随着移动互联网的兴起,我们的生活离不开计算机和网络。在这个信息社会中,网络已经成为了人们获取和传递信息的重要手段。同时也催生了许多新的信息安全问题。因此,对于企业和组织来说,网络安全已经变成了一项非常重要的工作。网络安全接入控制技术就是在这个背景下诞生的。那么,网络安全接入控制技术到底是什么?它能够如何保障信息安全呢?
一、网络安全接入控制的定义与意义
网络安全接入控制是指通过一系列措施和技术手段,限制非授权设备、非授权人员和非授权访问的设备等进行网络访问的手段。它的实现可以从多个层面进行,包括网络安全架构设计、网络接入权限控制、设备硬件管理等诸多方面。它可以有效地保护组织的网络不被未经授权的访问和攻击,保证企业以及组织和各种敏感的业务信息安全。
网络安全接入控制的意义非常重大,主要体现在以下几个方面:
(1)保障信息安全:网络安全接入控制可以让未经授权的人员或者设备不能访问企业或组织的机密信息,达到信息安全的保障作用。
(2)提高网络运行效率:网络安全接入控制也可以防止黑客攻击,避免大量的网络阻塞或者网络崩溃等情况出现,提高网络的运作效率。
(3)降低企业成本:通过网络安全接入控制来保护网络安全,可以避免企业或者组织在其他方面的信息安全问题损失,从根本上减少企业和组织的损失。
二、网络安全接入控制的技术手段
在实际操作中,网络安全接入控制可以采用多种技术手段来进行实现。主要包括以下几种:
(1)虚拟专用网(代理):虚拟专用网是一种特殊的网络安全技术,通过建立加密的、隔离的网络隧道,实现远程用户和组织内部网络间的安全通信。代理通常用在企业内网到外网之间的安全通信。
(2)网络接口卡(NIC):网络接口卡是指计算机中用来连接计算机与网络的硬件设备,可以通过限制授权MAC地址的方式,控制计算机网络访问权限。
(3)网络接入控制系统接口:这个是一种对各种网络设施进行综合控制和管理的体系,可以实现对网络访问和网络访问者的授权、身份验证及网站安全进行综合性管理和控制。
三、网络安全接入控制的优势
网络安全接入控制技术的出现和广泛应用,给我们带来了诸多优势:
(1)提高工作效率:网络安全接入控制技术可以让企业和组织在保障网络安全的同时,保证工作效率的提高。这可以让我们利用最少的资源获取更大的经济效益。
(2)降低管理成本:通过网络安全接入控制来保障网络安全,可以让企业和组织在减少信息安全风险的同时,降低管理成本。这是因为,网络安全接入控制技术可以对拥有相同网络身份的用户进行管理和控制,减少人力和物力成本的花费。
(3)提高业务安全性:通过网络安全接入控制,组织和企业可以制定相应的网络访问策略,并且限制用户的网络访问权限,保证业务的安全性。这可以降低业务安全风险,保证业务的稳定运行。
四、网络安全接入控制技术应用案例
在实际应用中,网络安全接入控制技术已经被广泛的采用。下面翻多举几个例子:
(1)虚拟专用网(代理)方案:华为企业代理 解决方案可以灵活满足企业用户对网络安全的需求,同时节约了大量的企业成本。
(2)网络接口卡:通过网络接口卡限制MAC地址的方式,实现端口控制过滤,可以最小化企业内网被攻击的可能性。
(3)网络接入控制系统接口:企业可以利用网络接入控制系统接口对网络的安全管理进行精细化的控制。通过它可以监控网络访问量和网络访问者行为,从而更好地探测和预警网络安全问题。
网络安全接入控制已经成为企业和组织的重要信息安全措施,通过运用先进的技术手段,可以保护企业的网络资源不被未经授权的访问和攻击,保护企业核心业务安全,实现强大的信息安全保障。因此,对于现代企业、组织和个人而言,对网络安全接入控制技术掌握意义深远,必要性十分重要。
相关问题拓展阅读:
- 无线网络安全
- 网络安全基础知识大全
无线网络安全
给你找了个 自己抄吧
论文
无线局域网的安全防护
学 科、专业 计算机技术及应用
学 生 姓 名雷磊
学号
指导教师姓名史虹湘
2023年10月30日
无线局域网的安全防护
摘要:
在网络应用日益普及的今天,局域网作为一种通用的联网手段,得到了极为广泛的应用,其传输速率、网络性能不断提高。不过,它基本采用的是有线传输媒介,在许多不适宜布线的场合,受到很大程哗隐度的限制。另一方面,无启御线数据传输技术近年来不断获得突破,标准化进展也极为迅速,这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上,无线局域网开始崛起,越来越受到人们的重视。但是,无线局域网给我们带来方便的同时,它的安全性更值得我们关注,本篇论文通过了解无线局域网的组成,它的工作原理,以及无线局域网的优、缺点,找出影响安全的因素,通过加密、认证等手段并且应用完整的安全解决方案,从而更好的做到无线局域网的安全防护。
