大學(xué)設(shè)計(jì)(設(shè)計(jì))-無(wú)線校園網(wǎng)安全設(shè)計(jì)

1、最優(yōu)推薦，廣而告之 ANTSBU Y您身邊的牛仔專家 官網(wǎng)：http:/ 淘寶店：http:/ 畢業(yè)設(shè)計(jì)（論文）任務(wù)書 專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)姓名 一、課題名稱：無(wú)線校園網(wǎng)的安全設(shè)計(jì) 二、主要技術(shù)指標(biāo)： 分析現(xiàn)有的WLAN安全協(xié)議的原理和機(jī)制，結(jié)合學(xué)?；蚱髽I(yè) WLAN網(wǎng)絡(luò) 應(yīng)用中的安全問(wèn)題，提出網(wǎng)絡(luò)安全解決方案。 三、工作內(nèi)容和要求： 1. 閱讀參考文獻(xiàn)和技術(shù)文檔資料，為論文撰寫做準(zhǔn)備工作。 2. WLAN的相關(guān)技術(shù)、WLAN安全協(xié)議的原理和機(jī)制研究。 3. WLAN應(yīng)用中的安全問(wèn)題分析 4. 設(shè)計(jì)無(wú)線校園網(wǎng)絡(luò)安全解決方案。 5. 編寫畢業(yè)設(shè)計(jì)論文。按學(xué)校規(guī)范編著畢業(yè)設(shè)計(jì)論文，嚴(yán)禁抄襲。 四、

2、主要參考文獻(xiàn)： 1. 無(wú)線局域網(wǎng)安全-方法與技術(shù)第 2版，朱建明，機(jī)械工業(yè)出版社，2009 年8月 2. 校園網(wǎng)無(wú)線接入安全研究，彭偉，常潘，華東師范大學(xué)網(wǎng)絡(luò)中心， 2000年6月 3. WLAN 安全解決方案設(shè)計(jì)與實(shí)現(xiàn)，李煜；北京郵電大學(xué)碩士學(xué)位 論文 4. 無(wú)線校園網(wǎng)絡(luò)安全分析及方案設(shè)計(jì)，李文勝，廣東省環(huán)境保護(hù)職業(yè) 技術(shù)學(xué) 學(xué)生（簽名）年月日 指導(dǎo)教師（簽名）年月日 教研室主任（簽名）年月日 系主任（簽名）年月日 畢業(yè)設(shè)計(jì)（論文）開(kāi)題報(bào)告 設(shè)計(jì)（論文）題目 無(wú)線校園網(wǎng)的安全設(shè)計(jì) 一、 選題的背景和意義： 1. 選題背景 現(xiàn)如今，網(wǎng)絡(luò)已是人們生活和學(xué)習(xí)中必不可少的軟件條件，也是每所高校 軟件

3、設(shè)施的重要環(huán)節(jié)之一。在使學(xué)校成為信息數(shù)字化校園的過(guò)程中，網(wǎng)絡(luò)發(fā)揮 著其不可替代的作用。但是，傳統(tǒng)的有線網(wǎng)絡(luò)受設(shè)計(jì)或環(huán)境條件的制約，在物 理、邏輯等方面普遍存在著一系列問(wèn)題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動(dòng)和重新布局 時(shí)，它無(wú)法滿足人們對(duì)靈活的組網(wǎng)方式的需要和終端自由聯(lián)網(wǎng)的要求。在這種 情況下，傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)由有線向無(wú)線、由固定向移動(dòng)的發(fā)展已成為必然， 無(wú)線局域網(wǎng)技術(shù)應(yīng)運(yùn)而生。作為對(duì)有線網(wǎng)絡(luò)的一個(gè)有益的補(bǔ)充，無(wú)線網(wǎng)絡(luò)同樣 面臨著無(wú)處不在的兀全威脅，尤其是當(dāng)無(wú)線網(wǎng)絡(luò)的安全性設(shè)計(jì)不夠完善時(shí)，此 問(wèn)題更加嚴(yán)重。所以，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題是無(wú)線網(wǎng)絡(luò)正常工作不容忽視的前 提條件。 2. 意義 本課題通過(guò)對(duì)無(wú)線網(wǎng)絡(luò)的

4、學(xué)習(xí)和研究，分析校園網(wǎng)絡(luò)的安全需求，最終將 制定出一套合理可行的安全設(shè)計(jì)方案，使校園無(wú)線網(wǎng)絡(luò)的使用能更加安全可 靠。 二、課題研究的主要內(nèi)容： 1. WLAN的相關(guān)技術(shù) 2. WLAN安全協(xié)議的原理和機(jī)制 3. WLAN應(yīng)用中的安全問(wèn)題分析 4. 無(wú)線校園網(wǎng)絡(luò)安全解決方案 主要研究（設(shè)計(jì)）方法論述: 1. 調(diào)查法，通過(guò)走訪和咨詢相關(guān)專業(yè)的老師，了解無(wú)線網(wǎng)絡(luò)安全的需求及 一些所需設(shè)備的規(guī)格及配置方法，。 2. 文獻(xiàn)法，通過(guò)對(duì)相關(guān)文獻(xiàn)的分析和學(xué)習(xí)，了解無(wú)線網(wǎng)絡(luò)安全實(shí)現(xiàn)的方法 和技術(shù)。 3. 歸納法，通過(guò)歸納和總結(jié)需求，得到無(wú)線網(wǎng)絡(luò)安全實(shí)現(xiàn)的難點(diǎn)和重點(diǎn)。 4. 案例研究法，收集類似的網(wǎng)絡(luò)安全設(shè)計(jì)方案

5、，學(xué)習(xí)和研究其中的特點(diǎn)， 并分析其在自己的方案中的可行性。 四、設(shè)計(jì)（論文）進(jìn)度安排： 時(shí)間（迄止日期） 工作內(nèi)容 2011.9.26-2011.10.10 選題 2011.10.11-2011.10.18 準(zhǔn)備課題需求資料，完成開(kāi)題報(bào)告 2011.10.19-2011.10.31 完成畢業(yè)設(shè)計(jì)初稿 2011.11.1-2011.11.9 修改、完善，形成二稿 2011.11.10-2011.11.11 畢業(yè)設(shè)計(jì)疋稿，交打印稿和電子稿 2011.11.11-2011.11.16 準(zhǔn)備材料，參加畢業(yè)答辯 五、指導(dǎo)教師意見(jiàn)： 指導(dǎo)教師簽名：年月日 六、系部意見(jiàn): 系主任簽名：年月日 無(wú)線校園網(wǎng)的安

