網絡安全技術研究報告范例6篇

前言：中文期刊網精心挑選了網絡安全技術研究報告范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全技術研究報告范文1

摘要：文章在研究分析云計算安全風險和安全技術體系架構的基礎上，結合移動互聯網的特點，設計了一個多層次、多級別、彈性、跨平臺和統一用戶接口的移動互聯網通用云計算安全技術體系架構。該架構可實現不同等級的差異化云安全服務，其中跨層的云安全管理平臺可對整個系統的運維安全情況進行跨安全域和跨安全級別的監控。

關鍵詞：移動互聯網；云計算；安全體系架構

Abstract: In this paper, we emphasize the necessity of designing a secure cloud computing architecture for mobile Internet. We analyze cloud computing security risks and secure architectures and propose a general secure cloud computing architecture that takes into account the characteristics of mobile Internet. This architecture has a multihierarchy, multilevel, elastic, cross-platform, unified user interface that can provide cloud services with different levels of security. The cross-layer cloud security management platform can be used to monitor the whole system and maintain different security domains and levels.

Key words: mobile internet; cloud computing; secure architecture

由于云計算特有的優點和巨大的商業前景，移動互聯網領域的許多企業都已提供或準備提供和自身產業相結合的各種云計算服務。云計算引入移動互聯網，會使移動互聯網的體系發生變化，并將帶來許多新的安全問題。為了解決云計算模式下的移動互聯網安全問題，必須系統地研究其安全風險，構建云計算安全技術體系。

在研究分析云計算安全風險和安全技術體系架構的基礎上，文章結合移動互聯網技術的接入方式多樣化、企業運營方式多樣化和用戶安全需求多樣化的特點，根據安全即服務(SeaaS)的思想綜合設計一個多層次、多級別、彈性、跨平臺和統一用戶接口的，基于移動互聯網的通用云計算安全技術體系架構。

1 移動互聯網環境下的

云計算工作

在2011年1月美國國家標準技術研究所(NIST)對云計算的定義的草案中[1]，明確指出支持各種標準的接入手段是云計算的基本特征之一，并將移動互聯網納入云計算技術的架構之下。云計算與移動互聯網結合后，除了移動互聯網本身具有的安全問題外，由于云計算的虛擬化、多租戶、動態性、開放性與復雜性等特點，也給移動互聯網引入了一系列新的安全問題，如何分析和抵抗這些新的安全威脅近幾年已成為產業界和學術界焦點問題。

2008年7月，美國知名市場研究公司Gartner的一份為《云計算安全風險評估》[2]的研究報告認為云計算服務存在著七大潛在安全風險，即特權用戶的接入、可審查性、數據位置、數據隔離、數據恢復、調查支持和長期生存性。2010年3月云安全聯盟的研究報告《云計算主要安全威脅》[3]指出云計算服務的主要威脅主要包括：云計算服務的濫用和惡意使用、不安全的接口和應用程序編程接口(APIs)、惡意的內部攻擊者、共享技術的弱點、數據丟失與泄露和賬號與服務劫持等。微軟公司的《Windows Azure安全筆記》[4]從審計與日志、認證、授權、部署管理、通信、加密、異常管理、輸入與數據驗證和敏感數據這9個方面分別論述了云計算服務的主要安全威脅。加州大學伯克利分校的研究人員在文獻[5]中認為云計算中安全方面的威脅主要有：可用性以及業務連續性、數據鎖定、數據的機密性和相關審計、大規模分布式系統的漏洞和相關性能的不可預知性等等。

在文獻[6-8]中指出云計算中最重要的安全風險主要有：違反服務等級協議，云服務商提供足夠風險評估的能力，隱私數據的保護，虛擬化有關的風險，合約風險等。目前，云計算安全問題已得到越來越多的關注。著名的信息安全國際會議RSA2010將云計算安全列為焦點問題，通信學會理事會(CCS)從2009年起專門設置了一個關于云計算安全的研討會。許多企業組織、研究團體及標準化組織都已啟動了相關研究，安全廠商也已在研究和開發各類安全云計算產品[9]。

云計算服務模式下的移動互聯網是一種復雜的、面臨各種安全威脅的系統，因此必須研究和設計移動互聯網環境下的云計算安全技術來抵抗和防御這些安全威脅，云計算安全體系結構是其研究基礎和依據。許多研究人員和來自移動互聯網相關領域的企業對如何設計和開發云計算安全技術體系架構均展開了相關研究。

