（计算机系统结构专业论文）基于wlan集成认证体系结构的ieee80211i协议分析与实现.pdf

摘要 摘要 随着无线局域网( w l a n ) 技术的飞速发展，其在国防、科研、教育、经济 等各行业中的应用日益广泛。但是，由于无线局域网安全标准存在多样性，导致 网络安全接入技术体制不统一，造成用户接入异构网络便捷性差、进行安全管理 配置困难、设备管理复杂和投资重复等诸多问题。 针对这些问题，我们提出了“w l a n 集成认证系统”的设计方案，目的在于 为用户提供一种解决异构网络接入认证互通性问题的方法，使用户可以自适应地、 便捷地接入多种技术体制的无线局域网络。 在“w l a n 集成认证系统”体系框架下，通过分析协议和相关源代码，本文 设计并实现了i e e e8 0 2 1 l i 协议栈安全模块软件系统。为此，本文首先分析了i e e e 8 0 2 。l l i 标准产生的背景、安全体系的主要特点和安全相关的关键技术；接着介绍 了“w l a n 集成认证系统”的设计思想、体系结构及系统构成；在此基础上，重 点描述了i e e e8 0 2 1 l i 安全模块的设计思想、实现方法，并对重点与难点部分进行 了详细分析；最后在实验室环境下构建了针对该模块的测试平台，并给出了部分 测试数据和最终结论。 关键词：无线局域网i e e e8 0 2 1 l i 集成认证访问控制 a b s t r a c t a b s t r a c t t h er a p i d l yd e v e l o p e dw i r e l e s sl o c a la r e an e t w o r k ( w l a n ) i sw i d e l ya p p l i e di n d i f f e r e n tf i e d s ，s u c ha sn a t i o n a ld e f e n s e ，s c i e n t i f i cr e s e a r c h ，e d u c a t i o n ，a n de c o n o m y f o rt h ed i s u n i o no fw l a ns e c u r i t yt e c h n o l o g yc a u s e db yv a r i e t yo fc u r r e n tw l a n s e c u r i t ys t a n d a r d s c u s t o m e r sh a v et of a c ew i t ht h ed i f f i c u l t yi na c c e s s i n gh e t e r o g e n e o u s n e t w o r k ，w h i c h c a u s e s m a n yp r o b l e m s ：i n c o n v e n i e n tu s a g e ，d i f f i c u l ts e c u r i t y m a n a g e m e n t ，c o m p l e xd e v i c em a n a g e m e n ta n dr e p e a t e di n v e s t m e n t an e ws c h e m eo fw l a n i n t e g r a t e da u t h e n t i c a t i o ns y s t e mi sp r o p o s e d i tc a nd e a l w i t ht h ep r o b l e mo fi n t e r c o r m e c t i o no fa u t h e n t i c a t i o n w i t hs u c hs c h e m e ，u s e r sc a l l a c c e s sw i r e l e s sn e t w o r k so f v a r i o u st y p e sa d a p t i v e l ya n dc o n v e n i e n t l y i na r c h i t e c t u r eo fw l a n i n t e g r a t e da u t h e n t i c a t i o ns y s t e m ，as o f t w a r es y s t e mo f i e e e8 0 2 1 l ip r o t o c o li sd e s i g n e da n di m p l e m e n t e d ，t h r o u 曲a n a l y z i n gp r o c o t o la n d c o r r e l a t i v ec o d e f i r s t l y , w ea n a l y z et h eo r i g i nb a c k g r o u n do fi e e e8 0 2 1 1 i ，f e a t u r e so f s e c u r i t ya r c h i t e c t u r ea n dm a i n l ys e c u r et e c h n i q u ew e r ea l s og i v e n ；s e c o n d l y , d e s i g n i d e aa n da r c h i t e c t u r eo fw l a ni n t e g r a t e da u t h e n t i c a t i o n s y s t e mi sp r e s e n t e d s u b s e q u e n t l nt h ed e s c r i p t i o nf o c u s e do nt h ed e s i g ni d e aa n di m p l e m e n t m e t h o do fi e e e 8 0 2 1lip r o t o c o lm o d u l ew a sp o s e d ，t h e nt h ee m p h a s e sa n dd i f f i c u l t yo ft h em o d u l eg o t d i s c u s s e di nd e t a i l ；f i n a l l y , w es e tu pat e s ts y s t e mf o rt h ei e e e8 0 2 1lim o d u l e ，a n d p r e s e n tt h et e s tr e s u l t sa n df i n a lc o n c l u s i o n k e y w o r d ：w l a n i e e e 8 0 2 1 l i i n t e g r a t e da u t h e n t i c a t i o n a c c e s sc o n t r o l 声明 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均己在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：塑墨查： 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论 文在解密后遵守此规定1 本学位论文属于保密在年解密后适用本授权书。 本人签名 导师签名 监盘： 日期 第一章绪论 第一章绪论 随着计算机技术和网络技术的蓬勃发展，网络在各行各业的应用日益广泛。 有线网络以其传输速度高，产品品牌及数量众多和技术发展速度快、成熟等优点， 在市场上有着较高的市场份额。然而，在上世纪九十年代之后，特别是新世纪的 到来，随着无线网络在技术上的成熟，产品种类的不断增加和产品成本下降，无 线网络应用在全世界已取得了较大的发展。特别是无线局域网的应用越来越广泛， 其本身也是有线局域网的一种很好补充。在未来随着信息技术极速发展，无线网 将依靠其无法比拟的灵活性，移动性和极强的可扩容性，使人们真正享受到简单、 方便、快捷的网络服务。相对于蓝牙、3 g 等无线技术，无线局域网已成为当前无 线领域中一个引人关注的热点。 1 1 无线局域网简介 1 1 1 无线局域网的主要特点 通常情况下，我们认为凡是采用无线传输媒体的计算机局域网都可称为无线 局域网( w i r e l e s sl o c a l a r e a n e t w o r k ，简称w l a n ) 。w l a n 是有线网络的延伸， 相比有线网络，其具有以下特点： 1 ) 安装便捷。 无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装 一个或多个接入点( a c c e s sp o i n t ，a p ) 设备，就可建立覆盖整个建筑或地区的局 域网络。 2 ) 使用灵活。 在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线 局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。 3 ) 经济节约。 由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需 要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计 规划，又要花费较多费用进行网络改造而无线局域网可以避免或减少以上情况的 发生。 4 ) 易于扩展。 无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就 能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫 游( r o a m i n g ) ”等有线网络无法提供的特性。 正是由于w l a n 的诸多特性，使得其取得了十分迅速的发展，特别是近几年， 2 基于w l a n 集成认证体系结构的i e e e 8 0 2 1 1 i 协议分析与实现 w l a n 已经在众多场合获得了广泛应用。w l a n 的技术基础仍然是传统的有线局 域网，是有线局域网的扩展和替换，它只是在有线的基础上通过无线访问点( a p ) 、 无线路由器、无线终端等设备使无线通信得以实现。与有线网络一样，w l a n 现 样也需要传输介质，只是w l a n 的传输介质是无线电波，而有线通信的传输介质 是双绞线、光纤等。 