无线局域网的安全技术与防范复习进程

无线局域网的安全技术白皮书

作者: 寂静的海, 出处:IT专家网,责任编辑: 张帅,

2007-12-04 10:58

无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点，因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点，使得全性成为阻碍WLAN发展的最重要因素……

无线局域网的安全

无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。

就目前而言，有很多种无线局域网的安全技术，包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。

1、无线局域网的安全威胁

利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患主要有以下几点：

未经授权使用网络服务

由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，降低合法用户的服务质量，而且未经授权的用户没有遵守运营商提出的服务条款，甚至可能导致法律纠纷。

地址欺骗和会话拦截(中间人攻击)

在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

另外，由于IEEE802.11没有对AP身份进行认证，非法用户很容易装扮成AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。

高级入侵(企业网)

一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，就会使整个网络暴露在非法用户面前。

2、基本的无线局域网安全技术

通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发送的数据只能被所期望的用户所接收和理解。

下面对在无线局域网中常用的安全技术进行简介。

物理地址( MAC )过滤

每个无线客户端网卡都由唯一的48位物理地址(MAC)标识，可在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以盗用合法用户的MAC地址来非法接入。

图1 MAC地址过滤

服务区标识符( SSID ) 匹配

无线客户端必需设置与无线访问点AP相同的SSID ，才能访问AP;如果出示的SSID 与AP的SSID不同，那么AP将拒绝它通过本服务区上网。利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全。

图2 服务区标识匹配

有线对等保密(WEP)

在IEEE802.11中，定义了WEP来对无线传送的数据进行加密，WEP的核心是采用的RC4算法。在标准中，加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，需要在AP和Station上配置的密钥就只有40位或104位。

WEP加密原理图如下：

图3 WEP加密原理图

1、AP先产生一个IV，将其同密钥串接(IV在前)作为WEP Seed，采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列;

2、计算待加密的MPDU数据校验值ICV，将其串接在MPDU之后;

3、将上述两步的结果按位异或生成加密数据;

4、加密数据前面有四个字节，存放IV和Key ID，IV占前三个字节，Key ID在第四字节的高两位，其余的位置0;如果使用Key-mapping Key，则Key ID为0，如果使用Default Key，则Key ID为密钥索引(0-3其中之一)。加密后的输出如下图所示。

图4 WEP加密后的MPDU格式

加密前的数据帧格式示意如下：

加密后的数据帧格式示意如下：

WEP解密原理图如下：

图5 WEP解密原理图

1、找到解密密钥;

2、将密钥和IV串接(IV在前)作为RC4算法的输入生成和待解密数据等长的密钥序列;

3、将密钥序列和待解密数据按位异或，最后4个字节是ICV，前面是数据明文;

4、对数据明文计算校验值ICV'，并和ICV比较，如果相同则解密成功，否则丢弃该数据。

连线对等保密WEP协议是IEEE802.11标准中提出的认证加密方法。它使用RC4流密码来保证数据的保密性，通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度。由于其使用固定的加密密钥和过短的初始向量，加上无线局域网的通信速度非常高，该方法已被证实存在严重的安全漏洞，在15分钟内就可被攻破。现在已有专门的自由攻击软件(如airsnort)。而且这些安全漏洞和WEP对加密算法的使用机制有关，即使增加密钥长度也不可能增加安全性。另外，WEP缺少密钥管理。用户的加密密钥必须与AP的密钥相同，并且一个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常很少更换，倘若一个用户丢失密钥，则会殃及到整个网络的安全。

ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改ICV。

同时WEP还可以作为一种认证方法，认证过程如下：

1.在无线接入点AP和工作站STA关联后，无线接入点AP随机产生一个挑战包，也就是一个字符串，并将挑战包发送给工作站STA。

2.工作站STA接收到挑战包后，用密钥加密挑战包，然后将加密后的密文，发送回无线接入点AP。

3.无线接入点也用密钥将挑战包加密，然后将自己加密后的密文与工作站STA加密后的密文进行比较，如果相同，则认为工作站STA合法，允许工作站STA利用网络资源;否则，拒绝工作站STA利用网络资源。

端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)

IEEE802.1x 并不是专为WLAN设计的。它是一种基于端口的访问控制技术。

该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户连接网络。

IEEE802.1x 提供无线客户端与RADIUS服务器之间的认证，而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中存在很大安全隐患，如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递，该共享密钥为静态，存在一定的安全隐患。

802.1x协议仅仅关注端口的打开与关闭，对于合法用户(根据帐号和密码)接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。

图6 802.1x端口控制

在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

认证系统：在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

认证服务器：通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的服务，并根据认证结果向认证系统发出打开或保持端口关闭的状态。

在具有802.1x认证功能的无线网络系统中，当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。

1.当用户有网络连接需求时打开80

2.1x客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，开始启动一次认证过程。

2.AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

3.客户端程序响应AP发出的请求，将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

4.认证服务器收到AP转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给AP，由AP传给客户端程序。

5.客户端程序收到由AP传来的加密字后，用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的)，并通过AP传给认证服务器。

6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行

对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向AP发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持AP端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。

图7 802.1x认证过程

WPA (Wi-Fi Protected Access)

WPA = 802.1x + EAP + TKIP + MIC

在IEEE 802.11i 标准最终确定前，WPA标准是代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。

认证在802.11中几乎形同虚设的认证阶段，到了WPA中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户，并拥有对某些网络资源的访问权，并且是强制性的。

WPA的认证分为两种：第一种采用802.1x+EAP的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中，通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此WPA也提供一种简化的模式，它不需要专门的认证服务器，这种模式叫做WPA预共享密钥(WPA-PSK)，仅要求在每个WLAN

节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致

诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。

加密WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法，通

过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通信数据报文。TKIP的密钥构架使WEP

静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加

密算法，但其动态密钥的特性很难被攻破。

TKIP与WEP一样基于RC4加密算法，但相比WEP算法，将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位，并对现有的WEP进行了改进，即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法，极大地提高了加密安全

强度。

标准工作组认为：WEP算法的安全漏洞是由于WEP机制本身引起的，与密钥的长度

无关，即使增加加密密钥的长度，也不可能增强其安全程度，初始化向量IV长度的增加也只能在有限程度上提高破解难度，比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分，TKIP没有脱离WEP的核心机制。而且，TKIP甚至更易受攻击，因为它采用了Kerberos密码，常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进。

Wi-Fi联盟和IEEE802委员会也承认，TKIP只能作为一种临时的过渡方案，而

IEEE802.11i标准的最终方案是基于IEEE802.1x认证的CCMP(CBC-MAC Protocol)加密

技术，即以AES(Advanced Encryption Standard)为核心算法。它采用CBC-MAC加密模式，具有分组序号的初始向量。CCMP为128位的分组加密算法，相比前面所述的所有算法安

