（教育技术学专业论文）无线局域网认证机制研究与实践探索.pdf

摘要 由于无线局域网具有部署方便、成本低、速度快、稳定性好等多种优点，自1 9 9 9 年 i e e e 8 0 2 1 1 b 标准颁布以来，在w i f i 组织的大力推动下，无线局域网得到了快速的发展 和广泛的应用。但由于无线局域网利用电磁波在空气中发送和接受数据，数据传播范围难 以控制，因此无线局域网面临着比有线网络更为严峻的安全问题。安全问题直接影响着 w l a n 走入信息化的核心舞台，在电子商务、电子政务、行业应用和企业信息化中发挥 更大的作用。因此，研究无线局域网的安全机制，增强无线局域网的安全性能对无线局域 网的发展具有重要意义，而身份认证则是实现安全的第一步。 本文以无线局域网的认证机制为研究对象，第一部分首先介绍了无线局域网的起源、 实现技术、工作模式及相关标准，对无线局域网的优缺点进行了分析。然后，对当前无线 局网的认证机制，包括s s i d 、m a c 地址过滤、w e p 、8 0 2 1 x 及w a i 进行了较为深入的研 究，指出存在的问题。 第二部分对8 0 2 1 x 认证机制进行了详细的研究，分析了i e e e 8 0 2 1 x 协议、e a p 协议 及r a d i u s 协议的报文结构、执行过程等，并对m d 5 、t l s 、l e a p 、p e a p 及t t l s 等 e a p 的认证方法包括进行了分析与比较。经过分析认为t l s 是最安全的认证方法，但部署 成本较高，p e a p 认证协议在灵活性、兼容性、稳定性以及易部署性方面占有明显优势， 非常适合中小企业及校园网使用。 第三部分在理论研究的基础上，结合校园网的建设，设计并开发了一个基于 i e e e 8 0 2 1 x e a p p e a p 的无线网络认证系统。该认证系统的服务器端采用l i n u x 操作系统， 使用著名的开源软件f r e e r a d i u s 作为认证服务器，认证协议采用p e a p 协议，服务器数 字证书的签发和管理使用o p e n s s l 软件包，用户信息的存储采用m y s q l 数据库。在客户 端方面，本文设计开发了一个8 0 2 1 x 认证客户端程序，将所有复杂的认证过程隐藏在一个 简单友好的用户界面下。 最后，论文对p e a p 协议的执行过程进行了详细的分析，在此基础上指出其存在的缺 点，即容易受到中间人攻击。随后，提出了几种可行的解决方案，并对其中的一种客户端 和服务器验证方案的实现过程进行了详细的介绍。 关键词：无线局域网；认证机制；端口访问控制协议；可扩展认证协议； e a p p e a p 协议 a bs t r a c t b e c a u s eo fc o n v e n i e n td e p l o y m e n t ，l o wc o s t ，q u i c ks p e e d ，g o o ds t a b i l i t ya n dm a n yo t h e r a d v a n t a g e s ，w l a nh a sb e e nd e v e l o p e dr a p i d l ya n da p p l i e dw i d e l yu n d e rt h ep r o m o t i o no ft h e o r g a n i z a t i o no fw i f i ，s i n c et h ep r o m u l g a t i o no fi e e e 8 0 2 1lbs t a n d a r di n 19 9 9 h o w e v e r , b e c a u s eo fw l a nu s i n ge l e c t r o m a g n e t i cw a v e si nt h ea i rt os e n da n dr e c e i v ed a t a , d a t a d i s s e m i n a t i o ni sd i f f i c u l tt oc o n t r o l ，w l a ni sf a c e dw i t hm o r es e v e r es e c u r i t yp r o b l e m st h a nt h e w i r e dn e t w o r k s e c u r i t yi s s u e s i m p a c tw l a no ne n t e r i n g t h ec o r eo ft h es t a g eo f i n f o r m a t i o n i z a t i o na n dp l a y i n gag r e a t e rr o l ei n e c o m m e r c e ，e g o v e m m e n t ，i n d u s t r y a p p l i c a t i o n sa n de n t e r p r i s ei n f o r m a t i o n i z a t i o n t h e r e f o r