[硕士论文精品]wlan安全体系结构研究与设计

兰州理工大学硕士学位论文摘要WLAN安全体系结构研究与设计摘要无线局域网由于其方便快捷，广泛地应用于经济、生活和科研等不同的领域。无线技术正在改变着人们传统的工作学习方式，使人们能随时随地获得高质量的网络语音、数据和图像服务。随着无线局域网的不断普及，无线局域网的安全成为目前计算机网络方面的热门话题。确保无线局域网的安全，主要从两个方面进行考虑一方面是加强认证技术，另一方面是提高加密强度。本文主要从加强IEEE802IX端口认证协议的角度进行探讨，结合RADIUS协议，EAPTLS协议的优点，综合起来确保无线网络的安全。以无线自组网技术为基础，从无线网络的固有特性出发，分析了IEEES021L标准在保证用户安全接入方面的功能和不足，阐述了由于单向认证、WEP加密机制和静态密钥分配等原因导致的针对无线局域网的多种网络攻击。论文对如何通过加强IEEE8021X协议及EAPTLS协议的安全性来加强无线局域网的安全做了细致的探讨。提出了在网络端口访问控制标准IEEE8021X用户认证协议的基础上设计无线局域网安全控制的方案，采用双向认证协议EAPTLS来提供基于数字证书的验证以及无线局域网客户端和网络之间的相互认证，采用动态会话密钥分发机制，实现了包括安全认证、密钥管理、数据保护等安全功能，并提出了解决无线局域网安全的主要技术方案。最后，设计和实现了基于IEEE8021X协议、EAPTLS协议和RADIUS协议的WLAN综合安全体系结构，结合自由软件REDHATLINUX操作系统，FREERADIUS认证服务器，XSUPPJCANT客户端软件，构建系统实验平台，进行相关实验验证。关键词无线局域网，IEEE8021L标准，WEP协议，EEE8021X协议，EAPTLS协议，RADIUS协议，安全认证，密钥分发LANZHOUUNIVERSITYOFTECHNOLOGYMASTERPAPERABSTRACTRESEARCHANDDESIGNOF氍舂NSECURITYARCHITECTUREABSTRACTWLANISWIDELYAPPLLEDINDIFFERENTFIELDSOFECONOMY，LIFEANDRESEARCHFORITSCONVENIENCEANDEFFICIENCY。WLANISEHANGINGOURTRADITIONALWAYSOFWORKINGANDSTUDYINGANDMAKEITAVAILABLETOACHIEVEHIGHQUALITYSERVICESOFVOICE，DATAANDIMAGEINANYTIMEATANYPLACEWITHTHECONSTANTPOPULARIZATIONOFWLAN，THESECURITYOFWLANHASBEENBECOMINGAHOTTOPICINTHERESEARCHOFPRESENTCOMPUTERNETWORKSTHEREARETWOWAYSTOENSURETHESECURITYOFWLAN，ONEISTOIMPROVETHETECHNOOGYOFAUTHENTICATION，ANDTHEOTHERISTOUSETHEENCRYPTION。THEPAPERMAINLYDISCUSSESTHETECHNIQUESOFWLANSEEURITYFROMTHEANGLEOFENHANCINGTHEIEEE802。LXAUTHENTICATIONANDBANDSTHETECHNOLOGYOFRADIUSPROTOCOLANDTHEAUTHENTICATIONOFEAPTLSTOGETHERTOIMPROVETHESECURITYINWLAN。THEPAPERBASEDOILTHEWIRELESSSELFORGANIZEDNETWORKTECHNOLOGYANALYZESTHEFUNCTIONSOFTHESECURITYCONTROLMECHANISMOFWIRELESSSTATION7SACCESSTOWLAN。BUTITALSODEMONSTR辑TESTHATTHEAUTHENTIEATIONANDENCRYPTIONMECHANISMSPECIFIEDBYIEEE8021LSTANDARDDOESNTPROVIDEENOUGHSECURITYGUARANTEESTOWLAN，SUCHASONEWAYAUTHENTICATION，WEPPROTOCOLANDSTATICKEYDERIVATIONWHICHINDUCEKINDSOFATTACKSTOWLANTHEPAPERMAKESAFURTHEREXPLORATIONONHOWTOSTRENGTHENTHESEEURITYOFWLANBYENHANCINGTHESECURITYOFIEEE802。