（计算机系统结构专业论文）宽带无线ip集成安全接入技术研究与设计.pdf

摘要 摘要 随着各种类型可移动用户终端的普及，宽带无线网络的应用以其灵活 便性得以迅速发展。宽带无线网络接入技术是其中一项重要研究的内容。 全快速的接入宽带无线网络是目前急需解决的问题。当前，宽带无线网络 术标准不统一、用户难以接入异构网络，导致了网络安全管理配置难，设 复杂和投资重复等诸多问题。 本文针对宽带无线网络的安全机制及集成接入认证进行了研究。首先 宽带无线网络的安全特征和需求，并介绍了目前国内外宽带无线网络的安! 无线网络所受到的安全威胁及相关协议采用的安全措施。 其次，以无线局域网为基础，详细分析了现有的几种无线网络协议及 机制，包括i e e e8 0 2 1 l ，新一代无线局域网安全标准i e e e8 0 2 1 l i ，宽带 入标准i e e e8 0 2 1 6 ，我国无线局域网国家标准w a p i ，以及第三代移动通t 并分析这些协议在保护用户安全接入方面的功能及采取的安全策略和算法 t k i p 加解密过程，8 0 2 1 x 认证流程，e a p 认证过程等，阐述了由于单向 w e p 协议安全缺陷和静态密钥分配等原因导致的宽带无线网络的不安全性 本文提出了宽带无线网络集成认证体系结构的设计方案，旨在实现安 认证协议上的集成，解决认证上的互通性问题，使用户可以自适应地安全 用不同技术体制的宽带无线网络。详细描述了w l a n 集成认证平台在r l i n u x 操作系统中的实现，并进行相关实验验证。结果表明集成认证平台设 切实可行，实现了多种协议的自适应接入。 关键字：宽带无线网络安全协议集成认证 a b s t r a c t a b s t r a c t a sv a r i o u st y p e so f m o b i l ec f i e n t sb e c o m e s p o p u l a r , t h ea p p l i c a t i o n so f b r o a d b a n d w i r e l e s sn e t w o r k sd e v e l o pr a p i d l yb e c a u s eo fi t sa g i l i t ya n dc o n v e n i e n t t h ea c c e s s t e c h n o l o g yi s o n eo ft h ei m p o r t a n ti s s u e s h o wt oa c c e s st h eb r o a d b a n dw i r e l e s s n e t w o r k ss e c u r i t l ya n dq u i c k l yc o m e st ob eo n eo f t h em a i np r o b l e m sn o w a d a y s t h es t a n d a r di sn o tu n i f i e da n dt h eu s e rh a sd i f f i c u l t yi na c c e s s i n gh e t e r o g e n e o u s n e t w o r k , w h i c he a u s e sm a n yp r o b l e m s ，s u c ha sd i f f i c u l ts e c u r i t ym a n a g e m e n t , i n c o n v e n i e n tu s a g e ，c o m p l e xd e v i c em a n a g e m e n ta n dr e p e a t e di n v e s t m e n t t h i st h e s i sf o c u s e so nt h es e c u r i t ym e c h a n i s ma n di n t e g r a t e da c c e s sa u t h e n t i c a t i o n o ft h ew i r e l e s sn e t w o r k s f i r s t l y , w ea n a l y z et h es e c u r i t yf e a t u r e sa n dr e q u i r e m e n t so f w l a n as u r v e yo ft h ec u r r e n ts t a t eo ft h e s e c u r i t ym e c h a n i s mi nt h ew i r e l e s s b r o a d b a n dn e t w o r k sa th o m ea n da b r o a di s p r e s e n t e d s e c u r i t yt h r e a tf a c e db yt h e w i r e l e s sn e t w o r k sa n ds e c u r i t ) rm e t h o d se m