局域网安全性研究.doc

1、中国防卫科技学院学士学位论文 中国防卫科技学院 本科生论文 （二OO九届） 论文题目：无线局域网安全性研究 论文作者:于新刚 学 号:05061303126 专业方向：计算机科学与技术 指导教师:高小玲 中国防卫科技学院 二○○九年五月 中国防卫科技学院 本科毕业论文(设计）开题报告 学生姓名 于新刚 学 号 05061303126 专 业 计算机科学与技术 年 级 2005级 论 文 题 目 无线局域网安全性研究 本课题的研究现状 随着无线局域网的广泛应用，无线局域网已经融入了人们的生活，无线局域网的安全问题也越来越

2、被人们重视，安全问题已经成为制约无线局域网发展的重大阻碍，安全防护技术也日新月异.相信在不久的将来,安全问题将不会在是制约无线局域网发展的瓶颈。 研究目的、意义 无线局域网的安全问题已经成为现阶段无线局域网发展最需要解决的问题，无线局域网在人们的生活中出现的频率越来越高，安全问题也越来越需要解决.本文通过研究一些常见的无线局域网的安全问题及解决方法,是人们进一步的了解无线局域网的安全防护. 研究内容、研究方法 本文简述了无线局域网的由来和安全防护,并通过查找资料，介绍了一些常用的安全防护措施. 论文撰写提纲 1， 无线局域网的概念 2， 无线局域网的相关技术标准 3，

3、常用无线局域网设备简介 4， 无线局域网的应用 5， 无线局域网的安全和防护 6， 总结 主要参考文献 1、电子工业出版社《IEEE802。11无线局域网》 2、北京邮电大学出版社《宽带无线接入和无线局域网》 3、清华大学出版《无线网络通信原理与应用。》 4、Internet WAP：无线局域网新安全机制 5、微处理器2008年10月 无线局域网安全架构分析 论文进度安排 2月 查阅资料,翻看相关书籍 3月 完成论文大体架构 4月 论文初稿完成 5月 经过多次修改,论文定稿 指导教师意见 指

4、导老师签字： 年 月 日 系审核意见 负责人签字: 年 月 日 教务处制表 中国防卫科技学院 本科毕业论文(设计）任务书 姓 名 于新刚 学 号 05061303126 年 级 2005级 系 别 专 业 计算机科学与技术 指导教师 高小玲 职 称 教授 单 位 信息工程分院 论文题目 无线局域网安全性研究 论文 主 要 内 容 论文主要简述了无线局域网的相关知识，并着重研究了无线局域网的安全问题及其相应的防护措施。 主 要 参 考 文 献 1、电子工业出版社《IEEE802。11无线局域网》 2

5、北京邮电大学出版社《宽带无线接入和无线局域网》 3、清华大学出版《无线网络通信原理与应用。》 4、Internet WAP：无线局域网新安全机制 5、微处理器2008年10月 无线局域网安全架构分析 写 作 进 度 安 排 2月 查阅资料，翻看相关书籍 3月 完成论文大体架构 4月 论文初稿完成 5月 经过多次修改，论文定稿 教研室审定意见: 教研室主任签字： 年 月 日 摘 要 无线局域

6、网是近年来发展迅速的无线数据通讯网.安全性能，成为无线局域网的关键性能之一。本文简单介绍了无线局域网的由来和现况，并主要分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点，介绍了最新发展的几种无线局域网安全机制。 关键词：无线局域网，安全机制，加密，安全架构 Abstract Wireless local area network in recent years the rapid development of wireless data communication network。 Security performance， wireless LAN has become

7、one of the key to performance. In this paper， a brief account of the origin of a wireless local area network and the current situation and the main analysis of the current wireless local area network using the basic security mechanism of the main technical characteristics and shortcomings of the lat

8、est developments introduced several wireless local area network security mechanisms。 Key words： Wireless LAN，Security mechanism，Encryption，Security architecture 目 录 第一章无线局域网的概念9 1.1无线局域网的简介9 1。2无线局域网的历史9 1.3无线局域网的技术特点及优点10 1.3。1无线局域网的技术特点10 1.3．2无线局域网的优点12 第二章无线局域网的技术相关标准14 2。1 IEEE简介14 2

