（计算机软件与理论专业论文）无线多跳网络下用户的安全接入与审计机制的研究.pdf

fr 0 | f | i i ii i ii i i i i ii ii i i ii ij y 17 7 3 3 4 4 学位论文的主要创新点 、提出改进的基于r s s i 的定位算法，并利用该定位算法发现网络 外部r o g u ea p ，在其试图入侵网络之前实施防御措施，实现无 线多跳网外部审计。 二、将改进的b m 模式匹配算法应用到无线多跳网内部审计机制中， 在对网络数据包采集及解析之后，实施对用户的安全接入审计。 j 摘要 随着无线多跳网的快速发展，它的安全性问题日益受到人们的关注。无线多 跳网安全的最大问题在于其传输媒介为空气，使其更容易遭受到攻击，而不像有 线网络那样在一定的物理线缆上进行传输。由于黑客攻击无线多跳网络不像攻击 有线网络那样必须获得有线网络的物理通路，或者要通过防火墙和网关保护的边 界，攻击无线多跳网络可以从任何一个a p 信号所能及的结点上，向整个网络或 目标发起。 本文在分析无线多跳网安全接入与认证的必要协议之后，进一步对网络安全 审计进行讨论，分别分析了无线多跳网外部r o g u e 无线设备的审计，以及无线多 跳网内部的i d s 审计解决方案，从而提出无线多跳网外部安全审计机制和内部审 计机制的概念。 在外部审计中，提出一种改进的基于r s s i 质心定位算法，收集r s s i 值并结 合路径损耗模型，经过运算确定节点位置，在实施有效防御措施后实现外部审计。 在内部审计中实施有效的无线多跳网数据帧采集机制，经解析后采用的改进的 b m 算法进行规则模式匹配，从而确定是否为攻击行为，实现无线多跳网内部审 计。 关键词：无线多跳网；安全审计；节点定位；模式匹配；接入认证 a b s t r a c t a sw i r e l e s sm u l t i h o pn e t w o r kb e c o m e sm o r er a p i d l yd e v e l o p e d ，p e o p l ep a y c l o s ea t t e n t i o nt oi t ss a f e t y t h es e r i o u sp r o b l e mo fw i r e l e s sm u l t i h o pn e t w o r k s s e c u r i t yi st h a ti t st r a n s m i s s i o nm e d i u mo na i r , t h a ti sw h yt h ew i r e l e s sm u l t i h o p n e t w o r kb e c o m e sm o r ee a s i l yb ea t t a c k e d 、：v h e nt h eh a c k e r sa t t a c kt h ec a b l en e t w o r k ， t h e ym u s tg e tt h ew a y o ft h ec a b l en e t w o r k sp h y s i c a la c c e s so rt h r o u g ht h ef i r e w a l l a n dt h ep r o t e c t e db o u n d a r y b u tw h e nt h eh a c k e r sa t t a c kt h ew i r e l e s sn e t w o r k ，t h e y c a na t t a c kt h ew h o l en e t w o r ko rt h e i rg o a l sf r o ma n yn o d e sw h i c ht h ea ps i g n a lc a n b ei n v o l v e d b a s e do na n a l y s et h es e c u r ea c c e s so ft h ew i r e l e s sn e t w o r ka n dt h ec e r t i f i c a t i o n n e c e s s a r ya g r e e m e n t ，i t sg i v e saf u r t h e rd i s c u s sa b o u tt h es e c u r ea c c e s s i ta n a l y z e s t h er o g u ew i r e l e s sd e v i c e se x t e r n a lo fw i r e l e s sm u l t i h o pn e t w o r ka n di d ss o l u t i