基于校园无线网络安全技术的研究.docVIP

基于校园无线网络安全技术的研究 摘要：无线网络作为一种新型的网络资源正在日益普及，尤其是在现代校园中的应用更是大势所需，但是无线网络的安全性成为其在普及应用中的一大难题。本文经过深入分析无线网络的安全隐患，提出了相应的安全技术防范措施。 关键词：无线网络；防范措施；校园网络 随着信息技术的飞速发展，近年来无线网络已经成为一种较为普及的网络访问方式，并且在一些领域已经占据了主流的地位。特别是在高校中传统有线网络已经不能满足师生对移动网络的要求，无线网络作为有线网络的补充手段，被更多的师生所认同和接受。众多师生开始在无线网络中开展各种应用业务，教学、科研等，这表明无线网络有者传统网络不能比拟的优势，但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。因此，对无线网络安全技术的研究就具有特别重要的意义。 1、WLAN的安全隐患 1.1 非法用户侵入 由于无线局域网具有公开、易获取的特性，便于开放式访问，所以非法用户可以未经授权而擅自使用网络资源，后果是不仅占用了宝贵的无线信道资源，增加了带宽成本，而且还降低了合法用户的服务质量。 1.2 网络监听 由于无线局域网具有开放访问的特点，入侵者无需将窃听或分析设备物理地接人被窃听的网络，就可以乘机在无线信号覆盖范围之内，进行窃听、恶意修改并转发数据。 1.3 无线加密协议（WEP）破解 互联网上已经普遍存在的一些非法程序，能够通过收集足够的WEP弱密钥加密的包，并进行分析以恢复WEP密钥。最快可以在两个小时内攻破WEP密钥。 1.4 地址欺骗和会话拦截 非法用户通过网络窃听，获取网络中合法站点的MAc地址，然后通过ARP欺骗，利用这些合法的MAC地址进行欺骗攻击。同时还可以通过截获会话帧从而进一步进入网络获取更多信息。 1.5 拒绝服务 是最为严重的攻击方式，一般有两种情况，一种就是攻击者对AP进行泛洪式的攻击，使AP拒绝服务。另外一种是对某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，也就是通常称的能源消耗攻击。 2、WLAN的安全技术 2.1 服务集标识符（SSID） 通过对多个无线接入点AP（Access Point）设置不同的SSID，并要求无线工作站出示正确的SSID才能访问API这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。 2.2 物理地址过滤（MAC） 由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 2.3 连线对等保密（WEP） WEP主要通过加密在中心HUB和访问点（Access Point）进出的数据包完成对数据的保护，在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了_40位（有时也称为64位）和128位长度的密钥机制，40位的钥匙在今天很容易被破解，目前为了提高安全性，建议采用128位加密钥匙。 2.4 Wi-Fi保护接入（WPA） WPA（Wi-Fi Protected Access）是继承了WEP基本原理而又解决了WEP缺点的—种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于Rc4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 2.5 端口访问控制技术（802.1x） 802.1x基于端口访问控制的接入管理协议标准，在网络设备的物理层和MAC层对接入设备进行认证和控制，当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用