9、2 IEEE802。11发展史14 2。3 HomeRF无线标准15 2。4 HiperLAN216 2。5 Bluetooth17 第三章常用无线局域网设备简介18 3。1无线网卡基本介绍18 3。2 无线路由器/AP基本介绍18 第四章无线局域网的应用20 4。1无线局域网的应用领域20 4.2无线局域网的连接结构20 第五章无线局域网的安全和防护22 5。1无线局域网安全问题的主要特点22 5.2无线局域网的常用安全措施22 5。2。1服务集标识符（SSID)22 5。2。2物理地址（MAC）过滤控制23 5。2。3有线对等保密机制（WEP）23 5。3

10、构建安全的无线网络26 5。3.1 802.1X端口访问控制机制26 5.3。2 VPN—Over—Wireless技术29 5.3。3 WPA （Wi-Fi 保护访问) 技术30 5。3。4 强健安全网络（RSN）30 5。3.5 IEEE 802。11i31 5。4WLAN常见安全框架实现比较31 5。4。1VPN实现方案33 5。4。2无线安全网关实现方案33 5。4。3无线交换机实现方案34 5.4。4基于802．1l iRSN标准的实现方式34 5。5综合比较35 第六章结论36 第七章参考文献37 第八章致谢38 引 言 当今社会网络已经成为人们生

11、活中不可分割的一部分,而无线局域网以它接入速率高,组网灵活,在传输数据方面尤其具有得天独厚的优势等特点而越来越受到人们的青睐。 无线局域网利用2。4GHz无线多址信道的一种有效方法来支持计算机之间的通信，并以此实现通信的移动化，个性化和多媒体应用.因此无线局域网不用像有线网络那样使用缆线，从而摆脱了有线网络布线和改线工程量大，线路容易损坏，网络节点不可移动等缺点,但也正因为无线局域网的这种环境开放，配置简单的原因，使得无线局域网的安全问题一直无法完美的解决,而安全问题也已经成为制约无线局域网进一步发展的最大阻碍。 第一章 无线局域网的概念 1.1无线局域网的简介 无线局域网（Wire

12、less Local Area Networks，WLAN），是一种利用无线方式，提供无线对等（如PC对PC,PC对集线器，打印机对集线器等)和点到点（LAN到LAN）连接线性的数据通信系统.随着网络在人们生活中的地位日益加重，移动终端的不断增加，人们对移动设备接入网络的需求日益增长，无线局域网以其种种优点,很好的满足了这种需求. 1。2无线局域网的历史 战争一直是促进科技进步的一大催化剂，无线局域网起源于第二次世界大战期间,当时美国陆军就采用了无线电信号做资料的传输，他们研发出了 一套无线电传输技术，并且采用非常高的加密技术。1971年,夏威夷大学 （University of Hawa

13、ii)的研究人员创造了第一个基于封包式技术的无线电通讯网络，被称为ALOHNET网络,是最早的无线局域网络。这个WLAN包括了7台计算 机，采用双向星型拓扑（bi-directional star topology）横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（Oahu Island)上.从这时开始,无线局域网可以说是正式诞生了. 最早的有线网络标准IEEE 802。3（IEEE=Institute of Electrical and Electronics Engineers）于1983年面向公众正式发布.1990年无线局域网产品在市场出现，但是价格昂贵，标准混乱。于是国际电气电子工程师

14、学会（IEEE）开始着手制定行业标准,直至1997年才有了第一个无线网络标准IEEE802.11标准问世.不过这一标准传输速率只有2Mbps,与当时的有线网络的10Mbps主流相比没有任何优势，而且价格不菲，所以市场冷淡。 随着个人计算机诞生并初步发展，真正现代意义上的无线局域网在上世纪80年代末期才开始出现,当时摩托罗拉公司开发出了第一代商用无线局域网。1990年，IEEE启动了802。11项目,正式开始了无线局域网的标准化工作；1997 年,IEEE改进了802。11协议的国际互通标准；1999年，IEEE批准了802。11b和802。11a两个无线网络的通信标准；2001 年，IEEE

