法作为伪随机数产生器，将由初始矢量IV和WEP密钥组合而成的种子生成WEP密钥流（图1中的KSA和PRGA部分），再由该密钥流与WEP帧数据负载进行异或运算来完成加密运算。

1.2.3 虚拟专用网络（VPN）

VPN（virtual private networking）技术，简单的说，就是使用公共网络来架设专用网络，主要采用隧道和加密算法来保障通过公用网络访问的安全。

1.2.4 Wi-Fi保护访问（WPA和WPA2）

WPA（wi-fi protected access）技术是为了解决WEP技术中存在的漏洞而产生的一项无线局域网安全技术，WPA2是WPA的升级版本，安全性得到提高。另外WPA增加了IEEE 802.1x的RADIUS机制，可为无线客户端和无线AP提供认证。

1.3 无线网络面临的安全隐患

1.3.1 无线网络隐蔽性差

无线网络非常容易被发现，别有用心者通过带有无线网卡的设备，就能接入到无线网络对其中的终端发起攻击。

1.3.2 无线网络没有稳定的固定节点

在有线网络中有固定的路由器、防火墙和入侵检测设备，安全管理较容易。而在无线网络中没有固定的线路连接和固定的路由器，因此需要为每个节点都配置安全措施。

1.3.3 容易被窃听

在有线网络中，广播可以被限制在一定范围内，能够避免数据外泄，而无线网络的广播所有节点都可以收到，很容易被窃听。无线数据报侦听流程如图2。

1.3.4 无线网络WEP加密密钥易被破解

由于WEP加密方式设计上存在缺陷，WEP标准允许IV重复使用（平均大约每5小时重复一次），可以使攻击者用同样的密文重复进行分析，这一特性会使得攻击WEP变得更加容易。而且WEP标准不提供自动修改密钥的方法，因此只能手动对访问点（AP）及其工作站重新设置密钥，而在实际情况中，没人会去修改密钥，容易被破解。

2 无线网络攻击技术

2.1 无线网络密码破解

针对无线网络的攻击，首先要发现目标网络，也就是无线定位。根据对比无线信号的强弱，也能够为搜寻无线AP的位置提供有力依据。无线网卡使用的天线主要有全向天线和定向天线，常用的笔记本电脑内置的基本是全向天线，无论电脑的朝向如何，全向天线的信号强度都保持不变。使用信号强度工具就可测量天线信号的强弱，能够发现无线AP范围，实现无线网络的发现。

其次是目标踩点，也就是信息收集。通过对发现的无线网络进行扫描，可确认目标网络所在AP覆盖区、MAC地址、SSID、channel、网络带宽、无线AP提供商、是否加密以及使用何种加密方式等。

得知目标的有关信息后，就可以进行破解了。先使用工具检测出所存在的所有无线网卡型号，选定网卡后对此网卡的数据帧IV（初始化向量）进行捕获，而后进行暴力破解。目前网上流行的无线密码破解工具很多，有的只需要10分钟就可以破解出密码，攻击者就能对无线网络为所欲为。

2.2 无线网络MITM中间人攻击

一旦攻入了无线网络内部，获取无线AP的IP和MAC，就可以发动MITM中间人攻击来进行数据的拦截、伪造和破坏。这样，通过攻击者就能够得到网络中资料和信息，造成信息泄露。同时，攻击者可以实施DNS欺骗、DHCP欺骗等攻击。

2.3 无线网络会话劫持攻击

攻击者可以利用无线AP或路由器的漏洞实施会话劫持，攻击者获得无线AP的管理权，能够对无线AP进行任意配置。

2.4 无线欺骗攻击

攻击者先在某一目标网络或公共地点设置一个伪装的无线AP，且该无线AP的连接不需要使用密码，攻击者利用人们爱占便宜的心理诱骗受害者连接，此时，攻击者便可等着收取受害者键入的密码，或将病毒木马植入受害者计算机中。

2.5 无线拒绝服务攻击

无线拒绝服务攻击目前有三种，一是向无线AP发送大量垃圾数据包占用带宽，二是使用功率强大的发射器发射无线电信号进行攻击，三是定期向无线AP发送取消连接的数据包，使已经连接的用户掉线。