关键词:无线局域网;安全性;WPAN
目录
之一章 引言 3
1.1无线局域网的形成 3
1.2无线局域网的常用设备 3
第二章、无线局域网的概况及特点 4
2.1无线局域网(WLAN)方案 4
2.2无线局域网的常见拓扑形式 6
2.3 无线局域网的优势 6
2.4无线局域网的缺点 7
第三章、无线局域网的安全性及其解决方案 7
3.1无线局域网的安全性 7
3.2完整的安全解决方案 11
第四章、结束语 13
之一章 引言
1.1无线局域网的形成
随着计算机技术和网络技术的蓬勃发展,网络在各行各业中的应用越来越广。然而,随着移动计算技术的日益普及和工业标准逐步为市场所采纳和接受,无线网络的应用领域正在不断地扩大。无线局域网的出现使人们不必再围着机器转,它采用以太网的帧格式,使用简单。无线局域网方便了用户访问网络数据,高吞吐量无线局域网可以实现11Mb/s的数据传输速率。
从网络角度来看,它涉及互联网和城域网(Metropolitan Area Network-MAN)、局域网(Local Area Network-LAN)及最近提出的“无线个域网” (Wireless Personal Area Network – WPAN)。在广域网(Wide Area Network-WAN)、城域网和局域网的层次结构中,WPAN的范围是最小的。
1.2无线局域网的常用设备
WPAN将取代线缆成为连接包括移动、笔记本个人电脑和掌上设备在内的各类用户个人设备的工具。WPAN可以随时随地地为用户实现设备间的无缝通讯,并使用户能够通过蜂窝、局域网或广域网的接入点联入网络。
1.2.1Bluetooth应用
通过Bluetooth(蓝牙)技术,它使人们周围的电子设备通过无线的网络连接在一起。这些设备包括:桌上型电脑、笔记本电脑、打印机、手持设备、移动、传呼机和可携带的音乐设备等。
蓝牙技术是由爱立信、IBM、英特尔、诺基亚和东芝这五大公司于1998年5月联合推出的一项旨在实现网络中各类数据及语音设备(如PC、拨号网络、笔记本电脑、打印机、传真机、数码相机、移动、高品质耳机等)乱旁厅互连的计划,并为纪念之一个统一北欧语言的人Norse国王而命名为蓝牙。
蓝牙收发信机采用跳频扩谱技术,在2.45 GHz I频带上以1600跳/s的速率进行跳频。依据各国的具体情况,以2.45 GHz为中心频率,最多可以得到79个1MHz带宽的信道。除采用跳频扩谱的低功率传输外,蓝牙还采用鉴权和加密等措施来提高通信的安全性。
1.2.2HomeRF应用
无线局域网技术HomeRF,是专门为家庭用户设计的短距离无线联网方案。
它基于共享无线访问协议(shared Wireless Access Protocol,SWAP),可应用于家庭中的移动数据和语音设备与主机之间的通信。
符合SWAP规范的产品工作在2.4GHz频段,使用每秒50跳的跳频扩展频谱技术,通过家庭中的一台主机在移动数据和语音设备之间实现通信,既可以通过时分复用支持语音通信,又能通过载波监听多重访问/冲突避免协议提供数据通信服务。同时,HomeRF提供了与TCP/IP良好的集成,支持广播和48位IP地址。
按照SWAP规范,用户可以建立无线家庭网络,用户可在PC、PC增强无绳、手持式远程显示器等设备之间共享话音、数据和Internet连接;用手持显示装置在房间内和房间周围的任何地方访问Internet;在多台PC间共享文件、调制解调器、打印机等;向多个无绳手机、传真机和话音邮箱转发;使用小型PC增强无绳手机重复收听话音、传真和电子邮件;简单地使用PC增强无绳手机发出话音命令,来激活其他家用电子系统;可以玩PC或Internet上的多人游戏。
第二章、无线局域网的概况及特点
2.1无线局域网(WLAN)方案
在网络应用日益普及的今天,局域网作为一种通用的联网手段,得到了极为广泛的应用,其传输速率、网络性能不断提高。不过,它基本采用的是有线传输媒介,在许多不适宜布线的场合,受到很大程度的限制。另一方面,无线数据传输技术近年来不断获得突破,标准化进展也极为迅速,这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上,无线局域网开始崛起,越来越受到人们的重视。
