[硕士论文精品]无线局域网认证机制研究与实践探索

摘要由于无线局域网具有部署方便、成本低、速度快、稳定性好等多种优点，自1999年IEEE80211B标准颁布以来，在WIFI组织的大力推动下，无线局域网得到了快速的发展和广泛的应用。但由于无线局域网利用电磁波在空气中发送和接受数据，数据传播范围难以控制，因此无线局域网面临着比有线网络更为严峻的安全问题。安全问题直接影响着WLAN走入信息化的核心舞台，在电子商务、电子政务、行业应用和企业信息化中发挥更大的作用。因此，研究无线局域网的安全机制，增强无线局域网的安全性能对无线局域网的发展具有重要意义，而身份认证则是实现安全的第一步。本文以无线局域网的认证机制为研究对象，第一部分首先介绍了无线局域网的起源、实现技术、工作模式及相关标准，对无线局域网的优缺点进行了分析。然后，对当前无线局网的认证机制，包括SSID、MAC地址过滤、WEP、8021X及WAI进行了较为深入的研究，指出存在的问题。第二部分对8021X认证机制进行了详细的研究，分析了IEEE8021X协议、EAP协议及RADIUS协议的报文结构、执行过程等，并对MD5、TLS、LEAP、PEAP及TTLS等EAP的认证方法包括进行了分析与比较。经过分析认为TLS是最安全的认证方法，但部署成本较高，PEAP认证协议在灵活性、兼容性、稳定性以及易部署性方面占有明显优势，非常适合中小企业及校园网使用。第三部分在理论研究的基础上，结合校园网的建设，设计并开发了一个基于IEEE8021XEAPPEAP的无线网络认证系统。该认证系统的服务器端采用LINUX操作系统，使用著名的开源软件FREERADIUS作为认证服务器，认证协议采用PEAP协议，服务器数字证书的签发和管理使用OPENSSL软件包，用户信息的存储采用MYSQL数据库。在客户端方面，本文设计开发了一个8021X认证客户端程序，将所有复杂的认证过程隐藏在一个简单友好的用户界面下。最后，论文对PEAP协议的执行过程进行了详细的分析，在此基础上指出其存在的缺点，即容易受到中间人攻击。随后，提出了几种可行的解决方案，并对其中的一种客户端和服务器验证方案的实现过程进行了详细的介绍。关键词无线局域网；认证机制；端口访问控制协议；可扩展认证协议；EAPPEAP协议ABSTRACTBECAUSEOFCONVENIENTDEPLOYMENT，LOWCOST，QUICKSPEED，GOODSTABILITYANDMANYOTHERADVANTAGES，WLANHASBEENDEVELOPEDRAPIDLYANDAPPLIEDWIDELYUNDERTHEPROMOTIONOFTHEORGANIZATIONOFWIFI，SINCETHEPROMULGATIONOFIEEE8021LBSTANDARDIN1999HOWEVER,BECAUSEOFWLANUSINGELECTROMAGNETICWAVESINTHEAIRTOSENDANDRECEIVEDATA,DATADISSEMINATIONISDIFFICULTTOCONTROL，WLANISFACEDWITHMORESEVERESECURITYPROBLEMSTHANTHEWIREDNETWORKSECURITYISSUESIMPACTWLANONENTERINGTHECOREOFTHESTAGEOFINFORMATIONIZATIONANDPLAYINGAGREATERROLEINECOMMERCE，EGOVEMMENT，INDUSTRYAPPLICATIONSANDENTERPRISEINFORMATIONIZATIONTHEREFORE,THESTUDYOFWLANSSECURITYMECHANISMSANDENHANCINGTHESECURITYPERFORMANCEOFWLANISSIGNIFICANTTOTHEDEVELOPMENTOFWLANTHEIDENTITYAUTHENTICATIONISTHEFIRSTSTEPTOACHIEVESECURITYINTHISTHESIS，WLANAUTHENTICATIONMECHANISMISTHERESEARCHOBJECTTHEFIRSTPARTINTRODUCESTHEORIGIN，IMPLEMENTATIONTECHNOLOGY,WORKPARERNSANDRELATEDSTANDARDSOFTHEWLANFIRSTANDANALYZESTHEADVANTAGESANDDISADVANTAGESOFWLANTHEN，ITSTUDIESONTHECURRENTWLANAUTHENTICATIONMECHANISMS，INCLUDINGTHESSID，MACADDRESSFILTERING,WEP,8021XANDWAIDEEPLY,POINTSOUTTHEPROBLEMSAMONGTHEMTHESECONDPARTSTUDIES8021XBASEDAUTHENTICATIONMECHANISMINDETAIL，ANALYZESIEEE8021X，EAPANDRADIUSPROTOCOLSIMPLEMENTATIONPROCESS，PACKETSTRUCTUREANDCHARACTERISTICS，ANALYZESANDCOMPARESTHEEAPAUTHENTICATIONMETHODSINCLUDINGMD5，TLS，LEAP,PEAPANDTTLSTLSISTHEMOSTSECUREAUTHENTICATIONMETHODACCORDINGTOTHEANALYSISRESULT，BUTITSDEPLOYMENTISHIGHERCOSTPEAPAUTHENTICATIONPROTOCOLHASOBVIOUSSUPERIORITYCOMPARINGWITHOTHERMETHODSATFLEXIBILITY,COMPATIBILITY,STABILITY,ANDEASYDEPLOYMENTITISVERYSUITABLEFORSMESANDCAMPUSNETWORKTHETHIRDPARTBUILDSAWIRELESSCAMPUSNETWORKAUTHENTICATIONSYSTEMBASEDONIEEE8021XEAPPEAP，WHICHISONTHEBASISOFTHEORETICALRESEARCHINTHEFIRSTFEWCHAPTERSAUTHENTICATIONSYSTEMUSESLINUXASOPERATINGSYSTEM，USESTHEFAMOUSOPENSOURCESOFTWAREFREERADIUSASTHERADIUSSERVER,USESPEAPAUTHENTICATIONPROTOCOL，USESOPENSSLTOGENERATEANDMANAGEDIGITALCERTIFICATEANDUSESMYSQLDATABASETOSTOREUSERSMESSAGETHETHESISDESIGNANDDEVELOPSA8021XCLIENTAUTHENTICATIONPROGRAM，THECERTIFICATIONPROGRAMCOVERSALLTHECOMPLEXWITHAFRIENDLYUSERINTERFACEFINALLY,THETHESISANALYZESTHEPEAPPROTOCOLSIMPLEMENTATIONPROCESSINDETAILANDPOINTSOUTITSDISADVANTAGES，THATIS，ITSUFFERSMIDDLEMANATTACKEASILYSUBSEQUENTLY,ITRAISESSEVERALFEASIBLESOLUTIONSANDINTRODUCESACLIENTSERVERAUTHENTICATIONPROGRAMSIMPLEMENTATIONPROCESSINDETAILKEYWORDSWEAN；AUTHENTICATION；IEEE8021X；EAP；EAPPEAPII曲阜师范大学硕士学位论文原创性说明本人郑重声明此处所提交的硕士论文无线局域网认证机制研究与实践探索，是本人在导师指导下，在曲阜师范大学攻读硕士学位期间独立进行研究工作所取得的成果。论文中除注明部分外不包含他人已经发表或撰写的研究成果。对本文的研究工作做出重要贡献的个人和集体，均已在文中已明确的方式注明。本声明的法律结果将完全由本人承担。引司砷嗍L曲阜师范大学硕士学位论文使用授权书无线局域网认证机制研究与实践探索系本人在曲阜师范大学攻读硕士学位期间，在导师指导下完成的硕士学位论文。本论文的研究成果归曲阜师范大学所有，本论文的研究内容不得以其他单位的名义发表。本人完全了解曲阜师范大学关于保存、使用学位论文的规定，同意学校保留并向有关部门送交论文的复印件和电子版本，允许论文被查阅和借阅。本人授权曲阜师范大学，可以采用影印或其他复制手段保存论文，可以公开发表论文的全部或部分内容。作者躲乱凇刷磴名彩哼如维秒77，砂厂D厂O，F畸丌JJIII【叫1期期无线局域州认证机制彬F究与实践探索11课题背景第1章绪论近几年来，随着INTERNET的迅速发展，人们的工作和生活方式产生了深刻的变化。然而，人们在适应和享受这些变化的同时，又根据自己的需要提出了新的应用要求。人们希望可以摆脱传统网络线缆的束缚，随时随地上网娱乐或者移动办公。正是由于这种要求的存在，使得无线网络在过去几年里得到了巨大的发展。在城市范围内，用户通过WIMAXIEEE80216接入INTERNET；在企业或公司等局域环境中，人们可以通过WLANIEEE80211获得无线网络连接；如果通信距离不超过10米，更便捷、更廉价的蓝牙技术BLUETOOTH，IEEE80215可以使设备间的无线通信轻松自如。【L】由于无线局域网WLAN，WIRELESSLOCALAREANETWORK具有部署方便、成本低、速度快、稳定性好等多种优点，自1999年IEEE80211B标准颁布以来，在WIFI组织的大力推动下，WLAN得到了快速的发展和广泛的应用，WIFI热点发展已具有相当规模。据统计，至2008年，全球已有135个国家共布有约240000个免费或付费WIFI热点。热点主要分布在欧美、日韩和中国台湾地区，主要部署在的机场、咖啡厅、公司等公共场所或家庭内部。【2】表11所示为热点数排名前十位的国家或地区及其拥有的热点数量数据来源JIWIRE公司；统计时间2008年2月。在中国，继北京“无线城市项目2008年6月底开始试运行后，内地已有十大城市明确了无线城市计划。PARKSASSOCIATES调查公司预测，至2012年中国约3000万宽带家庭用户中超过53的家庭将使用WIFI。