唯一的标识符—MAC地址(48位二进制编码)。这样就可以统计能够访问无线网络资源的MAC地址,输入到无线局域网访问控制列表中,规定只有在表中列出的MAC地址的网卡才可以允许访问网络内部网络,否则就会被拒绝。MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
2.3 WEP(有线对等加密协议)
WEP是由IEEE制定的IEEE 802.11标准中定义的一种可选的无线加密方案。WEP协议的目的是想提供一种与有线局域网具有相同或者类似安全级别的加密保护。WEP协议将数据帧的实体内容进行加密,被加密之后的帧实体将被用来替换原有的数据帧实体,并以此组成新的数据帧,然后将加密
之后的新数据帧发送出去。加密数据帧控制域的加密控制位被置换,接收端则根据加密控制位判断收到的数据帧是否已被加密。如果收到的数据帧已经被加密,则采用与发送端相同的算法和密钥对收到的数据帧运行解密。如果解密成功,接收端将解密后的数据帧上传给协议栈更高层。
虽然WEP协议的目的是想提供一种与有线局域网具有相同或者类似安全级别的加密保护,但是存在着先天不足的安全缺陷。主要表现在:
加密算法:WEP采用RC4序列密码加密算法,采用24bit初始向量的64位静态密钥,有明显的弱密匙的特征,黑客可以很容易地破解。
效验码:在WEP中,用CRC-32算法保证数据的完整性,而CRC-32算法具有线性特征,容易被攻破,因此不能对恶意篡改的数据提供完整性效验。
存取控制:WEP属于单向认证,会受到中间人攻击,攻击者可能伪装成接入点实施拒绝服务攻击。
2.4 802.11x协议
该协议只允许被授权用户等级上的安全操作,它属于第二层的协议,其实质是对以太网端口进行认证。通过对端口进行控制,就可以确保只有那些得到授权的系统才可以访问网络中的资源。在IEEE 802.11的无线网络中,IEEE 802.1x协议用于在AP和用户终端之间建立认证的安全连
接。如果认证通过,AP为无线工作站打开逻辑端口,否则不允许用户接入网络。通过IEEE 802.1x协议,当一个设备想要接入某个接入点的
基于802.11无线局域网安全方案研究
全婕 江汉大学数学与计算机学院
1 引言
随着无线局域网技术及应用的迅速发展,网络通信的安全问题成为制约其发展的主要因素。针对无线网络的攻击主要包括伪装成网络攻击者对认证系统进行欺骗,非法使用系统资源;针对网络通信数据进行窃听、改动、进行流量分析以及拒绝服务攻击等。
从无线局域网的标准802.11产生至今,人们已经对网络安全进行了许多研究,并制定了一系列标准,以求做到如下几方面的防范措施:
1)数据机密性:为了保证无线局域网中传输的数据只有合法接受者才能读取,必须对信息实施相应的处理来保证信息的机密性要求。
2)身份认证:为了有效防止非法用户接入,需要采取一定的身份认证机制来验证接入用户的合法性。
3)数据完整性:为了防止信息丢失或被攻击者修改并重新转发,在无线局域网中需要对信息的完整性实施认证,其中包括对信息的完整性以及正确性两方面进行验证。
4)密钥管理:为了实现以上的安全措施,构建强健的密钥管理对系统的安全起着决定性的作用。
2 现有的安全技术
2.1 设置服务访问标识符(SSID)
SSID是一个WLAN子系统中设备的常用网络名,它被用来区分各个子系统,当用其实现对接入网络用户进行存取控制时,就是要让无线工作站必须出示正确的SSID才能够进行通信。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。但是SSID很容易泄漏,安全性很低。
2.2 利用MAC地址进行访问控制每1块计算机网卡(包括无线网卡)在生产的时候,制造厂商都会分配给它1个世界
时候,则该接入点设备就要求请求设备提供
一组证书,接入用户所提供的数字证书将被中心设备提交给服务器进行认证。整个过程被包含在IEE
E 802.1x的标准扩展认证协议(EAP)中。EAP是一种认证集合,可以选用不同的认证协议,如RADUIS、EAP-TLS、Kerberos、Secure IDs等。可以让开发者以各种方式生成他们自己的证书发放方式,实现安全认证。EAP在数据加密时所采用的是安全性较高的加密方法TKIP和AES算法。