全程度更高。

消息完整性校验(MIC)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值，这和802.11对每个数

据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而WPA中的MIC 则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC

发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。

IEEE 802.11i

为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，

IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i ，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术：TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及认证协议：IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。

802.11i 与WPA 相比增加了一些特性：

AES: 更好的加密算法，但是无法与原有的802.11架构兼容，需要硬件升级。

CCMP and WARP: 以AES 为基础。

IBSS: 802.11i 解决IBSS (Independent Basic Service Set), 而WPA 主要处理

ESS(Extended Service Set)

Pre authentication：用于用户在不同的BSS(Basic Service Set)间漫游时，减少重新

连接的时间延迟。

认证：11i的安全体系也使用802.1x认证机制，通过无线客户端与radius 服务器之间动态协商生成PMK(Pairwise Master Key)，再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥，每一个无线客户端与AP之间通讯的加密密钥都不相同，而且会定期更新密钥，很大程度上保证了通讯的安全，其协商流程图如下：

图8 单播和组播密钥协商过程

上面图中的ptk与gtk即单播和组播加解密使用的密钥。

CCMP加密：

ccmp提供了加密，认证，完整性和重放保护。ccmp是基于ccm方式的，该方式使用了AES(Advanced Encryption Standard)加密算法。CCM方式结合了用于加密的Counter Mode(CTR)和用于认证和完整性的加密块链接消息认证码(CBC-MAC、Ciphy Block Chaing Message Autentication Code)。CCM保护MPDU数据和IEEE802.11 MPDU帧头部分域的完整性。

AES定义在FIPS PUB 197。所有的在ccmp中用到的AES处理都使用一个128位的密钥和一个128位大小的数据块。

CCM方式定义在RFC 3610。CCM是一个通用模式，它可以用于任意面向块的加密算法。CCM有两个参数(M和L)，CCMP使用以下值作为CCM参数：

---M = 8;表示MIC是8个字节。

---L = 2;表示域长度位2个字节。这有助于保持IEEE 802.11 MPDU的最大长度。

针对每个会话，CCM需要有一个全新的临时密钥。CCM也要求用给定的临时密钥保护的每帧数据有唯一的nonce值。CCM是用一个48位PN来实现的。对于同样的临时密钥可以重用PN，这可以减少很多保证安全的工作。

CCMP处理用16个字节扩展了原来MPDU大小，其中8个为CCMP帧头，8个为MIC效验码。CCMP帧头由PN，ExtIV和Key ID域组成。PN是一个48位的数字，是一个6字节的数组。PN5是PN的最高字节，PN0是最低字节。值得注意的是CCMP不使用WEP ICV。

图9 CCMP MPDU扩展

Key ID字节的第五位，ExtIV域，表示CCMP扩展帧头8个字节。如果是使用CCMP 加密，则ExtIV位的值总是为1。Key ID字节的第六第七位是为Key ID准备的。保留的各个位值为0，而且在接收的时候被忽略掉。

检查重放的规则如下：

1) PN值连续计算每一个MPDU。

2) 每个发送者都应为每个PTKSA，GTKSA和STAkeySA维护一个PN(48位的计数器)。

3) PN是一个48位的单调递增正整数，在相应的临时密钥被初始化或刷新的时候，它也被初始化为1。

4) 接收者应该为每个PTKSA，GTKSA和STAKeySA维护一组单独的PN重放计数器。接收者在将临时密钥复位的时候，会将这些计数器置0。重放计数器被设置为可接收的CCMP MPDU的PN值。

5) 接收者为每个PTKSA，GTKSA和STAKeySA维护一个独立的针对IEEE 802.11 MSDU优先级的重放计数器，并且从接收到的帧获取PN来检查被重放的帧。这是在重放计数器的数目时，不使用IEEE 802.11 MSDU优先级。发送者不会在重放计数器内重排帧，但可能会在计数器外重排帧。IEEE 802.11 MSDU优先级是重排的一个可能的原因。

6) 如果MPDU的PN值不连续，则它所在的MSDU整个都会被接收者抛弃。接收者同样会抛弃任何PN值小于或者等于重放计数器值的MPDU，同时增加ccmp 的重放计数的值。CCMP加密过程如下图：

图10 CCMP加密过程图

CCMP加密步骤如下：

1) 增加PN值，为每个MPDU产生一个新的PN，这样对于同一个临时密钥TK永远不会有重复的PN。需要注意的是被中转的MPDUs在中转过程中是不能被修改的;

2) MPDU帧头的各个域用于生成CCM方式所需的Additional Authentication

Data(AAD)。CCM 运算对这些包含在AAD的域提供了完整性保护。在传输过程中可能改变的MPDU头部各个域在计算AAD的时候被置0;

3) CCM Nonce 块是从PN，A2(MPDU地址2)和优先级构造而来。优先级作为保留值设为0;

4) 将新的PN和Key ID置入8字节的CCMP头部;

5) CCM最初的处理使用临时密钥TK，AAD，Nonce和MPDU数据组成密文和MIC;

6) 加密后的MPDU由最初的MPDU帧头，CCMP头部，加密过的数据和MIC组成。

当AP从STA接收到802.11数据帧时，满足以下条件则进行CCMP解密;

1) WPA/802.11i STA协商使用CCMP加密;

2) Temp key已经协商并安装完成。

解密过程：

图11 CCMP解密过程图

1) 解析加密过的MPDU，创建AAD和Nonce值;

2) AAD是由加密过的MPDU头部形成的;

3) Nonce值是根据A2，PN和优先级字节(保留，各位置0)创建而来;

4) 提取MIC对CCM进行完整性校验;

5) CCM接收过程使用临时密钥，AAD，Nonce，MIC和MPDU加密数据来解密得到明文，同时对AAD和MPDU明文进行完整性校验;

6) 从CCM接收过程收到的MPDU头部和MPDU明文数据连接起来组成一个未加密的MPDU;

7) 解密过程防止了MPDUs的重放，这种重放通过确认MPDU里的PN值比包含在会话里的重放计数器大来实现，接着进行检查重放，解密失败的帧直接丢弃。

相比前面的安全方法,IEEE 802.11i具有以下一些技术优势：

在WLAN底层引入AES算法，即加密和解密一般由硬件完成，克服WEP的缺陷，有线对等保密(WEP)协议的缺陷延缓了无线局域网(WLAN)在许多企业内的应用和普及。无线局域网网络会暴露某个网络，因此，从安全的角度来讲，不能像核心企业网络而必须像接入网络那样来对待。如果企业用户通过一个局域网交换中心互相连接，人们就可认为他们已经成为信任用户。