6、全設(shè)計(jì) 目錄 摘要5 Abstract 5 前言6 第一章WLAN概述及應(yīng)用7 1.1 WLAN基本概念及標(biāo)準(zhǔn)演進(jìn)7 1.1.1 WLAN基本概念7 1.1.3 WLAN網(wǎng)絡(luò)建立過(guò)程 7 1.2 WLAN的安全風(fēng)險(xiǎn)及解決方案8 1.2.1 WLAN中存在的安全風(fēng)險(xiǎn) 8 1.2.2 WLAN安全工程采用的安全解決方案 10 第二章WLAN概述及應(yīng)用10 2.1 802.11無(wú)線局域網(wǎng)的安全機(jī)制10 2.2 802.1X協(xié)議的體系11 2.3 802.1X協(xié)議的認(rèn)證過(guò)程12 2.4 802.1X協(xié)議的特點(diǎn)13 2.5 802.1X認(rèn)證協(xié)議的應(yīng)用13 2.6 802.1X與智能卡14 2.7發(fā)展方向

7、和趨勢(shì)14 第三章 WLAN應(yīng)用中的安全問(wèn)題分析 3.1安全協(xié)議分析15 3.2 WEP安全協(xié)議分析15 3.3 WPA安全協(xié)議分析17 3.4 安全協(xié)議分析 18 第四章無(wú)線校園網(wǎng)絡(luò)安全解決方案 18 4.1 無(wú)線網(wǎng)絡(luò)安全實(shí)現(xiàn)原理 18 4.2 無(wú)線校園網(wǎng)絡(luò)安全方案設(shè)計(jì) 18 4.3 無(wú)線校園網(wǎng)絡(luò)安全的意義 19 致謝 20 參考文獻(xiàn) 20 摘要 無(wú)線局域網(wǎng) (WLAN) 是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物，由于無(wú) 線網(wǎng)絡(luò)所特有的開(kāi)放性，其安全問(wèn)題一直是業(yè)界研究的重點(diǎn)。本論文對(duì) WLAN 安全協(xié)議進(jìn)行了深入的研究，提出了無(wú)線接入點(diǎn)(AP) 中安全認(rèn)證模塊的具體實(shí) 現(xiàn)，并且對(duì)實(shí)現(xiàn)過(guò)程中的一

8、些關(guān)鍵問(wèn)題提出了切實(shí)有效的解決方案。 本論文主要分為五個(gè)部分。 第一部分概述了 WLAN 網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀以及本論文的工程背景。 第二部分介紹了 WLAN 的基本概念、標(biāo)準(zhǔn)演進(jìn)及 WLAN 網(wǎng)絡(luò)中存在的安 全風(fēng)險(xiǎn)。 第三部分深入分析了現(xiàn)有 WLAN 安全協(xié)議的原理和機(jī)制。包括對(duì) WEP 安 全缺陷的。研究以及IEEE 802.11i協(xié)議的原理和 WAPI的安全機(jī)制分析。 第四部分 WLAN 應(yīng)用中的安全問(wèn)題分析。 第五部分詳細(xì)討論了無(wú)線校園網(wǎng)絡(luò)安全解決方案。 關(guān)鍵詞 WLAN ，AP，IEEE 802.11x Abstract WLAN is a combination of computer

9、networks and wireless communications technology. As unique to the open wireless network, the security problem has been the focus of the industry. This thesis lucubrate WLAN security protocol and realize the Security Authentication Module in AP(access point). This thesis is divided into five sections

10、. The first part outlines the WLAN network and the project background of this thesis. The second part introduces the basic concepts, standards for the WLAN. The third part analyzes the existing WLAN security protocols in detail, including WEP, IEEE 802.lli and WAPl seeurity mechanism. The fourh part

11、 analysis of the application of WLAN safety problems. The fifth part detailed discussion wireless campus network security solutions. Keywords： WLAN ，AP， IEEE 802.11x .、八、一 前言 在無(wú)線網(wǎng)絡(luò)技術(shù)相對(duì)成熟的今天無(wú)線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng) 的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性， 已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無(wú)線 局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時(shí)隨

12、地的網(wǎng)絡(luò)接入成為可 能但在使用無(wú)線網(wǎng)絡(luò)的同時(shí)，無(wú)線接人的安全性也面臨嚴(yán)峻的考驗(yàn)。目前無(wú) 線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種：基于 MAC地址的認(rèn)證基 于 MAC 地址的認(rèn)證就是 MAC 地址過(guò)濾，每 個(gè)無(wú)線接人點(diǎn)可以使用 MAC 地 址列表來(lái)限制網(wǎng)絡(luò)中的用戶訪問(wèn)實(shí)施 MAC 地址訪問(wèn)控制后，如果 MAC 列表 中包含某個(gè)用戶的 MAC 地址，則這個(gè)用戶可以訪問(wèn)網(wǎng)絡(luò)，否則如果列表中不 包含某個(gè)用戶的 MAC地址，則該用戶不能訪問(wèn)網(wǎng)絡(luò)。共享密鑰認(rèn)證共享 密鑰認(rèn)證方法要求在無(wú)線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法如果用戶 有正確的共享密鑰，那么就授予該用戶對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)權(quán)802.1X認(rèn)證。

13、802.1x 協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議，它是個(gè)第二層協(xié)議，需要通過(guò) 802.1X客戶端軟件發(fā)起請(qǐng)求，通過(guò)認(rèn)證后打開(kāi)邏輯端口，然后發(fā)起DHCP請(qǐng)求 獲得 IP 以及獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)。 從目前情況來(lái)看，不少校園網(wǎng)的無(wú)線接人點(diǎn)都沒(méi)有很好地考慮無(wú)線接人的 安全問(wèn)題，如基于 MAC 地址的認(rèn)證或共享密鑰認(rèn)證沒(méi)有設(shè)置，更不用說(shuō)像 802.1 X 這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了如果我們提著筆記本電腦在某 個(gè)校園內(nèi)走動(dòng)，會(huì)搜索到很多無(wú)線接人點(diǎn)，這些接入點(diǎn)幾乎沒(méi)有任何的安全防 范措施，可以非常方便地接入試想，如果讓不明身份的人進(jìn)入無(wú)線網(wǎng)絡(luò)。進(jìn) 而進(jìn)入校園網(wǎng)，就會(huì)對(duì)我們校園網(wǎng)絡(luò)構(gòu)成威脅。 第一章 WLA

