局域网安全性研究

《局域网安全性研究》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

中国防卫科技学院学士学位论文中国防卫科技学院本科生论文（二OO九届）论文题目:无线局域网安全性研究论文作者:于新刚学号：05061303126专业方向：计算机科学与技术指导教师:高小玲中国防卫科技学院二○○九年五月35

1中国防卫科技学院学士学位论文中国防卫科技学院本科毕业论文（设计）开题报告学生姓名于新刚学号05061303126专业计算机科学与技术年级2005级论文题目无线局域网安全性研究本课题的研究现状随着无线局域网的广泛应用，无线局域网已经融入了人们的生活,无线局域网的安全问题也越来越被人们重视，安全问题已经成为制约无线局域网发展的重大阻碍，安全防护技术也日新月异。相信在不久的将来，安全问题将不会在是制约无线局域网发展的瓶颈。研究目的、意义无线局域网的安全问题已经成为现阶段无线局域网发展最需要解决的问题，无线局域网在人们的生活中出现的频率越来越高，安全问题也越来越需要解决。本文通过研究一些常见的无线局域网的安全问题及解决方法，是人们进一步的了解无线局域网的安全防护。研究内容、研究方法本文简述了无线局域网的由来和安全防护,并通过查找资料,介绍了一些常用的安全防护措施.论文撰写提纲1，无线局域网的概念2，无线局域网的相关技术标准3，常用无线局域网设备简介4，无线局域网的应用5，无线局域网的安全和防护6，总结35

2中国防卫科技学院学士学位论文主要参考文献1、电子工业出版社《IEEE802.11无线局域网》2、北京邮电大学出版社《宽带无线接入和无线局域网》3、清华大学出版《无线网络通信原理与应用.》4、InternetWAP:无线局域网新安全机制5、微处理器2008年10月无线局域网安全架构分析论文进度安排2月查阅资料,翻看相关书籍3月完成论文大体架构4月论文初稿完成5月经过多次修改，论文定稿指导教师意见指导老师签字：年月日系审核意见负责人签字：年月日教务处制表35

3中国防卫科技学院学士学位论文中国防卫科技学院本科毕业论文（设计)任务书姓名于新刚学号05061303126年级2005级系别专业计算机科学与技术指导教师高小玲职称教授单位信息工程分院论文题目无线局域网安全性研究论文主要内容论文主要简述了无线局域网的相关知识，并着重研究了无线局域网的安全问题及其相应的防护措施。主要参考文献1、电子工业出版社《IEEE802.11无线局域网》2、北京邮电大学出版社《宽带无线接入和无线局域网》3、清华大学出版《无线网络通信原理与应用。》4、InternetWAP:无线局域网新安全机制5、微处理器2008年10月无线局域网安全架构分析写作进度安排2月查阅资料，翻看相关书籍3月完成论文大体架构4月论文初稿完成5月经过多次修改,论文定稿教研室审定意见：教研室主任签字：年月日35

4中国防卫科技学院学士学位论文摘要无线局域网是近年来发展迅速的无线数据通讯网。安全性能，成为无线局域网的关键性能之一.本文简单介绍了无线局域网的由来和现况，并主要分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点，介绍了最新发展的几种无线局域网安全机制。关键词：无线局域网,安全机制，加密，安全架构35

5中国防卫科技学院学士学位论文AbstractWirelesslocalareanetworkinrecentyearstherapiddevelopmentofwirelessdatacommunicationnetwork.Securityperformance,wirelessLANhasbecomeoneofthekeytoperformance。Inthispaper，abriefaccountoftheoriginofawirelesslocalareanetworkandthecurrentsituationandthemainanalysisofthecurrentwirelesslocalareanetworkusingthebasicsecuritymechanismofthemaintechnicalcharacteristicsandshortcomingsofthelatestdevelopmentsintroducedseveralwirelesslocalareanetworksecuritymechanisms.Keywords：WirelessLAN，Securitymechanism,Encryption,Securityarchitecture目录第一章无线局域网的概念91.1无线局域网的简介91。2无线局域网的历史91.3无线局域网的技术特点及优点101。3。1无线局域网的技术特点101。3．2无线局域网的优点12第二章无线局域网的技术相关标准142。1IEEE简介142.2IEEE802.11发展史142.3HomeRF无线标准152.4HiperLAN2162。5Bluetooth17第三章常用无线局域网设备简介183.1无线网卡基本介绍183.2无线路由器/AP基本介绍18第四章无线局域网的应用204.1无线局域网的应用领域204。2无线局域网的连接结构20第五章无线局域网的安全和防护225.1无线局域网安全问题的主要特点225。2无线局域网的常用安全措施225.2。1服务集标识符（SSID）225。2.2物理地址(MAC）过滤控制235.2。3有线对等保密机制(WEP）235.3构建安全的无线网络265。3。1802。1X端口访问控制机制2635