3 无线网络防范技术

无线网络的便捷性越来越得到人们的青睐，但是，其面临的安全不容忽视，可以通过以下途径改善无线网络遭受入侵的威胁，提高安全性。

3.1 提高无线网络使用者的安全意识

再强的安全措施，如果使用者没有很好的安全意识，一样会容易遭到入侵。提高无线网络使用者的安全意识，才能从根本上杜绝入侵。只有具备了安全意识，无线网络才真正的安全，安全的意识就是第一道防线，否则，各种安全措施就是无用功。

3.2 使用更为安全的加密机制

WEP加密协议在设计之时没有充分考虑安全问题，先天就存在安全缺陷，攻击者能够通过截获数据而破解出密码。目前，大多数无线设备都支持WPA2加密技术，这种加密算法支持长密钥，可以使用复杂的长密码来增加被破解的难度，而且，使用字典的暴力破解方式几乎是不可能完成的任务，其安全性得到极大的提高。

3.3 使用防火墙隔离无线网络

可以使用防火墙将无线网络隔离成单独的一个网络区域，对防火墙的访问控制进行严格设置，外部主机均为不信任，对其访问进行严格的管控，可极大地提高无线网络的安全性。

3.4 变更SSID及禁止SSID广播

服务集标识符（SSID）是无线AP使用的识别字符串，也是一个无线局域网的名称，只有设置相同的SSID才能接入。一般情况下，无线AP都会允许SSID广播，这样，攻击者很容易通过SSID搜索到无线网络。所以，最好修改SSID名称，起一个自己容易记住，又不容易被攻击者猜到的名称，或者，禁止SSID广播功能，使得攻击者搜索不到，可以有效的提高无线网络的安全性。

3.5 进行MAC地址过滤

目前的无线AP都具有MAC地址过滤功能，可以在无线AP的设置中启用该功能，并将信任的设备的MAC地址添加进去，形成一个MAC地址控制列表。在有设备连接该无线AP时，首先会检测该设备MAC地址是否在列表中，如果不在，访问将被拒绝，通过此种方式，也可以有效提高无线网络的安全性。

3.6 关闭DHCP功能

无线AP一般默认采用DHCP技术给新连接的设备分配IP地址。如果无线网络规模较小，可以关闭DHCP功能，使用静态的IP地址，可以防止其它设备随意接入而带来的问题。

3.7 VPN技术（虚拟专用网络）

VPN是目前最安全的解决方案，其自身通过加密和隧道能够阻止黑客截取信息。VPN不属于802.11标准，但用户可以使用VPN提高无线网络的安全。

4 结束语

综上所述，无线网络因具有可在一定范围内的自由移动性、造价低廉以及组网快捷等特点而大受人们的青睐，但其在安全方面的漏洞带来了很大的网络安全隐患。随着人们对无线网络研究的深入，安全技术将会有更令人瞩目的发展。

参考文献：

[1] 钟章队.无线局域网[M].北京：科学出版社，2004.

[2] 黄煜.无线网络安全及解决方案探讨[J].科技经济市场，2009（9）.

[3] 杨光.无线网络安全性的研究和探讨[J].机械管理开发，2011（3）.

第9篇

关键词：无线网络；安全；RSN；802.1X

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）29-6527-03

1 概述

二十一世纪以来，中国的计算机网络获得了迅猛的发展。网络带宽不断增大，覆盖范围越来越广，网络的传输数据能力不断增强，接入用户数量也呈几何级数暴增。计算机宽带技术创新所带来的宽带产品线越来越宽，性能也有本质的提高。国产网络产品产业链初步完善，由计算机网络承载的各种网络应用如电子商务、云计算、物联网、电子政务、信息平台、网络游戏等产业蓬勃发展。与此同时，随着我国教育行业信息化的不断发展，计算机网络在校园内也逐渐普及。IEEE802.11系列标准的制定与持续完善，为无线网络发展奠定了基础。作为21世纪计算机网络的发展方向之一，无线网络获得强大的发展动力。无线网络不仅在公共场合，如机场、商场超市、城市广场、酒店等实现了网络信号的覆盖和接入，而且在越来越多的校园里，也实现了大面积的无线接入服务。计算机无线网络为学生们创造时尚前沿、个性飞扬、魅力四射的学习生活；为教师们提供了方便、快捷的网络接入服务。师生们摆脱了网络电缆的束缚，能随时随地、随心所欲在校园里上网。无线网络极大地拓展了校园师生们的自由度。