e , t h es t u d yo fw l a n ss e c u r i t y m e c h a n i s m sa n de n h a n c i n gt h es e c u r i t yp e r f o r m a n c eo fw l a ni ss i g n i f i c a n tt ot h ed e v e l o p m e n t o f w l a n t h ei d e n t i t ya u t h e n t i c a t i o ni st h ef i r s ts t e pt oa c h i e v es e c u r i t y i nt h i st h e s i s ，w l a na u t h e n t i c a t i o nm e c h a n i s mi st h er e s e a r c ho b j e c t t h ef i r s tp a r t i n t r o d u c e st h eo r i g i n ，i m p l e m e n t a t i o nt e c h n o l o g y , w o r kp a r e r n sa n dr e l a t e ds t a n d a r d so ft h e w l a nf i r s ta n da n a l y z e st h ea d v a n t a g e sa n dd i s a d v a n t a g e so fw l a n t h e n ，i ts t u d i e so nt h e c u r r e n tw l a na u t h e n t i c a t i o nm e c h a n i s m s ，i n c l u d i n gt h es s i d ，m a ca d d r e s sf i l t e r i n g , w e p , 8 0 2 1xa n dw a i d e e p l y , p o i n t so u tt h ep r o b l e m sa m o n gt h e m t h es e c o n dp a r ts t u d i e s8 0 2 1x - b a s e da u t h e n t i c a t i o nm e c h a n i s mi n d e t a i l ，a n a l y z e s i e e e 8 0 2 1x ，e a pa n dr a d i u sp r o t o c o l s i m p l e m e n t a t i o np r o c e s s ，p a c k e ts t r u c t u r ea n d c h a r a c t e r i s t i c s ，a n a l y z e sa n dc o m p a r e st h ee a pa u t h e n t i c a t i o nm e t h o d si n c l u d i n gm d 5 ，t l s ， l e a p , p e a pa n dt t l s t l si st h em o s ts e c u r ea u t h e n t i c a t i o nm e t h o da c c o r d i n gt ot h ea n a l y s i s r e s u l t ，b u ti t sd e p l o y m e n ti sh i g h e rc o s t p e a pa u t h e n t i c a t i o np r o t o c o lh a so b v i o u ss u p e r i o r i t y c o m p a r i n gw i t ho t h e rm e t h o d sa tf l e x i b i l i t y , c o m p a t i b i l i t y , s t a b i l i t y , a n de a s yd e p l o y m e n t i ti s v e r ys u i t a b l ef o rs m e sa n dc a m p u sn e t w o r k t h et h i r d p a r tb u i l d s aw i r e l e s sc a m p u sn e t w o r ka u t h e n t i c a t i o ns y s t e mb a s e do n i e e e 8 0 2 1x e a p p e a p ，w h i c hi so nt h eb a s i so ft h e o r e t i c a lr e s e a r c hi nt h ef i r s tf e wc h a p t e r s a u t h e n t i c a t i o ns y s t e mu s e sl i n u xa so p e r