15、对QoS和无线局域网安全性草案作出了明确表述；2002年，已经有超过130家参与公司成为标准投票成员。 1999年，802。11b无线网络标准才的确立才开始了真正意义上的无线推广阶段.它比最初的无线网络标准更可靠、更快捷,同时其成本不高.所以它开始被运用于家庭与企业局域网的架设中,那个时候不少的P3高端笔记本会配备无线网卡,或者一些超便携的机器也是如此，比如SONY境外机器C1系列机器。此时的无线网络能够提供11Mbps的最高传输速率。 不久802.11a无线网络标准问世，但是它并不向下兼容，导致市场接纳程度有限而无法铺开。为了很好的解决这一困境，802。11g标准跟随着发布。在提供高速无

16、线连接的同时，还向下兼容802。11b标准。        随着INTEL公司迅驰系统的出台以及WI—FI组织的成立促进了无线局域网产品的兼容化、标准化以及市场化。无线局域网获得了巨大发展 1.3无线局域网的技术特点及优点 1.3.1无线局域网的技术特点 下面我将会从传输方式、网络拓扑、网络接口及对移动计算的支持四个方面来简述无线局域网的技术特点 1。传输方式 　　 传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式.目前无线局域网采用的传输媒体主要有两种,即微波与红外线。采用微波作为传输媒体的无线局域网按调制方式不同，又可分为扩展频谱方式与窄带调制方式。 2。

17、网络拓扑 　　 无线局域网的拓扑结构可归结为两类:无中心或叫对等式（PEER TO PEER）拓扑和有中心(HUB－BASED）拓扑。 ①无中心拓扑 无中心拓扑的网络要求网中任意两个站点均可直接通信。采用这种拓扑结构的网络一般使用公用广播信道,各站点都可竞争公用信道，而信道接入控制（MAC)协 议大多采用CSMA（载波监测多址接入）类型的多址接入协议。这种结构的优点是网络抗毁性好、建网容易、且费用较低。但当网中用户数（站点数）过多时，信 道竞争成为限制网络性能的要害.并且为了满足任意两个站点可直接通信，网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户数相对较少的工作群。

18、②有中心拓扑 在有中心拓扑结构中，要求一个无线站点充当中心站，所有站点对网络的访问均由其控制。这样，当网络业务量增大时网络吞吐性能及网络时延性能的恶化并不剧烈。由于每个站点只需在中心站覆盖范围内就可与其它站点通信，所以网络中心点布局受环境限制亦小。此外，中心站为接入有线主干网提供了一个逻辑接入点.有中心网络拓扑结构的弱点是抗毁性差，中心站点的故障容易导致整个网络瘫痪，并且中心站点的引入增加了网络成本。 在实际应用中，无线局域网往往与有线主干网络结合起来使用。这时，中心站点充当无线局域网与有线主干网的转接器。 ③网络接口 　 这涉及无线局域网中站点从哪一层接入网络系统。一般来讲,网络接口

19、可以选择在OSI参考模型的物理层或数据链路层。所谓物理层接口指使用无线信道替代通常的有线信道,而物理层以上各层不变。这样做的最大优点是上层的网络操作系统及相应的驱动程序可不做任何修改.这种接口方式在使用时一般做为有线局域网的集线器和无线转发器以实现有线局域网间互联或扩大有线局域网的覆盖范围。 　另一种接口方法是从数据链路层接入网络。这种接口方法并不沿用有线局域网的MAC协议，而采用更适合无线传输环境的MAC协议。在实时,MAC层及其下层对上层是透明的，配置相应的驱动程序来完成与上层的接口，这样可保证现有的有线局域网操作系统或应用软件可在无线局域网上正常运行。目前，大部分无线局域网厂商都采用数

