（信号与信息处理专业论文）无线局域网监管关键技术的研究.pdf

东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示了谢意。 研究生签名： 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可 以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 研究生签名：导师签名： 日期： 一+ ， _o_-_o_o_。oo_。oooo_-_o_o_-_-_l-_i_o_o_-_ooo”“f f j f j jj f j f f 摘要 随着无线局域网应用的普及，对无线局域网的安全监管需求日益迫切。目前大多数监管设备或 软件主要针对有线网络，尽管已有一些无线局域网监管设备，但其存在监听范围小等诸多问题。本 文结合国家信息产业部“无线局域网监管技术研究”项目，主要研究了分布式无线局域网远程监管 技术。论文主要工作包括： 第一章阐述了研制无线局域网监管系统的研究背景和现实意义。介绍了无线局域网技术和网络 监管技术的发展过程和研制成果。 第二章提出了分布式无线局域网监管系统的功能和结构。所提出的监管体系包括负责截获数据 和对数据初步过滤的监管终端、可保障传输数据包和指令广域范围内安全传输的w l a n x 接口协议、 以及按协议类型解析和复原的监管服务器。 第三章论述了监管终端软件部分设计框架。重点研究了监管终端的驱动部分、以及基于l i b p c a p 库设计的监管功能模块，主要包括监管系统管理模块、网络设备配置模块、网络数据包截获、分析 和存储模块。 第四章提出了w l a n x 接口的设计与实现技术。w l a n x 接口参考数字蜂窝移动通信系统的警用 接口设计，并针对w l a n x 接口帧格式、w l a n x 接口安全传输机制、以及w l a n x 接口在监管 终端和监管服务器端的设计要求进行了深入分析。 第五章完成了协议解析部分的设计原理和实现过程。监管终端捕获的数据包经过w l a n x 接 口传输给监管服务器，在服务器上进行统一的协议解析和复原。实现了包括f t p 、h t t p 、p o p 3 、 s m t p 、m s n 、q q 、t e l n e t 、v o i p 等应用协议的解析与复原。 第六章完成了监管服务器软件的架构以及监管系统的测试结果。监管服务器软件采用 a s p + m y s q l 技术进行设计，并通过数据库实现监管服务器软件与协议解析、w l a n x 接口的交互。 在此基础上，给出了无线局域网监管系统软件部分测试结果，并对无线局域网监管技术发展进行了 展望。 关键词：无线局域网，监管技术，l i b p c a p ，w l a n x 接口，应用协议解析 摘要 a b s t r a c t as t a t e s p e c i f i cd e m a n df o rs e c 耐t ym o n i t o r i n go fw i r e l e s sl a n s ( w l a n ) i s e m e 唱i n gr a p i d l yd u e t 0a ni n c r e 邪i n gd e p l o y m e n to fw l a ns y s t e m s r e c e n t l y ，m o s to ft h em o n i t o r i n gd e v i c e so rs o r w a r ei s d e s i g n e df o rw i r e dn e 撕o r k s o m ee x i s t i n gw l a nm o n i t o r i n gd e v i c e sh a v em e i rd i s a d v a f l t a g e ss u c h 舔 s m a l lm o n i t o r i n ga r e a t h i st h e s i sd e v c t e st ot h er e m o t em o n i t o r i n go fd i s 研b u t e d r a l n ，s u p p o n i 翻b y ”t 1 1 er e s e a r c h e so fw i r e l e s sl a n ss e c u r i t ym o n i t o r i n p r o j e c to ft h em i n i s n 了o fi n f 0 咖a t i o ni n d u s t 够 t h i st h e s i sc o v e r st h ef o l l o