2.1.1无线局域网概念和工作原理
一般来讲,凡是采用无线传输媒体的计算机局域网都可称为无线局域网。这里的无线媒体可以是无线电波、红外线或激光。
无线局域网的基础还是传统的有线局域网,是有线局域网的扩展和替换。它只是在有线局域网的基础上通过无线HUB、无线访问节点(AP)、无线网桥、无线网卡等设备使无线通信得以实现。
2.1.2无线局域网标准
实际上,无线局域网早在80年代就已经得到广泛应用,当时受到技术上的制约,通信速率只有860kb/s,工作在900MHz的频段。能够了解并享受它的好处的人少之又少。
到了90年代初,随着技术的进步,无线局域网的通信速率已经提高到1 ~2Mb/s,工作频段为2.4GHz,并开始向医疗、教育等多媒体应用领域延伸。
无线局域网的发展也引起国际标准化组织的关注,IEEE从1992年开始着手制订802.11标准,以推动无线局域网的发展。1997年,该标准获得通过,它大大促进了不同厂商产品之间的互操作性,并推进了已经萌芽的产业的发展。
802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的更低层,MAC层与OSI第二层的下层相对应,该层与逻辑链路控制(LLC)层构成了OSI的第二层。
标准实际规定了三种不同的物理层结构,用户可以从中选出一种,它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的,因为这可以使系统设计人员和集成人员根据特定应用的价格、 性能、 操作等方面的因素来选择一种更合适的技术。这些选择实际上非常类似,就像10BaseT, 10Base2及100BaseT等都在以太网领域取得了很大的成功一样。另外,企业局域网通常会使用有线以太网和无线节点混合的方式,它们在使用上没有区别。
近年来,无线局域网的速率有了本质的提高,新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。
2.1.3无线局域网传输方式
就传输方式而言,无线局域网可以分为两类:红外线系统和射频系统。前者的优点在于不受无线电的干扰;邻近区域无干扰;不受管制机构的政策限制;在视距范围内传输,监测和窃听困难,保密性好。不过,由于红外线传输对非透明物体的透过性极差,传输距离受限。
此外,它容易受到日光、荧光灯等噪声干扰,并且只能进行半双工通信。所以,相比而言,射频系统的应用范围远远高于红外线系统。
采用射频方式传输数据,一般都需要引入扩频技术。在扩频系统中,信号所占用的带宽远大于所需发送信息的最小带宽,并采用了独立的扩展信号。扩频技术具有安全性高、抗干扰能力强和无需许可证等优点。目前,在全球范围内应用比较广泛的扩频技术有直接序列(DS)扩频技术和跳频(FH)扩频技术。就频带利用来说,DS采用主动占有的方式,FH则是跳换频率去适应。在抗干扰方面,FH通过不同信道的跳跃避免干扰,丢失的数据包在下一跳重传。DS方式中数据从冗余位中得到保证,移动到相邻信道避免干扰。同DS方式相比,FH方式速度慢,最多只有2 ~3Mb/s。DS传输速率可以达到11Mb/s,这对多媒体应用来说非常有价值。从覆盖范围看,由于DS采用了处理增益技术,因此在相同的速率下比FH覆盖范围更大。不过,FH的优点在于抗多径干扰能力强。此外,它的可扩充性要优于DS。DS有3个独立、不重叠的信道,接入点限制为三个。FH在跳频不影响性能时最多可以有15个接入点。
新的无线局域网标准协议IEEE802.11b只支持DS方式,但是IEEE802.11对这两种技术都是推荐的。应该说,FH和DS这两种扩频方式在不同的领域都拥有适合自身的应用环境,一般说来,在需要大范围覆盖时选DS,需要高数据吞吐量时选择DS,需要抗多径干扰强时选择FH。
2.2无线局域网的常见拓扑形式
根据不同的应用环境,目前无线局域网采用的拓扑结构主要有网桥连接型、访问节点连接型、HUB接入型和无中心型四种。
(1)网桥连接型。该结构主要用于无线或有线局域网之间的互连。当两个局域网无法实现有线连接或使用有线连接存在困难时,可使用网桥连接型实现点对点的连接。在这种结构中局域网之间的通信是通过各自的无线网桥来实现的,无线网桥起到了网络路由选择和协议转换的作用。
(2)访问节点连接型。这种结构采用移动蜂窝通信网接入方式,各移动站点间的通信是先通过就近的无线接收站(访问节点:AP)将信息接收下来,然后将收到的信息通过有线网传入到“移动交换中心”,再由移动交换中心传送到所有无线接收站上。这时在网络覆盖范围内的任何地方都可以接收到该信号,并可实现漫游通信。
