前言:中文期刊网精心挑选了无线网络安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
无线网络安全论文范文1
Wi-Fi技术是上世纪末由Wi-Fi联盟提出来的技术标准,属于在办公室和家庭中使用的短距离无线技术,主要应用于局域网中。除个别版本使用5GHz附近频段外,Wi-Fi技术主要使用2.4GHz或5GHz附近频段。当前应用的802.1la/b/g/n协议版本。Wi-Fi技术的定义其实只涉及数据链路层的MAC子层和物理层,上层协议和802.3的定义都遵守802.2。对于数据安全性,Wi-Fi技术中更多使用的是WEP或WPA加密方法来实现对网络访问的验证和数据的加密,而这两种加密方式都存在一定的安全风险,尤其是WEP协议。在WEP协议中,使用的RC4算法本身就有缺陷,同时协议没有密钥管理机制,缺少对数据包的身份认证。针对WEP的各种漏洞缺陷已经出现多种解密的工具,这些工具都能在拦截到足够多的数据信息的前提下,很快解析出WEP的用户密钥,信息量越大,解密速度越快。虽然WPA和WPA2的加密技术有很大的提高,但是仍有一定的安全风险。在WPA协议的4次握手包中包含和密码有联系的信息,可以依靠这个信息来进行字典攻击。在这里成功破解出信息,关键依赖良好的字典和运算速度。
2工业无线网络安全隐患
虽然Wi-Fi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点,但其本身在安全性方面存在缺陷,故采用Wi-Fi技术的工业无线网络也面临着不少安全威胁。
2.1容易被入侵
工业无线网络的无线信号是广播的状态,即在特定范围内的用户都可以发现Wi-Fi信号的存在,任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式,如WEP、WPA和WPA2协议等,但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络,一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码,一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外,还有可能利用社会工程学的入侵手段进行接入,如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。
2.2有限带宽容易被恶意攻击占用和地址欺骗
入侵者在接入Wi-Fi网络后发送大量的ping流量,或者向无线AP发送大量的服务请求,无线AP的消息均由入侵者接收,而真正的移动节点却被拒绝服务,严重的可能会造成网络瘫痪;入侵者同时发送广播流量,就会同时阻塞多个AP;攻击者在与无线网络相同的无线信道内发送信号,而被攻击的网络就会通过CSMA/CA机制进行自动使用,这样同样会影响无线网络的传输;恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见,入侵者恶意堵塞网络,极有可能是要故意破坏生产环境,造成一定的损失。在工业生产中可用性应该是第一位的,对工业网络安全来说,保证网络的可用性也是第一位的。所以这种威胁对工业无线网络来说威胁是比较大的。
2.3数据在传输的过程中很容易被截取
通过监听无线通信,入侵者可从中还原出一些敏感信息;当工业无线网络传输数据被截取后,入侵者甚至可能伪造某些指令给工业生产造成损失。
2.4伪造AP入侵者
可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中,无法正常工作。
2.5高级入侵
只要是入侵者采用合法或者非法手段接入无线城区,他就可以以此作为入侵其它系统的跳板,采用黑客手段攻击其它系统或网络,而他的行踪则很难被追寻;或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤,攻击者不但能够获取无线账户及密码,遭遇到更深层面的欺诈等。
3结束语
无线网络安全论文范文2
关键词:无线网络;数据安全;思考
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3结语
无线网络安全论文范文3
【摘要】网络金融安全问题是特定历史发展阶段的问题,是应对金融全球化负面影响的产物。网上银行的安全既是用户最关心的问题,也是舆论长期关注的焦点。文章首先探讨网络金融概念特点,继而分析我国网络金融安全现状,最后提出改善我国网络金融安全几点对策。
【关键词】网络金融;风险;电子货币;对策 网络金融安全
是一项系统工程,涉及硬件、软件、防火墙、网络监控、身份认证、通信加密、灾难恢复、安全扫描等多个安全要素。而网络金融安全问题关乎我国的经济安全甚至国家安全。因此,必须站在更高的层面审视网络金融安全问题。