o n t oi n t e r n a lw i r e l e s sm u l t i h o pn e t w o r k a f t e ra l lt h i st h ea u t h o rg i v e sac o n c e p to f m u l t i c h i pn e t w o r k se x t e r n a la n di n t e m a la u d i t i n gm e c h a n i s m s i ne x t e r n a l a u d i t i n gm e c h a n i s m s ，i tg i v e sa ni m p r o v e dc e n t r o i d l o c a t i o n a l g o r i t h mb a s e do nr s s i ，c o l l e c t st h er s s iv a l u ea n dc o m b i n a t i o no fp a t hl o s sm o d e l t or e a l i z et h ee x t e r n a la u d i ta f t e rd e f i n i t i n gn o d ep o s i t i o na n di m p l e m e n te f f e c t i v e p r e v e n t i v em e a s u r e s i n i n t e r n a l a u d i t i n gm e c h a n i s m s ，i m p l e m e n t se f f e c t i v e l y w i r e l e s sm u l t i h o pn e t w o r kf r a m ef r a b b e r , u s e si m p r o v e m e n tb ma l g o r i t h ma f t e r a n a l y s i s c a r r i e so nt h er e g u l a rp a t t e mm a t c h i n gi no r d e rt od e t e r m i n ew h e t h e rt h e a g g r e s s i v eb e h a v i o r , a n dr e a l i z et h ee x t e r n a la u d i t k e y w o r d s ：w i r e l e s sm u l t i h o pn e t w o r k ；s e c u r i t ya u d i t ；n o d el o c a l i z a t i o n ； p a t t e r nm a t c h i n g ；a u t h e n t i c a t i o n 目录 第一章绪论1 1 1 无线多跳网概述l 1 2 无线多跳网络安全审计研究现状l 1 3 论文课题背景及研究内容3 1 4 论文组织结构3 第二章无线多跳网用户安全接入认证机制分析5 2 1 无线多跳网络脆弱性分析5 2 1 1 无线多跳网络脆弱性分析6 2 1 2 无线多跳网络安全措施的不足6 2 2 无线多跳网络安全接入协议6 2 2 18 0 2 1x 端口访问控制协议7 2 2 2 有线等价保密协议一w e p 8 2 2 3 可扩展认证协议一e a p 9 2 3a a a 安全接入认证协议分析1 0 2 3 1dia m e t e r 认证协议1 0 2 3 2r a diu s 认证协议13 第三章无线多跳网用户安全审计1 7 3 1 网络安全审计与审计追踪技术1 7 3 1 1 网络安全审计17 3 1 2 审计追踪技术1 8 3 2 无线多跳网外部安全审计机制分析1 9 3 2 1 检测无线多跳网外部r o g u e 无线访问设备1 9 3 2 2r o g u eci ie n t 与r o g u ea p 的检测2 0 3 3 无线多跳网内部安全审计机制分析2 1 3 3 1id s 解决方案2 2 3 3 2 基于l d s 的内部审计机制的数据采集2 3 3 3 3id s 内部审计机制方法2 5 3 3 4 基于l d s 内部审计机制的体系结构一2 7 第四章无线多跳网外部安全审计机制2 9 4 1 外部r o g u e 访问设备的检测方法2 9 4 2 无线传感器网络节点定位算法3 1 4 3 种改进的基于r s si 质心定位算法3 2 4 3 1 路径损耗模型3 2 4 3 2 普通质心算法一3 3 4 3 3 改进的基于r s si 质心算法3 3 4 3 4 改进算法实施过程一3 4 4 4 基于改进算法的无线多跳mr o g u e 节点定位3 5 4 4 1r s si 算法一般模型：j 5 4 4 2 改进算法模型一3 6 4 4 3 外部r o g u e 访问设备定位逻辑过程3 7 4 5 改进定位算法性能评估3 9 4 6 针对r o g u e 访问设备的审计防御措施4 0 第五章无线多跳网内部安全审计机制4 3 5 1 改进的模式匹配算法4 3 5 1 1 常用的数据包匹配算法效率比较。