毕业论文无线网络各领域安全性探索.doc

资源描述

1、- 1 -无线网络各领域安全性探索【摘要】随着无线技术的不断成熟和普及，无线网络在全球范围内的应用已经成为一种趋势。在我国，越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用，对学校的教学模式、教学理念及教学管理产生了深远的影响，也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示，目前我国的高校建有无线校园网，同时有的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划，有专家表示，无线校园是未来校园信息化的发展方向，越来越多高校采用无线校园网络这一先进网络技术,其安全性问题是普遍高校比较关注的,下面着重对无线网络的安

2、全通信校园网络安全性学校无线网安全策略探索和研究。【关键词】无线网络校园网安全通信手段和对比网络安全和安全策略- 2 -目录题目摘要关键字 .1 第一章论绪 .1第二章无线网络的安全通信措施.2（一）WLAN 的安全保障 .2（二）VPN 与 IPSec 的作用.3（三）IPSec 协议及其实施.3 (四)一个实现无线通信加密的方法.3第三章关于无线校园网络的安全性探索.4（一）何谓无线局域网.4（二传统有线网络面临的问题.4 （三）无线网络的特点与优势.4(四) 网络存在的安全问题 .(五) 无线网络的安全

3、防范措施.6第四章学校无线网安全策略研究.7（一）引言.7（二）校园网无线网络安全现状.8（三）校园网无线网络安全解决方案.8第五章设计总结.10参考文献 .10- 3 -无线网络技术在校园网中的应用第一章绪论在二十一世纪的今天，信息技术飞速发展，数字化时代已经来临，信息技术在教育中的重要性受到教育界人士的普遍关注和重视。随着无线技术的不断成熟和普及，无线网络在全球范围内的应用已经成为一种趋势。在我国，越来越多的学校开始在校园构建和铺

4、设无线网络。无线校园网络的快速发展与应用，对学校的教学模式、教学理念及教学管理产生了深远的影响，也使学校教师、学生的学习、生活方式产生了积极的变化。随着高校信息化建设水平的不断提高，无线网络逐渐成为校园网解决方案的一个重要组成部分。越来越多高校采用无线校园网络这一先进网络技术,其安全性问题是普遍高校比较关注的。第二章无线网络安全通信措施（1）WLAN 的安全保障虽然目前广泛使用的跳频扩频技术可以让人难于截取，但也只是对普通人难而已，随着通信技术的飞速发展，相信很快就会普及起来。IEEE802.11标准制定了如下3种方法来为 WLAN 的数据通信提供安全保障：1使用802.11的服务群标识

5、符 SSID。但是，在一个中等规模的 WLAN 上，即使每年只进行两次基本群标识符的人工修改，也足以证明这是一个低效的不可靠的安全措施。2使用设备的 MAC 地址来提供安全防范，显然这也是一个低水平的防护手段。3安全机制相比前两种效果要好得多，即 WEP(Wired Equivalent Privacy)。它是采用 RC4算法来加密传输的网络分组，通过 WEP 协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接（即网络适配器验证，而不是利用网络资源进行加密的），还有其他的一些不可靠问题，人们在重要点的加密场合，都不使用 WEP 安全协议。2）VPN 与

6、IPSec 的作用VPN 首先是用于在 Internet 上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域，甚至在不同的国家。VPN 是一个加密了的隧道，在隧道中它对 IP 中的所有数据进行封装。在 VPN 中最常用的两种隧道协议是，点对点隧道协议 PPTP 和第二层隧道化协议 LTP，它们分别是由微软和 Cisco 公司开发的。还有一种现在也在 VPN 中广泛使用的有隧道功能的协议即 IPSec，它还是一个 IETF 建议 IP 层安全标准。IPSec 首先是作为- 4 -IPv4的附加系统实现的，而 IPv6则将该协议功能作为强制配置了。（三）IPSec 协议及其实施IPS

7、ec 协议包括如下：验证头 AH(Authentication)，封装安全载荷ESP(Encapsulation Security Payload)，Internet 密钥交换 IKE(Internet Key Exchange)，Internet 安全关联和密钥管理协议 ISAKMP(Internet Security Association and Key Management Protocol)及转码。IPSec 体系定义了主机和网关应该提供的各科能力，讨论了协议的语义，以及牵涉到 IPSec 协议同 TCP/IP 协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、