一、网络金融概念特点
(一)概念
网络金融,又称电子金融(e-finance),是一种通过个人电脑、通信终端或其他智能设备,借助国际互联网和通信技术无境域限制的联结客户与金融机构,以实现及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融包括在线银行、网上保险、网上证券、网上期货、网上支付、网上结算等金融业务。
网络金融安全,是指金融网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务畅通快捷。网络金融安全包括系统安全和信息安全两个部分,系统安全主要指网络设备的硬件、操作系统以及应用软件的安全,信息安全主要指各种信息的存储、传输和访问的安全。
(二)特点
世界第一家网络银行——美国安全第一网络银行(SFNB)自1995年10月18日开业以来,国际金融界掀起了一股网络银行浪潮。这一金融创新正彻底颠覆了金融业和金融市场的业态,银行由实体化向虚拟化发展,金融服务的时空界限不再明显。与传统金融相比,网络金融具有以下一些特点:
无界性。网络金融的无界性主要是指金融活动无时空局限,打破传统的金融服务时间、境域、空间、方式等限制。网络经营企业只要开通网络金融业务,世界各地的上网用户皆可能在任一时间、任一地点、以任一方式成为其客户,并以商家愿意接受的任一电子货币支付,交易地域模糊性给计量造成困难。
3、低成本。虚拟形态的网络银行交易成本远小于物理形态的金融机构经营成本,而且服务效率得到提高、服务质量没有降低。这是网络金融得以出现并迅速发展的最主要原因。
4、加密性。传统金融下交易过程依赖于物理设置和现场办公,而网络金融下交易过程采取技术上加密算法或认证系统的变更或认证来实现。
5、信用性。电子货币和网络金融的发展,使得一些电子商务公司等非金融机构涉足短期电子商业信贷、中介支付、投资理财顾问等金融或准金融业务,而金融交易信息传输保存的安全性、客户个人信息、交易信息和财务信息的保护日益受到公众的关注。无疑,人的信用价值以及游戏规则的固化是网络金融快速发展基石。
二、网络金融安全现状
网络金融安全伴随着网上交易的整个过程。主要有两个方面:一是来自金融机构内部,网络系统自身的安全以及自身的管理水平和内控能力。如由于软硬件配置不匹配、系统设计不合理、运行不稳定等形成的安全隐患;二是来自于金融机构外部,取决于选择的开发商、供应商、咨询或评估公司的水平,以及其他各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
有关调查表明,目前国内80%的网站都存在安全隐患,其中有20%网站的安全问题还十分严重。安全问题已日益成为困扰网上金融交易的最大问题,影响我国网上金融业务的健康发展。网络金融活动中的安全隐患,主要表现在:
网络系统漏洞。互联网本身固有的技术体制存在缺陷。基于远程通信的便利,互联网并未考虑安全性问题,因而基于信任主机之间的通信而设计的TCP/IP协议缺乏安全机制,建立在互联网络为基础的金融网络系统存在安全漏洞,防毒软件功能不强,造成网络运行不稳定,被病毒入侵、被黑客攻击,轻者数据毁坏丢失,重者烧毁硬件。目前全球的黑
客攻击事件,40%是针对金融系统的,我国则高达60%以上。
3、交易系统缺陷。按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都未达到这一要求,其自行开发、应用的网上交易系统大多未经过权威部门的检测认证,存在安全控制技术落后、安全防范措施不到位、抗攻击能力不强、响应滞后、访问授权混乱、客户地址及邮箱等资源保护不力等情况。出现系统虚假信息泛滥;账户密码被黑客破译,数据资料、交易指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障等等现象。
4、交易监管滞后。由于网络金融交易的不透明、虚拟性、开放性,增大了交易者之间身份确认、交易真实性验证、信用评价方面的信息不对称,决定了网上支付和结算系统全球化,提高了信用风险程度。目前,我国网络金融运作监管经验不足、手段不全、技术落后、分业网上监管职责界定不清、内控制度不健全、网上业务定期内部审计流于形式,出现了网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。
5、协同机制缺乏。各银行网络系统各自为政,各行间信息隔绝,缺乏沟通协作。有的商业银行将其银行网络系统拓扑结构、建设实施方案等作为绝密材料被保存,行业间数据资源共享是一道屏障,造成资源资金浪费,延误了整个金融业的发展。 6、应急预案缺失。除上述种种因素外,金融机构未对停电、暴力犯罪等人为因素以及地震等自然灾害等突发性不确定事件的发生制定切实可行的应急预案,在一定程度上影响着网络金融的运行安全。
三、网络金融安全对策