(3)HUB接入型。在有线局域网中利用HUB可组建星型网络结构。同样也可利用无线HUB组建星型结构的无线局域网,其工作方式和有线星型结构很相似。但在无线局域网中一般要求无线HUB应具有简单的网内交换功能。
(4)无中心型结构。该结构的工作原理类似于有线对等网的工作方式。它要求网中任意两个站点间均能直接进行信息交换。每个站点既是工作站,也是服务器。
2.3 无线局域网的优势
无线局域网在很多应用领域具有独特的优势:一是可移动性,它提供了不受线缆限制的应用,用户可以随时上网;二是容易安装、无须布线,大大节约了建网时间;三是组网灵活,即插即用,网络管理人员可以迅速将其加入到现有网络中,并在某种环境下运行;四是成本低,特别适合于变化频繁的工作场合。此外,无线网络相对来说比较安全,无线网络通信以空气为介质,传输的信号可以跨越很宽的频段,而且与自然背景噪音十分的相似,这样一来,就使得窃听者用普通的方式难以偷听到数据。
“加密”也是无线网络必备的一环,能有效提高其安全性。所有无线网络都可加设安全密码,窃听者即使千方百计地接收到数据,若无密码,想打开信息系统亦无计可施。
2.4无线局域网的缺点
目前,由于相关的配套技术不足,无线网络传输速度还存在着一些局限。现在无线网络的带宽还比较局限,与有线局域网主干可达千兆还差得很远。与有线网络相比,无线网络的通信环境要受到更多的限制。由于电源限制、可用的频谱限制以及无线网络的移动性等特点,无线数据网络一般具有带宽少、延迟长、连接稳定性差、可用性很难预测等特点。尽管无线局域网有种种优点,但是PC厂商在出售无线LAN产品时多采取慎重态度。这是因为,在家庭里利用的无线联网方式,除了无线LAN外,还有一些其他方案。蓝牙主要用于在便携式信息设备之间以无线方式进行数据通信;HomeRF则用于PC同家电之间以无线方式进行数据通信。而无论蓝牙还是HomeRF,其更大传输速度都只有2Mb/s。此外,它们的传输距离都只有几十米,比无线LAN最多可达的100米要短。在钢筋混凝土这类能使电波明显衰减的使用环境里,蓝牙和HomeRF的传输距离甚至会缩短到只有几米。
第三章、无线局域网的安全性及其解决方案
3.1无线局域网的安全性
除了硬件方面的不足,无线局域网的安全性也非常值得关注。无线局域网的安全性,主要包括接入控制和加密两个方面。
3.1.1IEEE802.11b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
1、认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。 IEEE 802.11b标准详细定义了两种认证服务:-开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。 -共享密钥认证(Shared Key Authentication):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。 共享密钥认证的过程如图1所示,描述如下:
(1) 请求工作站向另一个工作站发送认证帧。
(2) 当一个站收到开始认证帧后,返回一个认证帧,该认证帧包含WEP服务生成的128字节的质询文本。
(3) 请求工作站将质询文本复制到一个认证帧中,用共享密钥加密,然后再把帧发往响应工作站。
(4) 接收站利用相同的密钥对质询文本进行解密,将其和早先发送的质询文本进行比较。如果相互匹配,相应工作站返回一个表示认证成功的认证帧;如果不匹配,则返回失败认证帧。
请求工作站响应工作站
验证帧
验证算法标识=“共享密钥”
验证处理序列号=1
验证帧
验证算法标识=“共享密钥”
验证处理序列号=2
质询文本
验证帧
验证算法标识=“共享密钥”
验证处理序列号=3
质询文本加密
验证帧
验证算法标识=“共享密钥”
验证处理序列号=1
图1 共享密钥认证
认证使用的标识码称为服务组标识符(SSID:Service Set Identifier),它提供一个更底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称,它服务于该子系统内的逻辑段。因为SSID本身没有安全性,所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备,通常广播SSID。