w i n ga s p e c t s ： i i lc h a p t e r1 ，吐l er e s e a r c hb a c k g r o u n do fw l a ns e c 嘶够m o n i t o r i n ga n d 吐记p 仡! c t i c a ls i 朗i & 觚c e0 f t h i sp r o j e c ta r ep r e s e n t e d w eg i v eab r i e fi n t r o d u c t i o nt ot h ew l a n ，锄dn e m o r km o n i t o r i n gt e c h n o l o 缈 i nc h a p t e r2 ，、ep r o p o t h en e t w o r kt o p o l o g ya n dp r e s e n tt h e 如n c t i o nm o d u l 鼯o fw l a n m o n i t o r i n gs y s t e ni n c l u d i n gw r e l e s sm o n i t o rs e r v e r ( w m s ) ，w h i c hi sr e s p o n s i b l ef o rd a t ai n t e r c e p t i o n 锄dp 陀l i m i n a r yd a t af i h e r i n 舀、i r e l e s sm o n i t o rt e 咖i n a l ( 、枞t ) ，r e s p o n s i b l ef o rp r o 幻l c o ip a r s i n g 锄d a n a l y s i s ，锄dw l a n - xi n 伦r f j a c ep r o t o c o l ，w h i c he i l s u 陀st h es e c u r e 咖s m i s s i o n0 fd a t a 锄dc o m m a l l di n 、矾d ea r e an e t w o r l c i nc h a p 帕r3 ，、v ep r e s e n th a r d w a r ed r i v e rr e l a t e dt 0w m t a n dr e l e l ts o r w a r em o d u l e sb 雒e d0 n l l b p c a 只i n c l u d i n gm o n i t o r i n gm 柚a g e m e n tm o d u l e ，e q u i p m e n tc o n f i g u r a l i o nm o d u l e ，锄dm o d u i e su s e d f o rd a 协p a c k e ti n t e r c e p t i o n a n a i y s i s 孤dm e m o 阱 i nc h a p t e r4 ，t h ed e s i g no fw l a n xi n t e 而| c ei sp r e s e n t e d ，w h i c he x p l o i t st h ei n t e r ep r o t o c o lo f t h ed i g i t a ic e l l u l 甜m o b i l ep o l i c ec o m m u n i c a t i o ns y s t e m s a n dw em a k ead i s c u s s i o na b o u tt i l ed e s i g n r e q u i r e m e n t0 fw l a n xi n t e 以c e ，i n c l u d i n g 也e 矗锄ef o m 矾m es e c u 哪订a 1 1 s m i s s i o nm e c h 锄i s m 笛 w e l l 缎t h ei n t e r f 犯et ow m s 锄dw m t - i i lc h a p t e r5 ，t h ed e s i 印锄dr e a l i z a t o no fa p p l i c a t i o np r o t o c o lp a r s i n gm n c t i o nh a sb e e ni n v e s t i g a t e d w eh a v ep a r s e de i g h tc l 雒so fa p p l i c a t i o np r o t o c o l ，s u c h 笛，f t eh m ：p o p 3 ，s m t em