淺談無(wú)線局域網(wǎng)安全解決方案-

1、淺談無(wú)線局域網(wǎng)安全解決方案【摘要】在無(wú)線通信技術(shù)的不斷發(fā)展的新時(shí)代,無(wú)線局域網(wǎng)已經(jīng)變成計(jì)算機(jī)互聯(lián)網(wǎng)行業(yè)的一個(gè)熱點(diǎn)話題。但是,無(wú)線局域網(wǎng)的安全性不夠強(qiáng)的缺點(diǎn),卻對(duì)它的進(jìn)一步發(fā)展產(chǎn)生了一定的阻礙,始終影響著它的發(fā)展。在無(wú)線局域網(wǎng)逐步得到廣泛的應(yīng)用的過(guò)程中,對(duì)其安全性也提出了更高的要求。無(wú)線局域網(wǎng)突破了傳統(tǒng)的有線網(wǎng)絡(luò)的限制,但是,也存在著諸多的安全問題,因此,必須增強(qiáng)無(wú)線局域網(wǎng)安全防范意識(shí),并且積極探索無(wú)線局域網(wǎng)安全解決方案,從而切實(shí)保證無(wú)線局域網(wǎng)業(yè)務(wù)的順利開展。本文結(jié)合現(xiàn)階段無(wú)線局域網(wǎng)的發(fā)展形勢(shì),重點(diǎn)闡述了無(wú)線局域網(wǎng)安全解決方案?！娟P(guān)鍵詞】無(wú)線局域網(wǎng);安全;解決方案【 abstract 】 in

2、the new era,the wireless communication technology is developing rapidly. the wireless local area network has become computer internet industry of a hot topic. however,the wireless local area network safety is not strong shortcomings,but for its further development has produced certain side effect,al

3、ways affect it development. in the wireless local area network gradually be widely used in the process,to its security also put forward higher request. the wireless local area network break through the traditional cable network the limit,but there are also many securityproblems,therefore,must streng

4、then the wireless local area network safety awareness,and actively explore the wireless local area network security solution,thus to ensure the smooth development of the wireless local area network business. this paper present the wireless local area network development situation,this paper focuses

5、the security solutions of the wireless local area network.【 keywords 】 wireless local area network; security; solutions1 引言無(wú)線局域網(wǎng)是一種能夠靈活地傳輸數(shù)據(jù)的網(wǎng)絡(luò),它通過(guò)無(wú)線射頻(radio frequency,rf技術(shù)的利用來(lái)穿過(guò)空間進(jìn)行數(shù)據(jù)的收發(fā),存在著許多優(yōu)點(diǎn),比如:安裝簡(jiǎn)單、網(wǎng)絡(luò)規(guī)劃和調(diào)整方便、故障定位快捷、可擴(kuò)展性強(qiáng)等。在現(xiàn)階段,大部分政府機(jī)關(guān)和企事業(yè)單位局域網(wǎng)的主體是有線局域網(wǎng)。隨著數(shù)字化、信息化的逐步推進(jìn),很多政府機(jī)關(guān)和企事業(yè)單位都開始大力建設(shè)無(wú)線局域網(wǎng)。無(wú)

6、線局域網(wǎng)的快速發(fā)展對(duì)政府機(jī)關(guān)和企事業(yè)單位的管理理念的更新和辦公自動(dòng)化都帶來(lái)了非常有利的影響。但是,在政府機(jī)關(guān)和企事業(yè)單位無(wú)線局域網(wǎng)不斷普及之后,無(wú)線局域網(wǎng)本身所固有的問題逐步凸顯出來(lái),產(chǎn)生了巨大的安全隱患,這不利于更好的利用無(wú)線局域網(wǎng)。2 無(wú)線局域網(wǎng)安全解決方案2.1 控制數(shù)據(jù)傳輸介質(zhì)事實(shí)上,控制數(shù)據(jù)傳輸介質(zhì)就能夠?qū)τ陔姶判盘?hào)的外泄起到抑制和防止的作用,對(duì)于訪問點(diǎn)要進(jìn)行科學(xué)合理的設(shè)計(jì)。另外,天線主要是用于避免信號(hào)外泄的,要將其安裝在一個(gè)相對(duì)來(lái)說(shuō)比較封閉的場(chǎng)所,最好是能夠?qū)⑵浒惭b在覆蓋通信區(qū)域的中心,才可以避免信號(hào)擴(kuò)散到覆蓋范圍以外的區(qū)域。與此同時(shí),也能夠調(diào)低信號(hào)的強(qiáng)度來(lái)對(duì)于其輻射的區(qū)域進(jìn)行有效