20、据链路层接口方法。 ④对移动计算网络的支持在无线局域网发展的初期阶段，无线局域网的最大特征是用无线媒体替代线缆,这样可省去布线,网络安装简便.随着笔记本型、膝上型、掌上型电脑个人数字助手（PDA）、以及便携式终端等的普及应用,支持移动计算网络的无线局域网就显得尤为重要。 从移动通信的观点来讲，移动计算网络应提供以下几个功能。小区内的站点可移动，同一小区内的站点可直接或经AP间接通信.不同小区内站点可经过网络接入点 AP及主干网进行通信。当某一站点由一个小区移动至另一个小区时，通过越区切换协议或算法，该站点被切换至新的小区。在新的小区中该站点仍和在以前小区时 一样保持与外界的连接。小区中的站

21、点可通过主干网上的路由器访问公共网或被公共网访问。 1。3．2无线局域网的优点 相比较传统有线网络,无线局域网具有以下优点。 1·建设速度快  对于无线接入系统而言，主要的安装工作就是架设天线和安装连网设备，牵扯面小而工程单纯.而且由于无线设备采用小型化和集成化工艺,所以基站安装 所需的工程量很小。而有线接入系统则需挖沟埋缆或竖杆架线，牵扯面大、工程复杂。当网络需要扩容时,无线局域网只需安装用户终端即可实现即时上网,工作量 更小，而有线网络则需要重新为该用户布线，甚至还可能需要购置网络设备. 2·安装灵活方便  无线局域网可以按当时的需要容量来安装设备，甚至可以"现用现装"。而如果

22、采用有线组网(接入)方式，则由于线路工程复杂、牵涉面广，需进行长远规划,尽量做到一次性把线路设施建设完毕,避免因通信容量增加而反复施工。至于在地形复杂，难以理设或架高电缆情况下，无线接入是惟一的选择。  3·节约建设投资  采用有线组网（接入)必须按长远规划超前埋设电缆，需投入相当一部分当前并无任何效益的资金,增加了成本.同时,电缆预埋的做法无疑会冒着投入使用时电缆已经落后的风险(近年来网络速度的发展已经证明了这--点）。采用无线组网(接入)则无需这种超前投资和投资风险，只要按当前需要进行建设，建设后的扩建简易方便。  4·维护费用低 线路的维护费用高而困难，是有线组网（接入)的主

23、要维护开支，而这些在无线组网（接入)是完全可以节省的.无线组网（接入）的主要开支在于设备及天线和铁塔的维护，相比较而言费用要低很多。 5·安全性好  有线电缆和明线容易发生故障,查找困难,且易受雷击、火灾等灾害影响,安全性差.无线系统抗灾能力强,容易设置备用系统，可以在很大程度上提高网络的安全性。 第二章 无线局域网的技术相关标准 2。1 IEEE简介 美国电气和电子工程师协会:Institute of Electrical and Electronics Engineers （IEEE). 美国电气和电子工程师协会（IEEE）是一个国际性的电子技术与信息科学工程师的协会,是

24、世界上最大的专业技术组织之一（成员人数)，拥有来自175个国家的36万会员（到2005年)。1963年1月1日由美国无线电工程师协会（IRE， 创立于1912年）和美国电气工程师协会（AIEE，创建于1884年）合并而成， 总部在美国纽约市。专业上它有35个专业学会和两个联合会。IEEE发表多种杂志，学报，书籍和每年组织300多次专业会议.IEEE定义的标准在工业界有极大的影响。IEEE学会成立的目的在于为电气电子方面的科学家、工程师、制造商提供国际联络交流的场合,为他们交流信息.并提供专业教育和提高专业能力的服务。 2。2 IEEE802。11发展史 1997年IEEE802。11标准的

25、制定是无线局域网发展的里程碑，它是由大量的局域网以及计算机专家审定通过的标准。IEEE802。11标准定义了单一的MAC层和多样的物理层,其物理层标准主要有IEEE802.11b，a和g. 1999年9月正式通过的IEEE802.11b标准是IEEE802。11协议标准的扩展。它可以支持最高11Mbps的数据速率，运行在2。4GHz的ISM频段上,采用的调制技术是CCK。 IEEE802.11a工作5GHz频段上，使用OFDM调制技术可支持54Mbps的传输速率。802。11a与802.11b两个标准都存在着各自的优缺点,802.11b的优势在于价格低廉，但速率较低(最高11Mbps);而