14、N 概述及應(yīng)用 1.1 WLAN 基本概念及標(biāo)準(zhǔn)演進(jìn) 1.1.1 WLAN 基本概念 無(wú)線局域網(wǎng) (WLAN) 是采用無(wú)線傳輸媒體的計(jì)算機(jī)局域通信網(wǎng)絡(luò)。 1971 年 夏威夷大學(xué)的學(xué)者創(chuàng)造了第一個(gè)基于數(shù)據(jù)包傳輸?shù)臒o(wú)線網(wǎng) ALOHANET 3， 它實(shí)質(zhì)上就是第一個(gè) WLAN 。進(jìn)入 20 世紀(jì) 90 年代，人們要求在任何時(shí)間、任 何地點(diǎn)都能使用網(wǎng)絡(luò)資源，而傳統(tǒng)的有線網(wǎng)絡(luò)很難實(shí)現(xiàn)可移動(dòng)的通信。因此， 在這種趨勢(shì)和要求的推動(dòng)下，導(dǎo)致了 WLAN 的發(fā)展與進(jìn)步。 1.1.2 WLAN 標(biāo)準(zhǔn)演進(jìn) (1) IEEE 802.11 1997年 IEEE 802標(biāo)準(zhǔn)化委員會(huì) IEEE 802.11WLAN 標(biāo)

15、準(zhǔn)工作組公布了 IEEE 802.1l 標(biāo)準(zhǔn)，它是第一代無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了物理層和媒體訪問(wèn)控 制層規(guī)范。802.11工作在2. 4GHz上，理論傳輸速率分為IMbps和2Mbps。 (2) IEEE802.11b 為了更高的數(shù)據(jù)傳輸速率，IEEE于1999年9月批準(zhǔn)了 IEEE802.11b標(biāo)準(zhǔn)。 IEEE 802.11b標(biāo)準(zhǔn)對(duì)IEEE 802.1I標(biāo)準(zhǔn)進(jìn)行了修改和補(bǔ)充，其中最重要的改進(jìn)就 是在 mEE 802.1I的基礎(chǔ)上增加了兩種更高通信速率5.5Mbit/s和1I Mbit/s。11b 也是工作在2. 4GHz頻段上，同時(shí)對(duì)最初的802.11標(biāo)準(zhǔn)保持了兼容。 (3) IEEE8

16、02.1Ia 802.1Ia 標(biāo)準(zhǔn)是已得到廣泛應(yīng)用的 802.1Ib 無(wú)線聯(lián)網(wǎng)標(biāo)準(zhǔn)的后續(xù)標(biāo)準(zhǔn)， 802.11a的物理層速率可達(dá) 54Mbit/s，但11a的工作在5.5GHz上，不能兼容以 前的標(biāo)準(zhǔn)。 (4) IEEE802.1In IEEE 802.11 的數(shù)據(jù)傳輸速率進(jìn)行了大幅提高，使用 802.1In 超過(guò) 100Mbps 的速率不再是夢(mèng)想，甚至有報(bào)道稱可以達(dá)到 320Mbps的最高速率。對(duì)802.1l的 數(shù)據(jù)傳輸速率進(jìn)行了大幅提高，使用 802.1ln超過(guò)100Mbps。 1.1.3 WLAN 網(wǎng)絡(luò)建立過(guò)程 無(wú)線局域網(wǎng)的基本網(wǎng)絡(luò)連接建立過(guò)程是在 IEEE 802.11 中定義的，無(wú)論是

17、后 續(xù)的IEEE 802.1l系列標(biāo)準(zhǔn)還是 WAPI都是建立在這個(gè)基本連接過(guò)程之上的。在 IEEE 802.11網(wǎng)絡(luò)中主要有兩個(gè)實(shí)體：AP和sTA, AP就是無(wú)線接入點(diǎn)，STA是 無(wú)線工作站，最常見(jiàn)的就是帶有無(wú)線網(wǎng)卡的筆記本。其中AP 是核心，一個(gè) sTA要想加入到一個(gè)無(wú)線局域網(wǎng)，首先要與這個(gè)無(wú)線局域網(wǎng)中的AP建立連接， 然后通過(guò)這個(gè)AP與其它的S1A或網(wǎng)絡(luò)進(jìn)行通信。 IEEE 802.11定義了 AP 與 STA 之間從建立連接到發(fā)送數(shù)據(jù)所需要的三種幀 類型，分別是：控制幀 (類型值是 00)、管理幀 (類型值是 01)、數(shù)據(jù)幀 (類型值是 10)?？刂茙脕?lái)告訴設(shè)備什么時(shí)候開(kāi)始和停止發(fā)送消

18、息；利用管理幀來(lái)建立連 接；一旦STA和AP已經(jīng)同意建立連接，數(shù)據(jù)就以數(shù)據(jù)幀的形式來(lái)發(fā)送。 重點(diǎn)來(lái)介紹一下管理幀，因?yàn)?wEP 的認(rèn)證是通過(guò)管理幀來(lái)實(shí)現(xiàn)的。管理幀 有 7 種： 信標(biāo)幀(Beacon)：信標(biāo)幀是由AP定時(shí)發(fā)送的廣播幀，用來(lái)通知本無(wú)線 局域網(wǎng)的存在和AP性能等有用信息； 探詢請(qǐng)求 /應(yīng)答幀 (Probe Request/Response：) STA 通過(guò)發(fā)送探詢請(qǐng)求幀 來(lái)尋找AP，AP利用探詢應(yīng)答幀來(lái)告訴sTA網(wǎng)絡(luò)的信息； 鏈路驗(yàn)證幀 (Authentication Request/Response：) AP 和 STA 之間的 WEP 認(rèn)證就是通過(guò)鏈路驗(yàn)證請(qǐng)求 /應(yīng)答幀來(lái)實(shí)現(xiàn)的

19、； 關(guān)聯(lián)請(qǐng)求 /應(yīng)答幀 (Association Request/Response) ：鏈路驗(yàn)證通過(guò)之后， AP 和 STA 之間再建立關(guān)聯(lián)關(guān)系，通過(guò)關(guān)聯(lián)幀來(lái)協(xié)商一些網(wǎng)絡(luò)參數(shù)指 標(biāo)； 重新關(guān)聯(lián)請(qǐng)求 /應(yīng)答幀 (Reassociation Request/Respons；) 當(dāng)漫游到其他 AP 對(duì)，需要重新建立關(guān)聯(lián)； 解除關(guān)聯(lián)幀(Deassociation)：當(dāng)斷開(kāi)網(wǎng)絡(luò)連接時(shí)需要解除關(guān)聯(lián)； 解除認(rèn)證幀(Deauthentication)：解除關(guān)聯(lián)之后再去解除認(rèn)證。 1.2 WLAN 的安全風(fēng)險(xiǎn)及解決方案 1.2.1 WLAN 中存在的安全風(fēng)險(xiǎn) 無(wú)線局域網(wǎng)安全的最大闖題在于無(wú)線通信設(shè)備是在自由空問(wèn)

