無線網(wǎng)絡(luò)的技術(shù)綜述

1、無線網(wǎng)絡(luò)的技術(shù)綜述摘要：近年來無線網(wǎng)絡(luò)已經(jīng)成為一種較為普及的網(wǎng)絡(luò)訪問方式，并且在一些領(lǐng)域已經(jīng)占據(jù)了主流的地位。這說明無線網(wǎng)絡(luò)有著傳統(tǒng)網(wǎng)絡(luò)不能比較的優(yōu)勢，這里主要介紹了無線網(wǎng)絡(luò)主要的幾種構(gòu)建方式及其主要的平安威脅，以現(xiàn)有的平安防范技術(shù)為根底，較為系統(tǒng)地建議了在構(gòu)架、無線接入點、接入終端等層面應(yīng)采取的平安措施。論文關(guān)鍵詞：無線網(wǎng)絡(luò),網(wǎng)絡(luò)平安,平安防范1 引言隨著信息技術(shù)的飛速開展，人們對網(wǎng)絡(luò)通信的需求不斷提高，對Internet訪問的持續(xù)性、移動性和適應(yīng)性等方面取得很大進(jìn)展，近年來無線網(wǎng)絡(luò)已經(jīng)成為一種較為普及的網(wǎng)絡(luò)訪問方式，并且在一些領(lǐng)域已經(jīng)占據(jù)了主流的地位。這說明無線網(wǎng)絡(luò)有著傳統(tǒng)網(wǎng)絡(luò)不能比較的優(yōu)

2、勢，但是將無線網(wǎng)絡(luò)接入傳統(tǒng)的Internet 中存在許多技術(shù)問題和平安問題。2 無線局域網(wǎng)的結(jié)構(gòu)及其運行方式無線局域網(wǎng)所涉及的主要設(shè)備包括：無線AP、無線路由器、無線網(wǎng)橋等。無線AP即無線接入點，相當(dāng)于一個無線集線器，接在有線交換機或路由器上，為跟它連接的無線網(wǎng)卡從路由器那里分得IP。它主要是提供無線工作站對有線局域網(wǎng)的訪問和從有線局域網(wǎng)對無線工作站的訪問，在訪問接入點覆蓋范圍內(nèi)的無線工作站可以通過它進(jìn)行相互通信；無線路由器：無線路由器就是AP、路由功能和集線器的集合體，支持有線無線組成同一子網(wǎng)；無線網(wǎng)橋又叫橋接器，它是一種在鏈路層實現(xiàn)局域網(wǎng)互連的存儲轉(zhuǎn)發(fā)設(shè)備。網(wǎng)橋有在不同網(wǎng)段之間再生信號的功

3、能，它可以有效地連接兩個LAN(局域網(wǎng))，使本地通信限制在本網(wǎng)段內(nèi)，并轉(zhuǎn)發(fā)相應(yīng)的信號至另一網(wǎng)段。無線局域網(wǎng)一般采取以下的幾種網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互聯(lián)。以適應(yīng)不同的需要：(1)基站接入型：當(dāng)采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時，各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互聯(lián)的。各移動站不僅可以通過交換中心自行組網(wǎng)，還可以通過廣域網(wǎng)與遠(yuǎn)地站點組建自己的工作網(wǎng)絡(luò)。如圖1。(2)網(wǎng)橋連接型：不同的局域網(wǎng)之間互聯(lián)時，如果不便采取有線方式，那么可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接，比方距離比較遠(yuǎn)的兩棟或更多建筑物之間的互聯(lián)互通。無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接，還為兩個網(wǎng)的用戶

4、提供較高層的路由與協(xié)議轉(zhuǎn)換。(3)無中心結(jié)構(gòu)(Ad-hoc)：即不通過AP，各計算機通過無線網(wǎng)卡自行進(jìn)行通訊。網(wǎng)絡(luò)管理分散到各個計算機中。是一種點對點的應(yīng)用方式。要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用播送信道，MAC層采用CSMA類型的多址接入?yún)f(xié)議。3 無線局域網(wǎng)絡(luò)主要的平安威脅由于無線網(wǎng)絡(luò)的傳輸方式和物理結(jié)構(gòu)等原因，導(dǎo)致其在平安問題上較有線網(wǎng)絡(luò)更容易受到威脅，主要表現(xiàn)在：(1)容易泄漏，無線局域網(wǎng)絡(luò)主要采用無線通信方式，其數(shù)據(jù)包更容易被截獲，由于不能在物理空間上的嚴(yán)格界定，所以傳輸?shù)男畔⒑苋菀妆恍孤魏文芙邮艿叫盘柕娜?，都可進(jìn)入并解碼破譯。而事實上很多無線局域網(wǎng)絡(luò)

5、在默認(rèn)狀態(tài)下是沒有加密的。(2)易受干擾，由于目前802. 1lb 協(xié)議規(guī)定的工作頻段的開放性，廣泛用于很多電子產(chǎn)品，因此容易互相干擾，造成無法通信或者通信中斷，如果惡意用戶通過干擾器對特定無線網(wǎng)絡(luò)進(jìn)行拒絕效勞攻擊或者干擾，那么這個干擾源不是很容易就能查出來的。(3)入侵容易，無線網(wǎng)絡(luò)的接入點在設(shè)計上要求其具有公開、易獲取的特性，以方便合法接入者，但這也為入侵者提供了必要的信息，利用這些信息，入侵者可以在能夠接受信號的任何地方進(jìn)入網(wǎng)絡(luò)或發(fā)起攻擊，即使被入侵檢測系統(tǒng)發(fā)現(xiàn)也很難定位，在不改變原有平安配置的情況下，難以阻止入侵的繼續(xù)。雖然，802. 11 在平安方面規(guī)定了WEP 加密，但是WEP 加