无论是wep加密还是tkip加密都是以rc4算法为核心，由于rc4算法本身的缺陷，在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术，密码很容易被破解。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能。对称密码系统要求收发双方都知道密钥，而这种系统的最大困难在于如何安全地将密钥分配给收发的双方，特别是在网络环境中，11i体系使用802.1x认证和密钥协商机制来管理密钥。AES加密算法使用128bit分组加码数据。它的输出更具有随机性，对128比特、轮数为7的密文进行攻击时需要几乎整个的密码本，对192、256比特加密的密文进行攻击不仅需要密码本，还需要知道相关的但并不知道密钥的密文，这比WEP具有更高的安全性，攻击者要获取大量的密文，耗用很大的资源，花费更长的时间破译。它解密的密码表和加密的密码表是分开的，支持子密钥加密，这种做法优于最初的用一个特殊的密钥解密，很容易防护幂攻击和同步攻击，加密和解密的速度快，在安全性上优于WEP。

AES算法支持任意分组的大小，密钥的大小为128、192、256，可以任意组合。此外，AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。经过比较分析，可知此算法在性能等各方面都优于WEP和tkip，利用此算法加密，无线局域网的安全性会获得大幅度提高，从而能够有效地防御外界攻击。

3、无线局域网的安全策略

当我们使用了802.1x、EAP、AES和TKIP之后，还需要了解其中的一些问题，这些是建立安全WLAN网络环境必须的。首先，IEEE 802.11i工作小组所建立的TKIP，是为了快速修正WEP的严重问题。TKIP在算法上与WEP相同，也是使用RC4算法，但这种算法并不是最理想的选择。使用AES能把原来的问题解决得更好，但是AES无法与原有的802.11架构兼容，需要升级软硬件。第二，一些新的协议、技术的加入，与原有802.11混合在一起，使得整个网络结构更加复杂，同时也增加了处理的负担，导致网络性能降低。新的技术让生产厂商和网络用户有更多的可选择性，但同时也带来了兼容性的问题。第三，对于用户来说，在购买设备之前，需要了解产品能提供什么样的功能，有什么样的兼容性的要求。例如，从公司A购买了AP，然后从公司B和C购买了无线网卡，很可能存在因兼容性导致某些功能无法使用的问题。

从企业角度而言，随着无线网络应用的推进，企业需要更加注重无线网络安全的问题，针对不同的用户需求，提出一系列不同级别的无线安全技术策略，从传统的WEP加密到IEEE 802.11i，从MAC地址过滤到IEEE 802.1x安全认证技术，要分别考虑能满足单一的家庭用户、大中型企业、运营商等不同级别的安全需求。

对于小型企业和家庭用户而言，无线接入用户数量比较少，一般没有专业的IT管理人员，对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器，这种情况下，可直接采用AP进行认证，WPA-PSK+接入点隐藏可以保证基本的安全级别。

在仓库物流、医院、学校等环境中，考虑到网络覆盖范围以及终端用户数量，AP和无线网卡的数量必将大大增加，同时由于使用的用户较多，安全隐患也相应增加，此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心，并通过后台的Radius服务器进行用户身份验证，有效地阻止未经授权的用户接入。

在各类公共场合以及网络运营商、大中型企业、金融机构等环境中，有些用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet，因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证，就有可能造成服务盗用的问题，这种服务盗用对于无线接入服务提供商来说是不可接受的损失，表中专业级解决方案可以较好地满足用户需求，通过用户隔离技术、IEEE802.1i、Radius的用户认证以及计费方式确保用户的安全。

无线网络技术

1．无线局域网通信方式主要有哪几种，具体内容是什么？（ppt1··5） ①红外线方式无线局域网 红外线在电磁波频谱中仅低于可见光的频率。 红外线的优势：易于设计；价格低廉；抗干扰能力强；带宽不受限；使用频率不受限。 ②基于射频方式的无线局域网 射频简称RF，射频就是射频电流，它是一种高频交流变化电磁波的简称。 每秒变化小于1000次的交流电称为低频电流，大于10000次的称为高频电流，而射频就是这样一种高频电流。有线电视系统就是采用射频传输方式的。 2.802.11MAC 报文可以分成几类，每种类型的用途是什么？（h3cppt··34） ①数据帧: 用户的数据报文 ②控制帧：协助发送数据帧的控制报文，例如：RTS、CTS、ACK等 ③管理帧: 负责STA和AP之间的能力级的交互，认证、关联等管理工作 例如：Beacon、Probe、Authentication及Association等 3.试述AP直连或通过二层网络连接时的注册流程。 ①AP通过DHCP server获取IP地址 ②AP发出二层广播的发现请求报文试图联系一个无线交换机 ③接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发 现响应 ④AP从无线交换机下载最新软件版本、配置 ⑤AP开始正常工作和无线交换机交换用户数据报文 4.干扰实际吞吐率的因素有哪些？ 1不稳定是无线通讯的本性2无线环境不停的保持变化3物理建筑的构成4AP的位置 5共享介质：用户数数据量 5、什么叫虚拟载波侦听，它有什么效果？（ppt1··55） 虚拟载波监听(Virtual Carrier Sense)的机制是让源站将它要占用信道的时间（包括目的站发回确认帧所需的时间）通知给所有其他站，以便使其他所有站在这一段时间都停止发送数据。这样就大大减少了碰撞的机会。“虚拟载波监听”是表示其他站并没有监听信道，而是由于其他站收到了“源站的通知”才不发送数据。 这种效果好像是其他站都监听了信道。所谓“源站的通知”就是源站在其 MAC 帧首部中的第二个字段“持续时间”中填入了在本帧结束后还要占用信道多少时间（以微秒为单位），包括目的站发送确认帧所需的时间。 6.无线交换机+Fit AP系统构成特点是什么？（h3cppt··63） 1) 主要由无线交换机和Fit AP在有线网的基础上构成的。 2) AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。 所有AP和无线客户端的管理都在无线交换机上完成。 3) AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机 端口，而不会出现在AP的端口。 4) 可以在任何现有的二层或三层 LAN 拓扑上部署H3C的通用无线解决方案，而无需重新 配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。 7.试述AP通过三层网络连接时的注册流程_option 43方式。 1) AP通过DHCP server获取IP地址、option 43属性(携带无线交换机的IP地址信息) 2) AP会从option 43属性中获取无线交换机的IP地址，然后向无线控制器发送单播发现请求。 3) 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应。 4) AP从无线交换机下载最新软件版本、配置 5)AP开始正常工作和无线交换机交换用户数据报文