a t i n gs y s t e m ，u s e st h ef a m o u so p e n - s o u r c es o f t w a r e f r e e r a d i u sa st h er a d i u ss e r v e r , u s e sp e a pa u t h e n t i c a t i o np r o t o c o l ，u s e so p e n s s lt o g e n e r a t ea n dm a n a g ed i g i t a lc e r t i f i c a t ea n du s e sm y s q l d a t a b a s et os t o r eu s e r s m e s s a g e t h e t h e s i sd e s i g na n dd e v e l o p sa8 0 2 1xc l i e n ta u t h e n t i c a t i o np r o g r a m ，t h ec e r t i f i c a t i o np r o g r a m c o v e r sa l lt h ec o m p l e xw i t haf r i e n d l yu s e ri n t e r f a c e f i n a l l y , t h et h e s i sa n a l y z e st h ep e a pp r o t o c o l si m p l e m e n t a t i o np r o c e s si nd e t a i la n dp o i n t s o u ti t sd i s a d v a n t a g e s ，t h a ti s ，i ts u f f e r sm i d d l e m a na t t a c ke a s i l y s u b s e q u e n t l y , i tr a i s e ss e v e r a l f e a s i b l es o l u t i o n sa n di n t r o d u c e sac l i e n t - s e r v e ra u t h e n t i c a t i o np r o g r a m si m p l e m e n t a t i o n p r o c e s si nd e t a i l k e y w o r d s ：w e a n ； a u t h e n t i c a t i o n ； i e e e 8 0 2 1 x ；e a p ； e a p p e a p i i 曲阜师范大学硕士学位论文原创性说明 本人郑重声明：此处所提交的硕士论文无线局域网认证机制研究与实践 探索，是本人在导师指导下，在曲阜师范大学攻读硕士学位期间独立进行 研究工作所取得的成果。论文中除注明部分外不包含他人已经发表或撰写的 研究成果。对本文的研究工作做出重要贡献的个人和集体，均已在文中已明 确的方式注明。本声明的法律结果将完全由本人承担。 引司砷 嗍l 曲阜师范大学硕士学位论文使用授权书 无线局域网认证机制研究与实践探索系本人在曲阜师范大学攻读硕士 学位期间，在导师指导下完成的硕士学位论文。本论文的研究成果归曲阜师 范大学所有，本论文的研究内容不得以其他单位的名义发表。本人完全了解 曲阜师范大学关于保存、使用学位论文的规定，同意学校保留并向有关部门 送交论文的复印件和电子版本，允许论文被查阅和借阅。本人授权曲阜师范 大学，可以采用影印或其他复制手段保存论文，可以公开发表论文的全部或 部分内容。 作者躲乱凇 刷磴名彩哼 如维秒7 7 ， 砂 厂d 厂o ，f畸丌jjiii【叫1 期 期 无线局域州认证机制彬f 究与实践探索 1 1 课题背景 第1 章绪论 近几年来，随着i n t e r n e t 的迅速发展，人们的工作和生活方式产生了深刻的变化。然 而，人们在适应和享受这些变化的同时，又根据自己的需要提出了新的应用要求。人们希 望可以摆脱传统网络线缆的束缚，随时随地上网娱乐或者移动办公。正是由于这种要求的 存在，使得无线网络在过去几年里得到了巨大的发展。在城市范围内，用户通过 w i m a x ( i e e e 8 0 2 1 6 ) 接入i n t e r n e t ；在企业或公司等局域环境中，人们可以通过 w l a n ( i e e e 8 0 2 1 1 ) 获得无线网络连接；如果通信距离不超过1 0 米，更便捷、更廉价的蓝 牙技术( b l u e t o o t h ，i e e e 8 0 2 15 ) 可以使设备间的无线通信轻松自如。【l 】 由于无线局域网( w l a n ，w i r e l e s sl o c a la r e an e t w o r k ) 具有部署方便、成本低、速 度快、稳定性好等多种优点，自1 9 9 9 年i e e e 8 0 2 1 1 b 标准颁布以来，在w i - f i 组织的大 力推动下，w l a n 得到了快速的发展和广泛的应用，w i - f i 热点发展已具有相当规模。