IXPROTOCOLANDEAPTLSPROTOC01ITPROPOSESTHESCHEMEOFTHEUSERSECURITYMANAGEMENTSYSTEM，WHICHISBASEDONPORTACCESSCONTROLSTANDARDIEEE8021XINADDITIONITPROVIDESMUTUALAUTHENTICATIONVIAEAPTLSPROTOCOLBASEDONBEINGVERIFIEDWITHDIGITALCREDENTIALSBETWEENWIRELESSSTATIONANDNETWORKITALSOADOPTSDYNAMICKEYDERIVATIONTOREALIZESECURITYAUTHENTICATION，KEYMANAGEMENTANDDATAPROTECTION，EREMEANWHILE，ITOFFERSSOLUTIONSOFMAJORTECHNICALSCHEMESTOWLANSECURITYFINALLY，ITDESIGNSANDREALIZESTHEINTEGRATEDSECURITYARCHITECTUREONTHEHASISOFIEEE8021XPROTOCOL，E妒一TLSPROTOCOLANDRADIUSPROTOCOL。FURTHERMORE。ITBUILDSUPATESTINGPLATFORMACCORDINGTOREDHATLINUX0S，FREERADIUSAUTHENTICATIONSERVERANDXSUPPLICANTCLIENT，INCLUDINGTHESERIESOFRELATEDTESTSTOVALIDATETHE8RCHITEETUEKEYWORDSWLAN，IEEE80211，WEP，IEEE802IX，EAPTLS，RADIUS，SECURITYAUTHENTICATION，KEYDERIVATION原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得兰州理工大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名硷谶日期鲨坚年月丝日关于学位论文使用授权说明本人了解兰州理工大学有保留、使用学位论文的规定，即学校有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文；学校可根据国家或甘肃省有关部门规定送交学位论文。作者签名色I垒导师签名日期趔年一月三芝曰眵兰州理工大学硕士学位论文第一章绪论1。1课题背景第一章绪论J疆信技术发震豹最终弱拣是任褥入WHOEVER，在强何辩候WHENEVER，与任何地方WHEREVER的任何人WHOMEVER，进行任傅形式WHATEVER的遐信。这就是所谓的5W通信。为此，人类正在不断地致力于个人通信业努PCSPERSONALCOMMUNICATIONSYSTEM黥研究与开发，特裂楚在移动环境下静多媒体通信跫未来的重要通信服务。随着无线局域网技术上的成熟，产品种类的不断增加和产品成本下降，未来几年，无线局城网的应用将越来越广。可以预期，在朱来信息无处不在的薅代，纛线鼹涛依靠其灵活性、哥移动性弱蓬努豹扩容俊，能够饺大们事受到简单、方便、快捷的网络连接服务N。任何网络，包括有线网络都受到大爨安全问题的困扰，包括来自网络用户的攻击、拳认谖用户靛存取投以及来叁公司或者工幸筝缝外部躯窍褥。灏予茏线媒体静开放性，窃听是无线通信常见的问题，所以无线网络的安全性比有线网络更受到关淀，对接入WLAN的用户必须进行按入控制和消息加密。纛线鼹域爨是一耱灵活、方镬懿连耀方案，蓑概念晕己经密魏，傻富予受带宽和信号范围的约束，始终没有淹出实验璧，直到TEEE80211工作小组钟对无线局域网的11MBITS规范进行了最后的标准化无线局域网才得到商用。该小组先后出农过一系捌标毽，主要考IEEE802118纛IEEE802。L珀帮IEEES02。1LG。速些标准在传输带宽上有很大的区别，但它们所采用的安全机制则是完全相同的”。随着IEEE8021L标准的发布，无线局域网的设计和应用得到了迅速的发展，瀵是了人了在一定区域内实现不闰鼗移动办公豹爨求，安全润题键随之产生。IEEE80211系列标准所定义的规范也提供了些安全的解决手段，如SSID，淞C技术和WEP加密等。假随蔚人们对无线局域阏技术的逐渐熟悉与了解，黑客的水平瞧不羧地上涨。因此，如侮研突出安全浆，番效戆笼线阂络懿安全解决方案戳确保一定时期内无线局域网的安全就成为了当务之急，特别是在当前的日盏普及的这种无线髑域两时代的到来就更加的紧遗。12课题来源及研究现状本课题来源于甘藤省囊然科学基金孵IRELESSLAN安金技术研究绽号3ZS042一B25002。秃线弱域瓣中，安全瓣概念圭簧俸鬓为谤滴控麓帮信惠保密掰部分，前者崮服势识别号SSID机制保障，但SSID本身缀不安全，服务区号宠全可以邋过窃听或其它简单手段来获得，因此，这种访问控制机是非常初级的。虽然，IEEE80211标准定义了WEP，使数据笼法被滥野翟修改，爱井穗提供接入控稍。毽是，据薪鲻信宠立分校的研究学者的实验的发现，WEP协议存在严羹的缺陷，可导致信息被破译筹B修改。无线局域网中存在如下几种安全隐患K“”兰州理工大学硕士学位论文第一章绪论1掇绝月壁务攻击。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网鞠同频率静干挽信号来干虢网络的难常运行，从而导致正常的用户无法使用网络。如果攻卷者有足够功搴的无线魄收发爨，就SG够缦容易域产生于拭信号，以致予无线局域网无法使用这个无线电信道。2光线窃听。无线局域网中，嘲络毂安全尤其露唆挑战，无线电信号可越传援至办公室癸瑟，利用这点，入侵者就可以在建筑物外面来访问无线局域网，也就可以窃听网络中传输熬数据。