s n ，q q ， t e l n e t ，v r 0 皿锄de t c ，w h i c hp r o c e s s e d0 n 、v m s i nc h a p t e r6 ，w ep r e s e n tt h ea r c h i t e c t u r eo fw m s 锄d 锄a l y z et l et e s t 陀s u i t so fw l a nm o n i t o r i n g s y s t e m t h et e c h n o l o g y o fa s p + m y s q li se m p l o y e do nt 1 1 em a n - m a c h i n ei n t e m c eo fw m s ，柚dt h e d a t a b a s e0 nw m si s 吣e dt oi n t e r a c tw i t hpr o t i d c o lp a r s i n gm o d u l e 觚dm ，a n xi n t e r f k em o d u l e k e yw o r d s ：w l a n ( w i r e l e s sl o c a la r e an e t w o r k ) ，d i s t r i b u t e dm o n i t o r i n gs y s t e m ，l i b p c a 只 w l a n - xi n t e 响c e ，p r o t o c 0 1p a r s i n g 如n c t i o n i i 目录 目录 摘要i a b s t r a c t i i 目录i i i 第一章绪论1 1 1 弓l 言1 1 2 论文研究背景1 1 3 无线局域网网络监管技术研究现状2 1 4 本文的研究工作5 第二章无线局域网监管系统总体设计6 2 1 无线局域网监管系统的系统功能概述6 2 2 无线局域网监管系统的组成6 第三章监管终端软件的设计与实现9 3 1 概j 苤9 3 2 监管终端操作系统与驱动配置1 0 3 3 监管终端监管功能模块1 1 3 4 监管终端接入点功能模块1 7 第四章w l a n x 接口的设计与实现18 4 1 概述l8 4 1 1w l a n x 接口定义19 4 1 2 亿a n - x 接口功能l9 4 1 3a s n 1 简介一2 1 4 2w l a n - x 接口帧设计2 2 4 3w l a n x 接口的安全传输机制。2 7 4 4w l a n - x 接口监管服务器端设计3 0 4 5w l a n x 接口监管终端端设计3 4 第五章应用协议解析3 7 5 1 概述3 7 5 2 无线局域网m a c 帧结构3 7 5 3t c p i p 协议帧结构3 9 5 3 1 i p 帧结构3 9 5 3 2t c p 帧结构：。4 0 5 3 3 u d p 帧结构4l 5 4 应用层协议解析4 2 5 4 1h r r p 协议解析4 2 5 4 2s m t p 协议解析。4 3 5 4 3p o p 3 协议解析4 5 5 4 4f t p 协议解析。4 6 5 4 5v o i p 协议解析4 8 5 4 6q q 协议解析。5 l 5 4 7m s n 协议解析5 7 i i l 自笛s 茹鞴茹；i 蔷s 蜀；i 笛笛露嚣菰墨嚣g 互茹i ；s z 釜= 赫盏i 日= 茹z = = 五= z 茹= = z = = x = z 器譬葛= 蚕= 茹= = 翟盂= 墨z = = 盏= 蜀k = = = = = = = 茹= = 2 = = = = 篙= = = = 兰! = = = = = = = = 篮= = = = = = 2 = = = = = = = 盆= = = = 怒篇= = = = = = 一= 嚣= = = = = = = = i v 第一章绪论 1 1 引言 第一章绪论 无线局域网技术发展至今，技术不断完善，应用不断推广。随着以i e e e8 0 2 1 1 系列标准为主 的无线局域网技术获得越来越多的应用，也产生了各种各样的问题，其中安全问题尤为突出。了解 无线局域网面临的各种威胁，防范和消除这些威胁，实现网络安全已成为网络发展中的最重要的事 情。其中，利用网络监听技术监视网络状态、数据流动和网络传输的信息，实现实时高效地监控和 管理无线局域网成为一个重要课题。本文就此问题，设计并实现了一个针对分布式无线局域网的远 程监管系统。 1 2 论文研究背景 随着网络的飞速发展和笔记本电脑的普及，人们对移动办公的要求越来越高。传统的有线局域 网受到布线的限制，安装、维护、扩容等都非常不便，网络中各节点的搬迁和移动也非常麻烦。