微軟云計算平臺Windows Azure是微軟于2008年在微軟開發者大會上的全新的云計算平臺，它基于平臺即服務(PaaS)的思想，向開發人員提供了一個在線的基于Windows系列產品的開發、儲存和服務代管等服務的環境。微軟公司的《Windows Azure安全筆記》[4]從改進Web應用安全的角度出發提出了一個基于應用安全、網絡安全和主機安全概念化安全區域的云計算安全架構。其中應用安全關注應用審計與日志、認證、授權、應用部署管理、加密、異常管理、參數配置、敏感數據、會話管理和驗證等問題；網絡安全保障路由器、防火墻和交換機等的安全；主機安全所需要關注的相關問題則包括補丁和更新、服務、協議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻[10]中提出一種支持資源無縫集成至企業內部網的云計算安全體系架構VSITE，在保持資源的隔離性和安全性的同時允許云服務提供商拓展資源為多個企業提供服務。云計算服務商提供的資源對企業來說就像是內部資源，VSITE通過使用VPN、為不同的企業分配不同的VLAN以及運用MAC地址對企業進行身份編碼等技術手段來達到這個目標。VSITE體系架構由云服務中心、目錄服務器、云數據中心以及監控中心等相關的實體組成，其監控中心設計了安全機制以防止企業與企業之間的相互攻擊。VSITE具有可擴充性安全性以及高效性。

亞馬遜彈性計算云(Amazon EC2)是一個Web服務，它提供可調整的云計算能力。文獻[11]中指出Amazon EC2使用了一個多級的安全體系架構包括主機的操作系統、操作系統的虛擬實例/客戶操作系統、防火墻和簽名的API調用等層次，目標是保護云端的數據不被未授權的系統和用戶攔截，使得Amazon EC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。

從服務模型的角度，云安全聯盟(CSA)提出了基于3種基本云服務的層次性及其依賴關系的安全參考模型[6]，并實現了從云服務模型到安全控制模型的映射。該模型的重要特點是供應商所在的等級越低，云服務用戶所要承擔的安全能力和管理職責就越多。

從安全協同的角度，Jericho Forum從數據的物理位置、云相關技術和服務的所有關系狀態、應用資源和服務時的邊界狀態、云服務的運行和管理者4個影響安全協同的維度上分類16種可能的云計算形態[12]。不同的云計算形態具有不同的協同性、靈活性及其安全風險特征。云服務用戶則需要根據自身的不同業務和安全協同需求選擇最為合適的相關云計算形態。

上述云安全體系結構雖然考慮了云計算平臺中主機系統層、網絡層以及Web 應用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構沒有結合移動互聯網環境來研究云計算安全體系構建及相關技術。

2 移動互聯網環境下的

通用云計算安全技術

體系架構

2.1 設計目標

移動互聯網環境下的通用云計算安全技術體系架構的設計目標有以下6個方面：

?確保移動互聯網下的不同用戶的數據安全和隱私保護

?確保云計算平臺虛擬化運行環境的安全

?依據不同的安全需求，提供定制化的安全服務

?對運行態的云計算平臺進行風險評估和安全監管

?確保云計算基礎設施安全、構建可信的云服務

?保障用戶私有數據的完整性和機密性的基礎

2.2 安全體系架構設計

結合上述設計目標，考慮移動互聯網接入方式、企業運營方式和用戶安全需求的多樣性，文章設計了一個移動互聯網環境下的通用云計算安全技術體系架構（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統一用戶接口等特點。

與云計算架構中的軟件即服務(SaaS)、PaaS和基礎設施即服務(IaaS) 3個層次相應，文章首先設計了云安全應用服務資源群，包括隱私數據保護、密文數據查詢、數據完整性驗證、安全事件預警和內容安全服務等云安全應用服務。

針對云計算虛擬化的特點文章還設計了云安全基礎服務資源群包括虛擬機安全隔離、虛擬機安全監控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務，運用虛擬技術跨越了不同系統平臺（如不同的操作系統）。同時移動互聯網環境下的云計算安全技術體系架構中也包含云安全基礎設施。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。