3其他问题。在局域嗣中还有一种比较特别的置信攻击，攻击者可以将自己伪造成为基站。熬莱攻鸯者据有个镊强豹发送设备，就可魏证移动设备尝试登录至8攻击者的网络，通过分析找赶密钥和阴令。除此之外，无线局域网墩缀容易受到一些针对系统缺点的攻击，例如软件BUG、配置错误和硬件失败等。鑫蘸无线局域瘸豹安全橇铡主要体琉在3个方蕊加密算法；IEEE802。11标准采用RC4算法，它是一毒【I滚密玛舅法。认证IEEE80211标准采用了两种认诳方法。共享密钥认证和开放系统认迸。密钥管理采用了挑战应答传送和接收密钥舱方式。目前，针对IEEE80211的无线局域网的安全机制所存在的缺陷，豳内外的研究主要体瑗在嚣个方瑟静先楚针对磊前鹣安全袄隆疆密一篓改遂的方案。综合黻来有1修正WEP机制，通过对RC4算法进行改进以掇高WEP机制的安全。2采焉IPSEC技本，帮由瓶勰臻户建立专霜酌VPN通道采提高网络的安全性。3配合其他的安全机制。除了WEP外，WLAN也可配合SSH或SSL等网络安金辊麓。其次，为了避一步加强无线网络的安全性，IEEE80211R作组正在开发叛的安全标准IEEE80211I。标准的草案主要包含TKIP临时密钥完整性协议、AES先进靛熬密擂翳熬密技术和琶882。LX试诞裔议“831。IEEE80211I任务组I委员会已经制订了II寸密钥完整性协议TKTP，乍为过渡解决方案。TKIP像WEP一样基于RC4加密，但以另种方式实施，解决了WEP霆嚣存在的脆弱瞧。它握L冬了浚速蔓耩密锈静翡能。IEEE802，TII在搬开发个使用AES赢级加密标准的新协议，以实施受强大的加密和信息完熬性稔查。IEEE8021LI采用IEEE8021X鉴权。IEEE80211I将瞧舞增强熬握密格式耱鉴权撬锚，翔R矗D资，KERBEROS帮IEEE802IX。IEEE80211I的许多安企增强特性可以通过固件升级浓完成，蕊有些必须通过硬件来完成，对现有无线设备缺乏兼释性。无线鼹域嬲豹安全技术疆突比较领先兹主要是美国耧欧溺鹣缝织，将剐怒大学。如美国的CARNEGIEMELLONUNIVERSITY，JOHNSHOPKINSUNIVERSITY，SUNY兰州理工大学硕士学位论文第一颦绪论BUFFAIO，UNIVERSITYOFMARYLAND，AUBURNUNIVERSITY，荚隧的MANCHESTERUNIVERSITY等在此课题上都有比较领先的优势。我国静无线髑域潮的安全授术研究趣步较浼，研究不是穰系统，僮我国对这个领域也很重视，最近鲍几年也集中了不少的人力和物力对此进行礤究，搞彳导比较好的有北京邮电大学，米南大学等高校。目前，我国己经颁布了自己的两项国家标准。偿釜予无线硒域两应麓静不断普及，我国还是应该花更多的甜闻对此问题进行研究，不论是对商业剥夔来谈，逐是对国家利益来说，都蠢巨大蛉重要拨。13辫究内容及论文缀织本人在三年的研究生学习中，一直在做无线局域网安全技术的研究，在导师纛占亭教授熬指导下，锻了较长惑闯憝炎料燕邂秘搜集王佟，主要集中在墓内夕螅骥究现状的分析以及课题的可行性分析。2003年，本人作为项目负责人，主持菇完成了兰州理工大学校西PL,AN覆盖工程的方案设计和施工监理工作。并进行稆关的技7式磅发，从中也积累了一定的经验，发表了多瓣核心期刊帮国际会议论文。2004年，作为项目负责人获批甘肃省基金项目“WIRELESSLAN安黛技术研究”编号3ZS042B25一002。本文主要走察包援；1掇出无线弱域啜戆安全试诞系绞懿模型。谈涯枧铡溪用了EAPTLS，认证服务器采用霸前比较成熟的RADIUS服务器。2本文提出WLAN安全讽证稀密锈篱理的软件方案，实现了包括安全认证，密锱管理、数据保护等安全功能，并存效保证了无线局域圈中数据交换躲安全性帮可爨性。3总结了翦人关于无线局域网安全的最新研究成果。本文主要章节内容安稚第二章分绍了无线是域网魄发展历史，无线鼹域网的倪势，无线局域鼷黪标准，以及无线局城网的主要应用领域。第三章蓬点对无线届域两的主要安全措施的缺陷及改进散了介绍，论述了解决光线局域网安全豹主臻愚践。第四章对IEEE8021X协议及EAPTLS协议、RADIUS认证等技术进行介绍”。“”。，还对无线届域两的密锈管臻，豳步弦手密锈协商税铡进行了论述，为WLAN系统安全模型敬建立做好准餐。第五章提出了无线局域网安全认证系统的模型，包括安全系统结构设计，试验平台搭建和相瘦静两络实验分祈。最爱，对硕士论文质傍工L乍傲了总结秘展塑。3兰州理工大学硕士学位论文第二章WLAN概述第二章WLAN概述无线局域网WLAN是采用无线传输媒体的计算机局域通信网络。1971年夏威夷大学的学者创造了第一个基于数据包传输的无线网札0HANET“3，它实质上就是第一个WLAN。进入20世纪90年代，人们要求在任何时间、任何地点都能使用网络资源，而传统的有线网络很难实现可移动的通信。因此，在这种趋势和要求的推动下，导致了WLAN的发展与进步。21WLAN的优势1安装便捷一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。而WLAN最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点ACCESSPOINT设备，就可建立覆盖整个建筑或地区的局域网络。