强化技术防范。网络金融安全防范中,技术防范是关键。金融企业应制定全面周密的软硬件装备升级换代方案,即时引进和应用符合国家安全标准具有较高安全系数的金融电子化软件平台和金融电子设备核心技术,保证计算机应用软件的不断升级,维护网络系统健康运行。要配备性能良好的内外网络防火墙、病毒防御与杀毒软件,定期升级,严格网络登录口(下转第235页)(上接第233页)令管理等。要采用数字证书等较高级别的网络加密技术,设置交易中的客户身份认证和交易密码。此外,要进一步加大投入,网络信息安全产品,研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等,提高金融装备国产化水平,夯实金融安全基础。
3、加紧人才培养。网络金融机构要培养一批既掌握计算机枝术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。从国家层面讲,要积极培养政治过硬、技术全面、业务精湛、作风扎实的金融执法队伍,提高金融执法人员素质,严厉惩治金融犯罪和违法、违规活动。从企业层面讲,要通过不间断的全员培训培养教育,让全体从业人员全面了解网络技术安全缺陷,充分认识潜在的网络安全隐患危害性,掌握必要的软件系统安全技术、数据信息安全技术、病毒防治技术等。要通过改善硬件设施和办公条件,提高从业人员素质,提高员工业务水平,尽可能减少操作失误带来的麻烦,保证网络金融企业的经济稳定运行和持续发展。
4、加强内部控制。网络金融机构要参照相关的法规条例,制定各项安全管理制度,包括业务操作规程、计算机网络、数据库、病毒防治、密钥等安全管理制度。要加强人员变动管理,及时注销、移交和变更原有的密钥等信息资料。要建立数据备份中心,实现数据可追溯性。
5、加强预警监控。掌控网络金融风险重在预警评估与防范。网络金融机构,要建立网络金融风险预警机制,专人监控业务运行,加工处理数据,研究数据指标,制定网络金融风险应急处理预案,发现指标逼近预警线,果断采取风险防范措施以应对。
6、加强监管合作。面对网络金融市场高度国际化,大部分金融交易依赖于电子网络,网络银行资金日趋庞大和资金流动速度加快,但由于网络技术发展存在先天性缺陷——技术漏洞,使得网络安全成为制约网络金融发展的最大障碍。我国金融管理机构有必要适时同外国金融监管当局开展广泛的国际合作,沟通信息,打击犯罪,规范业务合作的程序,交换网络监管措施,创造网络金融活动的准则。
[2]熊建宇.网络金融的特点及安全体系构建[J].科技信息,2010(31).
无线网络安全论文范文4
【论文摘要】:越来越多高校采用无线校园网络这一先进网络技术,其安全性问题是普遍高校比较关注的,着重对无线校园网络的安全性问题进行探索和研究。
随着无线技术的不断成熟和普及,无线网络在全球范围内的应用已经成为一种趋势。在我国,越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用,对学校的教学模式、教学理念及教学管理产生了深远的影响,也使学校教师、学生的学习、生活方式产生了积极的变化。 根据教育部的调查显示,目前我国15.1%的高校建有无线校园网,同时有36.2%的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划,有专家表示,无线校园是未来校园信息化的发展方向。
一、何谓无线局域网
无线局域网(Wireless Local Area Network,缩写为“WLAN”)是高速发展的现代无线通信技术在计算机网络中的应用,是计算机网络与无线通信技术相结合的产物。不像传统以太网那样,基于802.1标准的无线网络在空气中传播射频信号,在信号范围内的无线客户端都可以接受到数据,为通信的移动化、个人化和多媒体应用提供了实现的手段。
二、传统有线网络面临的问题
随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题:
(1)校内公共网络设施有限,而且使用频繁,人们为了上网不得不在这些地点之间奔波;
(2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;
(3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;
(4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。
三、无线网络的特点与优势
1、移动性强。无线网络摆脱了有线网络的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动,持续连接,实现移动办公。
2、带宽很宽,适合进行大量双向和多向多媒体信息传输。
在速度方面,802.11b的传输速度可提供可达11Mbps数据速率,而标准802.11g无线网速提升五倍,其数据传输率将达到54Mbps,充分满足校园网用户对网速的要求.
