（计算机软件与理论专业论文）linux下无线局域网安全认证系统的设计与实现.pdf

摘 要 i linux 下无线局域网安全认证系统的下无线局域网安全认证系统的设计设计与实现与实现 作者简介：杨地委，男，1983 年 1 月生，师从成都理工大学孙淑霞教授， 2010 年 6 月毕业于成都理工大学计算机软件与理论专业，获得工学硕士学位。 摘摘 要要 随着计算机无线网络技术的迅速发展，无线局域网(wlan)不断提高的传输 能力和高效的移动能力已成为通信领域的一个重要发展产业之一， 被人们越来越 关注，并广泛应用于各个领域。 对于有线网络，数据通过电缆传输到特定的位置，通常在物理链路遭到破环 的情况下，数据有可能泄密，而对于无线局域网是有线网络的重要补充和延伸， 广泛适用于需要可移动数据处理或物理传输介质不便的领域。 无线局域网在带来 巨大应用便利的同时，也存在许多安全上的问题。由于局域网通过开放性的无线 传输线路传输高速数据，很多有线网络中的安全策略在无线方式下不再适用，在 无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息， 而将发射功 率对准某一特定用户在实际中难以实现。 这种开放性的数据传输方式在带来灵便 的同时也带来了安全性方面的新的挑战。 现在应用最广泛的就是基于 802.11 协议的无线局域网技术，然而随着各种 实用的 802.11 无线访问设备面世，其无不存在着核心或协议级的基本缺陷，与 有线网络相比，无线网络更容易被黑客窃听或攻击，因此对无线局域网的安全问 题显得尤为重要。由于常规的无线局域网安全措施如 mac 过滤、wep 加密等 都已证明其缺点，传统的解决方法有密钥加长等，虽然能增强其安全性，但对无 线局域网传输效率影响很大。 针对无线局域网面临的安全问题，本文在详细分析了 wlan 的网络特点、 安全需求的基础上，总结了无线局域网面临的安全威胁，并对漏斗进行分类；系 统的分析了 wep 和 wpa 两种加密算法， 指出了 wep 加密自身存在的安全弱点 或缺陷，常用的 wep 加密其自身设计的缺点，容易遭受拒绝服务攻击从而导致 安全架构的安全性差等。 本文简要介绍了无线局域网的安全认证方法， 在分析了无线局域网现有的安 全机制存在的问题和常用的攻击无线局域网的方法， 在分析了现有无线局域网认 证方法的优缺点的基础上，提出了使用 vpn 技术的认证来解决无线局域网的安 全问题，并介绍了 vpn 技术以及相关的隧道协议，从原理上讨论了设计方法使 适合现有无线局域网安全认证，重点是设计了基于 pptp 的无线局域网安全认证 流程，最后，在两台 pc 下进行了测试并验证其方法的合理性和实用性。 本文提出的安全认证方法提高无线局域网的安全， 对企业或个人都具有重要 的现实意义，有利于防止非法用户侵入无线局域网，对企业或个人造成不可预测 的损失。无论从理论角度还是应用角度来看，开展 wlan 安全的研究，不但具 有重要的学术价值，而且对其发展与应用也具有极为重要的作用。 关键词：linux vpn 无线局域网 认证 abstract iii the design and implementation of wlan safe authentication system based on linux introduction of the author:yang diwei, male, was born in january, 1983 whose tutor was professor sunshuxia . he graduated from chengdu university of technology in computer software and theory major and was granted the master degree in june, 2010. abstract as computers wireless network technology to the rapid development of a lan (wlan) improving transport capacity and effective mobile capacity has become an important area of communications industry, was one of the people more and more attention, and widely used in various fields. for cable networks and data by cable to the specific location, usually in the physical link were broken of cases, data possible leakage, and as for wireless lan is that of wired networks and extend important and widely applicable to the need to move data processing or physical media to avoid the field. a lan on a great convenience to the application of the same time, there are many security problems. the local wireless transmission through the open line fast, many land-based network security policy in a way no longer applicable. wireless devices that in its power within the scope of the users can access to information received, and will launch power on a particular user in practice. in this open the data transmission in a spirit of the security aspects also brought new challenges. for wireless lan security problems facing the play, the paper analyzes the characteristics of wlan networks, based on security needs, summarizes the security threats facing wireless lan, and the funnel to be classified; systematic analysis of the wep and wpa encryption are two algorithm that wep encryption has inherent security weaknesses or