p l o y e db yt h er e l e v a n tp r o t o c o l sa r ea l s o a n a l y z e d s e c o n d l y , c o m p a r a t i v es t u d yo ft h ew i r e l e s sn e t w o r k sp r o t o c o l sa n ds e c u r i t y m e c h a n i s m sa r ec a r r i e do u t ；i n c l u d i n gi e e e8 0 2 1 1 ，t h en e w g e n e r a t i o nw l a ns e c u r i t y s t a n d a r di e e e8 0 2 1 1 i , t h eb r o a d b a n dw i r e l e s sa c c e s ss t a n d a r di e e e8 0 2 1 6 ，o i u n a t i o n a ls t a n d a r dw d la n dt h et h i r dg e n e r a t i o nm o b i l ec o m m u n i c a t i o n ss y s t e m s i ti s a l s od e m o n s t r a t e dt h a tt h ea u t h e n t i c a t i o na n de n c r y p i l o nm e c h a n i s m ss p e c i f i e db yt h e s e s t a n d a r dc a n n o tp r o v i d ee n o u g hs e c u r i t yg u a r a n t e e st ot h ew i r e l e s sn e t w o r k s ，s u c ha s o n e - w a ya u t h e n t i c a t i o n , w e pp r o t o c o la n ds m i l ek e yd e r i v a t i o nw h i c hm a yc a u s e v a 五o u sk i n d so f a t t a c k st ot h ew i r e l e s sn e t w o r k s f i n a l l y , an e ws c h e m eo fi n t e g r a t e da u t h e n t i c a t i o na r c h i t e c t u r ef o rt h ew i r e l e s s n e t w o r k si s p r o p o s e d i t c a ni m p l e m e n tt h e i n t e g r a t i o no ft h e s e c u r er e c e s s a u t h e n t i c a t i o np r o t o c o l sa n ds o l v et h ep r o b l e mo fi n t e r c o n n e c i l o no fa u t h e n t i c a t i o n w i t hs u c hs c h e m ee m p l o y e d ，t h eu s e l c a na c t r e s sw i r e l e s sn e t w o r k so fv a r i o u st y p e s a d a p t i v e l y t h ei m p l e m e n to ft h es c h e m ei nr e dh a tl i n u xi sd i s c u s s e di nd e t a i l s s i m u l a 垃o i l sa r ed o n et ot e s tt h es c h e m ea n dt h er e s u l t ss h o w st h a to l l rs c h e m ew o r k s w e l la n dc a l li m p l e m e n ta d a p t i v ea c c e s st ov a r i o u sn e t w o r k sp r o t o c o l s k e yw o r d s ：b r o a d b a n dw i r e l e s sn e t w o r k s ，s e c u r i t yp r o t o c o li n t e g r a t e d a n t h e n t i c a t i o ns c h e m ea r c h i t e e t i r e 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文叶1 特别力以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贞献均己在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名j 粝 日期 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校n j 以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文a ( 保密的论 文在解密后遵守此规定) 本学位论文属于保密在年解密后适用本授权书。 