无线局域网中的安全及加密技术研究课程设计

学 号 课 程 设 计题目： 无线局域网中的安全及加密技术研究 作 者 宋 浪 年 级 级 院 别 计算机学院 专 业 网络工程 指引教师 石炎生 职 称 副专家 完毕时间 6月19日 摘 要随着无线技术的发展，无线局域网（WLAN）已经成为IT行业的一种新的热点，无线局域网技术正方兴未艾，各项新技术、新原则也是层出不穷，徐徐成为计算机网络的一种重要的构成部分；但是，作为一项新兴技术，WLAN 也存在诸多的安全隐患。本文从分析无线局域网的安全威胁，保护顾客的信息方面出发，讨论了无线局域网的几种安全保密技术，分析了WLAN在加密方面存在的问题，并给出理解决建议。核心字：无线局域网，加密；安全；802.11原则；有线等效保密；WAPI 鉴别与保密AbstractWith the development of wireless technology, wireless local area network (WLAN) has become a hot topic in the IT industry, wireless LAN technology is in the ascendant, various kinds of new technologies, new standard is endless, gradually become computer network an important part; however, as an emerging technology, WLAN has a lot of security risks. The from the analysis of wireless LAN security threats, protect the users information of discussed several kinds of wireless LAN security technology, analyzes the problems existing in the encryption WLAN, and gives the suggestions to solve the problem.Keywords: Wireless local area network, encryption, security; 802.11 standard; Wired Equivalent Privacy; WAPI authentication and security目 录摘 要IABSTRACTII目 录III1 绪 论11.1 研究背景11.2 本课题研究的内容和意义12 无线局域网的安全威胁23 无线局域网的安全保障33.1 SSID访问控制33.2 MAC地址过滤33.3 802.11的认证服务34 无线局域网安全的增强性技术54.1 802.1x扩展认证合同54.2 WPA保护机制54.2.1认证54.2.2加密54.2.3消息完整性校验64.3 VPN64.4 WAPI鉴别与保密65 无线局域网的安全措施85.1验证85.2加密86 总 结9参照文献10致 谢111 绪 论通过20近年的发展，无线局域网（WirelessLocalAreaNetwork，WLAN），已经成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一种必不可少的补充。WLAN的最大长处就是实现了网络互连的可移动性，它能大幅提高顾客访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的，它具有更大的开放性，数据传播范畴很难控制，因此无线局域网将面临着更严峻的安全问题。 无线局域网的安全问题随着着市场与产业构造的升级而日益凸现，安全问题已经成为WLAN走入信息化的核心舞台，成为无线局域网技术在电子政务、行业应用和公司信息化中大展拳脚的桎梏。1.1 研究背景随着公司无线局域网的大范畴推广普及使用，WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一种目的发起袭击，并且我们的系统还同步要面临来自外部、内部、自然等多方面的威胁。1.2 本课题研究的内容和意义由于无线局域网采用公共的电磁波作为载体，传播信息的覆盖范畴不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全。2 无线局域网的安全威胁电由于无线局域网采用公共的电磁波作为载体，传播信息的覆盖范畴不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有如下几种：所有有线网络存在的安全威胁和隐患都存在；无线局域网的无需连线便可以在信号覆盖范畴内进行网络接入的尝试，一定限度上暴露了网络的存在；无线局域网使用的是ISM公用频段，使用无需申请，相邻设备之间潜在着电磁破坏（干扰）问题；外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；无线网络传播的信息没有加密或者加密很弱，易被窃取、窜改和插入；无线网络易被回绝服务袭击（DOS）和干扰；内部员工可以设立无线网卡为P2P模式与外部员工连接。3 无线局域网的安全保障自从无线局域网诞生之日起，安全性隐患与其灵活便捷的优势就始终共存，安全问题的解决方案从背面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE802.11系列原则从多种层次定义了安全性控制手段。3.1 SSID访问控制服务集标记符(Service Set Identifier，SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标记符SSID，也称业务组标记符，是一种WLAN的标记码，相称于有线局域网的工作组（WORKGROUP）。无线工作站只有出示对的的SSID才干接入WLAN，因此可以觉得SSID是一种简朴的口令，通过对AP点和网卡设立复杂的SSID（服务集标记符），并根据需求拟定与否需要漫游来拟定与否需要MAC地址绑定，同步严禁AP向外广播SSID。严格来说SSID不属于安全机制，只但是，可以用它作为一种实现访问控制的手段。