2、WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是: 接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。之一种方案可提供四个缺省密钥以供所有的终端共享—包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比之一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
帧体
明文
综合检测值
(ICV)
帧体
密钥密文
键序
图2 WEP加密过程
WEP加密的算法如图2所示,过程如下:
(1) 在发送端,WEP首先利用一种综合算法对MAC帧中的帧体字段进行加密,生成四字节的综合检测值。检测值和数据一起被发送,在接收端对检测值进行检查,以监视非法的数据改动。
(2) WEP程序将共用密钥输入伪随机数生成器生成一个键序,键序的长度等于明文和综合检测值的长度。
(3) WEP对明文和综合检测值进行模二加运算,生成密文,完成对数据的加密。伪随机数生成器可以完成密钥的分配,因为每台终端只用到共用密钥,而不是长度可变的键序。
(4) 在接收端,WEP利用共用密钥进行解密,复原成原先用来对帧进行加密的键序。
(5) 工作站计算综合检测值,随后确认计算结果与随帧一起发送来的值是否匹配。如果综合检测失败,工作站不会把MSDU(介质服务单元)送到LLC(逻辑链路控制)层,并向MAC管理程序发回失败声明。
3.1.2影响安全的因素
1、硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
2、虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
3、其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。
通过监测IEEE802.11b控制信道和数据信道,黑客可以得到如下信息:
客户端和接入点MAC地址
内部主机MAC地址
上网时间
黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
3.2完整的安全解决方案
3.2.1无线局域网的安全方案
无线局域网完整的安全方案以IEEE802.11b为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
IEEE 802.1X, 一个控制端口接入的提议标准。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后 RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:
一个站点要与一个接入点连接。
除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。
用户在网络登录对话框和类似的结构中输入用户名和密码。
用IEEE802.1x协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。例如:RADIUS服务器向用户发送一个认证请求,客户端对用户提供的密码进行一种hash运算来响应这个请求,并把结果送到RADIUS服务器;利用用户数据库提供的信息,RADIUS服务器创建自己的响应并与客户端的响应相比较。一旦服务器认证了用户,就进行相反的处理使用户认证RADIUS服务器。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。
接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。
用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
认证的全部过程如图3所示。
4.RADIUS服务器和站点双
向认证并且生成WEP密钥
无线有线
6. 站 点 和AP 激活.RADIUS服务器
WEP,加密传输数据把密钥传给AP
图3 基于IEEE802.1x的安全传输
3.2.2无线局域网的应用环境
(1) 无线局域网的应用方向之一是增加电脑的移动性,让电脑更符合人性,例如在办公室内,企业经理们可以像使用室内无绳那样,随心所欲地使用联网的笔记本电脑。