本人签名 导师签名 王礁日期：丝生竺 日期 第1 章绪论 第1 章绪论 无线局域网( w i r e l e s sl a n ，w l a n ) 技术可以非常便捷地以无线方式连接网络 设备，人们可随时、随地、随意地访问网络资源。在推动网络技术发展的同时， 无线局域网也在改变着人们的生活方式。无线局域网是新世纪无线通信领域最有 发展前景的技术之一。目前，w l a n 技术已经日渐成熟，应用日趋广泛与有线 网络相比，它有着使用灵活、易于扩展和经济节约等特点。 本章首先介绍了无线局域网的发展以及国内外的发展趋势，接着对无线局域 网安全的发展现状进行了描述，最后，阐述了本文的研究目的和研究的内容。 1 1宽带无线网络标准 1 1 1 无线局域网 无线局域网是计算机网络与无线通信技术相结合的产物，在不采用传统电缆 线的同时，提供传统有线局域网的所有功能，网络所需的基础设施不再需要埋在 地下或隐藏在墙里，网络却能够随着需要移动或变化。无线局域网是在有线局域 网的基础上通过无线h u b 、无线接入节点( a c c e s sp o i n t ，a p ) 、无线网桥、无线网 卡等设备使无线通信得以实现。 从八十年代后期开始，美国联邦通信委员会( f c c ) 对无线电的计算机通信开放 了无需申请许可证就可以使用的2 4 4 3 i s m ( i n d u s l r i a l ，s c i e n t i f i ca n d m e d i c a l ) 频段， 使得无线网络的研究成为通信领域的一个热点。1 9 9 7 年6 月i e e e8 0 2 1 1 协议标准 出刨“，这是无线局域网发展史上的一个里程碑。该标准定义物理层和媒体访问控 $ 0 ( m a c ) 层规范，但其传输数据的最高速率限制在2 m b p s ，因此在市场上的使用 也受到了限制。 为了解决8 0 2 1 1 标准在数据传输速率和传输距离限制的问题，i e e e8 0 2 1 1 标 准工作委员会又先后发布了8 0 2 1 l b t 3 1 、8 0 2 1 1 a 【2 l 标准。1 9 9 9 年9 月发布的8 0 2 1 i b 标准，主要是工作在2 4 g h z 频段的高速物理层规范，支持5 5 m b p s 和ll m b p s 两 种速率。8 0 2 1 i b 实际上已经成为w l a n 市场上的主流技术。 尽管8 0 2 1 l b 支持l l m b p s 的传输速率，但由于实际传输速率仅能在5 m b p s 左 右，还不能满足口语音、视频数据流、视频会议以及数据密集企业的需求。2 0 0 0 年发布的8 0 2 1 l a 标准改变了这种状况，它工作在5 g h z u - n i i 频带。物理层速率 5 4 m b p s ，传输层可达2 5 m b p s ，能平滑地和常规局域网特别是交换式主干网集成。 8 0 2 1 l a 物理层的调制方式为正交频分复用( o f d m ) ，该技术可帮助提高速度和改 进信号质量，并可克服干扰。 宽带无线i p 集成安全接入技术研究弓设计 由于市场上的主流技术是8 0 2 1 1 b ，并且8 0 2 1 1 a 不能和8 0 2 1 l b 兼容。2 0 0 1 年1 1 月1 5 日，i e e e 试验性地批准一种新技术8 0 2 1 1 9 4 】。该技术可以提升家庭、 公司和公共场所的无线互联网接入速率，使无线网络每秒传输最大速度可达 5 4 m b p s ，是现在通用的8 0 2 1 l b 的五倍，并且能够与8 0 2 1 1 b 标准兼容。 i e e e8 0 2 1 1 9 标准方案工作在2 4 g h z 频段上。i e e e8 0 2 1 1 9 中规定的调制方 式有两种，包括5 g h z 频带w l a 酽i e e e8 0 2 1 1 a ”中采用的o f d m 与i e e e8 0 2 1 1 b 中采用的c c k 。通过这两种调制方式，既达到了用2 4 g h z 频段实现i e e e8 0 2 1 1 a 水平的数据传送速度，也确保了与1 e e e8 0 2 1 l b 产品的兼容。 为弥补带宽的巨大消耗，i e e e 提出了8 0 2 1 1 的增强型标准一一8 0 2 1 l e 。 8 0 2 1 l e 标准增加了对服务质量( q u a l i t yo fs e r v i c e ，q o s ) 的定义，旨在保证语音和 视频等高带宽应用的通讯质量。