6中国防卫科技学院学士学位论文5。3。2VPN-Over-Wireless技术295。3。3WPA（Wi-Fi保护访问)技术305。3.4强健安全网络（RSN）305。3。5IEEE802。11i315.4WLAN常见安全框架实现比较315.4。1VPN实现方案335.4.2无线安全网关实现方案335。4。3无线交换机实现方案345.4.4基于802．1liRSN标准的实现方式345。5综合比较35第六章结论36第七章参考文献37第八章致谢38引言当今社会网络已经成为人们生活中不可分割的一部分,而无线局域网以它接入速率高，组网灵活，在传输数据方面尤其具有得天独厚的优势等特点而越来越受到人们的青睐。无线局域网利用2.4GHz无线多址信道的一种有效方法来支持计算机之间的通信，并以此实现通信的移动化，个性化和多媒体应用。因此无线局域网不用像有线网络那样使用缆线，从而摆脱了有线网络布线和改线工程量大，线路容易损坏，网络节点不可移动等缺点，但也正因为无线局域网的这种环境开放，配置简单的原因,使得无线局域网的安全问题一直无法完美的解决，而安全问题也已经成为制约无线局域网进一步发展的最大阻碍.第一章无线局域网的概念1.1无线局域网的简介无线局域网(WirelessLocalAreaNetworks，WLAN),是一种利用无线方式，提供无线对等（如PC对PC，PC对集线器,打印机对集线器等）和点到点(LAN到LAN）连接线性的数据通信系统。随着网络在人们生活中的地位日益加重，移动终端的不断增加，人们对移动设备接入网络的需求日益增长,无线局域网以其种种优点，很好的满足了这种需求.35

7中国防卫科技学院学士学位论文1。2无线局域网的历史战争一直是促进科技进步的一大催化剂，无线局域网起源于第二次世界大战期间，当时美国陆军就采用了无线电信号做资料的传输，他们研发出了一套无线电传输技术,并且采用非常高的加密技术。1971年，夏威夷大学（UniversityofHawaii）的研究人员创造了第一个基于封包式技术的无线电通讯网络，被称为ALOHNET网络，是最早的无线局域网络。这个WLAN包括了7台计算机,采用双向星型拓扑(bi-directionalstartopology）横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（OahuIsland）上。从这时开始，无线局域网可以说是正式诞生了。最早的有线网络标准IEEE802。3(IEEE=InstituteofElectricalandElectronicsEngineers)于1983年面向公众正式发布。1990年无线局域网产品在市场出现,但是价格昂贵,标准混乱。于是国际电气电子工程师学会（IEEE)开始着手制定行业标准，直至1997年才有了第一个无线网络标准IEEE802。11标准问世。不过这一标准传输速率只有2Mbps，与当时的有线网络的10Mbps主流相比没有任何优势，而且价格不菲,所以市场冷淡。随着个人计算机诞生并初步发展，真正现代意义上的无线局域网在上世纪80年代末期才开始出现，当时摩托罗拉公司开发出了第一代商用无线局域网。1990年，IEEE启动了802。11项目，正式开始了无线局域网的标准化工作；1997年，IEEE改进了802。11协议的国际互通标准;1999年，IEEE批准了802。11b和802.11a两个无线网络的通信标准；2001年,IEEE对QoS和无线局域网安全性草案作出了明确表述；2002年，已经有超过130家参与公司成为标准投票成员.1999年，802。11b无线网络标准才的确立才开始了真正意义上的无线推广阶段。它比最初的无线网络标准更可靠、更快捷，同时其成本不高。所以它开始被运用于家庭与企业局域网的架设中,那个时候不少的P3高端笔记本会配备无线网卡，或者一些超便携的机器也是如此,比如SONY境外机器C1系列机器.此时的无线网络能够提供11Mbps的最高传输速率。不久802.11a无线网络标准问世，但是它并不向下兼容，导致市场接纳程度有限而无法铺开。为了很好的解决这一困境，802。11g标准跟随着发布.在提供高速无线连接的同时，还向下兼容802。11b标准.  35

8中国防卫科技学院学士学位论文  随着INTEL公司迅驰系统的出台以及WI-FI组织的成立促进了无线局域网产品的兼容化、标准化以及市场化。无线局域网获得了巨大发展1。3无线局域网的技术特点及优点1.3.1无线局域网的技术特点下面我将会从传输方式、网络拓扑、网络接口及对移动计算的支持四个方面来简述无线局域网的技术特点1.传输方式　　传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。目前无线局域网采用的传输媒体主要有两种，即微波与红外线。采用微波作为传输媒体的无线局域网按调制方式不同,又可分为扩展频谱方式与窄带调制方式。2。网络拓扑　　无线局域网的拓扑结构可归结为两类：无中心或叫对等式(PEERTOPEER）拓扑和有中心(HUB－BASED）拓扑。①无中心拓扑无中心拓扑的网络要求网中任意两个站点均可直接通信。采用这种拓扑结构的网络一般使用公用广播信道，各站点都可竞争公用信道，而信道接入控制（MAC)协议大多采用CSMA（载波监测多址接入）类型的多址接入协议.这种结构的优点是网络抗毁性好、建网容易、且费用较低.但当网中用户数（站点数）过多时,信道竞争成为限制网络性能的要害.并且为了满足任意两个站点可直接通信，网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户数相对较少的工作群。　②有中心拓扑　在有中心拓扑结构中，要求一个无线站点充当中心站，所有站点对网络的访问均由其控制.这样,当网络业务量增大时网络吞吐性能及网络时延性能的恶化并不剧烈。由于每个站点只需在中心站覆盖范围内就可与其它站点通信,所以网络35