网络安全技术与应用

一、《网络安全技术和使用》杂志社有限公司办刊宗旨 本刊成立于2003年，先由中华人民共和国公安部主管、中国人民公安大学出版社主办。从2009年起，本刊改由中华人民教育部主管，北京大学出版社主办，是国内网络安全技术和使用领域行业指导性科技月刊，国内外公开发行。 本刊针对网络安全领域的“新人新潮新技术”，旨在传达和反映政府行业机构的政策、策略、方法，探索和追踪技术使用的最新课题、成果、趋势，透视和扫描企业、人物及产业项目的形象、风采、焦点，推动并引领行业整体进步和发展。 本刊系“三高两强”刊物，即信息量高、学术水平高、技术含量高；专业性强、使用性强。读者定位侧重于政府有关各部门领导、干部、专业工作者，企事业、军队、公安部门和国家安全机关，国家保密系统、金融证券部门、民航铁路系统、信息技术科研单位从事网络工作的人员和大专院校师生，信息安全产品厂商、系统集成商、网络公司职员及其他直接从事或热心于信息安全技术使用的人士。 创刊以来，本刊和国内外近百家企业建立了良好的合作关系，具体合作方式包括：长期综合合作、协办、支持、栏目协办和中短期合作。今后，本刊愿和国内外业界权威机构、团体、政府官员及专家学者进一步建立、开展广泛的联系和交流，热忱欢迎业界同仁以多种形式加盟我们的事业。 本刊通过邮订、邮购、赠阅、派送、自办发行及定点销售等多渠道发行，目前发行范围集中于公安、军队、电信、银行、证券、司法、政府机构、大专院校及政务、商务其它各行业使用领域的广大读者。 二、《网络安全技术和使用》主要栏目 焦点●论坛 特别报道：中国信息安全技术和使用中热点、焦点和难点问题的深度报道；业内重大事件透视。 权威论坛：业内专家、学者和官方以及政府有关领导及权威人士的署名文章、讲话，从宏观上对网络安全技术和使用方面的趋势、走向和策略，进行深层次的论述。 技术●使用

论网络与信息安全的重要性以及相关技术的发展前景

论网络与信息安全的重要性以及相关技术 的发展前景 信息技术应用研究计算机光盘软件与应用ComputerCDSoftwareandApplications2011 年第 2 期论网络与信息安全的重要性以及相关技术的发展前景陆成长 2,钟世红 (1.中国海洋大学 ,山东青岛 266100;2.潍柴动力股份有限公司 ,山东潍坊261001) 摘要 :随着科技的发展 ,互联网的普及 ,电子商务的扩展 ,信息化水平的大幅度提高 , 网络与信息安全也越来越受 到重视 .本文将立足现实 ,浅析网络与信息安全的重要性以及相关技术的发展前景. 关奠词 :网络;信息;网络与信息安全 ;重要性;发展前景 中圈分类号：TP309文献标识码:A文章墙号：1007— 9599(2011)02-0016— 01 TheImportanceofNetwork&Information SecurityandRelatedTechnologyDevelopmentProspects LuChengzhang~.2, ZhongShihong= (1.ChinaOceanUniversity,Qingdao266100,China;2.WeichaiPowerCo.,Ltd.,Weif ang26 1001,China) Abstract：Withtechnologydevelopment,popularityoftheImernet,e-commerceexpansion, substantialincreaseinthelevelof informationtechnology,networkandinf~mafionsecuritygetmoreandmoreattenti on.Thisa rticlebasedOnreality,discussthe importanceofnetworkandinformationsecurityandre~tedtechnologydevelopment prospe cts. Keywords： Network;Infolmation;Networkandinformationsecurity;Importance;Develop

无线网络技术及应用

邮电大学工程硕士研究生堂下考试答卷 2016学年第二学期 考试科目无线网络技术及应用 姓名 年级 专业 2016年 6月28日

D2D终端直通技术研究 摘要：D2D(device-to-device)通信是一种在蜂窝系统的控制下，允许终端用户通过共享小区资源进行直接通信的新技术，通过提高空间利用率从而提高频谱利用率，在某些场景下使移动通信变得更加直接和高效，缓解基站压力，提高用户体验。本文首先给出了D2D通信系统的基本概念、技术特点，重点关注干扰管理、模式选择、资源分配和功率控制。最后对D2D通信技术在下一代网络中的应用提出了一些构想。 关键词：D2D通信技术；蜂窝网络；资源分配；下一代网络 一、D2D的概念及技术特点 D2D（Device-to-Device）通信，也称为邻近服务（Proximity Service，Pro Se），是由3GPP组织提出的一种点到点的无线通信技术，它可以在蜂窝通信系统的控制下允许LTE终端之间利用小区无线资源直接进行通信，而不经过蜂窝网络中转。作为面向5G的关键候选技术，D2D技术能够提升通信系统的频谱效率，减轻系统负荷，在一定程度上解决无线通信系统频谱资源匮乏的问题。同时，由于降低了通信距离，D2D技术还可以降低移动终端发射功率，减少电池消耗，提高终端续航时间。LTE-D2D 有以下几个技术特点。 (1)工作在许可频段 基于LTE技术的D2D工作在许可频段，作为LTE通信技术的一种补充，它使用的是蜂窝系统的频段，通过基站对无线资源的控制使得对小区其他用户的干扰控制在可接受围，因此可以给用户提供干扰可控的环境和较高质量的通信服务。并且利用网络中广泛分布的用户终端以及D2D通信链路短距离的特点，可以实现频谱资源的有效利用，获得资源空分复用增益。而蓝牙、Wi-Fi Direct、Flash Lin Q等技术，工作在免许可频段，存在严重干扰，通信QoS无法得到保障。 (2)网络参与D2D通信流程

无线网络功能测试的方案

目录 第1章概述 (2) 1.1总体需求分析 (2) 第2章测试范围及设备 (2) 2.1厂家需要提供设备 (2) 2.2厂家需要提供测试软件 (2) 2.3测试拓扑图 (3) 第3章测试内容 (4) 3.1基础性能测试 (4) 3.1.1零配置轻量级AP管理 (4) 3.1.2用户在不同AP下接入相同SSID的动态VLAN分配 (5) 3.1.3室内AP的MESH连接 (6) 3.2无线性能指标测试 (6) 3.2.1802.11abg AP接入802.11a/b/g终端上行吞吐率测试 (6) 3.2.2802.11a/b/g AP接入802.11a/b/g终端下行吞吐率测试 (7) 3.2.3802.11a/b/g AP接入802.11a/b/g终端上、下行吞吐率测试 (8) 3.3安全性测试 (9) 3.3.1认证加密支持能力 (9) 3.3.2非法AP的检测及压制 (10) 3.3.3无线IDS/IPS功能 (11) 3.3.4SSID信息保密 (12) 3.3.5假冒IP地址阻断 (13) 3.3.6无线控制器失效对AP的影响 (14) 3.3.7无线接入用户之间的隔离 (15) 3.4管理维护 (16) 3.4.1客户端RF链路检测 (16) 3.4.2客户端的远程排障功能 (17) 3.4.3实时热感图 (19) 3.4.4非法AP、终端实时定位 (19) 3.4.5无线网络状态仪表盘（设备、终端、协议...） . (20) 3.4.6无线设备状态管理 (21) 3.4.7终端设备状态 (22) 3.4.8无线安全管理 (23)