移動互聯網環境下的云計算安全技術體系架構中的云安全基礎設施的建設則可以參考移動通信網絡和互聯網絡中云安全基礎設施已有的相關建設經驗。

移動互聯網環境下的云計算安全技術體系架構還包含一個統一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統。云安全管理平臺縱貫云安全應用服務、云安全平臺服務和云安全基礎設施服務所有層次，對包含不同安全域和具有多個安全級別的整個系統的運維安全情況進行了跨安全域、跨安全級別的一系列綜合管理。

體系架構考慮了移動互聯網環境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統一的云安全應用服務接口，并提供手機多媒體服務、手機電子郵件、手機支付、網頁瀏覽和移動搜索等服務，同時還可以提供隱私數據保護、密文數據查詢、數據完整性驗證、安全事件預警和內容安全等用戶可以直接定制的安全服務。

同時，體系架構還考慮了整個系統參照云安全標準及測評體系的合規性檢查。云服務商提供的應用軟件在部署前必須由第三方可信測評機構系統地測試和評估，以確定其在移動互聯網云環境下的安全風險并設立其信任等級，云應用服務提供商不可自行設定服務的信任等級，云用戶就可能預先避免因定制未經第三方可信測評機構評估的安全云應用服務而帶來的損失。云應用服務安全等級的測試和評估也給云服務提供商帶來準入規范，迫使云服務提供商提高云服務的服務質量以及安全意識。

2.3 關鍵技術

對用戶而言，多用戶私有資源的遠程集中式管理與計算環境的開放性之間構成了尖銳的矛盾，主要表現為：用戶資源的私有性和機密性要求其應用環境相對固定和穩定，而計算環境的開放性則會使私有數據面對來自多方的安全威脅。可以說，云服務提供商與用戶之間的信任問題是云計算能否推廣的關鍵，而數據的安全和隱私保護是云計算安全中極其重要的問題。解決該問題的關鍵技術涉及支持密文存儲的密文查詢、數據完整性驗證、多租戶環境下的隱私保護方法等。

云計算平臺要統一調度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運行環境的安全是云計算安全的關鍵。在此安全體系之下，結合虛擬化技術，平臺必須提供虛擬機安全監控、虛擬機安全遷移、虛擬機安全隔離以及虛擬機安全鏡像等核心基礎服務。各種服務模式的虛擬機都存在隔離問題引起的安全風險，這包括：內存的越界訪問，不同安全域的虛擬機控制和管理，虛擬機之間的協同工作的權限控制等。如果云計算平臺無法實現不同（也可能相同）云用戶租用的不同虛擬機之間的有效隔離，那么云服務商則會無法說服云用戶相信自己提供的服務是非常安全的。

用戶定制的各種云服務由虛擬機中運行相關軟件來實現，因此存在虛擬機中運行的相關軟件是否按用戶需求運行的風險問題，例如運行的環境的安全級別是否符合需求和運行的流程是否異常等；虛擬機運行的預警機制與安全審計問題包括安全策略管理、系統日志管理和審計策略管理等。

云計算模式下的移動互聯網是一種多源、異構服務共存的環境。與此同時，依據多租戶的不同安全需求，滿足不同等級的差異化云安全服務應以訪問控制為手段，進行安全服務定制以及安全自適應。

為了支撐移動互聯網環境下云計算的安全準入，云計算安全體系同樣需要針對運行態云計算平臺的風險評估方法、安全測評方法以及支持第三方的安全審計等。

移動互聯網上的云計算安全監管體系一方面負責對移動互聯網的內容安全監管和針對基于云計算的安全攻擊的預警與防護；另一方面還負責對云服務提供商對云服務安全性的相關保障措施和執行情況進行審計。

3 結束語

在滿足移動互聯網多種接入方式、多種企業運營方式和不同參與者不同的安全需求的基礎上，文章結合云計算技術，根據SeaaS的思想，設計了一個移動互聯網環境下的通用云計算安全技術體系架構。整個體系架構提供給用戶云服務的安全級別可以適用用戶需求的差異化，還可以無縫融合不同的操作系統和異構的網絡體系，給不同接入方式終端用戶帶來統一的操作模式。

4 參考文獻

[1] MELL P, GRANCE T. The NIST Fefinition of Cloud Computing(draft) [R]. NIST Special Publication 800-145.Gaithersbung, MD,USA:NIST,2011.

[2] BRODKIN J. Gartner: Seven Cloud-Computing Security Risks [EB/OL].(2008-07-02).

folk.ntnu.no/oztarman/tdt60/cloud%20computing/3%20Cloud_Computing_Security_Risk.pdf, july, 2008

[3] Top Threats to Cloud Computing V1.0 [R].San Francisco, CA, USA: Cloud Security Alliance,2010.