9中国防卫科技学院学士学位论文中心点布局受环境限制亦小。此外，中心站为接入有线主干网提供了一个逻辑接入点。有中心网络拓扑结构的弱点是抗毁性差,中心站点的故障容易导致整个网络瘫痪，并且中心站点的引入增加了网络成本.　在实际应用中，无线局域网往往与有线主干网络结合起来使用。这时，中心站点充当无线局域网与有线主干网的转接器。　③网络接口　这涉及无线局域网中站点从哪一层接入网络系统。一般来讲,网络接口可以选择在OSI参考模型的物理层或数据链路层.所谓物理层接口指使用无线信道替代通常的有线信道,而物理层以上各层不变。这样做的最大优点是上层的网络操作系统及相应的驱动程序可不做任何修改。这种接口方式在使用时一般做为有线局域网的集线器和无线转发器以实现有线局域网间互联或扩大有线局域网的覆盖范围。　另一种接口方法是从数据链路层接入网络。这种接口方法并不沿用有线局域网的MAC协议，而采用更适合无线传输环境的MAC协议。在实时，MAC层及其下层对上层是透明的，配置相应的驱动程序来完成与上层的接口，这样可保证现有的有线局域网操作系统或应用软件可在无线局域网上正常运行。目前，大部分无线局域网厂商都采用数据链路层接口方法。④对移动计算网络的支持在无线局域网发展的初期阶段，无线局域网的最大特征是用无线媒体替代线缆，这样可省去布线,网络安装简便。随着笔记本型、膝上型、掌上型电脑个人数字助手（PDA）、以及便携式终端等的普及应用，支持移动计算网络的无线局域网就显得尤为重要。从移动通信的观点来讲,移动计算网络应提供以下几个功能。小区内的站点可移动,同一小区内的站点可直接或经AP间接通信。不同小区内站点可经过网络接入点AP及主干网进行通信。当某一站点由一个小区移动至另一个小区时，通过越区切换协议或算法,该站点被切换至新的小区。在新的小区中该站点仍和在以前小区时一样保持与外界的连接。小区中的站点可通过主干网上的路由器访问公共网或被公共网访问。1。3．2无线局域网的优点相比较传统有线网络，无线局域网具有以下优点。1·建设速度快 35

10中国防卫科技学院学士学位论文对于无线接入系统而言,主要的安装工作就是架设天线和安装连网设备,牵扯面小而工程单纯.而且由于无线设备采用小型化和集成化工艺，所以基站安装所需的工程量很小。而有线接入系统则需挖沟埋缆或竖杆架线，牵扯面大、工程复杂。当网络需要扩容时，无线局域网只需安装用户终端即可实现即时上网，工作量更小,而有线网络则需要重新为该用户布线，甚至还可能需要购置网络设备。2·安装灵活方便 无线局域网可以按当时的需要容量来安装设备，甚至可以"现用现装"。而如果采用有线组网(接入)方式，则由于线路工程复杂、牵涉面广,需进行长远规划，尽量做到一次性把线路设施建设完毕，避免因通信容量增加而反复施工。至于在地形复杂，难以理设或架高电缆情况下，无线接入是惟一的选择。 3·节约建设投资 采用有线组网(接入)必须按长远规划超前埋设电缆，需投入相当一部分当前并无任何效益的资金，增加了成本.同时，电缆预埋的做法无疑会冒着投入使用时电缆已经落后的风险（近年来网络速度的发展已经证明了这-—点）.采用无线组网（接入)则无需这种超前投资和投资风险，只要按当前需要进行建设，建设后的扩建简易方便. 4·维护费用低线路的维护费用高而困难，是有线组网（接入）的主要维护开支，而这些在无线组网(接入)是完全可以节省的.无线组网（接入）的主要开支在于设备及天线和铁塔的维护，相比较而言费用要低很多。5·安全性好 有线电缆和明线容易发生故障,查找困难，且易受雷击、火灾等灾害影响，安全性差。无线系统抗灾能力强,容易设置备用系统，可以在很大程度上提高网络的安全性。35

11中国防卫科技学院学士学位论文第二章无线局域网的技术相关标准2。1IEEE简介美国电气和电子工程师协会：InstituteofElectricalandElectronicsEngineers(IEEE）。美国电气和电子工程师协会（IEEE）是一个国际性的电子技术与信息科学工程师的协会，是世界上最大的专业技术组织之一（成员人数），拥有来自175个国家的36万会员（到2005年)。1963年1月1日由美国无线电工程师协会(IRE,创立于1912年)和美国电气工程师协会(AIEE，创建于1884年)合并而成，总部在美国纽约市.专业上它有35个专业学会和两个联合会。IEEE发表多种杂志，学报，书籍和每年组织300多次专业会议.IEEE定义的标准在工业界有极大的影响。IEEE学会成立的目的在于为电气电子方面的科学家、工程师、制造商提供国际联络交流的场合，为他们交流信息。并提供专业教育和提高专业能力的服务.2.2IEEE802.11发展史1997年IEEE802.11标准的制定是无线局域网发展的里程碑，它是由大量的局域网以及计算机专家审定通过的标准。IEEE802。11标准定义了单一的MAC层和多样的物理层，其物理层标准主要有IEEE802.11b,a和g。1999年9月正式通过的IEEE802。11b标准是IEEE802.11协议标准的扩展。它可以支持最高11Mbps的数据速率，运行在2。4GHz的ISM频段上，采用的调制技术是CCK.IEEE802。11a工作5GHz频段上,使用OFDM调制技术可支持54Mbps的传输速率。802.11a与802.11b两个标准都存在着各自的优缺点，802。11b的优势在于价格低廉，但速率较低(最高11Mbps）;而802。11a优势在于传输速率快(最高54Mbps)且受干扰少，但价格相对较高。另外，11a与11b工作在不同的频段上,不能工作在同一AP的网络里，因此11a与11b互不兼容。35