第1章概述 1.1总体需求分析 第2章测试范围及设备 本方案规定了WLAN接入设备的测试项目、测试要求、测试范围和测试内容等，提出了WLAN接入设备的功能、安全、性能、管理和维护等的测试要求。 2.1厂家需要提供设备 2.2厂家需要提供测试软件

浅谈无线技术及其应用(一)

浅谈无线技术及其应用(一) 【摘要】文章阐述了无线局域网技术的基本概念，从各个角度全面探讨了无线技术与传统有线网络的区别，并通过无线技术在悉尼机场的具体实施来深入分析无线技术所带来的效益。【关键词】无线技术；优势；互联网；应用 在信息化时代，计算机和网络已成为人们生活中的不可缺少部分。但传统有线网络在某些应用场合受到一定程度的限制：布线、改线以及调试的工程量大；线路容易损坏；网中的各节点不可移动等。从而使迅速增加的网络需求形成了严重的技术瓶颈。因此，以高效快捷、组网灵活为优势的无线局域网应运而生。 一、无线技术与传统有线网络的区别 无线互联网是计算机网络与无线通信技术相结合的产物，它采用无线传送方式提供传统有线互联网的所有功能，但不会受到线缆的限制。网络系统的基础设备不再需要埋在地下或藏在墙里，它可以是移动性的，也可以随组织的成长发生变化。在无线网络中，终端不像在有线网络中那样，必须保持固定在网络中的某个节点上，而是可以在任意的时间做任意的移动，同时要求能自如的访问网络中的资料。大体来讲，无线网络和传统的有线互联网相比，具有如下不同点。 （一）组网灵活性差异 由安装上无线网卡的几台PC机互通信息就可以组成一个纯无线网络系统，当然也可以与原有的有线网络相结合，对原有网络进行扩展。因此，无线网络组网方便、快捷，安装和拆除都很简单，有很好的灵活性，特别适合展馆的临时组网。相对而言，有线网络的组建就需要考虑网络设备以及线缆的选择，铺设线缆的场地的选择。如果对原有网络进行扩展，还要进行网络兼容性等问题的考虑和解决。 （二）网络部署方式不同 有线网络的建立必须依赖于一定的线缆，并且网络节点是固定的，只有确定了目的地点，才能进行访问。而无线网络不受网线限制，可以随时建立和拆除，它允许用户在一定范围内任何时候都可以访问网络数据，不需要指定明确的访问地点，用户可在网络中漫游，这是无线网络与有线网络的本质区别。 （三）网络各层的功能不同 为了达到网络的透明，无线网络希望在逻辑链路层就能和别的网络相通，这就使得无线网络必须将处理移动工作站以及保持数据传送可靠性的能力全做在介质访问控制层。这和有线网络在介质访问控制层的功能是不同的。 （四）抗干扰性差异 有线网络有一个很明显但又难以避免的弱点，就是线路本身容易遭到破坏，因此抗毁性较差。无线网络采用直接序列技术和跳频技术，因此，无线系统具有很强的抗干扰能力。 （五）长期投资费用不同 有线网络的安装，需要高成本费用的线缆，租用线缆的费用也较高，尤其是那些网络覆盖面比较广的大型网络系统。从长远来看，无线网络从安装到日后维护，以及网络的扩展都有很大的经济优势。 二、悉尼机场的无线技术实施背景 悉尼机场是澳大利亚历史最悠久、持续经营最长的商业机场之一，同时也是澳大利亚乃至全球最繁忙、规模最大的国际机场之一，每年至少有将近2500万名来自世界各地的旅客经由悉尼机场而出入澳大利亚，因此悉尼机场所要承受的旅客对高质量服务要求的压力也是显而易见的。 随着全球经济的高速发展，不管是到国内外旅游的旅客，还是商务出差的从职人员不断地增加，显然这势必给悉尼机场的经营者带来了丰厚的利润，但同时也给悉尼机场的各方面基础

网络安全技术发展分析.

网络安全技术发展分析 2007年，网络安全界风起云涌，从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击，从频频被利用的系统漏洞到悄然运行的木马工具，网络攻击者的手段也更加高明。 网络攻击的发展趋势 综合分析2007年网络攻击技术发展情况，其攻击趋势可以归纳如下： 如今安全漏洞越来越快，覆盖面越来越广 新发现的安全漏洞每年都要增加一倍之多，管理人员要不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的许多新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。 攻击工具越来越复杂 攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有以下特点： ?反侦破和动态行为 攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；早期的攻击工具是以单一确定

的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为。 ?攻击工具的成熟性 与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。 攻击自动化程度和攻击速度提高，杀伤力逐步提高 扫描可能的受害者、损害脆弱的系统。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。 传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。 目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。 越来越不对称的威胁 In ter net上的安全是相互依赖的。每个In ter net 系统遭受攻击的可能性取决于连接到全球In ternet上其他系统的安全状态。 由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系

无线局域网技术概述

无线局域网技术概述 摘要：本文论述了近年来发展迅速的无线局域网技术，并通过实际工程案例，介绍了相关的知识。 前言 在这个“网络就是计算机”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（Wirelesslocal-areanetwork，WLAN）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。 无线局域网的历史 说到无线网络的历史起源，可能比各位想像的还要早。无线网络的初步应用，可以追溯到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感，在1971年时，夏威夷大学（UniversityofHawaii）的研究员创造了第一个基于封包式技术的无线电通讯网络，这被称作ALOHNET的网络，可以算是相当早期的无线局域网络（WLAN）。这最早的WLAN包括了7台计算机，它们采用双向星型拓扑（bi-directionalstartopology）,横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（OahuIsland）上。从这时开始，无线网络可说是正式诞生了。虽然目前几乎所有的局域网络（LAN）都仍旧是有线的架构，不过近年来无线网络的应用却日渐增加，主要应用在学术界（像是大学校园）、医疗界、制造业和仓储业等，而且相关的技术也一直在进步，对企业而言要转换到无线网络也更加容易、更加便宜了。 无线局域网的技术特点 无线局域网利用电磁波在空气中发送和接受数据，而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11Mbps，传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解决使用有线方式不易实现的网络联通问题。 1.无线局域网的优点 与有线网络相比，无线局域网具有以下优点： 安装便捷

wifi无线局域网技术的应用与研究

wifi无线局域网技术的应用与研究 摘要：随着互联网的迅速发展及普及，Wi-Fi 无线覆盖网络区域的形成，如何在覆盖广、带宽高、低使用资费的Wi-Fi无线局域网络中，提高信息安全性及IP地址的有效分配，减少无效IP地址占用变成了一个很实际的问题。 关键词：无线局域网；WiFi；IP 中图分类号：TN925.93 文献标识码：A文章编号：1007-9599 (2011) 17-0000-01 Wifi Wireless LAN Technology Application and Research Zhang Ning (China Telecom Group,Jilin Province Changchun Telecom Branch,Changchun130033,China) Abstract:With the rapid development and popularization of the Internet,Wi-Fi wireless network coverage area to form,how to cover a wide bandwidth,high and low use rates of Wi-Fi wireless local area network,to improve information security and the efficient allocation of IP addresses,reduce occupancy invalid IP address into a very practical problem.

