《无线局域网中的安全及加密技术研究课程设计(12页).doc》由会员分享,可在线阅读,更多相关《无线局域网中的安全及加密技术研究课程设计(12页).doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-无线局域网中的安全及加密技术研究课程设计-第 7 页学 号 14124503105课 程 设 计题目: 无线局域网中的安全及加密技术研究 作 者 宋 浪 年 级 2012 级 院 别 计算机学院 专 业 网络工程 指导教师 石炎生 职 称 副教授 完成时间 2015年6月19日 摘 要随着无线技术的发展,无线局域网(WLAN)已经成为IT行业的一个新的热点,无线局域网技术正方兴未艾,各项新技术、新标准也是层出不穷,渐渐成为计算机网络的一个重要的组成部分;但是,作为一项新兴技术,WLAN 也存在很多的安全隐患。本文从分析无线局域网的安全威胁,保护用户的信息方面出发,讨论了无线局域网的几种安全保
2、密技术,分析了WLAN在加密方面存在的问题,并给出了解决建议。关键字:无线局域网,加密;安全;802.11标准;有线等效保密;WAPI 鉴别与保密AbstractWith the development of wireless technology, wireless local area network (WLAN) has become a hot topic in the IT industry, wireless LAN technology is in the ascendant, various kinds of new technologies, new standard is
3、endless, gradually become computer network an important part; however, as an emerging technology, WLAN has a lot of security risks. The from the analysis of wireless LAN security threats, protect the users information of discussed several kinds of wireless LAN security technology, analyzes the probl
4、ems existing in the encryption WLAN, and gives the suggestions to solve the problem.Keywords: Wireless local area network, encryption, security; 802.11 standard; Wired Equivalent Privacy; WAPI authentication and security目 录摘 要IABSTRACTII目 录III1 绪 论11.1 研究背景11.2 本课题研究的内容和意义12 无线局域网的安全威胁23 无线局域网的安全保障3
5、3.1 SSID访问控制33.2 MAC地址过滤33.3 802.11的认证服务34 无线局域网安全的增强性技术54.1 802.1x扩展认证协议54.2 WPA保护机制54.2.1认证54.2.2加密54.2.3消息完整性校验64.3 VPN64.4 WAPI鉴别与保密65 无线局域网的安全措施85.1验证85.2加密86 总 结9参考文献10致 谢111 绪 论经过20多年的发展,无线局域网(WirelessLocalAreaNetwork,WLAN),已经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大
6、幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。 无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。1.1 研究背景随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。1.2
7、 本课题研究的内容和意义由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全。2 无线局域网的安全威胁电由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:所有有线网络存在的安全威胁和隐患都存在;无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;外部人员可以通过无线网络绕过防火墙,对公司网络
8、进行非授权存取;无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入;无线网络易被拒绝服务攻击(DOS)和干扰;内部员工可以设置无线网卡为P2P模式与外部员工连接。3 无线局域网的安全保障自从无线局域网诞生之日起,安全性隐患与其灵活便捷的优势就一直共存,安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性,IEEE802.11系列标准从多个层次定义了安全性控制手段。3.1 SSID访问控制服务集标识符(Service Set Identifier,SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID,也称业务组标识符,是一个W
9、LAN的标识码,相当于有线局域网的工作组(WORKGROUP)。无线工作站只有出示正确的SSID才能接入WLAN,因此可以认为SSID是一个简单的口令,通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。严格来说SSID不属于安全机制,只不过,可以用它作为一种实现访问控制的手段。3.2 MAC地址过滤MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证,而不是用户认证。MAC地址过滤这种很常用的接入控制技术,在运营商铺设的有线网络中也经常使用,即只允许合法的MAC地址终端接入网络
