硕士论文-基于IEEE80211i无线局域网安全技术研究与.pdf

太原理工大学 硕士学位论文 基于IEEE 802.11i无线局域网安全技术研究与实现 姓名：高巍 申请学位级别：硕士 专业：计算机应用技术 指导教师：任新华 20070501 太原理工大学硕士研究生学位论文 基于I E E E8 0 2 1l i 无线局域网安全技术研究与实现 摘要 无线局域网是新世纪无线通信领域最有发展前景的技术之一。无线技 术正在改变着人们传统的工作学习方式，使人们能随时随地获得高质量的 网络语音、数据和图像服务。然而，随着无线局域网应用的不断普及，无 线局域网的安全问题也越来越突出。如果安全问题得不到妥善解决，势必 会影响无线局域网的进一步发展。 本文首先对无线局域网标准进行了回顾，对无线局域网存在的安全威 胁和安全风险进行了分析；接着，着重阐述了无线局域网传统安全机制中 W E P 协议和认证机制所存在的严重安全缺陷；然后，从数据保密协议、认 证和访问控制以及动态密钥管理这几个方面对I E E E8 0 2 1 l i 标准进行了深 入剖析；最后，基于I E E E8 0 2 1 X 协议、E A P T L S 认证方法和R A D I U S 协 议，以L i n u x 操作系统为平台，结合开源项目O p e n S S L 、H o s tA P 、O p e n l x 和F r e e R a d i u s ，设计和实现了一个符合I E E E8 0 2 1 l iR S N A 安全框架所定义 的无线局域网安全系统。 为了验证所实现系统的安全性，还利用网上广泛使用的一款无线局域 网破解软件W i n A i r c r a c k P a c k ，分别对基于W E P 加密机制的传统W L A N 系 统和本文所实现的基于I E E E8 0 2 I l i 标准的W L A N 系统进行了密钥攻击实 验。通过对前者的成功破解和对后者的无效性，表明W E P 在安全上的脆弱 性，同时也说明所实现系统能够有效抵御当前已知的密钥攻击手段。 关键词：无线局域网，I E E E8 0 2 1 l i ，临时密钥完整性协议，可扩展认证 I 太原理工大学硕士研究生学位论文 协议，8 0 2 I X 协议，R A D I U S 协议 I I 太原理工大学硕士研究生学位论文 S T U D YA N DI M P L E M E N T A T I O N 0 FW L A NS E C U R I T YT E C H N O L O G Y B A S E DO NI E E E8 0 2 1 1 i A B S T R A C T I nt h i sn e we r a ，W i r e l e s sL A Ni so n eo f t h em o s t p r o m i s i n gt e c h n o l o g i e si n t h ef i e l do ft e l e c o m m u n i c a t i o n W L A Ni sc h a n g i n go u rt r a d i t i o n a l w a y so f w o r k i n ga n ds t u d y i n g ，a n dm a k ei ta v a i l a b l et oa c h i e v eh i 曲q u a l i t ys e r v i c e so f v o i c e d a t aa n di m a g ei na n yt i m ea ta n yp l a c e H o w e v e r , w i 廿1t h ec o n s t a n t p o p u l a r i z a t i o no fW L A N , t h es e c u r i t yo fW L A Nh a sb e e nb e c o m i n gah o tt o p i c i nt h er e s e a r c ho fp r e s e n tc o m p u t e rn e t w o r k s I fs e c u r i t yp r o b l e m sa r en o t s o l v e dp r o p e r l y , t h e yw i l lr e s t r i c tt h ef u r t h e rd e v e l o p m e n to f W L A N A tf i r s t ，t h i sp a p e rr e v i e w sW L A Ns t a n d a r d sa n da n a l y z e ss e c u r i t yt h r e a t s a n ds e c u r i t yr i s k si nW L A N T h e ns e v e r ef l a w so fs e c u r i t ym e c h a n i s m sb a s e d o nW E Ps p e c i f i e di nI E E E8 0 2 11a r ea d d r e s s e d I ti sa l s od e v e l o p e da b o u t a u t h e n t i c a t i o na n da c c e s sc o n t r o l ，d a t a p r i v a c yp r o t o c o l sa n dd y n a m i