[4] MEIER J D. Windows Azure Security Notes [R]. Microsoft,2011.

[5] ARMBRUST M, FOX A, GRIFFITH R, et al. A View of Cloud Computing[J].Communications of the ACM, 2010,53(4): 50-58.

[6] Security Guidance for Critical Areas of Focus in Cloud Computing V2.1[R].San Francisco, CA, USA: Cloud Security Alliance, 2009.

[7] ENISA Cloud Computing Risk Assessment[R]. European Network and Information Security Agency, 2009.

[8] MOTAHARI-NEZHAD H, STEPHENSON B, SINGHAL S. Outsourcing Business to Cloud Computing Services: Opportunities and Challenges [R].HPL-2009-23. Palo Alto ,CA,USA:HP Labs, 2009.

[9] 馮登國,張敏,張妍,等. 云計算安全研究[J].軟件學報,2011,22(1): 71-83.

[10] LI L E, WOO T. VSITE: A Scalable and Secure Architecture for Seamless L2 Enterprise Extension in the Cloud[C], Proceedings of the 6th IEEE Workshop on Secure Network Protocols (NPSec’10), Oct 5, 2010, Kyoto, Japan. Piscataway, NJ, USA: IEEE,2010: 31-36.

[11] Amazon Web services: Overview of Security Processes[R]. Seattle, WA, USA: Amazon,2010.

[12] Forum j. Cloud Cube Model：Selecting Cloud Formations for Secure Collaboration[EB/OL].(2009-04-30). http：//省略/Jericho/ cloud-cube-model-v1.0.pdf

收稿日期：2012-02-12

作者簡介

劉建偉，北京航空航天大學電子信息工程學院副院長、教授、博士生導師，中國密碼學會理事，中國電子學會高級會員；研究方向為無線通信網絡、密碼學、信息安全、通信網絡安全、信道編碼與調制技術等；100余篇，出版專著4部。

網絡安全技術研究報告范文2

關鍵詞：信息安全 實訓基地 實踐教學

中圖分類號：G642 文獻標識碼：A 文章編號：1672-3791（2013）02（a）-0200-01

信息安全已成為國家安全、社會安全和經濟安全的重要組成部分，當前仍面臨著巨大壓力和挑戰，培養高素質的信息安全人員已刻不容緩[1-2]。我國信息安全學科建設雖然已取得了初步的成果，但與發達國家相比，在各方面還存在很大差距[3]。尤其在實踐教學方面，存在指導書針對性和層次性不強、還沒有建立專業技能訓練題庫和考核標準、實踐教學管理需要進一步完善、資金支持不夠等一些問題是普遍現象。如何堅持“工程素質培養”和“專業能力訓練”并舉，結合國內外的實驗教學實踐，完善信息安全實踐教學體系，在實踐教學中加強對學生摸索能力和創新能力的培養，是亟待解決的一個關鍵問題。

2003年經教育部批準，桂林電子科技大學開始設置信息安全本科專業，并經過充分準備，于2006年面向全國招收了首屆58名信息安全專業本科生。該專業秉承“厚基礎、重實踐、提能力、求創新”的教學理念，依托“廣西可信軟件重點實驗室”、“國家軟件與集成電路公共服務平臺（CSIP）廣西分中心”，以及“無錫軟通動力創新實踐基地”、“天涯社區互聯網項目研發與運營創新基地”、“國信藍點企業人才定制實訓平臺”等，為培養高素質的信息安全創新人才，并以國家特色專業為建設目標，將教學與科研緊密結合，調整優化信息安全專業教學體系，開展了全方位、多層次的信息安全專業實踐教學模式改革工作，建立了實踐教學資源共享機制，形成了自然科學與人文科學結合、理論培養與技能訓練結合的特色。

1 重視實訓基地建設工作

信息安全專業的大量課程與社會實踐密切相關，所以我們一直重視建設產學研一體化的信息安全實訓基地，加強與信息產業部門的合作，為學生創造到企、事業單位頂崗實習的機會，打通學生與社會接軌的渠道，使學生能夠明白真正的社會需求，使其得到既實際又規范的訓練。