据统 计，至2 0 0 8 年，全球已有1 3 5 个国家共布有约2 4 00 0 0 个免费或付费w i f i 热点。热点 主要分布在欧美、日韩和中国台湾地区，主要部署在的机场、咖啡厅、公司等公共场所或 家庭内部。【2 】表1 1 所示为热点数排名前十位的国家或地区及其拥有的热点数量( 数据来 源：j i w i r e 公司；统计时间：2 0 0 8 年2 月) 。在中国，继北京“无线城市项目2 0 0 8 年6 月底开始试运行后，内地已有十大城市明确了无线城市计划。p a r k sa s s o c i a t e s 调查 公司预测，至2 0 1 2 年中国约3 0 0 0 万宽带家庭用户中超过5 3 的家庭将使用w i f i 。可以 预见，如果中国政府解禁手机w i - f i 功能，中国的无线网络市场将更为庞大。 表1 1 热点数量排名前十位的国家和地区的热点分布情况 排名国家或地区 热点数( 个) l美国1 6 6 6 5 7 2英国3 23 9 7 3法国 2 41 5 4 4德国2 17 8 8 5 韩国 2 10 7 6 6日本1 l0 2 7 7俄罗斯83 7 3 8 两班牙 60 3 6 9意人利54 3 5 1 0 中国台湾 44 1 5 然而，事物总是充满着矛盾的，w l a n 也不例外。自无线局域网诞生之日起，安全漏 洞这个挥之不去的阴影便始终与其灵活便捷的优势共存。目前，在广泛使用的无线局域网 【1 】程立无线局域网中认证机制的研究【d 】郑州：郑州大学，2 0 0 7 1 2 1 周蔚文，俞东慧，孙美艳w i f i 全球商用发展及分析【j 】电信科学，2 0 0 8 ，( 5 ) ：1 9 - 2 0 无线局域网认证机制研究j 实践 ；f 索 标准i e e e 8 0 2 1 1 b 中采用的w e p 安全解决方案，在1 5 分钟内就可被攻破，已被广泛证实。 在全球范围内，由于w l a n 引发的安全事件层出不穷。 在日本，曾经发生过某百货公司基于w l a n 的移动p o s 机因为泄漏消费者隐私，致 使大量客户的信用卡资料被黑客窃取的事件； 在英国，很多黑客驾车沿街扫描( w a r d r i v i n g ) 周围建筑物中的无线局域网信号，到 处截取保密信息； 在美国，负责研究核武器等国防技术的l a w r e n c el i v e r m o r e 国家实验室关闭了已有的 两个无线计算机网络并宣布禁用无线局域网，原因在于他们担心无线设备中存在的安全隐 患使其容易遭受到黑客的攻击从而丢失机密信息； 在雅典，2 0 0 4 年，w i f i 网络因为安全问题被奥运会拒之门外； 在中国，用户因为i n t e l 公司的迅驰无线上网技术存在安全问题而将其告上法庭。 j u p i t e r 市场研究公司曾对一些企业进行了一次调查，9 0 的企业经理认为安全问题是 影响他们使用w l a n 的首要因素。 以上事例说明在无线局域网产业迅猛发展的同时，其所面临的安全问题瓶颈也日益突 出，并已成为制约该产业进一步发展的主要障碍。【1 】 所以，对于无线局域网来说，建立一套包含用户安全认证、接入控制、数据加密的安 全体制就显得尤为重要。其中，用户认证则是整个安全机制的基础。因此，研究和建立无 线局域网安全认证机制对于创建一个安全可靠的通信环境，促进无线局域网的健康发展有 着十分重要的意义。 1 2 研究现状 在目前世界上主流的无线局域网协议i e e e 8 0 2 1 l b 中，规定了两种认证机制：开放系 统认证和共享密钥认证。开放系统认证就是允许任何用户接入到无线网络中来。从这个意 义上来说，实际上并没有提供对数据的保护。而共享密钥认证是指移动设备和a p 共享一 个密钥，a p 发出质询文本，移动设备用w e p 和密钥加密该质询文本，并将结果返回给 a p ，a p 将此结果与自己用密钥计算的结果进行比较，从而确定访问是否合法。这看上去 不错。然而，实际上，w e p 的认证方法不仅不能进行认证，反而可能会帮助敌人攻击加密 密钥。f 2 】 w i f i 组织后来针对w e p 存在的安全问题提出了改进协议，即w i f i 保护访问协议 ( w p a ，w i f ip r o t e c t e da c c e s s ) 。其中引入了8 0 2 1 x 访问控制协议、扩展认证协议e a p ( e x t e n s i b l ea u h e n t i c a t i o np r o t o c 0 1 ) 、临时密钥完整性协议t k i p ( t e m p o r a lk e yi n t e g r i t y p r o t o c 0 1 ) 、消息完整性认证码m i c ( m e s s a g ei n t e g r i t yc o d e ) 等安全机制。但是也有一些研究 【l 】为网络更安伞再次吹响w a p i 的进军号【e b o l 】，h t t p ：w w w w a p i a o r g n e i y e _ 0 3 a s p ? i d = 1 5 7 4 【2 j 周正。