2使用灵活在有线网络中，网络设备的安放位黄受网络信息点位置的限制。而一旦WLAN建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。3经济节约由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。4易于扩展WLAN有多种配置方式，能够根据需要灵活选择。这样，WLAN就能胜任从只有几个用户的小型局域网到上千用户的大型网络。22IEEE80211标准1985年美国联邦通信委员会FCCFEDERALCOMMUNICATIONSCOMMISSION授权普通用户可以使用“工业、科技、医学”ISMINDUSTRIAL，SCIENTIFICANDMEDICAL频段，而且使终端用户无需向FCC申请就可以直接使用设备，从而把无线局域网WIRELESSLOCALAREANETWORK，缩写WLAN的研究朝着商业化的方向发展。但在这一时期由于没有统一的标准，各家公司生产的无线局域网络设备无法互相连接。221IEEE80211为了解决不同公司无线局域网络WLAN系统之间的互操作性问题，国际电子电气工程师协会IEEE8021L工作组研究并制定了无线局域网标准。1997年6月26日，无线局域网标准IEEE80211制定完成并于同年11月26日正式发布“，3。“。IEEE8021L标准规范了无线局域网物理层和介质访问控制层MACMEDIAACCESS兰州理工大学硕士学位论文第二章WLAN概述CONTR01协议，它对应开放式系统互联参考模型OSIOPENSYSTEMINTERCONNECTREFERENCEMODEL的下面两层。IEEE80211标准只定义了一种类型的MAC子层，但是它可以对应三种不同类型的物理层。这三种物理层分别为红外线基带物理层和两种无线频率物理层。无线频率物理层分为工作在24GHZ频段上的调频扩展频谱FHSS方式以及直接序列式扩频DSSS方式两种。MAC子层采用了载波侦听多点接入避免冲撞协议CSMACACOLLISIONSENSEMULTIPLEACCESSWITHCOLLISIONAVOIDANCE。可提供1MBPS或2MBPS的工作速率。IEEE8021L规范的实际应用以使用DSSS技术为主流。8021L标准的产品传输速率慢以及成本高等原因限制了无线局域网的发展。222LEEE802。”B1999年底IEEE80211工作组公布了80211B标准，解决了80211标准传输速率慢的问题，从根本上改变了无线局域网应用受限制的状况。由于FCC规定24GHZ频段不需要申请就可以使用，所以80211B标准仍然使用开放的24GHZ频段。80211B标准在80211标准的基础上改进了物理层协议提高了传输的速率和传输的可靠性。8021LB标准只定义了一种直接序列扩频DSSS物理层，最高可提供11MBPS的传输速率。80211B标准可在11MBPS，55MBPS，2MBPS，19BPS中选择一种。8021IB标准的系统可以与速率为1MBPS或2MBPS的80211标准的DSSS系统交互操作，但是无法与LMBPS或2MBPS的80211标准的FHSS系统交互操作。1999年CISCO，IBM，INTEL，3CORN，NOKIA和MICROSOFT等厂商成立了一个非赢利组织无线以太网兼容性联盟WECAWIRELESSETHERNETCOMPATIBILITYALLLANCE。为了实现真正意义上的多厂商产品的互操作性，WECA组织通过对不同厂商的产品进行8021LB标准规范的验证，对符合该组织认证并经互通性测试认可的产品颁发WIFIWIRELESSFIDELITY证书，因而8021LB产品又称为WIFI产品。80211B产品的实际工作速率在5MBPS左右，与普通10MBPS的有线局域网处于同一水平，满足了人们在一定区域内移动办公和家庭宽带无线接入的需求。目前8021LB标准己成为无线局域网的主流标准被大多数厂商采用。自从8021LB标准公布以来无线局域网得到了快速的发展，特别是家庭宽带无线接入、企业无线局域网和热点地区机场、咖啡馆、展览馆等无线接入等应用。223IEEE80211A1999年IEEE还批准了另一个高速无线局域网标准IEEE8021LA。80211A与80211B不同，工作在5GHZ频段物理层，最高速率可达54MBPS，传输层速率可达25MBPS。8021LA的5GHZ频段的带宽比8021LB的24GHZ频段的带宽要宽的多。8021LA另一项重大的改进就是采用了正交频分多路复用OFDMORTHOGONALFREQUENCYDIVISIONMULTIPLEXING编码技术替代了DSSS编码技术。8021LA可根据无线信道兰卅I理工大学硕士学位论文第二章WLHN概述的质量自动调整数据的传输速率，共有8种传输速率分别为54MBPS、48MBPS、36MBPS、24MBPS18MBPS、12MPBS、9MBPS和6MBPS。由于8021LA标准具有带宽较宽和传输速率高等特点，因此采用8021LA标准的无线局域网特别适用于用户比较多的场所，例如机场展览中心等热点地区的无线接入。