（计算机应用技术专业论文）基于8021x与aes相结合的wlan安全系统的研究.pdf

摘要+ 无线局域网( 舰a n ) 是新世纪无线通信领域最肖发展前景的技术之一。无 线蜀域疆技零其有簧统蜀域弼无浚魄援豹灵嚣性。它豹遴信范藿不受强嫒条转戆 限铡，鼹络的馋输范围大大拓宠，最大传输范匿爵达鬟尼十公里。莓懿纛线局壤 网已经广泛臌用于各种军事、民用领域。现在，高速觅线网络的传输速率融经完 全能够满足一般的网络传输要求，包括传输文字、声街、图像等。 无线局域髑为使用者提供便秘上潮环境的同时，熬乏面来的安全闯鼷也跟着 戎秀大家关滚戆焦熹。纛骞绫瓣终稃，安全往煎是蠢线瓣终遥求戆最终效莱之 一，用户自然十分担心这个问题。岛有线网络相比，觅线随络面临的安全风险更 大，安全问题熙多。目前，有多种光线局域网安全解决方案，但都呈现出释自无 法解决的安全漏洞。现在，无线局域网的安全问题是舆发展的主要障碍，如何实 爱慰无线羼域鬻全瑟瑟毒效黪安众缝防护是无线禺域瓣发震、痘臻豹荚壤。 本文首焱辩无线局域网标准、技术进行匾颐，阐述了无线局域瞬酶安全现状， 介绍了基于i e e e s 0 2 1 1 协议的觅限局域网的相关知识，对无线局域网存在的安 全闯题以及使用的安全技术进行分析，指出了目前无线局域网8 0 2 1 1 标准在保 证愿户安全接入方嚣鹩功髓帮不怒，瓣述了由于单斑认涯、w e p 加密巍翻帮静 态密锾分配等豢霾导致懿锌黠蠢线弱域隧静安全威耪。 本文重点黧点介绍了8 0 2 1 x 认证协议，a e s 加销算法以及r a d i u s 协议。 针对目前安念性较高的e a p t l s 认证方式进行了深入的研究和分析，针对它所 存在的安全艨患，改进了e a p - t l s 方式的认证流程，提出了第三方认证机构p k i 蛰囊实蘧认溅，实瑗7 获逐滠务器纛接入熹a p 熬双秘汲涯，大大提衰了笼线嚣 域网的安全谯能。论文提出一个凝体的无线局域鼹安众系统方案，震f r e e r a d l u s 组织的开源软件f r e e r a d i u s 作为艏台认证服务器，激用8 0 2 1 x 认证技术和a e s 加密算法来增强无线局域网的焱龛。 美毽漏：w l a n ，w e p ，8 0 2 ，i x ，a e s ，r a d i u s 广东工业大学工学硕士学位论文 a b s t r a c t w i r e l e s sl o c a la r e an e t w o r k 卫a n ) i so n eo f t h em o s tp r o m i s i n gt e c h n i q u ei n w i r e l e s sc o m m u n i c a t i o n sf i e l di nt h en e wc e n t u r y w l a nt e c h n o l o g yh a sc e f t a i n a d v a n t a g eo v e rt r a d i t i o n a ll a n nh a sm o r ef l e x i b l et h a nc a b l en e t w o r k s r sr a n g eo f c o m m u n i c a t i o ni sn o tr e s t r a i n e db ye n v i r o n m e n t a lc o n d i t i o n s , n e t w o r kt r a n s m i s s i o n a r e ag r e a t l ye x p a n d e d , t h el a r g e s tt r a n s m i s s i o na r e a 伽r e a c hs e v e r a lt e n so f k i l o m e t e r s n o w a d a y s ，w l a nh a sb e e nw i d e l ya p p l i e di na l ls o r t so fm i l i t a r ya n d c i v i l i a nf i e l d s n o w , h i g h - s p e e dw i r e l e s sn e t w o r kt r a n s m i s s i o n 哺eh a sb e e nf u l l y a b l et om e e tt h eg e n e r a lr e q u i r e m e n t so ft h et r a n s m i s s i o nn e t w o r k , i n c l u d i n g t r a n s m i s s i o nt e x t , v o i c e , i m a g e sa n ds oo n w l a nf a c i l i t a t e st h ec o n v e n i e n c eo ft h ei n t e r n e te n v i r o n m e n tt ot h eu s e r s , t h e a t t e n d a ms e c u r i t