资源描述
.中国防卫科技学院本科生论文(二OO九届)论文题目:无线局域网安全性研究 论文作者:于新刚学 号:05061303126 专业方向:计算机科学与技术 指导教师:高小玲精品. 中国防卫科技学院 二九年五月精品.中国防卫科技学院本科毕业论文(设计)开题报告学生姓名于新刚学 号05061303126专 业计算机科学与技术年 级2005级论 文题 目无线局域网安全性研究本课题的研究现状随着无线局域网的广泛应用,无线局域网已经融入了人们的生活,无线局域网的安全问题也越来越被人们重视,安全问题已经成为制约无线局域网发展的重大阻碍,安全防护技术也日新月异。相信在不久的将来,安全问题将不会在是制约无线局域网发展的瓶颈。研究目的、意义无线局域网的安全问题已经成为现阶段无线局域网发展最需要解决的问题,无线局域网在人们的生活中出现的频率越来越高,安全问题也越来越需要解决。本文通过研究一些常见的无线局域网的安全问题及解决方法,是人们进一步的了解无线局域网的安全防护。精品.研究内容、研究方法本文简述了无线局域网的由来和安全防护,并通过查找资料,介绍了一些常用的安全防护措施。论文撰写提纲1, 无线局域网的概念2, 无线局域网的相关技术标准3, 常用无线局域网设备简介4, 无线局域网的应用5, 无线局域网的安全和防护6, 总结主要参考文献1、电子工业出版社IEEE802.11无线局域网2、北京邮电大学出版社 宽带无线接入和无线局域网3、清华大学出版 无线网络通信原理与应用.4、Internet WAP:无线局域网新安全机制5、微处理器2008年10月 无线局域网安全架构分析论文进度安排2月 查阅资料,翻看相关书籍3月 完成论文大体架构精品.4月 论文初稿完成5月 经过多次修改,论文定稿指导教师意见指导老师签字:年 月 日系审核意见负责人签字:年 月 日 教务处制表精品.中国防卫科技学院本科毕业论文(设计)任务书 姓 名于新刚学 号05061303126年 级2005级系 别专 业计算机科学与技术指导教师高小玲职 称教授单 位信息工程分院论文题目无线局域网安全性研究论 文主 要内 容论文主要简述了无线局域网的相关知识,并着重研究了无线局域网的安全问题及其相应的防护措施。主 要参 考文 献1、电子工业出版社IEEE802.11无线局域网2、北京邮电大学出版社 宽带无线接入和无线局域网3、清华大学出版 无线网络通信原理与应用.4、Internet WAP:无线局域网新安全机制5、微处理器2008年10月 无线局域网安全架构分析写 作进 度安 排2月 查阅资料,翻看相关书籍3月 完成论文大体架构4月 论文初稿完成5月 经过多次修改,论文定稿教研室审定意见: 教研室主任签字:精品. 年 月 日精品.摘 要无线局域网是近年来发展迅速的无线数据通讯网。安全性能,成为无线局域网的关键性能之一。本文简单介绍了无线局域网的由来和现况,并主要分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点,介绍了最新发展的几种无线局域网安全机制。 关键词: 无线局域网,安全机制,加密,安全架构精品.AbstractWireless local area network in recent years the rapid development of wireless data communication network. Security performance, wireless LAN has become one of the key to performance. In this paper, a brief account of the origin of a wireless local area network and the current situation and the main analysis of the current wireless local area network using the basic security mechanism of the main technical characteristics and shortcomings of the latest developments introduced several wireless local area network security mechanisms. Key words: Wireless LAN,Security mechanism,Encryption,Security architecture精品.