校园无线安全协议设计与实现

校园无线安全协议设计与实现摘要从目前情况来看，不少校园网的无线接人点都没有很好地考虑无线接人的安全问题，如基于MAC地址的认证或共享密钥认证没有设置，更不用说像802.1x这样相对来说比较难设置的认证方法了．如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接人点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入．试想，如果让不明身份的人进入无线网络。进而进入校园网，就会对我们校园网络构成威胁。关键词：WLAN；AP；IEEE；802.11x 目录TOC\o"1-5"\h\z\u前言 1第一章WLAN概述及应用 11.1WLAN基本概念及标准演进 11.1.1WLAN基本概念 11.1.2WLAN网络建立过程 11.2WLAN的安全风险及解决方案 11.2.1WLAN中存在的安全风险 11.2.2WLAN安全项目采用的安全解决方案 2第二章WLAN概述及应用 22.1802.11无线局域网的安全机制 22.2802.1x协议的体系 32.3802.1x协议的认证过程 32.4802.1x协议的特点 42.5802.1x认证协议的应用 52.6802.1x与智能卡 62.7发展方向和趋势 6第三章WLAN应用中的安全问题分析 73.1安全协议分析 73.2WEP安全协议分析 73.3WPA安全协议分析 73.4安全协议分析 8第四章无线校园网络安全解决方案 84.1无线网络安全实现原理 84.2无线校园网络安全方案设计 84.3无线校园网络安全的意义 9参考文献 11致谢 13前言在无线网络技术相对成熟的今天．无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能．但在使用无线网络的同时，无线接人的安全性也面临严峻的考验。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物，由于无线网络所特有的开放性，其安全问题一直是业界研究的重点。本论文对WLAN安全协议进行了深入的研究，提出了无线接入点(AP)中安全认证模块的具体实现，并且对实现过程中的一些关键问题提出了切实有效的解决方案。第一章WLAN概述及应用1.1WLAN基本概念及标准演进1.1.1WLAN基本概念无线局域网(WLAN)是采用无线传输媒体的计算机局域通信网络。1971年夏威夷大学的学者创造了第一个基于数据包传输的无线网——ALOHANET3，它实质上就是第一个WLAN。进入20世纪90年代，人们要求在任何时间、任何地点都能使用网络资源，而传统的有线网络很难实现可移动的通信。因此，在这种趋势和要求的推动下，导致了WLAN的发展与进步。1.1.2WLAN网络建立过程无线局域网的基本网络连接建立过程是在IEEE802.11中定义的，无论是后续的IEEE802.1l系列标准还是WAPI都是建立在这个基本连接过程之上的。在IEEE802.11网络中主要有两个实体：AP和STA，AP就是无线接入点，STA是无线工作站，最常见的就是带有无线网卡的笔记本。其中AP是核心，一个STA要想加入到一个无线局域网，首先要与这个无线局域网中的AP建立连接，然后通过这个AP与其它的S1A或网络进行通信。1.2WLAN的安全风险及解决方案1.2.1WLAN中存在的安全风险无线局域网安全的最大闯题在于无线通信设备是在自由空问中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以，wLAN就面临一系列的有线网络中并不存在安全问题主要包括：1.来自网络外部用户的进攻。2.来自未认证的用户获得存取权。3.来自网络内部的窃听泄密等。1.2.2WLAN安全项目采用的安全解决方案安全问题已经成了WLAN应用和发展的重中之重，雅典奥运组委会就因WLAN的安全存在隐患而放弃了在2004年雅典奥运会的各个赛场布置WLAN网络。但由于针对WLAN安全的技术不断更新，如果能够应用最先进的安全技术，同时进行合理的配置，那么就可以解决这个棘手的问题。所以在本项目中对网络安全方面非常重视，运用了多种手段： WEP加密，支持64位和128位 IEEE802.1li，IEEE推出的WLAN最新安全标准 多SSID，通过SSID来限制用户的访问权限 MAC过滤、口过滤 同时支持多种认证方式来检测用户身份 WAPI，我国推出的WLAN安全国家标准这样，在wLAN安全项目中的AP就可以支持以下六种安全模式下：1．不加密2．WEP(802.1l中定义的安全方案)3．802.1x+动态WEP密钥4．802.11i(WPA)5．802.11i(wPA)+PSl((与共享密钥)6．WAPI第二章WLAN概述及应用2.1802.11无线局域网的安全机制802.11无线局域网运作模式基本分为两种：点对点(AdHoc)模式和基本(Infrastructure)模式。点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接，这是一种便捷的连接方式，最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存的通信方式，这也是802.11最常用的方式。此时，插上无线网卡的移动节点需通过接入点AP(AccessPoint)与另一台移动节点连接。