3.2 MAC地址过滤MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证，而不是顾客认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也常常使用，即只容许合法的MAC地址终端接入网络。用无线局域网中，AP只容许合法的MAC地址终端接入BSS，从而避免了非法顾客的接入。这种方式规定AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完毕，因此扩展能力差，只适合小型网络规模，同步这种措施的效率也会随着终端数目的增长而减少。3.3 802.11的认证服务802.11站点（AP或工作站）在与另一种站点通信之前都必须进行认证服务，两个站点能否通过认证是能否互相通信的根据。802.11原则定义了两种认证服务：开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密合同（Wires Equivalent Privacy，WEP）。WEP运用一种64位的启动源密钥和RC4加密算法保护调制数据传播。WEP为对称加密，属于序列密码。为理解决密钥重用的问题，WEP算法中引入了初始向量（Initialilization Vector，IV），IV为一随机数，每次加密时随机产生，IV与原密钥结合伙为加密的密钥。由于IV并不属于密钥的一部分，因此不必保密，多以明文形式传播。WEP合同自发布以来，它的安全机制就遭到了广泛的抨击，重要问题如下：(1)WEP加密存在固有的缺陷，它的密钥固定且比较短（只有64-2440bits）。(2)IV的使用解决了密钥重用的问题，但是IV的长度太短，强度并不高，同步IV多以明文形式传播，带来严重的安全隐患。(3)密钥管理是密码体制中最核心的问题之一，但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。(4)WEP的密钥在传递过程中容易被截获。所有上述因素都增长了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经浮现了许多可供下载的WEP破解工具软件，例如WEPCrack和AirSnort。4 无线局域网安全的增强性技术随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高品位顾客的需求。为了推动WLAN的发展和应用，业界积极研究，开发了诸多增强WLAN安全性的措施。4.1 802.1x扩展认证合同IEEE802.1x使用原则安全合同（如RADIUS）提供集中的顾客标记、身份验证、动态密钥管理。基于802.1x认证体系构造，其认证机制是由顾客端设备、接入设备、后台RADIUS认证服务器三方完毕。IEEE802.1x通过提供顾客和计算机标记、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低限度。在此执行下，作为RADIUS客户端配备的无线接入点将连接祈求发送到中央RADIUS服务器。中央RADIUS服务器解决此祈求并准予或回绝连接祈求。如果准予祈求，根据所选身份验证措施，该客户端获得身份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，运用密钥进行通信。为了进一步提高安全性，IEEE802.1x扩展认证合同采用了WEP2算法，即将启动源密钥由64位提高为128位。移动节点可被规定周期性地重新认证以保持一定的安全级。4.2 WPA保护机制Wi-Fi Protected Access（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性局限性的WEP。WPA采用了基于动态密钥的生成措施及多级密钥管理机制，以便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分构成。4.2.1认证WPA规定顾客必须提供某种形式的证据来证明它是合法顾客，才干拥有对某些网络资源的访问权，并且这是是强制性的。WPA的认证分为两种：第一种采用802.1x+EAP（Extensible Authentication Protocol）的方式，顾客提供认证所需的凭证，如顾客名密码，通过特定的顾客认证服务器来实现。另一种为WPA预共享密钥方式，规定在每个无线局域网节点（AP、STA等）预先输入一种密钥，只要密钥吻合就可以获得无线局域网的访问权。4.2.2加密WPA采用TKIP（TemporalKeyIntegrityProtocol，临时密钥完整性合同）为加密引入了新的机制，它使用一种密钥构架和管理措施，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增长到128位等措施增强安全性。并且，TKIP运用了802.1x/EAP构架。认证服务器在接受了顾客身份后，使用802.1x产生一种唯一的主密钥解决会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一种密钥构架和管理系统，使用主密钥为顾客会话动态产生一种唯一的数据加密密钥，来加密每一种无线通讯数据报文。4.2.3消息完整性校验除了保存802.11的CRC校验外，WPA为每个数据分组又增长了一种8个字节的消息完整性校验值，以避免袭击者截获、篡改及重发数据报文。4.3 VPN 目前许多公司以及运营商已经采用虚拟专用网（VPN）技术。虚拟专用网（VPN）技术是指在一种公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，其自身并不属于802.11原则定义，但是顾客可以借助VPN来抵御无线网络的不安全因素，同步还可以提供基于RADIUS的顾客认证以及计费。可以通过购买带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，可以有效地保护数据的完整性、可信性和不可抵赖性。VPN技术作为一种比较可靠的网络安全解决方案，在有线网络中，特别是公司有线网络应用中得到了一定限度的采用，然而无线网络的应用特点在很大限度上阻碍了VPN技术的应用，如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。