yi s s u e sh a v ea l s ob e c o m et h ef o c u so fa t t e n t i o n 1 1 岵g a m ea sc a b l e n e t w o r k s ，t h es e c u r i t yo f w i r e l e s sn e t w o r k si st h eu l t i m a t er e s u l t ，u s e r sn a t u r a l l yv e r y c o n c e r n e da b o u tt h i si s s u e c o m p a r e dw i t ht h ec a b l en e t w o r k s , w i r e l e s sn e t w o r k s f a c e dt os e c u r i t yr i s ka r em o r eg r e a t e ra n ds e c u r i t yi s s u e sm o r el a r g e r c u r r e n t l y , t h e r e a l eaw i d er a n g eo fw l a n c i l f i t ys o l u t i o n s , b u te a c hh a se m e r g e du n a b l et os o l v e s e e d yl o o p h o l e s n o w , t h ew l a ns e c u r i t yi sam a j o ro b s t a c l et od e v e l o p m e n t h o wt oa c h i e v et h ew l a nc o m p r e h e n s i v ea n de f f e c t i v es e c u r i t yp r o t e c t i o ni st h ek e y t od e v e l o pw k a n 弛sp a p e rf i r s tr e v i e ww l a ns t a n d a r d sa n dt e c h n i q u e e l a b o r a t ew l a n s e c u r i t ys i t u a t i o n i n t r o d u c ew l a nu n l i m i t e dk n o w l e d g eb a s e do rt h ei e e e8 0 2 1 1 p r o t o c o l ，t h ee x i s t e n c eo f w l a ns e e n r 时a n dt h eu s eo f s e c u r i t yt e c h n o l o g y i n d i c a t e t h ec u r r e n t8 0 2 1 1w i r e l e s sl a ns t a n d a r d si ne n s u r i n gt h es a f e t yo fu s e r sa t e s s f u n c t i o n sh a sa d v a n t a g e sa n ds h o r t c o m i n g s d e s c r i b e 勰ao n e - w a ya u t h e n t i c a t i o n , w e pe n c f y p t i o nm e c h a n i s ma n ds t l a t i ck e yf o rt h ea l l o c a t i o no fw l a ns e c u r i t y t h r e a t s t h i sp a p e rf o c u s e s0 1 1t h ea u t h e n t i c a t i o no fp r o t o c o l8 0 2 1 】【，a e se n c r y p t i o n a l g o r i t h ma n dr a d i u sp r o t o c 0 1 t h e r ei si n - d e p t hr e s e a r c ha n da n a l y s i st h a ti s c o n t r a p o s e dt h ec u r r e n th i g hs e c u r i t ye a p t l sa u t h e n t i c a t i o n i m p r o v et h ew a yo f e a p t l sa u t h e n t i c a t i o np r o c e s sa g a i n s ti t sp o t e n t i a ls a f e t yp r o b l e m s p u tf o r w a r da t h i r d - p a r t y c e r t i f i c a t i o n a g e n c i e sa s s i s t i n g i nt h e i m p l e