无线网络技术的原理及应用浅析

无线网络技术的原理及应用浅析网络的发展可谓是日新月异，随着无线网络技术的飞速发展为我们组建局域网提供了一个新的手段，我们再也不会因为没有事先做好布线工作而苦恼了，而今我们可以利用无线WLAN技术来搭建内部无线网络。无线网络设备的价格越来越低，组建无线局域网的家庭已经不在少数。但无线网络的传输原理及如何能够增加无线信号的覆盖范围，很多人可能不太了解，还是让我们先来了解一下无线网络的原理吧。 无线网络是计算机网络与无线通信技术相结合的结晶，它提供了使用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化和多媒体应用提供了潜在的手段。一般而言，凡采用无线传输的计算机网络都可称为无线网。从WLAN到蓝牙、从红外线到移动通信，所有的这一切都是无线网络的应用典范。它不采用传统电缆线提供传统有线局域网的所有功能，网络所需的基础设施不需要埋在地下或隐藏在墙里，网络能够随着实际需要移动或变化。说得通俗点，就是局域网的无线连接形式，也就是无线局域网(Wireless Local-area Network)，我们经常看到的WLAN就是指无线网络。 无线局域网的传输原理和普通有线网络一样，也是采用了ISO/RM七层网络模型，只是在模型的最低两层“物理层”和“数据链路层”中，使用了无线的传输方式。尽管目前各类无线网络的标准和规范并不统一，但是就其传输方式来看肯定是以下两种之一：无线

电波方式和红外线方式。采用无线电波进行传输，不仅覆盖范围大、发射功率强，而且还具有隐蔽性、保密性等特点，不会干扰同频的系统，具有很高的可用性。所以现在的计算机无线网络基本都是采用此种方式。 很多采用无线局域网的用户可能会遇到信号不稳定、掉线、信号死角等问题。目家庭常用的54M无线路由的信号覆盖范围足以遍布普通家庭。但是信号会受到环境等一些客观因素的影响而出现衰减，障碍太多，玻璃、墙等等都会对无线信号造成衰减。还有电器，如微波炉、冰箱、空调、电视都会阻碍信号的传播。阻隔信号最厉害的就是金属，如果你家的承重墙中的金属多，那墙另一面信号就会弱很多。所以AP或者无线路由的摆放位置一定要做好。 无线路由摆放位置合理，解决了信号穿透性的问题，但信号传输还是不理想，出现这个问题其实就是频道冲突，无线信号串扰所造成的。54M无线信号频道有11个，如果附近有邻居使用的信道跟我们的一样，那么，我们双方的无线信号都会受到影响。还有就是，一个频道的信号会同时干扰与其相邻的两个频道，即频道6的信号也会影响到频道5和频道7，所以我们在设置无线信道的时候，应该尽量使自己的信道离其他信号频道两个以上。但要如何来确定邻居用了哪个频道呢？可以用Network Stumbler扫描一下，看看附近都有哪些无线信号，都使用了哪个频道。即使无线信号不广播SSID号和进行WEP 与WPA加密也可以通过Network Stumbler扫描出来。 还有一些是对天线的改进，更改增益，增强信号的覆盖范围和强

计算机网络安全的主要技术

随着计算机应用范围的扩大和互联网技术的迅速发展，计算机信息技术已经渗透到人们生活的方方面面，网上购物、商业贸易、金融财务等经济行为都已经实现网络运行，“数字化经济”引领世界进入一个全新的发展阶段。然而，由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨人员的攻击，计算机网络安全问题日益突出。在网络安全越来越受到人们重视和关注的今天，网络安全技术作为一个独特的领域越来越受到人们关注。 一、网络安全的定义 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。 二、影响网络安全的主要因素 （1）信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 （2）信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。 （3）传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。 （4）网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。 （5）非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。 （6）环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。 （7）软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP 协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。 （8）人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。 三、计算机网络安全的主要技术 网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如下：认证技术、加密技术、防火墙技术及入侵检测技术等，这些都是网络安全的重要防线。 （一）认证技术

无线局域网安全技术WPA简介

无线局域网安全技术WPA简介 WEP是数据加密算法，它不是一个用户认证机制，WPA用户认证是使用802.1x和扩展认证协议(Extensible Authentication Protocol:EAP) 来实现的。 在802.11标准里,802.1x身份认证是可选项; 在WPA里802.1x身份认证是必选项(关于EAP明确的详细资料，请查阅IETF的RFC2284)。 对于加密,WPA使用临时密钥完整性协议（TKIP：Temporal Key Integrity Protocol）的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。 WPA安全的密钥特性 WPA标准里包括了下述的安全特性:WPA认证、WPA加密密钥管理、临时密钥完整性协议(TKIP)、Michael消息完整性编码(MIC)、AES支持。 WPA改善了我们所熟知的WEP的大部分弱点，它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站、AP和认证服务器(典型的RADIUS服务器)。在无线用户访问网络之前，RADIUS服务掌控用户信任(例如:用户名和口令) 和认证无线用户。 WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序. 它主要的作用包括: 网络安全性能可确定。它可应用于802.11 标准中,并通过数据包里的WPA信息进行通信、探测响应和(重)联合请求。这些基础的信息包括认证算法(802.1x或预共享密钥)和首选的密码套件(WEP,TKIP或AES)。

认证。WPA使用EAP来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构，802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。802.1x EAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的。 在工作站客户端程序(Supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。例如,如果AP是使用的预共享密钥方法,那么客户端程序不需要使用成熟的802.1x。然而，客户端程序必须简单地证明它自己所拥有的预共享密钥给AP; 如果客户端检测到服务单元不包含一个WPA元素，那么它必须在命令里使用预WPA 802.1x认证和密钥管理去访问网络。 密钥管理。WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能。在工作站和AP之间成功的认证和通过4步握手后, 密钥产生了。 数据加密。临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点。数据完整性：TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC)，来确保信息不会被“哄骗”。 802.1x的认证过程 1.最初的80 2.1x通讯开始以一个非认证客户端设备尝试去连接一个认证端(如AP)，客户端发送一个EAP起始消息。然后开始客户端认证的一连串消息交换。 2.AP回复EAP-请求身份消息。 3.客户端发送给认证服务器的EAP的响应信息包里包含了身份信息。AP通过激活一个