可以预见，如果中国政府解禁手机WIFI功能，中国的无线网络市场将更为庞大。表11热点数量排名前十位的国家和地区的热点分布情况排名国家或地区热点数个L美国1666572英国323973法国241544德国217885韩国210766日本1L0277俄罗斯83738两班牙60369意人利543510中国台湾4415然而，事物总是充满着矛盾的，WLAN也不例外。自无线局域网诞生之日起，安全漏洞这个挥之不去的阴影便始终与其灵活便捷的优势共存。目前，在广泛使用的无线局域网【1】程立无线局域网中认证机制的研究【D】郑州郑州大学，2007121周蔚文，俞东慧，孙美艳WIFI全球商用发展及分析【J】电信科学，2008，51920无线局域网认证机制研究J实践；F索标准IEEE80211B中采用的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实。在全球范围内，由于WLAN引发的安全事件层出不穷。在日本，曾经发生过某百货公司基于WLAN的移动POS机因为泄漏消费者隐私，致使大量客户的信用卡资料被黑客窃取的事件；在英国，很多黑客驾车沿街扫描WARDRIVING周围建筑物中的无线局域网信号，到处截取保密信息；在美国，负责研究核武器等国防技术的LAWRENCELIVERMORE国家实验室关闭了已有的两个无线计算机网络并宣布禁用无线局域网，原因在于他们担心无线设备中存在的安全隐患使其容易遭受到黑客的攻击从而丢失机密信息；在雅典，2004年，WIFI网络因为安全问题被奥运会拒之门外；在中国，用户因为INTEL公司的迅驰无线上网技术存在安全问题而将其告上法庭。JUPITER市场研究公司曾对一些企业进行了一次调查，90的企业经理认为安全问题是影响他们使用WLAN的首要因素。以上事例说明在无线局域网产业迅猛发展的同时，其所面临的安全问题瓶颈也日益突出，并已成为制约该产业进一步发展的主要障碍。【1】所以，对于无线局域网来说，建立一套包含用户安全认证、接入控制、数据加密的安全体制就显得尤为重要。其中，用户认证则是整个安全机制的基础。因此，研究和建立无线局域网安全认证机制对于创建一个安全可靠的通信环境，促进无线局域网的健康发展有着十分重要的意义。12研究现状在目前世界上主流的无线局域网协议IEEE8021LB中，规定了两种认证机制开放系统认证和共享密钥认证。开放系统认证就是允许任何用户接入到无线网络中来。从这个意义上来说，实际上并没有提供对数据的保护。而共享密钥认证是指移动设备和AP共享一个密钥，AP发出质询文本，移动设备用WEP和密钥加密该质询文本，并将结果返回给AP，AP将此结果与自己用密钥计算的结果进行比较，从而确定访问是否合法。这看上去不错。然而，实际上，WEP的认证方法不仅不能进行认证，反而可能会帮助敌人攻击加密密钥。F2】WIFI组织后来针对WEP存在的安全问题提出了改进协议，即WIFI保护访问协议WPA，WIFIPROTECTEDACCESS。其中引入了8021X访问控制协议、扩展认证协议EAPEXTENSIBLEAUHENTICATIONPROTOC01、临时密钥完整性协议TKIPTEMPORALKEYINTEGRITYPROTOC01、消息完整性认证码MICMESSAGEINTEGRITYCODE等安全机制。但是也有一些研究【L】为网络更安伞再次吹响WAPI的进军号【EBOL】，HTTPWWWWAPIAORGNEIYE_03ASPID1574【2J周正。无线局域嘲安全实务WPA与8021LIM北京人民邮电出版社，20062无线局域喇认证机制研究1J实践探索指出了WPA应用中存在的不足。LJJIEEE于2004年7月正式颁布了WLAN安全规范8021LI，其中定义了强健的安全网络RSNROBUSTSECURITYNETWORK，除了包含8021X、EAPEAPOL等协议，还引入了包括计数模式密码分组链消息认证码协议CCMP，COUNTERMODECBCMACPROTOC01，对称分组加密算法AESADVANCEDENCRYPTIONSTANDARD等加密机制。目前，业界普遍认为RSN解决了WEP、WPA中存在的安全缺陷，实现了WLAN的安全需求；同时，一些研究也指出了其存在的安全隐患并提出了改进或正确配置的建议。【LJ在无线局域网安全机制的研究和标准制订上，我国也取得了一些成果。以西电捷通公司、西安电子科大等高校发起组织的中国宽带无线IP标准工作组，在2003年提出了该领域我国第一个自主知识产权的WLAN安全标准二一无线局域网鉴别与保密基础结构WAPI，WLANAUTHENTICATIONANDPRIVACYINFRASTRUCTURE，并申请了专利。也有一些研究指出了WAPI中WAI认证机制存在着一些问题。团在无线局域网安全技术研究领域处于领先的主要是美国和欧洲的组织，特别是大学。如美国的CARNEGIEMELLONUNIVERSITY，JOHNSHOPKINSUNIVERSITY，SUNYBUFFALO，UNIVERSITYOFMARYLAND，AUBURNUNIVERSITY，英国的MANCHESTERUNIVERSITY等。