ck e y m a n a g e m e n ti nI E E E8 0 2 1 1 i F i n a l l y , a c c o r d i n gt oI E E E8 0 2 1 X ，E A P T L S a u t h e n t i c a t i o nm e t h o da n dR A D I U Sp r o t o c o l ，w ed e s i g n e da n di m p l e m e n t e da W L A N s e c u r i t ys y s t e mo nL i n u xp l a t f o r m I tc o m b i n e sw i t hO p e nS o u r c eC o d e P r o j e c ti n c l u d i n gO p e n S S L ，H o s tA P , O p e n l xa n dF r e e R A D I U S ，a n dC a nm e e t t h ed e m a n do f R S N Af r a m e w o r kd e f i n e di nI E E E8 0 2 1 1 i I 太原理工大学硕士研究生学位论文 W es e l e c t e daW L A Na t t a c kt o o l ，W i n A i r c r a c k P a c k ，w h i c hi s r e a d i l y a v a i l a b l eo nt h eI n t e m e t ，a n dt r i e dt oc r a c kt h ek e y su s e di nt r a d i t i o n a lW L A N s y s t e ma n dt h es y s t e mw ei m p l e m e n t e dr e s p e c t i v e l y T h er e s u l t se x p r e s st h e f o r m e rC a nb ec r a c k e ds u c c e s s f u l ya n dt h el a t t e rc a nn o t I ta l s op r o v e st h a to u r s y s t e mC a nd e f e n da g a i n s tt h ek n o w nk e ya t t a c k se f f e c t i v e l y K E YW O R D S ：WL A N ，I E E E8 0 2 1 1 i ，T K I P ，E A P ，8 0 2 1 X ，R A D I U S I I 太原理工大学硕士研究生学位论文 符号和缩略语说明 A C L ( A c c e s sC o n t r o lL i s t ) 访问控制列表 A E S ( A d v a n c e dE n c r y p t i o nS t a n d a r d ) 高级加密标准 A N o n c e ( A u t h e n t i c a t o r N o n c e ) 认证者N o n c e C C M P ( C o u n t e r - M o d e C B C - M A CP r o t o c 0 1 ) 计数器模式及密码区块链信息认证码协议 D E S ( D a t aE n c r y p t i o nS t a n d a r d ) 数据加密标准 E A P ( E x t e n s i b l eA u t h e n t i c a t i o nP r o t o c 0 1 ) 可扩展认证协议 G T K ( G r o u p T r a n s i e n tK e y ) 组临时密钥 I V ( I n i t i a lV e c t o r ) 初始化向量 L E A P ( L i g h t E x t e n s i b l e A u t h e n t i c a t i o n P r o t o c 0 1 ) 轻量型可扩展认证协议 M I C ( M e s s a g eI n t e g r i t yC o d e ) 消息完整性校验码 M P D U ( M A CP r o t o c o lD a t aU n i t ) M A C 协议数据单元 M S D U ( M A CS e r v i c eD a t aU n i t ) M A C 服务数据单元 M S K ( M a s t e rS e s s i o nK e y ) 主会话密钥 P E A P ( P r o t e c t e dE x t e n s i b l e A u t h e n t i c a t i o nP r o t o c 0 1 ) 受保护的可扩展认证协议 P M K ( P a i r w i s eM a s t e rK e y ) 成对主密钥 P T K ( P a i r w i s eT r a n s i e n tK e y ) 成对临时密钥 R A D I U S ( R e m o t e A u t h e n t i c a t i o nD i a l I nU s e rS e r v i c e ) 远程认证拨入用户服务 R S N ( R o b u s tS e c u r i t yN e t w