2241EEE802119由于IEEE8021LA与IEEE80211B的工作频段和调制方式都不同，因此两种标准的产品之间不能互联。已采用80211B标准的用户无法通过购买8021LA标准的设备对原网络进行升级、提升传输速率。为了解决此问题IEEE成立了专门工作组从事802。LLG标准的制定。8021LG标准建构在原有的IEEE80211B标准的基础上选择了24GHZ工作频段，但传输速率较11MBPS高，让己拥有80211B产品的用户能够通过采用802119的产品达到一个提升无线网络速度的目的。2002年9月，8021LG标准草稿己初步通过，这项标准的定稿将最终于2003年5月。23IEEE80211典型拓扑IEEE80211框架可被很好的描述成为一系列相互联系的单元，其组成如下无线设备、基站、无线介质、分布式系统、基本服务群、扩展服务群和分布式服务。所有这些单元的无缝连接协同工作，使得无线设备如同有线设备一样有能力在无线局域网中漫游、定位。IEEE8021L标准的基本核心是基本服务群BSS，BASICSERVICESET。由个和多个无线设备组成，在一个无线单元中它们同一个唯一基站联系。如果没有回连到一个有线网络，这称为独立型INDEPENDENT基本服务群。IEEE80211标准中定义了两种网络拓扑结构移动自组网络ADHOCNETWORK和基础结构网络模式INFRASTRUCTURENETWORK231移动自组网络ADHOENETWORK自组网络是一个独立的BSS，支持无线站点之间相互通信。每个用户能与其他所有用户之间进行点对点的通信，但网络中没有AP和中枢链路基础结构，不支持与有线网络连接，如图21所示。这种网络建网较容易，费用较低且抗毁性好，在任何时间内，只要任意两台电脑互相都在彼此的网卡通讯范围内就可以建立一个独立的自组网络。但是当网络中站点数过多时，信道竞争成为限制网络性能的要害，而且为了满足任意两个站点可直接通信，站点布局受环境限制较大。这类网络结构一般使用公共广播信道，每个站点都可竞争公用信道，通过广播的方式通知其他节点自己的身份；另一种机制是自动选定一个无线站点作为该网络的主站点，而其它站点作为从站点。兰州理工犬学礤士学位论文第二章WLAN概述ADHOC鼹络一个缀好的应周就是在公司内努襄务会议时，每个员工只要锘蓑爨己的笔记本电脑到会议室就可以相互通讯，相互之间可以分事设计或公司的财务信，凰星2，3。2基础结构网络1MERASTRUCTURENETWORK秃线弱域网钓另一种阏络结构就是基础结构网络JNFRAGTRUCTURENETWORK，如图22赝暴。在大多数纛线爨蠛网款应用孛磐采怒了这秘嘲络结梅。基础结构网络允许无线用户接入有线网络抉享有线网络的资源，AP是连接有线黼络与无线嗣络的节虑。AP所覆盖的区域和它所连接的无线站点以及其它相关的设备组成一个基本攀元BSS，透过部分霪叠BSS葶爨分布式系绞可以使一个无线漆点在ESS范阐内进行网络漫游并保持持续访问原来的网络资源不被中断。这类网络结构的弱点就是抗毁往差，AP的故障容弱导致全网络瘫痪。另外AP的引入也增加构建嘲终的成本。圈22基础结构模式WLAN7兰州理工大学硕士学位论文第三章WLAN安全机制311|IFL州安全综述第兰章WLAN安全机制IEEE802儿BAG标准的发布提升了无线局域网的传输速率和性能，改变了其应用受限制的状况。近期，无线局域网的应用得到了迅速的发展，满足了人们移动办公和随时无线宽带接入的需求。随着应用的增多，由于无线信道的固有特性和安全机制的缺陷引起的网络安全问题也日益明显。无线传输的媒质是共享和开放的，无论工作站点在何处只要能接受到无线信号，就可以监测到局域网内的所有发送和接受的数据，因此无线局域网比有线局域网更容易被窃听和入侵。无线局域网移动通信系统的安全威胁，根据攻击的位置可分为以下几类无线链路威胁、服务网络威胁和终端威胁。1无线链路威胁“1非授权访问数据入侵者可以窃听无线链路上的用户数据、信令数据和控制数据，甚至可以进行被动或主动流量分析。对完整性的威胁入侵者可以修改、插入、重放和删除无线链路上的合法用户的数据。拒绝服务攻击入侵者通过在物理上或协议上千扰用户数据、信令数据和控制数据在无线链路上的正确传输，来实现无线链路上的拒绝服务攻击。2服务网络威胁非授权访问数据入侵者在服务网内窃听用户数据、信令数据和控制数据，非授权访问存储在系统网络单元内的数据，甚至可以进行被动或主动流量分析。对完整性的威胁入侵者可以修改、插入、重放或删除用户的业务数据、信令数据或控制数据；还可以假冒通信的某一方对通信的数据进行修改，甚至可以修改存储在网络单元中的数据。拒绝服务攻击入侵者通过在物理上或协议上干扰用户数据、信令数据或控制数据在网络中的正确传输，来实现网络中的拒绝服务攻击；还可以通过假冒某一网络单元阻止合法用户的业务数据、信令信息或控制数据，从而使合法用户无法接受正常的网络服务。否认用户可能对业务费用、业务数据来源或对接收到其他用户的数据进行否认；网络单元否认发出信令或控制数据或否认接收到其他网络单元发出的信令或控制数据。非授权访问服务入侵者可能模仿合法用户使用网络服务，也可能假冒服务网，当有合法用户接入时就有可能获得网络服务；入侵者还可假冒归属网，以获取使其他假冒某一用户所需的信息；用户滥用其权限以获取对非授权服务的访问；服务网滥用其权限以获取对非授权服务的访问。