1 1 2 无线局域网的应用 基于无线局域网具有的诸多优点，它可广泛应用于下列诸多领域中： 1 ) 接入网络信息系统。 2 ) 难以布线的环境。 3 ) 频繁更换工作地点和改变位置的零售商、生产商，以及野外勘测、试验、 军事、公安和银行等。 4 ) 使用便携式计算机等可移动设备进行快速网络连接。 5 ) 用于远距离信息的传输。 6 ) 专项工程或高峰时。间所需的暂时局域网。 7 ) 学校、商业展览、建设地点等人员流动较强的地方；利用无线局域网进行 信息的交流；零售商、空运和航运公司高峰时间所需的额外工作站等。 8 ) 办公室和家庭办公室( s o h o ) 用户，以及需要方便快捷地安装小型网络 的用户。 1 1 3 无线局域网标准的发展 无线局域网是指以无线信道作为传输媒介的计算机局域网络，是在有线网的 基础上发展起来的，使网上的计算机具有可移动性，能快速、方便地解决有线方 式不易实现的网络信道的连通问题。 1 9 9 7 年6 月2 6 日，i e e e 8 0 2 1 1 标准制定完成，1 9 9 7 年1 1 月2 6 日正式发布。 i e e e 8 0 2 1 1 规定了统一的m a c 层，使得各种不同厂商的无线产品得以互联。物理 层标准定义了两个r f ( 射频) 传输方法和一个红外传输方法，两个射频传输方法 分别是跳频扩频和直序扩频，它们工作在2 4 0 0 0 g h z - 2 4 8 3 5 g h z 频段，跳频扩频 r f 支持1 m b p s 数据传输速率，直序扩频支持1 m b p s 、2 m b p s 数据传输速率。红外 传输方法工作在8 5 0 n m - 9 5 0 n m 波段，支持的数据传输速率为1 m b p s 、2 m b p s 。 1 】 无线局域网的真正推广，是在被称为w i f i 的i e e e8 0 2 1 1 b 标准发布以后。 1 9 9 9 年，i e e e8 0 2 1 1 无线局域网标准工作组发布了两个物理层的扩充规范，即 i e e e8 0 2 1 l b 、i e e e8 0 2 1 l a 。2 0 0 3 年又发布了i e e e8 0 2 1 l g 标准。下表列出了这 三种不同的i e e e8 0 2 1 1 扩展标准的特性。 第一章绪论 表1 1 三种协议性能比较 8 0 2 1 l b8 0 2 1 1 a 8 0 2 1 l g 标准批准时间1 9 9 9 年7 月1 9 9 9 年7 月2 0 0 3 年6 月 最大的数据速率1 1 m b p s5 4 m b p s5 4 m b p s 调制方式 c c k0 f d m0 f d m 和c c k 可选数据速率1 ，2 ，5 5 ，6 ，9 ，1 2 ，1 8 ， c c k ：1 ，2 ，5 5 ，1 l l v l b p s 1 1 m b p s 2 4 ，3 6 ，4 8 ， 0 f d m ：6 ，9 ，1 2 ，1 8 ， 5 4 m b p s2 4 ，3 6 ，4 8 ，5 4 m b p s 工作频段 2 4 2 4 8 3 5 g h z5 1 5 5 3 5 g h z2 4 2 4 8 3 5 g h z 5 7 2 5 5 8 7 5 g h z 可用频宽 8 3 5 瑚z3 0 0 m h z8 3 5 m h z 基于8 0 2 1 l a 的产品工作在更高的频段，具有更多不重叠的子频道和更高的数 据通信带宽，得到了较为广泛的应用。8 0 2 1 l a 和8 0 2 1 l b 工作在两个完全不同的 频带，采用完全不同的调制技术，因此两者是完全不兼容的，但可以共存于同一 区域中而互不干扰。 最新的8 0 2 1 l g 有两个最主要的特征：高速率和兼容8 0 2 1 l b 。8 0 2 1 l g 标准是 下一个主流的无线局域网标准，它提供了高速数据通信带宽，并以较为经济的成 本提供了对原有主流无线局域网标准的兼容。 另外，i e e e 除了制定上述的三个主要无线局域网协议之外，还在不断改善这 些协议，并推出或即将推出一些新的相关协议。如： 8 0 2 1 l d ，是8 0 2 1 l b 使用其它频率的版本，以适应一些不能使用2 4 g h z 频段 的国家。这些国家中的多数正在清理这个频段。 8 0 2 1 l e ，在8 0 2 1 1 系列协议中增加q o s 能力。它用t d l v i a 方式取代类似 e t h c m e t 的m a c 层，为重要的数据增加额外的纠错功能。 8 0 2 1 l f , 目的是改善8 0 2 1 1 协议的切换机制，使用户能够在不同的交换分区 间( 无线信道) 或者在接入设备间漫游。这就使无线局域网能够提供与移动通信 同样的移动性。该标准又称为i a p p 。 8 0 2 1 l h ，比8 0 2 1 l a 能更好地控制发送功率和选择无线信道，与8 0 2 1 l e 一起 可以适应欧洲的更严格的标准。 8 0 2 1 l i ，改善8 0 2 i l 最明显的缺陷一安全，这也是本文研究的重点。 8 0 2 n j ，目的是使8 0 2 1 1 a 和h i p e r l a n 2 网络能够互通。 8 0 2 1 l n ，速率增强至1 0 8 3 2 0 1 v l b i t s ；并己迸一步改进其管理开销及效率。 