7、的控制,并且可以利用電磁屏蔽和干擾等方法。2.2 加強(qiáng)訪問控制機(jī)制服務(wù)集標(biāo)識(shí)符(service set identifier,ssid是一個(gè)非常簡(jiǎn)單的口令,如果將無(wú)線訪問點(diǎn)(access point,ap定義成向外廣播它的ssid 號(hào),那么,無(wú)線局域網(wǎng)的安全性就不能夠得到保障。應(yīng)該對(duì)于不相同的無(wú)線接入點(diǎn)設(shè)置不相同的ssid 號(hào),同時(shí),要求只有無(wú)線工作站出示正確的ssid 號(hào),才可以訪問無(wú)線訪問點(diǎn)。通過(guò)這種方式,就可以對(duì)于不同使用者的訪問進(jìn)行有效的限制,從而增強(qiáng)訪問無(wú)線局域網(wǎng)的安全性。2.3 對(duì)無(wú)線局域網(wǎng)中的所有計(jì)算機(jī)分配靜態(tài)ip地址并且和mac 地址進(jìn)行綁定一般來(lái)說(shuō),無(wú)線路由器或ap 在進(jìn)行i

8、p 地址的分配的過(guò)程中,默認(rèn)使用dhcp(動(dòng)態(tài)主機(jī)配置協(xié)議,dynamic host configuration protocol來(lái)進(jìn)行ip地址的分配,這對(duì)無(wú)線局域網(wǎng)而言是存在著巨大的安全隱患的,一旦非法使用者搜索到無(wú)線局域網(wǎng),他們就能非常方便地通過(guò)dhcp來(lái)獲取一個(gè)合法的ip 地址,從而能夠侵入到無(wú)線局域網(wǎng)中。所以,必須將dhcp 服務(wù)關(guān)閉,并對(duì)無(wú)線局域網(wǎng)中的所有計(jì)算機(jī)分配固定的靜態(tài)ip 地址,并且,要將分配的ip 地址和對(duì)應(yīng)的計(jì)算機(jī)網(wǎng)卡的mac 地址進(jìn)行綁定,從而使無(wú)線局域網(wǎng)的安全性得到大幅度的增強(qiáng)。2.4 使用無(wú)線入侵檢測(cè)系統(tǒng)無(wú)線入侵檢測(cè)系統(tǒng)(wireless intrusion det

9、ection system,wids和普通的入侵檢測(cè)系統(tǒng)類似,通過(guò)對(duì)無(wú)線局域網(wǎng)中的傳輸數(shù)據(jù)進(jìn)行分析來(lái)檢測(cè)是否存在非法入侵的問題,從而能夠?qū)τ诟鞣N使用者的活動(dòng)進(jìn)行監(jiān)視和分析,并且可以判斷入侵事件的具體類型,一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量異常也能夠進(jìn)行及時(shí)的報(bào)警。一般來(lái)說(shuō),無(wú)線入侵檢測(cè)系統(tǒng)用于連接單獨(dú)的傳感器,傳感器在無(wú)線基站(wide area protection system,waps上進(jìn)行配置,可以進(jìn)行數(shù)據(jù)的搜集并轉(zhuǎn)發(fā)到存儲(chǔ)和處理數(shù)據(jù)的中央系統(tǒng)中。因?yàn)闊o(wú)線入侵檢測(cè)系統(tǒng)的這種特殊的物理架構(gòu),能夠檢測(cè)到大多數(shù)的入侵行為,并且能夠檢測(cè)到mac 地址欺騙,可以利用一種順序分析方法,搜索到偽裝wap 的無(wú)線上網(wǎng)使