无线局域网期末复习试题库

复习纲要 本试卷的题分布在本教材前八章里，第1章里占20%，第2章里的内容占20%，第3章里的内容占10%，第4章里的内容占10%，第5章里的内容占10%，第6章里的内容占5%，第7章里的内容占20%，第8章的内容占5%，第9章里的内容不占本试卷的内容。其中有题型：选择题、填空题、解释题、简答题和应用题五种题型。 第1章主要介绍无线局域网的基本概念基础。初步介绍了无线广域网、无线城域网、无线局域网和无线个域网 一、选择题 1.（ A ）WLAN技术使用了哪种介质？ A 红外线 B 双绞线 C 光纤 D 同轴电缆 2.（ C ）什么WLAN设备被安装在计算机内或者附加到计算机上，提供到无线网络 的接口？ A 接入点 B 天线 C 无线网卡D中继器 3.无线网络的技术可以包括远距离连接的全球( D )网络。 A 微波 B 激光 C 红外线D语音和数据 4.（ B ）蓝牙设备工作在哪一个RF频段？ A 900MHz B 2.4GHz C 5.8GHz D 5.2GHz 5.IEEE802.20的物理层以正交频分复用(OFDM)技术和多入多出(MIMO)技术为核心，充分利 用时域、频域和( B )域的资源，大大提高了系统的频谱效率。 A 频率 B 空间 C 时间D电话系统 6.（ A ）一个学生在自习室里使用无线连接到他的实验合作者的笔记本电脑，他正 在使用的是什么无线模式？ A ad-hoc模式 B 基础结构模式 C 固定基站模式 D 漫游模式 7.IEEE802.20能够满足无线通信市场高移动性和高吞吐量的需求，具有性能好、效率高、 成本低和( D )等特点。 A 时间 B 空间 C 频率 D 部署灵活 8.（ B ）当一名办公室工作人员把他的台式计算机连接到一个WLAN BSS时，要用 到什么无线网络模式？ A ad-hoc B 基础结构模式 C 固定基站模式 D 漫游模式 9.WiMesh是一种基于IP协议的(A )技术，它支持多点对多点的网络结构，采用移动自 组织结构，具有自组网、自管理、自修复、自平衡等优点，避免了星状网络单点故障的问题。

网络安全技术的发展和展望

网络安全技术的发展和展望 摘要：随着信息网络技术的应用日益普及和深入，网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失，每年都在快速增长。为了有效地保护企业网络，大多数企业部署了涉及到多层的网络安全产品，其中包括防火墙，入侵检测系统，和病毒检测网关等。在本文中，我们首先了解下目前常用的网络安全技术，通过深入学习各个层的不同的安全技术能过更好地解决网络系统的安全问题。 关键词：网络；安全；数据包；防火墙；入侵防御；防病毒网关 网络安全技术的现状 目前我们使用各种网络安全技术保护计算机网络，以降低恶意软件和各种攻击给企业带来的风险。使用的网络安全技术大致可以分为四类： 1. 数据包层保护：如路由器的访问控制列表和无状态防火墙； 2. 会话层保护：如状态检测防火墙； 3. 应用层保护：如代理防火墙和入侵防御系统； 4. 文件层保护：如防病毒网关系统。 在表-1中对四类网络安全技术进行了比较，并且评估各种技术涉及的协议，安全机制，以及这些技术对网络性能的影响。 表-1 网络安全技术的比较 数据包过滤保护 数据包过滤保护是目前应用最广的控制网络访问的一种方式。这种技术的原理很简单：通过比较数据包头的基本信息来确定数据包是否允许通过。Cisco IOS 的访问控制列表（ACL）是应用最广泛的一种包过滤工具。Linux操作系统中的IPChains也是一种常用的包过滤工具。 对于某些应用协议，在传输数据时，需要服务器和客户端协商一个随机的端口。例如FTP，RPC和H323.包过滤设备不能保护此类协议。为了保证此类应用的数据包通过包过滤设备，需要在访问控制列表上打开一个比较大的”漏洞”，这样也就消弱了包过滤系统的保护作用。 状态检测防火墙 会话层的保护技术通过追踪客户端和服务器之间的会话状态来控制双向的数据流。状态检测防火墙记录会话状态信息，而且安全策略是也是对会话状态的允许或拒绝。对于基于面向连接的TCP协议应用程序，状态检测防火墙提供更丰富的安全策略： 1. 直接丢弃来自客户端/服务器的数据包； 2. 向客户端，或服务器，或者双方发送RST包，从而关闭整个TCP连接； 3. 提供基本的QoS功能。 状态检测防火墙能够监测到客户端和服务器之间的动态端口的协商，从而能够控制动态协议的数据流。例如，对于FTP协议，状态检测防火墙通过监测控制会话中的协商动态端口的命令，从而控制它的数据会话的数据传输。 应用层保护 为了实现应用层保护，需要两个重要的技术：应用层协议分析器和内容匹配技术。应用层保护技术通过应用层协议分析器分析数据流的，从而过滤掉应用。目前，安全设备厂商提供多种安全产品提供应用层保护技术，其中部署比较广泛