无线局域嘲安全实务w p a 与8 0 2 1l i m 北京：人民邮电出版社，2 0 0 6 2 无线局域喇认证机制研究1 j 实践探索 指出了w p a 应用中存在的不足。l j j i e e e 于2 0 0 4 年7 月正式颁布了w l a n 安全规范8 0 2 1 l i ，其中定义了强健的安全网 络r s n ( r o b u s ts e c u r i t yn e t w o r k ) ，除了包含8 0 2 1 x 、e a p e a p o l 等协议，还引入了包括计 数模式密码分组链消息认证码协议( c c m p ，c o u n t e r - m o d e c b c m a cp r o t o c 0 1 ) ，对称分组 加密算法a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) 等加密机制。目前，业界普遍认为r s n 解决 了w e p 、w p a 中存在的安全缺陷，实现了w l a n 的安全需求；同时，一些研究也指出了 其存在的安全隐患并提出了改进或正确配置的建议。【l j 在无线局域网安全机制的研究和标准制订上，我国也取得了一些成果。以西电捷通公 司、西安电子科大等高校发起组织的中国宽带无线i p 标准工作组，在2 0 0 3 年提出了该领 域我国第一个自主知识产权的w l a n 安全标准二一无线局域网鉴别与保密基础结构 ( w a p i ，w l a na u t h e n t i c a t i o na n dp r i v a c yi n f r a s t r u c t u r e ) ，并申请了专利。也有一些研究指 出了w a p i 中w a i 认证机制存在着一些问题。团 在无线局域网安全技术研究领域处于领先的主要是美国和欧洲的组织，特别是大学。 如美国的c a r n e g i em e l l o nu n i v e r s i t y ，j o h n sh o p k i n su n i v e r s i t y ，s u n yb u f f a l o ，u n i v e r s i t yo f m a r y l a n d ，a u b u r nu n i v e r s i t y ，英国的m a n c h e s t e ru n i v e r s i t y 等。 1 3 研究内容 本文的目标是在对无线局域网及其认证机制进行理论研究的基础上，实现一种安全 的、适合校园网的无线局域网认证系统，具体内容如下： 1 无线局域网的相关理论研究。 2 对无线局域网的各种认证机制进行分析和研究，找出存在的问题。 3 8 0 2 1 x 认证机制理论研究 4 基于8 0 2 1 r d e a p p e a p 认证系统的设计实现研究 5 分析和研究p e a p 协议执行过程、存在的漏洞以及相应的解决方案。 f 3lg l e h e m b r e w i f is e c u r i t y - w e p , w p a a n dw r a 2 j h a k i n 9 ，2 0 0 6 ，1 4 ：2 1 5 1 2 1c h e a n a l y s i so f s e c u r i t yp r o t o c o l sf o rw i r e l e s sn e t w o r k s d 1 u s ：s t a n f o r du n i v e r s i t ys t a n f o r d ，2 0 0 6 【2 】张帆，马建峰w a p i 认证机制的性能和安伞性分析【j 】西安电子科技大学学报( 自然科学版) 2 0 0 5 ，( 4 ) ：2 1 3 3 无线局域网认证机制研究与实践探索 第2 章w l a n 及其认证机制概述 2 1w l a n 概述 一直以来，有线线缆一直在互联网中占据统治地位。然而，随着i n t e r n e t 的迅猛发展， 以及便携式电脑、p d a ( p e r s o n a ld a t aa s s i s t a n t ) 等移动智能终端的同益普及，人们对网络 通信的需求也不断提高，希望打破不同的地域或客观条件的制约，可以不论在何时、何地、 与任何人都能够进行包括数据、话音、图像等任何内容的通信，于是无线网络技术应运而 生。 无线网络可以分为不同的种类。按照作用范围，可以分为无线广域网( 帆n ) 、无 线局域网( w “蝌) 、无线个人网( w 蝌) 。w w a n 以蜂窝系统为代表，包括目前广泛使 用的g s m 、c d m a 1 ( i s 9 5 ) 、p d c 等第二代系统( 2 g ) 以及g p r s 、c d m a 1 x 、w c d m a 、 c d m a 2 0 0 0 和t d s c d m a 等第2 5 代( 2 5 g ) 或第3 代系统( 3 g ) 。t t l w l a n 主要包括i e e e 8 0 2 1 1 和e t s i 制定的h i p e r l a n 两个标准系列。