目 录第一章 无线局域网的概念91.1无线局域网的简介91.2无线局域网的历史91.3无线局域网的技术特点及优点101.3.1无线局域网的技术特点101.32无线局域网的优点12第二章 无线局域网的技术相关标准142.1 IEEE简介142.2 IEEE802.11发展史142.3 HomeRF无线标准152.4 HiperLAN2162.5 Bluetooth17第三章 常用无线局域网设备简介183.1无线网卡基本介绍183.2 无线路由器/AP基本介绍18第四章 无线局域网的应用204.1无线局域网的应用领域204.2无线局域网的连接结构20第五章 无线局域网的安全和防护225.1无线局域网安全问题的主要特点225.2无线局域网的常用安全措施225.2.1服务集标识符(SSID)225.2.2物理地址(MAC)过滤控制235.2.3有线对等保密机制(WEP)235.3构建安全的无线网络265.3.1 802.1X端口访问控制机制265.3.2 VPN-Over-Wireless技术295.3.3 WPA (Wi-Fi 保护访问) 技术305.3.4 强健安全网络(RSN)305.3.5 IEEE 802.11i315.4WLAN常见安全框架实现比较315.4.1VPN实现方案335.4.2无线安全网关实现方案335.4.3无线交换机实现方案345.4.4基于8021l iRSN标准的实现方式345.5综合比较35第六章 结论36第七章 参考文献37精品.第八章 致谢38引 言当今社会网络已经成为人们生活中不可分割的一部分,而无线局域网以它接入速率高,组网灵活,在传输数据方面尤其具有得天独厚的优势等特点而越来越受到人们的青睐。无线局域网利用2.4GHz无线多址信道的一种有效方法来支持计算机之间的通信,并以此实现通信的移动化,个性化和多媒体应用。因此无线局域网不用像有线网络那样使用缆线,从而摆脱了有线网络布线和改线工程量大,线路容易损坏,网络节点不可移动等缺点,但也正因为无线局域网的这种环境开放,配置简单的原因,使得无线局域网的安全问题一直无法完美的解决,而安全问题也已经成为制约无线局域网进一步发展的最大阻碍。 精品.第一章 无线局域网的概念1.1无线局域网的简介无线局域网(Wireless Local Area Networks,WLAN),是一种利用无线方式,提供无线对等(如PC对PC,PC对集线器,打印机对集线器等)和点到点(LAN到LAN)连接线性的数据通信系统。随着网络在人们生活中的地位日益加重,移动终端的不断增加,人们对移动设备接入网络的需求日益增长,无线局域网以其种种优点,很好的满足了这种需求。1.2无线局域网的历史战争一直是促进科技进步的一大催化剂,无线局域网起源于第二次世界大战期间,当时美国陆军就采用了无线电信号做资料的传输,他们研发出了 一套无线电传输技术,并且采用非常高的加密技术。1971年,夏威夷大学 (University of Hawaii)的研究人员创造了第一个基于封包式技术的无线电通讯网络,被称为ALOHNET网络,是最早的无线局域网络。这个WLAN包括了7台计算 机,采用双向星型拓扑(bi-directional star topology)横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛(Oahu Island)上。从这时开始,无线局域网可以说是正式诞生了。 最早的有线网络标准IEEE 802.3(IEEE=Institute of Electrical and Electronics Engineers)于1983年面向公众正式发布。1990年无线局域网产品在市场出现,但是价格昂贵,标准混乱。于是国际电气电子工程师学会(IEEE)开始着手制定行业标准,直至1997年才有了第一个无线网络标准IEEE802.11标准问世。不过这一标准传输速率只有2Mbps,与当时的有线网络的10Mbps主流相比没有任何优势,而且价格不菲,所以市场冷淡。精品.随着个人计算机诞生并初步发展,真正现代意义上的无线局域网在上世纪80年代末期才开始出现,当时摩托罗拉公司开发出了第一代商用无线局域网。1990年,IEEE启动了802.11项目,正式开始了无线局域网的标准化工作;1997 年,IEEE改进了802.11协议的国际互通标准;1999年,IEEE批准了802.11b和802.11a两个无线网络的通信标准;2001 年,IEEE对QoS和无线局域网安全性草案作出了明确表述;2002年,已经有超过130家参与公司成为标准投票成员。1999年,802.11b无线网络标准才的确立才开始了真正意义上的无线推广阶段。它比最初的无线网络标准更可靠、更快捷,同时其成本不高。所以它开始被运用于家庭与企业局域网的架设中,那个时候不少的P3高端笔记本会配备无线网卡,或者一些超便携的机器也是如此,比如SONY境外机器C1系列机器。此时的无线网络能够提供11Mbps的最高传输速率。不久802.11a无线网络标准问世,但是它并不向下兼容,导致市场接纳程度有限而无法铺开。为了很好的解决这一困境,802.11g标准跟随着发布。在提供高速无线连接的同时,还向下兼容802.11b标准。 随着INTEL公司迅驰系统的出台以及WI-FI组织的成立促进了无线局域网产品的兼容化、标准化以及市场化。无线局域网获得了巨大发展精品.1.3无线局域网的技术特点及优点1.3.1无线局域网的技术特点 下面我将会从传输方式、网络拓扑、网络接口及对移动计算的支持四个方面来简述无线局域网的技术特点1.