3、有较高的安全性和较强的灵活性
由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术,使得其高度安全可靠;无线网络组网灵活、增加和减少移动主机相当容易。
4、维护成本低,无线网络尽管在搭建时投入成本高些,但后期维护方便,维护成本比有线网络低50%左右。
四、无线网络存在的安全问题
在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面
1、 信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
2、WEP破解
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
3、网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
4、MAC地址欺骗
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
5、拒绝服务
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
五、无线网络的安全防范措施
为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。
1、 规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况,并反映在学校的网络拓扑图里。
2、 使用WEP,启用无线设备的安全能力。
保护无线网络安全的最基础手段是加密,通过简单的设置A P 和无线网卡等设备, 就可以启用W E P加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP 加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍, 有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP 功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP 自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID 更换为自定义的S S I D 。现在的A P 大部分都支持屏蔽SSID 广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
3、 变更SSID 及禁止SSID 广播。服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101 就是3Com 设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
4、 禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译用户的IP 地址、子网掩码及其它所需的TCP/IP 参数。无论黑客怎样利用公司的访问点,他仍需要弄清楚IP 地址。
5、 禁用或改动SNMP 设置。如果公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用S N M P 获得有关公司网络的重要信息。
6、 使用访问列表。为了进一步保护无线网络,应使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果公司实施的网络支持,就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP) ,定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。
参考文献:
[1]张锦.无线局域网IEEE802.11.现代图书情报技术
[2]张俊平.无线网络在校园建设网络中的应用.学术研究
无线网络安全论文范文5
关键词:高校校园网,无线局域网,无线基站AP
0引言
随着现代多媒体技术的发展,以及笔记本电脑、掌上型、膝上型电脑等便携式终端设备的广泛使用,学校师生对无线上网需求越来越高,希望利用移动式、便携式的上网设备实现数据通信、信息资源检索、远程教学、移动办公、移动会议、移动学习等活动,校园无线局域网为之提供了可能。因此,组建校园无线局域网能更有效的促进高校现代化教学。
1高校有线局域网现状及问题分析
近年来,信息技术的发展日新月异,正以不可抗拒的力量改变着人们的生产方式、生活方式,同时也正在影响并改变着学校的管理模式、教学模式乃至师生的学习方式,校园网(有线局域网)在教学、科研和管理上发挥了巨大的作用。但是,有线网络也存在一定的局限性:
(1)网络组建受布线的限制。在校园有线网络建设、运行和维护的实践过程中,由于众多高校的校园网大多是通过光纤、网线连接起来的“有线网”,有线网络在某些场合要受到布线的限制,例如:已装修好的住宅、图书馆、校园中具有历史意义怕受破坏的古迹及年久失修的历史建筑不适合钻孔布线,不便施工的报告厅、操场、展览会馆等。
(2)不方便移动办公。诸如很多学校只在部分区域接入有线网络,而无法顾及所有区域,有线网络的接入点比较固定,网中的各节点不可移动,而且接口数量也有限,布线、改线工程量大,线路容易损坏等等。因此,移动设备接入网络很不方便,移动办公受到很大限制。免费论文,高校校园网。