12中国防卫科技学院学士学位论文为了解决上述问题，为了进一步推动无线局域网的发展,2003年7月802。11工作组批准了802.11g标准IEEE802。11工作组开始定义新的物理层标准IEEE802。11g。该草案与以前的802.11协议标准相比有以下两个特点：其在2。4G频段使用OFDM调制技术，使数据传输速率提高到20Mbps以上；IEEE802。11g标准能够与802。11b的WIFI系统互相连通，共存在同一AP的网络里,保障了后向兼容性。这样原有的WLAN系统可以平滑的向高速无线局域网过渡，延长了IEEE802。11b产品的使用寿命，降低用户的投资。IEEE已经成立802。11n工作小组，以制定一项新的高速无线局域网标准802.11n。IEEE802.11n计划将WLAN的传输速率从802。11a和802.11g的54Mbps增加至108Mbps以上，最高速率可达320Mbps，成为802.11b、802.11a、802。11g之后的另一场重头戏。和以往地802.11标准不同，802。11n协议为双频工作模式（包含2。4GHz和5GHz两个工作频段）。这样11n保障了与以往的802。11ab，g标准兼容。2。3HomeRF无线标准　HomeRF无线标准是由HomeRF工作组开发的,旨在家庭范围内，使计算机与其他电子设备之间实现无线通信的开放性工业标准.　　HomeRF是IEEE802。11与DECT的结合，使用这种技术能降低语音数据成本。与前几种技术一样,使用开放的2.4GHz频段.采用跳频扩频（FHSS)技术，跳频速率为50跳/秒，共有75个带宽为1MHz的跳频信道，室内覆盖范围为45米。调制方式为恒定包络的FSK调制,分为2FSK与4FSK两种，采用调频调制可以有效地抑制无线环境下的干扰和衰落。2FSK方式下，最大数据的传输速率为1Mbps;4FSK方式下，速率可达2Mbps。在新的HomeRF2.x标准中，采用了WBFH（WideBandFrequencyHopping,宽带调频)技术来增加跳频带宽，由原来的1MHz跳频信道增加到3MHz、5MHz，跳频的速率也增加到75跳/秒，数据峰值达到10Mbps。　　以下为HomeRF标准的主要特点：　　HomeRF提供了流媒体(StreamMedia)真正意义上的支持。由于流媒体规定了高级别的优先权并采用了带有优先权的重发机制，这样就确保了实时播放流媒体所需的带宽、低干扰、低误码。35

13中国防卫科技学院学士学位论文　　HomeRF把共享无线接入协议(SWAP)作为未来家庭联网的技术指标，基于该协议的网络是对等网，因此该协议主要针对家庭无线局域网。其数据通信采用简化的IEEE802.11协议标准，沿用类似于以太网技术中的冲突检测的载波侦听多址技术(CSMA/CD)—CSMA/CA，冲突避免的载波侦听多址技术。语音通信采用DECT（DigitalEnhancedCordlessTelephony)标准，使用TDMA时分多址技术.　　不过由于HomeRF技术标准没有公开，仅获得了数十家公司的支持，并且在抗干扰能力等方面与其它技术标准相比也存在不少欠缺，这些先天不足决定了HomeRF标准应用和发展前景有限，又加上这一标准推出后，市场营销策略失当、后续研发与技术升级进展迟缓，因此，2000年之后，HomeRF技术开始走上了下坡路，2001年HomeRF的普及率降至30％，市场优势逐渐丧失。与此同时,作为HomeRF技术劲敌的Wi-Fi技术不仅在商用与家庭无线联网市场双管齐下，而且无论在技术标准升级演化、普及程度和产品价格方面，Wi-Fi都开始领先于HomeRF，尤其是芯片制造巨头英特尔公司决定在其面向家庭无线网络市场的AnyPoint产品系列中增加对802.11b标准的支持后，HomeRF的失败几乎已成定局。2.4HiperLAN2除了IEEE,欧洲电信标准协会（ETSI）也在针对欧洲市场，制订名为“HiperLAN”的无线接入标准.所制订的标准有4个：HiperLAN1、HiperLAN2、HiperLink和HiperAccess。其中HiperLink用于室内无线主干系统，HiperAccess用于室外对有线通信设施提供固定接入,HiperLAN1和HiperLAN2则用于无线局域网接入。　　HiperLAN主要是为集团消费者，公共和家庭环境提供无线接入到因特网和实时视频服务。HiperLAN1采用了已在GSM蜂窝网和蜂窝数字分组数据(CDPD)中广泛使用的高斯滤波最小频移键控（GMSK）调制技术，支持最大23。5Mbit/s的速率.HiperLAN2则与802。11a相似，同样工作在5G频带，同样在物理层采用正交频分复用(OFDM）调制方法，同样支持高达54Mbit/s的传输速率。不过，它还具备其它方面的一些优点。在HiperLAN2中，数据通过移动终端和接入点之间事先建立的信令链接来进行传输,面向链接的特点使得HiperLAN2可以很35

14中国防卫科技学院学士学位论文容易地实现QoS支持;HiperLAN2自动进行频率分配，接入点监听周围的HiperLAN2无线信道并自动选择空闲信道，这消除了对频率规划的需求，使系统部署变得相对简便；为了加强无线接入的安全性，HiperLAN2网络支持鉴权和加密，只允许合法用户接入网络;HiperLAN2的协议栈具有很大的灵活性，可以适应多种固定网络类型——它既可以作为交换式以太网的无线接入子网,也可以作为第三代蜂窝网络的接入网，并且这种接入对于网络层以上的用户部分来说是完全透明的，当前在固定网络上的任何应用都可以在HiperLAN2网上运行。相比之下，IEEE802。11的一系列协议都只能由以太网作为支撑,不如HiperLAN2灵活.2。5BluetoothBluetooth也就是我们常说的蓝牙,是一种开放性短距离无线通信技术标准。它是面向移动设备间的小范围连接，其本质可以说它是一种代替线缆的技术.从应用的角度来讲，它与日前广泛应用于微波通信中的一点多址技术十分相似;因此,它很容易穿透障碍物，实现全方位的语音与数据传输。35