13研究内容本文的目标是在对无线局域网及其认证机制进行理论研究的基础上，实现一种安全的、适合校园网的无线局域网认证系统，具体内容如下1无线局域网的相关理论研究。2对无线局域网的各种认证机制进行分析和研究，找出存在的问题。38021X认证机制理论研究4基于8021RDEAPPEAP认证系统的设计实现研究5分析和研究PEAP协议执行过程、存在的漏洞以及相应的解决方案。F3LGLEHEMBREWIFISECURITYWEP,WPAANDWRA2JHAKIN9，2006，14215121CHEANALYSISOFSECURITYPROTOCOLSFORWIRELESSNETWORKSD1USSTANFORDUNIVERSITYSTANFORD，2006【2】张帆，马建峰WAPI认证机制的性能和安伞性分析【J】西安电子科技大学学报自然科学版2005，42133无线局域网认证机制研究与实践探索第2章WLAN及其认证机制概述21WLAN概述一直以来，有线线缆一直在互联网中占据统治地位。然而，随着INTERNET的迅猛发展，以及便携式电脑、PDAPERSONALDATAASSISTANT等移动智能终端的同益普及，人们对网络通信的需求也不断提高，希望打破不同的地域或客观条件的制约，可以不论在何时、何地、与任何人都能够进行包括数据、话音、图像等任何内容的通信，于是无线网络技术应运而生。无线网络可以分为不同的种类。按照作用范围，可以分为无线广域网帆N、无线局域网W“蝌、无线个人网W蝌。WWAN以蜂窝系统为代表，包括目前广泛使用的GSM、CDMA1IS95、PDC等第二代系统2G以及GPRS、CDMA1X、WCDMA、CDMA2000和TDSCDMA等第25代25G或第3代系统3G。TTLWLAN主要包括IEEE80211和ETSI制定的HIPERLAN两个标准系列。WPAN的代表是用于小范围设备互联的无线标准蓝牙BLUETOOTH。WLAN因为具有成本低、带宽高、传输稳定等优点，使它成为目前众多移动设备厂商关注的热点，目前已被广泛部署在家庭、办公室、机场、咖啡厅等公共场所。211WLAN的概念无线局域网WIRELESSLOCALAREANETWORK，简称W“悄是在有线网的基础上发展起来的以无线信道作为传输媒介的一种计算机局域网络。无线局域网具有很好的移动性，能快速、方便地解决有线方式不易实现的网络连接问题。1无线局域网的起源无线局域网的最早应用，可以追朔到五十年前的第二次世界大战期间，当时美国陆军就开始使用无线电信号进行资料传输，并且使用了较高的加密技术。1971年，夏威夷大学UNIVERSITYOFHAWAII的研究人员创造了第一个基于封包式技术的无线电通讯网络，称为ALOHNET网络，这个网络被认为是最早的无线局域网络。2无线局域网的实现技术实现无线局域网的关键技术主要有红外线、跳频扩频FHSS和直接序列扩频DSSS、正交频分多路复用OFDM以及高速直接序列扩频HRDSSS。【211红外线局域网采用085或者O95微米波段上的漫射传输，支持IM或2MBS数据速率，其最大优点是不受无线电干扰，且红外线的使用不受国家无线管理委员会的限制。然而，由于红外线对非透明物体的透过性极差，且带宽较低，容易受到太阳光的干扰等，ILL钱进无线局域网技术与应用【M】北京电子工业H版社，200421IEEE驯8021IBWIRELESSLANMEDIUMACCESSCONTROLMACANDPHYSICALLAYERPHYSPECIFICATIONSHIGHERSPECDPHYSICALLAYEREXTENSIONINTHE24GHZBANDS4无线局域网认证机制研究J实践探索因此并不是一种很普通的选择方案。2FHSS局域网使用了79个信道，每个信道的宽度为1MHZ。它使用一个伪随机数发生器来产生调频序列，如果入侵者不知道调频序列及停延时间就不可能窃取信号，从而提供了一种安全性。并且FHSS提供了很好的抗多径衰减能力，对无线电干扰也不敏感，使得它非常适用于建筑物之间的链路上，其缺点是带宽较低。3DSSS局域网可在很宽的频率范围内进行通信，支持1M或2MBS数据速率。它用高速率的伪噪声码序列与信息码序列模二加后的复合码序列去控制载波的相位而获得直接序列扩频信号，即将原来较高功率、较窄的频率变成具有较宽频的低功率频率，以在无线通信领域获得令人满意的抗噪声干扰性能。4OFDM局域网是第一个高速无线局域网8021LA所采用的技术，在更宽的5GHZISM频段中速度可达54MBPS。它将信号分割成很多个窄的频段，可以更好的避免窄带干扰，以及有可能使用非邻接的频段。采用基于相移调制的复杂的编码系统。5HRDSSS局域网是另一种扩频技术，在2AGHZ频段内速度可达11MBPS。虽然较OFDM要慢一些，但它的范围却是前者的7倍左右。3无线局域网的工作模式无线局域网由无线网卡、无线接入点ACCESSPOINT，AP、计算机和有关设备组成。采用单元结构，每个单元称为一个基本服务组BASICSERVICESEGMENT，BSS。每个BSS的工作模式分为ADHOC模式和INFRASTRUCTURE模式。FLJADHOC网络是一个独立的BSS，支持无线站点之间点对点的相互通信。网络中没有AP和中枢链路基础结构，不能与有线网络连接，如图21所示。这种网络建网容易、费用较低且抗毁性好，任意两台电脑只要互相都在彼此的网卡通讯范围内就可以建立一个独立的自组网络。