(2) 在难于布线的室外环境下,无线局域网可充分发挥其高速率、组网灵活之优点。尤其在公共通信网不发达的状态下,无线局域网可作为区域网(覆盖范围几十公里)使用。
它的范围可以延伸到城市建筑群间通信;学校校园网络;工矿企业厂区自动化控制与管理网络;银行、金融证券城区网络;城市交通信息网络;矿山、水利、油田等区域网络;港口、码头、江河湖坝区网络;野外勘测、实验等流动网络;军事、公安流动网络等领域。
(3) 无线局域网与有线主干网构成了移动计算网络。
这种网络传输速率高、覆盖面大,是一种可传输多媒体信息的个人通信网络。这也是无线局域网的发展方向。
第四章、结束语
无线网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
虽然我的论文作品不是很成熟,还有很多不足之处,但这次做论文的经历使我终身受益,我感受到做论文是要真真正正用心去做的一件事情,是真正的自己学习的过程和研究的过程,没有学习就不可能有研究的能力,没有自己的研究,就不会有所突破,希望这次的经历能让我在以后学习中激励我继续进步。
最后,感谢史虹湘老师对我论文的精心指导和无私的帮助,感谢经济管理干部学院老师们的辛勤栽培,使我能够很好的掌握和运用专业知识。
参考文献:
网络安全 徐国爱.北京邮电大学出版社,2023.5
计算机网络基础刘远生. 清华大学出版社,2023.9
局域网组建、管理与维护 扬威. 电子工业出版社,2023.7
网络安全基础知识大全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。下面就让我带你去看看网络安全基础知识,希望能帮助到大家!
↓↓↓点击获取“网络安全”相关内容↓↓↓
★
网络安全宣传周
活动总结 ★
★ 网络安全教育学习心得体会 ★
★ 网络安全知识主题班会教案 ★
★★ 网络安全知识内容大全 ★★
网络安全的基础知识
1、什么是防火墙?什么是堡垒主机?什么是DMZ?
防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。
堡垒主机是一种配置了安全防范 措施 的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也可以说,如果没有堡垒主机,网络间将不能互相访问。
DMZ成为非军事区或者停火区,是在内部网络和外部网络之间增加的一个
子网
。
2、网络安全的本质是什么?
网络安全从其本质上来讲是网络上的
信息安全
。
信息安全是对信息的保密性、完整性、和可用性的保护,包括物理安全、网络 系统安全 、
数据安全
、信息内容安全和信息基础设备安全等。
3、
计算机网络
安全所面临的威胁分为哪几类?从人的角度,威胁网络安全的因素有哪些?
答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁。从人的因素考虑,影响网络安全的因素包括:
(1)人为的无意失误。
(2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。
(3)网络软件的漏洞和“后门”。
4、网络攻击和防御分别包括那些内容?
网络攻击:网络扫描、监听、入侵、后门、隐身;
网络防御: 操作系统 安全配置、加密技术、防火墙技术、入侵检测技术。
5、分析TCP/IP协议,说明各层可能受到的威胁及防御 方法 。
网络层
:IP欺骗攻击,保护措施枣纳;防火墙过滤、打补丁;
传输层
:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、 安全 教育 等。
6、请分析网络安全的层次体系
从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
7、请分析信息安全的层次体系
信知轮息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。
8、简述端口扫描技术的原理
端口扫描向目标主机的TCP/IP服务端口发搭岩信送探测数据包,并记录目标主机的相应。通过分析相应来判断服务端口是打开还是关闭,就可以知道端口提供的服务或信息。端口扫描可以通过捕获
本地主机
或服务器的注入/流出IP数据包来监视本地主机运行情况。端口扫描只能对接受到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。
9、缓冲区溢出攻击的原理是什么?