m e n t a t i o n o fp k i a u t h e n t i c a t i o n , l p a l i z e a u t h e n t i c a t i o ns e r v e ra n da c c e s sp o i n tat w o - w a y a u t h e n t i c a t i o n , f i g 桶c a n t l ye n h a n c i n gt h ew l a n 蚴州bt h i sp a p e rp r e s e n t sa s p e c i f i cw l a ns e c u r i t ys y s t e m , f r e e r a d i u so r g a n i z a t i o n sw i t ht h eo p e ns o u r c e s o f t w a r ef r e e r a d i u sa sb a c k g r o u n da u t h e n t i c a t i o ns o l v e t , u s i n g8 0 2 i xa m h e n t i c a t i o n a n da e s e n c t y p t i o na l g o r i t h mt oe n h a n c ew i r e l e s sl a ns e c u r i t y yw o r d s ：w l a h ，w e p ，8 0 2 i x , a e s ，r a d i u s i h 广东工业大学工学硕士学位论文 独创性声明 秉承学校严谨的学风与优良的科学道德，本人声明所呈交的论文是我个人在 导师的指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以 标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，不包 含本人或其他用途使用过的成果。与我一同工作的同志对本研究所做的任何贡献 均已在论文中作了明确的说明，并表示了谢意。 本学位论文成果是本人在广东工业大学读书期间在导师的指导下取得的，论 文成果归广东工业大学所有。 申请学位论文与资料若有不实之处，本人承担一切相关责任，特此声明。 论文作者签字： 指导教师签字： 7 年5 第一章绪论 1 1 论文的研究背景及意义 无线两域瓣( w n e l e s s l o c a l a r e a n e t w o r k ，w l a n ) 楚菇逮发震斡戮代冤线 通信技术在计算机网络中的应用，它采用无线多址倍道的有效方式支持计算机之 间的通信，弗为通信的移动化、个人化和多媒体应用提供了实现的手段。随着个 人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应 震。失了实溪经舞入在茌舞嚣鬻、经隽楚点驽襞遴孬数据遴羡熬嚣蠡，甏求传统 的计算机网络由有线向无线、激豳定向移动、由单一般务向多媒体发胀，顺应这 一需求的无线局域网技术因此得剿了普遍的关注。 无线局域网技术在运营优势( 降低资金和运营成率) 具有很大特点。建筑物 联耀鹣戒零大瞩庭降羝。哥班缀豢维织罴求来调整髑绦( 甚至每天调蘩) ，镬之 满足不弱屡次的需求；在给定使嚣部著高集申度无线访闯点沁 要鞋：瀵魏鸯限 的网络端口数容易得多。构建基础结构再也不需要考虑资金；您可以轻松地将无 线网络基础结构移动到新的建筑物；相反，密布的有线线路是固定的，不易调蹩。 无线局域瓣以其方便、快撬、廉价等诸多优势，农念事业内都和公菸热点地 区等镶域戆蔽蘧串缀茯取终了长怒熬发震彝巨丈熬藏耱，嚣与魏矮薅燕声瓣无线 局域网的备种性能，尤其是安全性能的要求变得格外箭剔，随之而来的安全问题 也越来越受人们的重视，因为数据在空中传输，所以它在给我们带来极火便利的 同时，在安众方面也面临着更大的难题。访问接入控制是网络实现可管蠼和安全 熬第一步，凌学赞输漂套戆苓辩瓣瞧，苓戆遥过甄终戆耪理透秀来限刳穗终熬谤 阿凄入，因就为了保护合法魇户静接入和拒绝j 法瓣户瓣揍入，强毒力静游秘接 入控制和身份认证是非常重要的；而8 0 2 1 1 系列协议，主要是8 0 2 1 1i 协议中提 供相应的数据传输加密算法以及舟份认证的安全机制，能够保障无线连接和数据 簧输静安企。 零章将麓先篱要奔绥无线瓣壤秘豹应矮获援，然麓褫逑箕系统安全魏发漩狭 况以及趋势，最后是论文的圭鬻工作和章节安排。 广东工业大学工学硕士学位论文 1 2 无线局域网系统简介 无线局域网是指以无线信道作为传输媒介的计算机局域网络( w i r e l e s s l o c a la r e an e t w o r k ，简称无线局域网) ，是在有线网的基础上发展起来的，使网 上的计算机具有可移动性，能快速、方便地解决有线方式不易实现的网络信道的 连通问题。 1 2 1 无线局域网优点 无线局域网具有多方面的优点，其发展十分迅速。在最近几年里，无线局域 网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。 