此外，还有8 0 2 1 l f 5 】标准定义了一套称之为 i a p p ( i n t e r - a c c e s sp o i n tp r o t o c 0 1 ) 的协议，以实现不同供货商的接入点a p 间的互操 作性。8 0 2 1 l i t 6 】标准对8 0 2 1 l m a c 层在安全性方面的增强，它与8 0 2 1 x 叶基于端 口的访问控制协议，p o r t - b a s e dn e t w o r ka c c e s sc o n t r o lp r o t o c 0 1 ) 为w l a n 提供认 证和安全机制。 1 1 2w i - f i w i f i ，即w i r e l e s sf i d e l i t y 的缩写，称之为无线保真，是短距离无线通讯技术。 该技术使用的是2 4 g h z 附近的频段( 该频段目前尚属没有许可的无线频段) 。目前 w i f i 技术所基于的标准有三个，分别是i e e e8 0 2 1 l a 、i e e e8 0 2 1 1 b 和i e e e 8 0 2 1 l g 。不仅其传输的有效距离很长，而且速度还高达1 1 m b p s ，并且与各种8 0 2 1 1 d s s s 设备兼容，而大受青睐。 目前，t g ns y n c 和w w i s e 组织在2 0 0 5 年底向i e e e 提交了整合后的8 0 2 1 1 n 提案，希望可以成为下一代w i f i 标准。8 0 2 1 l n 提供的实际传输速度最高可以达 到5 4 0 m b p s ，目前最快的8 0 2 1 l g 尽管杯称5 4 m b p s ，但是实际传输速度一般只有 一半。8 0 2 1 l n 最终规范将在2 0 0 6 年年初推出。 1 1 3 第三代移动通信系统( 3 g ) 第三代移动通信系统 8 ，即宽带c d m a 技术，最早由美国高通公司推出，近 几年由于技术和市场等多种因素得以迅速发展，目前全球用户已突破5 0 0 0 万。其 主流标准有w c d m a 、c d m a 2 0 0 0 和t d s c d m a 三种。其中，w c d m a 和 c d m a 2 0 0 0 采用频分双s e ( f d d ) 方式，扩频码速率为3 8 4 m c h i p s ，载波带宽为 5 m h z 。而c d m a 2 0 0 0 的扩频码速率为1 2 2 8 8 m c h i p s ，载波带宽为1 2 5 m h z 。 w c d m a 标准由3 g p p ( 第3 代移动通信项目伙伴计划) 组织制订。w c d m a 目 前已经有r 9 9 、r 4 、r 5 和r 6 四个版本，其中r 9 9 版本已经稳定，其无线接入网 采用w c d m a 技术，核心网分为电路域和分组域，分别支持话音业务和数据业务， 第1 章绪论 并提出了开放业务接入( o s a ) 的概念，目前的设备多基于r 9 9 版本，最高下行速率 可达3 8 4 k b p s 。r 4 版本是向全分组化演进的过渡版本，与r 9 9 比较其主要变化在 电路域引入了软交换的概念，将控制和承载分离，话音通过分组域传递，另外， r 4 中也提出了信令的分组化方案，包括基于a t m 和口的两种可选形式。1 t 5 和 r 6 是全分组化的网络，在r 5 中提出了高速下行分组接k ( h i i g hs p e e dd o w n l i n k p a c k e ta c c e s s ，h s d p a ) 的方案，可以使最高下行速率达到1 0 m b p s 。特点如下： w c d m a 的基站问同步是可选的，而且采用了功率控制、软切换、扩频码和分集 技术。 c d m a 2 0 0 0 标准由3 g p p 2 组织制订。此版本相对稳定，已经在美国、韩国、 日本和加拿大等国运行，我国联通公司二期工程也将开通c d m a 2 0 0 0 服务。版本 包括r e l e a s e 0 、r e l e a s e a 、e v - d o ( e v o l u t i o nd a t ao n l y ) 。r e l e a s e 0 的主要特点是沿 用基于a n s i - 4 1 d 的核心网，在无线接入网和核心网增加支持分组业务的网络实 体，此版本已经稳定。联通公司即将开通的c d m a 二期工程采用的就是这个版本， 单载波最高上下行速率可以达到1 5 3 6 k b p s 。r e l e a s e a 是r e l e a s e 0 的加强，单载波 最高速率可以达到3 0 7 2 k b p s ，并且支持话音业务和分组业务。e v - d o 采用单独的 载波支持数据业务，可在1 2 5 m h z 标准载波中支持平均速率为6 0 0 k b p s 、峰值速 率为2 4 m b p s 的高速数据业务。特点如下：c d m a 2 0 0 0 的基站间必需同步，需要 全球定位系统( g p s ) 提供同步，采用了功率控制、软切换、扩频码和分集技术。 