然而，世上的事物总是很像一把双刃剑，计算机无线网络在给师生们带来便利的同时，也带来了安全威胁。无线网络使用无线电磁波作为信息的载体，网络信号非常容易被窃听和干扰，这是由电磁波的传播特性所决定的。专家们指出，无线网络所面临的安全威胁将远超有线网络。对于无线网络安全性的担忧，已经成为无线网络发展的最大阻力。

2 无线网络面临的主要安全威胁

无线网络使用电磁波作为信息的载体，在电磁波覆盖的范围内，任何接入的用户，都有可能对无线网络进行窃听和干扰。据RSA数据安全有限公司（即EMC安全产品分公司，是全球著名的网络安全服务供应商）在英国的调查发现，百分之六十七的无线网络没有任何安全措施。另有相当一部分无线网络，虽然实施了一些安全防范措施，但是在面对网络攻击的时候，显得极其脆弱。

无线网络（WAN）所面临的安全威胁主要有以下几类。

2.1 无线链路容易侵入

无线网络遵守的802.11标准规定了两种无线链路的身份认证，开放式系统身份认证与共享密钥身份认证。开放式系统身份认证允许任何用户接入到无线网络中，不提供对传输数据的保护，所有用户都可以通过该认证。共享密钥身份认证需要接入方和AP之间配置同享的密钥，接入者使用密钥将一段随机字符串加密并发送给AP，接受AP的认证。两种身份认证方式，前者可以说毫无安全性可言；后者由于共享密钥的保密性差及容易被破解的原因，其安全性能也不足以信赖。

任何稍具一些黑客知识人，只需要很少的装备：一块无线网卡、一个黑客破解密码软件，就可以侵入到网络中，甚至获取一定权限，窃取敏感信息。

2.2 DHCP无赖攻击

大部分的无线网络的STA（Station，接入站点）IP地址参数是自动获取的，由合法的DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）服务器提供。入侵者如果启用了非法DHCP服务，无线用户将有可能接受非法DHCP服务器提供的IP地址参数。这样，由于使用了错误的IP地址参数，合法用户将无法登陆无线网络，甚至于将敏感数据发送给入侵者，其结果将是灾难性的。DHCP无赖攻击的影响非常坏。这种攻击未必总是由入侵者发起，不明白网络原理或者粗心大意用户，可能在无意中发起了这种攻击。

2.3 MAC地址伪装

STA（Station，接入站点）向AP（Access Point，接入点）发起链路认证，所使用的凭据就是自身的MAC地址。无线网络可以使用MAC地址过滤的方式，将未经认证的MAC地址过滤掉，从而使得那些未经审查的STA无法接入到无线网络中。但是，STA的MAC地址可以使用一些第三方软件进行修改。入侵者如果能够获取到合法MAC地址信息，那么就可以据此更改自己的MAC地址，从而通过MAC地址的审查，获取对无线网络的访问权限。MAC地址伪装使得那些希望仅仅通过设置MAC地址过滤来防范网络攻击的努力变得毫无价值。

2.4 拒绝服务攻击（DOS）

攻击者恶意占用大量的无线网络资源，导致合法用户无法访问网络，这就是拒绝服务攻击。由于无线网络传输介质（即无线电磁波）的特性，无线网络非常容易受到拒绝服务攻击。攻击者使用与合法用户相同频率的电磁波，会使得合法用户的无线信号受到干扰，无法正常访问网络。攻击者也可以频繁地向AP发送非法身份验证请求，使得AP忙于处理这些请求，而不能迅速处理正常数据包。攻击者甚至可以直接使用专用电磁干扰天线，来发动对无线网络的攻击。拒绝服务攻击会使用户感觉网络很慢，甚至于无法上网。