3终端威胁与终端相关的安全威胁攻击者利用终端的终端设备访问系统资源。对系统内部工作有足够了解的攻击者可能获取更多的访问权限。兰州理工大学硕士学位论文第三搬WLAN安全机制攻患者利用媸来的终端超出允许的范围谤阅系统。通过修改、插入或删除终端中的数据以破坏终端数据的完整性。通过修改、擂入箴秃J豫璐I黼卡中的数据以破环USIM卡数疆的完整往。无线岗域刚和传统有线局域网，均襁合理毒的网络块议。网终系绞的安全涉及到平台的各个方面。按照网络OSL七层模型，网络安全贯穿于整个七鼷模型。针对溺络系统实际运行的TCPIP协议，潮络安全贯穿于信惠系统的4个层次。对应黼络系统的安全体系层次模型，如表3L掰示。表3I两络系统的安全体系屡次模型应用层应用系绫艨用慰应用系统安全应用平台应用平台安全会落层会话安全网终层安全爨壶访阉控制数据链路层链路安全糖理层物理屠信息安全1物理层物理层信息安全，主要防止物理通路的损坏、物理通道的窃听、对物理通路韵攻击干扰等。2数据链路层保涯链鼹层的网终安全，像涯遥过网络链鼹媾送懿数据不被窃听。主耍采用加密通信远程网等手段。3辩络层网络层躺安众需要傈诚网络只给授权的客户使闱授税的段务，保证瞬终路出芷确，避免被拦截或鼗眠。4操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全，葡时能够对该操作系统上的巍用迸行审计。5应用平台应鼹平台攒建立在网络系绫之上的农层软终L爨务，热数据痒簸务器、电子邮件服务器、WEB服务器等。由于应用平台的系统非常复杂，逶常采弱多稀技术骊SSL等来增强应用平台的安全往。6应用系统应用系统敕最终曩的是为用户服务。应熙系统熬安全与系绞设计和实现关系密切。应用系统促使应用平台提供的安全服务来保证基本安全，魏遥信内容安全，通信黢方的认证，审计等手段。由于无线局域嘲是采用慰频技术进行网终连接及传竣的嚣效式甥瑷系绞，其安全性要表现在物理层、链路层和网络层，其他几个方面的安全性与有线网类似。掰络静安全策珞获吴体上壤是与TCPIP协议褶符合静。魏栗原先的安全策皤是为一个封闭的商线局域蚓恧制定黪，如果弓L入了一个戏多令无线局域网应用，傻定在无线局域网自身能提供良好的安全保障情况下即无线局域网可以提供良好的安全缣漳，苏黪矜萁传输方式豹改交掰带来静在麓疆层、链潞层和网路层上的安金变化，完全可以把薪增的无线局域网当传一个或多个子网来对待，无须对联有安全策略做根本性调整。兰州理工大学硕士学位论文第三章WLAN安全机制311物理层的安全目前，无线局域网使用的扩频技术主要有直接序列扩频和跳频扩频技术。直扩和跳频技术的抗干扰机理不同，直扩系统靠伪随机码的相关处理，降低进入解调器的干扰功率来达到抗干扰的目的而跳频系统是靠载频的随机跳变，躲避干扰，将干扰排斥在接收通道以外来达到抗干扰的目的。因此，这两者仍具有很强的抗干扰的能力1抗定频干扰。2抗衰落。3抗多径干扰。4抗窃听性。312链路层的安全IEEE8021LB标准规定了一种称为有线等效保密协议WEPWIREDEQUIVALENTPROTOC01的可选加密方寨，提供了确保无线局域网数据瀛的机制。WEP采用的加密算法是由RONRIVETSOFRSADATASECURITYINC在1987年设计的40位的RC4算法。RC4加密算法属于对称流密码，支持可变长度密钥。WEP采用RC4对数据进行麓寮，它将裙始像淘量N1NITIAIIZATIONVECTOR亵共攀密锈K嚣部分经过“髯或XOR”运算形成密钥，并扩展成为任意长度的伪随机位“密钥流”。加密过程就怒将产生的缀钥流与明文信感进行“器或XOR，运冀；解蜜过程为基YN积K产生掇同的密钥流，将它与密文倍息相“异或XOR”运算，WEP中N长度为24位。WEP能够为无线局域网提供与有线网终相同级别的安全保护，用于保障无线邋镲信号数嶷全洼绦密缝怠宪整注；班簖正无线辩络的授较访瀚通过对密锈静保护，使没有密钥的非授权者无法访问网络。因此，采用IEEE80211标准的无线鼹域网怒秀安全，缀大程度上楚盎WEP的安全瞧寒决定懿。在WEP中，通信的报文加入了完整性梭验ICINTEGRITYCHECK以保证通信信息的完整性。为了避免使用重复的密钥流，WEP则使用了视始化向慧IV，用于对不同豹数裙包产生不确的RC4密锈。每个数据包使用不同静襁戆纯两量IV，最简单的做法就是IV从0算起，每一次接收或发送一个数据包，IV就加1，而IV就包含在逶僚羲鼗攒毽文中。在WEP的设计中期望达到3个主要目标。1枧密性CONFIDENTIALITYWEP最基本的西标就鼹为了防止偶尔窃取无线墒域网中的数据行为；2访问控制ACCESSCONTR01在IEEE8021I串设计了一个爵选的渤麓，它可激傻笼线瓣络设备丢夯没有采用WEP正确加密的所有数据包。3数据完熬性DATAINTEGRITY在WEP数据帧结构中究整性校验，就怒为了阻止对传输数据的篡改。兰州理工大学硕士学位论文第三章WLAN安全机制IEEE802，LL标猴提供了嚣个方巢来瓣霹L艄中瓣WEP整钱进行定义。第一穗方鬃中，无线子系统中所有的工作站包括客户机和访问点共享一套4个缺省的密钥。当一个客户机得猁缺省的密钥箭，它可良安全魄和系统中其他所有的工作站进行通镶。这辨缺雀密钥鲍阉题焱予它筌】越是广泛遮进行分配，裁越寿霹能暴露。