t e l s c d m a 标准也由3 g p p 组织制订，采用中国无线通信标准组织( c w t s ) 制订的t s m ( t d s c d m a o v e rg s v 0 标准，基于t s m 标准的系统其实就是在g s m 网络支持下的t d s c d m a 系统。t s m 系统的核心思想就是在g s m 的核心网上使 用t d s c d m a 的基站设备，其a 接口和g b 接口与g s m 完全相同，只需对g s m 的基站控制器进行升级。一方面利用3 g 的频谱来解决g s m 系统容量不足，特别 是解决在高密度用户区容量不足的问题；另一方面可以为用户提供初期最高达 3 8 4 k b p s 的各种速率的数据业务，所以基于t s m 标准的t d s c d m a 系统对已有 g s m 网的运营商是一种很好的选择。总的来说，三种技术在无线接入技术方面都 有完整的定义和提高速率的方案，在核心网技术方面，都在向分组化演进。 其特点如下：t d s c d m a 采用时分双t ( t d d ) 、t d m a c d m a 多址方式工作， 扩频码速率为1 2 8 m c h i p s ，载波带宽为1 6 m h z ，其基站间必须同步，与其它两种 技术相比采用了智能天线、联合检测、上行同步及动态信道分配、接力切换等技 术，频谱使用灵活、频谱利用率高，比较适合非对称数据业务。 1 1 4 嘲 目前无线局域网国际标准( 8 0 2 1 1 ) 中的安全解决方案( 有线等效保密协议， w i r e d e q u i v a l e n t p r i v a c y ，w e p ) ，已被广泛证实不安全。国际标准为此采用了w i f i 宽带无线i p 集成安全接入技术研究与设计 保护接入( w i f ip r o t e c t e d a c c e s s ，w p a ) 、8 0 2 1 l x 、8 0 2 1 l i 、v p n 等方式试图保证 w l a n 安全。但这些方式要么是将有线网络安全机制通过技术转接到w l a n 上， 要么在技术上很容易被破译。在2 0 0 3 年5 月1 2 日，中国颁布了无线局域网两项 国家标准，在充分考虑和兼顾无线局域网产品互联互通的基础上，针对无线局域 网的安全问题，给出了技术解决方案和规范要求。 针对i e e e 8 0 2 1 1 中w e p 协议的安全问题，中国无线局域网国家标准 g b l 5 6 2 9 1 1 【9 】中提出无线局域网鉴别与保密基础结构( w i r e l e s sl o c a la r e an e t w o r k a u t h e n t i c a t i o na n dp r i v a c yi n f r a s t r u c t u r e ，w a p i ) 用来实现无线局域网中的鉴别和加 密的机制，被认为是w l a n 安全解决方案。 1 2宽带无线网络国内外研究现状 1 2 1 国外宽带无线网络发展情况 宽带无线网络在社会生活的各个领域日益受到世界各国的霞视，并开展了广 泛的研究。当前，宽带无线网络已经在家庭、企业和公共无线场地所广泛部署， 无线技术正在以迅猛的态势向前发展，并在娱乐、信息传播、商务及科研活动中 扮演了重要的角色。未来，随着技术的进一步成熟，在特定的区域和范围，特别 是热点区域和高速信息接入领域，宽带无线网络将发挥对移动通信网络的重要补 充作用。随之而来的，由于现有协议标准的不统一造成的异构网络的多模接入、 集成认证，以及w l a n 与移动通信网络的融合等问题也已经被深入的探讨及研究， 一些较为成熟的网络融合体系结构及协议草案已经提出，而3 g 与w l a n 互通的 规范也在制定当中。成熟产品中，i n t e l 已经推出了三模无线模块( 支持i e e e 标 准8 0 2 1 l a 、b 和蓟，能够为客户提供一个无需关心具体接入环境的网络平台，而 n t t d o c o m o 也发布了将3 g 服务“f o m a ”和无线l a n 融合在一起的手机终端， s i e r r a 公司则提供让笔记本电脑借助g p r s 接入i n t e r n e t 的p c 数据卡调制解调器。 1 2 2 国内宽带无线网络发展情况 国内宽带无线网络的集成安全接入研究还处在起步阶段，没有形成系统性的 成果。西安电子科技大学在无线网络安全接入协议及方法的研究方面开展了很多 工作，多所邮电专业院校也已经在宽带无线网络与通信网络的融合方面展开了研 究，在国外理论研究成果的基础上对融合实现的网络体系结构进行了一定的分析， 而国内的几家大型通信公司也就此问题给出了自己的解决方案及产品。 但总体来看，宽带无线网络的集成安全接入研究工作尚未得到全面的开展， 尤其是8 0 2 1 l i 及w a p i 协议体系均是在不久前刚刚确立。随着新标准的修订实施， 宽带无线网络的集成安全接入的实现问题渐渐得到了足够的关注，引起了各方的 第1 章绪论 重视，正是出于这个方面的考虑，本文设计宽带无线网络的集成安全接入系统， 力求解决宽带无线网络的相关的安全接入问题。 