技術領域

本發明涉及無線網絡防火墻系統，尤其涉及一種基于無線防火墻的網絡安全方法，屬于Wi-Fi技術領域，其系統構架同樣可應用于其他無線技術，如Zigbee和WiMAX。?

背景技術

網絡通信發展的永恒主題是使人們能自由獲得網絡資源，而安全性保障是實現這一目標的關鍵要素和必要條件。安全性保障的缺失必然導致網絡非法操作并繼而影響上層通信內容的安全。隨著Wi-Fi技術的逐步成熟，其價格已相當便宜，其潛在的應用領域非常廣泛。目前，阻礙Wi-Fi在關鍵領域應用的主要原因是安全隱患，安全已經成為Wi-Fi的發展瓶頸。為了解決安全這個難題，國內外相關領域的專家已經進行了廣泛的研究，并提出了各種適合于無線網絡的安全協議，有些已經被批準為國際標準，例如在國際上得到廣泛應用的IEEE?802.11i和我國提出的無線網絡安全標準WAPI（無線局域網鑒別和保密基礎結構，WLAN?Authentication?and?Privacy?Infrastructure）。WAPI也已經被國際標準化組織/國際電工委員會（ISO/IEC）于2010年6月批準為國際標準，這無疑將提升我國在信息技術安全領域的國際地位。然而，盡管這些安全標準為無線網絡的通信安全提供了重要的保護，但是還遠未達到完美的程度，并且也無法達到完美的境界，由網絡安全機制的復雜性決定。?

發明內容

本發明的目的是克服現有技術存在的不足，提供一種基于無線防火墻的網絡安全方法，旨在提高Wi-Fi無線網絡的安全性，防范黑客的攻擊。?

本發明的目的通過以下技術方案來實現：?

基于無線防火墻的網絡安全方法，特點是：無線防火墻功能作用在OSI的MAC層，無線防火墻包含入侵偵測與入侵預防模塊和第一幀鉤子以及第二幀鉤子，入侵偵測與入侵預防模塊位于系統的用戶空間，第一幀鉤子連接操作系統的內核空間與用戶空間，第一幀鉤子的一端在操作系統內核空間的無線網卡驅動程序內，第一幀鉤子的另一端在用戶空間內并和入侵偵測與入侵預防模塊相連，第一幀鉤子將無線網卡驅動程序接收到的幀傳遞到入侵偵測與入侵預防模塊，幀處理后，通過第一幀鉤子送回驅動程序，或刪除；第二幀鉤子的一端在操作系統內核空間的無線網卡驅動程序內，第二幀鉤子的另一端在用戶空間內并和幀封裝模塊相連。

進一步地，上述的基于無線防火墻的網絡安全方法，其中，無線防火墻構造必要的幀通過第一幀鉤子發送到無線網卡驅動程序，以改變IEEE802.11狀態機器的狀態；第一幀鉤子傳遞無線接口接收到的所有幀，或通過配置過濾器，選擇部分幀傳遞到入侵偵測與入侵預防模塊。?

本發明技術方案突出的實質性特點和顯著的進步主要體現在：?

本發明有效提高抗黑客攻擊能力，改善無線網絡的可用性；增強數據的私密性，例如抵抗中間人攻擊的能力。偵測到欺騙攻擊；偵測到協議的不一致性；偵測到網絡行為的不一致性；預防欺騙攻擊；保護易受攻擊的幀；增強網絡的可用性；由于禁用了易受攻擊的加密算法，使得數據的私密性更好。

附圖說明

下面結合附圖對本發明技術方案作進一步說明：?

圖1：無線防火墻構架示意圖。

具體實施方式

通過無線防火墻來實現，主要采用無線網絡入侵偵測和預防技術。無線防火墻功能作用在OSI的第二層即MAC層25（MAC層即數據連接層，OSI包括Wi-Fi無線網卡23、驅動程序24、MAC層25、網絡層26及網絡層以上各層），新型的無線防火墻構架，如圖1所示，無線防火墻包含入侵偵測與入侵預防模塊11和第一幀鉤子（Frame?Hook）21以及第二幀鉤子22，入侵偵測與入侵預防模塊11位于系統的用戶空間1，第一幀鉤子21連接操作系統的內核空間2（Kernel?Space）與用戶空間（User?Space）1，第一幀鉤子21的一端在操作系統內核空間2的無線網卡驅動程序24內，第一幀鉤子21的另一端在用戶空間內和入侵偵測與入侵預防模塊11相連，第一幀鉤子21將Wi-Fi無線網卡驅動程序24接收到的幀傳遞到解封裝、入侵偵測與入侵預防模塊11，幀處理后，通過幀鉤子送回驅動程序24，或刪除；第二幀鉤子22的一端在操作系統內核空間2的無線網卡驅動程序24內，第二幀鉤子22的另一端在用戶空間內和幀封裝模塊12相連。?

無線防火墻可構造必要的幀通過幀鉤子發送到驅動程序，以改變IEEE802.11狀態機器的狀態。幀鉤子可傳遞無線接口接收到的所有幀，也可通過配置過濾器（Filter），選擇部分幀傳遞到無線防火墻模塊。?