因 此高效快捷、组网灵活的无线局域网w l a n ( w i r e l e s sl o c a la r e an e t 、v o r k ) 应运而生。 无线局域网是计算机网络与无线通信技术相结合的产物。它具有安装便捷、高移动性、易扩展 性等特点：无线局域网免去了大量的布线工作，只需要安装一个或多个无线访问点( a c c e s sp o i n t ， a p ) 就可覆盖整个建筑的局域网络，而且便于管理、维护；无线局域网中，各节点可随意移动，不受 地理位置的限制，目前，a p 可覆盖1 0 1 0 0m ；无线局域网有多种配置方式，每个a p 可支持数十 个用户的接入，只需在现有无线局域网基础上增加a p ，就可以将几个用户的小型网络扩展为几千用 户的大型网络。+ 无线局域网作为有线网络的延伸，可以广泛应用在生活小区、宾馆旅社、机场车站等区域，实现便 捷上网；可以应用在政府、校园、企事业等单位实现移动办公。对于难以布线的环境，如老式建筑、沙 漠区域等；对于频繁变化的环境，如各种展览馆；对于临时需要的宽带接入，流动工作站等，建立无线 局域网都是理想的选择。 无线局域网具有很多优点，且应用越来越广泛，所以它的安全问题也被赋予了很多关注。最基 本的无线局域网安全措施包括采用业务组标识符( s s i d ) 和物理地址( m a c ) 过滤。业务组标识符( s s i d ) 是指无线客户端必须出示正确的s s i d 才能访问无线接入点a p 。利用s s i d 可以进行用户群体分组， 避免任意漫游带来的安全和访问性能的问题，从而为无线局域网提供一定的安全性。物理地址( m a c ) 过滤是指每个无线客户端网卡都由惟一的物理地址标识，因此可以在a p 中手工维护一组允许访问 的m a c 地址列表，实现物理地址过滤。但是，这两种方法都有很大的漏洞，业务组标识符( s s i d ) 方 法，由于无线接入点a p 周期向外广播其s s l d ，使安全程度下降；一般情况下，用户自己配置客户端 系统，所以很多人都知道该s s i d ，很容易共享给非法用户；且有的厂家支持a n y 方式，只要无线客 东南大学硕士学位论文 户端处在a p 范围内，那么它都会自动连接到a p ，这将绕过s s i d 的安全功能。物理地址( m a c ) 过 滤方法，由于非法用户可以利用网络侦听手段窃取合法的m a c 地址，而且m a c 地址并不难修改， 因此非法用户完全可以盗用合法的m a c 地址进行非法接入。此外，i e e e8 0 2 1 1 系列还采用了例如 认证、加密等一系列高级安全措施。然而，普通用户在使用无线局域网时，常常忽略安全问题，或 者为了方便而不采取网络安全措施。为了保证无线局域网用户的利益，防止犯罪分子利用无线局域 网的安全漏洞进行攻击和劫窃，实现对无线局域网的监管成了一项非常紧迫和必要的工作。 本项目以i e e e8 0 2 1 l 系列标准的无线局域网作为研究对象，设计和实现了对无线局域网的统一 布控、分布监听和多种协议解析的功能。 1 3 无线局域网网络监管技术研究现状 在研究无线局域网监管技术之前，首先分别介绍一下无线局域网技术和网络监管技术的发展和主要 内容。 1 ) 无线局域网技术 目前，无线网络接入方法有多种实现途径和标准，如i e e e8 0 2 1 l 系列标准【1 1 、h i p e r l a n 标 准、h o m e r f 标准、“蓝牙”标准等。这些标准相互竞争、相互融合，不断推动无线技术的迅速发 展。无线局域网指采用无线媒体传输的计算机局域网。当前大多数的无线局域网产品都基于i e e e 8 0 2 1 1 系列标准。 1 9 9 7 年i e e e 正式公布了8 0 2 1 1w l a n1 9 9 7 版技术标准【l 】，该标准定义物理层和媒体访问控制 规范，它提供了三个物理层( p h y ) 规范，包括2 4 g h zi s m 频段中的红外线、1 2 m b p s 跳频技术 ( f h s s ) 和l 2 m b p s 直接序列扩频技术( d s s s ) 。主要用于解决办公室局域网和校园网中用户与用户 终端的无线接入，业务主要限于数据存取，速率最高只能达到2 m b p s 。 1 9 9 9 年i e e e 推出了8 0 2 1 1 b 【2 】标准。8 0 2 1l b 也被它c a ( n l ew i r e l e s se t h e m e tc o m p a t i b i l i t y a 1 1 i a n c e ) 称为w i f i ，使用开放的2 4 g h 2 频率，一般采用直接序列扩频( d s s s ) 和补偿编码键控 ( c c k ) 调制技术，最大数据传输速率为l1 m b p s 。