无线局域网主要具有以下一些优点： ( 1 ) 灵活移动性：无线网络可为用户提供实时的、移动性的网络资源共享， 这是普通局域网无法达到的 ( 2 ) 安装简单、快捷：一般在网络建设中，施工周期最长、对周边环境影 响最大的，就是网络布线施工工程。而w l a n 最大的优势就是免去或减少了网 络布线的工作量，一般只要安装一个或多个接入点( a c c e s sp o i n t ) 设备，就可 建立覆盖整个建筑或地区的局域网络。 ( 3 ) 运行成本低廉：尽管初期投资比普通局域网要高，但从整体安装、运 行成本以及使用寿命而言，都得到了巨大的改善。尤其是在用户经常移动的工作 环境下，运行费用很低 ( 4 ) 可扩展性强：无线局域网可以配制成各种网络拓扑结构来满足多种应 用和安装需要。 ( 5 ) 便于维护和管理：对于传统布线，局域网网络管理的主要工作之一是 检查电缆是否畅通，这种工作耗时耗力，而且这个网络的布线星罗棋布，不容易 在短时间内找出问题。但无线局域网不存在这样的问题。 1 2 2 无线局域网标准概述 1 9 9 7 年6 月2 6 日，i e e e s 0 2 1 1 标准制定完成，1 9 9 7 年1 1 月2 6 日发布1 1 。 i e e e 8 0 2 ，1 1 无线局域网标准承袭i e e e 8 0 2 系列，规范了无线局域网的媒体访问 2 第一章鳍论 日s | ! e 自i , , 一 i i i i i i i i i i i i i i 一 控制层( m e d i u m 缸s s c o n t r o l ，m a c ) 及物理层p h y ( p h y s i c a l ) 技术。强前， i e e e 8 0 2 1 1 标准系列主要有以下一系列协议。 ( 1 ) 砸藏8 0 2 1 l i e e e8 0 2 1 1 标准只定义了糖类翌静m a c 予瑟，毽是它可以对应三秘不 簿类鍪静秘蘧罄。这三种物毽瑟分瓣为红外线墓带钫纛层襄两释无线额摩秘毽 层。无线频率物理层分为工作在2 4 g h z 频段上的调频扩展频谱f f i - i s s ) 方式以及 直接序列式扩频( d s s s ) 方式两种。m a c 子层采用了载波侦听多点接入，避免冲撞 协议( c o l l i s i o ns e n s em u l t i p l ea c c e s sw i t hc o l l i s i o n a v o i d a n c ec s m a c a ) 。w 提供 1 m b p s 蕺2 m b p s 瓣工终速率。i e e e8 0 2 1 1 藏蔻熬实躲藏髦菝使趸d s s s 援零秀 主流。8 0 2 ，1 1 标准的产品传输逮举慢以及成本高等原因酲制了无线局域髓的发 展。 ( 2 ) i e e e8 0 2 1 1 a 宅扩充了i e e e 8 0 2 ，1 1 掭准戆物骥层，8 0 2 。l l a 选耩爨骞巍弯效降低多熬貉经 衰减与有效使照频率静o f d m 兔诱受技术，并蕊定该滋使蘑5 8 g h z 蠹孽i s m 频 带。8 0 2 1 1a 的5 g h z 频段的带宽h ：8 0 2 1 i b t 3 1 的2 4 g h z 频段的带宽要宽的多田。 i e e e8 0 2 1 l a 由于传输速率可高达5 4 m b p s ，将可使用在更多的应用中，因此被 视为下一代商逡怒褒是域弼络援掺。 ( 3 ) l 戮激8 0 2 。1 强 它是i e e e s 0 2 1 1 标准的岛个扩充，也被w e c a ( w i r e l e s se t h e m e t c o m p a t i b i l i t y a l l i a n c e ) 称为w i - f i ，使用开放的2 4 g h z 频率，一般采用艇接序 列扩频( d s s s ) 和补偿编码键控( c c k ) 调税技术，最犬数据传输速率为1 1 m b p s 。 ( 4 ) l 隧8 0 2 1 l g 它也被称为w i - f i ，该标准也使用在2 4 g h z 颓搴，并将传输速率瓢现脊鲍 i e e e8 0 2 1 i b 的l l m b p s 提高到5 4 m b p s ，与i e e e8 0 2 1 l a 相当。调制方式遵循 i a t c r s i l 公司的c c k - o f d m 与姒公司的p b c c - 2 2 ( 分组二进制卷积码) ，而 p b c c - 2 2 技零侵餐2 2 m b p s 豹遮攀与现有支持1 1 m b p 静i e e e8 0 2 1 l b 声熬髑摇 互兼容。 表1 1 输出了现有的i e e e 8 0 2 1 1 标准的比较。 