w p a n 的代表是用于小范围设备互联的 无线标准蓝牙( b l u e t o o t h ) 。w l a n 因为具有成本低、带宽高、传输稳定等优点，使 它成为目前众多移动设备厂商关注的热点，目前已被广泛部署在家庭、办公室、机场、咖 啡厅等公共场所。 2 1 1w l a n 的概念 无线局域网( w i r e l e s sl o c a la r e an e t w o r k ，简称w “悄) 是在有线网的基础上发展起 来的以无线信道作为传输媒介的一种计算机局域网络。无线局域网具有很好的移动性，能 快速、方便地解决有线方式不易实现的网络连接问题。 1 无线局域网的起源 无线局域网的最早应用，可以追朔到五十年前的第二次世界大战期间，当时美国陆军 就开始使用无线电信号进行资料传输，并且使用了较高的加密技术。1 9 7 1 年，夏威夷大学 ( u n i v e r s i t yo f h a w a i i ) 的研究人员创造了第一个基于封包式技术的无线电通讯网络，称为 a l o h n e t 网络，这个网络被认为是最早的无线局域网络。 2 无线局域网的实现技术 实现无线局域网的关键技术主要有：红外线、跳频扩频( f h s s ) 和直接序列扩频( d s s s ) 、 正交频分多路复用( o f d m ) 以及高速直接序列扩频( h r d s s s ) 。【2 1 ( 1 ) 红外线局域网采用0 8 5 或者o 9 5 微米波段上的漫射传输，支持i m 或2 m b s 数 据速率，其最大优点是不受无线电干扰，且红外线的使用不受国家无线管理委员会的限制。 然而，由于红外线对非透明物体的透过性极差，且带宽较低，容易受到太阳光的干扰等， i l l 钱进无线局域网技术与应用【m 】北京：电子工业h 版社，2 0 0 4 ( 2 1i e e e 驯8 0 2 1ib w i r e l e s sl a n m e d i u ma c c e s sc o n t r o l ( m a c ) a n dp h y s i c a ll a y e r ( p h y ) s p e c i f i c a t i o n sh i g h e rs p e c d p h y s i c a ll a y e re x t e n s i o ni nt h e2 4 g h zb a n d s 4 无线局域网认证机制研究j 实践探索 因此并不是一种很普通的选择方案。 ( 2 ) f h s s 局域网使用了7 9 个信道，每个信道的宽度为1 m h z 。它使用一个伪随机数 发生器来产生调频序列，如果入侵者不知道调频序列及停延时间就不可能窃取信号，从而 提供了一种安全性。并且f h s s 提供了很好的抗多径衰减能力，对无线电干扰也不敏感， 使得它非常适用于建筑物之间的链路上，其缺点是带宽较低。 ( 3 ) d s s s 局域网可在很宽的频率范围内进行通信，支持1 m 或2 m b s 数据速率。它 用高速率的伪噪声码序列与信息码序列模二加后的复合码序列去控制载波的相位而获得 直接序列扩频信号，即将原来较高功率、较窄的频率变成具有较宽频的低功率频率，以在 无线通信领域获得令人满意的抗噪声干扰性能。 ( 4 ) o f d m 局域网是第一个高速无线局域网8 0 2 1 l a 所采用的技术，在更宽的5 g h z i s m 频段中速度可达5 4 m b p s 。它将信号分割成很多个窄的频段，可以更好的避免窄带干 扰，以及有可能使用非邻接的频段。采用基于相移调制的复杂的编码系统。 ( 5 ) h r - d s s s 局域网是另一种扩频技术，在2 a g h z 频段内速度可达1 1 m b p s 。虽然 较o f d m 要慢一些，但它的范围却是前者的7 倍左右。 3 无线局域网的工作模式 无线局域网由无线网卡、无线接入点( a c c e s sp o i n t ，a p ) 、计算机和有关设备组成。采 用单元结构，每个单元称为一个基本服务组( b a s i cs e r v i c es e g m e n t ，b s s ) 。每个b s s 的工 作模式分为a d - h o c 模式和i n f r a s t r u c t u r e 模式。f l j a d h o c 网络是一个独立的b s s ，支持无线站点之间点对点的相互通信。网络中没有 a p 和中枢链路基础结构，不能与有线网络连接，如图2 1 所示。这种网络建网容易、费用 较低且抗毁性好，任意两台电脑只要互相都在彼此的网卡通讯范围内就可以建立一个独立 的自组网络。但是当网络中站点数量过多时，信道竞争就成为限制网络性能的要害，而且 为了满足任意两个站点可直接通信，站点布局范围受环境限制较大。a d h o e 网络一个很好 的应用就是在公司内部召开会议时，每个员工只要带着自己的笔记本电脑到会议室就可以 构建起一个无线网络，共享公司的一些文件或信息。 无线局域网的另一种网络结构就是基础结构网络( i n f r a s t r u c t u r en e t w o r k ) ，如图2 2 所 示。大多数无线局域网都采用了这种网络结构。