从1 9 9 9 年推出到现在，8 0 2 1 l b 在无线局域网 市场取得了明显的主导地位。 1 9 9 9 年m e e 又推出了8 0 2 1 l a 【3 1 标准。8 0 2 1 l a 工作于5 g h z 频带，采用正交频分复用( o f d m ) 的多载波技术和q f s k 调制，支持的数据速率最高可达5 4 m b p s ，遵循i e e e 8 0 2 1 l a 产品被标记为 晰f i 5 ，目前只有少量基于8 0 2 11 a 的产品面世。 2 0 0 1 年1 1 月i e e e 通过了8 0 2 1 1 9 【4 】标准，也被称为晰f i 。该标准兼容传统的8 0 2 1 1 b 标准， 支持在2 4 g l z 频段下的高速传输同时还支持在5 g h z 频段下提供5 4 m b p s 的传输速率。它利用正 交频分复用( o f d m ，o n h o g o n a lf r e q u e n c yd i v i s i o nm u l t i p l e x i n g ) 作为主流调制技术，提供高速的 数据接入过程。 2 第一章绪论 除了上述的协议标准之外，l e e e 8 0 2 1 1 工作组还正致力于提出更多地解决各方面包括增强q o s 功能、考虑漫游切换、安全访问控制等方面的一系列8 0 2 1 1 扩展标准【5 1 。 i e e e 8 0 2 1l d 标准，它是对8 0 2 1 1 的补充，规定接入点能够使用的可接受功率电平，在允许的信 道上对用户站点传送信息。鉴于5 g h z 频段的使用在不同的国家差别很大，8 0 2 11 d 的诞生将有利于 提高这一频段的使用率； 正e e 8 0 2 1 l e 标准，它的提出目的在于改进和管理w l a n 的服务质量，保证能在8 0 2 1l 无线网络 上进行音频、视频的传输、媒体流的传送、增强的安全应用及移动访问应用等； i e e e 8 0 2 1 l f 标准，定义了接入点之间通讯的过程，为漫游等功能规定接入点问的协议，对接入 点提供必需的信息交换，并大大增强不同厂商接入点的互通性； i e e e 8 0 2 1 1 h 标准，它主要满足欧洲管理机构的需求，增强5 g h z 波段的m a c 规范及高速物理层 规范规定，对工作在这一频段设备提供动态信道选择( d c s ) 和传输功率控制( t p c ) ，增强信道能 源测度和报告机制，以便改进频谱和传送功率管理； i e e e 8 0 2 1 1 i 标准，它加入安全相关内容，采用8 0 2 1 x 和高级加密标准( a e s ) 等技术来克服m a c 层上w e p 保密机制薄弱的问题，并加强安全认证过程的工作； i e e e 8 0 2 1 1 j 则致力于推动5 g 频段w l a n 系统应用的全球化，主要考虑i e e e ，e t s i 的h i p e r l a n 2 和a r j b 等不同标准之间的兼容互通性问题； i e e e 8 0 2 1 1 k 主要针对w l a n 与其它无线网络之间的漫游过程，以及8 0 2 1 l 产品与蓝牙等其它 w l a n 产品的共存问题进行了分析描述； i e e e 8 0 2 1 1 n 草案提出了属于下一代宽带无线网络范畴的w l a n 技术，支持1 0 8 m b s ，甚至 5 4 0 m b s 的更高传输速率。这一全新w l a n 标准的性能大约是当前8 0 2 1 1 解决方案的三倍，从而使 得用户能够在指定时间内无线传输更多数据。 2 0 0 3 年5 月1 2 日，我国国家标准化管理委员会正式颁布了由“中国宽带无线i p 标准工作组” ( w h 眦c h i n a b w i p s o 曙) 负责起草的无线局域网两项国家标准信息技术系统间远程通信和信息交换 局域网和城域网特定要求第1 1 部分：无线局域网媒体访问( m c ) 和物理( p h y ) 层规范【6 】和 信息技术系统间远程通信和信息交换局域网和城域网特定要求第1 1 部分：无线局域网媒体访问 ( m a c ) 和物理( p h y ) 层规范：2 4 g h z 频段较高速物理层扩展规范，它们分别对应于国际标准 8 0 2 1 1 和8 0 2 1 1 b 。正式颁布的无线局域网国家标准，在原则采用国际标准i s o i e c 8 8 0 2 1 1 和 i s 伽e c 8 8 0 2 1 1 b 前提下，充分考虑和兼顾无线局域网产品互联互通的基础上，针对无线局域网的安 全问题，提出了自主的无线认证保密基础设施标准【6 】建议。规定了认证协议、加密算法以及安全关 联等。 