传输方式 传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。目前无线局域网采用的传输媒体主要有两种,即微波与红外线。采用微波作为传输媒体的无线局域网按调制方式不同,又可分为扩展频谱方式与窄带调制方式。 2.网络拓扑 无线局域网的拓扑结构可归结为两类:无中心或叫对等式(PEER TO PEER)拓扑和有中心(HUBBASED)拓扑。 无中心拓扑 无中心拓扑的网络要求网中任意两个站点均可直接通信。采用这种拓扑结构的网络一般使用公用广播信道,各站点都可竞争公用信道,而信道接入控制(MAC)协 议大多采用CSMA(载波监测多址接入)类型的多址接入协议。这种结构的优点是网络抗毁性好、建网容易、且费用较低。但当网中用户数(站点数)过多时,信 道竞争成为限制网络性能的要害。并且为了满足任意两个站点可直接通信,网络中站点布局受环境限制较大。因此这种拓扑结构适用于用户数相对较少的工作群。 有中心拓扑 在有中心拓扑结构中,要求一个无线站点充当中心站,所有站点对网络的访问均由其控制。这样,当网络业务量增大精品.时网络吞吐性能及网络时延性能的恶化并不剧烈。由于每个站点只需在中心站覆盖范围内就可与其它站点通信,所以网络中心点布局受环境限制亦小。此外,中心站为接入有线主干网提供了一个逻辑接入点。有中心网络拓扑结构的弱点是抗毁性差,中心站点的故障容易导致整个网络瘫痪,并且中心站点的引入增加了网络成本。 在实际应用中,无线局域网往往与有线主干网络结合起来使用。这时,中心站点充当无线局域网与有线主干网的转接器。 网络接口 这涉及无线局域网中站点从哪一层接入网络系统。一般来讲,网络接口可以选择在OSI参考模型的物理层或数据链路层。所谓物理层接口指使用无线信道替代通常的有线信道,而物理层以上各层不变。这样做的最大优点是上层的网络操作系统及相应的驱动程序可不做任何修改。这种接口方式在使用时一般做为有线局域网的集线器和无线转发器以实现有线局域网间互联或扩大有线局域网的覆盖范围。另一种接口方法是从数据链路层接入网络。这种接口方法并不沿用有线局域网的MAC协议,而采用更适合无线传输环境的MAC协议。在实时,MAC层及其下层对上层是透明的,配置相应的驱动程序来完成与上层的接口,这样可保证现有的有线局域网操作系统或应用软件可在无线局域网上正常运行。目前,大部分无线局域网厂商都采用数据链路层接口方法。对移动计算网络的支持在无线局域网发展的初期阶段,无线局域网的最大特征是用无线媒体替代线缆,这样可省去布线,网络安装简便。随着笔记本型、膝上型、掌上型电脑个人数字助手(PDA)、以及便携式终端等的普及应用,支持移动计算网络的无线局域网就显得尤为重要。精品.从移动通信的观点来讲,移动计算网络应提供以下几个功能。小区内的站点可移动,同一小区内的站点可直接或经AP间接通信。不同小区内站点可经过网络接入点 AP及主干网进行通信。当某一站点由一个小区移动至另一个小区时,通过越区切换协议或算法,该站点被切换至新的小区。在新的小区中该站点仍和在以前小区时 一样保持与外界的连接。小区中的站点可通过主干网上的路由器访问公共网或被公共网访问。1.32无线局域网的优点相比较传统有线网络,无线局域网具有以下优点。1建设速度快对于无线接入系统而言,主要的安装工作就是架设天线和安装连网设备,牵扯面小而工程单纯。而且由于无线设备采用小型化和集成化工艺,所以基站安装 所需的工程量很小。而有线接入系统则需挖沟埋缆或竖杆架线,牵扯面大、工程复杂。当网络需要扩容时,无线局域网只需安装用户终端即可实现即时上网,工作量 更小,而有线网络则需要重新为该用户布线,甚至还可能需要购置网络设备。2安装灵活方便无线局域网可以按当时的需要容量来安装设备,甚至可以现用现装。而如果采用有线组网(接入)方式,则由于线路工程复杂、牵涉面广,需进行长远规划,尽量做到一次性把线路设施建设完毕,避免因通信容量增加而反复施工。至于在地形复杂,难以理设或架高电缆情况下,无线接入是惟一的选择。 3节约建设投资 采用有线组网(接入)必须按长远规划超前埋设电缆,需投入相当一部分当前并无任何效益的资金,增加了成本。同时,电缆预埋的做法无疑会冒着投入使用时电缆已经落后的风险(近年来网络速度的发展已经证明了这-点).采用无线组网(接精品.入)则无需这种超前投资和投资风险,只要按当前需要进行建设,建设后的扩建简易方便。4维护费用低线路的维护费用高而困难,是有线组网(接入)的主要维护开支,而这些在无线组网(接入)是完全可以节省的。无线组网(接入)的主要开支在于设备及天线和铁塔的维护,相比较而言费用要低很多。5安全性好 有线电缆和明线容易发生故障,查找困难,且易受雷击、火灾等灾害影响,安全性差。无线系统抗灾能力强,容易设置备用系统,可以在很大程度上提高网络的安全性。精品.第二章 无线局域网的技术相关标准2.1 IEEE简介美国电气和电子工程师协会: Institute of Electrical and Electronics Engineers (IEEE)。美国电气和电子工程师协会(IEEE)是一个国际性的电子技术与信息科学工程师的协会,是世界上最大的专业技术组织之一(成员人数),拥有来自175个国家的36万会员(到2005年)。