10、。用无线局域网中,AP只允许合法的MAC地址终端接入BSS,从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新,但是目前都是通过手工操作完成,因此扩展能力差,只适合小型网络规模,同时这种方法的效率也会随着终端数目的增加而降低。3.3 802.11的认证服务802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务:开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议(Wires Equivalent Privacy,WEP)。WEP利用一个64位的启动源密钥
11、和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了解决密钥重用的问题,WEP算法中引入了初始向量(Initialilization Vector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分,所以无须保密,多以明文形式传输。WEP协议自公布以来,它的安全机制就遭到了广泛的抨击,主要问题如下:(1)WEP加密存在固有的缺陷,它的密钥固定且比较短(只有64-2440bits)。(2)IV的使用解决了密钥重用的问题,但是IV的长度太短,强度并不高,同时IV多以明文形式传输,带来严重的安全隐患。(3)密钥管理是密码体制中最
12、关键的问题之一,但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。(4)WEP的密钥在传递过程中容易被截获。所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件,例如WEPCrack和AirSnort。4 无线局域网安全的增强性技术随着WLAN应用的进一步发展,802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用,业界积极研究,开发了很多增强WLAN安全性的方法。4.1 802.1x扩展认证协议IEEE802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份
13、验证、动态密钥管理。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此执行下,作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。然后,客户机与AP激活WEP,利用密钥进行通信。为了进一步提高安全性,IEEE802.1x扩展认证协议采用了WEP2算法,即将启动源密钥由
14、64位提升为128位。移动节点可被要求周期性地重新认证以保持一定的安全级。4.2 WPA保护机制Wi-Fi Protected Access(WPA,Wi-Fi保护访问)是Wi-Fi联盟提出的一种新的安全方式,以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制,方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。4.2.1认证WPA要求用户必须提供某种形式的证据来证明它是合法用户,才能拥有对某些网络资源的访问权,并且这是是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP(Extensible Authentication Pro
15、tocol)的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式,要求在每个无线局域网节点(AP、STA等)预先输入一个密钥,只要密钥吻合就可以获得无线局域网的访问权。4.2.2加密WPA采用TKIP(TemporalKeyIntegrityProtocol,临时密钥完整性协议)为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的
16、主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。4.2.3消息完整性校验除了保留802.11的CRC校验外,WPA为每个数据分组又增加了一个8个字节的消息完整性校验值,以防止攻击者截获、篡改及重发数据报文。4.3 VPN 目前许多企业以及运营商已经采用虚拟专用网(VPN)技术。虚拟专用网(VPN)技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,其本身并不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,
17、同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和不可抵赖性。VPN技术作为一种比较可靠的网络安全解决方案,在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用,然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用,如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。4.4 WAPI鉴别与保密无线局域网鉴别与保密基础结构(WLAN Authenticationand Privacy Infrastructure,WAPI)是我国无线局域网国家标准制