近年來，我們加強了創新性實訓基地建設，包括校內固定性和校外流動性二類。一方面，持續完善已有的實訓基地，整合和優化資源配置，努力將基地建設成為培養學生動手能力、形成創新意識、提升創新能力的中心。另一方面，除了努力開辟新的校企合作實訓基地與模式，還利用中央財政支持地方高校發展專項資金項目契機，建設新的“信息對抗與網絡安全實驗平臺”、“信息安全技術研究中心”等實訓平臺，進一步整合實驗儀器和設備資源，配置專業設計與分析軟件，加大經費投入，改善硬件條件，堅持教育教學與生產勞動、社會實踐相結合。這樣既能為當地政府的社會性工作服務，也能為學院建立更廣泛的學生實訓平臺服務，最終為信息安全專業學生提供很好的實踐鍛煉平臺。

2 培養學生多層次與多方向的實踐能力

使學生通過分層次和多元化的實訓鍛煉，真正提高處理和解決實際問題的能力，提高信息安全人才的綜合素質。在實踐教學上按以下層次內容建設。

（1）基礎訓練層：主要目的是培養學生的信息安全基本實驗操作能力，包括網絡配置型實驗、安全驗證型實驗和網絡診斷型實驗。該層的實踐教學目標是掌握信息安全核心課程中的設備操作使用方法，加深鞏固信息安全專業核心課程有關內容，為后面的專業課程實驗打好基礎，使學生具備一般的網絡信息安全有關的測試和配置技術，熟識幾種基本的信息安全仿真工具和技術，對常用的各類計算機網絡，如NT、Novell、Linux等網絡與服務連接、微機故障排除技術等能達到熟練的程度。

（2）綜合設計層：主要目的是提高學生的信息安全系統的綜合設計能力和應用能力，主要內容包括信息安全實驗課程中的課程設計、工程設計、綜合應用開發實驗、加密系統、IDS入侵檢測系統、防火墻技術、病毒的防范、黑客攻擊與防范、電子商務、以及認證管理模擬訓練、系統仿真和部分畢業設計等。該層的實踐教學目標是掌握系統綜合設計的整體流程，熟悉幾種信息系統開發平臺，掌握網絡信息系統安全的設計方法、開發和測試過程，使學生具有系統的科學思維方式，綜合運用基礎知識與專業知識的能力。

（3）探索創新層：主要目的是促進學生運用綜合實踐技能進行科學研究和探索的能力，激發其創新意識和興趣，激勵學生個性發展，主要方式包括本科生科研訓練課題、研究創新型實驗、各類創新性實驗計劃、各種研究基金課題、以及各級信息安全競賽或學科競賽等。該層的實驗教學目標是熟悉信息安全主題的探索過程并掌握科研方法，掌握實際信息系統的安全原理，使學生具有撰寫一般科研論文和研究報告、能夠進行學術探索性研究與學術交流的能力。

以上這種多層次多方向的實踐教學平臺，既加強了信息安全基本技能的訓練，又注重綜合能力的提高，還強調了創新素質的培養，能夠滿足并有利于學生在信息安全理論與技術方向的個性化發展。

3 提高學生信息安全項目科研創新能力

鼓勵申報和實施各級大學生創新性實驗計劃項目是培養學生科研實踐能力和創新能力的重要環節。我校于2008年獲教育部批準成為第二批“國家大學生創新性實驗計劃”項目實施單位，此外，還有廣西區級和校級大學生創新性實驗項目，都為信息安全專業學生開展創新性實驗研究提供了廣泛的途徑和經費支持，培養了學生對學科前沿、熱點問題和亟待解決的問題的“提出—研究—解決”的興趣，以及針對問題的辨析和探索求知的能力。截止2012年6月底，由信息安全專業本科生直接參與或主持的各級創新性實驗項目已超過15余項。從實際效果來看，經歷這些項目申報、實施、考核和結題的本科生的綜合素質和科研創新能力均得到了顯著地提高，這些既促進了信息安全創新實踐平臺的良性發展，也為選拔優秀學生進入教師科研項目、參加各類信息安全競賽、評選優秀本科畢業生和推薦免試研究生等提供了人才資源儲備。

4 結語

實踐教學是信息安全專業教學的重要環節。通過多年實訓基地的建設與探索，桂林電子科技大學信息安全實踐教學平臺已初步建立，以培養學生的創新實踐能力為核心，并融入新的管理思想，充分體現了理論學習與實踐創新的緊密結合，為培養復合型、創新型工科類人才提供了新思路，對深化工科類本科專業的實踐教學改革起到了良好的示范作用。

參考文獻

[1] 沈昌祥.加強信息安全學科專業建設和人才培養[J].計算機教育，2007（19）：6.