20、中進(jìn)行傳輸， 而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，因此無(wú)法通過(guò)對(duì)傳輸 媒介的接入控制來(lái)保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取。所以， wLAN 就面臨 一系列的有線網(wǎng)絡(luò)中并不存在安全問(wèn)題主要包括： 1. 來(lái)自網(wǎng)絡(luò)外部用戶的進(jìn)攻。 2. 來(lái)自未認(rèn)證的用戶獲得存取權(quán)。 3. 來(lái)自網(wǎng)絡(luò)內(nèi)部的竊聽(tīng)泄密等。 現(xiàn)階段針對(duì) WLAN 的攻擊主要為了實(shí)現(xiàn)兩個(gè)目的。 首先是通過(guò) WLAN 尋找一個(gè)進(jìn)入有線網(wǎng)絡(luò)的切入點(diǎn)，有線網(wǎng)絡(luò)經(jīng)過(guò)長(zhǎng)時(shí)間 的發(fā)展能夠建立完善的安全保護(hù)體系，例如通過(guò)安裝防火墻可以提供對(duì)自身的 保護(hù)，但是在其基礎(chǔ)上擴(kuò)建 WLAN 時(shí)，如果沒(méi)有對(duì) WLAN 的安全防護(hù)作出全 面的部署，則會(huì)危及

21、到原始有線網(wǎng)絡(luò)的安全，通?？梢栽诜阑饓?nèi)部安裝惡意 的無(wú)線訪問(wèn)接入點(diǎn) AP ，這種做法相當(dāng)于給防火墻安裝了后門，攻擊者通過(guò) WLAN 進(jìn)入有線網(wǎng)內(nèi)部實(shí)施惡意訪問(wèn)變得十分簡(jiǎn)單。 第二，針對(duì)無(wú)線數(shù)據(jù)的竊取。目前 WLAN 使用 2.5GHz 的無(wú)線電波進(jìn)行網(wǎng) 絡(luò)通信， AP 在一定半徑內(nèi)廣播信號(hào)，無(wú)需通過(guò)可見(jiàn)的線路即可建立通信，任何 攻擊者都可以用一臺(tái)帶無(wú)線網(wǎng)卡的 Pc 機(jī)或者無(wú)線掃描器進(jìn)行竊聽(tīng)并使用某些特 殊的網(wǎng)絡(luò)嗅探工具掃描無(wú)線網(wǎng)絡(luò)信號(hào)，一旦定位到信號(hào)，就能夠截獲并收集經(jīng) 過(guò)空間傳播的數(shù)據(jù)。 針對(duì) WLAN 的攻擊次數(shù)不斷增加， WLAN 的攻擊方式主要包括嗅探、欺 騙、而攻擊的手段也不斷更新

22、。目前針對(duì)網(wǎng)絡(luò)劫持等。 (1) 嗅探 這是一種針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信的電子竊聽(tīng)。通過(guò)使用嗅探工具，網(wǎng)絡(luò)監(jiān)聽(tīng) 者能夠察看無(wú)線網(wǎng)絡(luò)的所有通信。要想使 WLAN 不被識(shí)別工具發(fā)現(xiàn)，必須關(guān)閉 用于網(wǎng)絡(luò)識(shí)別的廣播以及任何未經(jīng)授權(quán)用戶訪問(wèn)資格。然而關(guān)閉廣播意味著 WLAN 不能被正常用戶發(fā)現(xiàn)，因此 WLAN 用戶免受嗅探攻擊的唯一方法是保 護(hù)盡可能使用加密會(huì)話。 (2) 欺騙 攻擊者冒充合法用戶連接到想要入侵的網(wǎng)絡(luò)，這樣就可以避免目標(biāo)網(wǎng)絡(luò)對(duì) 其 丿、 非法身份的識(shí)別。最常用的一種欺騙手段是將自己的無(wú)線網(wǎng)絡(luò)或網(wǎng)卡的 MAC 地址設(shè)定為合法地址，這可以通過(guò)在 Windows 平臺(tái)修改注冊(cè)表實(shí)現(xiàn)。一種新的 欺騙攻擊

23、方式稱為驗(yàn)證欺騙，攻擊者通過(guò)對(duì)WLN的嗅探累積多個(gè)用戶驗(yàn)證 請(qǐng)求，每個(gè)請(qǐng)求都包含原始明文消息及返回的加密過(guò)的應(yīng)答，從這些材料中攻 擊者可以偽造身份驗(yàn)證信息欺騙 AP 成為合法用戶。 (3) 網(wǎng)絡(luò)劫持 攻擊者將自己的主機(jī)偽裝成默認(rèn)網(wǎng)關(guān)或特定主機(jī)，所有試圖進(jìn)入網(wǎng)絡(luò)或連 接到被攻擊者頂替的機(jī)器上的用戶都會(huì)自動(dòng)連接到偽裝機(jī)器上。典型的無(wú)線網(wǎng) 絡(luò)劫持是使用欺騙性 AP。通過(guò)構(gòu)建一個(gè)信號(hào)強(qiáng)度好的 AP，使無(wú)線用戶忽視正 常的 AP 而連接到欺騙性 AP 上，攻擊者接受到來(lái)自其他合法用戶的驗(yàn)證請(qǐng)求和 信息后就能夠?qū)⒆约簜窝b成合法用戶并進(jìn)入目標(biāo) WLAN 。 上述三種是針對(duì) WLAN 的一般攻擊方式。從上述攻

24、擊方式上我們可以看 到，對(duì) WLAN 的攻擊主要有兩種渠道，一是直接劫持傳輸網(wǎng)絡(luò)數(shù)據(jù)的無(wú)線電 波，另一種就是冒充合法用戶或 AP 接入無(wú)線網(wǎng)絡(luò)。所以， WLAN 的安全機(jī)制 業(yè)主要包括兩部分：一是用戶認(rèn)證，即只允許合法用戶接入 WLAN ；二是數(shù)據(jù) 加密，即網(wǎng)絡(luò)中的數(shù)據(jù)傳輸采用密文的形式。以此來(lái)保證 WLAN 網(wǎng)絡(luò)的安全 1.2.2 WLAN 安全工程采用的安全解決方案 安全問(wèn)題已經(jīng)成了 WLAN 應(yīng)用和發(fā)展的重中之重，雅典奧運(yùn)組委會(huì)就因 WLAN 的安全存在隱患而放棄了在 2004 年雅典奧運(yùn)會(huì)的各個(gè)賽場(chǎng)布置 WLAN 網(wǎng)絡(luò)。但由于針對(duì) WLAN 安全的技術(shù)不斷更新，如果能夠應(yīng)用最先進(jìn)的安全

25、技 術(shù)，同時(shí)進(jìn)行合理的配置，那么就可以解決這個(gè)棘手的問(wèn)題。 所以在本工程中對(duì)網(wǎng)絡(luò)安全方面非常重視，運(yùn)用了多種手段： WEP加密，支持64位和128位 IEEE 802.1li， IEEE 推出的 WLAN 最新安全標(biāo)準(zhǔn) 多SSID,通過(guò)SSID來(lái)限制用戶的訪問(wèn)權(quán)限 MAC 過(guò)濾、口過(guò)濾 同時(shí)支持多種認(rèn)證方式來(lái)檢測(cè)用戶身份 WAPI，我國(guó)推出的 WLAN安全國(guó)家標(biāo)準(zhǔn) 這樣，在 wLAN 安全工程中的 AP 就可以支持以下六種安全模式下： 1 不加密 2. WEP(802.1l中定義的安全方案) 3. 802.1X+動(dòng)態(tài) WEP密鑰 4. 802.11i(WPA) 5. 802.11i(wPA)+