1 3宽带无线网络安全现状 1 3 1 无线网络安全威胁 由于无线信道的固有特性和安全机制的缺陷引起的网络安全问题也日益明 显。无线传输的媒质是共享和开放的，无论工作站点在何处只要能接收到无线信 号，就可以检测网内的所有发送和接收的数据，因此无线网络比有线网络更容易 被窃听和入侵。 根据攻击的位置可分为以下几类：无线链路威胁、服务网络威胁和终端威胁。 ( 1 ) 无线链路威胁 a 非授权访问数据：入侵者可以窃听无线链路上的用户数据、信令数据和控 制数据，甚至可以进行被动或主动流量分析。 b 对完整性的威胁：入侵者可以修改、插入、重放和删除无线链路上的合法 用户的数据。 c 拒绝服务攻击：入侵者通过在物理上或协议上千扰用户数据、信令数据和 控制数据在无线链路上的正确传输，来实现无线链路上的拒绝服务攻击。 ( 2 ) 服务网络威胁 a 非授权访问数据：入侵者在服务网内窃听用户数据、信令数据和控制数据， 非授权访问存储在系统网络单元内的数据，甚至可以进行被动或主动流量分析。 b 对完整性的威胁：入侵者可以修改、插入、重放或删除用户的业务数据、 信令数据或控制数据；还可以假冒通信的某一方对通信的数据进行修改，甚至可 以修改存储在网络单元中的数据。 c 拒绝服务攻击：入侵者通过在物理上或协议上千扰用户数据、信令数据或 控制数据在网络中的正确传输，来实现网络中的拒绝服务攻击；还可以通过假冒 某一网络单元阻止合法用户的业务数据、信令信息或控制数据，从而使合法用户 无法接受正常的网络服务。 d 否认：用户可能对业务费用、业务数据来源或对接收到其他用户的数据进 行否认：网络单元否认发出信令或控制数据或否认接收到其他网络单元发出的信 令或控制数据。 ， e 非授权访问服务：入侵者可能模仿合法用户使用网络服务，也可能假冒服 务网，当有合法用户接入时就有可能获得网络服务；入侵者还可假冒归属网，以 获取使其他假冒某一用户所需的信息；用户滥用其权限以获取对非授权服务的访 问；服务网滥用其权限以获取对非授权服务的访问。 宽带无线i p 集成安全接入技术研究与设计 ( 3 ) 终端威胁与终端相关的安全威胁 a 攻击者利用终端设备访问系统资源； b 对系统内部工作有足够了解的攻击者町能获取更多的访问权限； c 攻击者利用借来的终端超出允许的范围访问系统； d 通过修改、插入或删除终端中的数据以破坏终端数据完整性。 1 3 2w l a n 的安全策略 无线局域网中加密和认证技术最根本的目的就是使无线业务能达到有线业务 同样的安全等级。无线局域网安全解决措施主要有以下几种思路：有线等价保密 协议，即对r c 4 算法进行改进：v p n 解决方案，v p n 替代w e p 和m a c 地址过 滤较为理想的无线接入的安全方案；i e e e8 0 2 1 x 端口认证，e a p t l s 动态密钥协 商的双向认证，i 认d i u s 认证计费服务方案等。 1 3 38 0 2 1 l i 安全协议 i e e e8 0 2 1 l i 实际上是把1 9 9 9 年制定的i e e e8 0 2 1 x 安全标准引入了w l a n ， 规定使用8 0 2 1 x 认证和密钥管理方式。在数据加密方面，定义了密钥管理协议 t k i p ( t e m p o r a lk e yi n t e g r i t yp r o t o c 0 1 ) 和c c m p ( c o u n t e r - m o d e c b c m a cp r o t o c o l l 二种加密机制，从固定密钥改为动态密钥，虽然还是基于r c 4 算法，但比采用固 定密钥的w e p 先进。c c m p 机制基于a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) j j l 密算 法和c c m ( c o u n t e r - m o d e c b c m a c ) 认证方式，使得w l a n 的安全程度大大提高， 是实现r s n 的强制性要求。由于a e s 对硬件要求比较高，因此c c m p 无法通过 在现有设备的基础上进行升级实现。除了密钥管理以外，它还具有以可扩展认证 协议( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c o l ，e a p ) 为核心的用户审核机制，可以通过服 务器审核接入用户的i d ，在一定程度上可避免j 法接入。 1 3 43 g 安全原则和目标 3 g 的安全原则主要有：3 g 的安全机制将建立在第二代系统的安全之上，在 g s m 和其他第二代系统内已经证明是必要的和加强的安全元素应当被3 g 的安全 机制所采纳；3 g 的安全机制要确定和校正第二代系统中的实时的和已认识到的缺 点；3 g 的安全机制要提供新的安全特征，并保护3 g 提供的新业务。 3 g 的安全目标有：保证由用户产生的或与用户相关的信息能得到充分保护， 防止被误用和盗用；保证由服务网络和归属环境提供的资源和业务能得到充分保 护，防止被误用和盗用；保证标准化的安全特征至少应有一个可以在世界范围的 基础上输出的加密算法；保证安全特征被充分地标准化，以确保世界范围内互操 作与不同的服务网络之间的漫游；保证提供给用户和业务供应者的保护级别比当 第1 章绪论 代固定和移动网络( 包括g s m ) 提供的高；保证3 g p p 安全特征、机制和实现能被扩 展和加强。 