1963年1月1日由美国无线电工程师协会(IRE, 创立于1912年)和美国电气工程师协会(AIEE,创建于1884年)合并而成, 总部在美国纽约市。专业上它有35个专业学会和两个联合会。IEEE发表多种杂志,学报,书籍和每年组织300多次专业会议。IEEE定义的标准在工业界有极大的影响。IEEE学会成立的目的在于为电气电子方面的科学家、工程师、制造商提供国际联络交流的场合,为他们交流信息。并提供专业教育和提高专业能力的服务。2.2 IEEE802.11发展史1997年IEEE802.11标准的制定是无线局域网发展的里程碑,它是由大量的局域网以及计算机专家审定通过的标准。IEEE802.11标准定义了单一的MAC层和多样的物理层,其物理层标准主要有IEEE802.11b,a和g。1999年9月正式通过的IEEE802.11b标准是IEEE802.11协议标准的扩展。它可以支持最高11Mbps的数据速率,运行在2.4GHz的ISM频段上,采用的调制技术是CCK。精品.IEEE802.11a工作5GHz频段上,使用OFDM调制技术可支持54Mbps的传输速率。802.11a与802.11b两个标准都存在着各自的优缺点,802.11b的优势在于价格低廉,但速率较低(最高11Mbps);而802.11a优势在于传输速率快(最高54Mbps)且受干扰少,但价格相对较高。另外,11a与11b工作在不同的频段上,不能工作在同一AP的网络里,因此11a与11b互不兼容。为了解决上述问题,为了进一步推动无线局域网的发展,2003年7月802.11工作组批准了802.11g标准IEEE802.11工作组开始定义新的物理层标准IEEE802.11g。该草案与以前的802.11协议标准相比有以下两个特点:其在2.4G频段使用OFDM调制技术,使数据传输速率提高到20Mbps以上;IEEE802.11g标准能够与802.11b的WIFI系统互相连通,共存在同一AP的网络里,保障了后向兼容性。这样原有的WLAN系统可以平滑的向高速无线局域网过渡,延长了IEEE802.11b产品的使用寿命,降低用户的投资。IEEE已经成立802.11n工作小组,以制定一项新的高速无线局域网标准802.11n。IEEE802.11n计划将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可达320Mbps,成为802.11b、802.11a、802.11g之后的另一场重头戏。和以往地802.11标准不同,802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样11n保障了与以往的802.11a b, g标准兼容。2.3 HomeRF无线标准 HomeRF无线标准是由HomeRF工作组开发的,旨在家庭范围内,使计算机与其他电子设备之间实现无线通信的开放性工业标准。精品.HomeRF是IEEE802.11与DECT的结合,使用这种技术能降低语音数据成本。与前几种技术一样,使用开放的2.4GHz频段。采用 跳频扩频(FHSS)技术,跳频速率为50跳/秒, 共有75个带宽为1MHz的跳频信道,室内覆盖范围为45米。调制方式为恒定包络的FSK调制,分为2FSK与4FSK两种,采用调频调制可以有效地抑制 无线环境下的干扰和衰落。2FSK方式下,最大数据的传输速率为1Mbps;4FSK方式下,速率可达2Mbps。在新的HomeRF 2.x标准中,采用了WBFH(Wide Band Frequency Hopping,宽带调频)技术来增加跳频带宽,由原来的1MHz跳频信道增加到3MHz、5MHz,跳频的速率也增加到75跳/秒,数据峰值达到 10Mbps。以下为HomeRF 标准的主要特点:HomeRF提供了流媒体(Stream Media)真正意义上的支持。由于流媒体规定了高级别的优先权并采用了带有优先权的重发机制,这样就确保了实时播放流媒体所需的带宽、低干扰、低误码。HomeRF把共享无线接入协议(SWAP)作为未来家庭联网的技术指标,基于该协议的网络是对等网,因此该协议主要针对家庭无线局域网。其数 据通信采用简化的IEEE802.11协议标准,沿用类似于以太网技术中的冲突检测的载波侦听多址技术(CSMA/CD)CSMA/CA,冲突避免的载 波侦听多址技术。语音通信采用DECT(Digital Enhanced Cordless Telephony)标准,使用TDMA时分多址技术。不过由于HomeRF技术标准没有公开,仅获得了数十家公司的支持,并且在抗干扰能力等方面与其它技术标准相比也存在不少欠缺,这些先天不足决 定了HomeRF标准应用和发展前景有限,又加上这一标准推出后,市场营销策略失当、后续研发与技术升级进展迟缓,因此,2000年之后,HomeRF技 术开始走上了下坡路,2001年HomeRF的普及率降至30%,市场优势逐渐丧失。