26、PSI(與共享密鑰) 6. WAPI 第二章 WLAN 概述及應(yīng)用 2.1 802.11無(wú)線局域網(wǎng)的安全機(jī)制 802.11無(wú)線局域網(wǎng)運(yùn)作模式基本分為兩種：點(diǎn)對(duì)點(diǎn) (Ad Hoc)模式和基本 (In frastructure)模式。點(diǎn)對(duì)點(diǎn)模式指無(wú)線網(wǎng)卡和無(wú)線網(wǎng)卡之間的直接通信方式。 只要PC插上無(wú)線網(wǎng)卡即可與另一具有無(wú)線網(wǎng)卡的 PC連接，這是一種便捷的連 接方式，最多可連接 256 個(gè)移動(dòng)節(jié)點(diǎn)?；灸Ｊ街笩o(wú)線網(wǎng)絡(luò)規(guī)模擴(kuò)充或無(wú)線和 有線網(wǎng)絡(luò)并存的通信方式，這也是 802.11 最常用的方式。此時(shí)，插上無(wú)線網(wǎng)卡 的移動(dòng)節(jié)點(diǎn)需通過(guò)接入點(diǎn)AP(Access Poi nt)與另一臺(tái)移動(dòng)節(jié)點(diǎn)連接。接入點(diǎn)負(fù)責(zé)

27、 頻段管理及漫游管理等工作，一個(gè)接入點(diǎn)最多可連接1024個(gè)移動(dòng)節(jié)點(diǎn)。當(dāng)無(wú)線 網(wǎng)絡(luò)節(jié)點(diǎn)擴(kuò)增時(shí)，網(wǎng)絡(luò)存取速度會(huì)隨著范圍擴(kuò)大和節(jié)點(diǎn)的增加而變慢，此時(shí)添 加接入點(diǎn)可以有效控制和管理頻寬與頻段。 與有線網(wǎng)絡(luò)相比較，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題具有以下特點(diǎn)：(1)信道開(kāi)放，無(wú) 法阻止攻擊者竊聽(tīng)，惡意修改并轉(zhuǎn)發(fā)； (2)傳輸媒質(zhì) 無(wú)線電波在空氣中的傳播 會(huì)因多種原因 (例如障礙物 )發(fā)生信號(hào)衰減，導(dǎo)致信息的不穩(wěn)定，甚至?xí)G失；(3) 需要常常移動(dòng)設(shè)備 (尤其是移動(dòng)用戶 )，設(shè)備容易丟失或失竊； (4)用戶不必與網(wǎng) 絡(luò)進(jìn)行實(shí)際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點(diǎn)，利用 WLAN 進(jìn)行通信必須具有較高的通信保

28、密能力。 802.11無(wú)線局域網(wǎng)本身提供了一些基本的安全機(jī)制。 802.11接入點(diǎn) AP 可以用 一個(gè)服務(wù)集標(biāo)識(shí) SSID(Service Set Identifier)或 ESSID(Extensible Service Set Identifier)來(lái)配置。與接入點(diǎn)有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接 收數(shù)據(jù)。但這是一個(gè)非常脆弱的安全手段。因?yàn)镾SID通過(guò)明文在大氣中傳 送，甚至被接入點(diǎn)廣播，所有的網(wǎng)卡和接入點(diǎn)都知道 SSID。 802.11的安全性主要包括以有線同等保密 WEP(Wired Equivale nt Privacy)算法為 基礎(chǔ)的身份驗(yàn)證服務(wù)和加密技術(shù)。 WEP

29、是一套安全服務(wù)，用來(lái)防止 802.11 網(wǎng) 絡(luò)受到未授權(quán)用戶的訪問(wèn)。啟用 WEP 時(shí)，可以指定用于加密的網(wǎng)絡(luò)密鑰，也 可自動(dòng)提供網(wǎng)絡(luò)密鑰。如果親自指定密鑰，還可以指定密鑰長(zhǎng)度 (64 位或 128 位)、密鑰格式 (ASCII 字符或十六進(jìn)制數(shù)字 )和密鑰索引 (存儲(chǔ)特定密鑰的位置 )。 原理上密鑰長(zhǎng)度越長(zhǎng)，密鑰應(yīng)該越安全。思科公司的Scott Fluhrer與Weizmann 研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為RC4秘鑰時(shí)序算法缺 點(diǎn)的論文，講述了關(guān)于 WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問(wèn)題。 另外，這一安全機(jī)制的一個(gè)主要限制是標(biāo)準(zhǔn)沒(méi)有規(guī)定一個(gè)分配密鑰的管理 協(xié)議。這就假

30、定了共享密鑰是通過(guò)獨(dú)立于 802.11的秘密渠道提供給移動(dòng)節(jié)點(diǎn)。 當(dāng)這種移動(dòng)節(jié)點(diǎn)的數(shù)量龐大時(shí)，將是一個(gè)很大的挑戰(zhàn)。 2.2 8021x協(xié)議的體系 IEEE 802.1x協(xié)議起源于802.11，其主要目的是為了解決無(wú)線局域網(wǎng)用戶的接入 認(rèn)證問(wèn)題。 802.1x 協(xié)議又稱為基于端口的訪問(wèn)控制協(xié)議，可提供對(duì) 802.11無(wú)線 局域網(wǎng)和對(duì)有線以太網(wǎng)絡(luò)的驗(yàn)證的網(wǎng)絡(luò)訪問(wèn)權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的 打開(kāi)與關(guān)閉，對(duì)于合法用戶接入時(shí)，打開(kāi)端口；對(duì)于非法用戶接入或沒(méi)有用戶 接入時(shí)，則端口處于關(guān)閉狀態(tài)。 IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實(shí)體：客戶端Supplica nt System 認(rèn)

31、證系統(tǒng) Authenticator System 認(rèn)證服務(wù)器 Authentication Server System (1)客 戶端：一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用 戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程。(2)認(rèn)證系統(tǒng)： 通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對(duì)應(yīng)于不同用戶的端口有兩 個(gè)邏輯端口：受控(con trolled Port)端口和非受控端口(u neon trolled Port)。第一個(gè) 邏輯接入點(diǎn) (非受控端口 )，允許驗(yàn)證者和 LAN 上其它計(jì)算機(jī)之間交換數(shù)據(jù)，而 無(wú)需考慮計(jì)算機(jī)的身份驗(yàn)證狀態(tài)如何。