基础结构网络允许无线用户通过a p 接入 有线网络共享有线网络的资源。a p 覆盖的区域内与其连接的无线站点以及其它相关的设 备组成一个基本单元b s s ，多个基本单元可以组成一个扩展服务组e s s ( e x t e n d e ds e r v i c e s e t ) 。无线客户端可以在整个e s s 中使用网络资源。这类网络结构的弱点就是抗毁性差， 如果a p 发生故障可能导致全网络瘫痪。另外，由于需要使用a p ，构建网络的成本也需要 提高。 f i ( 美) g e i e rj 无线局域嘲【m 1 北京：人民邮电i 版社，2 0 0 1 5 无线局域网认证机制研究j 实践探索 节点节点节点 图2 1a d - h o c 模式图2 2i n f r a s t r u c t u r e 模式 2 1 2w l a n 的特点 与有线网络相比，无线局域网的优点主要体现在以下几个方面：【” ( 1 ) 安装便捷。无线局域网的建立免去或减少了网络布线的工作量，一般只需安装 一个或多个接入点( a p ) 就可以建立局域网。 ( 2 ) 使用灵活。由于无线局域网没有线缆的限制，网络管理员想要增加工作站或重 新配置工作站变得非常容易。 ( 3 ) 经济节约。有线网络的设计要求规划者尽可能地考虑未来发展的需要，这往往 导致出现大量利用率较低的信息点。而一旦网络的发展超出了设计规划，进行网络改造又 要花费较多费用，w l a n 的出现可以避免或减少以上情况的发生。 ( 3 ) 容量大。在i e e e 8 0 2 。u 中，一个无线网络可以容许最多8 0 个用户的接入。而有 线网络就要受到h u b 接口数目，以及布线长度等等的众多限制了。 ( 4 ) 易于扩展。w l a n 有多种配置方式，能胜任从只有几个用户的小型局域网到上 千用户的大型网络，并且能够提供像“漫游( r o a m i n g ) ”等有线网络无法提供的特性。 然而，由于采用公用电磁波作为信息传输的载体，与有线网络相比，w l a n 又有着与 生俱来的安全隐患： ( 1 ) 信息易泄露。由于电磁波是共享的，这就为窃取信号并通过窃取信号进行解码 提供了方便。 ( 2 ) 容易入侵。为了能够使用户发现无线网络的存在，无线网络必须发送有特定参 数的信标帧，这就给攻击者提供了必要的网络信息。 ( 3 ) 容易遭受a p 欺骗。由于无线网络易于配置，攻击者可以轻易的将自己伪装成 a p ，然后让移动节点尝试登陆到自己的网络，通过分析发现密钥或口令。 ( 4 ) 易受拒绝服务攻击( d o s ) 和干扰。攻击者可以通过发送跟无线网络相同频率的干 扰信号来干扰网络的正常连接，使正常用户无法访问网络资源，或通过a p 进行泛洪攻击， 使a p 拒绝服务，造成整个无线网络的瘫痪。 【1 1 彭祺基于8 0 2 i x e a p 的无线校园网安全认证研究与应用【d 】南昌：南昌大学，2 0 0 7 6 无线局域湖认证机制研究j 实践探索 2 1 3w l a n 的标准 无线局域网协议标准目前主要有i e e e 8 0 2 1 1 标准、和h i p e r l a n 标准。 1 ie e e 8 0 2 ”标准 i e e e 8 0 2 1 1 标准于1 9 9 7 年6 月2 6r 制定完成，1 9 9 7 年1 1 月2 6 日正式发布。i e e e 8 0 2 1 l 无线局域网标准承袭i e e e 8 0 2 系列，对无线局域网的媒体访问控制层( m e d i u ma e e e s s c o n r t o l ，m a c ) 及物理层p h y ( p h y s i c a l ) 技术进行了规范。目前，i e e e 8 0 2 1 1 标准系列主要 有以下一系列协议。 i e e e 8 0 2 1 l i e e e 8 0 2 1 1 标准定义了三种不同类型的物理层，一种红外线( i r ) 基带物理层和两种无 线频率( r f ) 物理层。由于存在可视线路的限制，红外线( i r ) 基带物理层的应用有限。无线 频率物理层分为工作在2 4 g h z 频段上的调频扩展频谱( f h s s ) 方式以及直接序列式扩频 ( d s s s ) 方式两种。为了适应无线介质的特点m a c 子层采用了载波侦听多点接入避免冲撞 协议c s m a c a ( c o l l i s i o ns e n s em u l t i p l ea c c e s sw i t hc o l l i s i o na v o i d a n c e ) 。三种物理层可提 供1 m b p s 或2 m b p s 的工作速率，其中d s s s 技术为主流。由于8 0 2 1 1 标准的产品存在着 传输速率慢、成本高等缺点，制定一种高速无线局域网的新标准就显得非常必要。 i e e e 8 0 2 1 1 b i e e e 8 0 2 1 1 b 于1 9 9 9 年9 月被正式批准，仍然使用开放的2 4 g h z 频段。它是在 i e e e 8 0 2 1 1 的基础上的进一步扩展，解决了8 0 2 1 1 速度慢的问题，同时提高了传输的可靠 性。