缓冲区溢出攻击是一种系统的攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的
堆栈
,使程序转而执行其他指令,以达到攻击的目的。
缓冲区溢出攻击最常见的方法是通过使某个特殊的程序的缓冲区溢出转而执行一个shell,通过shell的权限可以执行高级的命令。如果这个特殊程序具有system权限,攻击成功者就能获得一个具有shell权限的shell,就可以对程序进行操控。
10、列举后门的三种程序,并阐述其原理和防御方法。
(1)远程开启TELNET服务。防御方法:注意对开启服务的监护;
(2)建立WEB和TELNET服务。防御方法:注意对开启服务的监控;
(3)让禁用的GUEST用户具有管理权限。防御方法:监护系统注册表。
11、简述一次成功的攻击,可分为哪几个步骤?
隐藏IP-踩点扫描-获得系统或管理员权限- 种植 后门-在网络中隐身。
12、简述SQL注入漏洞的原理
利用恶意SQL语句(WEB缺少对SQL语句的鉴别)实现对后台数据库的攻击行为。
13、分析漏洞扫描存在问题及如何解决
(1)系统配置规则库问题存在局限性
如果规则库设计的不准确,预报的准确度就无从谈起;
它是根据已知的是安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁确实来自未知的漏洞,这样,如果规则库更新不及时,预报准确度也会相应降低;
完善建议:系统配置规则库应能不断地被扩充和修正,这样是对系统漏洞库的扩充和修正,这在目前开将仍需要专家的指导和参与才能实现。
(2)漏洞库信息要求
漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库
完善建议:漏洞库信息不但应具备完整性和有效性,也应具备简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的及时更新。
14、按照防火墙对内外来往数据的处理方法可分为哪两大类?分别论述其技术特点。
按照防护墙对内外来往数据的处理方法,大致可以分为两大类:包过滤防火墙和应用代理防火墙。
包过滤防火墙又称为过滤路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将其丢弃。
在包过滤系统中,又包括依据地址进行过滤和依据服务进行过滤。
应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每个应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
代理服务器
有一些特殊类型,主要表现为应用级和回路级代理、公共与专用代理服务器和智能代理服务器。
15、什么是应用代理?代理服务有哪些优点?
应用代理,也叫应用网关,它作用在应用层,其特点是完全“阻隔”了网络的通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
代理服务器有以下两个优点:
(1)代理服务允许用户“直接”访问互联网,采用代理服务,用户会分为他们是直接访问互联网。
(2)代理服务适合于进行日志记录,因为代理服务遵循优先协议,他们允许日志服务以一种特殊且有效的方式来进行。
史上最全的计算机 网络 安全知识 汇总
一、计算机网络面临的安全性威胁计算机网络上的通信面临以下的四种威胁:
截获——从网络上窃听他人的通信内容。
中断——有意中断他人在网络上的通信。
篡改——故意篡改网络上传送的报文。
伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。
二、被动攻击和主动攻击被动攻击
攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰
信息流
。
主动攻击
指攻击者对某个连接中通过的 PDU 进行各种处理,如:
更改报文流
拒绝报文服务
伪造连接初始化
三、计算机网络通信安全的目标
(1) 防止析出报文内容;
(2) 防止通信量分析;
(3) 检测更改报文流;
(4) 检测拒绝报文服务;
(5) 检测伪造初始化连接。
四、恶意程序(rogue program)
计算机病毒
——会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。
计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。
特洛伊木马
——一种程序,它执行的功能超出所声称的功能。
逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
五、计算机网络安全的内容
保密性
安全协议的设计
访问控制
六、公钥密码体制
公钥密码体制使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
1、公钥和私钥:
在公钥密码体制中,加密密钥(即公钥) PK(Public Key) 是息,而解密密钥(即私钥或
秘钥
) SK(Secret Key) 是需要保密的。
加密算法
E(Encrypt) 和解密算法 D 也都是公开的。
虽然秘钥 SK 是由公钥 PK 决定的,但却不能根据 PK 计算出 SK。
tips:
在计算机上可容易地产生成对的 PK 和 SK。
从已知的 PK 实际上不可能推导出 SK,即从 PK 到 SK 是“计算上不可能的”。
加密和解密算法都是公开的。
七、
数字签名
1、数字签名必须保证以下三点:
(1) 报文鉴别——接收者能够核实发送者对报文的签名;
(2) 报文的完整性——发送者事后不能抵赖对报文的签名;
(3) 不可否认——接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。
2、数字签名的实现 :
因为除 A 外没有别人能具有 A 的私钥,所以除 A 外没有别人能产生这个密文。因此 B 相信报文 __ 是 A 签名发送的。