32、非受控端口始終處于雙向連通狀態(tài) (開(kāi)放 狀態(tài))，主要用來(lái)傳遞 EAPOL 協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn) 證。第二個(gè)邏輯接入點(diǎn) (受控端口 )，允許經(jīng)驗(yàn)證的 LAN 用戶和驗(yàn)證者之間交換 數(shù)據(jù)。受控端口平時(shí)處于關(guān)閉狀態(tài)，只有在客戶端認(rèn)證通過(guò)時(shí)才打開(kāi)，用于傳 遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適 應(yīng)不同的應(yīng)用程序。如果用戶未通過(guò)認(rèn)證，則受控端口處于未認(rèn)證(關(guān)閉)狀 態(tài)，則用戶無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù)。 (3)認(rèn)證服務(wù)器：通常為 RADIUS 服 務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息，比如用戶名和口令、用戶所屬的 VLAN 、優(yōu)先級(jí)、用戶的訪問(wèn)控制列表等

33、。當(dāng)用戶通過(guò)認(rèn)證后，認(rèn)證服務(wù)器會(huì) 把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表，用 戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。 2.3 8021x協(xié)議的認(rèn)證過(guò)程 利用 IEEE 802.1x 可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng) 絡(luò)的情況下都訪問(wèn)網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問(wèn)該網(wǎng)絡(luò)的身份驗(yàn) 證。以下步驟描述了利用接入點(diǎn) AP 和 RADIUS 服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn) 證的基本方法。如果沒(méi)有有效的身份驗(yàn)證密鑰， AP 會(huì)禁止所有的網(wǎng)絡(luò)流量通 過(guò)。 (1)當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn) (申請(qǐng)者 )進(jìn)入一個(gè)無(wú)線 AP 認(rèn)證者的覆蓋范圍時(shí)，無(wú)線 AP 會(huì) 向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)

34、問(wèn)詢。 (2)在受到來(lái)自 AP 的問(wèn)詢之后，移動(dòng)節(jié)點(diǎn)做出響 應(yīng)，告知自己的身份。 (3)AP 將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給 RADIUS 身份驗(yàn)證服務(wù) 器，以便啟動(dòng)身份驗(yàn)證服務(wù)。 (4)RADIUS 服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)， 并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)的類型。 (5)移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給 RADIUS 。 (6)在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后， RADIUS 服務(wù)器將 身份驗(yàn)證密鑰發(fā)送給AP。該身份驗(yàn)證密鑰將被加密，只有 AP能夠讀出該密 鑰。(在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請(qǐng)求通過(guò) AP的非控制”端口進(jìn) 行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與 RADIUS服務(wù)器建立聯(lián)系

35、。AP不允許STA 移動(dòng)節(jié)點(diǎn)通過(guò) “受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒(méi)有經(jīng)過(guò)身份驗(yàn)證。 ) (7)AP 使用從 RADIUS 服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全 傳輸-特定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話密鑰以及多播 /全局身份驗(yàn)證密鑰。 全局身份驗(yàn)證密鑰必須被加密。這要求所使用的 EAP 方法必須能夠生成一 個(gè)加密密鑰，這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全 TLS(Transport Level Security)協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以 及密鑰交換。我們可以使用 EAP-TLS 在 EAP 內(nèi)部提供 TLS 機(jī)制。 移動(dòng)節(jié) 點(diǎn)可被要求周期性地重新認(rèn)證

36、以保持一定的安全級(jí)。 2.4 8021x協(xié)議的特點(diǎn) IEEE 802.1X具有以下主要優(yōu)點(diǎn)：(1)實(shí)現(xiàn)簡(jiǎn)單。IEEE 802.1x協(xié)議為二層協(xié)議， 不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。 (2)認(rèn) 證和業(yè)務(wù)數(shù)據(jù)分離。IEEE 802.1X的認(rèn)證體系結(jié)構(gòu)中采用了 受控端口”和非受 控端口 ”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過(guò)認(rèn)證后，業(yè)務(wù) 流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求，業(yè)務(wù)可以很靈活， 尤其在開(kāi)展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢(shì)，所有業(yè)務(wù)都不受認(rèn)證方式限 制。 IEEE 802.1X同時(shí)具有以下不足 802.1X認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系

37、統(tǒng)和網(wǎng)絡(luò)之間的會(huì)話，這一會(huì)話使用IETF的 EAP(Exte nsible Authe nticati on Protoco I)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機(jī)制的體系結(jié) 構(gòu)框架使得能夠在802.11實(shí)體之間發(fā)送EAP包，并為在AP和工作站間的高層 認(rèn)證協(xié)議建立了必要條件。對(duì) MAC地址的認(rèn)證對(duì)802.1X來(lái)說(shuō)是最基本的，如 果沒(méi)有高層的每包認(rèn)證機(jī)制，認(rèn)證端口沒(méi)有辦法標(biāo)識(shí)網(wǎng)絡(luò)申請(qǐng)者或其包。而且 實(shí)驗(yàn)證明802.1X由于其設(shè)計(jì)缺陷其安全性已經(jīng)受到威脅，常見(jiàn)的攻擊有中間人 MIM 攻擊和會(huì)話攻擊。 所以802.11與802.1X的簡(jiǎn)單結(jié)合并不能提供健壯的安全無(wú)線環(huán)境，必須有 高層的清晰的交互認(rèn)證協(xié)議來(lái)

38、加強(qiáng)。幸運(yùn)的是， 802.1X為實(shí)現(xiàn)高層認(rèn)證提供了 基本架構(gòu)。 2.5 802.1X認(rèn)證協(xié)議的應(yīng)用 IEEE 802.1X使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、 動(dòng)態(tài)密鑰管理和記帳。802.1X身份驗(yàn)證可以增強(qiáng)安全性。IEEE 802.1x身份驗(yàn)證 提供對(duì) 802.1 1無(wú)線網(wǎng)絡(luò)和對(duì)有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問(wèn)權(quán)限。 IEEE 802.1X 通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線網(wǎng) 絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下，作為 RADIUS 客戶端配置的無(wú)線接 入點(diǎn)將連接請(qǐng)求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)

39、器 處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法， 該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。IEEE 802.1X為可擴(kuò)展的身 份驗(yàn)證協(xié)議 EAP 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗(yàn)證方法。 擴(kuò)展身份驗(yàn)證協(xié)議 EAP 是一個(gè)支持身份驗(yàn)證信息通過(guò)多種機(jī)制進(jìn)行通信的 協(xié)議。利用802.1x，EAP可以用來(lái)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間傳遞驗(yàn)證信 息。這意味著 EAP 消息需要通過(guò) LAN 介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請(qǐng) 者和身份驗(yàn)證服務(wù)器之間轉(zhuǎn)遞消息。身份驗(yàn)證服務(wù)器可以是一臺(tái)遠(yuǎn)程身份驗(yàn)證