(3)难以满足日益变化发展的校园格局。现阶段高校有一个显著的特点就是建立分校区,校本部与分校区之间的网络传输媒介主要依赖铜缆或光缆构成有线局域网。当要把相离较远的节点连接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,因此,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。
2无线局域网概述
无线局域网是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。通俗地讲,无线局域网就是在不采用网线的情况下, 提供以太网互联功能。无线网络设备特点:
(1)无线网卡:无线局域网中无线网卡是操作系统与无线产品之间的接口,用来创建透明的网络连接,其作用与有线网卡类似。无线网卡按照其接口类型的不同,主要有三种:PCMCIA无线网卡(适用于笔记本电脑,支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机,支持热插拔),它们都用于短距离无线网络设备之间的通信。
(2)无线基站AP(Access Point):无线接入AP 是一个无线子网的基站,它在无线局域网和有线网络之间接收、缓冲、存储和传输数据,是支持一组无线用户入网的设备。免费论文,高校校园网。AP作为无线子网中的核心设备是必不可少的,同时也是WLAN 和LAN 之间的桥接设备,WLAN工作站也可漫游(Roaming)在不同的AP之间,无线访问接入AP通常通过以太网线连接到有线网络上,并通过天线与无线设备进行通信,其作用半径取决于天线的方向和增益(若不加外接天线, AP的覆盖范围理论上在视野所及之处约230m,但若在半开放性空间,或有间隔的区域,则约20~30m左右,由于微波是直线传播,所以微波都是小角度穿透几面墙体, 墙体将减弱信号, 如果墙体为钢筋混凝土,信号则会更弱。所以在实际情况下,尤其在室外还需要加上外接增益天线,使传输距离到达更远、信号更强)。
(3)无线路由器(Wireless Router):无线路由器是典型的网络层设备,是两个局域网之间传输数据包的中介系统,负责完成网络层中继或第三层中继任务。近年来,为了提高无线通信的能力和效率,不少无线路由设备整合了交换机和防火墙的功能。
(4)校园无线局域网可提供常规的Web服务、ftp服务、E-mail服务、拨号服务、服务、图书馆电子借阅等多种服务,还可以根据各高校特点,开通国际著名电子期刊浏览、移动办公系统、移动BBS讨论系统、移动答疑系统、移动新闻系统、移动教室管理系统、MIS等多种服务。学校应该进一步完善无线局域网软硬件的建设,以此来进一步推进数字化校园建设。
3校园无线网络终端配置
3.1无线接入器的配置
网络的物理连接就是一根网线接入AP作为信息的入口,在无线上网的计算机上安装好无线网卡,通过AP 和无线网卡之间的无线电信号接受信息,网络物理连接后就是具体参数的设置,也就是无线网络终端配置的关键。这主要涉及两个方面:
(1)首先要设置一台能配置AP参数的计算机,将一根网线一头接入AP ,而将另一头接入用于配置AP参数的计算机,同时还要保证这台计算机的IP地址和需要设置的AP在同一网段,以保证直接通信;
(2)进入Web 配置界面后会看到AP的运行状态、无线设置、TCP/IP设置、流量统计、软件升级、保存加载设置和修改密码等选项,因此只需要对TCP/IP的IP 地址、子网掩码、默认网关和DHCP客户端等参数进行设置,这些参数基本和有线网络的设置一样。若考虑到网络安全性,就要在无线设置中选择安全设置,使用WEP加密模式可以阻止无线网络所有非经授权的访问,AP经过这一序列设置后,就可把信号源的网线接入AP。
3.2无线网卡的配置
在安装无线网卡的计算机或笔记本电脑上安装好驱动程序后,就会出现和普通网卡一样的网络属性,如果其网络属性和有线网络状况下不一样,就可能是驱动程序安装不正确造成的,就要检查驱动程序是否正确,无线网卡的配置与当前网络的参数和AP的DHCP 配置有关,即当AP的DHCP 设为Disabled时,无线网卡的IP地址、子网掩码、默认网关和DNS都必须作相应设置。如AP设置为192.168.1.1,则无线网卡的IP 地址就为192.168.1.x(x为2-254 之间一个地址,但不能和网络中已经分配的地址重复),子网掩码就为255.255.255.0,默认网关就为192.168.1.1,DNS设置就为222.172.200.x(学校的DNS服务器)。
4校园无线局域网的构建
4.1无线校园网构建方法
一是阀值法。通过调整AP的阀值设置,控制AP接入覆盖范围,从而在相同覆盖面积条件下,通过增加AP数量,提高系统容量;
二是频率复用。学校人群主要由管理人员、教师、科研人员和大量学生构成,以上人群工作和学习主要分布在以下区域:教学楼、图书馆、办公楼、实验研究楼、学生宿舍、运动场以及校内各类休闲活动场地(草坪、广场等)。因此,在同一覆盖范围内的多个AP利用802.11g协议规定的13个可用信道中相互干扰最小信道进行设计,客户端无线网卡根据各AP信号强度,选择不同信道工作,从而提高系统容量。
4.2室内无线网
室内:指原先没有安装有线网络的教室、会议室、临时移动办公室等。