4 3 5 1 2 改进的匹配算法b m k m p 4 5 5 1 3 改进算法性能分析4 5 5 2 内部审计机制体系设计4 5 5 2 1 体系结构。4 5 5 2 2 各子机制设计4 6 5 3 数据采集机制4 7 5 3 1 网络数据的包采集思想。4 7 5 3 2 采集机制架构4 8 5 3 3 数据采集子机制4 9 5 3 4 数据采集库文件5 0 5 4 审计决策机制。5 2 5 4 1 无线多跳网的w l a n 层协议分析思想5 2 5 4 2w l a n 协议帧解析子机制5 3 5 4 3 预处理子机制一5 7 5 4 4 审计分析子机制5 8 5 4 5 包审计分析方法6 0 5 5 控制管理机制6 4 5 5 1 规则管理子机制6 4 5 5 2 通讯子机制6 6 5 5 3 同志记录子机制6 7 5 6 审计机制安全性分析6 7 5 6 1 无线多跳网安全性分析一6 7 5 6 2 内部审计机制安全性分析一6 8 第六章总结与展望7 1 6 1 总结7 l 6 2 展望7 1 参考文献7 3 发表论文和参加科研情况说明7 7 致谢j ：j 7 9 第一章绪论 1 1 无线多跳网概述 第一章绪论 在一种无线网络中，任何无线设备节点都可以同时作为a p 或路由器， 网络中的任何节点都可以发送和接收信号，每个节点都可以与一个或者多 个对等节点进行直接通信，本文称这样的无线网络为无线多跳网络，并且认 为凡是采用无线传输媒体的计算机局域网都称为无线局域网( w i r e l e s sl o c a l a r e an e t w o r k ，简称w l a n ) 。 目前广泛使用的无线局域网组网模式有以下三种：基础设施模式、 a dh o c 模式和m e s h 网络( 网状网) 模式。其中，a dh o c 模式组网方式不存在接入点， 移动终端之间完全是对等的，组网结构是自组织的，它也可以构成多跳网络：m e s h 网络是一种多跳的a dh o c 网络，它由固定节点及移动节点通过无线链路组成。 传统的无线局域网( w l a n ) ，每个客户端均通过一条与a p 相连的无线链 路访问网络，用户如果要进行相互通信必须首先访问一个固定的接入点 ( a c c e s sp i o n t ，简称a p ) ，这种网络结构被称为单跳网络。而在无线m e s h 网络中，任何无线设备节点都可以同时作为a p 或路由器，网络中的每个节 点都可以发送和接收信号，并且每个节点都可以与一个或者多个对等节点 进行直接通信，即m e s h 网通过接入点a p 之间来存储和转发消息来提供更加广 泛的网络拓扑拉1 。 1 2 无线多跳网络安全审计研究现状 尽管无线多跳网在各：亏面都取得了快速的发展，但安全一直是制约其 发展的首要问题。由于无线多跳网通过无线电波在空气中传输数据，所以 在数据发射机覆盖区域内的几乎任何一个接入用户都能接触到这些数据。 无论接触数据者是在本建筑之外、另一层楼或是在另外一个房间，无线就 意味着会让用户接触到数据。同时，要将无线多跳网发射的数据仅传送给 一名目标接收者是不现实的，而防火墙又对通过无线电波进行的网络通讯 起不了作用，任何用户在信号范围之内都可以截获或插入数据，而ie e e 于 l9 9 9 年制定的标准中存在着许多安全隐患。随着无线多跳网应用的不断普 及，其安全问题引起了越来越多的关注。 天津r 业人学硕十学位论文 为了阻止非授权用户访问无线局域网，保障无线局域网安全，人们相继引入 了一些认证协议以及安全措施，具体来说有如下几个方面： 1 i e e e 8 0 2 1 l i 3 1 为了进一步加强无线网络的安全性，i e e e 8 0 2 1 l 工作组发布了新的安全标 准i e e e 8 0 2 1 1i 。i e e e 8 0 2 1 1i 规定了使用8 0 2 1 x 认证和密钥管理方式，在数据 加密方面，8 0 2 1 1 i 定义了t k i p ( t e m p o r a lk e yi n t e g r i t yp r o t o c o l ，临时密 钥完整性协议) 1 和c c m p 两种加密机制，其目的是有效地抵抗各种攻击，建立 一个符合r s n a 的安全网络。 