接入点负责频段管理及漫游管理等工作，一个接入点最多可连接1024个移动节点。当无线网络节点扩增时，网络存取速度会随着范围扩大和节点的增加而变慢，此时添加接入点可以有效控制和管理频宽与频段。与有线网络相比较，无线网络的安全问题具有以下特点：(1)信道开放，无法阻止攻击者窃听，恶意修改并转发；(2)传输媒质―无线电波在空气中的传播会因多种原因(例如障碍物)发生信号衰减，导致信息的不稳定，甚至会丢失；(3)需要常常移动设备(尤其是移动用户)，设备容易丢失或失窃；(4)用户不必与网络进行实际连接，使得攻击者伪装合法用户更容易。由于上述特点，利用WLAN进行通信必须具有较高的通信保密能力。802.11无线局域网本身提供了一些基本的安全机制。802.11接入点AP可以用一个服务集标识SSID(ServiceSetIdentifier)或ESSID(ExtensibleServiceSetIdentifier)来配置。与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。但这是一个非常脆弱的安全手段。因为SSID通过明文在大气中传送，甚至被接入点广播，所有的网卡和接入点都知道SSID。2.2802.1x协议的体系IEEE802.1x协议起源于802.11，其主要目的是为了解决无线局域网用户的接入认证问题。802.1x协议又称为基于端口的访问控制协议，可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。IEEE802.1x协议的体系结构主要包括三部分实体：客户端SupplicantSystem、认证系统AuthenticatorSystem、认证服务器AuthenticationServerSystem。2.3802.1x协议的认证过程利用IEEE802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。（1）当一个移动节点（申请者）进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出一个问询。（2）在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。（3）AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。（4）RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。（5）移动节点将它的凭据发送给RADIUS。（6）在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。（在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据，因为它还没有经过身份验证。）（7）AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥，这也是身份验证过程的一个组成部分。传输层安全TLS（TransportLevelSecurity）协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。移动节点可被要求周期性地重新认证以保持一定的安全级。2.4802.1x协议的特点IEEE802.1x具有以下主要优点：(1)实现简单。IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。(2)认证和业务数据分离。IEEE802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。IEEE802.1x同时具有以下不足：802.1x认证是需要网络服务的系统和网络之间的会话，这一会话使用IETF的EAP(ExtensibleAuthenticationProtocol)认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的，如果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见的攻击有中间人MIM攻击和会话攻击。所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境，必须有高层的清晰的交互认证协议来加强。幸运的是，802.1x为实现高层认证提供了基本架构。2.5802.1x认证协议的应用IEEE802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求和记帐邮件发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。IEEE802.1x为可扩展的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及MessageDigest5(MD5)算法这样的身份验证方法。扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x，EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。2.6802.1x与智能卡智能卡通常用在安全性要求比较高的场合，并与认证协议的应用相结合。