15中国防卫科技学院学士学位论文第三章常用无线局域网设备简介3。1无线网卡基本介绍无线网卡并不像有线网卡的主流产品只有10/100Mbps一种规格,而是根据不同的无线传输标准拥有不同的传输速度。1。IEEE802。11a：使用5GHz频段，传输速度54Mbps，与802.11b不兼容；　2.IEEE802.11b:使用2。4GHz频段，传输速度11Mbps;　3.IEEE802。11g：使用2。4GHz频段，传输速度54Mbps,可向下兼容802.11b；4.IEEE802.11n(Draft2。0）：用于Intel新的迅驰2笔记本和高端路由上，可向下兼容，传输速度300Mbps。无线网卡从接口分类则包含PCI接口（内置）、USB接口（外置）和PCMICA接口（外置）三种，其中PCI接口无线网卡适用于台式电脑，PCMICA接口产品适合笔记本电脑,USB接口的产品可以兼顾台式电脑和笔记本电脑，但USB接口的产品需要注意的一点就是只有采用USB2.0接口的无线网卡才能满足802.11g或802.11g+的需求。除了以上3种接口的无线网卡外,还有一种MINI-PCI无线网卡，这种网卡是专用于笔记本,现阶段市面上所销售的上网本标配都是使用此种无线网卡，其优点是无需占用PC卡或USB插槽，并且免去了随时身携一张PC卡或USB卡的麻烦。3.2无线路由器/AP基本介绍无线AP（AP,AccessPoint，无线访问节点、会话点或存取桥接器）是无线网络的核心，无线AP是移动计算机用户进入无线网络的接入点,主要用于小范围的无线网络,如家庭，办公区等。目前市面上用的无线AP主要都是基于802。11系列技术标准。无线AP可以分为单纯性AP和扩展性AP，单纯性AP就是一个无线的交换机,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。35

16中国防卫科技学院学士学位论文而扩展性AP就是我们常说的无线路由器，也就是带有无线覆盖功能的路由器，简单的来说,无线路由器就是无线AP,路由功能和交换机的集合体.35

17中国防卫科技学院学士学位论文第四章无线局域网的应用4.1无线局域网的应用领域由于无线局域网可移动性好，组网灵活，成本较低等优势，使其广泛应用在以下领域:移动办公的环境：大型企业、医院等移动工作的人员应用的环境；难以布线的环境:历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境；频繁变化的环境：活动的办公室、零售商店、售票点、医院、以及野外勘测、试验、军事、公安和银行金融等，以及流动办公、网络结构经常变化或者临时组建的局域网；公共场所：航空公司、机场、货运公司、码头、展览和交易会等；小型网络用户：办公室、家庭办公室（SOHU)用户4.2无线局域网的连接结构根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联.常用的具体有如下几种：1、网桥连接型：不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。2、基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。3、HUB接入型：利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能.35

18中国防卫科技学院学士学位论文4、无中心结构:要求网中任意两个站点均可直接通信.此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP）、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍,使用最多35

19中国防卫科技学院学士学位论文第五章无线局域网的安全和防护自WLAN诞生之日起，安全性就是限制WLAN发展的一大阻碍，人们在享受着WLAN灵活便捷的同时，也不断地受到因此优点而带来的安全漏洞，据统计,在不愿使用无线局域网的理由中，安全问题以40％高居第一位，安全问题已成为无线局域网在信息化应用领域进一步发展的最大障碍，而技术联盟及硬件厂商们为解决这个问题也在不断的开发新的技术，下边将详细的讨论一下无线局域网的安全问题及相应的防护措施.5。1无线局域网安全问题的主要特点无线局域网于传统有线网络相比，其安全问题主要有以下四个特点。1、信道开放无线局域网顾名思义，就是利用无线电波来构建局域网，由于采用无线电波来传输数据，因此难以限制网络的物理访问,无法像络那样通过保护通信线路来保护通信安全.所以在无线局域网的覆盖范围内几乎任何一个用户都能接触到这些信号，无法阻止攻击者窃听，破坏，恶意修改及转发。2、传输媒介衰减，丢失无线局域网技术由于在空气中传播，受环境影响很大，随着传播距离的增加或碰到障碍物(如玻璃，墙壁，天花板）时信号会衰减，容易导致数据丢失。3、身份验证安全性无线局域网由于其特性，不能像有线网络那样利用物理端口来进行身份验证，使得攻击者伪装合法用户更为容易。5.2无线局域网的常用安全措施5。2.1服务集标识符(SSID）服务集标识符（SSID）是一个32字符的集合，用来标识一个无线网络的名称，以此来区分不同的网络，无线工作站设置了不同的SSID就可以进入不同网络。35

20中国防卫科技学院学士学位论文无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP;如果出示的SSID与AP的SSID不同，那么AP将拒绝提供服务，我们可以认为SSID就是一个简单的口令,以此来提供口令认证机制，阻止非法用户的接入，来保障无线局域网的安全，SSID通常会由AP广播出去，网络管理员可以禁止AP广播SSID，这样无线工作站就必须提供正确的SSID才能连接AP,从而提升网络的安全。5。2.2物理地址(MAC）过滤控制物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。　由于每个无线工作站的网卡都有惟一的物理地址，因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性.为AP设置基于MAC地址的AccessControl（访问控制表），只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机与之通信,实现物理地址过滤。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这里以我们学校的校园网为例,虽然我校的校园网是传统的有线网络,但在MAC过滤控制方面是一样的，学校先统计了所有上网账号所对应的MAC地址,当你的物理地址不在学校网络控制中心的列表中时,你就无法登录。但是这个方法并不是无懈可击,由于很多无线网卡支持重新配置MAC地址，因此非法入侵者很有可能从开放的无线电波中截获数据帧,分析出合法用户的MAC地址,然后伪装成合法用户，非法接入WLAN，使得网络安全遭到破坏。另外，随着无线终端的增减，MAC地址列表需要随时更新,但是AP设备中的合法MAC地址列表目前都是手工维护，因此这种方式的扩展能力很差，只适合于小型无线网络使用。如果网络中的AP数量太多，可以使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。5。2.3有线对等保密机制（WEP)WEP是WiredEquivalentPrivacy的简称，是1999年9月通过的IEEE802.11标准的一部分,是基于RC4算法的40bit或104bit的加密技术35