但是当网络中站点数量过多时，信道竞争就成为限制网络性能的要害，而且为了满足任意两个站点可直接通信，站点布局范围受环境限制较大。ADHOE网络一个很好的应用就是在公司内部召开会议时，每个员工只要带着自己的笔记本电脑到会议室就可以构建起一个无线网络，共享公司的一些文件或信息。无线局域网的另一种网络结构就是基础结构网络INFRASTRUCTURENETWORK，如图22所示。大多数无线局域网都采用了这种网络结构。基础结构网络允许无线用户通过AP接入有线网络共享有线网络的资源。AP覆盖的区域内与其连接的无线站点以及其它相关的设备组成一个基本单元BSS，多个基本单元可以组成一个扩展服务组ESSEXTENDEDSERVICESET。无线客户端可以在整个ESS中使用网络资源。这类网络结构的弱点就是抗毁性差，如果AP发生故障可能导致全网络瘫痪。另外，由于需要使用AP，构建网络的成本也需要提高。FI美GEIERJ无线局域嘲【M1北京人民邮电I版社，20015无线局域网认证机制研究J实践探索节点节点节点图21ADHOC模式图22INFRASTRUCTURE模式212WLAN的特点与有线网络相比，无线局域网的优点主要体现在以下几个方面【”1安装便捷。无线局域网的建立免去或减少了网络布线的工作量，一般只需安装一个或多个接入点AP就可以建立局域网。2使用灵活。由于无线局域网没有线缆的限制，网络管理员想要增加工作站或重新配置工作站变得非常容易。3经济节约。有线网络的设计要求规划者尽可能地考虑未来发展的需要，这往往导致出现大量利用率较低的信息点。而一旦网络的发展超出了设计规划，进行网络改造又要花费较多费用，WLAN的出现可以避免或减少以上情况的发生。3容量大。在IEEE802。U中，一个无线网络可以容许最多80个用户的接入。而有线网络就要受到HUB接口数目，以及布线长度等等的众多限制了。4易于扩展。WLAN有多种配置方式，能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游ROAMING”等有线网络无法提供的特性。然而，由于采用公用电磁波作为信息传输的载体，与有线网络相比，WLAN又有着与生俱来的安全隐患1信息易泄露。由于电磁波是共享的，这就为窃取信号并通过窃取信号进行解码提供了方便。2容易入侵。为了能够使用户发现无线网络的存在，无线网络必须发送有特定参数的信标帧，这就给攻击者提供了必要的网络信息。3容易遭受AP欺骗。由于无线网络易于配置，攻击者可以轻易的将自己伪装成AP，然后让移动节点尝试登陆到自己的网络，通过分析发现密钥或口令。4易受拒绝服务攻击DOS和干扰。攻击者可以通过发送跟无线网络相同频率的干扰信号来干扰网络的正常连接，使正常用户无法访问网络资源，或通过AP进行泛洪攻击，使AP拒绝服务，造成整个无线网络的瘫痪。【11彭祺基于802IXEAP的无线校园网安全认证研究与应用【D】南昌南昌大学，20076无线局域湖认证机制研究J实践探索213WLAN的标准无线局域网协议标准目前主要有IEEE80211标准、和HIPERLAN标准。1IEEE802”标准IEEE80211标准于1997年6月26R制定完成，1997年11月26日正式发布。IEEE8021L无线局域网标准承袭IEEE802系列，对无线局域网的媒体访问控制层MEDIUMAEEESSCONRTOL，MAC及物理层PHYPHYSICAL技术进行了规范。目前，IEEE80211标准系列主要有以下一系列协议。IEEE8021LIEEE80211标准定义了三种不同类型的物理层，一种红外线IR基带物理层和两种无线频率RF物理层。由于存在可视线路的限制，红外线IR基带物理层的应用有限。无线频率物理层分为工作在24GHZ频段上的调频扩展频谱FHSS方式以及直接序列式扩频DSSS方式两种。为了适应无线介质的特点MAC子层采用了载波侦听多点接入避免冲撞协议CSMACACOLLISIONSENSEMULTIPLEACCESSWITHCOLLISIONAVOIDANCE。三种物理层可提供1MBPS或2MBPS的工作速率，其中DSSS技术为主流。由于80211标准的产品存在着传输速率慢、成本高等缺点，制定一种高速无线局域网的新标准就显得非常必要。IEEE80211BIEEE80211B于1999年9月被正式批准，仍然使用开放的24GHZ频段。它是在IEEE80211的基础上的进一步扩展，解决了80211速度慢的问题，同时提高了传输的可靠性。80211B标准只定义了一种直接序列扩频DSSS物理层，采用了4比特或8比特补码键控CCKCOMPLIMENTARYCODEKEYING编码技术和用正交相移键控QPSKQUADRATUREPHASESHIFTKEYING调制技术，最高可提供11MBPS的传输速率。由于在8021LB中存在着一些模糊或定义不完整的地方，不同的制造商的无线产品可能会出现互操作性问题，一些主要的制造商包括CISCO、IBM、INTEL、3CORN、NOKIA和MICROSOR等组建了“WIFI“联盟，对制造商提供的产品进行测试，即为“WIFI认证。IEEE8021LAIEEE8021LA于1999年底被批准，工作5GHZ频段上，支持54MBPS的传输速率。