10、用者。2.5 使用動(dòng)態(tài)安全鏈路(dynamic security link,dsl技術(shù)在無(wú)線局域網(wǎng)中,在一臺(tái)接入點(diǎn)設(shè)備和無(wú)線客戶端設(shè)備協(xié)同工作的過(guò)程中,通過(guò)動(dòng)態(tài)安全鏈路技術(shù),能夠自動(dòng)生成一個(gè)新的128位加密密鑰,該加密密鑰對(duì)于所有的無(wú)線局域網(wǎng)使用者和不同的網(wǎng)絡(luò)會(huì)話(session而言,都是一次生成一次使用的,具有唯一性。另外,在同一個(gè)會(huì)話期間,對(duì)于每256 個(gè)數(shù)據(jù)包,生成的密鑰都會(huì)自動(dòng)改變一次。相對(duì)于以往的wep2(有線等效加密,wired equivalent privacy技術(shù)來(lái)說(shuō),動(dòng)態(tài)安全鏈路技術(shù)最大的優(yōu)點(diǎn)就是所生成的密鑰都是進(jìn)行動(dòng)態(tài)分配的,而wep2 采用的密鑰都必須通過(guò)人工輸入和維護(hù)

11、。動(dòng)態(tài)安全鏈路技術(shù)有利于無(wú)線局域網(wǎng)安全性的大幅度提高,能夠讓無(wú)線局域網(wǎng)使用者從人工輸入密鑰的繁雜勞動(dòng)中獲得解脫。因?yàn)閯?dòng)態(tài)安全鏈路技術(shù)能夠保證不同的使用者都具備一個(gè)唯一的、能夠進(jìn)行不斷改變的密鑰,所以,即使非法用戶攻破加密防線并得到無(wú)線局域網(wǎng)的訪問權(quán),所得到的密鑰也僅僅可以在很短暫的時(shí)間之內(nèi)有效,從而能夠避免可能面臨的潛在安全威脅。另外,動(dòng)態(tài)安全鏈路技術(shù)也可以支持使用者認(rèn)證,要求無(wú)線訪問點(diǎn)ap 來(lái)進(jìn)行使用者訪問列表的維護(hù),并且在用戶訪問無(wú)線局域網(wǎng)之前要進(jìn)行密碼認(rèn)證,必須通過(guò)認(rèn)證成功之后才可以接入無(wú)線局域網(wǎng)。3 結(jié)束語(yǔ)無(wú)線局域網(wǎng)正處于不斷發(fā)展的過(guò)程當(dāng)中,它的安全問題有必要引起相關(guān)人員的高度重視。必

12、須在當(dāng)前形勢(shì)下的無(wú)線局域網(wǎng)安全框架的基礎(chǔ)上，對(duì)于無(wú)線局域網(wǎng)安全保密策略進(jìn)行不斷的完善，切實(shí)提 高其安全性， 只有這樣， 才可以進(jìn)一步促進(jìn)無(wú)線局域網(wǎng)的良性發(fā)展， 也能夠使人們更好地享受到無(wú)線局域網(wǎng)所帶來(lái)的快捷和方便。 參考文獻(xiàn) 1 wang shi-jun guangdong telecom co.，ltd.guangzhou city zengcheng branch. 論述無(wú)線局域網(wǎng)的安全及措施a. 2007 中國(guó) 科協(xié)年會(huì)通信與信息發(fā)展高層論壇論文集c，2007 . 2 龐遼軍， 李慧賢， 王育民. 新完善的 wapi 協(xié)議安全性分析(英 文j. journal of southeast university(english edition， 2008，(01 3 宋一波,陳德城,褚亞飛,王波意,李嵐嵐. 基于 wlan 的高校無(wú) 線校園網(wǎng)組建方案j. 科技創(chuàng)新導(dǎo)報(bào),2010,(07 . 4 李一川,高恒聚,王亦飛,樊夢(mèng). 無(wú)線網(wǎng)絡(luò)的技術(shù)綜述j. 科 技信息,2011,