21中国防卫科技学院学士学位论文。用于2台设备间无线传输的数据进行加密，以防止非法用户窃听或侵入无线网络。WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法。WEP使用加密密钥(也称为WEP密钥)加密802.11网络上交换的每个数据包的数据部分.启用加密后，两个802。11设备要进行，必须具有相同的加密密钥，并且均配置为使用加密.如果配置一个设备使用加密而另一个设备没有，则即使两个设备具有相同的加密密钥也无法通信。（如图1所示)加密加密密文密钥管理服务密钥窃听者明文原文图1：WEP加密WEP加密过程WEP支持64位和128位加密,对于64位加密,加密密钥为10个十六进制字符（0—9和A—F)或5个ASCII字符；对于128位加密，加密密钥为26个十六进制字符或13个ASCII字符。64位加密有时称为40位加密;128位加密有时称为104位加密。152位加密不是标准WEP技术，没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。1、计算校验和(CheckSumming）。(1）对输入数据进行完整性校验和计算。35

22中国防卫科技学院学士学位论文（2）把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入.2、加密。在这个过程中，将第一步得到的数据明文采用算法加密.对明文的加密有两层含义：明文数据的加密，保护未经认证的数据。(1）将24位的初始化向量和40位的密钥连接进行校验和计算，得到64位的数据。(2)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。（3）经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。3、传输。将初始化向量和密文串接起来，得到要传输的加密数据帧,在无线链路上传输.（如图2所示）连接虚拟随机数产生器异或密文连接完整性算法IV初始化向量（IV）密钥明文密钥序列组合后的数据消息　　图2：WEP加密过程在安全机制中，加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。1、恢复初始明文.重新产生密钥流,将其与接收到的密文信息进行异或运算，以恢复初始明文信息.35

23中国防卫科技学院学士学位论文2、检验校验和。接收方根据恢复的明文信息来检验校验和，将恢复的明文信息分离,重新计算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和的数据帧才会被接收方接受。消息CRC密码流RC4（V,K）加密信息初始化向量（IV）明文+XOR传输数据图3:WEP解密过程在2001年8月,Fluhreretal。发表了针对WEP的密码分析，利用RC4加解密和IV的使用方式的特性,结果在网络上偷听几个小时之后，就可以把RC4的钥匙破解出来。这个攻击方式很快就实作出来了，而自动化的工具也释出了，现在只要你有一台带有无线网卡的电脑，一些共享和自由软件,在具备一些基本的网络知识，就能进行这种攻击，因此在2003年被Wi—FiProtectedAccess（WPA)淘汰，又在2004年由完整的IEEE802.11i标准（又称为WPA2）所取代。5。3构建安全的无线网络科技在进步,为了保障无线局域网的安全，我们必须使用更加安全的认证机制,保密机制及控制机制。5.3.1802。1X端口访问控制机制802。1x技术也是用于无线局域网的一种增强性网络安全解决方案.IEEE35

24中国防卫科技学院学士学位论文802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止.得到验证之后,用户才可以被提供第二层交换机通常提供的服务以外的附加服务。这些服务包括第三层过滤、速率限制和第四层过滤，而不仅仅是简单的“开/关”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在802。1x中称为请求者）不需要分配供验证用的第三层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。IEEE802.1x协议的体系结构主要包括三部分实体：客户端SupplicantSystem、认证系统AuthenticatorSystem、认证服务器AuthenticationServerSystem。（1）客户端:一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE802。1x协议的认证过程。（2）认证系统：通常为支持IEEE802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口：受控（controlledPort）端口和非受控端口（uncontrolledPort）。第一个逻辑接入点（非受控端口），允许验证者和LAN上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何.非受控端口始终处于双向连通状态（开放状态），主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。第二个逻辑接入点（受控端口），允许经验证的LAN用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开，用于传递数据和提供服务.受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用程序。如果用户未通过认证，则受控端口处于未认证（关闭）状态，则用户无法访问认证系统提供的服务。(3）认证服务器：通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管35

25中国防卫科技学院学士学位论文在802。1X解决方案中，通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点.对于此种访问控制方式，应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。对于假冒MAC地址的情况当认证交换机的一个物理端口下面再级连一台接入级交换机，而该台接入交换机上的甲用户已经通过认证并正常使用网络资源，则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同，则即使乙用户没有经过认证过程也能够使用网络资源了，这样就给网络安全带来了漏洞。针对此种情况，港湾网络交换机在实现了802。1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。　　对于动态分配IP地址的网络系统，由于非法用户无法预先获知其他用户将会分配到的IP地址，因此他即使知道某一用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。　　对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的.　　当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。对于假冒IP地址的情况由于802.1X采用了基于二层的认证方式，因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。　　对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。　　如果用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信，从而达到了防止IP地址被篡改、假冒的目的。　　对于用户口令失窃、扩散的处理35