除工作频段外，8021LA另一项重大的改进就是采用了正交频分多路复用OFDMORTHOGONALFREQUENEYDIVISIONMULTIPLEXING编码技术替代了DSSS编码技术。8021LA可根据无线信道的质量自动调整数据的传输速率，共有8种传输速率分别为54MBPS、48MBPS、36MBPS、24MBPS、18MBPS、12MBPS、8MBPS和6MBPS。8021LA与8021LB两个标准都存在着各自的优缺点，80211B的优势在于价格低廉，但速率较低最高11MBPS；而80211A优势在于传输速率快且受干扰少，但价格相对较高。另外，8021LA与80211B工作在不同的频段上，不能工作在同一AP的网络里，因此80211A与80211B互不兼容。IEEE8021IG7无线局域蚓认证机制研究J实践探索由于8021LB和80211A工作住不同的频段上，两者不能兼容，使得8021LB产品用户的升级成了难以解决的问题。IEEE于2003年6月发布了802119标准。8021LG标准建构在80211B所使用的24GHZ工作频段，但却采用了80211A所使用的OFDM调制技术。这样，在把传输速度提高到24M54MBPS的同时，又保证了能够与8021LB的、IFI系统互相连通。这样就使得原有的使用IEEE8021LB产品的WLAN系统可以平滑的向高速无线局域网过渡，使用户不必立即增加投资去更新原有的设备。IEEE80211I为了解决WLAN日益严峻的安全问题，IEEE于2004年6月发布了8021LI。80211I对WLAN的MAC层进行了修改与整合，定义了严格的加密格式和鉴权机制，以改善WLAN的安全性。主要包括两项内容WIFI保护访问WPA和强健安全网络RSN。它为IEEE8021L网络增加了一组新的数据保密协议和一组管理协议。在新的数据保密协议中包括两个协议，一个完全基于AES的协议，要求用户完全更新设备；另外一个协议TKIP，可以在现有的设备上使用，为用户提供一个过渡时期。在安全管理协议中，则引入了IEEES021X，使得WLAN的认证过程更为严格。IEEE8021LEFIEEE8021IE标准对WLANMAC层协议提出改进，以支持多媒体传输，同时也提供了服务质量保证QOS机制。IEEE8021LL定义访问节点之间的通讯，支持IEEE80211的接入点互操作协议IAPP。2HIPERLAN标准HIPERLAN是一种在欧洲应用的无线局域网通讯标准的一个子集。由两种规格HIPERLANL和HIPERLAN2。这两种标准均被欧洲电信标准协会ETSI采用。HIPERLAN标准提供了类似于IEEE80211无线局域网协议的性能和能力。HIPERLANL工作5GHZ频段上，上行速率可达20MBPS，采用GMSK调制前高斯滤波的最小频移键控技术。HIPERLAN2同样采用5G射频频率，上行速率可以达到54MBPS，采用的则是OFDM正交频分复用技术。HIPERLAN2系统同3G标准兼容，采用HIPERLAN2的WLAN系统可以用来传送接受数据、图像以及实现语音通讯。HIPERLAN2网络协议栈具有灵活的体系结构，很容易适配并扩展不同的固定网络。HIPERLAN2主要的技术特点包括高速数据传输、面向链接、QOS支持、自动分配频率、加密安全、移动性、网络与应用无关以及省电等。【11【2】TTL干延通无线网络技术探讨【J】软件导刊，2007，77521顾晓亮，郑恒瑞无线局域阱技术标准的比较明，中国数据通信，2004,97071无线局域网认证机制研究J实践探索22WLAN现有认证机制分析221服务区标识符SSID用户可以通过设置AP的SSIDSERVICESETIDENTIFIER，服务配置标识符来命名自己的无线网络，使得只有知道该SSID的用户才可访问该网络。然而，由于经常使用默认SSID或者采用一些如地名、公司名或部门名等容易记忆的名称，这些SSID很容易被非法用户猜到，从而进入网络。即便用户设置了像密码一样的字符，由于AP的默认设置为定时广播SSID，也使得未经认证的用户可以轻易地发现可用SSID，这也是大多数无线局域网侦测软件的工作方式。当然，广播功能是可以被禁用的，但既便如此，非法用户仍然可以通过一些侦听无线数据包的软件如AIRMAGNETLAPTOP查找到无线网络的SSID。所以，SSID只能提供一种低层次的保护。221MAC地址过滤MAC地址过滤是人们在80211标准上开发的一种基本认证机制。由于每个无线工作站网卡的MAC地址都是唯一的，因此可以用MAC地址来标识每一个网卡。应用这项技术，可在WLAN的每一个接入点AP中设置一个许可接入的用户MAC地址列表，MAC地址不在列表中的用户，接入点将拒绝其接入请求。这个方案要求AP中的MAC地址列表必须随时更新，因此可扩展性差，无法实现机器在不同AP之间的漫游；另外，非法用户利用网络侦听手段很容易窃取合法的MAC地址，而且MAC地址并不难修改，相关软件如MACMAKEUP很容易从网络上下载，因此非法用户完全可以盗用合法的MAC地址进行非法接入。可见，MAC地址过滤也是较低级别的授权认证。223有线等效私密性WEP有线等效私密性WEP技术是1997年IEEE推出的第一个基于WLAN的安全措施，是被WIFI认证的无线局域网所采用的一项安全功能，用于实现共享密钥认证。