2 有线等价保密协议w e p ( w i r e de q u i v a l e n tp r i v a c y ) 有线等价保密协议是由i e e e 制订的一种安全协议，它被集成在i e e e 8 0 2 1 1 b 协议中，成为8 0 2 11 b 标准无线局域网的指定安全协议，它从机密性、访问 控制和数据完整性三个方面实现了对w l a n 的保护。 3 w a p i 4 1 我国于2 0 0 3 年5 月制定了新的无线局域网安全国家标准无线局域网鉴 别和保密基础结构w a p i ( w l a na u t h e n t i c a t i o na n dp r i v a c yi n f r a s t r u c t u r e ， g b l 5 6 2 9 1 l 一2 0 0 3 ) 。 4 端口访问控制技术( i e e e8 0 2 1 x ) 和可扩展认证协议( e a p ) 这项技术是用于无线局域网的一种增强性网络安全解决方案。当无线工作站 与无线接入点a p 关联后，由8 0 2 1 x 的认证结果来决定是否可以使用a p 的服务。 如果认证通过，则a p 为无线工作站打开相应的逻辑端口，否则不允许用户访问。 5 无线网卡物理地址( m a c ) 过滤 网络管理者可在a p 中手工维护一组允许访问和不允许访问的m a c 地址列表， 用以实现物理地址的访问过滤。 6 服务区标识符( s s i d ) 匹配 无线工作站( s t a ) 必须出示正确的s s i d 才能访问a p ，如果出示的s s i d 与 a p 的s s i d 不同则a p 拒绝其通过本服务区连入网络。 在无线多跳网的接入认证过程中，对用户的认证及审计尤为重要。对用户进 行鉴别，授权，计费等过程，实现了对用户的认证审计，从而排除了非法用户， 保护无线多跳网的安全运行，同时防御了服务器以及用户信息不被外露。 国内外的安全接入与审计机制己开始蓬勃发展，许多公司也研制出具有各种 特点的安全接入产品，它们的主要功能一般包含如下几个方面：识别网络用户， 给予授权，规定职能范围；识别非法用户，防止其占用网络资源、删除或篡改用 户信息；保密用户通信进行，防止非法窃取等。在接入认证机制方面，广泛应用 的有r a d i u s 和d i a m e t e r 协议，许多厂商已开发出可以监控用户浏事件的软硬件 第一章绪论 工具，其作用是监视及统计用户的接入、浏览事件，对其进行的事件加以分析从 而决定是否继续对该用户进行授权。 虽然安全接入与审计已有了一定的发展，仍然存在着一些缺陷。由于无线传 输的特点，对无线网络接入口的管理不像传统网络那么容易。正因为如此，未授 权实体可以在无线覆盖环境外部或者内部进入网络，浏览存放在网络上的信息或 是让网络感染上病毒，利用该网络作为攻击第三方网络的中介，入侵者对移动终 端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问 网络。而在无线多跳网中，由于节点众多，若一个节点发送假的路由信息，这个 节点可能己经被入侵，也可能是由于不稳定的物理因素导致的暂时不同步而造成 的结果。 在无线网络领域，对入侵检测的研究已经广泛地展开，并设计出了高效的基 于入侵检测系统的审计机制，这些审计机制的工作原理一般是通过持续不断的对 终端用户、系统和网络上的行为进行监控；并且在这些审计机制中，一般都有一 个专门作决策的中心管理机制。尽管这些体系结构在理论上是有效的，但是，由 于无线多跳网络本身固有的特点，把这些技术应用到无线多跳网络上时并不能产 生预期的效果。一般来说，在无线网络中，加密和认证等安全技术能够减少入侵， 但不能排除入侵。综上所述，虽然无线多跳网的用户安全接入及审计机制已经有 了一定的发展，但仍然存在一些缺陷。本课题正是在以上背景的情况下，通过对 a a a 协议的增强和改进，提出引用无线传感器网络节点定位算法的外部审计机制， 以及将i d s 在审计服务端应用，实现对无线用户的安全接入和审计完善。 1 3 论文课题背景及研究内容 本课题以“w l a n 多模接入控制软件”为基础( 该软件已由天津工业大学计算 机科学与软件学院项目组完成并申请专利) ，对于w e d 协议、i e e e 8 0 2 1 li 协议 进行分析，研究其中主要模型、安全技术以及认证过程；通过对a a a 协议的增强 和改进，提出新的利用无线传感器网络r s s i 节点定位算法的外部审计机制，以 及将i d s 在审计服务端应用，综合应用外部及内部审计机制，实现对无线用户的 安全接入和审计完善。 1 4 论文组织结构 第一章绪沦部分引入无线多跳网的基本概念，并初步介绍了无线多跳网络 的十 关知识和发展状况，最后阐述了无线多跳i 删络的安全现状。 