2.5 拓扑变化导致管理困难

对不同的网络用户群体应用相应的网络访问权限，这是网络管理的基本理念。有线网络环境下，使用VLAN（虚拟局域网）和ACL（网络访问控制列表）很容易实现这个任务。无线网络环境下，由于客户端的移动特性，网络拓扑变化时时刻刻发生，网络的规划和管理难度增大。对不同的网络用户应用不同的网络访问权限，不再是一件容易做到的事情。在这种情况下，为了不牺牲安全性能，管理者要花费大量的时间和精力来维护无线网络。同时，在地理位置发生改变时需要重复认证，这也为用户带来不便。

3 主要应对策略

科技在进步，解决问题的办法永远比问题多。无线网络虽然面临诸多安全威胁，但是对于网络安全方面的人员来讲，可供选择的安全措施也很丰富。

3.1 应用RSN安全措施

作为第一代网络安全措施，802.11关于安全方面的策略是非常脆弱的。802.11的WEP密码的共享特征与RC4加密算法的缺陷（容易被破解），使得人们普遍质疑无线网络的安全性。所幸的是，IEEE（）为了弥补802.11的安全功能，制定了802.11i。作为新一代的网络安全标准，802.11i受到各大无线网络设备生厂商的追捧。802.11i标准的密码非常不容易破解，并且对无线数据提供加密和完整性检验。这种新的安全体系应用RSN（Robust Secure Network，强健安全网络）安全技术，RSN提供AES高级加密算法和802.1X认证，打造了一个更加安全的无线网络，保证只有那些得到许可的无线用户才能够接入到我们的无线网络中。

3.2 应用动态密码

最安全的密钥是什么，答案是不断更新的密钥。在无线网络中，应用密钥管理协议，每过几分钟便更新数据加密密钥。即使是一流的黑客，对于这样的无线网络，恐怕也很难破解加密密码。即使破解了当时的加密密码，这个密码在接下来的几分钟内又失去了效用（密码更新）。

3.3 实现MAC地址过滤

通过将授权用户的MAC（Media Access Controller，物理地址）地址加入到无线设备的白名单，WIDS（Wireless Intrusion Detection System，无线入侵检测系统）可以通过检测无线信号的数据帧，将那些MAC地址没有列入白名单的用户数据丢弃掉，从而保证只有授权用户才能接入无线网络。入侵者可以使用软件伪装为合法的MAC地址，从而接入到网络中。这意味着MAC地址过滤不是一项毫无缺陷的技术。但是，作为无线网络安全立体防御体系的重要一环，MAC地址过滤减去了大量的无线网络安全威胁，可以免去无线网络的大部分麻烦。所以，MAC地址过滤依然有着重要的应用价值。

3.4 应用802.1X安全认证

为合法的用户提供灵活而又安全的认证，阻挡非法用户访问网络。这正是无线网络管理者所要做的事情。早期无线网络只提供基于共享密钥的WEP认证，这种认证方式被认为是不安全的，极易被攻击者破解。作为WEP的替代产品，WPA与之后号称WPA2的RSN支持基于端口的网络存取标准802.1X，它使用一种“客户端——服务器”模式，实现了对合法用户的安全认证，阻挡未认证用户对网络的访问。802.1X不再使用备受诟病的所有用户共享的认证密码，取而代之的是更为复杂和严密的认证体系（其初始加密密码是实时协商生成的）。面对设计精良的802.1X认证的无线网络，攻击者会觉得无处下手。

3.5 实施无线用户的安全隔离

无线网络使得用户可以自由地接入到网络中，但对于无线用户的管理却非易事。换言之，无线用户在拥有自由度的同时，也存在着相当大的不确定性。为了维护无线用户的隐私，同时避免无线用户之间提供一些“伪服务”，将无线用户进行安全隔离，便显得相当必要。使用安全隔离技术，同处于无线信号覆盖下的用户们之间直接的不安全的互相访问，将会被禁止。管理者可以在无线设备上轻松实现这一功能。

3.6 无线漫游降低管理难度，提高无线网络灵活性

由于无线网络终端的流动性，管理者难以对无线网络用户进行分组分层管理；同时，从一个区域到达另一个区域，无线用户们需要一次又一次地重新登录一个新的AP，这太麻烦了。无线漫游技术可以让管理方做到，无论终端用户处于哪个AP的覆盖范围下，依然可以处于同一个网络分组；无线漫游还可以让用户只要登录一次，以后就不要再次手工登录无线网络（无线漫游会帮你后台自动登录无线网络）。无线漫游是一项相当好用的技术，对于追求灵活性和安全性的校园网络环境来说更是如此。