8、载荷头的格式以及它们提供的服务，还定义了包的处理规则。转码方式定义了如何对数据进行转换，以保证其安全。这些内容包括：算法、密钥大小、转码程序和算法专用信息。IKE 可以为 IPSec 协议生成密钥。还有一个安全策略的问题，它决定了两个实体间是否能够通信，采取哪一种转码方式等。IPSec 的工作模式有如下2种：1通道模式：这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时，也要选用通道模式。在通道模式中，IPSec 模块在一个正常的普通IP 数据包内封装了 IPSec 头，并增加了一个外部 IP 头。2传送模式：在传送模式中，AH 和 ESP 保护的是传送头，在

9、这种模式中，AH 和 ESP 会拦截从传送层到网络层的数据包，并根据具体情况提供保护。例如：A、B 是两个已配置好的主机，它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证，则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。（四）一个实现无线通信加密的方法在给出下面加密方案之前，首先确定加密的位置：综前所述，选择在 TCP/IP 协议的IP 层进行加密（当然也含了解密功能，下同）处理，可以达到既便利又满足尽可能与上下游平台无关性。为了叙述方便，笔者定义一个抽象实体：加密模块，当

10、它是一台 PC 或工控机时，它就是具备基本网络协议解析与转换功能的安全（加密）网关；当它是一个 DSP 或 FPGA 芯片时，它就是一个具备网络协议功能的加密芯片；当它是一个与操作系统内核集成的软件模块时，它就是一个加密模块。至此，就形成如下加密方案的雏形：1在无线网络的桥路器或是无线 Hub 与有线 LAN 间置一加密模块，这时可用一台功能强劲的 PC 或是工控机（方便户外携带使用），最好是双 CPU 的，具备强大的数学运算能力，实现网络层到链路层之间的功能和 IP 数据包的加解密功能。2Black Box：对 FPGA(Field Programmable Gate Array)进行集群

11、，初定为由3块FPGA 芯片构成，1块加密，1块解密，1块进行协议处理。之所以要求集群，是基于这样一个事实：由独立的一块1001000MIPS 的 FPGA 芯片完成协议处理和加解密这样超强度的运算处理，缺乏可行性。3在购买第三方厂商的无线 HUB 及桥路器时，与厂商进行技术合作，要求他们在设备上提供 FPGA 的接口，逻辑上 FPGA 只完成 IP 包数据的加解密功能，不涉及协议处理（由厂商的软硬件平台完成）。但这涉及知识产权归属的问题，对厂商来说，由他们来实现这一点是非常容易的。- 5 -第三章关于无线校园网络的安全性探索一、何谓无线局域网无线局域网（Wireless Local

12、 Area Network，缩写为“WLAN” ）是高速发展的现代无线通信技术在计算机网络中的应用，是计算机网络与无线通信技术相结合的产物。不像传统以太网那样，基于802.1标准的无线网络在空气中传播射频信号，在信号范围内的无线客户端都可以接受到数据，为通信的移动化、个人化和多媒体应用提供了实现的手段。二、传统有线网络面临的问题随着校园网络规模不断扩大，网络应用不断增加，网络已经成为老师和学生获得信息的主要手段之一，校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户，越来越多的校园网络应用开始部署，网络变得前所未有的重要，细心观察不难发现传统有线网络容易出现以下问题：（1）校内

13、公共网络设施有限，而且使用频繁，人们为了上网不得不在这些地点之间奔波；（2）计算机设备较多，其中，笔记本数目也在逐步增加。在这种情况下，全部用有线网连接终端设施，从布线到使用都会极不方便；（3）有的教室主体结构是大开间布局，地面和墙壁已经施工完毕，若进行网络应用改造，埋设缆线工作量巨大，而且学生上课时的位置不是很固定，导致信息点的放置也不能确定，这样，构建一个有线局域网络就会面对各种不便；（4）高校通常会有几个在地理分布上并不集中的分校区，用有线光缆连接校园网工程复杂、成本极高。而使用无线网络，无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的