o r k ) 健壮安全网络 R S N A ( R o b u s tS e c u r i t yN e t w o r kA s s o c i a t i o n ) 健壮安全网络关联 S N o n c e ( S u p p l i c a n t N o n c e ) 申请者N o n c e S S I D ( S e r v i c eS e tI d e n t i f i e r ) 服务集标识符 T K ( T e m p o r a r yK e y ) 临时密钥 T K I P ( T e m p o r a lK e yI n t e g r i t yP r o t o c 0 1 ) 临时密钥完整性协议 T L S ( T r a n s p o r tL a y e rS e c u r i t y ) 传输层安全 T S C ( T K I PS e q u e n c eC o u n t e r ) T K I P 序列计数器 T T L S ( T u n n e lT r a n s p o r tL a y e rS e c u r i t y ) 隧道传输层安全 W A P I ( W L A N A u t h e n t i c a t i o na n dP r i v a c yI n f r a s t r u c t u r e ) 无线局域网鉴别和保密基础结构 V I I 太原理工大学硕士研究生学位论文 W E P ( W i r e d E q u i v a l e n tP r i v a c y ) 有线对等保密 W L A N ( W i r e l e s sL a n A r e a N e r o ) 无线局域网 W P A ( W i F iP r o t e c t e d A c c e s s ) W i F i 保护接入 V I I I 声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法牵责任由本人承担。 论文作暑签名：五邈 日期：王必驻，业 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的。 复鲥赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) o 签名： 导师签名：E t I 錾I ：之翌21 翌 太原理工大学硕士研究生学位论文 1 1 课题背景 第一章绪论 通信发展的最终目标是人们能无拘无束的获取和交互信息，其总趋势是数字化、智 能化、综合化、个人化和全球一网化。针对这一需求，有人提出了“5 W 通信”，即任何 人( W h o e v e r ) 在任何时候( W h e n e v e r ) 与任何地方( W h e r e v e r ) 的其他任何人( W h o m e v e r ) 都 能进行包括语音、数据、图像等任何形式( W h a t e v e r ) 的通信。事实上，现代通信技术的 发展正是围绕“5 W 通信”这一目标逐步向前推进的过程。 无线局域N ( W i r e l e s sL o c a lA r e aN e t w o r k ，W L A N ) 以其高移动性、低成本、网络建 设和扩展容易、管理方便、兼容性好等优点，在很多领域得到了广泛的应用。但是，与 有线网络相比，无线网络工作在开放空N ( O p e nS p a c e ) ，其传输媒体主要为光波和无线 电波，因此对越权存取和窃听行为也更不容易防备，无线安全问题日渐严重。R S A S e c u r i t y 在英国伦敦进行的一项调查表明，6 7 的W L A N 毫无安全可言。根据华尔街 日报的一篇报道，两名黑客携带笔记本电脑，在硅谷附近窃听空中的W L A N 信号， 结果他们收到一些“财富5 0 0 强”公司的W L A N 访问信号，显然这些大公司的网管没 有对自己的W L A N 采取任何的安全措施，使得他们的网络面临着严重的威胁。 随着应用领域的扩大和应用层次的深入，无线网络的安全问题越来越受到人们的关 注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数 据只能由授权用户进行访问，而数据加密则保证传送的数据只能被所期望的用户所接收 和理解。对于有线网络来说，访问控制往往以物理端口接入方式进行监控，它的数据输 出通过电缆传输到特定的目的地，一般只有在物理链路遭到破坏的情况下，数据才有可 能被泄漏。而无线网络的数据传输则是利用微波在空气中进行辐射传播，因此只要在 A P ( A c c e s sP o i n t ，接入点) 天线覆盖的范围内，所有的无线终端都可以接收到无线信号， 】 太原理工大学硕士研究生学位论文 由于多使用全向天线发送信号，A P 无法将无线信号定向到一个特定的接收设备，因此 无线的安全保密问题就显得尤为突出。 1 2 研究现状 8 0 2 1 1 委员会已经意识到W L A N 固有的这些安全性缺陷，并引入了W E P ( W i r e d E q u i v a l e n tP r i v a c y ，有线对等保密) 协议来实现对数据的加密和完整性保护。W E P 协议 设计的目标是保证数据的保密性、完整性和提供对W L A N 的访问控制。但W E P 加密只 是相对于无保护的有线网络而言增加了数据安全性，而且很多研究表明W E P 设计本身 存在缺陷，如R C 4 算法的不正确使