26中国防卫科技学院学士学位论文　　在使用802。1X认证协议的系统中，用户口令失窃和口令扩散的情况非常多，对于这类情况，能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入，避免非法访问网络系统的目的5。3。2VPN-Over—Wireless技术VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道.通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输.目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption＆amp；Decryption）、密钥管理技术（KeyManagement)、使用者与设备身份认证技术（Authentication）。1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输.隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务,从而在IP层提供安全保障。2.加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。3。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥;在ISAKMP中，双方都有两把密钥，分别用于公用、私用.4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式.35

27中国防卫科技学院学士学位论文与IEEE802。11b标准所采用的安全技术不同，VPN主要采用DES，3DES以及AES等技术来保障数据传输的安全.对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802。11b安全技术结合起来，这是目前较为理想的无线局域网络的安全解决方案之一。5。3。3WPA（Wi—Fi保护访问)技术在IEEE802.11i标准最终确定前,WPA(Wi—FiProtectedAccess）技术是在2003年正式提出并推行的一项无线局域网安全技术，将成为代替WEP的无线，其将为现有的大量的无线局域网硬件产品提供一个过渡性的高安全解决方案。WPA是IEEE802.11i的一个子集，其核心就是IEEE802。1x和TKIP。1．WPA的特点。它的主要特点如下：在TKIP中，IV的大小增加了一倍,达到48位；使用Micheal提供强数据完整性的算法;TKIP和Micheal使用从密钥和其他值派生的临时密钥.主密钥从可扩展身份验证协议传输层安全性EAP—TLS或受保护的EAP802。1x身份验证派生而来；自动重新生成密钥以派生新临时密钥租；无重放保护TKIP将IV作帧计数器以提空重放保护.2。WPA的优点。　WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成，并且也能保证兼容将来要推出的IEEE802。11i安全标准.3.WPA的适用范围。虽然相对于WEP，WPA在安全性上有了很大的改善,但仍然是采用比较薄弱的RC4加密算法，黑客只要监听到足够的数据包，借助强大的计算设备,即使在TKIP的保护下,同样可能破解网络,不能满足高端企业和政府的加密需求,因此，WPA更多应用于企业与家庭无线网络部署。5.3。4强健安全网络（RSN)强健安全网络在接入点和移动设备之间使用的是动态身份验证方法和加密运算法则。在802。11i标准草案中所建议的身份验证方案是以802.1X协议和“可扩展身份验证协议"（EAP）为依据的。加密运算法则使用的是“高级加密标准”AES加密算法。35

28中国防卫科技学院学士学位论文认证和加密算法的动态谈判能使RSN具有灵活的升级能力，随着安全技术的进步,可以加入新的算法，对付新的威胁.使用动态谈判、802.1x、EAP和AES,RSN明显比WEP和WPA安全性更高。但RSN对硬件要求较高，只有拥有加速处理算法硬件的新设备,才能显示出WLAN产品所期望的性能。5。3.5IEEE802。11i为了使WLAN技术从这种被动局面中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802。11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进.　　IEEE802。11i规定使用802。1x认证和密钥管理方式，在数据加密方面,定义了TKIP(TemporalKeyIntegrityProtocol）、CCMP(Counter—Mode/CBC-MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的.CCMP机制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB(OffsetCodebook），是一种可选的加密机制。IEEE802。11主要的标准范畴分为媒介层(MAC)与物理层（PHY)，套用过来，前者就是OSI的数据链路层中的媒体访问控制子层，后者直接就对应OSI的物理层。我们耳熟能详的IEEE802。11a、IEEE802。11b或IEEE802.11g，主要是以PHY层的不同作为区分，所以它们的区别直接表现在工作频段以及数据传输率、最大传输距离这些指标上。而工作在媒介层的标准——IEEE802。11e、IEEE802。11f及将来的IEEE802。11i是被整个IEEE802。11族所共用的.5。4WLAN常见安全框架实现比较在介绍常用的安全框架方案之前，我们先通过一张表来看下常用的攻击手段及对应的防御措施，攻击方式防御措施35

29中国防卫科技学院学士学位论文流量攻击现在设备地址可见性，加密非地址流信息被动监听加强编码算法部分明文攻击不采用可能受到攻击的加密协议，如WEP等强制访问采用加强认证和加密标准中间人攻击加强认证和加密算法ARP攻击加强认证和加密算法重放攻击加强认证和加密算法会话劫持加强认证和加密算法拒绝服务攻击采用时间响应机制重定向攻击未加密的明文IP地址设置为不可路由5。4。1VPN实现方案用VPN网关设备实现访问控制的优势集中体现在VPN的关键技术上：隧道技术：通过数据加密为通信的隧道终端在不安全的Internet上安全的传输敏感数据。需要的路由地址等信息以明文包的形式发送，到达可信网络设备之后被解除;然后可信网络设备把包含敏感数据的密文包解密之后发送到目的地址。认证:授权和认证可以让通信双方相互识别身份、防止网络窃听和中间人攻击。典型的认证方式包括PKI数字证书和用于无线设备的安全标识Token.访问控制:实现访问控制的三要素：用户和设备的身份标识、网络资源、访问规则。访问控制可以由软件或者硬件实现。相比其它无线网络安全架构实现方案，VPN采用开放标准，因而提供成本较低，并且能够支持的客户端数目具有很大的弹性,设备性能取决于厂商的设定。5。4。2无线安全网关实现方案与VPN实现方式类似，无线网关采用的隧道协议取决于厂商，可以在OSI网络模型的不同层实现。每一个无线安全网关可以直接或者通过交换设备连接多个无线AP。为了提供扩展性，一个WLAN35