14、发展趋势。三、无线网络的特点与优势 1、移动性强。无线网络摆脱了有线网络的束缚，能够使学习远离教室，可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动，持续连接，实现移动办公。 2、带宽很宽，适合进行大量双向和多向多媒体信息传输。 - 6 -在速度方面，802.11b 的传输速度可提供可达Mbps 数据速率，而标准802.11g 无线网速提升五倍，其数据传输率将达到54Mbps，充分满足校园网用户对网速的要求、有较高的安全性和较强的灵活性由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术，使得其高度安全可靠；无线网络组网灵活、增加和减少移动主机相当容易。、维护成本低，

15、无线网络尽管在搭建时投入成本高些，但后期维护方便，维护成本比有线网络低左右.四、无线网络存在的安全问题在无线网络的实际使用中，有可能遇到的威胁主要包括以下几个方面 1、信息重放在没有足够的安全防范措施的情况下，是很容易受到利用非法 AP 进行的中间人欺骗攻击。对于这种攻击行为，即使采用了 VPN 等保护措施也难以避免。中间人攻击则对授权客户端和 AP 进行双重欺骗，进而对信息进行窃取和篡改。 2、WEP 破解现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于 AP 信号覆盖区域内的数据包，收集到足够的 WEP 弱密钥加密的包，并进行分析以恢复 WEP 密钥。根据监听无线通信的机器

16、速度、WLAN 内发射信号的无线主机数量，最快可以在两个小时内攻破 WEP 密钥。3、网络窃听一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。 4、MAC 地址欺骗通过网络窃听工具获取数据，从而进一步获得 AP 允许通信的静态地址池，这样不法之徒就能利用 MAC 地址伪装等手段合理接入网络。 5、拒绝服务攻击者可能对 AP 进行泛洪攻击，使 AP 拒绝服务，这是一种后果最为严重的攻击方式。- 7 -此外，

17、对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。五、无线网络的安全防范措施为了保护无线网路免于攻击入侵的威胁，用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善，实现最基本的安全目的。 1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况，并反映在学校的网络拓扑图里。 2、

18、使用 WEP,启用无线设备的安全能力。保护无线网络安全的最基础手段是加密,通过简单的设置 A P 和无线网卡等设备, 就可以启用 W E P 加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然 WEP 加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍, 有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP 功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对 WEP 密钥进行更换,在有条件的情况下启用独立的认证服务为 WEP 自动分配密钥。另外一个必须注意

19、的问题就是用于标识每个无线网络的 SSID,在部署无线网络的时候一定要将出厂时的缺省 SSID 更换为自定义的 S S I D 。现在的 A P 大部分都支持屏蔽 SSID 广播，除非有特殊理由，否则应该禁用 SSID 广播，这样可以减少无线网络被发现的可能。 3、变更 SSID 及禁止 SSID 广播。服务集标识符(SSID)是无线访问点使用的识别字符串，客户端利用它就能建立连接。该标识符由设备制造商设定，每种标识符使用默认短语，如101 就是3Com 设备的标识符。倘若黑客知道了这种口令短语，即使未经授权，也很容易使用无线服务。对于部署的每个无线访问点而言，要选择独一无二并且很难猜中的

20、SSID。如果可能的话，禁止通过天线向外广播该标识符。这样网络仍可使用，但不会出现在可用网络列表上。 4、禁用 DHCP。对无线网络而言,这很有意义。如果采取这项措施，黑客不得不破译用户的 IP 地址、子网掩码及其它所需的 TCP/IP 参数。无论黑客怎样利用公司的访问点，他仍需要弄清楚 IP 地址。 5、禁用或改动 SNMP 设置。如果公司的访问点支持 SNMP，要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施，黑客就能利用 S N M P 获得有关公司网络的重要信息。 - 8 -6、使用访问列表。为了进一步保护无线网络，应使用访问列表，如果可能的话。不是所有的无线访问点都

21、支持这项特性，但如果公司实施的网络支持，就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP) ，定期下载更新的列表，以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。第四章学校无线网安全策略研究 1 引言在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。在校园内，教师与学生的流动性很强，很容易在一些地方人员聚集，形成“公共场所” 。而且随着笔记本电脑的普及和 Intemet

22、接入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性，使有线网络无法灵活满足他们对网络的需求，造成网络互联和 Intemet 接入瓶颈。将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。随后，慢慢把无线的覆盖范围扩大，最后做到全校无线的覆盖。2 校园网无线网络安全现状在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决