2 ) 网络监管技术 网络监管技术首先要获得网络中的数据包，下面介绍了一些获得网络数据包的截获方法【刀。 基于共享式h u b 的网络监听：以太网作为总线型网络，属于共享信道，任台计算机都可以接 收到网络中同一个共享域的所有的数据通讯。在网络接口卡的一般工作方式下，网卡通过一个数据 3 东南大学硕士学位论文 帧过滤器，保留本网络接口的m a c 地址为通讯目的的数据帧和广播数据帧，丢弃所有其它无关的数 据帧。若将网卡工作模式设为混杂模式，即禁用数据帧过滤器功能，那么它就可以捕获网络上所有 的报文和帧。若将主机网卡配置成混杂模式，则它( 包括其软件) 就等价成一个嗅探器( s n i 能r ) 。 基于交换式m 腰的网络监听：交换式m 眉能记住每个口的m a c 地址，以后就该哪个机器接收就 发往哪个口，广播包还是发往所有口，所以交换h u b 下收到的只能是自己的包加上广播包。若想在 交换h u b 下接收他人的包，就要让其发往你的机器所在口。交换h u b 记住一个口的m a c 是通过接收 到来自于那个口的数据后记住其源m a c ，所以可以通过m a c 欺骗交换式h u b 和a r p 欺骗两种办法来 达到交换式网络环境下的监听。 基于主机的网络监听：前面讨论的两种监听方案中都是针对网络监听，但有时候管理员只关心 网络中某台重要的主机，比如一台邮件服务器、一台w 曲服务器或者一台充当路由器或网关功能的 主机，这时可以把原本直接插入该主机的网线改为先插入一h u b ，然后再把该主机和监控设备接入 该 玎j b ，这样就转化为共享式 玎j b 的情况。 基于端口镜像的网络监听：端口镜像( p o nm i 仃o r ) 可以让用户将指定端口或指定。a n 或所有的 流量复制到一个指定的镜像端口。这样如果将监控主机接入这个镜像端口就可以监听所有的流量了。 该功能可以在不干扰用户的情况下监控各端口的传输情况，全盘掌握网络的状态。 目前，已有许多用于网络监听的工具软件，主要包括i s j 。 t c p d 啪p ：t c p d u m p 是一种能够帮助网络管理员通过普通网络卡对网络上的数据流进行分析和诊 断的工具，它能把匹配规则的数据包的包头给显示出来，并随时监听网络上所有流过的数据包，不 管这些数据包的源地址和目的地址是否和本机有关，都能对这些数据进行捕捉，供其他应用进行分 析。因此，可以使用这个工具去查找网络问题或者去监视网络上的状况。w i n d 啪p 是t c p d u m p 在 w i n d o w s 平台上的移植版。 h u n t ：h u n t 是l i n u x 平台上的高级包嗅探和会话劫持工具，它能监视、劫持、重设网络上的t c p 连接，在以太网上使用才有作用，并且含有监视交换连接的主动机制，以及包括可选的a r p 转播和 劫持成功后的连接同步等高级特征。 s n i f i t ：s n i f i t 是由l a w r e n c eb e r k e l e yl a b o r a t o 巧开发的，可运行于s o i 撕s ，s g i 和l i n u ) 【等平台， 它是一款功能强大且使用方便的免费网络监听软件。使用时，用户可以选择源地址和目标地址或地 址集合，选择监听的端口、协议和网络接口等。 国内已有很多企业开发了比较成熟的网络监控软件，它们在截获数据包的基础上，可以对数据 包进行分析，对一些应用协议可以进行复原。例如： a n v v i e w ( 网络警) 网络监控软件是一款企业级的网络监控软件产品。包含局域网上网监控、 邮件监控、聊天监控、b t 禁止、带宽，流量限制、屏幕监视和录象、m s n 新浪u c i c q s k ，e 厂y a h o o 通贸易通厂r m q q 聊天记录、硬件禁止、软件限制、打印监视等等功能。 网路岗适用于企业、学校、政府部门、保密单位以及研究所等，给用户提供监控邮件内容和附 件( 包括w 曲邮件) 、监控上网网站、监控f t p 外传文件、监控t e l n e t 命令、监控聊天、监控上网流量； i p 过滤、端口过滤、网页过滤、封堵聊天游戏；限制外发资料邮件大小；限制网络流量；i p m a c 绑 定；流量计费；截取屏幕等监控功能。 a n y s p y ( 网络警察) 能实时记录局域网内计算机所有收发的邮件、浏览过的网页、f t p 协议上 4 第一章绪论 传下载的文件；规定或限制指定计算机只能执行部分的上网行为、禁止用户访问指定的网站；、制定 非常详细的互联网访问规则、a n y s p y 能自动收集局域网上有关计算机的数据，并根据这些信息解析 出计算机的名称、i p 地址、m a c 地址等信息。 有线网络监管软件已经发展比较成熟，而无线局域网监管软件市场上还非常少见。