其主要用途如下提供访问控制，防止未授权用户访问网络；用WEP加密算法对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意篡改或伪造。共享密钥认证通过一个共享密钥的方式来控制用户对网络资源的访问。所使用的认证密钥与WEP数据加密算法的密钥相同。图23给出了共享密钥认证过程。【I】1客户端向AP发出接入请求；2AP返回一个挑战随机字符串，例如CHALLENGETEX卢ABCDEFGH；3用户端用自己的共享密钥对收到的这个字符串进行加密，并将结果发回AP，即ILL胡波，卡培东，朱海燕基于无线局域嘲的认证方法研究【J】计算机T程与应用，2008，81581599无线局域嗍认证机制研究，J实践探索ENCRYPTEDCHALLENGETEXTEABCDEFGH；4AP解密用户发来的密文，如果与开始发出的字串一致，即D【EABCDEFGHABCDEFGH，说明共享密钥一致，用户被允许接入。T,U|FLI11III,；TDLLUUCQU铬AUTHENTICATIONRESPONSECHANLENGETEXTSTAAUTHENTICATIONREQUESTENCRYPTEDCHANLENGETEXT。APAUTHENTICATIONRESPONSESUCCESSFAILURE图23共享密钥认证过程当认证过程完成后，WEP会使用由固定的共享密钥和可变的初始化向量IV组成的密钥通过RC4算法对数据进行加密，为了防止消息被篡改，WEP使用一个完整性校验值ICV对消息的完整性进行校验。但WEP认证机制存在着严重的安全缺陷【L】1容易受到AP欺骗。WEP中使用以共享密钥为基础的身份认证只有客户端在进入网络时需要向接入点认证自己的身份，而接入点无需向客户端证明自己的身份。这就造成一种安全隐患，因为攻击者可以伪装成接入点，拒绝来自用户站点的合理要求，或者采用中间人攻击等方式监听客户端发送的消息。2缺少密钥管理。用户的加密密钥必须与AP的密钥相同，并且一个服务区内的所有用户都共享同一个密钥。WEP标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时更换密钥既费时又麻烦，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，则将殃及到整个网络。3缺少后继交互认证。当客户端认证成功后，接入点便认为该设备是可信设备，于是该设备的MAC地址便被认可。随后来自此MAC地址的消息再不会被认证是来自被信任的设备或是来自其它假冒的站点。4认证机制易被哄骗。WEP认证时，接入点会发送一个128字节的随机串P，WEP生成一个伪随机字节序列R与明文相异或从而得到密文C。即PORC根据异或运算的规则可以推导出COPR这样，攻击者通过监听一个会话，就可通过上面的公式得到一个RC4随机字节的拷贝值。然后，攻击者请求认证，等待质询文本，把该文本与之前捕获的密钥流相异或，然后把之前捕获的值和异或结果一同返回给接入点。为了检验结果，接入点把攻击者选【L】周正无线局域网安全实务一WPA与802ILIM，北京人民邮电I版社，2006LO无线局域网认IJ机制研究。J实践探索定的IV值添加到密钥上，产生RC4随机密钥流。这理所当然与攻击者计算出的一样，因为密钥和IV都与上次的相同。当接入点通过异或RC4密钥流解密消息后，毫不奇怪是匹配的。这样，攻击者即使不知道密钥也被“认证成功”了。同时，攻击者在这个过程中获得了一个相互匹配的明文和密文的样本，为攻击者进一步攻击加密密钥提供了帮助。由于以上原因，今天大多数系统都不再使用WEP认证方法。下面的三种认证方法是目前可运营的WLAN最常用的认证方法。224端口访问控制技术PORTBASEDNETWORKACCESSCONTROL，IEEE8021X和可扩展认证协议EXTENSIBLEAUTHENTICATIONPROTOCOL，EAPIEEE8021X标准定义了基于端口的网络访问控制，根据物理特征来对连接到交换机端口的设备进行身份验证，如果身份验证失败，以太网交换机就会拒绝无线设备使用自己的端口。IEEE8021X标准本身是为有线以太网络设计的，在此被借鉴使用在IEEE8021L无线局域网上。EAP则是提供了一种方法来实现IEEE8021X认证机制。本文第三章对基于8021XEAP的认证机制做了详细介绍。225WAI认证机制WAIWLANAUTHENTICATIONINFRASTRUCTURE是我国开发的WAPIWLANAUTHENTICATIONANDPRIVACYINFRASTRUCTURE安全机制中的一部分，用于实现用户身份鉴别。认证系统由三部分组成MT移动终端、AP无线接入点和AS认证服务器。AS负责证书发放、验证与吊销；MT与AP上安装有AS发放的公钥证书作为数字身份凭证。当MT登录AP时，AP向MT发送认证激活启动认证过程。AP收到MT接入认证请求后，向AS发出证书认证请求。AS收到请求后验证AP签名及AP、MT证书合法性，将证书认证响应报文发回AP。AP对响应验证签名，得到MT证书认证结果；将接入认证响应报文回送至MT。MT验证AS签名后，得到AP证书的认证结果；根据认证结果决定是否接入AP。