与此同时,作为HomeRF技术劲敌的Wi-Fi技术不仅在商用与家 庭无线联网市场双管齐下,而且无论在技术标准升级演化、普及程度和产品价格方面,Wi-Fi都开始领先于HomeRF,尤其是芯片制造巨头英特尔公司决定 在其面向家庭无线网络市场的AnyPoint产品系列中增加对802.11b标准的支持后,HomeRF的失败几乎已成定局。精品.2.4 HiperLAN2除了IEEE,欧洲电信标准协会(ETSI)也在针对欧洲市场,制订名为“HiperLAN”的无线接入标准。所制订的标准有4 个:HiperLAN1、HiperLAN2、HiperLink和HiperAccess。其中HiperLink用于室内无线主干系 统,HiperAccess用于室外对有线通信设施提供固定接入,HiperLAN1和HiperLAN2则用于无线局域网接入。HiperLAN主要是为集团消费者,公共和家庭环境提供无线接入到因特网和实时视频服务。HiperLAN1采用了已在GSM蜂窝网和蜂窝数 字分组数据(CDPD)中广泛使用的高斯滤波最小频移键控(GMSK)调制技术,支持最大23.5Mbit/s的速率。HiperLAN2则与 802.11a相似,同样工作在5G频带,同样在物理层采用正交频分复用(OFDM)调制方法,同样支持高达54Mbit/s的传输速率。不过,它还具备 其它方面的一些优点。在HiperLAN2中,数据通过移动终端和接入点之间事先建立的信令链接来进行传输,面向链接的特点使得HiperLAN2可以很 容易地实现QoS支持;HiperLAN2自动进行频率分配,接入点监听周围的HiperLAN2无线信道并自动选择空闲信道,这消除了对频率规划的需求,使系统部署变得相对简便;为了加强无线接入的安全性,HiperLAN2网络支持鉴权和加密,只允许合法用户接入网络;HiperLAN2的协议栈具有很大的灵活性,可以适应多种固定网络类型它既可以作为交换式以太网的无线接入子网,也可以作为第三代蜂窝网络的接入网,并且这种接入对于网络层以上的用户部分来说是完全透明的,当前在固定网络上的任何应用都可以在HiperLAN2网上运行。相比之下,IEEE802.11的一系列协议都只能由以太网作为支撑,不如HiperLAN2灵活。精品.2.5 BluetoothBluetooth也就是我们常说的蓝牙,是一种开放性短距离无线通信技术标准。它是面向移动设备间的小范围连接,其本质可以说它是一种代替线缆的技术。从应用的角度来讲,它与日前广泛应用于微波 通信中的一点多址技术十分相似;因此,它很容易穿透障碍物,实现全方位的语音与数据传输。精品.第三章 常用无线局域网设备简介3.1无线网卡基本介绍 无线网卡并不像有线网卡的主流产品只有10/100Mbps一种规格,而是根据不同的无线传输标准拥有不同的传输速度。 1.IEEE 802.11a :使用5GHz频段,传输速度54Mbps,与802.11b不兼容;2.IEEE 802.11b :使用2.4GHz频段,传输速度11Mbps;3.IEEE 802.11g :使用2.4GHz频段,传输速度54Mbps,可向下兼容802.11b;4.IEEE 802.11n(Draft 2.0) :用于Intel新的迅驰2笔记本和高端路由上,可向下兼容,传输速度300Mbps。无线网卡从接口分类则包含PCI接口(内置)、USB接口(外置)和PCMICA接口(外置)三种,其中PCI接口无线网卡适用于台式电脑,PCMICA接口产品适合笔记本电脑,USB接口的产品可以兼顾台式电脑和笔记本电脑,但USB接口的产品需要注意的一点就是只有采用USB2.0接口的无线网卡才能满足802.11g或802.11g+的需求。除了以上3种接口的无线网卡外,还有一种MINI-PCI无线网卡,这种网卡是专用于笔记本,现阶段市面上所销售的上网本标配都是使用此种无线网卡,其优点是无需占用PC卡或USB插槽,并且免去了随时身携一张PC卡或USB卡的麻烦。精品.3.2 无线路由器/AP基本介绍 无线AP(AP,Access Point,无线访问节点、会话点或存取桥接器)是无线网络的核心,无线AP是移动计算机用户进入无线网络的接入点,主要用于小范围的无线网络,如家庭,办公区等。目前市面上用的无线AP主要都是基于802.11系列技术标准。 无线AP可以分为单纯性AP和扩展性AP,单纯性AP就是一个无线的交换机,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。而扩展性AP就是我们常说的无线路由器,也就是带有无线覆盖功能的路由器,简单的来说,无线路由器就是无线AP,路由功能和交换机的集合体。精品.第四章 无线局域网的应用4.1无线局域网的应用领域由于无线局域网可移动性好,组网灵活,成本较低等优势,使其广泛应用在以下领域:移动办公的环境:大型企业、医院等移动工作的人员应用的环境; 难以布线的环境:历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境; 频繁变化的环境:活动的办公室、零售商店、售票点、医院、以及野外勘测、试验、军事、公安和银行金融等,以及流动办公、网络结构经常变化或者临时组建的局域网; 公共场所:航空公司、机场、货运公司、码头、展览和交易会等; 小型网络用户:办公室、家庭办公室(SOHU)用户4.2无线局域网的连接结构根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种:1、网桥连接型:不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。 