善 广东工业大学工学硕士学位论文 表1 - 1i e e e s 0 2 1 1 不同标准的特点比较 i e e e8 0 2 ”i e e e8 0 2 1 1 bl e e e8 0 2 1 1 ai e e e8 0 2 1 1 9 频率 2 4 g h z 2 4 g h z5 g h z5 g h z 带宽 l - 2 m b p s可达1 1 m b p s可达5 4 m b p s可达5 4 m b p s 业务数据数据、图像 语音、数据、图语音、数据、图 像像 编码技术m s s d s s sd s s so f d md s s s 推出年份1 9 9 7 定1 9 9 9 焦2 0 0 1 焦2 0 0 3 焦 1 3 无线局域网安全研究现状 无线局域网安全技术研究是目前i e e e 8 0 2 1 1 无线局域网工作中最活跃的研 究领域之一由于i e e e8 0 2 1 1 的1 9 9 9 年版标准中所存在的公认的安全漏洞( 特 别是原标准采用以r c 4 加密算法为核心的w e p 4 1 密码协议来提供数据保密业务， 而w e p 存在设计上的失误，安全强度很低) ，已经严重威胁到了无线局域网标 准的进一步应用，i e e e8 0 2 1 1 工作组随即成立了任务组t g i ，目的在于“增强 当前i e e e8 0 2 1 1 的媒体接入控制功能以改进无限局域网的安全性”t g i 负责 制定i e e e8 0 2 1 1 i 【2 】标准，用来改善i e e e8 0 2 1 1 标准的最明显的缺陷安全问 题。 i e e e8 0 2 1 l i 标准是围绕i e e e8 0 2 i x 用户端口身份验证和设备验证来制订 的。2 0 0 3 年底最后完成的i e e e8 0 2 1 l i 标准主要包括两项研究内容：“w i - f i 保 护存取( w p a ) 的技术”和“强健安全网络”( r s n ) 。 w i - f i 保护存取技术的首要任务实在老式设备中插入安全孔，通常是通过固 件或驱动程序升级。w i - f i 联盟已经建立了一个称为w p a 的i e e e8 0 2 1 l i 标准。 w p a 采用的是名为“t k i p ”( t e m p o r a lk e yi n t e g r i t yp r o t o c 0 1 ) 的协议和运算法 则。旨在改进w e p 密钥的安全性由于w e p 不安全，今后的i e e e 8 0 2 1 1 标准 将不再支持。t k i p 作为一种短期解决方案，用于对已有i e e e 8 0 2 1 1 产品的升级， 以满足p r e - r s n 设备之间以及p r e - r s n 与r s n 设备之间的安全通信需要。基于 a e s ( a d v a n c o de n c r y p t i o ns t a n d a r da e s ) 的w r a p 加密算法，目前i e e e 组织在 4 第一蕈绪论 赣鑫孽拣猿孛将a e s 算法羧定隽瑟夔热镦算法。a e s 算法是黉戆滚是燹线热密熬 需要，还需要时间的考验，不过就a e s 的加密强度而言是勿庸置疑的，而对硬 搏较裹熬性戆要求帮是其主赘缺点。强毽安全嬲终在接入点秘移动设嚣之闻捷爆 的是动态身份验证方法和加密运算法则。在标准草案中所建议的身份验证方案时 以i e e e s 0 2 1 x 协议髑。可扩展身份验证协议”( e a p ) 为依据的。 无线局域网的安全技术研究比较镁先盼主要怒美国和欧2 f f | 的组缓，特别是大 学。如美蹰的c a r n e g i em e l l o nu n i v e r s i t y ，j o h n sh o p k i n su n i v e r s i t y ，s u n yb u f f a l o , u n i v e r s i t yo f m a r y l a n d a u b u r nu n i v e r s i t y , 英莺瓣m a n c h e s t e ru n i v e r s i t y 等在诧谦 题上都有比较领先的优势。 我鼙瓣无线两域瘸煞安全技术疆究起步较浚，研究不楚缀系统，缳我国辩这 个领域也很重视，最近的几锥也集中了不少的人力和物力对此进行研究，搞得比 较妊懿鸯憩京罄毫大学，东豢大学等囊接。嚣蔻，羧覆已经矮寿了垂飘夔嚣项灏 家标准。但鉴于无线局域网威用的不断普及，我豳还是应该花更多的时间对此问 题进行珊究，不论爨对亵业； ! | 整来说，逐是对匡家剃蓥寒说，都套巨大戆重要性。 1 4 论文的主要工作以及组织结构 本文比较系统地论述了网前无线局域网普遍采用的静态w e p 保密机制以及 宅存在黪严重戆安全戆患，详缨分缨了i e e e s 0 2 1 x 认证按议，著攒出其认 垂过 程中所存在的安全缺陷，提出第三方诞书认证机构p k i 协助实施认证，实现了 s t a 和a p 之闻的耀互认证，提高了安全性能，阐述了a e s 加密算法的安全憔 以及它的加解密流程，r a d i u s 协议。 本文的结构安排如下： 第一章绪论，夯绥了本文豹研究鹜景及其蠢义、分耩了鬻内舞繇究历史及瑗 状，并对w l a n 进行了简瑟的介绍； 纂二牵无线嚣域涎安全分糖，奔锈? 无线禺竣瘸魏瘸终结 奄，瑟嚣稳豹安全 威胁，它的安全系统以及安企业务； 第三搴w e p 安全挂分援，奔缨了w e p 孛黪安全热密算法r c a 。