AP和MT都要确定双方是不是证书的合法持有者。访问网络前须通过AS进行双向身份验证，不仅防止非法MT接入AP而访问网络并占用资源，而且还可防止MT登录非法AP造成信息泄漏。但是WAI仍然存在许多安全缺陷【L】1WAI协议本身不具备身份保护的功能；2在WAI认证协议中缺乏对用户私钥的验证环节；3密钥协商过于简单，不具备相应的安全属性，如无法抵抗密钥一致性攻击；4密钥协商算法的安全是基于加密算法的安全性。另外，异或运算可能使会话密钥与随机数间保持一种代数关系，在产生的会话密钥中可能有以不可忽略的概率被预测的弱密钥位存在，导致其安全性受到影响；【LL张帆，马建峰WAPI认证机制的性能和安伞性分析忉两安电子科技大学学报自然科学版，2005，421311无线局域M认IL机制研究J实践探索5算法不具有PFS等安全属性也无法防止密钥控制KEYCONTR01；6算法使用时间戳来抵抗重放攻击，其安全性主要依赖于时间的同步。而时间戳技术的实现比较困难，从而降低了该算法的性能。23小结本章首先介绍了WLAN的一些相关知识，主要内容为WLAN起源于二战时期，第一个无线网络是ALOHNET；WLAN的实现技术包括红外线、跳频扩频FHSS和直接序列扩频DSSS、正交频分多路复用OFDM以及高速直接序列扩频HRDSSS；WLAN的工作模式包括ADHOC模式和INFRASTRUCTURE模式；WLAN的标准主要包括IEEE的80211系列标准和ETSI的HIPERLAN系列标准，其中应用最广泛的仍属WIFI认证的IEEE80211B标准。由于WLAN的无线传输的特点，WLAN面临着诸多的安全威胁；为了解除这些威胁，随着时间的发展，各种安全机制应运而生，虽然都存在着这样或那样的问题，但不可否认，WLAN的安全得到了明显的加强，在这个过程中认证在无线网络安全中的重要地位得到了广泛共识。12无线局域网认证机制研究、1J实践探索第3章基于8021X的WLAN认证机制研究由于数据传输环境的开放性，无线局域网环境下的安全需求比有线环境下要求更为苛刻。为了应对无线网络中前所未有的安全威胁，各种安全机制应运而生。在WLAN安全机制发展的进程中，认证作为无线网络安全第一关的作用越来越重要。基于认证技术的接入控制和授权机制是无线局域网最基本的安全需求，认证技术的选择则是这一基本需求的关键。318021X协议IEEE8021X协议PORTBASEDNETWORKACCESSCONTROLPROTOC0111称为基于端口的访问控制协议，于2001年6月由IEEE批准为标准。8021X协议起源于8021L，主要目的是为了解决无线局域网用户的接入认证问题，是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。它提供了一种即可用于有线网络也可以用于无线网络的用户认证和密钥管理的框架，可以控制用户只有在认证通过以后才能连接到网络。目前，IEEE802IX认证协议已被很多网络设备制造商所认可，包括CISCO，3COM，AVAYA，DLINK等一线硬件厂商已纷纷投入到基于IEEE802IX协议的相关产品的开发。作为软件厂商，微软在WINDOWSXP也提供了对IEEE8021X协议的支持。311802IX的体系结构8021X的体系结构包括三个部分，即请求者系统、认证系统和认证服务器系统。乜1如图31所示。ILLPHILIPKWAN8021XAUTHENTICATIONANDEXTENSIBLEAUTHENTICATIONPROTOCOLZUSFOUNDRYNETWORKSINC，2003【21MATTBEWSGAST80211WIRELESSNETWORKSTHEDEFINITIVEGUIDEMUSOREILLY,2005200213无线局域网认证机制研究J实践探索图318021X认证的体系结构I请求者系统请求者系统SUPPLICANT，即为用户客户端系统，客户端一般需要安装某个程序，用来发起整个认证过程。2认证系统认证系统AUTHENTICATORSYSTEM，也称为认证者。即支持IEEE8021X协议的网络接入设备，在WLAN中就是无线接入点AP。认证系统在认证过程中只起是在请求者系统和认证服务器系统之间到透传的功能，并不进行实际认证工作。3认证服务器系统认证服务器通常为提供远程用户拨入服务RADIUSREMOTEAUTHENTICATIONDIALINUSERSERVICE的计算机，该服务器存储合法用户的信息，通过检验客户端发送来的用户认证信息来决定是否允许用户使用网络资源。312端口控制原理认证系统有两个逻辑端口控制端口和非控制端口。IL】所谓逻辑端口是指端口只是一种逻辑上的理解，设备本身并不存在这样的开关。非控制端口始终处于双向连通的状态，不管是否处于授权状态都允许申请者使用它进行数据交换，主要用来传递控制信息；控制端口只有在认证通过的状态下才打开，用于传递数据信息。当客户端尝试连接至AP时，控制端口处于非授权状态，不对客户端开放，客户端通过非控制端口来发送和接受IEEE8021X报文，从而实现认证过程。当客户通过认证后，端【L】酋秀英，耿嘉，沈平无线局域网安全系统【M】北京电子T业F；版社，200414无线局域网认证机制研究J实践探索口状态切换到授权状态，此时客户端便可通过控制端