8 0 2 1 1 b 标准只定义了一种直接序列扩频d s s s 物理层，采用了4 比特或8 比特补码键 控c c k ( c o m p l i m e n t a r yc o d ek e y i n g ) 编码技术和用正交相移键控q p s k ( q u a d r a t u r ep h a s e s h i f tk e y i n g ) 调制技术，最高可提供11 m b p s 的传输速率。由于在8 0 2 1l b 中存在着一些模 糊或定义不完整的地方，不同的制造商的无线产品可能会出现互操作性问题，一些主要的 制造商( 包括c i s c o 、i b m 、i n t e l 、3 c o r n 、n o k i a 和m i c r o s o r 等) 组建了“w i f i 联盟， 对制造商提供的产品进行测试，即为“w i f i 认证。 i e e e 8 0 2 1 l a i e e e 8 0 2 1 l a 于1 9 9 9 年底被批准，工作5 g h z 频段上，支持5 4 m b p s 的传输速率。除 工作频段外，8 0 2 1 l a 另一项重大的改进就是采用了正交频分多路复用o f d m ( o r t h o g o n a l f r e q u e n e yd i v i s i o nm u l t i p l e x i n g ) 编码技术替代了d s s s 编码技术。8 0 2 1 l a 可根据无线信道 的质量自动调整数据的传输速率，共有8 种传输速率分别为：5 4 m b p s 、4 8 m b p s 、3 6 m b p s 、 2 4 m b p s 、1 8 m b p s 、1 2 m b p s 、8 m b p s 和6 m b p s 。8 0 2 1 l a 与8 0 2 1 l b 两个标准都存在着各自 的优缺点，8 0 2 1 1 b 的优势在于价格低廉，但速率较低( 最高1 1 m b p s ) ；而8 0 2 1 1 a 优势在 于传输速率快且受干扰少，但价格相对较高。另外，8 0 2 1 l a 与8 0 2 1 1 b 工作在不同的频段 上，不能工作在同一a p 的网络里，因此8 0 2 1 1 a 与8 0 2 1 1 b 互不兼容。 i e e e 8 0 2 1 i g 7 无线局域蚓认证机制研究! j 实践探索 由于8 0 2 1 l b 和8 0 2 1 1 a 工作住不同的频段上，两者不能兼容，使得8 0 2 1 l b 产品用户 的升级成了难以解决的问题。i e e e 于2 0 0 3 年6 月发布了8 0 2 1 1 9 标准。8 0 2 1 l g 标准建构 在8 0 2 11 b 所使用的2 4 g h z 工作频段，但却采用了8 0 2 1 1 a 所使用的o f d m 调制技术。这 样，在把传输速度提高到2 4 m - - 5 4 mb p s 的同时，又保证了能够与8 0 2 1 l b 的、i f i 系统 互相连通。这样就使得原有的使用i e e e 8 0 2 1 l b 产品的w l a n 系统可以平滑的向高速无线 局域网过渡，使用户不必立即增加投资去更新原有的设备。 i e e e 8 0 2 1 1 i 为了解决w l a n 日益严峻的安全问题，i e e e 于2 0 0 4 年6 月发布了8 0 2 1 l i 。8 0 2 1 1 i 对w l a n 的m a c 层进行了修改与整合，定义了严格的加密格式和鉴权机制，以改善w l a n 的安全性。主要包括两项内容：w i f i 保护访问( w p a ) 和强健安全网络( r s n ) 。它为 i e e e 8 0 2 1 l 网络增加了一组新的数据保密协议和一组管理协议。在新的数据保密协议中包 括两个协议，一个完全基于a e s 的协议，要求用户完全更新设备；另外一个协议t k i p ， 可以在现有的设备上使用，为用户提供一个过渡时期。在安全管理协议中，则引入了 i e e e s 0 2 1 x ，使得w l a n 的认证过程更为严格。 i e e e 8 0 2 1l e f i e e e 8 0 2 1 i e 标准对w l a nm a c 层协议提出改进，以支持多媒体传输，同时也提供 了服务质量保证q o s 机制。i e e e 8 0 2 1 l l 定义访问节点之间的通讯，支持i e e e 8 0 2 1 1 的接 入点互操作协议( i a p p ) 。 2 h i p e r l a n 标准 h i p e r l a n 是一种在欧洲应用的无线局域网通讯标准的一个子集。由两种规格： h i p e r l a n l 和h i p e r l a n 2 。这两种标准均被欧洲电信标准协会( e t s i ) 采用。 h i p e r l a n 标准提供了类似于i e e e8 0 2 1 1 无线局域网协议的性能和能力。h i p e r l a n l 工作5 g h z 频段上，上行速率可达2 0 m b p s ，采用g m s k ( 调制前高斯滤波的最小频移键 控) 技术。h i p e r