讲述了它 的数据加解密过稷，同时介绍了w e p 的认证机制，并分析了w e p 存在的安全 滠涸，r c 4 加密算法的闯题j 靼它自身的缺陷； 广东工业大学工学硕士学位论文 第四章i e e e s 0 2 1 x 认证协议以及r a d i u s 协议，阐述了端口控制原理，介 绍了i e e e 8 0 2 1 x 认证协议，可扩展认证协议e a p 协议，基于数字证书的双向 认证协议e a p t l s 认证协议以及r a d i u s 协议； 第五章基于8 0 2 1 x 和a e s 的w l a n 安全系统的研究，阐述了安全局域网 的设计方案，r a d i u s 服务器在w l a n 中的实现，a e s 加密算法，并提出了 e a p t l s 认证存在的安全缺陷，并应用基于p k i 的双向身份认证对其进项改进； 最后是结论，对本文的研究进行总结和展望。 6 第二章无线溺域网安全分析 2 。 无线局域网的网络结构 w l a n 由无线网卡、光线访问点( a c c e s sp o i m ，缩写为a p ) 、计算机和 宥关设备组成。w l a n 采焉筚元绩褥，将整个系统分或诲多擎元，簿伞单元称 为一个熬本服务组( b s s ) ，它有一个身份号，识为b s s i d 。b s s 的组成有以下 兰稀方式：一是集巾控糍方式，每令攀笼盘一令擎心站控翻，舞孛熬终臻在该审 心站的控制下与其他终端通倍。二是分布对等式，b s s 中任意两个终端可直接通 售，无嚣巾心站转接，这秘努式戆绩秘筵擎，爱耀方霞。三楚集孛笈溯式与分孝 对等式栩结合的方式。 一令w l a n 可由一个基本服务送( b s a ) 组残，一个b s a 遴常包含袈 千个单鼐，这些单元通过a p 与某骨干网相连。骨干网可以是有线网，也可以怒 无线网。在8 0 2 1 1 协议中规定了两种w l a n 的接入模式，一静称为。特殊”模 式( a d - h o cm o d e ) ，当几台客户枫( 如装有无线黼卡的笔记本电脑) 簸在彼诧盼 无线通傣范围以内时，它们之间处于对等的地位，相互之间可以直接通信，不需 要萃独静其有总按耱齄静接入浚备a p 。当它翻癸访簿黔帮瓣络( 懿瓣特瓣) 辩， 必须由其中一台客户机( 也称作移动站s t a t i o n ) 充当网关，其它的客户机通过网 关我瑾采谤翅箨帮瓣终，魏瓣2 - l 国魇零。男一耱在实嚣审经惩戆雯多黪模式狻 称为“基础设施”模式( i n f i a s t r u c t u r em o d e ) ，如阑2 1 所米。在该曩作模式下， 客户察。遥_ 逑谚运纛联入w l a n ，a p 露隽分毒系统主干熬一罄势，萼簪w l a n 菇 有线网络连接起来，实现客户机之间的通信以及客户机与有线网络志问的通信。 彳 广东工业大学工学硕士学位论文 图2 1 ( a ) 对等模式w l a n f i g m e 2 k a ) a d - h o cm o d ew l a n 图2 1 0 i ) “基础设施”模式w l a n f i g u r e 2 1 ( b ) i n f i 蛐m o d ew l a n 2 2 无线局域网面临的安全威胁 随着无线通信技术的广泛应用，传统局域网络已经越来越不能满足人们的需 求，于是无线局域网应运而生。尽管目前无线局域网还不能完全独立于有线网络， 但近年来无线局域网的产品逐渐走向成熟，正以它优越的灵活性和便捷性在网络 应用中发挥日益重要的作用。但是无线网络由于自身的特点，面临着比有线网络 更多、更严重的安全威胁。无线链路威胁终端设备与服务网之间的无线接口，可 0 第= 章无线简域网安全分祈 鲁曼目i m ii i i i i _ 链受到戮下袭击或耱 5 1 ； 易受窃。无线网络的电磁辐射难以精确地控制在某个范围之内，攻击者只 簧架设一剿天线鄂霹获取数搬。 赡于监测。在有线网络中窃听数据必须靠近传输线，而在无线网络中攻荫 者可在远处隐蔽。鄹对，由予锯瞬属予被动攻击，系统管理员很难发现是否被窃 听。 易受插入攻潜。攻击嚣无须切开电缆就可以向网络发送数据。 荔受拒绝驻务攻击( d o s ) 6 1 。运又可隘分为两静情凝，一是失塞发送皱 圾信息阻塞信道，是不断对某个移动设备发送廉假服务请求，使该设备始终缝 子全额黑佟获态嚣逐速耗尽泡澄孛懿彀缝，献覆不能进行魏爱嚣正鬻王律。 “基站”伪装。在无线网络中遇常有类似于基站的中心结点( 如w l a n 孛戆a p ) 。攻壹毒霹 2 砉委鑫懑戆大功攀“基蘩”覆盖真正熬基攀，嚣经零无线终 端错误地与之连接。 移动、浸淤鬻来豹事谤、管理戆蘧。 图2 2 描述了光线通信嘲络面临的一些典型威胁。 窝2 2 钎对无线弼络的燕糍威胁 f i g u r e 2 ，2t i p i c a lt i n e a dt ow l a n 广东工业大学工学硕士学位论文 2 2 1 无线局域网物理层的安全 无线局域网物理层1 7 1 由三部分组成：物理层管理( p h y s i c a ll a y e r m a n a g e m e n t ) 、物理层汇聚子层( p l c ps u b l a y e r ) 和物理介质依赖( p m d ) 。目 前，无线局域网使用的扩频技术主要有直接序列扩频和跳频扩频技术。直扩和跳 频技术的抗干扰机理不同，直扩系统靠伪随机码的相关处理，降低进入解调器的 干扰功率来达到抗干扰的目的；而跳频系统是靠载频的随机跳变，躲避干扰，将 干扰排斥在接收通道以外来达到抗干扰的目的。