8 0 2 1 l r ，使接入点之间能够形成更快的漫游速度。该小组于2 0 0 4 年正式启动， 计划于2 0 0 6 年正式完成。 4 基于w l a n 集成认证体系结构的i e e e 8 0 2 1 1 i 协议分析与实现 8 0 2 1 1 s ，这也是i e e e 正在制订的一项标准，用于将接入点连接为主干通信 和网状网络。该标准小组于2 0 0 4 年初建立，目标是使接入点能够成为无线数据路 由器，就像今天的i n t e m e t 节点一样，将流量转发给邻近的接入点并进行一系列的 多级跳式传输。这种网格网络天生就具有较高的可靠性，因为它们可以自动绕过 故障节点，并且可以通过自行调节来实现流量负载平衡和性能优化。该标准的第 一份建议稿己发布，标准计划于2 0 0 6 年正式完成。 8 0 2 1 1 p l u s ，拟制订8 0 2 。1 1 w l a n 与g p r s u m t s 之类多频、多模运行标准， 可有松耦合及紧祸合两种类型。松耦合时两种网络分别部署，w l a n 仅利用g p r s 之类网络的用户数据库，可通过m o b i l ei p ( m i p ) 提供两网络问的移动性，通过 r a d u i s ( r e m o t ea c c e s s d a i l 抽u s e rs e r v i c e ，远程接入拨号用户业务) 实现 a a a ( a u t h e n t i c a t i o n a u t h o r i z a t i o n a c c o u n t i n g ，鉴权，授权和计帐) ，由于m i p 可能导致高传输时延，从而不容易达到无缝隙会话切换；而紧耦合时，w l a n 直 接连至业务支持节点s g s n 或标准化接口g b 、l u 等，w l a n 数据需经l t g p r s 之类核心网转发，完全按g p r s 方式进行a aa ，此时，能在两网络间提供很强的 移动性。为与蓝牙在2 4 g h z 频段较好共存，亦采用a d h o c 网络拓扑结构及自适应 跳频信道分配技术。 此外，欧洲电信标准化协会( e t s i ) 的宽带无线电接入网络( b r a n ) 小组也 着手制定h i p 瞰h i g hp e r f o r m a n c er a d i o ) 接入标准，任务之一是h i p e rl a n ，己推 出h i p e r l a ni 和h i p e r l a n 2 。h i r i e r l a nl 采用在g s m 网络中广泛使用的高斯最 小移频键控( g m s k ) ，速率能达到2 0 m b p s 以上。h i p e r l a n 2 与i e e e 0 8 2 1 1 a 一样 采用o f d m 并工作在5 g 频段，速率为5 4 m b p s ，是一种高性能的局域网标准。 h y p e r l a n 2 标准定义了动态频率选择、无线小区切换、链路适配、多波束天线和 功率控制等多种信令和测量方法，用来支持无线网络的功能，它的数据链路层是 面向连接的，因而能更好地实现服务质量( q o s ) 。目前支持h i p e r l a n 2 的厂商主要 是欧洲厂商。 2 0 0 3 年5 月1 2 日，我国发布了w l a n 国家标准并于1 2 月1 日起开始执行。 此标准的一个重要组成部分就是由宽带无线碑标准工作组制定的新的安全机制 “无线局域网鉴别和保密基础结构( w a p d ”。这是目前我国在w l a n 领域唯一获 得批准的协议，是针对i e e e8 0 2 1 1 协议安全问题所提出来的新一代无线局域网安 全解决方案。w a p i 采用国家密码管理委员会办公室批准的公钥体制的椭圆曲线密 码算法和私钥体制的分组密码算法，分别用于w l a n 设备的数字证书、密钥协商 和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信 息在无线传输状态下的加密保护【”。 另一种w l a n 技术h o m e r f ，是专门为家庭用户设计的，它是i e e e8 0 2 1 1 与数字无绳电话标准的结合，旨在降低语音数据成本。也采用了扩频技术，工作 第一章绪论 在2 4 g h z 频带，能同步支持4 条高质量语音信道。但目前h o m e r f 的传输速率只 有1 m 2 m b p s ，新版的h o m e r f 2 x 将速率增加到1 0 m b p s 。但是在速率更快、技术 更先进的8 0 2 1 l 和h i p e r l a n 的攻击下，h o m e r f 已不被看好。 目前由i e e e 制定的8 0 2 1 1 协议己经成为w l a n 普及的主流标准，符合此协 议的产品也最多，因此在目前它在市场依然占据着主导地位。本论文对w l a n 的 安全研究中，除特别指出，w l a n 均指的是8 0 2 1 1 无线局域网。 1 2 无线局域网安全技术 尽管无线局域网在各方面都取得了快速可喜的发展，但在发展过程中，安全 一直是制约其发展的最为关键的问题。