l 天津t 业大学硕十学位论文 第二章在分析了无线多跳网的脆弱性之后，介绍了无限网络安全接入的基 本协议及相关加密技术，在对比分析了d i a m e t e r 协议与r a d i u s 协议的基础上， 提出具有可行性的基于r a d i u s 协议的安全接入模型。 第三章从网络安全问题入手，阐述了网络安全审计和审计追踪的概念及模 型方法，在分析了无线多跳网外部及内部入侵的检测方法之后，提出无线多跳网 的外部安全审计机制和内部安全审计机制的方法。 第四章在前文安全审计机制和安全接入机制的初步研究基础之上，分析了 无线多跳网外部对r o g u ea p 和r o g u ec l i e n t 的安全审计机制，引入无线传感器 网络的重要技术一节点定位算法，并对其中的基于r s s i 定位算法进行了改进， 继而实施外部审计。 第五章将i d s 引入无线多跳网内部审计机制中，使用改进的b m 算法进行模 式匹配，做了内部安全审计机制的架构及决策机制的研究。 第六章从研究与实现的角度对本文的工作进行的总结，并对后续工作计划 进行了说明。 第二章无线多跳网用户交全接入认证机制分析 第二章无线多跳网用户安全接入认证机制分析 在无线局域网领域，已经有一系列安全方面的协议和标准，要研究无线多跳 网的安全接入认证机制，首先要了解一种多跳网络一l a nm e s h 网，熟悉其网 络结构、特点以及针对它的攻击手段；其次要了解现有的基于无线局域网的安全 标准。 无线网状网( w i r e l e s sm e s hn e t w o r k ) 1 叨是一种无线多跳网络，我们称这 种无线多跳网为w m n ( w i r e l e s sm e s hn e t w o r k s ) ，w m n 中的节点主要由m e s h 路由 器组成，m e s h 路由器的移动性小，它可以对无线客户端提供网络接入服务，m e s h 路由器之间建立无线连接，可以转发无线客户端的网络访问，一些m e s h 路由器 与有线网络连接用来提供网关功能。其拓扑结构如图2 一l 所示： 图2 1m e s h 网拓扑结构 2 1 无线多跳网络脆弱性分析 m e s h 两 路f f l 由于无线多跳网络的传输媒介为空气，使得其更容易遭受到攻击，黑客攻击 无线多跳网络不象攻击有线网络一样必须获得有线网络的物理通路，或者要通过 受防火墙和网关保护的边界，而攻击无线多跳网络可以从任何一个w l a n 的a p 发射频率能及的结点上，向整个w l a n 或目标发起。 天津工业大学硕士学位论文 2 1 1 无线多跳网络脆弱性分析 无线多跳网络的脆弱性表现在如下几个方面： 1 移动通讯环境的特性使得无线多跳网更容易受到从被动窃听到主动干扰 的各种攻击。不像有线网络，攻击者必须物理接入网络或经过防火墙和网关，而 无线多跳网络没有一个明确的防御边界，攻击者可能来自四面八方的任意节点， 每个节点必须面对攻击者的直接或间接攻击。受到的破坏可能包含机密信息泄 露、篡改消息和伪装节点n 1 1 。 2 移动节点具有自治性并可独立移动。这意味着节点没有足够的物理防护， 从而易被窃听、破坏和劫持。由于在全球范围内跟踪特定的移动节点是很难做到 的，通过网络内部己经被入侵的节点实施攻击而造成的破坏会更大，更难检测到。 因此，移动节点及其体系结构必须能够在没有可依赖的环境中运行。 3 移动环境中做出的决策是分散的n 刳，而许多网络算法必须依赖所有节点 的共同参与和协作。缺乏集中管理机制意味着攻击者可能利用这一弱点实施新的 攻击来破坏协作算法。 2 1 2 无线多跳网络安全措施的不足 在无线多跳网的安全措施实施中存在着一些不足，主要表现在如下方面： 1 无线多跳网通讯特性 由于无线多跳网络先天性设计是以无线电技术为基础，使得攻击者能够在无 线电波覆盖的范围内监听通讯内容。若使用者未将传送的内容进行加密，则入侵 者便可很容易的窃取所有的通讯内容。另外由于无线通讯只要在电波覆盖的范围 便可以使用，管理者无法完全进行控制，造成了管理的不便。 2 w e p 设计的错误3 1 在8 0 2 1 1 的标准中设定了w e p 的标准，希望通过这种加密技术能让使用者 获得更好的资料安全性，但是由于某些设计及制作上的错误使得效果无法百分之 百保证资料内容的机密性3 。此外由于设计协议时没有考虑管理的问题，因此如 果一个很大的无线局域网络，管理密钥的修改及配送会是一个很大的问题。 3 设备安全管理措旌不当 所有的网络设备出厂时都有一些设定的预设值，有的管理者或使用者将网络 设备当成家电似的随插即用，没有更改系统内设的相关管理资讯，这些缺失可能 造成攻击者反客为主，获得设备的管理权限，替代管理者进行网络的管理= 1 引。 