網絡安全技術研究報告范文3

關鍵詞：無線局域網；標準；安全；趨勢

前言 無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備，省去了布線的麻煩，組網靈活。無線局域網（WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求，也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段，能迅速地應用于需要在移動中聯網和在網間漫游的場合，并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此，WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用，受到了廣泛的青睞，已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著更嚴峻的安全問題。

1． 無線局域網安全發展概況

無線局域網802.11b公布之后，迅速成為事實標準。遺憾的是，從它的誕生開始，其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov，Goldberg和Wagner最早指出了WEP協議中存在的設計失誤，接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷，并與工程技術人員協作，在實驗中破譯了經WEP協議加密的無線傳輸數據?，F在，能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到，能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情，人們期待WEP在安全性方面有質的變化，新的增強的無線局域網安全標準應運而生[1]。

我國從2001年開始著手制定無線局域網安全標準，經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關，歷時兩年多制定了無線認證和保密基礎設施WAPI，并成為國家標準，于2003年12月執行。WAPI使用公鑰技術，在可信第三方存在的條件下，由其驗證移動終端和接入點是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標，達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成，類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的，WAPI標準雖然是公開的，然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。

增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議，會議的文檔可以從互聯網上下載，從中可以看到一些有趣的現象，例如AES-OCB算法，開始工作組決定使用該算法作為無線局域網未來的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過了幾個月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中，我們能夠更加清楚地認識到無線局域網安全標準的方方面面，有利于無線局域網安全的研究[3][4]。

2．無線局域網的安全必要性

WLAN在為用戶帶來巨大便利的同時，也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據，不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全，所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據，要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用，任何人在視距范圍之內都可以截獲和插入數據。因此，雖然無線網絡和WLAN的應用擴展了網絡用戶的自由，它安裝時間短，增加用戶或更改網絡結構時靈活、經濟，可提供無線覆蓋范圍內的全功能漫游服務。然而，這種自由也同時帶來了新的挑戰，這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個：信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案，同時獲得這三個安全要素。國外一些最新的技術研究報告指出，針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5]，故對WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發現其可能存在的安全缺陷，研究相應的改進措施，提出新的改進方案，對 WLAN 技術的使用、研究和發展都有著深遠的影響。

同有線網絡相比，無線局域網無線傳輸的天然特性使得其物理安全脆弱得多，所以首先要加強這一方面的安全性。

無線局域網中的設備在實際通信時是逐跳的方式，要么是用戶設備發數據給接入設備，飯由接入設備轉發，要么是兩臺用戶設備直接通信，每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽，但是，如果把無線信號承載的數據變成密文，并且，如果加密強度夠高的話，偵聽者獲得有用數據的可能性很小。另外，無線信號可能被修改或者偽造，但是，如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據，以使得接收方可以檢測到數據是杏被更改，那么，對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。

這樣，通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機，面臨病毒威脅時，可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼，比如安裝硬件形式的病毒卡預防病毒，或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗，接下來的無線設備如何與病毒對抗還是一個待開發領域。

對于DOS攻擊或者DDOS攻擊，可以增加一個網關，使用數據包過濾或其它路由設置，將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址，可以減小風險。對于內部的惡意用戶，則要通過審計分析，網絡安全檢測等手段找出惡意用戶，并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶，并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如，用MAC地址來認證用戶是不適當的[5]。

除了以上的可能需求之外，根據不同的使用者，還會有不同的安全需求，對于安全性要求很高的用戶，可能對于傳輸的數據要求有不可抵賴性，對于進出無線局域網的數據要求有防泄密措施，要求無線局域網癱瘓后能夠迅速恢復等等。所以，無線局域網的安全系統不可能提供所有的安全保證，只能結合用戶的具體需求，結合其它的安全系統來一起提供安全服務，構建安全的網絡。

當考慮與其它安全系統的合作時，無線局域網的安全將限于提供數據的機密，數據的完整，提供身份識別框架和接入控制框架，完成用戶的認證授權，信息的傳輸安全等安全業務。對于防病毒，防泄密，數據傳輸的不可抵賴，降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。