4 总结

无线网络的发展呈现出蓬勃的生命力，网络安全与否将决定着无线网络是否还能更好的发展下去。对于校园来说，无线网络安全问题一样迫在眉睫，急需解决。构建一个立体的安全体系，应用最为先进和安全的安全措施，如RSN安全加密、802.1X身份认证、动态密码和MAC地址过滤等措施可以有效地保证我们的无线网络处于安全状态；而应用安全隔离与无线漫游可以让我们更方便地享受无线网络畅通无阻。

参考文献：

[1] 中国通信企业协会.2012～2013中国通信业发展分析报告[M].北京：人民邮电出版社，2013.

[2] 美国业余无线电协会.业余无线电射频干扰解决全方案[M].北京：人民邮电出版社，2013.

第10篇

关键词：高校图书馆 无线安全 体系建设 问题与现象 措施与策略

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2013）11-0194-01

1 关于高校图书馆的无线体系及无线安全建设

（1）什么是高校图书馆的无线体系。近几年来，我国的网络技术与计算机技术不断发展，诞生许多新的产物，高校图书馆无线体系就是其中之一，高校图书馆利用互联网上现有的图书资源，对其进行整合与共享，形成网络图书馆，充分利用网上图书资源，方便高校学生的读书需求，利用无线技术，更能将这种网络优势发挥出来。但是互联网作为公共平台，会存在信息丢失盗窃的现象，所以现如今对高校图书馆的主要任务是建设安全性的高校图书馆无线体系，保护图书馆与学生的信息与网络安全。

（2）我国无线网络技术的发展现状分析。随着我国改革开发程度的不断加深，网络信息技术已经全面融入到人们的生活中了，并且在网络技术进步的同时，无线技术的开发运用随之进步，嵌入式的无线软件与硬件在网络用户中广泛传播，通过编程将无线路由器与网络运营商的官方软件应用于个人计算机中，大大方便了网络用户的使用，解放了网络用户受网线的拘束，是网络发展的一个里程碑。

2 分析高校图书馆无线无线安全中存在的问题与现象

（1）互联网本身存在着威胁无线体系的安全隐患。互联网本身作为一个用户交流体验平台，是开放式的交流系统，本身的安全防护系统很薄弱，对现有的互联网威胁很难起到根本性的作用。互联网的网络协议在设计时的目的只是为了进行更方便的用户体验，而对互联网本身的安全方面考虑不全面。随着网络技术的快速发展，网络协议的漏洞也随之显现出来，互联网的用户急剧增加，导致对互联网用户本身的身份难以确定，导致互联网用户的信息丢失，严重的还造成了经济损失，无线技术依附于互联网技术，互联网技术的开放性与危险性导致无线技术存在着安全隐患。

（2）高校图书馆本身的无线安全防护技术不全面。现如今在国际上存在各种各样的无线安全防护技术与手段，我国也在积极的引进这类技术。我国高校图书馆无线安全技术不全面，缺少在无线连接方面的安全防护技术，在查杀高校图书馆无线系统本身的漏洞技术方面也存在着不足。由于近几年来互联网学生的急剧增多，导致高校图书馆的无线系统安全技术不足，影响了正常的学生体验，对高校图书馆的系统破坏很大。

（3）对图书馆内部的安全管理制度不健全。在我国高校图书馆的无线安全防护体系中，对技术的重视超过对安全意识的重视，对高校图书馆无线安全进行制度管理的重要性缺乏相应的理解和重视，导致了高校图书馆无线安全管理制度不够完善，从而造成在图书馆管理上出现漏洞，引发一系列的系统安全问题。在我国高校图书馆中出现制度方面的问题有两点，一是无线安全管理制度不完善，我国高校图书馆无线安全管理制度远远不够健全，安全防护技术缺乏严格相应的安全防护管理制度与之相配套。二是对图书馆下属员工缺少安全意识的培训机构，导致图书馆工作人员对无线安全意识淡泊，缺乏应有的无线网络安全知识。