无线局域网及安全技术

第26卷　第8期2010年4月 甘肃科技 Gansu Science and Technol ogy V ol.26　N o.8 A pr.　2010无线局域网及安全技术 魏宗旺 (甘肃省秦安县生产力促进中心,甘肃秦安741600) 摘　要:近年来,随着有线局域网的基本普及和科技的飞速发展,无线局域网也得到了迅速的发展,它是采用电磁波作为载体进行信号传输,既给用户提供了方便,又节约了传输线路的成本,但仍存在着信息泄露及被窃听的安全隐患。本文着重分析了降低无线网络安全隐患的几种主流技术。 关键词:无线局域网;安全;蓝牙;HomeRF;自适应;智能天线 中图分类号:TP393.17 无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物,它使用无线信道来接入网络,为通信的移动化、个人化和多媒体应用提供了潜在的手段,并成为宽带无线接入的有效途径之一。但是无线网络的数据传输是利用微波在空气中辐射传播,因此,只要在AP覆盖的范围里,所有无线终端都可以接收到无线信号,因此WLAN的安全问题就显得尤为突出目。 1　无线局域网的特点及含义 1.1　无线局域网的特点 WLAN的主要特点是具有可移动性,不受布线接点位置的限制;数据传输速率高,大于1mbp s;抗干扰性强,能实现很低的误码率;安装便捷,一般只需安装一个或多个接入点(AP)就可以建立局域网;保密性较强,数据提取,又不至于泄密;高可靠性,数据传输几乎没有丢包现象产生;兼容性好,采用载波侦听多路访问/冲突避免介质访问协议,用户已有的网络软件可以不做任何修改就可以在无线网上运行;经济节约,由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,往往导致预设大量利用率较低的信息点,而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而WLAN可以避免可使用户进行有效的数据提取,又不至于泄密;可靠性高,数据传输几乎没有丢包现象产生;兼容性好,采用载波侦听多路访问/冲突避免介质访问协议,用户已有的网络软件可以不做任何修改就可以在无线网上运行;经济节约,由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,往往导致预设大量利用率较低的信息点,而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而WLAN可以避免或减少以上情况的发生;易于扩展,无线局域网有多种配置方式,能够根据需要灵活选择。由于无线局域网具有多方面的优点,所以得到了广泛的应用[1]。 1.2　无线局域网的应用范围 (1)电子邮件、文件传输和终端仿真;(2)老建筑、布线困难或昂贵的露天区域、城市建筑群、校园、工厂等;(3)频繁更换工作地点或改变位置的零售商、生产商,以及野外勘测、试验、军事、公安和银行等;(4)在林区进行火灾、病虫害等信息的传输;公安交通管理部门进行交通管理等;(5)学校、商业展览、建设地点等人员流动较强的地方;零售商、空运和航运公司高峰时间所需的额外工作站等;(6)办公室和家庭办公室(S0H0)用户,以及需要方便快捷地安装小型网络的用户。 2　无线局域网的关键技术 目前,实现无线局域网的关键技术主要有4种:蓝牙无线接入技术、家庭网络的Home RF、自适应技术以及智能天线技术[2]。 2.1　蓝牙技术 B luet ooth(蓝牙)是一种短距的无线通讯技术,电子装置彼此可以透过蓝牙而连接起来。透过芯片上的无线接收器,配有蓝牙技术的电子产品能够在10m的距离内彼此相通,传输速度可以达到10m/s。以往红外线接口的传输技术需要电子装置在视线之内的距离,而现在有了蓝牙技术,这样的困难也可以免除了。 2.2　Hom eR F技术 HomeRF技术是由HomeRF工作组开发的,是

无线局域网的安全技术特点与应用

无线局域网的安全技术特点与应用 无线局域网是计算机网络与无线通信技术相结合的产物。它利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。 无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网就是在不采用传统电缆线的同时，提供以太网或者令牌网络的功能。 1、安装便捷。一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工过程中，往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点AP(Aess Point)设备，就可建立覆盖整个建筑或地区的局域网络。 2、使用灵活。在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。

3、经济节约。由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造，而无线局域网可以避免或减少以上情况的发生。 4、易于扩展。无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点，所以发展十分迅速。在最近几年里，无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。 根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用有如下几种： 1.网桥连接型：不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。 2.基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联

网络安全技术的现状与发展

信息要会与營理信豔与电睡 China Computer&Communication2018年第8期 网络安全技术的现状与发展 田铁刚 (黑龙江工业学院，黑龙江鸡西158100) 摘要：随着经济的不断发展，人们生活水平的不断提高，计算机开始进入每一个家庭，同时，互联网也发展起来。如今基本上每一个家庭都联通了互联网，这大大方便了人们之间的信息交流。但是一些问题也开始慢慢凸显出来，其中 最大的问题就是互联网的安全问题。笔者着重阐述了互联网安全的现状，详细探讨了互联网安全技术未来的发展趋势，并且给出一些加强网络安全的措施，希望能够为网络的安全作出贡献。 关键词：互联网；网络安全技术；广域网；发展趋势；信息安全 中图分类号：TP393. 08 文献标识码：A文章编号：1003-9767 (2018) 08-174-02 Network Security Technology Status and Development Tian Tiegang (Heilongjiang University of Technology,Jixi Heilongjiang158100, China) Abstract:With the continuous development of the economy and the continuous improvement of people’s living standard, computers have begun to enter every family.At the same time,the Internet has also developed.Nowadays,every family is basically connected to the Internet,which greatly facilitates the exchange of information between people.But some problems are beginning to emerge.The biggest problem is the security of the Internet.The author focuses on the current situation of Internet security,and then discusses the future development trend of Internet security technology in detail,and gives some measures to strengthen the network security,hoping to make contribution to the security of the network. Key words：Internet;network security technology;wide area network;development trend;information security 随着科技的发展，互联网技术被不断应用到了各行各业，目前计算机的作用不只是计算一些数据，开始通过互联网来 构建一些信息平台，从而实现信息的连通，帮助人们进行信 息的交流。虽然为人和人之间的交流提供了方便，但是一些 安全问题也越来越突出，由于互联网的发展越来越快，网络 环境比较混杂，这就造成网络安全问题越来越突出。因此，必须要分析现阶段的计算机网络发展存在的一些安全问题，针对这些问题重新规划互联网的发展途径，以改变互联网的 安全现状。 1网络安全技术的现状 互联网信息的安全主要是保证互联网设备和计算机软件 以及网络信息的安全[1]，要做到这些就必须从计算机硬件和 软件出发，采取一定的措施使得它们免受攻击，这样就可以 有效防止硬件损坏和信息泄露，才能保证计算机网络的整体 安全，使得互联网能够正常服务于人们。 目前，互联网已深入到了每一个家庭，人们之间的信息交流也非常便捷，如视频通话、微信支付、电子商务等等，都凸显出了互联网的优越性，使得人们的生活更加智能化，生活的质量提高。互联网技术满足了人们的生活需求，使得 人们的生活更加简单方便。 经过了很长时间的发展我国在网络安全方面取得了长足 的进步，以往我国的计算机网络安全主要依靠防火墙'防火墙的功能相对单一，随着技术的进步防火墙开始被拥有报 警、防护、恢复、检测等功能的安全系统所取代，并且在此 基础上建立了相对安全的网络模型，这种系统在技术上有了 非常大的进步，用户的计算系统也越来越安全。虽然我国的 计算机安全技术有了很大的进步，但是一些网络病毒不断演 变，网络安全还面临很大的威胁。 2网络安全的影响因素 从互联网诞生以来计算机网络安全问题一直影响着我 国的互联网，它是历史遗留的问题，随着技术的进步网络安 全问题不可能全部被消除，影响其安全性的因素包括以下几 作者简介：田铁刚（1979-)，男，黑龙江鸡西人，硕士研究生。研宄方向：网络安全与服务。 174