3．無線局域網安全風險

安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源，包括了在無線信道上傳輸的數據和無線局域網中的主機。

3．1 無線信道上傳輸的數據所面臨的威脅

由于無線電波可以繞過障礙物向外傳播，因此，無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣，人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播，如果收音機的靈敏度高一些，就可以收聽到遠一些的發射臺發出的信號。當然，無線局域網的無線信號的接收并不像收音機那么簡單，但只要有相應的設備，總是可以接收到無線局域網的信號，并可以按照信號的封裝格式打開數據包，讀取數據的內容[6]。

另外，只要按照無線局域網規定的格式封裝數據包，把數據放到網絡上發送時也可以被其它的設備讀取，并且，如果使用一些信號截獲技術，還可以把某個數據包攔截、修改，然后重新發送，而數據包的接收者并不能察覺。

因此，無線信道上傳輸的數據可能會被偵聽、修改、偽造，對無線網絡的正常通信產生了極大的干擾，并有可能造成經濟損失。

3．2 無線局域網中主機面臨的威脅

無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現，除了目前有線網絡上流行的病毒之外，還可能會出現專門針對無線局域網移動設備，比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后，無線病毒的威脅可能會加劇。

對于無線局域網中的接入設備，可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后，如果把IP地址直接暴露給外部網，那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務，造成網絡癱瘓。當某個惡意用戶接入網絡后，通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰，造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效，同時硬件設備中的所有數據都可能會泄漏。

這樣，無線局域網中主機的操作系統面臨著病毒的挑戰，接入設備面臨著拒絕服務攻擊的威脅，用戶設備則要考慮丟失的后果。

4．無線局域網安全性

無線局域網與有線局域網緊密地結合在一起，并且己經成為市場的主流產品。在無線局域網上，數據傳輸是通過無線電波在空中廣播的，因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此，無線局域網的用戶主要關心的是網絡的安全性，主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力，否則人們還是對使用無線局域網存在顧慮。

4．1 IEEE802. 11 b標準的安全性

IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密：系統ID（SSID）和有線對等加密（WEP）[7][8]。

4.1.1認證

當一個站點與另一個站點建立網絡連接之前，必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務：一開放系統認證（Open System Authentication）：是802.11b默認的認證方式。這種認證方式非常簡單，分為兩步：首先，想認證另一站點的站點發送一個含有發送站點身份的認證管理幀；然后，接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證（Shared Key Authentication ）：這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道，已經接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密（WEP ）。

4. 1 .2 WEP

IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡，他們沒有正確的WEP密鑰。

加密：通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。

IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。

4．2 影響安全的因素[9][10]

4. 2. 1硬件設備

在現有的WLAN產品中，常用的加密方法是給用戶靜態分配一個密鑰，該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器，這些用戶有效地共享MAC地址和WEP密鑰。

當一個客戶適配器丟失或被竊的時候，合法用戶沒有MAC地址和WEP密鑰不能接入，但非法用戶可以。網絡管理系統不可能檢測到這種問題，因此用戶必須立即通知網絡管理員。接到通知后，網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰?？蛻舳嗽蕉啵匦戮幋aWEP密鑰的數量越大。

4.2.2虛假接入點

IEEE802. 1 1b共享密鑰認證表采用單向認證，而不是互相認證。接入點鑒別用戶，但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內，它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。

因此在用戶和認證服務器之間進行相互認證是需要的，每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的，接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。

4.2.3其它安全問題

標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流，組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道，黑客可以得到如下信息：客戶端和接入點MAC地址，內部主機MAC地址，上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動，一個終端應該使用每一個時期的WEP密鑰。

4．3 完整的安全解決方案

無線局域網完整的安全方案以IEEE802.11b比為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是：

擴展認證協議（Extensible Authentication Protocol，EAP），是遠程認證撥入用戶服務（RADIUS）的擴展?？梢允篃o線客戶適配器與RADIUS服務器通信。

當無線局域網執行安全保密方案時，在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時，客戶端和RADIUS服務器（或其它認證服務器）進行雙向認證，客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認證的過程是：一個站點要與一個接入點連接。除非站點成功登錄到網絡，否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議，站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。

相互認證成功完成后，RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。

RADIUS服務器發送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內用時期密鑰和廣播密鑰通信。

網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部（合法用戶）的攻擊。

無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域，這樣就存在電子破壞（或干擾）的可能性。無線網絡具有各種內在的安全機制，其代碼清理和模式跳躍是隨機的。在整個傳輸過程中，頻率波段和調制不斷變化，計時和解碼采用不規則技術。