40、撥入用戶服務(wù) (RADIUS) 服務(wù)器。 以下舉一個(gè)例子，說(shuō)明對(duì)申請(qǐng)者進(jìn)行身份驗(yàn)證所需經(jīng)過(guò)的步驟：(1)認(rèn)證者 發(fā)送一個(gè)EAP - Request/ldentity(請(qǐng)求/身份)消息給申請(qǐng)者。(2)申請(qǐng)者發(fā)送一個(gè) EAP - Respo nse/lde ntity響應(yīng)/身份)以及它的身份給認(rèn)證者。認(rèn)證者將收到的消 息轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器。 (3)身份驗(yàn)證服務(wù)器利用一個(gè)包含口令問(wèn)詢的 EAP - Request消息通過(guò)認(rèn)證者對(duì)申請(qǐng)者做出響應(yīng)。(4)申請(qǐng)者通過(guò)認(rèn)證者將它對(duì)口令問(wèn) 詢的響應(yīng)發(fā)送給身份驗(yàn)證服務(wù)器。 (5)如果身份驗(yàn)證通過(guò)，授權(quán)服務(wù)器將通過(guò)認(rèn) 證者發(fā)送一個(gè)EAP - Success響應(yīng)給

41、申請(qǐng)者。認(rèn)證者可以使用 “ Success成功)響 應(yīng)將受控制端口的狀態(tài)設(shè)置為 “已授權(quán) ”。 2.6 8021x與智能卡 智能卡通常用在安全性要求比較高的場(chǎng)合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。 這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)；而智能卡能保護(hù)密鑰也 是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)， 密鑰絕對(duì)不能被泄密，但為安全原因所增加的成本卻不能太多。 智能卡自身硬件的資源極為有限。用其實(shí)現(xiàn)安全系統(tǒng)面臨著存儲(chǔ)器容量和 計(jì)算能力方面受到的限制。目前市場(chǎng)上的大多數(shù)智能卡有 128到 1024字節(jié)的 RAM，1 k到16 k字節(jié)的EEPROM，6 k到16 k字節(jié)的R

42、OM，CPU通常為8比 特的，典型的時(shí)鐘頻率為3.57 MHz。任何存儲(chǔ)或者是處理能力的增強(qiáng)都意味著 智能卡成本的大幅度提高。 另外智能卡的數(shù)據(jù)傳送是相對(duì)慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元 必須要小，這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量，其傳送時(shí)間的減少 則意味著實(shí)用性的增強(qiáng)。 將802.1X與智能卡的應(yīng)用相結(jié)合的優(yōu)點(diǎn)是：認(rèn)證更加安全；生成和管理密 鑰方便；節(jié)省內(nèi)存空間；節(jié)省帶寬，提高實(shí)用性；節(jié)省處理時(shí)間，而不需要增 加硬件的處理等方面。802.1X安全認(rèn)證協(xié)議所帶來(lái)的各優(yōu)點(diǎn)恰好彌補(bǔ)了智能卡 硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實(shí) 用性。 2.7 發(fā)展方向

43、和趨勢(shì) 802. 1 1無(wú)線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流： (1) WPA。802.1X協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡(jiǎn)單地通過(guò)控制 接入端口的開(kāi) /關(guān)狀態(tài)來(lái)實(shí)現(xiàn)，這種簡(jiǎn)化適用于無(wú)線局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn) 物理或邏輯端口的接入認(rèn)證。 WPA(Wi-Fi受保護(hù)訪問(wèn))是一種新的基于IEEE標(biāo) 準(zhǔn)的安全解決方法。 Wi-Fi 聯(lián)盟經(jīng)過(guò)努力，于 2002 年 10 月下旬宣布了基于此 標(biāo)準(zhǔn)的解決方法，以便開(kāi)發(fā)更加穩(wěn)定的無(wú)線 LAN 安全解決方法來(lái)滿足 802.11 的要求。 WPA 包括 802.1x 驗(yàn)證和 TKIP 加密 (一種更高級(jí)和安全的 WEP 加密形 式)，以進(jìn)一步形

44、成和完善 IEEE 802.11i 標(biāo)準(zhǔn)。 (2)WAPI 。我國(guó)已于 2003年 12月 1日起強(qiáng)制執(zhí)行了新的無(wú)線局域網(wǎng)安全國(guó)家標(biāo) 準(zhǔn) 無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu) WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI 由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu) WAI(WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu) WPI(WLAN Privacy Infrastructure)組 成。 WAPI 與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn)，充分體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn) 性。 WAPI 與已有安全機(jī)制相比在很多方

45、面都進(jìn)行了改進(jìn)。它已由 ISO/IEC 授 權(quán)的IEEE Registration Authority審查獲得認(rèn)可，分配了用于 WAPI協(xié)議的以太 網(wǎng)類型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。 WAPI 采用國(guó)家 密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體 制的分組密碼算法，分別用于 WLAN 設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的 加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳 輸狀態(tài)下的加密保護(hù)。 第三章 WLAN 應(yīng)用中的安全問(wèn)題分析 3.1 安全協(xié)議分析 從1997年 WEP的面世到2003年WPA這個(gè)過(guò)渡方案的提出，再到 200

46、4年 WPA2的公布，這三種協(xié)議見(jiàn)證了無(wú)線網(wǎng)絡(luò)安全的發(fā)展歷程。雖然WEP固有的 缺陷已經(jīng)使得它不再適合用于商業(yè)或者是具有更高安全需求的行業(yè)，但是現(xiàn)今 市場(chǎng)上的無(wú)線設(shè)備基本上還都同時(shí)支持WEP、WPA 和 WPA2 這三種協(xié)議。因 此本文將從 WEP 開(kāi)始展開(kāi)對(duì)這三種安全協(xié)議的分析。 3.2 WEP 安全協(xié)議分析 不少文章把 WEP 的安全缺陷歸結(jié)于 RC4 算法中的缺陷，但其實(shí)不然。 RC4 在以往的有線網(wǎng)絡(luò)應(yīng)用中，并沒(méi)有讓人們失望。壓垮 WEP 的那根稻草是 其密鑰管理機(jī)制(以及由此引致的共享密鑰重用問(wèn)題)。本文在這里列舉其中 最重要的兩個(gè)缺陷。 (1)初始向量重用 /沖突缺陷( Initi