无线局域网 安全工具如k i s m e t 、晰f i s c 猢e r 等可以判断哪些无线信号是可用的，分析搜集到的数据，寻找潜在 的安全问题或外来的无线设备，判断设备是友好的还是恶意的，从而达到网络监管的效果。但是这 些无线局域网安全工具基本上都是单机版，不适用于对多个无线局域网进行统一的布控和监管，所 以我们研究的无线局域网监管项目具有很强的现实意义。 1 4 本文的研究工作 本文的研究工作和贡献主要包括以下几个方面： 第二章概述了无线局域网监管系统的功能，介绍了网络系统的组成，包括搜集无线报文的监管 终端，管理和控制的监管服务器，以及实现服务器和终端间通信的w l a n x 接口。 第三章介绍了基于i x p 4 2 5 嵌入式平台设计的无线局域网监管终端软件。 ，第四章介绍了专为无线局域网监管设计的w l a n x 接口，从接口定义到接口功能都进行了详细的 讨论，重点研究了w l a n x 接口帧设计，以及与监管服务器和监管终端通信的软件设计。 第五章首先分析了无线局域网m a c 帧结构和t c m p 协议帧结构，为报文的重组和复原打下理 论基础，在此之上详细介绍了各种应用协议的内容，并研究了将各种应用协议报文复原成文件的方 法，包括f t p 、h t t p 、p o p 3 、s m t p 、q q 、m s n 、v o i p 、t e l n e t 协议。 第六章介绍了监管服务器的设计以及系统数据库的定义，给出了最后的设计效果；并分析了监 管系统测试结果。 文章最后讨论了监管系统存在的不足以及进一步研究的方向。 5 东南大学硕士学位论文 第二章无线局域网监管系统总体设计 2 1 无线局域网监管系统的系统功能概述 ， 无线局域网监管系统的预期目标是在无线局域网信息安全监管技术领域提出具有自主知识产权 的理论和技术成果，为在无线局域网中进行内容监管提供理论指导和技术支撑。通过本项目的实施， 开发无线局域网信息安全监管系统。 该监管系统需要实现8 0 2 1 1 b 儋无线局域网数据的监听、截获和解密，并对具体网络应用协议进 行特定内容的提取和信息分析。该监管系统包括三个部分，分别是负责截获数据包的监管终端，负 责传递数据包的1 l l a n x 接口，以及管理员控制管理和数据包解析复原的监管服务器，拓扑结构如图 2 1 所示。该监管系统需要完成以下功能： 8 0 2 11 b 儋无线局域网分组数据包的实时截获功能：截获方案采用纯无线监听模式和无线监听+ 接入点混合模式。纯无线监听模式是指监管终端只作无线局域网监听设备使用，无线监听+ 接入点 混合模式是指监管终端在监听同时担当无线局域网接入点功能。 无线局域网截获数据解密功能：需要在已知密钥的情况下，对无线局域网的w e p 、t k i p 以及 c c m p 加密数据进行解密分析。 无线局域网监管终端和监管服务器间截获数据和控制命令的传输通道功能：实现传输通道的管 理，加密和维护等功能，提供蜂窝移动通信系统警用接口，方便和其他标准监控设备进行互联。 m a c 层数据包经过重组解码，对多种应用层网络协议进行分析复原：包括对p o p 3 、s m t p 、h t t p 、 t e l n e t 、n 限、v o i p 、q q 、m s n 等协议的解析与复原。 2 2 无线局域网监管系统的组成 无线局域网监管系统需要实现三个部分的设计：监管服务器、监管终端和1 l a n x 接口。监管终 端指可以提供无线局域网监听，无线局域网通信数据截获的物理设备。即，监管终端包括无线嗅探 终端和提供无线数据截获功能的无线接入点。监管服务器完成被控目标的管理，收集监管终端上报 的被控目标的事件和通信内容，并对收集到的信息进行解析复原。w l a n x 接口为监管终端与监管服 务器之间的接口，监管服务器通过这个接口接入到监管终端。由于w l a n x 接口与数字蜂窝移动通信 系统警用接口需要保持兼容，我们针对无线局域网的自身特点进行扩展，将实现数字蜂窝移动通信 系统警用接口x 1 、x 2 和x 3 功能。即：实现对被控目标的选定( 告诉监管终端监听哪个被控目标) 、 取消选定和查询已选定的被控目标等操作；实现对监管终端的远程操作功能；上报被控目标的活动 事件：上报被控目标的特定通信内容( 包括：q q 、m s n 、v o i p 、1 | e b 浏览、电子邮件、f t p 等) 。另外， 系统中的被控目标是指得到法律授权，被监管系统监听的无线局域网终端，以及无线局域网接入点， 6 第二章无线局域网监管系统总体设计 被控目标属于网络中的成员，而非监管系统需要设计的部分。 益管终端! 七 图2 1 无线局域网监管系统网络结构图 整个系统由数据捕获，数据编码传输，数据解析复原，系统显示几个步骤实现，分别由监管终 端，1 i l a n x 接口和监管服务器完成。