正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡（不使用加密技術）一樣安全。其中，認證提供接入控制，減少網絡的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現和發展之中[12]。

5．無線局域網安全技術的發展趨勢

目前無線局域網的發展勢頭十分強勁，但是起真正的應用前景還不是十分的明朗。主要表現在：一是真正的安全保障；二個是將來的技術發展方向；三是WLAN有什么比較好的應用模式；四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式；五是WLAN的市場規模?？磥頍o線局域網真正的騰飛并非一己之事[13]。

無線局域網同樣需要與其他已經成熟的網絡進行互動，達到互利互惠的目的。歐洲是GSM網的天下，而WLAN的崛起使得他們開始考慮WLAN和3G的互通，兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展?，F在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通，而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案，這條路必定越走越寬。

互通中的安全問題也必然首當其沖，IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面，并且與3G互通的認證標準EAP-AID也成為討論的焦點。

無線網絡的互通，現在是一個趨勢。802.11工作組新成立了WIG（Wireless lnterworking Grouq），該工作組的目的在于使現存的符合ETSI，IEEE，MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上，實現無線局域網和G1VIS/GPRS的互通。

不同類型無線局域網互通標準的制定，使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊，就可以在各地接入。當然，用戶享用上述方便的同時，必然會使運營商或制造商獲得利潤，而利潤的驅動，則是這個互通風潮的根本動力。為了達到互通的安全，有以下需求：支持傳統的無線局域網設備，對用戶端設備，比如客戶端軟件，影響要最小，對經營者管理和維護客戶端SW的要求要盡量少，應該支持現存的UICC卡，不應該要求該卡有任何改動，敏感數據，比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-， Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣，應該支持雙向認證，所選的認證方案應該顧及到授權服務，應該支持無線局域網接入NW的密鑰分配方法，無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別，無線局域網的重連接不應該危及3GPP系統重連接的安全，所選擇的無線局域網認證機制應該支持會話密鑰素材的協商，所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材，無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。

對于非漫游情況的互通時，這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說，就是用戶在運營商那里注冊，然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下：UE（用戶設備）、3G-AAA（移動網絡的認證、授權和計帳服務器）、HSS（歸屬業務服務器）、CG/CCF（支付網關/支付采集功能）、OCS（在線計帳系統）。

對于漫游的互通情況時，3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下，一種常用的方法是將歸屬網絡和訪問網絡分開，歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。

在無線局域網與3G互通中有如下認證要求：該認證流程從用戶設備到無線局域網連接開始。使用EAP方法，順次封裝基于USIM的用戶ID，AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程，有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。

上述互通方案要求客戶端有能夠接入無線局域網的網卡，同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表，增加對于無線局域網的接入權限的判斷。

無線局域網的崛起使得人們開始考慮無線局域網和3G的互通，兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展?，F在國內中興通訊已經實現了無線局域網和CDMA系統的互通，而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案，這條路必定越走越寬。

參考文獻

[1] 郭峰，曾興雯，劉乃安，《無線局域網》，電子工業出版杜，1997

[2] 馮錫生，朱榮，《無線數據通信》1997

[3] 你震亞，《現代計算機網絡教程》，電子工業出版社，1999

[4] 劉元安，《寬帶無線接入和無線局域網》，北京郵電大學出版社，2000

[5] 吳偉陵，《移動通信中的關鍵技術》，北京郵電大學出版社，2000

[6] 張公忠，陳錦章，《當代組網技術》，清華大學出版社，2000

[7] 牛偉，郭世澤，吳志軍等，《無線局域網》，人民郵電出版社，2003

[8] Jeffrey Wheat，《無線網絡設計》，莫蓉蓉等譯，機械工業出版社，2002

[9] Gil Held，《構建無線局域網》，沈金龍等澤，人民郵電出版社，2002

[10] Christian Barnes等，《無線網絡安全防護》，林生等譯，機械工業出版社.2003

[11] Juha Heiskala等，《OFDM無線局域網》，暢曉春等譯，電子工業出版社，2003

[12] Eric Ouellet等，《構建Cisco無線局域網》，張穎譯，科學出版社，2003

[13] Mark Ciampa，《無線周域網設計一與實現》，王順滿譯，科學出版社.2003