IEEE802.1x无线局域网安全方案的使用会产生以下几方面的影响:
降低由于硬件丢失或被盗、恶意接入点和黑客攻击等安全威胁;
用户登录使用动态产生的用户特定的、基于会话的WEP密钥,而不是使用存储在用户设备和接入点上的固定WEP密钥;
通过认证服务器集中管理所有无线用户的安全。
2.5 VPN(虚拟专用网)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据安全传输的网络,VPN的最大优点在于异地子网间的通信如同在同一个子网内一样安全。实现VPN的安全协议有许多种,典型的有L2TP、PPTP、L2F、IPSec、GRE、VTP等。其中IPsec(1P Security)是标准的第三层安全协议,也是在现有VPN中用的最多的安全协议。IPsec用于保
护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。IPSec由认证头(AH)协议、安全封装载荷(ESP)协议和Intemet密钥交换(1KE)协议组成,并实现安全服务。其中AH对IP包进行认证,ESP对IP包进行认证和加密,IKE对密钥进行协商与管理。具体提供:数据机密性、数据完整性、数据源认证、抗重播四个方面的安全服务。
VPN作为一门可选安全技术方案,在现有网络中得到了非常广泛的应用。其主要优点表现在:
VPN为网络(Internet以及Intranet)提供整体的安全性,是性能价格比比较高的安全方式。
VPN与防火墙和代理服务器不同,大多数的VPN产品可以在网络连接中透明地配置,不需要修改网络或客户端的配置。
3 无线局域网安全方案
第一级,对在公共场合的一般用户(例如在公司、学校的不同部门的员工)而言,可使用设置服务访问标识符(SSID),MAC地址进行访问控制。
第二级,对有一般安全需求的用户而言,仅使用WEP协议,可以阻止一些被动的攻击。
定义了产生眼图模板的方法后,就可以对给定的数据链路生成在不同的电缆长度和温度下的眼图模板了。按照图1建立的平台,调整LVDS差分信号输出幅度至200mVpp,这决定了信号眼图在垂直方向上眼图的长度200mV(图3中“X”)。
然后通过调整加入到LVDS信号中的jitter值来决定眼图模板水平方向上的长度(图3中“Y”)。这个长度对应于在2分钟内没有出现误码的情况下,整个数据链路中总的jitter值。表1列出了在不同的实验条
件下眼图模板水平长度(水平长度单位为UI)。图4显示了一种情况下得到的眼图结果。
4.导出眼图模板冗余量
有了眼图模板后,导出眼图的冗余量就很容易了。图5显示了在不同电缆长度和温度下测量LVDS眼图的连接方法。表2显示了在不同的条件下测量的结果。
这样我们通过比较表2和表1的结果就能得出在不同电缆长度和温度下冗余量。如表3。水平方向单位是UI,垂直方向单位Db。绘制相应的眼图模板可以给出一个图形化的参考,如图6。
通过表3我们得出以下结论:眼图形状受到多个因数影响,如电缆类型,电缆长度,接头类型,温度,数据率,不同芯片的参数等。
对于5m长的电缆,Max9217/Max9250串、并信号转换芯片对于传输660Mbps的信号有足够的冗余量。
wlan无线上网密码
对于10m长的电缆,Max9217/Max9250串、并信号转换芯片只有很小的冗余量。
5.总结
本文提供了一个可行的方法为LVDS信号生成眼图模板,利用在信号幅度大于一定值之后对信号链路jitter几乎没有影响的特性,来确定信号眼图在水平方向的限值。通过生成的眼图模板,就可以很容易来判断数据链路的性能和可靠性的冗余量。
图4 眼图测量效果图
图6 测量信号眼图和眼图模板
进行比较示意图
表3 不同电缆长度和温度下的眼图冗余量
表2 眼图测量结果
图5 测量LVDS信号眼图表1-眼图模板水平长度(单位 UI)
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论