6、密是不平安的，WEP 的脆弱可能使整個網(wǎng)絡(luò)受到更大的威脅。(4)地址欺騙與會話攔截，由于802. 11 無線局域網(wǎng)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，通過非常簡單的方法就可以獲得網(wǎng)絡(luò)中站點的MAC 地址，然后通過欺騙幀改變ARP 表，進(jìn)行地址欺騙攻擊。同時，攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP 中存在的認(rèn)證缺陷，裝扮成AP 進(jìn)入網(wǎng)絡(luò)，進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。4 無線局域網(wǎng)中主要的平安防范技術(shù)(1)效勞集標(biāo)識符(SSID)：Service Set Identifier相當(dāng)于一個局域網(wǎng)的簡單標(biāo)志或口令，它設(shè)置于無線接入點AP(Access Point)上，無線工作站要與AP連接必須要有一個和AP一致

7、的SSID，無線工作站可以籍此來選擇想要來連接的網(wǎng)絡(luò)，從平安的角度來看，SSID提供一個較低級別的平安認(rèn)證。(2)物理地址過濾(MAC)：在小規(guī)模的網(wǎng)絡(luò)中，每一個被允許訪問AP無線工作站的網(wǎng)卡的物理地址被登記下來，設(shè)置在AP中作為允許訪問的過濾條件，在AP中沒有登記的網(wǎng)卡無法訪問AP。(3)連線對等保密(WEP)：WEP是Wired Equivalent Privacy的簡稱，是802.11b標(biāo)準(zhǔn)里定義的一個用于無線局域網(wǎng)(WLAN)的平安性協(xié)議。WEP被用來提供和有線LAN同級的平安性。WEP的目標(biāo)就是通過對無線電波里的數(shù)據(jù)加密提供平安性，如同端對端發(fā)送一樣。由于在WLAN 中，無需物理連接

8、就可以連接到網(wǎng)絡(luò)，因此IEEE 選擇在數(shù)據(jù)鏈路層使用加密，采用RC4對稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。(4)Wi-Fi保護(hù)接入(WPA)：WPA(Wi-Fi Protected Access)繼承了WEP的根本原理，通過使用一種名為TKIP(暫時密鑰完整性協(xié)議)的新協(xié)議，使用的密鑰與網(wǎng)絡(luò)上每臺設(shè)備的MAC地址及一個更大的初始化向量合并，來確保每一節(jié)點均使用一個不同的密鑰流對其數(shù)據(jù)進(jìn)行加密。隨后TKIP會使用RC4加密算法對數(shù)據(jù)進(jìn)行加密，由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析也幾乎無法

9、計算出通用密鑰，解決了WEP的缺陷， WPA還包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗三個組成局部，是一個完整的平安性方案。5 無線局域網(wǎng)平安防范措施(1)在有條件的情況下，可以采用支持WPA標(biāo)準(zhǔn)的設(shè)備，WPA標(biāo)準(zhǔn)作為一種可替代WEP的無線平安技術(shù)，考慮到了不同的用戶和不同的應(yīng)用平安需要，在企業(yè)模式下，通過使用認(rèn)證效勞器和復(fù)雜的平安認(rèn)證機制來保護(hù)無線網(wǎng)絡(luò)通信平安。家庭模式(包括小型辦公室)下，在AP(或者無線路由器)以及連接無線網(wǎng)絡(luò)的無線終端上輸入共享密鑰來保護(hù)無線鏈路的通信平安。(2)如果只能選擇WEP加密技術(shù)，那么最好采用128位WEP加密，并不要使用設(shè)備自帶的WEP密鑰。(3)禁止AP向外播送其

10、SSID，并設(shè)置復(fù)雜的SSID，由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。而且目前有的客戶端跳過SSID平安功能，自動連接到AP。所以這些措施是比較脆弱的，但如果配置AP向外播送其SSID，那么平安程度還將下降。(4)設(shè)置MAC過濾，在AP 中可以設(shè)定哪些MAC 地址不能與AP 通信，這樣可防止非法網(wǎng)卡登錄到AP 上，也可以防止非法客戶機訪問AP 下的無線網(wǎng)客戶機。但應(yīng)該知道，實際上MAC是很容易被假冒的。(5)注意對AP的管理，修改缺省的AP密碼，各種主流AP產(chǎn)品的默認(rèn)管理密碼已為人們熟知，應(yīng)修改缺省的密碼，以防非法闖入。7 結(jié)束語無線網(wǎng)絡(luò)在很大程度上突破了統(tǒng)有線網(wǎng)絡(luò)的限制，使用戶獲得了可移動性和方便性，但正因如此無線網(wǎng)絡(luò)也面臨更大的平安威脅，要求我們有更高一級的平安防范意識和防范措施，不可掉以輕心。當(dāng)然也沒有必要談無線而色變;，因為其平安上的風(fēng)險而不敢采用，事實上，根據(jù)不同的平安需要，對無線網(wǎng)絡(luò)的固有物理特性和組網(wǎng)結(jié)構(gòu)進(jìn)行透徹的分析，在不同的層面采取恰當(dāng)?shù)拇胧?，保障無線網(wǎng)絡(luò)的平安可用是完全可行的。參考文獻(xiàn)【1】蔡一郎. Windows 2000 Server 網(wǎng)絡(luò)技術(shù)與構(gòu)架管理北京：清華大學(xué)出版社，2002 ：302 -