2、基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。精品. 3、HUB接入型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。4、无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。 无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多精品.第五章 无线局域网的安全和防护自WLAN诞生之日起,安全性就是限制WLAN发展的一大阻碍,人们在享受着WLAN灵活便捷的同时,也不断地受到因此优点而带来的安全漏洞,据统计,在不愿使用无线局域网的理由中,安全问题以40%高居第一位,安全问题已成为无线局域网在信息化应用领域进一步发展的最大障碍,而技术联盟及硬件厂商们为解决这个问题也在不断的开发新的技术,下边将详细的讨论一下无线局域网的安全问题及相应的防护措施。5.1无线局域网安全问题的主要特点无线局域网于传统有线网络相比,其安全问题主要有以下四个特点。1、信道开放 无线局域网顾名思义,就是利用无线电波来构建局域网,由于采用无线电波来传输数据,因此难以限制网络的物理访问,无法像络那样通过保护通信线路来保护通信安全。所以在无线局域网的覆盖范围内几乎任何一个用户都能接触到这些信号,无法阻止攻击者窃听,破坏,恶意修改及转发。2、传输媒介衰减,丢失 无线局域网技术由于在空气中传播,受环境影响很大,随着传播距离的增加或碰到障碍物(如玻璃,墙壁,天花板)时信号会衰减,容易导致数据丢失。3、身份验证安全性 无线局域网由于其特性,不能像有线网络那样利用物理端口来进行身份验证,使得攻击者伪装合法用户更为容易。精品.5.2无线局域网的常用安全措施5.2.1服务集标识符(SSID) 服务集标识符(SSID)是一个32字符的集合,用来标识一个无线网络的名称,以此来区分不同的网络,无线工作站设置了不同的SSID就可以进入不同网络。 无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝提供服务,我们可以认为SSID就是一个简单的口令,以此来提供口令认证机制,阻止非法用户的接入,来保障无线局域网的安全,SSID通常会由AP广播出去,网络管理员可以禁止AP广播SSID,这样无线工作站就必须提供正确的SSID才能连接AP,从而提升网络的安全。5.2.2物理地址(MAC)过滤控制物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于每个无线工作站的网卡都有惟一的物理地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。为AP设置基于MAC地址的Access Control(访问控制表),只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这里以我们学校的校园网为例,虽然我校的校园网是传统的有线网络,但在MAC过滤控制方面是一样的,学校先统计了所有上网账号所对应的MAC地址,当你的物理地址不在学校网络控制中心的列表中时,你就无法登录。但是这个方法并不是无懈可击,精品.由于很多无线网卡支持重新配置MAC地址,因此非法入侵者很有可能从开放的无线电波中截获数据帧,分析出合法用户的MAC地址,然后伪装成合法用户,非法接入WLAN,使得网络安全遭到破坏。另外,随着无线终端的增减,MAC地址列表需要随时更新,但是AP设备中的合法MAC地址列表目前都是手工维护,因此这种方式的扩展能力很差,只适合于小型无线网络使用。如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。5.2.3有线对等保密机制(WEP)WEP是Wired Equivalent Privacy的简称,是1999年9月通过的IEEE 802.11标准的一部分,是基于RC4算法的40bit或104bit的加密技术。用于2台设备间无线传输的数据进行加密,以防止非法用户窃听或侵入无线网络。WEP采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。WEP 使用加密密钥(也称为 WEP 密钥)加密 802.11 网络上交换的每个数据包的数据部分。启用加密后,两个 802.11 设备要进行,必须具有相同的加密密钥,并且均配置为使用加密。如果配置一个设备使用加密而另一个设备没有,则即使两个设备具有相同的加密密钥也无法通信。(如图1所示) 精品.