第二释方案中，每个客户机建立和其他工作站“密钥映射”关系。这种方案工作起来更为安全，强为稠有密钥的工作站更少。但当工作站的数量不断增加时，分配这样一个独一无二的密钥会变褥缀爨难。尽管WEP是可选的，但无线以太网兼容性联盟WECAWIRELESSETHERNETCOMPATIBILITYAILIANEE要求无线褶容性认证WIFIWIRELESSFIDELITY，认证蛉产最支持WEP的40位密绸，因此，骣EE蠡或昃都支持WEP。骞黪厂家零L臻较孛实现加密和解辔过程的大量计算，也有的厂家，如CISEO，利用硬件加速器来保证数攒流热密帮解密过程串的往能损失最小。313网络层的安全IEEE8021LB标准定义了3种机理来提供WLAN的访问控制和保密服务配爨标识符SSIDSERVICESETUPIDENTIFIER；身份认证AUTHENTICATION；廉拟专用网VPNVIRTUAL黔IRATENETWORK“”“。下嚣遴嚣麓擎奔绍。1服务配置标识符SSIDWLAN中经常用弼的一个特性是称为SSID的命名编好，它提供低级别上的访问控剑。SSID逶卷是WLAN予系统中设备熬躅终名称，它剩惩予在本缝分铤子系统。SSID作为编号来允许拒绝访问是危险的，因为SSID的安全性并不好。把无线客户枫连接弼有线两络的设备称为访问点，它通常在自融的倍标中广播SSID。2身傍认涯一个客户机在进行身份验证之前不能接入到WLAN中。IEEE8021LB标准定义了两茅中身份验证的方法开放式和共享密钥试。身份验证必须在每台客户机上避行没置，势显这黧设爨应该够与打算襄窍户捉逶傣懿黪鸯谤润点栩匹聚。开放式身份骏证为缺省的方法，整个验证过程以明码电文的方式完成，即使客户祝没有提供正确的WEP密镝也能和访问点进行通储。在共享密钥的方法中，访问点发送绘客户极一个访目文本售息毽，窖户极必须襞燕燕礁豹WEP密钥慰它遴行编码，并且把它返测访阅点。如果客户机提供的密钥错误或者根本没有提供密钥，说萌身份验证失效，它将不会允许和访阔点邂行通信。一些WLAN厂褒支持基于客户祝甥理蟪娃黪赛伶验诞方法。只鸯当客户撬熬MAC地址与访问点所使用的验诚表中的地址相匹配时，访问点才允许客户机与它进行邋信。3虚拟专月暇VPN虚拟专用网VPN加密机制魁透明运行在WLAN上的，它的使用独立予任何本地乳勰安全方案，运行成本徽高，显存在部分技术问聪没有彻底得到解决，不弱予实际应用。兰州理工大学硕士学位论文第三章WLAN安全机制32WLAN主要安全措施疑改进32。1SSID技术SSIDSERVICESETIDENTIFIER，夔务集含标识蟹鼷寒区别不阕匏鼹域蹦，但人们常采用一魑有意义的名称以便记忆，如厂商名、地点或部门名称。这魑默认的SSID很容易被菲法用户猜到，使得黑客很轻易滋入两络。因此，SSID应该像密玛群，使爆长藤舂爨义的字耱，怠搔字母、数字秘符学。另外，AP的默认设置为定时广播SSID，以便于相关用户更容易找到正确的网络，值也使得未经认诞静嗣户可以轻易遗发现可用的SSID。这也怒大多数无线局域网填测软件的工乍方式，使其没有SSID仍可以找到网终。因此，在把SSID作为保护无线局域网的基本措施时，应将SSID当做密码来设定，不使瑶容易猜虱的字帛，雨量蘩用艚的广播功能。但是，这也并不是一抛根本的解决方案，因为如果用户设置的密码过长的话，会给使用过程带来很多不必要的麻烦，太短的话，黑客仍然可以使用穷举法之类的酸瓣方法班较箨瀚形式去秧解。322MAO地址过滤如同AP可以用SSID来区别，每个网络终端的WLAN网卡都宥一个唯一的MAC魏址。每个AP都存有一个合法的MAC,地址剜表，只有在该表中的设备才能进入网终。毽这鼹凝剑骞秀个闽趱第一个问题是数据管理的问题。使用这项技术，无线局域网管理员就必须持续维护邋个鼢E数据库，实辩更新数搽库。这个数据库要么保存在每一个AP上，要么保存在矗P砉器“霹照”斡照务爨上。一照毒终端熬凇E她蛙改变，管理曼裁必镁更新所有的数据库以适应目前的情况。在拥有成百台设铸的企业应用环境中，这就不是一个小问题，可能需袋一个专职人员进行数据库实时管瓒。第二个闯题跫MAC地皱过滤并不是100憨安全。攻卷者可以邋过无线嗅攮器寒监听无线通信，可以轻易从用户的数据中得到认可的MAC地址，即使是加密过的用户数猎，接下来敬击肴就W以使用合法的MAC鳓址薅芒实现入後。因此，MAC嫩址过滤邋月与靓摸较小、安全级别不是缀意豹赠终。32。3鲢P安全辊澜WEPWIREEQUIVALENTPRIVACY，有线等效保密安全性的分析主要从以下几个方嚣考虑17】。1密镅流复用雕P采塌流密码算法RC4对数据进行细密，它将密钥在WEP中为公麸初始向赞IV农密镄KEY鼹熬分扩鬟残为任意长度瓣镑涟枫位“密锈滚”。黧密过程就是将产兰州理工大学颂士学位论文第三章WLAN安全机制生的密锾溅与明文楼息进行具戏运葵鼹密过程包括基予IV魏密钥产生摆固熬密钥流，将它与密文信息相异绒。众所周知，流密码算法的缺陷怒如采对2个不同酌消患使箱相黼的IV和密镪进行媚密，则可以把2个消息鲍傣息都破群出采。2完整性校验WEP使甭了40彼隗流密礴RC4算法。RC4流密码是一种一次将1BYTE孵文变化为BYTE密文的对称蜜璐，密文通过把明文与密钥滚伪隧专陡詹列进露异或运算产生，解密时把相同的密钥流与密文异或即可。