26、802。11a优势在于传输速率快（最高54Mbps）且受干扰少，但价格相对较高。另外，11a与11b工作在不同的频段上,不能工作在同一AP的网络里，因此11a与11b互不兼容。 为了解决上述问题，为了进一步推动无线局域网的发展,2003年7月802。11工作组批准了802。11g标准IEEE802.11工作组开始定义新的物理层标准IEEE802。11g.该草案与以前的802.11协议标准相比有以下两个特点:其在2.4G频段使用OFDM调制技术，使数据传输速率提高到20Mbps以上;IEEE802。11g标准能够与802.11b的WIFI系统互相连通，共存在同一AP的网络里，保障了后向兼容性.

27、这样原有的WLAN系统可以平滑的向高速无线局域网过渡，延长了IEEE802。11b产品的使用寿命，降低用户的投资。 IEEE已经成立802。11n工作小组,以制定一项新的高速无线局域网标准802。11n。IEEE802.11n计划将WLAN的传输速率从802。11a和802。11g的54Mbps增加至108Mbps以上，最高速率可达320Mbps，成为802。11b、802。11a、802。11g之后的另一场重头戏。和以往地802.11标准不同,802。11n协议为双频工作模式（包含2。4GHz和5GHz两个工作频段）。这样11n保障了与以往的802.11a b， g标准兼容. 2。3Ho

28、meRF无线标准 　HomeRF无线标准是由HomeRF工作组开发的,旨在家庭范围内，使计算机与其他电子设备之间实现无线通信的开放性工业标准。 　　HomeRF是IEEE802.11与DECT的结合,使用这种技术能降低语音数据成本。与前几种技术一样，使用开放的2.4GHz频段。采用 跳频扩频(FHSS）技术，跳频速率为50跳/秒, 共有75个带宽为1MHz的跳频信道，室内覆盖范围为45米.调制方式为恒定包络的FSK调制，分为2FSK与4FSK两种，采用调频调制可以有效地抑制 无线环境下的干扰和衰落。2FSK方式下,最大数据的传输速率为1Mbps；4FSK方式下，速率可达2Mbps。在新的H

29、omeRF 2。x标准中，采用了WBFH（Wide Band Frequency Hopping，宽带调频)技术来增加跳频带宽，由原来的1MHz跳频信道增加到3MHz、5MHz,跳频的速率也增加到75跳/秒，数据峰值达到 10Mbps。 　　以下为HomeRF 标准的主要特点: 　　HomeRF提供了流媒体（Stream Media）真正意义上的支持。由于流媒体规定了高级别的优先权并采用了带有优先权的重发机制，这样就确保了实时播放流媒体所需的带宽、低干扰、低误码. 　　HomeRF把共享无线接入协议（SWAP)作为未来家庭联网的技术指标，基于该协议的网络是对等网,因此该协议主要针对家庭无

30、线局域网。其数 据通信采用简化的IEEE802。11协议标准，沿用类似于以太网技术中的冲突检测的载波侦听多址技术(CSMA/CD）—CSMA/CA，冲突避免的载 波侦听多址技术。语音通信采用DECT（Digital Enhanced Cordless Telephony）标准,使用TDMA时分多址技术。 　　不过由于HomeRF技术标准没有公开,仅获得了数十家公司的支持，并且在抗干扰能力等方面与其它技术标准相比也存在不少欠缺，这些先天不足决 定了HomeRF标准应用和发展前景有限，又加上这一标准推出后，市场营销策略失当、后续研发与技术升级进展迟缓，因此，2000年之后，HomeRF技 术开始