加密加密密文密钥管理服务密钥窃听者明文原文图1:WEP加密 WEP加密过程 WEP支持 64 位和128 位加密,对于 64 位加密,加密密钥为 10 个十六进制字符(0-9 和 A-F)或 5 个 ASCII 字符;对于 128 位加密,加密密钥为 26 个十六进制字符或 13 个 ASCII 字符。64 位加密有时称为 40 位加密;128 位加密有时称为 104 位加密。152 位加密不是标准 WEP 技术,没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。 1、计算校验和(Check Summing)。(1)对输入数据进行完整性校验和计算。(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。 精品.2、加密。在这个过程中,将第一步得到的数据明文采用算法加密。对明文的加密有两层含义:明文数据的加密,保护未经认证的数据。 (1)将24位的初始化向量和40位的密钥连接进行校验和计算,得到64位的数据。 (2)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。 (3)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。3、传输。将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。(如图2所示) 连接虚拟随机数产生器异或密文连接完整性算法IV初始化向量(IV)密钥明文密钥序列组合后的数据消息图2:WEP加密过程在安全机制中,加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。精品.1、恢复初始明文。重新产生密钥流,将其与接收到的密文信息进行异或运算,以恢复初始明文信息。2、检验校验和。接收方根据恢复的明文信息来检验校验和,将恢复的明文信息分离,重新计算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和的数据帧才会被接收方接受。 消息CRC密码流RC4(V,K)加密信息初始化向量(IV)明文+ XOR传输数据图3:WEP解密过程在 2001年8月,Fluhrer et al. 发表了针对 WEP 的密码分析,利用 RC4 加解密和 IV 的使用方式的特性,结果在网络上偷听几个小时之后,就可以把 RC4的钥匙破解出来。这个攻击方式很快就实作出来了,而自动化的工具也释出了,现在只要你有一台带有无线网卡的电脑,一些共享和自由软件,在具备一些基本的网络知识,就能进行这种攻击,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代。精品. 5.3构建安全的无线网络科技在进步,为了保障无线局域网的安全,我们必须使用更加安全的认证机制,保密机制及控制机制。5.3.1 802.1X端口访问控制机制802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户才可以被提供第二层交换机通常提供的服务以外的附加服务。这些服务包括第三层过滤、速率限制和第四层过滤,而不仅仅是简单的“开/关”服务。链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第三层地址,因而降低了风 险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以 针对连接设备的特定需求定制细粒度访问规则。IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。(1)客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。精品.(2)认证系统:通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一个逻辑接入点(非受控端口),允许验证者和 LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发 出或接受认证。第二个逻辑接入点(受控端口),允许经验证的 LAN 用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两 种方式,以适应不同的应用程序。如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。 (3)认证服务 器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证 后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。 对于假冒MAC地址的情况精品.