2 2 无线多跳网络安全接入协议 第二章无线多跳网用户安全接入认证机制分析 2 2 18 0 2 1x 端口访问控制协议 i e e e 8 0 2 1 x 端口访问控制协议n 刚由i e e e 于2 0 0 1 年6 月提出，符合i e e e 8 0 2 协议族的局域网接入控制协议，主要目的是为了解决无线局域网用户接入认证的 问题，能够在利用i e e e 8 0 2 局域网优势的基础上，提供一种对连接到局域网用户 的认证和授权手段，达到接受合法用户接入，保护网络安全的目的。 8 0 2 1 x 协议认证体系结构包含三个重要组成部分，如图2 - 2 所示： e a po v e r l a n e a p o v e r r a d i u s 心 l 。 q a u t h e a u t h e n t i c a t o r s 图2 28 0 2 1 x 协议认证体系结构 客户端系统，也称申请者( s u p p l i c a n t ) ，一般是一个用户终端系统，该终端 系统通常安装一个客户端软件，当用户有上网需求时，通过启动客户端软件发起 i e e e8 0 2 1 x 协议的认证过程。 认证系统，也称认证者( a u t h e n t i c a t o r ) ，在w l a n 中即无线接入点，在认证 过程中只起“透传”的功能，所有的认证工作都在申请者和认证服务器上完成。 认证服务器( a u t h e n t i c a t i o ns e r v e r ) ，通常采用远程接入用户认证服务 ( r a d i u s ) 的服务器，该服务器可以存储有关用户的信息，通过检验客户端发来 的信息来检验用户是否有权使用网络系统提供的网络服务。 这三个实体中均有受控端口和非受控端口两种类型。受控端口只接收来自经 过认证的系统中的数据包，这种数据包的源m a c 地址在经过认证的地址列表中， 而非受控端口接收包的目的是为了建立认证。8 0 2 1 x 协议认证具体流程解释如 下： 1 申请者s t a 通过a p 的非受控端口向a p 发送一个e a p - s t a r t 帧，启动整个 认证过程。 2 a p 发送一个响应帧e a p r e q u e s t i d e n t i t y ，要求s t a 提供身份信息。 3 s t a 将自己的身份信息发送e a p r e s p o n s e i d e n t it y 至a p 。 4 a p 将包含申请者身份信息的e a p 响应帧重新以r a d i u s 协议封装，并将重 新封装后的帧发送给r a d i u s 服务器。 5 r a d i u s 服务器通过查询申请者身份信息数据库，或使用其他认证方法验 9 一 s 天津1 ：业人学硕十学位论文 证申请者身份的合法性，在此期i 白j 它通过a p 与申请者多次交互需要的信息。 6 r a d i u s 服务器向a p 发送接受( e a p s u c c e s s ) 或拒绝访问( e a p f a i l u r e ) 信息。 7 a p 向s t a 发送允许访问或拒绝访问的e a p 帧，若r a d i u s 服务器告知a p 可以允许申请者接入，a p 则为申请者开放一个受控端c 1 ，申请者s t a 将使用该 端口传输数据。 8 a p 与s t a 之间可选择是否进行双向认证，至此8 0 2 1 x 协议完成一次认证。 8 0 2 1 x 协议认证流程如图2 3 所示： 图2 38 0 2 1 x 协议认证流程 2 2 2 有线等价保密协议- w e p w e p ( w i r e de q u i v a l e n tp r i v a c y ，有线等价保密) 协议是由点对点协议( p p p ) 扩展而来，它主要功能在于无线局域网中链路层信息的保密。认证服务器通过 e a p 机制向客户端提问，所有的认证都由后台服务器完成，它包含四种基本报 文：e a pr e q u e s t ，e a pr e s p o n s e ，e a ps u c c e s s ，e a pf a il u r e 。其加密与解密过 程如下： 1 w e p 加密过程 w e p 算法是明文和与其等长的伪随机密钥序列按位模二相力| i 的一种算法，它 支持6 4 位和l2 8 位加密。对于6 4 位加密，密钥为1 0 个十六进制字符或5 个a s c l i 字符；对于12 8 位加密，密钥为2 6 个十六进制字符或13 个a s ci i 字符。6 4 第二章无线多跳网用户安全接入认证机制分析 位加密又称4 0 位加密；1 2 8 位加密又称为1 0 4 位加密。w e p 依赖通信双方共享的 密钥来保护所传的加密数据帧。 ( 1 ) 计算校验和 对输入数据进行完整性校验和计算，将输入数据和计算得到的校验和组合起 来得到新的加密数据，也称之为明文，明文作为下一步加密过程的输入。 ( 2 ) 加密 将2 4 位的初始化向量和4 0 位的密钥连接进行校验和计算，得到6 4 位的数 据。将这个6 4 位的数据输入到虚拟随机数产生器中，它对初始化向量和密钥的 校验和计算值进行加密。经过校验和计算的明文与虚拟随机数产生器的输出密钥 流进行异或运算得到加密后的信息，得到密文。 ( 3 ) 传输 将初始化向量和密文串接起来得到加密数据帧，继而在无线链路上传输。 2 w e p 解密过程 在安全机制中，加密数据帧的解密过程即加密过程的取反。解密过程如下： ( 1 ) 恢复初始明文。重新产生密钥流，将其与接收到的密文信息进行异或运 算，以恢复初始明文信息。 ( 2 ) 检验校验和。接收方根据恢复的初始明文信息来检验校验和，即将恢复 的明文信息分离，重新计算校验和并检查它是否与接收到的校验和相匹配。这样 可以保证只有正确校验和的数据帧才会被接受。 2 2 3 可扩展认证协议- e a p i e e e8 0 2 1 x 标准使用可扩展认证协议e a p ( e x t e n s i b l ea u t h e n t i c a t i o n p r o t o c 0 1 ) 进行消息传输，“可扩展”的意思即任何认证机制都可以被封装在e a p 请求响应信息包内，因此利用该协议可以实现较为厂泛的认证机制。 可扩展认证协议e a p 是p p p ( p o i n tt op o i n tp r o t o c 0 1 ) 认证中的一个通用 协议引，其特点是e a p 在链路控制协议( l in kc o n t r o lp r o t o c o ll c p ) 阶段并没 有选定一种认证机制，而将这一步推迟到认证阶段。可见，e a p 可以支持多科- 认 证机制，允许通过使用一个“后端”服务器来实现各种认证机制，而认证者仅需 要传送认证信息。e a p 协议本身就具有良好的可扩展性，这使得在添加新的认证 机制时毫不影响现有协议的继续使用。 当e a p 消息被封装在i e e e 8 0 2 1 x 消息中是称为e a p o l ，在i e e e 8 0 2 1 x 协议 中其帧格式如表2 - 4 所示： 航 天津j i ：业大学硕十学位论文 02346n | e l h c 巍肛 p r o t o c o l p a j k e - a c k e tb o d y 诹k e t bodytypel e n g t h v e r s i o n 图2 - 48 0 2 1 x 协议中e a p o l 帧格式 在w l a n 中使用i e e e 8 0 2 1 x 标准，为了能获得最佳的认证安全效果，最好选 用e a p t l s 认证协议，因为e a p - t l s 能够提供双向认证，并且在认证过程中动态 进行密钥交换和生成密钥，所生成的密钥只能被s t a 与a p 两者读取，从而可以 在最大限度上保证认证过程的安全性。 2 3a a a 安全接入认证协议分析 a a a 指的是a u t h e n t i c a t i 0 1 3 ( 鉴别) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 计 费) 。其中，鉴别( a u t h e n t i c a t i o n ) 指用户在使用网络系统中的资源时对用户身份 的确认；授权( a u t h o r i z a t i o n ) 网络系统授权用户以特定的方式使用其资源，这一 过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限；计费 ( a c c o u n t i n g ) 网络系统收集、记录用户对网络资源的使用，以便向用户收取资源 使用费用，或者用于审计等目的。 在w l a n 接入认证系统中，广泛使用r a d i u s 认证协议和d i a m e t e r 认证协议。 r a d i u s 是基于u d p 的一种客户机服务器协议。r a d i u s 客户机是网络访问服务器， 它通常是一个路由器、交换机或无线访问点( 访问点是网络上专门配置的节点； w a p 是无线版本) 。d i a m e t e r 协议由基础协议和一系列从基础协议扩展而来的应 用协议组成，d i a m e t e r 协议通过定义应耳 扩展协议不断支持新的接入技术，是未 来a a a 协议的发展方向，但由于技术经验的不足，并且实际操作难度不小。本课 题在研究分析d i a m e t e r 协议之后，在基于r a d i u s 的无线多跳网络接入认证平台 之上进行安全接入及审计机制的研究。 