解析流程如图2 2 所示。 。数据捕获：包括数据截获，数据分析和数据存储部分。数据捕获模块是基于1 i b p c a p 程序设计 的，1 i b p c a p 是u n i x 1 i n u x 平台下的网络数据包捕获函数包，大多数网络监控软件都以它为基础。 它包括l i n u x 的底层包捕获机制和过滤器设置方式，并使用b p f 作为其包过滤机制。数据截获部分由 硬件和其接口程序完成，通过网卡驱动程序将无线网卡设为混杂模式( p r o m i s c u o u sm o d e ) ，该模式 能接收到一切通过它的数据，而不管该数据是不是传给它的。数据分析部分需要剥离无线数据包 d l t - i e e e 8 0 2 j l r a d l 0 头部数据，分析网络状态信息，并对加密数据包进行解密。数据存储部分按 源、目标m a c 地址为过滤条件过滤数据包，并以1 i b p c a p 格式存储数据。 数据编码传输：载体采用自行设计的1 l a n x 接口，w l a n x 接口能够实现传输远程控制信息， 以实现对被控目标进行设置、修改、删除、查询和列示，监管终端的功能设置；监管内容和无线网 络情况及活动事件信息的实时上传。为了保证通信的安全，防止未授权的监管服务器接入监管终端， 也防止监管终端向未授权的监管服务器上报信息，w l a n x 接口建立时进行双向身份认证，且接口 7 成 体 气|，d hf 剐 东南大学硕士学位论文 具备加密功能。、礼a n x 接口使用a s n 1 语言设计，传输载体上的数据经过a s n 1 编码传输。 一滩嗍 图2 2 系统解析流程图 数据解析复原：其将无线局域网m c 帧去除c 帧头、i p 包头后，按照应用协议划分，复 原为各种应用协议文件。可解析复原的协议包括：v o i p 协议，q q 协议，m s n 协议，f t p 的协议， t e i ，n e t 协议，s m t p 协议，p o p 3 协议，h t l 甲协议。如将含有h t t p 协议的无线数据包复原为h 缸i l 文件，从含有f t p 协议的无线数据包中复原f t p 协议传输的文件。 数据存储显示：采用a s p + m y s q l 设计，被解析复原的数据被存储在m y s q l 数据库中，管理员以 登陆网站的方式，进行监管操作和结果查看。数据存储显示通过数据库与数据解析复原模块和数据 编码传输模块进行交互。 8 第三章监管终端软件的设计与实现 3 1 概述 第三章监管终端软件的设计与实现 无线局域网监管终端采用的是具备远程监管功能的无线局域网接入点设备，主要包括两个部分： 嵌入式硬件平台和软件部分。嵌入式硬件平台部分包括嵌入式处理器( i x p 4 2 5 ) 及其支持电路、电源 模块电路、存储器模块电路、外围通信模块电路、无线接入硬件模块、c d m a 拨号模块，无线接入 硬件模块又包含m a c 和基带处理电路模块，w i ，a n 射频模块和天线模块。硬件平台实物照片如图 3 1 所示。 图3 1 硬件平台实物照片 软件部分是由嵌入式操作系统模块、m n i p c i 驱动模块、无线网络设备驱动模块、以太网驱动 模块、串口驱动模块、监管软件模块和a p 软件模块组成。软件部分如图3 2 所示，主要包括：嵌 入式l 附u x 操作系统模块：为其它软件模块功能实现提供基本支撑平台；m n i p c i 驱动模块：实 现m 州1 p c i 总线数据传送和控制；串口驱动模块：实现r s 2 3 2 串口驱动，能够通过串口对系统进 行本地配置功能；无线网络设备驱动模块：实现8 0 2 1 1m a c 层的数据收发功能以及支持无线网卡 的监听模式；以太网驱动模块：实现与以太网的数据通信；监听软件模块：实现对无线数据包的截 获及保存；接入点软件模块：实现对接入点的参数配置。 监管终端通过调用无线网络设备驱动模块，虚拟出两个无线设备a t l l 0 和l 【i s ，分别实现监听设 备和接入点功能。其中a f l l o 设备设置为m a s t e r 模式，b s 设备设置为m o n l t o r 模式。通过调用 m a c 层协议栈软件模块，可对a ：c h o 的网络参数进行设定，如协议类型、网络的e s s i d 、加密方式、 密钥、传输速率、m a c 地址过滤表等。通过调用监管软件模块在设备k i s 进行数据采集，并可通过 监管模块中的过滤模块设置数据采集的规则和要求。在采集一定时间后，将采集的数据以l i b p c a p 的格式保存至文件，通过通信口将文件上传至远程监管服务器，然后将文件删除。 9 东南大学硕士学位论文 图3 2 监管终端软件框架图 3 2 监管终端操作系统与驱