电子信息类论文：无线局域网安全机制探索__墨水学术,论文发表,发(3)

分类：计算机网络论文范文 时间：关注：(1)

的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
　　(2)基于无线网卡物理地址过滤防止非法用户接入
　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。
　　(3)基于802.1x防止非法用户接入
　　802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。[如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。
　　2、非法AP的接入
　　无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP，不经过授权而连入网络，这就给无线局域网带来很大的安全隐患。
　　基于无线网络的入侵检测系统防止非法AP接入
　　使用入侵检测系统IDS防止非法AP的接入主要有两个步骤，即发现非法AP和清除非法AP。
　　发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。发现AP后，可以根据合法AP认证列表判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。
　　当发现非法AP之后，应该立即采取的措施，阻断该AP的连接，有以下三种方式可以阻断AP连接:
　　采用DoS（DenialofService拒绝服务）攻击的办法，迫使其拒绝对所有客户的无线服务;
　　网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开。
　　检测出非法AP连接在交换机的端口，并禁止该端口
　　基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入。在无线AP接入有线交换设备时，可能会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效地防止非法AP的接入。
　　基于检测设备防止非法AP的接入
　　在入侵者使用网络之前，通过接收天线找到未被授权的网络。对物理站点的监测，应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测，清除非法接入的AP。五、数据安全措施
　　在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译；使用数据访问控制能够减少数据的泄露。
　　1、数据加密
　　(1)IEEE802.11中的WEP
　　有线对等保密协议（WEP）是由IEEE802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据

• 共4页:
• 上一页
• 1
• 2
• 3
• 4
• 下一页