23、方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：基于 MAC 地址的认证。基于 MAC 地址的认证就是 MAC 地址过滤，每一个无线接入点可以使用 MAC 地址列表来限制网络中的用户访问。实施 MAC 地址访问控制后，如果 MAC 列表中包含某个用户的 MAC 地址，则这个用户可以访问网络，否则如果列表中不包含某个

24、用户的 MAC 地址，则该用户不能访问网络。共享密- 9 -钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。 802.1x 认证。8021x协议称为基于端口的访问控制协议，它是个二层协议，需要通过 802.1x 客户端软件发起请求，通过认证后打开逻辑端口，然后发起 DHCP 请求获得 IP 以及获得对网络的访问。可以说，校园网的不少无线接入点都没有很好地考虑无线接入的安全问题，就连最基本的安全，如基于 MAC 地址的认证或共享密钥认证也没有设置，更不用说像 802.1 x 这样相对来说比较难设置的认证方

25、法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。3 校园网无线网络安全解决方案校园网内无线网络建成后，怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题，一是数据管理的问题，要维护 MAC 数据库，二是 MAC 可嗅探，也可修改；如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥；802.1x 定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器

26、之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与 AP 进行通信。虽然 802.1x 仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE 802.11i 和 WAPI 都参考了802.1x 的机制。802.1x 选用 EAP 来提供请求方和认证服务器两者之间的认证服务。最常用的 EAP 认证方法有 EAPMD5、EAPTLS 和 PEAP 等。Microsoft 为多种使用802.1x 的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的

27、依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用 EAP-TLS；在执行基于密码的客户端身份验证时使用 EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)，该协议在 PEAP(Protected Extensible Authentication Protoco1)协议中，也称作 PEAPEAPMSCHAPv2。考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户，一类是校内用户，一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要，他们要求能够随时接入无线网络

28、，访问校园网内资源以及访问 Internet。这些用户的数据，如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户，可使用 802.1x 认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入 Intemet，以浏览相关网站和收发邮件等。针对这类用户，可采用 DHCP+强制 Portal 认证的方式接入校园无线网络。 - 10 -如图所示，开机后，来访用户先通过 DHCP 服务器获得 IP 地址。当来访用户打开浏览器访问 Intemet 网站时，强制 Porta 控制单元

29、首先将用户访问的 Intemet 定向到 Portal 服务器中定制的网站，用户只能访问该网站中提供的服务，无法访问校园网内部的其他受限资源，比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源，必须通过强制 Portal 认证认证通过就可以访问 Intemet。对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得 IP 地址。可通过数字证书(需要设立证书服务器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法 AP。双向认证通过后，无线用户终端从 DHCP 服务器获得 IP 地址。无线用户终端获得 IP 地址后，就可以利

30、用双方约定的密钥，运用所协商的加密算法进行通信，并且可以重新生成新的密钥，这样就很好地保证了数据的安全传输。使用强制 Portal+802.1x 这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制 Portal 认证方式在用户端不需要安装额外的客户端软件，用户直接使用 Web 浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过 SSL 加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校

31、园网内部资料，从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全，安全性要求比较高。802.1x 认证方式安装设置比较麻烦，设置步骤也比较多，且要有专门的802.1x 客户端，但拥有极好的安全性，因此针对校内用户可使用802.1x 认证方式，以保障传输数据的安全。第五章设计总结信息技术的到来提高了人们的生活水平，方便了人们生活，让人们更贴近彼此了解彼此，开启了追求知识问题探讨的海洋使，使各领域达到一个互相交流互相学习互相促进鼓励的

32、效应，生活和网络结合才能更丰富的了解世界了解自己，实现网络的建设的前提我觉得是要朝向更安全更稳定更快的方向发展，人只有在更安全的环境下才能更舒适的享受一切，安全的网络和我以上叙述的论点不谋而合我的毕业设计是无线网络各领域安全性探索，此次毕业设计既将成功结束，在此向毕业设计期间帮助过我的老师致以诚挚的谢意，感谢你们在毕业设计期间所给予的经验和智慧，使我获益非浅！参考文献：

展开阅读全文