31、走上了下坡路，2001年HomeRF的普及率降至30%，市场优势逐渐丧失.与此同时,作为HomeRF技术劲敌的Wi—Fi技术不仅在商用与家 庭无线联网市场双管齐下,而且无论在技术标准升级演化、普及程度和产品价格方面,Wi-Fi都开始领先于HomeRF，尤其是芯片制造巨头英特尔公司决定 在其面向家庭无线网络市场的AnyPoint产品系列中增加对802.11b标准的支持后，HomeRF的失败几乎已成定局. 2.4HiperLAN2 除了IEEE，欧洲电信标准协会（ETSI)也在针对欧洲市场，制订名为“HiperLAN”的无线接入标准.所制订的标准有4 个:HiperLAN1、HiperLAN2

32、HiperLink和HiperAccess.其中HiperLink用于室内无线主干系 统，HiperAccess用于室外对有线通信设施提供固定接入，HiperLAN1和HiperLAN2则用于无线局域网接入. 　　HiperLAN主要是为集团消费者，公共和家庭环境提供无线接入到因特网和实时视频服务。HiperLAN1采用了已在GSM蜂窝网和蜂窝数 字分组数据(CDPD）中广泛使用的高斯滤波最小频移键控(GMSK)调制技术,支持最大23。5Mbit/s的速率。HiperLAN2则与 802。11a相似，同样工作在5G频带,同样在物理层采用正交频分复用(OFDM)调制方法，同样支持高达54Mb

33、it/s的传输速率。不过，它还具备 其它方面的一些优点。在HiperLAN2中,数据通过移动终端和接入点之间事先建立的信令链接来进行传输,面向链接的特点使得HiperLAN2可以很 容易地实现QoS支持；HiperLAN2自动进行频率分配,接入点监听周围的HiperLAN2无线信道并自动选择空闲信道，这消除了对频率规划的需求，使系统部署变得相对简便；为了加强无线接入的安全性，HiperLAN2网络支持鉴权和加密，只允许合法用户接入网络；HiperLAN2的协议栈具有很大的灵活性，可以适应多种固定网络类型——它既可以作为交换式以太网的无线接入子网，也可以作为第三代蜂窝网络的接入网，并且这种接入对

34、于网络层以上的用户部分来说是完全透明的,当前在固定网络上的任何应用都可以在HiperLAN2网上运行.相比之下，IEEE802.11的一系列协议都只能由以太网作为支撑，不如HiperLAN2灵活. 2。5 Bluetooth Bluetooth也就是我们常说的蓝牙，是一种开放性短距离无线通信技术标准.它是面向移动设备间的小范围连接,其本质可以说它是一种代替线缆的技术。从应用的角度来讲，它与日前广泛应用于微波 通信中的一点多址技术十分相似;因此，它很容易穿透障碍物，实现全方位的语音与数据传输。 第三章 常用无线局域网设备简介 3。1无线网卡基本介绍 无线网卡并不像有线网卡的主流产品

35、只有10/100Mbps一种规格，而是根据不同的无线传输标准拥有不同的传输速度。 1.IEEE 802。11a ：使用5GHz频段，传输速度54Mbps,与802。11b不兼容； 　2。IEEE 802。11b :使用2。4GHz频段，传输速度11Mbps； 　3。IEEE 802。11g :使用2。4GHz频段，传输速度54Mbps，可向下兼容802.11b; 4。IEEE 802。11n(Draft 2.0） :用于Intel新的迅驰2笔记本和高端路由上，可向下兼容，传输速度300Mbps. 无线网卡从接口分类则包含PCI接口（内置）、USB接口（外置)和PCMICA接口(外置

36、三种，其中PCI接口无线网卡适用于台式电脑，PCMICA接口产品适合笔记本电脑，USB接口的产品可以兼顾台式电脑和笔记本电脑,但USB接口的产品需要注意的一点就是只有采用USB2。0接口的无线网卡才能满足802。11g或802.11g+的需求。 除了以上3种接口的无线网卡外,还有一种MINI—PCI无线网卡，这种网卡是专用于笔记本，现阶段市面上所销售的上网本标配都是使用此种无线网卡,其优点是无需占用PC卡或USB插槽，并且免去了随时身携一张PC卡或USB卡的麻烦. 3.2 无线路由器/AP基本介绍 无线AP（AP，Access Point，无线访问节点、会话点或存取桥接器）是无线网络