18、定的,由无线局域网鉴别基础结构(WLANAuthenticationInfrastructure,WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure,WPI)组成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。在WAPI中,身份鉴别的基本功能是实现对接入设备用户证书和其身份的鉴别,若鉴别成功则允许接入网络,否则解除其关联,鉴别流程包含下列几个步骤:(1)鉴别激活:当STA登录至AP时,由AP向
19、STA发送认证激活以启动认证过程;(2)接入鉴别请求:工作站STA向AP发出接入认证请求,将STA证书与STA的当前系统时间(接入认证请求时间)发往AP;(3)证书鉴别请求:AP收到STA接入认证请求后,向AS(认证服务器)发出证书认证请求,将STA证书、接入认证请求时间、AP证书及用AP的私钥对 上述字段的签名,构成认证请求报文发送给AS。(4)证书鉴别响应:AS收到AP的证书认证请求后,验证AP的签名以及AP和STA证书的合法性。验证完毕后,AS将STA证书认证结果信息(包括STA证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们
20、的签名)构成证书认证响应报文发回给AP。(5)接入鉴别响应:AP对AS返回的证书认证响应进行签名验证,得到STA证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至STA。STA验证AS的签名后,得到AP证书的认证结果。STA根据该认证结果决定是否接入该AP。至此,工作站STA与AP之间完成了双向的证书鉴别过程。为了更大程度上保证WLAN的安全需求,还可以进行私钥的验证,以确认AP和工作站STA是否是证书的合法持有者,私钥验证由请求和响应组成。当工作站STA与接入点AP成功进行证书鉴别后,便可进行会话密钥的协商。会话密钥协商包括密钥协
21、商请求和密钥协商响应。密钥协商请求可以由AP或STA中的任意一方发起,另一方进行响应。为了进一步提高通信的保密性能,在通信一段时间或交换一定数量的报文后,工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。5 无线局域网的安全措施WLAN在物理上开放的传输媒质使得只要符合协议要求的无线系统均可能在信号覆盖范围内收到所有信息,为了达到和有线网络同等的安全性能,IEEE802.11采取了验证和加密措施,其中,验证提供了类似有线网络的物理连接,加密则提供了有线网络的封闭性。5.1验证验证程序提供了控制WLAN接入的能力,这一过程被所有无线终端用来建立自己合法接入到AP(AccessP
22、oint,接入点)的身份标志,包括AP对工作站身份的确认和共享密钥的认证等。如果AP和工作站之间无法完成相互间的验证,那么它们就不能建立有效的连接。IEEE802.11协议支持多个不同的验证过程,并且允许验证方案扩充。5.2加密IEEE802.11提供的加密方式采用WEP机制,它的使用可以通过帧控制字段的WEP子字段进行设置,WEP机制对数据的加密和解密都使用同样的算法和密钥。它包括“共享密钥”认证和数据加密两个过程。“共享密钥”认证使得那些没有正确WEP密钥的用户无法访问网络,而加密则要求网络中所有数据的发送和接收都必须使用密钥加密。(1)“共享密钥”认证 认证采用了一个标准的询问和响应帧格
23、式。执行过程中,AP采用RC4算法运用共享密钥对128字节的随机序列询问正文进行加密后作为询问帧发给用户,用户将收到的询问帧进行解密后以正文形式响应AP,AP将正文与原始随机序列进行比较,如果两者一致,则通过认证。(2)数据加密 WEP标准采用了40位密钥和RC4加密算法,它利用一个40比特的伪随机密钥发生器,运用共享密钥将发生器产生的数据生成一个随机密钥序列,其长度与被加密帧相同,然后将这个随机序列按模2加到帧比特上生成已加密帧。接收端采用同样的算法生成密钥序列,与加密帧再次进行模2运算,得到原始数据。6 总 结经过这次课程设计,我了解到了很多WLAN安全方面的知识。要保证WLAN的安全,需
24、要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传输信息的机密性,并能实现对无线网络的访问控制,密钥管理技术为加密技术服务,保证密钥生成、分发以及使用过程中不会被非法窃取,另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。参考文献1 信息安全与保密现代战争的信息卫士黄月江国防工业出版社,20022 数据保密和加密研究计算机网络的安全性松信(日) 科学出版社,20033 计算机密码学通信中的保密与安全卢开澄清华大学出版社,20044 无线局域网JimGeier(美)人民邮电出版社,20025 Adhoc技术与WMANET网络体系结构曹常义通信世界网,200
25、66 WLAN中MAC子层接入技术的研究顾雪琳通信世界网,20067 无线局域网(WLAN)常见问题解析王志勇北京市天昭公司,20088 IEEE802.11无线局域网的实现技术卓非凡南平无线通信局,20069 无线局域网标准简介肖雳信息产业部通信计量中心,200610 无线局域网技术和应用王军明、伏海文现代电信科技2004致 谢本文是在石炎生老师的精心指导下完成的。论文从选题到收集资料到完成的整个过程,得到了石老师的热情帮助和精心指导。在论文写作过程中石老师数次指出了我所犯的错误,并提出整改意见,使得论文能正确完成。在此,特向石老师表示深深的敬意和感谢!另外,还要感谢计算机系老师在三年的学习中给我的帮助和支持。他们所讲授的许多课程给了我思想的启迪,从这些课程中我学习的知识,这在我论文的写作过程中发挥了巨大的作用,使我的论文写作能够顺利完成。本文在写作过程中参考了大量的文献资料,主要文献资料已开列出来,本文的有些句子或段落引自这些参考文献,在此向所有的作者表示深深的感谢!