当然，无线局域网相对于有线局域网而言， 所增加的安全问题主要是由于其采用了公共的电磁波作为载体来传输数据信号， 其他方面的安全问题两者共有的。 i e e e 于1 9 9 9 年制定的标准中存在着许多安全隐患。随着w l a n 应用的不断 普及，其安全问题受到越来越多的专业人士或非专业人士的关注。在因特网上流 传的最有影响的事件是w a rd r i v i n g 。实现该过程的方法也很简单：从网络上下载类 似于n e t s t u m b l e 等免费程序安装在便携式电脑上，配置一些简单的设备，如扩展 的天线，在需要探测的区域里走一圈，就可以获得未加保护的无线局域网的信息。 同时，结合g p s 系统，立即可以识别出这些网络的准确位置。一 1 2 1w l a n 的安全现状 由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域 内的几乎任何个无线局域网用户都能接触到这些数据。无论接触数据者是在另 外一个房间、另一层楼或是在本建筑之外，无线就意味着会让人接触到数据。与 此同时，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而 防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可 以截获和插入数据。 ， 因此，虽然无线网络和无线局域网的应用扩展了网络用户的自由，它安装时 间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能 漫游服务。然而，这种自由也同时带来了新的挑战，这些挑战其中就包括安全性。 而安全性又包括两个方面，一是访问控制，另一个是数据保密性。访问控制确保 敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人 接收和理解。由上述可见，真正重要的是数据保密性，但访问控制同样也是不可 忽视，如果没有在安全性方面进行精心的建设，布署无线局域网将会给黑客和网 络犯罪开启方便之门。无线局域网必须考虑的安全威胁有以下几种： 所有常规有线网络存在的安全威胁和隐患； 6 基于_ i r l a n 集成认证体系结构的i e e e 8 0 2 1 1 i 协议分析与实现 外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取： 无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入； 无线网络易被拒绝服务攻击( d o s ) 和干扰； 无线网络的安全产品相对较少，技术相对比较新。 下面将针对上面内容进行分析： 1 ) 常规安全威胁分析。 由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全 风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式 上的安全措施。 2 ) 非授权访问威胁分析。 无线网络中每个a p 覆盖的范围都形成了通向网络的一个新的入口。由于无线 传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实 体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网 络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网 络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览 移动终端上的信息，或为了通过受危害的移动设备访问网络，第四，入侵者和公 司员工勾结，通过无线交换数据。 1 2 2 w l a n 主要安全技术 一 为了阻止非授权用户访问无线局域网络，从无线局域网应用的第一天开始便 引入了相应的安全措施。通常数据网络的安全性主要体现在用户访问控制和数据 加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则 保证发射的数据只能被所期望的用户接收和理解。 具体来说，针对w l a n 主要有以下安全技术： 1 ) 无线网卡物理地址( m a c ) 过滤。 网络管理员可在a p 中手工维护一组允许访问或不允许访问的m a c 地址列 表，以实现物理地址的访问过滤。 2 ) 服务区标识符( s s i d ) 匹配。 无线工作站( s 1 a ) 必须出示正确的s s i d ，才能访问a p ；如果出示的s s i d 与a p 的s s i d 不同，那么a p 将拒绝其通过本服务区上网。因此可以认为s s i d 是 一个简单的口令，提供一定程度的安全保护。在a p 上对此项技术的支持就是可不 让a p 广播其s s i d 号，这样无线工作站端就必须主动提供正确的s s i d 号才能与 a p 进行关联。 3 ) 有线等效保密( w e p ) 。 有线等效保密( w e p ) 协议是由8 0 2 1 1 标准定义的，用于在无线局域网中保 第一章绪论 7 护链路层数据。w e p 使用4 0 位钥匙，采用r c 4 对称加密算法，在链路层加密数 据。w e p 加密采用静态密钥，各w l a n 终端使用相同的密钥访问无线网络。