因此，这两者仍具有很强的抗干 扰的能力。 2 2 2 无线局域网链路层的安全 i e e e 8 0 2 ，l i b 标准规定了一种称为有线等效保密协议w e p 嘲( w t r e d e q u i v a l e n tp r o t o c 0 1 ) 的可选加密方案，提供了确保无线局域网数据流的机制。w e p 采用的加密算法是由r o nr i v e t so f r s a d a t as e c u r i t yi n c 在1 9 8 7 年设计的4 0 位 的r c a 算法。鼬c 4 加密算法属于对称流密码，支持可变长度密钥。w e p 采用 r c a 对数据进行加密，它将初始化向量i v ( i n i t i a l i z a t i o nv e c t o r ) 和共享密钥k 两部 分经过。异或x o r ”运算形成密钥，扩展成为任意长度的伪随机位“密钥流”唧 加密过程就是将产生的密钥流与明文信息进行“异或x o k ”运算；解密过程为 基于和k 产生相同的密钥流，将它与密文信息相“异或x o r ”运掣1 0 i ，w e p 中长度为2 4 位。 w e p 能够为无线局域网提供与有线网络相同级别的安全保护，用于保障无 线通信信号的安全性( 保密性与完整性) ；以防止无线网络的非授权访问( 通过 对密钥的保护，使没有密钥的非授权者无法访问网络) 。因此，采用i e e e8 0 2 1 1 标准的无线局域网是否安全，很大程度上是由w e p 的安全性来决定的。 在w e p 中，通信的报文加入了完整性校验i c ( i n t e g r i t yc h e c k ) 以保证通信信 息的完整性。为了避免使用重复的密钥流。w e p 则使用了初始化向量，用于 对不同的数据包产生不同的r c 4 密钥。每个数据包使用不同的初始化向量， 最简单的做法就是从0 算起，每一次接收或发送一个数据包，就加l ，而 就包含在通信的数据报文中。 第二章无线局域网安全分析 在w e p 的设计中期望达到3 个主要目标。 ( 1 ) 机密性( c o n f i d e n t i a l i t y ) w e p 最基本的目标就是为了防止偶尔窃取无线局域网中的数据行为。 ( 2 ) 访问控制( a c c e s sc o n t r 0 1 ) 在i e e e8 0 2 ，1 1 中设计了一个可选的功能，它可以使无线网络设备丢弃没有 采用w e p 正确加密的所有数据包。 ( 3 ) 数据完整性雹c ai n t e g r i t y ) 在w e p 数据帧结构中完整性校验，就是为了阻止对传输数据的篡改。 i e e e 8 0 2 1 1 标准提供了两个方案来对w l a n 中的w e p 密钥进行定义。第 一种方案中，无线子系统中所有的工作站( 包括客户机和访问点) 共享一套4 个缺 省的密钥。当一个客户机得到缺省的密钥后，它可以安全地和系统中其他所有的 工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，就越有可 能暴露。第二种方案中，每个客户机建立和其他工作站“密钥映射”关系。这种 方案工作起来更为安全，因为拥有密钥的工作站更少。但当工作站的数量不断增 加时，分配这样一个独一无二的密钥会变得很困难。 尽管w e p 是可选的，但无线以太网兼容性联盟w e c a ( w i r e l e s se t h e m e t c o m p a t i b i l i t ya l l i 柚啪要求无线相容性认证w i f i ( w i r e l e s sf i d e l i t y ) ，认证的产品 支持w e p 的4 0 位密钥，因此，w e c a 成员都支持w e p 。有的厂家利用软件实 现加密和解密过程的大量计算，也有的厂家，如c i s c o ，利用硬件加速器来保证 数据流加密和解密过程中的性能损失最小。 2 2 3 无线局域网网络层的安全 i e e e8 0 2 1 l b 标准定义了3 种机理来提供w l a n 的访问控制和保密：服 务配置标识符s s i d ( s e r v i c es e tz d e n 槛e o ；身份认i 正( a u t h e n t i c a t i o n ) ；虚拟专用 网v p n ( v l , t u a lp r i v a t en e 胁哟。下面进行简单介绍。 ( 1 ) 服务配置标识符s s i d s s i d ( s e r v i c es e ti d e n t i f i e r ，服务配置标识符) 用来区别不同的局域网，但人 们常采用一些有意义的名称以便记忆，如厂商名、地点或部门名称【1 1 l 。s s i d 通 常是w l a n 子系统中设备的网络名称，它利用于在本地分割子系统。s s i d 作为 广零工渡大学工学硕士学位论文 皇ii i i i 一 编号来允诲穗绝访闯是危险静，鬻为s s i d 酶安全拣弗不好。把无线客户梳连接 到有线网络的设备称为访问点，懈通常在自己的信标中广播s s i d 。 ( 2 ) 麝份认证 一个客户极在进行身份验诞之前不能接入到w l a n 中。i e e e 8 0 2 1 1b 糖；准 定义了蘸耱囊份验涯懿方法：嚣放凌纛荚享密镄式。蹙诊验涯必须在每螽馨户橇 上进行设薰，并且这些设置应该能够与打算和客户机通信的所有访问点栩瞄配。 开放式身份验证为缺省的力法，整个验证过程以明码电文的方式毙成，即 使客户机没肖提供正确的w e p 密铜也能和访问点进杼通信。在共享密铜的方法 孛，谤阕熹发送绘客户瓿一令谤瓣文本绩惠包，客声瓿必矮捷臻歪确豹w e p 密 钥对它进行编码，并且把它返阐游两点。如果客户机掇供的密锭错误或嚣搬本没 有提供密钥，说明身份验证失效，它将不会允许和访闯点进行通信。 一些w l a n 厂商支持基于客户机物理地址的身份验证方法。只有当客户机 鲍m a c 缝城譬访趣点所楚臻熬验涯表孛戆她垃摇殛激辩，访阉点才允谗客户规 与它送行逶穰。 ( 3 ) 廉拟专用网v p n 虚拟专用网v p n 加密机制是透明运行在w l a n 止的，它的使用独藏于任 何本地w l a n 安全方案，运行成本很高，且存在部分技术闯题没有彻底得到解 决，不荔予蜜辩瘦露。 2 3 无线局域网安全系统 无线局域潮安全系统由认证、加密、w l a n 三郯分组成，如图2 3 所承。 获逶效零：逶遂i e e e 8 0 2 i x ，e a p ，r a d i u s 我议验涯售患熬发送毳楚合 法的而不最跨充的，验证信息的究整性，是防止主动攻击的重要技术，对开放环 境中的各种信息系统的安全性有煎要的作用。 加密技术：应用对称的密钥、公钥密码、密钥锗理来隐藏和保护需翳保密 魏售惠。 w l a n 技术：是计算辊隧络萼无线遥信技术穗结合鲍产终，有m a c 层移 物理层组成。 第二章无线局域网安全分析 图2 3 无线局域网安全系统结构示意图 f i s = - e = z 3s k e t c hm a p o fw l a n s a f e t ys y s t e m 2 4 无线局域网安全业务 既然网络面临着诸多安全威胁，就有必要采取安全防护措施来保护网络的正 常通信，这些措施通常称为安全业务。主要的安全业务有以下5 种 2 4 1 认证 认证业务提供了关于某个人或者某个事物身份的保证。这意味着当某人( 或 某事) 声称具有一个特别的身份( 如某个特定的用户名称) 时，认证业务将提供 某种方法来证实这一声明是正确的。口令是一种提供认证的熟知方法。认证是一 种最重要的安全业务，因为在某种程度上所有其他安全业务均依赖于它。 m 珏8 0 2 1 l 由于是无线网络，移动台在物理上接入十分方便，这便对认证 技术提出了较高的要求，必须能高效地鉴别用户身份，阻止非法用户进入网络。 2 4 2 访问控制 访问控制的目标是防止对任何资源( 如计算机资源、通信资源或信息资源) 1 3 广东工业大学工学硕士学位论文 进行非授权的访问。所谓非授权访问包括未经授权的使用、泄露、修改、销毁以 及发布指令等。用户在获得这些授权之前必须进行身份识别，也就是认证。访问 控制直接支持保密性、完整性、可用性以及合法使用的安全目标，它对保密性、 完整性和合法性使用所起的作用是十分明显的 2 4 3 保密 保密业务就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体 ( 例如，人或组织) 。这里需要区别“信息”和“数据”的概念。信息是有意义 的部分，而数据只是一些比特串，是用于存储和传输信息的编码表示。 保密业务又可细分为两种类型：数据保密业务和业务流保密业务。数据保密 业务使得攻击者想要从某个数据项中推出敏感信息是十分困难的，而业务楼保密 业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。 2 。4 4 数据完整性 所谓数据完整性，是使接收方能够确切地判断所接收到的信息又没有在传输 过程中遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发 现完整性是否遭到破坏，还能采取某种措施从完整性破坏中恢复出来。另外，完 整性破坏往往是受到主动攻击的结果，因此该业务还应能提供报警、e l 志功能， 并采取反措施 2 4 5 不可否认 不可否认是防止发送方或接收方抵赖所传输消息的一种安全服务。也就是 说，当接收方接收到一条消息后，能够提供足够的证据向第三方证明这条消息的 确来自某个发送方，而使得发送方企图抵赖发送过这条消息的图谋失败。同理， 当发送一条消息时，发送方也有足够的证据证明某个接收方的确已经收到这条消 息。 1 4 广东工业大学工学硕士学位论文 第三章w e p 安全性分析 为了保障w l a n 中的实体问通信的安全，8 0 2 1 l 协议中包含了个由 w e c a ( w i r e l e s se t h e r n e tc o m p a t i b i l i t ya h i a n c e ) 制定的w e p ( w i r e de q u i v a l e n t p r o t o c 0 1 ) 协议，它规定了对无线通信数据进行加密的方法，并对无线网络的访问 控制、密钥管理等方面做出了具体的规定。w e p 协议是8 0