若 A 要抵赖曾发送报文给 B,B 可将明文和对应的密文出示给第三者。第三者很容易用 A 的公钥去证实 A 确实发送 __ 给 B。
反之,若 B 将 __ 伪造成 __‘,则 B 不能在第三者前出示对应的密文。这样就证明了 B 伪造了报文。
八、鉴别
在信息的安全领域中,对付被动攻击的重要措施是加密,而对付主动攻击中的篡改和伪造则要用鉴别(authentication) 。
报文鉴别使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。
使用加密就可达到报文鉴别的目的。但在网络的应用中,许多报文并不需要加密。应当使接收者能用很简单的方法鉴别报文的真伪。
鉴别的手段
1 报文鉴别(使用报文摘要 MD (Message Digest)算法与数字签名相结合)
2 实体鉴别
九、运输层安全协议1、安接层 SSL(Secure Socket Layer)
SSL可对万维网客户与服务器之间传送的数据进行加密和鉴别。
SSL 在双方的联络阶段协商将使用的加密算法和密钥,以及客户与服务器之间的鉴别。
在联络阶段完成之后,所有传送的数据都使用在联络阶段商定的会话密钥。
SSL 不仅被所有常用的浏览器和万维网服务器所支持,而且也是运输层安全协议 TLS (Transport Layer Security)的基础。
1.1 SSL 的位置
1.2 SSL的三个功能:
(1) SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L 功能的浏览器维持一个表,上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥。
(2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密,在接收方解密。
(3) SSL 客户鉴别 允许服务器证实客户的身份。
2、安全电子交易SET(Secure Electronic Transaction)
SET 的主要特点是:
(1) SET 是专为与支付有关的报文进行加密的。
(2) SET 协议涉及到三方,即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。
(3) SET 要求这三方都有证书。在 SET 交易中,商家看不见顾客传送给商业银行的信用卡号码。
十、防火墙(firewall)
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
防火墙内的网络称为“可信赖的网络”(trusted network),而将外部的因特网称为“不可信赖的网络”(untrusted network)。
防火墙可用来解决内联网和外联网的安全问题。
防火墙在互连网络中的位置
1、防火墙的功能
防火墙的功能有两个:阻止和允许。
“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。
“允许”的功能与“阻止”恰好相反。
防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。
2、防火墙技术的分类
(1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。
(2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。
网络安全知识有哪些?
什么是网络安全?
网络安全是指网络系统的硬件、软件及系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
什么是计算机病毒?
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
什么是木马?
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会象病毒那样去感染文件。
什么是防火墙?它是如何确保网络安全的?
使用功能防火墙是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。
什么是后门?为什么会存在后门?
后门是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或者在发布软件之前没有删除,那么它就成了安全隐患。
什么叫入侵检测?
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
什么叫数据包监测?它有什么作用?
数据包监测可以被认为是一根窃听线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求一个网页,这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
网络安全基础知识相关 文章 :
★ 网络安全基础知识大全
★ 【网络安全】:网络安全基础知识点汇总
★ 计算机网络基础技能大全
★ 网络安全的基础知识
★ 【网络安全】:学习网络安全需要哪些基础知识?
★ 局域网络安全防范基础知识大全
★ 计算机网络知识大全
★ 计算机网络安全基本知识
★ 信息网络安全管理
★ 系统安全基础知识大全
var _hmt = _hmt || ; (function() { var hm = document.createElement(“script”); hm.src = ” var s = document.getElementsByTagName(“script”); s.parentNode.insertBefore(hm, s); })();制作网络安全接入控制的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于制作网络安全接入控制,网络安全接入控制:保障信息安全,无线网络安全,网络安全基础知识大全的信息别忘了在本站进行查找喔。