47、alization VectorReuse/Collision Issue) 根據(jù) WEP 的定義，其 IV 的長(zhǎng)度僅為 24 位，因此 IV 的不同的取值只有 224 種。這個(gè)數(shù)值在當(dāng)今的計(jì)算機(jī)世界里并不足夠大。而它對(duì)整個(gè)加密系統(tǒng)的 影響可以從WEP加密的數(shù)學(xué)表達(dá)式看出來(lái)： C=(Mc(M)+RC4(IV 在上面的公式里，C代表的是密文，M是明文，c(M)是指明文的校檢值， IV是初始向量，k是密鑰，RC4指的是RC4算法。其中“代表著串接操作“ +” 表示異或操作。 在現(xiàn)實(shí)中，共享密鑰(k)很少改變。因此，每次IV的重用就意味著RC4算 法的輸出會(huì)是一樣。與此同時(shí)，由于IV是以明文的方式傳

48、輸，所以可以很容易 地檢測(cè)出相同的IV值。因此，只要能夠找到兩段有著相同的IV的密文段，就 可以很容易地把相關(guān)的明文給破解出來(lái)。 而另一方面，雖然IV有著224種不同的取值，但是它發(fā)生重用的概率并沒(méi) 有人們想象的那么小。根據(jù)統(tǒng)計(jì)，以上的統(tǒng)計(jì)數(shù)據(jù)意味著，在終端電腦跟AP 交換過(guò)12430個(gè)加密數(shù)據(jù)幀后，99%密文可以被破解。 表1 ivtXfc* 582 1靈 1881 10fc 4823 12430 9兎 (2) 認(rèn)證過(guò)程中的缺陷 圖1描述了 WEP在共享密鑰模式下的認(rèn)證過(guò)程。在第二步中P(Challenge Text)是以明文的方式傳播的，而在第三步中的 C(Challenge Respon

49、se則是P K 的產(chǎn)物.其中缶是指異或操作，K是密鑰。因此，只要把第二步的 P和第三步 C進(jìn)行異或操作，就可以很方便地把 K給恢復(fù)出來(lái)。 WEP的另外一種工作方式是開(kāi)放式系統(tǒng)認(rèn)證，在這種模式下，所有電腦終 端都可以跟無(wú)線接入點(diǎn)成功地連接。雖然這種工作方式聽(tīng)起來(lái)不太安全，但是 在這種模式下，密鑰反而沒(méi)有這么容易被暴露出來(lái)。 圖1共亨模式下WEP的認(rèn)證過(guò)程 3.3 WPA安全協(xié)議分析 由于WEP有著不可克服的缺陷，因此國(guó)際上提出了一系列解決方案。其中 的 WPA是一個(gè)過(guò)渡方案，它在 WEP協(xié)議的基礎(chǔ)上，增加了 IEEE802.1X來(lái)改 進(jìn)認(rèn)證機(jī)制，并采用 TKIP(Temporal Key Int

50、egrity Protocol)協(xié)議來(lái)實(shí)現(xiàn)消息的保 密與完整性保護(hù)。 ST A Afeilbtirlk lhm 1 tifiH itisilion F P M 1 E訃則小1 接入底CAP A戍終竭 I M J 圖2 1EEE8O2.1X認(rèn)證流程 在信息交換的過(guò)程中，雖然所有信息都要經(jīng)過(guò)AP,但它不需要了解里面的 任何信息。在 STA 和 AP 之間的聯(lián)路上，運(yùn)行的是 EAPOL(EAP over Lan )協(xié) 議。在 AP 和 AS 之間同樣運(yùn)行 EAP (Extensible Authentication Protocol)協(xié)議但該 協(xié)議被封裝到了高層協(xié)議中。 3.4 安全協(xié)議分析 作為完

51、全實(shí)現(xiàn)了 802.11i安全規(guī)范中的所有強(qiáng)制設(shè)定的協(xié)議， WPA2也被視 為實(shí)現(xiàn) RSN (Robust SecurityNetwork)的必要條件(WPA只實(shí)現(xiàn)了部分)。鑒于 CCMP(Counter-Mode/CBC-MAC Protocol)是 IEEE802.11i 中最重要的協(xié)議，同時(shí) 也是 RSN 的強(qiáng)制要求。 第四章無(wú)線校園網(wǎng)絡(luò)安全解決方案 4.1無(wú)線網(wǎng)絡(luò)安全實(shí)現(xiàn)原理 校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無(wú)線網(wǎng)絡(luò)的安全基于 MAC 地址的認(rèn)證存在兩個(gè)問(wèn)題：一是數(shù)據(jù)管理的問(wèn)題，要維護(hù) MAC 數(shù)據(jù)庫(kù)； 二是 MAC 可嗅探，也可修改。如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞

52、到共享認(rèn)證密鑰。802.1X定義了三種身份：申請(qǐng)者(用戶無(wú)線終端)、認(rèn)證者(AP) 和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間。認(rèn)證者只起 到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對(duì)申 請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者申請(qǐng)者用 這個(gè)密鑰就可以與 AP 進(jìn)行通信。 雖然802.1X仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的 改善.IEEE 802.11i和 WAPI都參考了 802.1x的機(jī)制。802.1x選用EAP來(lái)提供 請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的 EAP 認(rèn)證方法有 EAP MD5、EAPTLS和

53、PEAP等.Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提 供了本地支持。在大多數(shù)情況下，選擇無(wú)線客戶端身份驗(yàn)證的依據(jù)是基于密碼 憑據(jù)驗(yàn)證.或基于證書驗(yàn)證.建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用 EAPTLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手 身 份 驗(yàn)證 協(xié) 議 版本 2(MSCHAPv2)。 該協(xié) 議 在 PEAP(ProtectedExtensible AuthenticationProtoc(協(xié))議中，也稱作 PEAP-EAPMSCHAPv2 4.2無(wú)線校園網(wǎng)絡(luò)安全方案設(shè)計(jì) 考慮到校園群體的特殊性，為了保障校園無(wú)線網(wǎng)絡(luò)的安全，可對(duì)不同的

54、群 體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi).主要分成兩類不同的用戶：一類是校內(nèi) 用戶；另一類是來(lái)訪用戶.校內(nèi)用戶主要是學(xué)校的師生，由于工作和學(xué)習(xí)的需 要，他們要求能夠隨時(shí)接人無(wú)線網(wǎng)絡(luò)，訪問(wèn)校園網(wǎng)內(nèi)資源以及訪問(wèn)In ternet.這 些用戶的數(shù)據(jù)。如工資、科研成果、研究資料和論文等安全性要求比較高.對(duì) 于此類用戶，可使用 802.1x 認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來(lái)訪用戶主要是來(lái)校參 觀、培訓(xùn) 或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高，對(duì)他們 來(lái)說(shuō)最重要的就是能夠非常方便而且快速地接入 Internet 以瀏覽相關(guān)網(wǎng)站和收發(fā) 郵件等針對(duì)這類用戶，可采用 DHCP 十強(qiáng)制 Portal 認(rèn)證的方式接入校園無(wú)線 網(wǎng)絡(luò)。開(kāi)機(jī)后，來(lái)訪用戶先通過(guò)陰 CP 服務(wù)器獲得 I