3 探究高校图书馆无线安全体系建设的策略

（1）要强化高校图书馆无线安全防护意识。现如今我国的高校图书馆无线网络安全防护手段多偏向于技术方面，而忽略了对图书馆管理人员与广大学生学生的安全防护意识的强化。强化安全意识一直以来都是安全建设的重要手段与步骤，高校图书馆为广大学生提供了广泛的图书体验。强大有力的无线安全防护技术系统固然有着重要的作用，但是也需要管理人员敏锐的安全意识来配合使用，所以高校图书馆应该对下属的工作管理人员进行定期的无线网络安全意识培训工作，提高工作管理人员的安全意识，更好的利用高校图书馆的无线网络安全体系进行防范危险，为广大学生更好的使用图书馆做出贡献。

（2）对高校图书馆无线网络安全制度规程的完善与优化。稳定的无线网络安全体系必须要有健全的管理制度作为保证，由专门的管理机构进行安全管理，对图书馆下属员工制定有效的管理制度，在执行过程中严格遵守规章制度，这样才能使高校图书馆的无线安全体系建设工作可靠性大大增强。高校图书馆应该设立专门的技术部门负责图书馆内部的无线安全管理与维护，并建立安全意识培训班，对图书馆管理人员和学生读者进行安全意识的培训和强化工作，与此同时图书馆的安全技术人员也应不断更新自身无线安全技术的使用，使得无线安全技术达到与国际同步的水平，健全安全管理制度有利于对图书馆管理人员与学生形成制度上的约束，推动无线网络安全管理建设。

4 结语

在高校图书馆的建设中引入无线网络技术，是高校图书馆建设的一个里程碑，对于学生用户来说，无线技术解放了网线的拘束，让图书馆无处不在。而对与学校来说，高校图书馆的无线网络安全管理问题是一项难题，需要全面健全图书馆无线网络安全制度，保证制度对于图书馆的管理优化，因此在高校图书馆的无线网络建设过程中，需要不断进行探索，根据图书馆自身情况进行改革。

参考文献

[1]周华生.高校图书馆无线安全隐患及对策[J].江西图书馆学刊，2005年03期.

[2]刘芳.高校图书馆在高校素质教育中的地位和作用[J].科技情报开发与经济，2006年02期.

第11篇

关键词：无线局域网络；网络攻击； 安全策略

引言：

随着信息社会的到来，作为基础设施的无线局域网络部署越来越广泛，许多工作团队和生活群体对无线局域网络的需求不断提升，使得人们对无线局域网络的依赖性也越强。但由于计算机信息的共享及无线网络特有的开放性，在无线局域网络发展的同时，伴之而来的信息安全威胁在不断增加，无线局域网络的安全性也正引起人们的重视。

一、威胁无线局域网的因素

无线网络与传统的有线接入的方法不同,无线局域网采用公共的电磁波作为传输介质,而电磁波能够穿越天花板、玻璃、楼层、墙壁等物体,因此在一个无线接入点(无线AP)的服务区域中,任何一个无线工作站都可以接收到此接入点的电磁波信号。这样,非授权的工作站就可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击。因此, 威胁无线局域网的主要因素有：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

二、WLAN安全技术手段

WLAN安全技术种类繁多，先做一下简单介绍：

1、认证技术

使用802.11协议认证、PPP接入认证、802.1x EAP认证、WEB认证等技术，防止非法设备/用户接入。

IEEE802.11协议认证：在STA使用802.11协议与AP建立无线连接之前，AP使用Open System或者Pre-Shared Key认证机制来验证STA身份的合法性。

PPP接入认证：在用户使用PPPoE/PPPoA/PPP方式接入AC（Access Controllor）/BAS（Broadband Access Server）时，通过PPP-PAP/CHAP/EAP认证方式，采用用户名+口令的模式来验证用户身份的合法性。

2、访问控制

使用ESSID、MAC控制，防止非法无线设备入侵。ESSID：802.11协议可设置STA-AP的ESSID限制非法设备接入。当STA建立和AP的连接时，AP将检验与STA的ESSID的一致性。只有ESSID匹配，AP才接受STA的访问；否则，拒绝访问。