1 3 5w a p i 安全措旌 无线局域网鉴别与保密基础结构w a p i 由无线局域两鉴别基础结构w a i 和无 线局域网保密基础结构w p i 组成。w a p i 协议替换了w e p 标准中的对称加密机制， 采用了椭圆曲线密码算法的非对称加密机制。无线客户端s t a 和接入点a p 通过 鉴别服务器a s 进行双向身份鉴别。而在对传输数据的保密方面，w p i 采用了国家 商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数 据传输的安全。 1 4本文研究的内容和主要工作 本文以西安电子科技大学“2 1 1 工程”标志性成果项目“宽带无线m 接入网 络系统安全技术”以及华为公司科技基金项目“宽带无线口接入网络系统安全技 术研究”为背景，对宽带无线网络集成认证平台进行了研究。 1 9 8 9 年国际标准化组织( i s o ) 提供了一个通用安全体系结构框架，o s i 安全体 系结构标准( i s o i e c 7 4 9 8 2 ) 称为“信息处理系统开放系统互连基本参考模型第2 部分安全体系结构”，该标准提供了安全服务与有关安全机制的一般描述，确 定了在参考模型内部可以提供这些服务与机制的位置。该标准根据网络中可能存 在的安全威胁将安全分为四级：链路级安全、网络级安全、端到端级安全和应用 级安全。具体实现时用户可以根据自己的安全需求任选一个或多个级别上实现安 全功能。该安全框架并未给出具体的实现方法，仅具有理论指导意义。 现有处于应用中的w l a n 网络安全体系结构方案有：由w e c a ( w i r e l e s s e t h e r n e tc o m p a t i b i l i t ya l l i a n c e ) i o 定的w e p 协议、由i e e e 制订的第二层链路安全 机制8 0 2 i x 标准及安全加密标准8 0 2 1 1 i 协议、我国自主产权的无线网络强制安全 标准w a p 、3 g p p 提出的安全体系结构( r e l e a s e5 ) 。这些安全体系应用于各自的适 用场合，分别解决了自链路级以上的不同级别的安全，但他们同时又都存在一个 普遍的问题，即由于所面临环境不同以及所实现安全强度的差异，每一种安全体 系结构在链路级这一重要的、最基础级别的安全控制实现上都是有所不同的( 一般 而言，在基础结构模式下的网络链路级接入控制( 身份认证) 相较于自组网模式要求 更高，也更受到重视) 。 w e p 协议作为当前采用最为广泛的8 0 2 1 l b 网络的安全增强，其接入控制仅 在低层采用开放和共享密钥链路验证两种方式。8 0 2 1 l i 协议作为新一代的无线网 络安全协议标准，其接入控制采用的是开放式链路验证+ 8 0 2 1 x ，通过8 0 2 i x 的e a p 方法承载，实现t l s 、t t l s 、m d 5 、s l m 、a k a 等多种具体的高层认证方案。 宽带无线i p 集成安全接入技术研究与设计 w a p i 协议借鉴了成熟的8 0 2 i x 标准，其接入控制采用的是开放式链路验证与类 8 0 2 1 x ，实现基于证书的身份校验。对于3 g 与无线局域网耦合的网络，其接入控 制采用的是8 0 2 1 x 的e a p s i m 或e a p a k a 方法实现。 由此可见，现有的w l a n 网络安全体系在结构上是无法实现链路级接入控制 ( 身份认证) 的兼容互通，而这种在接入上的差异则造成了客户终端在异构网络中接 入的不可行性。即使用户的硬件具有多模的能力，但对于采用不同认证机制的异 构网络的接入问题仍是无能为力。因此，为了解决在异构网络环境下的接入控制( 身 份认证) ，需要设计一种w l a n 网络集成认证体系结构，遵循该体系结构便可以构 建集成认证平台来完成授权网络的接入认证。 本文的主要贡献有： 分析了目前w l a n 的安全问题； 研究了目前8 0 2 1 1 ，8 0 2 1 l i ，w a p i ，3 g 等协议的安全机制，指出了他们 存在的缺陷； 根据对宽带无线接入网络的安全需求分析，及其对统一认证的应用需求， 提出、设计宽带无线网络统一认证平台主要功能模块包括安全接入子系 统，认证协议扩展子系统，管理子系统，外部安全支撑子系统，执行子系 统等；由于多种类型网络采用不同认证方式接入，将导致不同网络之间不 能进行切换，统一认证的平台具有市场前景及可行性；集成认证平台的扩 展性和跨平台性：使用插件技术实现平台的扩展性；在驱动层和认证层之 间添加接口适配层，使得操作系统与驱动的使用更具独立性。增加适配层 使得网络接入不需要进行硬件底层修改，实现多种认证方式均可接入； 集成认证平台中各个认证模块的算法研究。 1 5本文的组织结构 全文共分为五章，第一章为绪论，介绍宽带无线网络发展的现状、安全现状 及国内外研究现状。