37、的核心,无线AP是移动计算机用户进入无线网络的接入点,主要用于小范围的无线网络，如家庭，办公区等.目前市面上用的无线AP主要都是基于802。11系列技术标准. 无线AP可以分为单纯性AP和扩展性AP,单纯性AP就是一个无线的交换机，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。而扩展性AP就是我们常说的无线路由器，也就是带有无线覆盖功能的路由器，简单的来说，无线路由器就是无线AP，路由功能和交换机的集合体。 第四章 无线局域网的应用 4.1无线局域网的应用领域 由于无线局域网可移动性好，组网灵活,

38、成本较低等优势，使其广泛应用在以下领域: 移动办公的环境：大型企业、医院等移动工作的人员应用的环境； 难以布线的环境:历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境； 频繁变化的环境:活动的办公室、零售商店、售票点、医院、以及野外勘测、试验、军事、公安和银行金融等,以及流动办公、网络结构经常变化或者临时组建的局域网； 公共场所:航空公司、机场、货运公司、码头、展览和交易会等； 小型网络用户：办公室、家庭办公室（SOHU）用户 4.2无线局域网的连接结构 根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体

39、有如下几种： 1、网桥连接型：不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。 2、基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。3、HUB接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点.在该结构基础上的WLAN,可采用类似于交换型以太网的工作方

40、式，要求Hub具有简单的网内交换功能. 4、无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。 无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP）、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多 第五章 无线局域网的安全和防护 自WLAN诞生之日起,安全性就是限制WLAN发展的一大阻碍，人们在享受着WLAN灵活便捷的同时，也不断地受到因此优点而带来的安全漏洞,据统计，在不愿使用无线局域网的理由中，安全问题以40％高居第一位,安全问题已成为无线局域网在信息化应用领

41、域进一步发展的最大障碍，而技术联盟及硬件厂商们为解决这个问题也在不断的开发新的技术，下边将详细的讨论一下无线局域网的安全问题及相应的防护措施。 5.1无线局域网安全问题的主要特点 无线局域网于传统有线网络相比,其安全问题主要有以下四个特点. 1、信道开放 无线局域网顾名思义，就是利用无线电波来构建局域网，由于采用无线电波来传输数据，因此难以限制网络的物理访问,无法像络那样通过保护通信线路来保护通信安全。所以在无线局域网的覆盖范围内几乎任何一个用户都能接触到这些信号，无法阻止攻击者窃听,破坏，恶意修改及转发. 2、传输媒介衰减，丢失 无线局域网技术由于在空气中传播，受环境影响

42、很大，随着传播距离的增加或碰到障碍物（如玻璃，墙壁,天花板)时信号会衰减,容易导致数据丢失. 3、身份验证安全性 无线局域网由于其特性,不能像有线网络那样利用物理端口来进行身份验证，使得攻击者伪装合法用户更为容易。 5.2无线局域网的常用安全措施 5.2。1服务集标识符（SSID） 服务集标识符（SSID）是一个32字符的集合，用来标识一个无线网络的名称,以此来区分不同的网络,无线工作站设置了不同的SSID就可以进入不同网络. 无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP;如果出示的SSID与AP的SSID不同，那么AP将拒绝提供服务，我们可以认为

43、SSID就是一个简单的口令，以此来提供口令认证机制，阻止非法用户的接入，来保障无线局域网的安全，SSID通常会由AP广播出去，网络管理员可以禁止AP广播SSID，这样无线工作站就必须提供正确的SSID才能连接AP，从而提升网络的安全. 5.2.2物理地址(MAC）过滤控制 物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。　由于每个无线工作站的网卡都有惟一的物理地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。为AP设置基于MAC地址的Access Control（访问控制表）,只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机与