这首先是由于智能卡能够保护并安全的处理敏感数据；而智能卡能保护密钥也是相当重要的，一切秘密寓于密钥之中，为了能达到密码所提供的安全服务，密钥绝对不能被泄密，但为安全原因所增加的成本却不能太多。智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算能力方面受到的限制。目前市场上的大多数智能卡有128到1024字节的RAM，1k到16k字节的EEPROM，6k到16k字节的ROM，CPU通常为8比特的，典型的时钟频率为3.57MHz。任何存储或者是处理能力的增强都意味着智能卡成本的大幅度提高。另外智能卡的数据传送是相对慢的，为提高应用的效率，基本的数据单元必须要小，这样可以减少智能卡与卡终端之间的数据流量，其传送时间的减少则意味着实用性的增强。将802.1x与智能卡的应用相结合的优点是：认证更加安全；生成和管理密钥方便；节省内存空间；节省带宽，提高实用性；节省处理时间，而不需要增加硬件的处理等方面。802.1x安全认证协议所带来的各优点恰好弥补了智能卡硬件的各种局限，不仅能有效地降低智能卡的生产成本，也能提高智能卡的实用性。2.7发展方向和趋势802.11无线局域网目前的安全标准主要有两大发展主流：（1）WPA。802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证。WPA（Wi-Fi受保护访问）是一种新的基于IEEE标准的安全解决方法。Wi-Fi联盟经过努力，于2002年10月下旬宣布了基于此标准的解决方法，以便开发更加稳定的无线LAN安全解决方法来满足802.11的要求。WPA包括802.1x验证和TKIP加密（一种更高级和安全的WEP加密形式），以进一步形成和完善IEEE802.11i标准。（2）WAPI。我国已于2003年12月1日起强制执行了新的无线局域网安全国家标准―无线局域网鉴别和保密基础结构WAPI（WLANAuthenticationandPrivacyInfrastructure）。WAPI由无线局域网鉴别基础结构WAI（WLANAuthenticationInfrastructure）和无线局域网保密基础结构WPI（WLANPrivacyInfrastructure）组成。WAPI与已有安全机制相比具有其独特优点，充分体现了国家标准的先进性。WAPI与已有安全机制相比在很多方面都进行了改进。它已由ISO/IEC授权的IEEERegistrationAuthority审查获得认可，分配了用于WAPI协议的以太网类型字段，这也是我国目前在该领域惟一获得批准的协议。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。第三章WLAN应用中的安全问题分析3.1安全协议分析从1997年WEP的面世到2003年WPA这个过渡方案的提出，再到2004年WPA2的公布，这三种协议见证了无线网络安全的发展历程。虽然WEP固有的缺陷已经使得它不再适合用于商业或者是具有更高安全需求的行业，但是现今市场上的无线设备基本上还都同时支持WEP、WPA和WPA2这三种协议。因此本文将从WEP开始展开对这三种安全协议的分析。3.2WEP安全协议分析不少文章把WEP的安全缺陷归结于RC4算法中的缺陷，但其实不然。RC4在以往的有线网络应用中，并没有让人们失望。压垮WEP的那根稻草是其密钥管理机制（以及由此引致的共享密钥重用问题）。3.3WPA安全协议分析由于WEP有着不可克服的缺陷，因此国际上提出了一系列解决方案。其中的WPA是一个过渡方案，它在WEP协议的基础上，增加了IEEE802.1X来改进认证机制，并采用TKIP(TemporalKeyIntegrityProtocol)协议来实现消息的保密与完整性保护。在信息交换的过程中，虽然所有信息都要经过AP，但它不需要了解里面的任何信息。在STA和AP之间的联路上，运行的是EAPOL(EAPoverLan)协议。在AP和AS之间同样运行EAP(ExtensibleAuthenticationProtocol)协议但该协议被封装到了高层协议中。3.4安全协议分析作为完全实现了802.11i安全规范中的所有强制设定的协议，WPA2也被视为实现RSN(RobustSecurityNetwork)的必要条件(WPA只实现了部分)。鉴于CCMP(Counter-Mode/CBC-MACProtocol)是IEEE802.11i中最重要的协议,同时也是RSN的强制要求。第四章无线校园网络安全解决方案4.1无线网络安全实现原理校园网内无线网络建成后，怎样才能有效地保障无线网络的安全．基于MAC地址的认证存在两个问题：一是数据管理的问题，要维护MAC数据库；二是MAC可嗅探，也可修改。如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥。802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间。认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者．申请者用这个密钥就可以与AP进行通信。虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善．IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP—MD5、EAP—TLS和PEAP等．Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证．或基于证书验证．建议在执行基于证书的客户端身份验证时使用EAP—TLS；在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)。该协议在PEAP(ProtectedExtensibleAuthenticationProtoc01)协议中，也称作PEAP—EAP—MSCHAPv2。4.2无线校园网络安全方案设计考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内．主要分成两类不同的用户：一类是校内用户；另一类是来访用户．校内用户主要是学校的师生，由于工作和学习的需要，他们要求能够随时接人无线网络，访问校园网内资源以及访问Internet．这些用户的数据。如工资、科研成果、研究资料和论文等安全性要求比较高．对于此类用户，可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等．针对这类用户，可采用DHCP十强制Portal认证的方式接入校园无线网络。开机后，来访用户先通过阴CP服务器获得IP地址．当来访用户打开浏览器访问Internet网站时，强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站，用户只能访问该网站中提供的服务。无法访问校园网内部的其他受限资源。比如学校公共数据库、图书馆期刊全文数据库等．如果要访问校园网以外的资源，必须通过强制Portal认证，认证通过就可以访问Internet．对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得IP地址．可通过数字证书(需要设立证书服务器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法AP。双向认证通过后，无线用户终端从DHCP服务器获得IP地址．无线用户终端获得IP地址后，就可以利用双方约定的密钥，运用所协商的加密算法进行通信，并且可以重新生成新的密钥，这样就很好地保证了数据的安全传输。4.3无线校园网络安全的意义使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高．强制Portal认证方式在用户端不需要安装额外的客户端软件．用户直接使用web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差．虽然用户名和密码可以通过ssL加密，但传输的数据没有任何加密，任何人都可以监听．当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。因此针对校内用户可使用802．1x认证方式，以保障传输数据的安全。校园网各区域分别覆盖无线局域网络以后，用户只需进行相应的设置就可以连接到校园网，从而实现各自需要的功能，进一步促进校园网内无线网络的建设．现在，不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时，因为对无线网络的安全不够重视，对校园网无线网络的安全考虑不及时。也造成了一定的影响和破坏。由此可见。做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证．是当前学校组建无线网必须要考虑的事情．只有这样才能做到无线网络与现有有线网络的无缝对接，确保无线网络的高安全性．提高学校的信息化的水平。参考文献[1]郑羽，陈广柱.蜂窝状无线网集成语音数据业务的资源分配模型[J].安庆师范大学学报（自然科学版），2017，23（04）：38-42.[2]左振辉，师瑛.基于WLAN构建监控系统[J].网络安全和信息化，2017（06）：67-68.[3]王顺顶.无线网络在施工单位的应用价值[J].价值工程，2016，35（23）：170-172.[4]代天成.现代高校无线网的安全防护技术方法分析[J].网络安全技术与应用，2016（07）：99-100.[5]张海.浅谈校园WLAN无线网的组网方式[J].中国新通信，2016，18（09）：92.[6]张俞玲.校园网建设中WLAN技术的应用探析[J].信息系统工程，2016（01）：87.[7]励凌凌.基于WLAN的无线校园网设计与实现[J].软件工程师，2015，18（12）：39-41.[8]胡海龙.校园WLAN安全的研究[J].信息化建设，2015（10）：55+57.[9]宋贵山，柴群，王东.高校无线局域网部署方案的研究[J].电脑知识与技术，2015，11（15）：21-22+29.[10]李萍萍.基于WLAN的无线校园网建设[J].重庆三峡学院学报，2015，31（03）：60-62.[11]李雯雯，吴博，李可，边森.WLAN无线网动态射频管理节能方案研究[J].电信科学，2015，31（04）：148-153.[12]杨秀梅，郑剑.校园无线网部署方案研究[J].华东师范大学学报（自然科学版），2015（S1）：174-179.[13]刘长琦.校园WLAN安全防范探讨[J].网络安全技术与应用，2015（03）：122-123.[14]马稳.WLAN在构建无线