w e p 也提供认证功能，当加密机制功能启用，客户端要尝试连接上a p 时，a p 会发出 一个c h a l l e n g ep a c k e t 给客户端，客户端再利用共享密钥将此值加密后送回存取点 以进行认证比对，只有正确无误，才能获准存取网络的资源。4 0 位w e p 具有很好 的互操作性，所有通过w i - f i 组织认证的产品都可以实现w e p 互操作。现在的 w e p 一般也支持1 2 8 位的钥匙，提供更高等级的安全加密。 4 ) 端口访问控制技术( i e e e8 0 2 1 x ) 和可扩展认证协议( e a p ) 。 该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站 与无线访问点a p 关联后，是否可以使用a p 的服务要取决于8 0 2 1 x 的认证结果。 如果认证通过，则a p 为无线工作站打开这个逻辑端口，否则不允许用户访问。 8 0 2 i x 要求无线工作站安装8 0 2 1 x 客户端软件，无线访问点要内嵌8 0 2 1 x 认证代 理，同时它还作为r a d i u s 客户端，将用户的认证信息转发给r a d i u s 服务器。现主 流的p c 机操作系统w i n x p 以及w i n 2 0 0 0 都已集成了8 0 2 1 x 的客户端功能。 现在，安全功能比较全的a p 在支持i e e e8 0 2 1 x 和r a d i u s 的集中认证时支 持的可扩展认证协议类型有：e a p - m d 5 、t l s 、t t l s 和p e a p 。 5 ) 无线客户端二层隔离技术。 一在电信运营商的公众热点场合，为确保不同无线工作站之间的数据流隔离， a p 也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。 6 ) v p n o v e r - w t r e l e s s 技术。 目前已广泛应用于广域网络及远程接入等领域的v p n ( v i r t u a lp r i v a t e n e t w o r k i n g ) 安全技术也可用于无线局域网。与i e e e8 0 2 1 l b 标准所采用的安全技 术不同，v p n 主要采用d e s 、3 d e s 等技术来保障数据传输的安全。对于安全性 要求更高的用户，将现有的v p n 安全技术与i e e e8 0 2 1 l b 安全技术结合起来，是 目前较为理想的无线局域网络的安全解决方案之一。 7 ) w p a ( w i f i 保护访问) 技术。 在i e e e8 0 2 1 l i 标准最终确定前，w p a ( w i f ip r o t e c t e d a c c e s s ) 技术将成为 代替w e p 的无线安全标准协议，为i e e e8 0 2 1 1w l a n 提供更强大的安全性能。 w p a 是i e e e8 0 2 1 l i 的一个子集，其核心就是i e e e8 0 2 1 x 和t k i p ( t e m p o r a lk e y i n t e g r i t yp r o t o c 0 1 ) 。新一代的加密技术t k i p 与w e p 一样基于r c 4 加密算法，且 对现有的w e p 进行了改进。在现有的w e p 加密引擎中增加了“动态密钥”、“消 息完整性检查( m i c ) ”、“具有序列功能的初始向量”和“密钥更新”等4 种算法， 极大地提高了安全强度。t k i p 与当前w i f i 产品向后兼容，而且可以通过软件进 行升级。从2 0 0 3 年的下半年开始，w i f i 组织已经开始对支持w p a 的无线局域网 设备进行认证。 橐rw l a n 果成认让伴糸绡杓肋i e e e 8 0 2 1 1 i 协议分 ! r 与冕蜕 8 ) 高级的无线局域网安全标准- - i e e e8 0 21 l i 。 为了进一步加强无线局域网的安全性和保证不同厂家之间无线安全技术的兼 容， i e e e8 0 2 1 1 工作组i 工作小组( t g i ) 已制定了新的安全标准i e e e8 0 2 1 1 i ， 并且致力于从长远角度考虑解决i e e e8 0 2 1 1 无线局域网的安全问题。i e e e8 0 2 1 l i 标准中主要包含数据加密技术：t k i p 和a e s ( a d v a n c e de n c r y p f i o ns t a n d a r d ) ，密 钥管理技术，以及认证协议i e e e8 0 2 1 x ，i e e e8 0 2 1 1 i 将为无线局域网的安全提 供可信的标准支持。 1 3 论文主要内容及安排 本文主要对无线局域网i e e e 8 0 2 1 l i 协议中的关键技术进行了较深入的研究、 分析，并在“w l a n 集成认证系统”体系结构下，给出了该协议的完整实现方案。 本论文章节安排如下： 第一章绪论部分引入无线局域网的基本概念，并初步介绍了无线局域网的相 关知识和历史发展状况，最后阐述了当前的线局域网系统中主要安全技术。 