MAC控制：检验S T A的M A C地址，只有注册在AP上的STA才可以接入W L A N网络。

3、数据加密

使用WEP、TKIP、CCMP、MPPE、IPSEC、WTLS、SSL、TLS等加密协议来保密数据、可靠地传输数据，可有效地防止信息泄漏、假冒攻击、篡改数据包，并能够进行完整性校验，实现不可否认性。

WEP协议：802.11协议的WEP采用RC4算法，使用静态的Pre-Shared Key以及Seed一起加密空中接口的802.11无线数据包。

TKIP协议：TKIP采用RC4算法，采用动态密钥更新技术，加密数据包。采用MICHAEL算法进行完整性校验。

CCMP协议：CCMP采用AES对称块式加密算法来加密数据，采用Counter Mode的CBC-MAC进行完整性校验。

WPA协议：W P A是WFA规范的阶段性安全解决方案，产生于802.11i协议未标准化之前。主要借鉴802.11i草案的阶段性成果，综合WEP、TKIP和802.1x EAP-TLS认证技术形成WPA I；综合CCMP和802.1x EAP-TLS认证技术形成WPAII。

WTLS协议：WTLS是WPA论坛规范的无线传输层安全规范，主要用于W A P协议之中，可借用于W L A N。通过协商密钥、加密算法以及使用证书建立安全的通讯通道。

MPPE协议：MPPE技术采用RC4，并根据用户和AC之间预先共享的主密钥来衍生Session Key，从而对当前拨号连接的会话数据包进行加密操作，并且每一个会话的Session Key均不同。MPPE可用于PPP/PPPoE/PPPoA等用户拨号协议中，用以防止信息泄漏。

第12篇

【关键词】无线网络；校园网；网络协议

随着网络信息化的发展，笔记本电脑、智能手机等移动设备的普及，仅仅局限于固定地点上网已经不能满足人们的需求，越来越多可移动的网络访问在广场、礼堂、大型教室、会议室、体育场馆等场所被需求。

1无线网络主要技术优势

1.1易扩充，覆盖范围广

无线网络组网灵活，在并发用户数允许范围内，增加新用户无需添加新的设施设备，只需简单的配置即可，若超出允许范围，只需增加新的接入点。同有线网络相比，省去了重新布线、配置复杂等工作。有线网络受传输介质的限制，数据的传输仅限于相邻两个节点之间，而无线网络只要是在AP节点覆盖半径范围内，任何无线终端设备均可通过该AP节点连接入网，而且随着AP节点的扩充可以实现大面积范围内的无线信号覆盖。

1.2布线简单，成本低

无线网络接入网络只需对联入有线网的AP节点进行布线，无线AP之间的连接无须布线，相比有线网络每个节点都需要布线、配备网络端口，无线网络建设成本大大低于有线网络。

1.3网络终端可移动性强

在传统的有线网络环境下，网络终端只能通过网络接入端口才能访问网络。网络终端受接入端口位置的限制，物理位置基本固定，可移动差。无线网络由于使用无线信号传输介质，使得网络终端只要在无线信号范围内，都可以随时随地的接入网络。

2校园无线网络设计分析

2.1主要协议与设备

常用的无线网络协议标准主要有美国IEEE（电机电子工程师协会）所制定的802.11标准（包括802.11a、802.11b、802.11g、802.11n和802.11ac等标准），蓝牙（Bluetooth）标准以及HomeRF（家庭网络）标准等。其中，IEEE802.11n是目前广泛使用的无线局域网标准，它使无线局域网的传输速率由802.11a及802.11g提供的54Mbps、108Mbps提高到300Mbps。此外，IEEE802.11ac，俗称5GWiFi，采用5GHz频带进行通信，理论上能够提供最少1Gbps带宽并且向下兼容。无线校园网主要有终端设备、无线控制器（AccessController）和无线接入点（AccessPoint）等设备。其中，终端设备是指带有无线网卡的设备，如笔记本电脑、智能手机等；无线控制器简称AC，用于对所有无线AP进行管理和控制的设备，并能通过与认证服务器的通信来进行信息安全认证；无线接入点简称AP，是执行桥接操作的设备，在终端设备和有线之间对无线帧和有线帧进行相互转换。AP又有瘦AP（FitAP)和胖AP(FatAP)之分，瘦AP是指只具有射频和通信功能的AP，需要在AC的控制下才能工作；胖AP典型的例子是无线路由器，除了无线接入功能，一般还具有WAN、LAN接口，支持DHCP服务器、DNS等功能。