设备的选择:室内AP(WST-330)、全向天线、吸顶天线。免费论文,高校校园网。在室内部署WLAN的第一步是要确定AP的数量和位置,也就是要将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以有线网络为基础,无线覆盖为延伸的大面积服务区域,所有无线终端通过就近的AP接入网络,访问整个网络资源。免费论文,高校校园网。覆盖区的间隙会导致在这些区域内无法连通,技术人员可以通过地点调查来确定AP的位置和数量。地点调查可以权衡实际环境(如教室的面积等)和用户需求,考虑到教学环境对网络带宽、网络速度的要求, 这包括覆盖频率、信道使用和吞吐量需求等。多个AP通过线缆连接在有线网络上,使无线终端能够访问网络的各个部分。免费论文,高校校园网。
通常情况下,一个AP最多可以支持多达80台计算机的接入,数量为20~30台时工作站的工作状态最佳,AP的典型室内覆盖范围是30~100m,根据教室和会议厅的大小,可配置1个或多个无线接入器。针对不同区域无线校园网覆盖方案有所不同:
①教学楼主要为教室,是学生和教师主要活动场所。教室的结构是完整的整体空间,在每个教室根据面积和容纳人数设置一个或多个AP,从而使信号覆盖教室各角落。
②图书馆内多为宽敞、高大空间,适于无线局域网实现网络的覆盖,使用设备少,覆盖率高,可根据室内面积和估计容量布置AP。
③办公楼、实验研究楼和宿舍楼通常是在走廊放置若干AP,让无线信号覆盖各房间;也可通过室外无线覆盖法,在楼外架设AP和增益天线,透过窗户让网络覆盖各宿舍,相对而言通过室外构建网络成本较低,且可以兼顾宿舍周边地带无线上网需要。免费论文,高校校园网。室内拓扑结构如图1所示:
图1 室内WLAN拓扑结构
4.3室外无线网
室外:指校园操场及其他室外公共场所等。
设备的选择:高功率无线AP(WST-400)、无线全向天线、无线定向天线。全向天线:在所有水平方位上信号的发射和接收都相等。定向天线:在一个方向上发射和接收大部分的信号。室外考虑因素与教室、会议室不同,在校园区室外配置无线接入点要复杂一些,要把各自成一个局域网而又有一定距离的各栋楼房连接起来。在网络的每一端接入AP,并在距离远或信号弱的地方同时外接高增益天线,就可以实现有效距离内两个网段之间的互连。例如:在图书馆楼顶架设一个全向室外天线和一个室外定向天线。全向天线覆盖校园各教学楼和操场;在教学楼上架设定向天线,将信号传递给理学楼A;理学楼A上也要架设定向天线,将信号传递给理学楼B;在理学楼B上架设全向天线可以将无线信号覆盖草坪, 同时也可以将信号传递给理学楼C。其他实验楼、体教楼依此类推。具体操作时,要根据实际情况(如各栋楼之间的实际距离以及障碍物等)来考虑选择设备(如设备型号、是否要加用全向、定向天线, 以及增减设备数量等)。在楼房上架设无线网络设备还需加装避雷器、防潮箱等辅助设备,以防止无线网络设备的损坏。
针对校园湖、体育场以及各类休闲区域一般多为室外空旷地带,可使用室外型AP配合功率放大器和大功率天线,以取得大面积网络覆盖。由于目前802.11g无线局域网自身的局限性,建筑的布局和结构基本决定了每个AP的覆盖范围。因此,在进行无线网络规划时,必须先对每个建筑物进行详细的信号强度测试,同时根据在AP间无线覆盖缝隙最小的条件下,尽量扩大AP间距的设计原则定位每个AP的位置。室外网络拓扑结构如图2所示:
图2 室外网络拓扑结构
4.4校园无线局域网安全设计
在安全方面,由于无线局域网中数据是以广播的形式传播的,容易被非法用户截获,给无线局域网用户带来损失。因此,就必须使用无线加密功能,对传输的数据进行加密。在无线局域网安全设计上,WLAN 技术提供了与有线网络等价的标准——专用(WEP)安全体系结构,并提供了128位的加密密钥。Cisco1100或1240系列无线AP采用了基于IEEE802.11g标准的集中安全体系结构。这种新安全体系结构利用Cisco Secure Access Control Server 2000 EAP型RADIUS(远程授权拨号接入用户服务)服务器软件,提供与网络登录集成的集中用户认证,用户提供学校授权的用户名和密码后,客户机将通过AP与放置于网络中心的RADIUS服务器交互确认信息,RADIUS 服务器对客户机进行认证后,将密钥发送给AP,借助这种基于标准的集中管理体系结构,无线网络安全才能够得到保证,并且可以满足不同等级信息安全的要求。
5结束语
校园无线局域网具有灵活性、低成本、移动方便、易安装等特点,随着无线技术的快速发展,无线局域网在技术上已经日渐成熟,应用日趋广泛,无线网络虽然还不能完全脱离有线网络,但无线网络已经成功服务于某些高校,以它的高速传输能力和灵活性日益发挥重要的作用,但无线局域网也存在数据可靠性、安全性、网络传输距离有限等问题,大学校园应大力进行校园无线局域网技术研究和实用化工作,有效弥补校园有线网络的不足,应用无线局域网技术最大限度地扩展延伸校园有线网络。
参考文献
[1]黎连夜.网络综合布线系统与施工[J].机械工业出版社,2003(1):42-44.
[2]吕兴军.高校无线局域网的规划与设计[J].徐州工程学院学报,2007(12):10-12.
[3]贾青,刘乃安.无线局域网中AP互通性的研究[J].电力系统通信,2005(4):16-17.
[4]王友贵,张春梅.无线局域网技术在校园中的应用[J].安庆师范学院学报(自然科学版),2003(1):17-19.
[5]王传喜.无线局域网技术在校园网中的应用[J].中国教育网络,2006(3):63-64.
[6]王执毅.校园无线局域网的建设[J].理工科研,2007(1):24-36.
[7]荣曼生,郭兆宏.校园无线网络的构建及其在教学中的应用[J].中国电化教育,2005(10):56-69.
[8]汤金松,安宝生.无线网络在教育系统中应用分析[J].中国远程教育,2003(19):60-62.