第二章从安全认证技术入手，首先介绍了i e e e8 0 2 1 1 协议的基本理论，然后 就w e p 协议的给出了详细分析。 第三章从整体上给出了i e e e8 0 2 1 l i 协议的总体介绍，并对协议体系和协议安 全过程进行了介绍。 第四章重点分析了i e e e8 0 2 。i l l 协议的关键技术，访问控制，密钥生成，数据 加密。 第五章简单介绍了“w l a n 集成认证系统”项目的技术情况，并就其中关键 点进行了说明，最后给出了本论文所描述的工作与项目的关系及在项目中的位置。 第六章重点介绍了在“w l a n 集成认证系统”体系结构内i e e e8 0 2 1 1 i 协议 模块的设计与实现方案，并对其中重点与难点进行了详细说明。 第七章从研究与实现的角度对本文的工作进行的总结，并对后绪工作计划进 行了说明。 第二章无线局域网安全 9 第二章无线局域网安全 2 1 无线局域网基础理论 i e e e8 0 2 1 1 是i e e e 学会i e e e8 0 2 委员会制定的协议标准，该标准定义了无 线局域网物理层( p h y ) 和媒体访问控制层( m a c ) 的协议规范，允许无线局域 网及无线设备制造商在一定范围内建立无线网络的互联互通【l 】。 i e e e8 0 2 1 1 协议定义了四大物理结构： 1 ) 分发系统( d i s 仃b u f i o ns y s t e m ) ：是协议中的一个逻辑部件，它用来连接一 定数量的a p ，从而完成把数据帧传递到分发系统内的目的地。在i e e e8 0 2 1 1 中 并没有为分发系统指定任何特定的技术。 2 ) 接入点( a c c e s sp o i n t ，a p ) ：i e e e8 0 2 1 1 网络的数据帧必须经过转换后才 能传递给其他类型的网络。a p 就负责有线到无线的网桥功能。当然，a p 也有其 它一些功能，但桥接是其主要功能。 3 ) 无线媒介( w i r e l e s s m e d i u m ) ：为了把帧从一个工作站传到另一个工作站， 协议定义了无线媒介的概念。在协议中定义了几种不同的物理层，而且该系统结 构允许开发多种物理层来支持8 0 2 1 1m a c 层。 4 ) 移动站( s t a t i o n ) ：也即最终的用户。移动站是具有无线网络接口的设备， 典型的有笔记本电脑和手持计算机。当然，安装了无线网卡的台式机，也一样可 作为移动站。 2 1 iw l a n 协议栈体系结构 i e e e 8 0 2 1 1 定义的w l a n 核心结构如图2 1 所示。从图中可以看出，i n 的工作层有介质访问控制层( m a c ) 和物理层( p h y ) ，其中物理层又分为两个子 层p l c p ( 物理层收敛过程) 和p m d ( 物理介质相关) 两个子层。p l c p 子层通过 将m a c 层信息映射到p m d 子层，使m a c 层对物理介质的依赖性减到最低，而 p m d 子层则提供了对无线介质进行控制的方法和手段 7 1 。 ， 无线局域网的物理层采用扩频工作方式，包括f h s s ( 跳频扩频) 、d s s s ( 直 接序列扩频) 、h r d s s s ( 高速直接序列扩频) 和o f d m ( 正交频分复用) ，无线 工作频段为i s m ：2 4 g h z - - 2 4 7 8 5 g h z 以及u n i i ：5 7 2 5 g h z 一5 8 5 0 g h z ( 取决 于采用的标准) 。 1 0 基于w l a n 集成认证体系结构的i e e e 8 0 2 i i i 协议分析与实现 图2 1i e e e 8 0 2 i i 协议体系结构 在i e e e 8 0 2 1 1 体系结构内还包含两个管理实体( m a c 层管理实体m l m e 和 物理层管理实体p l m e ) 和管理信息库m m ( m a n a g e m e n ti n f o r m a t i o nb a s e ) ，分 别管理m a c 层和p h y 物理层。i e e e s 0 2 1 1 提供了一系列指令( p r i m i t i v e ) ，通过 专门的接口对管理信息库m i b 进行操作，从而控制m a c 层和p h y 层的工作状态。 2 1 2w l a n 的拓扑结构 8 0 2 1 1 网络中最基本的模块是基本服务集( b s s ) ，它只是由一群相互通信的工 作站组成。通信发生在一个模糊区域内，该区域被称为基本服务区域，它是由无 线媒介的传播特性来决定的。当一个移动站在基本服务区域内，它就能和b s s 中 的其它成员通信。b s s 存在两种不同的结构： 独立基本服务集( i n d e p e n d e n tb s s ) ，如图2 2 中左图所示： 幽2 2b s s 结构 在i b s s 中，移动站间直接通信，因此它们必须在它们通信的有效范围内。i b s s 可能会只有两个移动站，这是8 0 2 1 1 网络最小的可能情况。i b s s 通常是用来在移 动站间建立较短的通信，当通信结束时，i b s s 也就解散了。因为它们持续时间短， 规模比较小和目的性强，所以i b s s 有时候也被称为a d h o cb s s 。 