44、之通信，实现物理地址过滤。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤.这里以我们学校的校园网为例,虽然我校的校园网是传统的有线网络，但在MAC过滤控制方面是一样的,学校先统计了所有上网账号所对应的MAC地址,当你的物理地址不在学校网络控制中心的列表中时，你就无法登录.但是这个方法并不是无懈可击，由于很多无线网卡支持重新配置MAC地址，因此非法入侵者很有可能从开放的无线电波中截获数据帧,分析出合法用户的MAC地址,然后伪装成合法用户，非法接入WLAN,使得网络安全遭到破坏。另外，随着无线终端的增减，MAC地址列表需要随时更新,但是AP设备中的合法MAC地址列表目前都是

45、手工维护,因此这种方式的扩展能力很差，只适合于小型无线网络使用。 如果网络中的AP数量太多，可以使用802。1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络,盗用数据或进行破坏。 5。2.3有线对等保密机制(WEP) WEP是Wired Equivalent Privacy的简称，是1999年9月通过的IEEE 802。11标准的一部分,是基于RC4算法的40bit或104bit的加密技术。用于2台设备间无线传输的数据进行加密，以防止非法用户窃听或侵入无线网络。 WEP采用对称加密机理,数据的加密和解密采用相同的密钥和加密算

46、法.WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分.启用加密后，两个 802。11 设备要进行，必须具有相同的加密密钥，并且均配置为使用加密。如果配置一个设备使用加密而另一个设备没有,则即使两个设备具有相同的加密密钥也无法通信.(如图1所示） 加密 加密 密文 密钥管理服务 密钥 窃听者 明文 原文 图1:WEP加密 WEP加密过程 WEP支持 64 位和128 位加密，对于 64 位加密，加密密钥为 10 个十六进制字符（0—9 和 A—F）或 5 个 ASCII 字符；对于 128 位加密，加密密钥为 26

47、个十六进制字符或 13 个 ASCII 字符。64 位加密有时称为 40 位加密;128 位加密有时称为 104 位加密。152 位加密不是标准 WEP 技术，没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。 1、计算校验和（Check Summing). (1)对输入数据进行完整性校验和计算。 (2）把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入。 2、加密。在这个过程中，将第一步得到的数据明文采用算法加密.对明文的加密有两层含义:明文数据的加密，保护未经认证的数据。 （

48、1)将24位的初始化向量和40位的密钥连接进行校验和计算，得到64位的数据. （2）将这个64位的数据输入到虚拟随机数产生器中，它对初始化向量和密钥的校验和计算值进行加密计算. （3）经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息，即密文。 3、传输。将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。（如图2所示） 连接 虚拟随机数产生器 异或 密文 连接 完整性算法 IV 初始化向量（IV） 密钥 明文 密钥序列 组合后的数据 消息 　　图2:WEP加密过程 在安全

49、机制中，加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。 1、恢复初始明文。重新产生密钥流，将其与接收到的密文信息进行异或运算,以恢复初始明文信息。 2、检验校验和。接收方根据恢复的明文信息来检验校验和，将恢复的明文信息分离，重新计算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和的数据帧才会被接收方接受。 消息 CRC 密码流RC4（V,K） 加密信息 初始化向量 （IV） 明文 + XOR 传输数据 图3：WEP解密过程 在 2001年8月,Fluhrer et al. 发表了针对 WEP 的密码分析，利用 RC4 加解密

50、和 IV 的使用方式的特性，结果在网络上偷听几个小时之后，就可以把 RC4的钥匙破解出来。这个攻击方式很快就实作出来了，而自动化的工具也释出了， 现在只要你有一台带有无线网卡的电脑，一些共享和自由软件，在具备一些基本的网络知识,就能进行这种攻击,因此在2003年被 Wi—Fi Protected Access （WPA） 淘汰,又在2004年由完整的 IEEE 802。11i 标准(又称为 WPA2)所取代. 5.3构建安全的无线网络 科技在进步,为了保障无线局域网的安全,我们必须使用更加安全的认证机制，保密机制及控制机制。 5。3.1 802。1X端口访问控制机制 802.1x技