4.4 WAPI鉴别与保密无线局域网鉴别与保密基本构造（WLAN Authenticationand Privacy Infrastructure，WAPI）是国内无线局域网国标制定的，由无线局域网鉴别基本构造（WLANAuthenticationInfrastructure，WAI）和无线局域网保密基本构造（WLAN Privacy Infrastructure，WPI）构成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传播数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和顾客信息在无线传播状态下的加密保护。在WAPI中，身份鉴别的基本功能是实现对接入设备顾客证书和其身份的鉴别，若鉴别成功则容许接入网络，否则解除其关联，鉴别流程涉及下列几种环节：(1)鉴别激活：当STA登录至AP时，由AP向STA发送认证激活以启动认证过程；(2)接入鉴别祈求：工作站STA向AP发出接入认证祈求，将STA证书与STA的目前系统时间（接入认证祈求时间）发往AP；(3)证书鉴别祈求：AP收到STA接入认证祈求后，向AS（认证服务器）发出证书认证祈求，将STA证书、接入认证祈求时间、AP证书及用AP的私钥对 上述字段的签名，构成认证祈求报文发送给AS。(4)证书鉴别响应：AS收到AP的证书认证祈求后，验证AP的签名以及AP和STA证书的合法性。验证完毕后，AS将STA证书认证成果信息(涉及STA证书、认证成果及AS对它们的签名)、AP证书认证成果信息(涉及AP证书、认证成果、接入认证祈求时间及AS对它们的签名)构成证书认证响应报文发回给AP。(5)接入鉴别响应：AP对AS返回的证书认证响应进行签名验证，得到STA证书的认证成果。AP将STA证书认证成果信息、AP证书认证成果信息以及AP对它们的签名构成接入认证响应报文回送至STA。STA验证AS的签名后，得到AP证书的认证成果。STA根据该认证成果决定与否接入该AP。至此，工作站STA与AP之间完毕了双向的证书鉴别过程。为了更大限度上保证WLAN的安全需求，还可以进行私钥的验证，以确认AP和工作站STA与否是证书的合法持有者，私钥验证由祈求和响应构成。当工作站STA与接入点AP成功进行证书鉴别后，便可进行会话密钥的协商。会话密钥协商涉及密钥协商祈求和密钥协商响应。密钥协商祈求可以由AP或STA中的任意一方发起，另一方进行响应。为了进一步提高通信的保密性能，在通信一段时间或互换一定数量的报文后，工作站STA与AP之间应当重新进行会话密钥的协商来拟定新的会话密钥。5 无线局域网的安全措施WLAN在物理上开放的传播媒质使得只要符合合同规定的无线系统均也许在信号覆盖范畴内收到所有信息，为了达到和有线网络同等的安全性能，IEEE802.11采用了验证和加密措施，其中，验证提供了类似有线网络的物理连接，加密则提供了有线网络的封闭性。5.1验证验证程序提供了控制WLAN接入的能力，这一过程被所有无线终端用来建立自己合法接入到AP（AccessPoint，接入点）的身份标志，涉及AP对工作站身份的确认和共享密钥的认证等。如果AP和工作站之间无法完毕互相间的验证，那么它们就不能建立有效的连接。IEEE802.11合同支持多种不同的验证过程，并且容许验证方案扩大。5.2加密IEEE802.11提供的加密方式采用WEP机制，它的使用可以通过帧控制字段的WEP子字段进行设立，WEP机制对数据的加密和解密都使用同样的算法和密钥。它涉及“共享密钥”认证和数据加密两个过程。“共享密钥”认证使得那些没有对的WEP密钥的顾客无法访问网络，而加密则规定网络中所有数据的发送和接受都必须使用密钥加密。（1）“共享密钥”认证 认证采用了一种原则的询问和响应帧格式。执行过程中，AP采用RC4算法运用共享密钥对128字节的随机序列询问正文进行加密后作为询问帧发给顾客，顾客将收到的询问帧进行解密后以正文形式响应AP，AP将正文与原始随机序列进行比较，如果两者一致，则通过认证。（2）数据加密 WEP原则采用了40位密钥和RC4加密算法，它运用一种40比特的伪随机密钥发生器，运用共享密钥将发生器产生的数据生成一种随机密钥序列，其长度与被加密帧相似，然后将这个随机序列按模2加到帧比特上生成已加密帧。接受端采用同样的算法生成密钥序列，与加密帧再次进行模2运算，得到原始数据。6 总 结通过这次课程设计，我理解到了诸多WLAN安全面的知识。要保证WLAN的安全，需要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传播信息的机密性，并能实现对无线网络的访问控制，密钥管理技术为加密技术服务，保证密钥生成、分发以及使用过程中不会被非法窃取，此外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。参照文献1 信息安全与保密现代战争的信息卫士黄月江国防工业出版社，2 数据保密和加密研究计算机网络的安全性松信（日） 科学出版社，3 计算机密码学通信中的保密与安全卢开澄清华大学出版社，4 无线局域网JimGeier（美）人民邮电出版社，5 Adhoc技术与WMANET网络体系构造曹常义通信世界网，6 WLAN中MAC子层接入技术的研究顾雪琳通信世界网，7 无线局域网（WLAN）常用问题解析王志勇北京市天昭公司，8 IEEE802.11无线局域网的实现技术卓不凡南平无线通信局，9 无线局域网原则简介肖雳信息产业部通信计量中心，10 无线局域网技术和应用王军明、伏海文现代电信科技致 谢本文是在石炎生教师的精心指引下完毕的。论文从选题到收集资料到完毕的整个过程，得到了石教师的热情协助和精心指引。在论文写作过程中石教师多次指出了我所犯的错误，并提出整治意见，使得论文能对的完毕。在此，特向石教师表达深深的敬意和感谢！此外，还要感谢计算机系教师在三年的学习中给我的协助和支持。她们所讲授的许多课程给了我思想的启迪，从这些课程中我学习的知识，这在我论文的写作过程中发挥了巨大的作用，使我的论文写作可以顺利完毕。本文在写作过程中参照了大量的文献资料，重要文献资料已开列出来，本文的有些句子或段落引自这些参照文献，在此向所有的作者表达深深的感谢！