2 3 1dia m e t e r 认证协议 1 d i a m e t e r 认证协议结构 d i a m e t e r 协议由基础协议( d i a m e t e rb a s ep r o t o c 0 1 ) 乜叫和一系列从基础协 议扩展而来的应用协议组成，如n a s r e q 、m o b li e i p 、c m ss e c u r i t y 等。它是在 第二章无线多跳网用户安全接入认证机制分析 实体的发现和配置，采用s c t p 或t c p 作为传输层协议，支持移动i p 、n a s 请求 和移动代理的认证、授权和计费工作，可以作流量控制、传输确认，有重传功能， 详细规定了错误处理，在网络安全接入方面拼j 有远高于r a d i u s 协议的安全机制 啪1 。d i a m e t e r 协议体系结构如图2 5 所示： 图2 5d i a m e t e r 协议体型结构 d i a m e t e r 基础协议定义了新的数据包格式，如图2 - 6 所示： v e r m e s s a g el e n g t h r p er r r r r l c o m m a n dc o d e v e a d o r i d h o p - b y - h o pi d e n t i f i e r e n d - b y - e n di d e n t i f i e r a v p s 图2 - 6d i a m e t e r 协议数据包格式 ( 1 ) v e r 代表版本号，长度1 字节，默认为1 ； ( 2 ) m e s s a g el e n g t h 为包括消息头在内的完整d i a m e t e r 消息的字节长度，3 字节； ( 3 ) c o m m a n df l a g s 是命令标志位，其中：r 请求标志位，r = i 为请求消息， r = o 为回答消息：p 为代理标志位；e 是错误标志位；r 为保留位； ( 4 ) c o m m a n d - c o d e 表示消息的类型和相关命令，3 字节； ( 5 ) v e n d o r i d ，厂商标识； ( 6 ) h o p b y h o pi d e n t i f i e r ( 逐跳标识) ，用于中间节点对请求和响应消息的 匹配，4 字节； ( 7 ) e n d t o e n di d e n t i f i e r ( 端到端标识) ，用于发送或接收端检测重复消 息，4 字节。 在d i a m e t e r 基础协议巾，用户的认证、授权和计费等信息均通过a v p s 来传 天津工业大学硕士学位论文 输。在a v p 数据填充中遵循字( w o r d ) 边界对齐规则，即每个数据格式为8 b i t 字符类型的a v p ，都必须填充0 以使a v p 的长度对齐4 字节的字边界，其它类型 的a v p 自动对齐。其中： ( 1 ) a v pc o d e ( a v p 码) ，其与v e n d o r - i d 组合成唯一的a v p 标识，1 至2 5 5 保留给r a d i u s 协议； ( 2 ) a v pf l a g s ( 标志字节) ，v 为厂商定制标志位；m 是强制标志位，m = i 时 表示此a v p 必须被强制接受；p 为保护标志位；r 是保留位； ( 3 ) a v pl e n g t h ，包括a v p 头在内的完整a v p 的字节长度，3 字节； ( 4 ) v e n d o r - i d ，厂商标识符。具体a v p 头格式如图2 - 7 所示： a v pc o d e v m pr rrri a v p l e n g t h v e n d o r - i d d a t a 图2 - 7a v p 头格式 2 基于d i a m e t e r 认证协议的a a a 服务器 基于d i a m e t e r 的a a a 服务器是a a a 系统中的核心设备，它根据基础协议和 所实现的具体应用中所定义的规则，进行一个特定的管理域内的认证、授权和计 费处理心1 j 。基于d i a m e t e r 的服务器的基本系统结构主要包括：客户端、d i a m e t e r 服务器、d i a m e t e r 代理、中继、重定向器等节点，如2 8 所示。d i a m e t e r 客户 端是网络边界的一个设备，如n a s r e q 中的接入服务器( n a s ) ，它为最终用户提供 网络的访问。d i a m e t e r 中继可以将在同一个区域内的多个接入服务器发出的消 息聚集在一起，再根据d i a m e t e r 路由表将消息转发至下一个节点或d i a m e t e r 服务器。d i a m e t e r 重定向器提供了统一处理d i a m e t e r 消息