基础网络( i n f r a s t r u c t u r en e t w o r k s ) ，如图2 2 中右图所示： 在基础网络中，a p 参与了所有的通信，包括在同一服务区的移动结点。如果 一个移动站需要和另外的移动结点通信，它必须经过两跳，第一跳是从源站到a p ， 第二章无线局域网安全 第二跳是从a p 到目的站。 扩展服务集e s s ( e x t e n d e ds e r v i c es e t ) ： 这实际上是由多个基本服务集构成的分布式系统( d s ) ，在逻辑链路控制层 ( l l c ) j 2 可等效为一个a d - h o e 结构。在这种结构中，a p 之间只负责交通转发，而 站点在e s s 范围内的移动，在更高层( 如u ) 是不可见的。 2 2 w e p 协议 相对于有线网络来说，通过无线局域网发送和接收数据更容易被窃听。设计 一个完善的无线局域网系统，加密和认证是需要考虑的两个必不可少的安全因素。 无线局域网中应用加密和认证技术最根本目的就是使无线业务能够达到与有线业 务同样的安全等级。针对这个目标，i e e e 8 0 2 1 1 标准中采用了w e p ( w i r e d e q u i v a l e n tp r i v a c y ，有线对等保密) 协议来设置专门的安全机制，进行业务流的加 密和节点的认证。它主要用于无线局域网中链路层信息的保密。w e p 采用对称加 密机理，数据的加密和解密采用相同的密钥和加密算法。如下图2 3 所示： 图2 3 加解密过程 2 2 1w e p 协议的安全目标 w e p 协议是一个保护链路层安全的协议，通过在通信实体间共享密钥提供对 传输数据的保护，w e p 设计的三个主要安全目标： 1 ) 消息机密性。 w e p 的首要目标就是防止故意窃听，通过使用r c 4 流密码算法对数据包载荷 和完整性校验值( i c v ) 进行加解密运算，提供数据的机密性。 2 ) 接入控制。 w e p 的第二个目标就是实现对用户的接入控制，通过合法用户之间的共享密 钥机制提供接入控制。 3 ) 消息完整性。 w e p 提供的消息完整性验证由循环冗余校验( c r c 3 2 ) 实现，通过验证完整 性校验值确定消息是否被篡改。 1 2 基丁= l a n 集成认证体系结构的i e e e 8 0 2 1 1 i 协议分析与实现 从密码理论的角度来说，这些安全目标能否实现最主要依赖共享密钥的安全 性，该共享密钥能否抗暴力攻击( f o r c ea t t a c k ) 是非常重要的。w e p 密钥长度有 两种，4 0 比特和1 0 4 比特，4 0 比特的密钥在强力攻击下是不安全的，1 0 4 比特的 密钥则是抗强力攻击的。 2 2 2w e p 加密过程 w e p 算法是明文与其等长的伪随机密钥序列按位模二相加的一种算法。它支 持6 4 位和1 2 8 位加密，对于6 4 位加密，密钥为1 0 个十六进制字符或5 个a s c i i 字符；对于1 2 8 位加密，密钥为2 6 个十六进制字符或1 3 个a s c i i 字符。6 4 位加 密又称4 0 位加密；1 2 8 位加密又称为1 0 4 位加密。w e p 依赖通信双方共享的密钥 来保护所传的加密数据帧。其数据的加密过程如下： 1 ) 计算校验和( c h e c ks u m m i n g ) 。 对输入数据进行完整性校验和计算。把输入数据和计算得到的校验和组合起 来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入。 2 ) 加密。 将2 4 位的初始化向量和4 0 位的密钥连接进行校验和计算，得到6 4 位的数据。 将这个6 4 位的数据输入到虚拟随机数产生器中，它对初始化向量和密钥的校验和 计算值进行加密计算。经过校验和计算的明文与虚拟随机数产生器的输出密钥流 进行按位异或运算得到加密后的信息，即密文。 3 ) 传输。 将初始化向量和密文串接起来，得到加密数据帧，在无线链路上传输。 w e p 完整加密过程如下图2 4 所示 1 j = 图2 4w e p 加密过程 2 2 3w e p 解密过程 在安全机制中，加密数据帧的解密过程只是加密过程的简单取反。 解密过程如下： 第二章无线局域网安全 恢复初始明文。 重新产生密钥流，将其与接收到的密文信息进行异或运算，以恢复初始明文 信息。 检验校验和。 接收方根据恢复的明文信息来检验校验和，将恢复的明文信息分离，重新计 算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和 的数据帧才会被接收方接受。 w i s p 完整解密过程如下图2 5 所荆1 】： 图2 5w e p 解密过程 2 2 4i e e e8 0 2 1 1 中w e p 认证过程 i e e e8 0 2 1 1 制定的认证技术主要有两种认证方式； 开放认证系统。 这种方式是最简单的方式，也是缺省方式。开放式认证由s t a 发起请求，认 证算法标识为开放式系统认证，如果对方s t a 认证算法标识也为开放系统认证， 则应答认证成功。因此，开放系统认证实际上并没有认证。 共享密钥认证( w e p 认证) 。 此种认证以w e p 为基