[9]阮洁珊,沈芳阳,韩贵来,林志,周晓冬,黄永泰.无线局域网技术及其安全机制分析[J].计算机与现代化,2004(3):21-23.
无线网络安全论文范文6
【关键词】无线局域网;通信安全;安全措施
1.引言
近年来,无线局域网(WLAN)的市场、应用和服务快速发展,规模不断扩大,但是由于WLAN无线信号的开放性和IEEE 802.11协议自身固有的脆弱性,出现了大量针对WLAN的攻击手段,非法用户在能够接收到无线信号的任何地方都可以发起对WLAN的攻击,基于WLAN的安全漏洞进行网络攻击事件不断增多,导致WLAN的安全无法得到保障,禁止使用WLAN的企业和组织也在逐渐增多,WLAN的安全问题也正变得越来越突出。
2.无线局域网的安全机制
网络通信的目标是数据能在传输信道中安全可靠地到达目的主机,并只有目标用户能接收和理解。WLAN安全通信需求主要体现在身份验证机制、数据加密机制、信息完整性认证机制、密钥管理机制等方面。
(1)身份验证机制
为了防止未授权的无线用户在无线网络覆盖范围内非法登录,WLAN首先需要身份验证机制来限制非法连接。身份验证主要是实现无线用户终端与无线访问点(Access Point,AP)相互验证身份,只有当双方均成功通过验证后,无线用户终端才能连接网络。
(2)数据加密机制
为保证传输的数据只被合法用户接收和读取,应采用足够强度的加密算法对传输数据进行加密,合法用户接收数据后使用密钥解密才能读取正确的明文信息。网络攻击者既使截获了密文,但由于没有密钥也无法解密成明文,从而保证了信息的安全。
(3)信息完整性验证机制
WLAN的数据信息在传输过程中有可能丢失或被恶意修改后转发,为保证合法用户得到正确、完整的信息,因此需要对接收到的数据进行完整性及正确性的验证,即信息完整性验证。
(4)密钥管理机制
密钥是数据加密和解密的根本,需要合理的密钥管理机制来保证系统的安全。根据WLAN通信特点,应从密钥生成、分配、失效、更新等全过程合理设计,避免密钥重用并尽量减少网络开销。
3.无线局域网存在的安全隐患
尽管无线局域网是随着计算机网络技术和现代通信技术的发展而产生的新兴技术,但是其在应用中还是存在着一定的安全隐患,主要表现在以下几个方面:
(1)无线局域网传输介质比较脆弱。在过去的有线局域网中,一般采取的是无源集线器和铜线作为传输媒介,它们在安全上玩玩收到一定的安全设备或者安全人员的保护,很难遭受到攻击者的攻击,在数据传输上具有较强的安全性,而无线局域网所使用的传输媒介是空气,受大气等物理条件的干扰较大,同时也比较容易收到攻击者的攻击,如电磁干扰等等,使其数据传输安全性得不到保障。
(2)有线等效保密协议(WEP)并不能有效保护无线局域网加密传输的进行,其并不存在完整的全面的访问控制盒认证校验功能。可是,无线局域网都是在WEP的基础上建立起来的,如果WEP受到了严重影响甚至发生了破坏,那么无线局域网的安全性将无法得到保障。
(3)IPse。在安全上比较脆弱。IPseC是IETFIPse。工作组所设计的,在IPse-curitx的基础上发展起来的,其主要目标就是利用一定安全机制,为网络提供身份认证、访问控制、数据完整性和机密性等安全服务,以实现IP数据传播的可靠性和安全性。但是,IPSeC并不是专门为无线局域网所设计的,其将至对网络层及以上层次的协议提供保护,而对无线局域网中数据链路层却并不提供。
4.解决无线局域网通信安全问题的有效途径
(1)通过VPN实现无线网络通信安全
自从对网络安全概念有了一定了解以来,人们一直都将VPN作为无线安全的一种解决方式。在这种保护方式中,将无线网络当作Internet一样对待。在VPN方案中,所有的无线通信都被封在了防火墙的后面。每一个用户都对应一个VPN用户,使用VPN连接无线网络。这种安全方式阻止了外来设备进入无线网络。但这种方式也并不是万无一失。合法进入网络时需要用户启动并获得一个IP地址。一旦每个用户都有了一个IP地址,用户就可以开始网络通信了。非法进入用户的过程是差不多的,只是不能通过认证进入网络中。由于攻击者也有一个给定的IP地址,所以就没有什么办法来阻止它和同一个防火墙内的用户进行通信了。通过这种通信,攻击者也可以侵入一个合法用户,并借此进入网络中。
(2)通过IEEE802.1x协议实现无线网络安全