由于流密码具有这样的特点，它对消怠的完整髋要求饭商。必了保证邋信信息的宠整性，连WEP中黪通毯擐文嬲入了完整性校验IC域，以保诞数据包在传输过程中不被篡改。完整性校验和采用CRC一32校验和，作为通信撮文静一部分，CRC一32校验帮也要经过蕊密。憾事实上，CRC一32较验和并不能胜任保证攻击方不对信息数据的修改。这是因为CRC一32校验和不是一葶孛基于密码学的安全认证代码。CRC一32校验和作为一种完整性校验方式，主要设计用于检测信慧数据孛豹陵筏错璐。CRCB2校验和一觳焉予稔鸯菲惑意静突发往错误茹由予待输信道噪声面导致的错误，但它对于抵抗蓄谋恶意的攻击显然就显穆软弱无力。另外，CRC32校验和作为信息数据的一部分和信息数据一起采用流密码进行加密，受魏魏鬻T它童身豹弱煮。出现这秘问题的主要原因是CRC一32的算法是线性的，就是说CRC一32校验和县有强烈的数据关联性，这点与密码学要求的随机性相反。并且，CRC一32算法本身赣十分篱擎，所戬，惩意鹣玫蠢方完全可敬散劐在信意数据流孛插入E特位后调整CRC一32校骏和与其榻符，使数据看起来没有发生变化，从而轻松地实施攻患。通过对1】|EP的分析，发现WEP存在许多明显的致命缺陷。无论WEP采用的密钥故度魏褥，这些缺陷使褥经WEP保护靛数据保密毪毫无意义。将WEP静密锈长度扶40位增加到104位，或者128位对于增加WEP的抵抗攻张能力没商任何帮助。这主鬻是与WEP采用怎样的保密机制有关，而与采用的密钥长度无关。因此，对于其使鼷者来说缩采燕悲禚牲静。辑藩，为了达到煮线等价保密链稼E劝静蓄标，必须对WEP进行明是的改进。3。2。4熊P加密改进1密码帮运行模式的改进“”娄今对称密钥热密算法的研究必须依撂AES块密码夔方法进行磅究。离级加密系统AESADVANCEDENCRYPTIONSYSTEM被公认为与许多流行的对称密钥加密算法一样，是优秀静加密算法。具裔实现效率高，应焉范围广泛从8位处疆器捌超级计算虮均可适用鲍特点。建议未来妁WEP应该强制采熙128位熬AES躲密舞法俘为加密机制。WEP采瘸AES静偏移代码奉运行模式。CBOFFSETCODEBOOKMODE，嗣样，它也是流密码，产生个消息认瑷代礤，用于阻止攻凌者逃行消息伪造。OCB模式下被加密数据的长度与明文数据的长度相同，单独个密钥用于加密和认证。OCB模13兰州理工大学硕士学位论文第三章WLAN安全机制式仅需要AES，加密引擎，不需要解密引擎，它是一种并行工作方式。OCB模式对密码学的起始要求较低，可以在一次传递中同时完成一个消息的加密解密和标记校验。在OCB模式中的密钥实际是步长，即偏移量这也是OCB模式的得名和。步长和的大小决定了密码块的大小在AES，中为128位。在每一节中，步长只计算一次。OCB的每个帧超帧头中128位用于OCB认证标志。2节密钥的产生这里提出一个节密钥产生算法，用于现在WEP正在使用的手动配置基本密钥的情况。而对于动态密钥分配则无需引入节密钥产生算法。节密钥产生算法生成2个节密钥一个用于发送，一个用于接收。将BSSID，发送方的MAC地址，接收方的MAC地址，连接起来组成一个序列串。每个地址的顺序十分重要，特别是发送方地址和接收方地址不能颠倒。使用基本密钥手动配置的密钥和1个128位全零的IV，对中产生的序列串运行OCBAES算法。OCBAES算法的作用是将基本密钥从直接攻击中消除；将节密钥与特殊使用它的部分进行弱连接。在这种算法下，虽然所有的BSS成员都共享同样的基本密钥，而相同级别的不同终端设备使用的节密钥是不同的。但是，当基本密钥是一个密码，或者采用相关技术从密码中得出基本密钥时，这种算法就不能抵抗字典攻击。假如，基本密钥被攻击者破获，则所有的密钥就会被欺骗。这个缺陷是该算法无法避免的。3随机数建议采用的随机数产生是安全的和真正随机的，这一点在密码学中至关重要。4数据分装建议WEP采用的新的数据分装技术，包括采用128位的IV在每节开始初始化时，加密方随即选择。对于连续帧，译码方则从前1个被加密的数据帧中选用最后的128位被加密的数据作为密钥；采用32位的序列数这个32位的序列数会被首先量化加密。它表示在当前密钥已经发送的数据帧的数目。当使用手动配置密钥时，这个序列数将停止使用，设置为全零；当采用动态密钥时，在密钥建立起来的时候，这个序列数被初始化为零；采用LLC数据载荷，这个数据也要加密；采用128位的OCB数据认证标志这种数据封装方法将增加36字节到数据帧中。这是当今网络安全必须付出的代价。当WEP开始封装数据的时候，加密方首先检查计数器是否已经计满计到最大值。如果计数器己经计满，则停止使用当前密钥对数据流进行加密，直到密钥管理系统更换了基本密钥。假如计数器还没有计满，并且使用动态密钥，则加密方将计数器加L，并将这个新的计数器值插入到帧的适当位置。加密方选择当前值，采用OCB对计数器和数据进行加密和标识。它将OCB认证标志加在数据帧尾。现在，数据帧就可以传输了。当WEP要对接收到的数据进行拆包的时候，译码方根据到达的MAC地址确定正确的位置。译码方使用数据帧中的IV与OCB中的IV进行比较，将数据包解密，并14兰州理工大学碳士学位论文薷三章WLAN安全机制验证它戆认涯特性。稷磐，采蠲了动态懿密钥，最终还要验_L菱诗