当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交换机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的 MAC地址修改得与甲用户的MAC地址相同,则即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安全带来了漏洞。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使知道某一用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。 对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。 当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统。 对于假冒IP地址的情况由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。 对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突。 如果用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信,从而达到了防止IP地址被篡改、假冒的目的。 精品.对于用户口令失窃、扩散的处理 在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,对于这类情况,能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的5.3.2 VPN-Over-Wireless技术VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常, VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。 1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。 IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。 精品.2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。 4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES,3DES以及AES等技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案之一。5.3.3 WPA (Wi-Fi 保护访问) 技术在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术是在2003年正式提出并推行的一项无线局域网安全技术,将成为代替WEP的无线,其将为现有的大量的无线局域网硬件产品提供一个过渡 性的高安全解决方案。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。1WPA的特点。它的主要特点如下:在TKIP中,IV的大小增加了一倍,达到48位;使用Micheal提供强数据完整性的算法;TKIP和 Micheal使用从密钥和其他值派生的临时密钥。主密钥从可扩展身份验证协议传输层安全性EAP-TLS或受保护的EAP802.1x身份验证派生而 来;自动重新生成密钥以派生新临时密钥租;无重放保护TKIP将IV作帧计数器以提空重放保护。 精品.2.WPA的优点。WPA在WEP的基础之上为 现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进 行软件升级便可完成,并且也能保证兼容将来要推出的IEEE 802.11i安全标准。3. WPA的适用范围。虽然相对于WEP,WPA在安全性上有了很大的改善,但仍然是采用比较薄弱的RC4加密算法,黑客只要监听到足够的数据包,借助强大的 计算设备,即使在TKIP的保护下,同样可能破解网络,不能满足高端企业和政府的加密需求,因此,WPA更多应用于企业与家庭无线网络部署。5.3.4 强健安全网络(RSN)强健安全网络在接入点和移动设备之间使用的是动态身份验证方法和加密运算法则。在802.11i标准草案中所建议的身份验证方案是以802.1X协议和“可扩展身份验证协议” (EAP)为依据的。加密运算法则使用的是“高级加密标准”AES加密算法。认证和加密算法的动态谈判能使RSN具有灵活的升级能力,随着安全技术的进步,可以加入新的算法,对付新的威胁。使用动态谈判、802.1x、EAP和AES,RSN明显比WEP和WPA安全性更高。但RSN对硬件要求较高,只有拥有加速处理算法硬件的新设备,才能显示出WLAN产品所期望的性能。精品.5.3.5 IEEE 802.11i为了使WLAN技术从这种被动局面中解脱出来,IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的
展开阅读全文