第二章介绍了无线网络的结构、技术特点，分析目前宽带无 线网络协议，包括i e e e8 0 2 1 1 、i e e e8 0 2 1 l i 、i e e e8 0 2 1 6 、w a p i 以及3 g 的体 系结构，并对其安全机制进行了研究。第三章在前面的协议分析基础之上，提出 了宽带无线m 网络集认证体系结构设计方案，给出系统模型并阐述了解决技术问 题所采用的技术方案。第四章作出了详细的w l a n 集成认证体系结构实现方案， 各个模块的实现方法，各种功能的实现方式，系统工作流程以及实验结果。第五 章总结全文并展望今后的工作。 第2 章无线网络协议分析 9 第2 章无线网络协议分析 2 1i e e e8 0 2 1 1 协议簇 2 1 1i e e e8 0 2 u 协议簇 8 0 2 1 l 8 0 2 1 1 标准是i e e e 于1 9 9 7 年推出的，它工作于2 4 g h z 频段，物理层采用红 外、d s s s ( 直接序列扩频) 或f s s s ( 跳频扩频) 技术，共享数据速率最高可达2 m b p s 。 它主要用于解决办公室局域网和校园网中用户终端的无线接入问题。 8 0 2 1 la b 8 0 2 1 1 的数据速率不能满足日益发展的业务需要，于是i e e e 在1 9 9 9 年相继 推出了8 0 2 1 i b 、8 0 2 1 l a 两个标准。 8 0 2 1 i b 工作于2 4 g h zi s m 频带，采用直接系列扩频和补码键控，能够支持 5 5 m b p s 和l l m b p s 两种速率，可以与速率为1 m b p s 和2 m b p s 的8 0 2 1 1d s s s ( 直 接序列扩频) 系统交互操作，但不能与1 m b p s 和2 m b p s 的8 0 2 1 1f h s s ( 跳频扩频) 系统交互操作。 8 0 2 1 l a 工作于5 g h z 频带( 在美国为u - n h 频段：5 1 5 5 2 5 g h z 、5 2 5 5 3 5 g h z 、 5 7 2 5 5 8 2 5 g h z ) ，它采用o f d m ( 正交频分复用) 技术。8 0 2 1 l a 支持的数据速率 最高可达5 4 m b p s 。8 0 2 1 l a 速率虽高，但和8 0 2 1 l b 不兼容，并且成本也比较高， 所以在目前的市场中8 0 2 1 l b 仍然占据主导地位，8 0 2 1 l a 产品预计将在今后几年 内得到快速发展。 8 0 2 1 1g 8 0 2 1 l g 是在2 0 0 1 年通过的混合方案，8 0 2 1 l g 是对8 0 2 1 l b 的一种高速物理 层扩展，同8 0 2 1 i b 一样，8 0 2 1 l g 工作于2 4 g h zi s m 频带，但采用了o f d m 技 术，可以实现最高5 4 m b p s 的数据速率，与8 0 2 1 l a 相当；并且较好地解决了w l a n 与蓝牙的干扰问题。8 0 2 1 1 9 与已经得到广泛使用的8 0 2 1 l b 是兼容的，这是8 0 2 1 l g 相比于8 0 2 1 1 a 的优势所在。 8 0 2 1 1 是媒体访问控带o ( m a c ) 层标准的基础，在此之上，为了满足在安全性、 q o s 等方面的更高要求，i e e e 相继提出了8 0 2 1 1 e 、8 0 2 1 1 t 8 0 2 1 l i 等标准。 8 0 2 1 1 e 8 0 2 1 l e 增强了8 0 2 1 1m a c 层，为w l a n 应用提供了q o s 支持能力。8 0 2 1 l e 对m a c 层的增强与8 0 2 1 l a 、8 0 2 1 l b 中对物理层的改进结合起来，就增强了整个 系统的性能，扩大了8 0 2 1 1 系统的应用范围，使得w l a n 也能够传送语音、视频 等应用。 1 0 宽带无线i p 集成安全接入技术研究与设计 8 0 2 1 1 f 8 0 2 1 l f 标准定义了一套称之为i a p p ( i n t e r - a c c e s sp o i n tp r o t o c 0 1 ) 的协议，以实 现不同供应商的接入点a p 间的互操作性。 8 0 2 1 1 i 8 0 2 1l i 标准的基础8 0 2 1 x 标准是基于端口的访问控制协议，它是i e e e8 0 2 系列w l a n 的整体安全体系架构，包括认证和密钥管理功能。8 0 2 1 l i 是8 0 2 1 1 m a c 层在安全性方面的增强，与8 0 2 1 x 一起为w l a n 提供认证和安全机制。 2 , 1 2i e e e 8 0 2 1 1 结构 这里所述的无线局域网网络体系结构是由几个交互的组件部分构成，其目的 是为了提供对高层透明支持站移动性的w l a n 。图2 1 所示的是完整的 8 0 2 1 1 w l a n 体系结构： 图2 18 0 2 1 1 网络体系结构 1 1 工作站( s t a ) ：s t a 即实现移动通信的用户端设备，通过标准的8 0 2 1 1 空中接