IEEE802.1x最初是用来规范有线网络安全接口,但后来发现对于无线网络更为合适。IEEE802.1x协议属于MAC层的安全协议,该协议只允许被授权用户等级上的安全操作。通过IEEE802.1x协议,当一个设备想要接入某个中心点的时候,则该中心点设备就要求请求设备提供一组证书,接入用户所提供的数字证书将被中心设备提交给服务器进行认证。这台服务器被称为远程拨号用户认证服务器(RADIUS),该服务器通常是被用来实现对拨号用户进行认证的。整个过程被包含在IEEE802.1x的标准扩展认证协议EAP中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP是IEEE802.1x最主要的安全功能。
(3)通过WAP协议实现无线网络安全
从本质来讲,WEP加密方式本身并没有问题,问题出在密钥的传递过程中,密钥本身容易被截获。为了解决这个问题,WPA作为目前事实上的行业标准,改变了传统密钥的传递方式。WPA利用TKIP协议来传递密钥,在密钥管理上采用了类似于RSA的公钥/私钥的非行分类描述。
1)设备物理安全风险分析。设备的物理安全是整个网络系统安全的前提,物理安全的风险主要有:
①雷击等环境事故造成设备的硬件损伤。
②断电、电压不稳等原因造成设备非正常重启,造成断网。
③硬件设备老化、器件故障造成系统崩溃或各种网络传输异常现象。
2)网络基本功能安全风险分析。
网络的基本功能就是网络设备最基本的二层转发、三层转发及其相关的协议的安全运转。二层转发相关协议一般包括ARP、DHCP、STP、Dot1x等。三层转发的相关协议一般包括路由协议、组播路由协议等。
(4)网络应用功能安全风险分析
网络搭建好后会在上面运行很多应用,比如Web服务、FTP服务、SMTP服务等。针对这些服务器有多种网络攻击,比如Dos攻击。同时,网络上充斥这各种病毒,一个PC染毒就会迅速的传染到整个网络中,病毒传播将大量占用网络带宽,同时对PC造成极大威胁。占用PC资源,窃取个人资料和各种重要密码,甚至对硬件造成破坏。当前网络中P2P应用越来越多,BT、电驴等等工具被大量使用,这些应用虽然不像病毒一样对网络进行恶意侵害,但其大量消耗共享网络带宽,也使很多正常的网络应用受到影响。
(5)网络安全联动的需求
网络本身是动态的,所以网络的安全程度也是动态变化的。各种安全事件如果完全让网管员去处理,那无疑是一个巨大的工作量,而且这样很可能由于反应不及时,使网络安全威胁最终造成严重恶果。如果能让网管员制定一些策略原则,相关网络设备之间在此原则下进行自动联动,快速的处理发现的安全威胁,这样将更加保障网络的安全运行。
5.结束语
综上所述,随着通信技术和互联网技术的发展,无线局域网也得到了蓬勃发展和广泛应用。但是在无线局域网快速发展的同时,其还存在的一定的安全问题。因此必须加强无线局域网安全机制的建立,提升其身份验证技术、数据加密技术、信息完整性验证技术和密钥管理技术。促使无线局域网能安全稳定可靠的发展下去,使数据传输环境和谐可靠。总之,加强无线局域网通信安全机制的建设已经迫在眉睫,无线局域网安全机制的建设也就等于现代社会互联网社区的安全秩序建设。
参考文献
[1]兰昆,周安民,岳亮.无线局域网的通信安全研究[J].信息安全与通信保密,2005(2).
[2]褚丽莉.无线局域网安全分析[J].通信技术,2009,42 (07):34-36.
[3]张双斌.浅谈无线局域网通信安全及其防范对策[J].计算机安全,2008(08):82-85.
[4]鲜永菊.入侵检测[M].西安:西安电子科技大学出版社,2009.
[5]石志国,薛为民,尹浩.计算机网络安全教程(修订本)[M].北京:清华大学出版社,北京交通大学出版社,2007.
[6]刘远生,辛一.计算机网络安全(第二版)[M].北京:清华大学出版社,2009.
[7]王军号.基于IEEE 802.11标准的无线局域网安全策略研究[J].贵州大学学报:自然科学版,2009,26(6):88-90.
[8]张军.无线局域网信息安全问题探析[J].重庆科技学院学报:社会科学版,2009,11(3):119-121.
[9]吴越,曹秀英,胡爱群.无线局域网安全技术研究[J].电信科学,2012(0).
[10]黄炜.探讨无线局域网安全性[J].计算机时代,201l(ll).