2.2校园无线网设计方案

2.2.1设计原则校园无线覆盖设计应遵循室内信号范围最大化原则，在室内进行全面覆盖的前提下，对校园部分区域进行可选的覆盖，同时确保无线网络稳定性、兼容性和可扩展性。2.2.2物理结构设计考虑到网络的安全性和经济性，应采用非独立型的无线网络结构选型（无线借用原有的有线网络）。网络架构建议采用瘦AP+AC模式。其中，AP通过POE交换机提供数据连接和供电，连接到校园内网的每个楼的汇聚交换机，AP的IP地址为静态IP地址。AC通过创建数据/控制隧道对AP进行数据传输、管理控制。2.2.3覆盖方案WLAN无线信号覆盖方式分为室内覆盖和室外覆盖两种。校园WLAN覆盖方式的选择应依据区域的具体情况，教学楼、办公楼和学员宿舍等室内区域，建议以室内覆盖为主，其他区域以室外覆盖为辅的方式进行覆盖。从建筑布局来看，对于办公楼、学员宿舍等双面房间的建筑，应考虑采用在走廊放置吸顶式AP室内覆盖方式，采用多个无线AP整合交叉覆盖形成大面积覆盖区域，无线信号通过房间的门窗传输到室内，实现无线信号的覆盖。对于学校体育场等室外空旷的区域，可根据区域的形状、面积等因素，设计建立多个无线覆盖点，采用蜂窝式覆盖方式，无线信号的覆盖范围尽量远离教室。

2.3安全防范

校园无线网络安全技术主要有服务集标识（SSID)、接入认证、无线加密技术和无线网卡物理地址（MAC）过滤等。SSID技术将无线网络划分为具有不同访问权限的子网，每个子网需要独立的身份验证，只有具有合法身份的用户才能对所属子网的资源进行访问。接入认证是指对接入到网络的身份进行确认，通常包括IEEE802.1X认证技术、PPPOE认证、WEB认证和RADIUS认证服务等，可依据实际安全需求应用相应的认证方法。比如由于用户的流动性和周边环境的复杂性，采用长期不变的静态口令不能满足安全要求。一次性口令技术（One-TimePassword，简称OTP）克服了静态口令的缺陷，它规定每次用户进行网络访问认证时使用不同的口令并限制同一口令的生存周期，用户在客户端输入只有自己知道的通行密语，通过内置算法生成一个口令，该口令通过网络送到验证服务器，服务器校验此口令，若认证成功，则客户被授权访问网络，同时该口令被废弃。无线接入认证技术只是使没有授权的用户无法接入无线网络，但是黑客仍然可以通过专业的设备对无线信号截获。如果数据没有加密，黑客很容易获取信息的内容。因此，IEEE制定了三种无线网络安全协议：WEP、TKIP、CCMP。这些协议是在数据发送之前对明文数据经过加密钥匙和加密函数转换，使数据变成无意义的密文，接收方在接收到密文后经过解密函数、解密钥匙还原成明文。无线网卡物理地址过滤是将合法的网络终端的网卡地址进行登记，只有已登记MAC地址的网络终端才能接入网络。

2.4校园无线网络安全管理

网络信息安全除了有效的接入技术和加密算法，合理选择安全管理策略同样可以加强网络的安全可靠性。因此，在确保所有AP设备的集中管理前提下还应实现：（1）对非法无线入侵、射频干扰、非法AP能够精确定位和隔离；（2）配备冗余的无线控制器保证在突况下的安全无线接入；（3）设立隔离机制，使来访用户与校园网用户隔离；（4）对非法的账号盗用能够及时发现和禁止。

3结束语

无线网络已成为网络发展的必然趋势，校园无线网络对网络管理和应用有了更高的要求，更多的问题和技术需要去研究和探讨。

参考文献

[1]荣曼生,郭兆宏.校园无线网络的构建及其在教学中的应用[J].中国电化教育,2005(10):101-104.

[2]肖品辉.校园无线网络的构建与安全分析[J].电脑知识与技术,2014,22:5204-5205,5208.