30中国防卫科技学院学士学位论文可以设置多个安全网关用于系统冗余、故障恢复并向无线客户端提供无缝漫游,这些网关由厂家提供的网关管理服务器进行统一的任务分配管理。为了与网关进行通信，不同的无线用户设备需要安装不同的客户端软件并进行相应的设置才能使用安全网络，这在设计成本上不及VPN实现方案.通信过程中的安全隧道在无线客户端设备和安全网关之间．无线客户端没备只需使用身份标识和密码登录而无需其它认证方式，登录之后即可访问任何授权的资源而无需考虑会话超时重新认证等。多网关的实现方式满足了无线用户在较大的通信范围内漫游的需求，并可以通过冗余提供系统的安全性，但成本会上升；另一个缺陷是兼容性。因为不同的厂商会采用不同的私有通信标准，而不同的标准在通信时并不一定兼容，因此在实现时需要保证所有网关通信系统畅通无阻.5。4.3无线交换机实现方案这种实现方式法如EAP，并需要额外增加网络防火墙.通信的安全隧道在无线客户端和无线交换机之间，采用的加密和认证协议需要预先会话协商。因为无线客户端不需要通采用专用的设备。因为采用交换设备实现网络的访问控制,所以可以采用相对较弱的加密箅过AP认证，所以AP的功能不用很全面,这样实现成本会降低许多。另外这种方式也具有上述两种方案的所有优点:网络扩展容易、集中管理和漫游的支持。5。4。4基于802．1liRSN标准的实现方式这种实现方式中无线AP或者无线交换机支持RSN(RobustSecurityNetwork）标准。与802．11系列的其它标准如802．1la和802．11b定义物理层的安全不同,802．11i标准的安全机制工作在MAC层和网络层之问，采用256位的加密算法AES并支持动态加密和认证，极大提高了WLAN的安全性。RSN标准是802．1“标准的组成部分,通过在WAP网络和无线终端用户之间动态加密和认证，可以随时针对发现的安全威胁增加新的安全算法。RSN标准采用的加密算法足256位的AES，认证算法是基于802．1x的EAP。因为AES算法需要256位处理器的支持,而并非所有的无线设备都拥有256位的处理器,所以实际的WLAN通信往往是AES和WEP加密共存的TSN网络。WEP无线设备的存在是WI．AN35

31中国防卫科技学院学士学位论文的重要安全隐患，解决的办法是对不支持AES算法的手持没备（如PocketPC、Palm等）使用过渡方案，如埘WPA或者802．1x协议来传输敏感数据.本力案假定所有无线终端设备都支持RSN标准。该实现方案采用支持RSN标准的网络边界设备（AP或昔无线交换机两者之一)实现访问控制，需要图l中的昕有设备，通信的隧道在无线设备和访问控制设备之间，传输数据之前进行加密算法和认证协议的协商。传统的AP或者无线网卡不再能满足安全需求，因此需要购买新的网络组件方案的成本最高.在安全方面,RSN标准也有其固有的缺陷,因为动态认证和加密需要RSN设备对无线客户端的数据进行彻底的检查，如果访问控制设备没有对数据内容进行检查，那么无线攻击者就可以对有线网络设备(如认证服务器等)发起缓冲区溢出攻击。5.5综合比较上述的四种方法各有优劣,采用哪种需要根据现有的网络条件合理选择，如无线客户端设备需要在多个无线子网络漫游，则可以采用一个无线网关连接多个无线AP的办法可以解决。一个完整的无线网络安全解决办法需要从公共认证标准、网络组件、通信过程、系统管理、扩展兼容性、性能测试和实现成本等方面综合权衡，即使最新的安全标准802．1li也有安全缺陷。网络设计者和用户需要根据现有的网络环境综合考虑，选择最优的组网方案，最大限度的实现无线局域网的安全和便捷.35

32中国防卫科技学院学士学位论文第六章结论无线局域网经过这30多年的发展，自1997年IEEE发布802.11标准以来,无线局域网进入了一个飞速发展的阶段，随着技术的逐渐成熟及用户的迅速增多，无线局域网在市场越来越有竞争力，但不能忽视的是,随着无线局域网应用的越来越广泛，其安全问题也越来越严重，厂商及技术联盟也在极力开发新的技术来解决安全问题,相信在未来，无线局域网将会发挥更加重要的作用。35

33中国防卫科技学院学士学位论文第七章参考文献1、电子工业出版社《IEEE802。11无线局域网》2、北京邮电大学出版社《宽带无线接入和无线局域网》3、清华大学出版《无线网络通信原理与应用.》4、InternetWAP：无线局域网新安全机制5、微处理器2008年10月无线局域网安全架构分析35

34中国防卫科技学院学士学位论文第八章致谢本论文是在导师高晓玲主任的悉心指导下完成的。导师渊博的专业知识，严谨的治学态度，精益求精的工作作风，诲人不倦的高尚师德,严以律己、宽以待人的崇高风范,朴实无华、平易近人的人格魅力对我影响深远。不仅使我树立了远大的学术目标、掌握了基本的研究方法,还使我明白了许多待人接物与为人处世的道理.本论文从选题到完成，每一步都是在导师的指导下完成的，倾注了导师大量的心血.在此,谨向导师表示崇高的敬意和衷心的感谢！中国防卫科技学院本科生毕业论文(设计)答辩决议书学生姓名系别专业指导教师姓名系别职称学历论文（设计）题目论文（设计）摘要指导教师评语指导教师签字:年月日答辩小组意见评语：成绩评定：答辩组长签字：年月日系评审意见系主任签字：年月日学院答辩委员会意见答辩委员会主任签字：年月日备注教务处制表35