flaws, wep encryption common shortcomings in the design of its own, vulnerable to denial of service attacks resulting in poor security architecture of security. a lan on the safety problem, the detailed analysis in a wlan network quality and safety requirements on the basis of summarizing the wireless lan the security threat and to the classification of wep ； system analysis and wpa two kinds of encryption algorithm that is the existence of wep its security vulnerabilities or defective, the design of wep encryption its own shortcomings, to denial of service attacks resulting in the security architecture for security of the poor. this paper introduces the wireless lan security authentication methods, and analysis of existing security mechanisms for wireless local area network problems and 成都理工大学硕士学位论文 iv common methods of attacking the wireless lan, then analysis of the current advantages and disadvantages of the wireless lan authentication method, its basis in this vpn technology is proposed to use the certification to address wlan security issues, and introduces the vpn tunneling technology and related agreements, from the principle discussed the design method for existing wireless lan security certification, with emphasis on the design of the pptp-based wireless lan security certification process, and finally, under linux-based vpn server and the access point server and client operating systems are tested under two pc and verify the reasonableness and practicability. the proposed safety certification methods to improve the safety of a wlan, the enterprise or individual shall possess important actual significance and to prevent illegal user into a wlan, the enterprise or individual may cause the loss. in theory applied to the point or point of view, security, not only wlan of the academic value but for the development and application also have a very important role. keywords: linux vpn wlan authentication 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果， 也不包含为获得 成都理工大学 或其他教 育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解 成都理工大学 有关保留、 使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和 借阅。本人授权 成都理工大学 可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后适用本授权书） 学位论文作者签名： 学位论文作者导师签名： 年 月 日 第 1 章 引 言 1 第 1 章 引 言 1.1 选题的背景及研究的价值 1.1.1 课题研究的背景 在信息社会高度发达的今天， 无线局域网产业是目前整个数据通信技术领域 中最为快速发展的产业之一。 无线局域网解决方案在部分场合作为传统有线局域 网络的补充或替代以其灵活性、 移动性及较低的投资成本等优势获得了家庭网络 用户/中小型办公室用户、广泛企业用户以及运营商的青睐，得到了快速的应用。 目前 wlan 的应用主要集中机场大厅、高级酒店、大型商场、智能小区、政府 机构、各个大学及个人用户等领域，随着应用的逐渐深入，市场重心会从公众服 务应用渐渐过度到企业应用及家庭上，根据国外的发展模式，wlan 最初是高 层商务人士使用， 由于随着市场的变化无线设备成本不断下降的以及价格等因素 使得 wlan 的应用更趋于大众化，由此可见企业用户及家庭用户是未来几年 wlan 最大的潜在用户，同时，随着无线设备的多元化，人们对移动性访问和 存储信息的需求越来越多，wlan 将会在办公、学习、生产和家庭等领域不断 获得更广泛的应用。 无线局域网（wlan：wireless local area network）是计算机网络和无线通 信技术相结合的产物。 具体地说就是在组建局域网时不再使用传统的电缆线而通 过无线的方式以红外线、无线电波等作为传输介质来进行连接，提供有线局域网 的所有功能。无线局域网的基础还是传统的有线局域网，是有线局域网的扩展和 替换，它是在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、 无线网卡等设备来实现无线通信的。但与此同时，无线局域网的信息安全问题已 成目前迫切需要关注和解决的问题之一。根据调查显示，当前阻碍 wlan 普及 的最大障碍是对其安全行的担忧。由于 wlan 中的数据通过射频无线电传输， 恶意攻击容易窃听。在其开放的传输介质空气环境下，在无线传输的范围内，任 何拥有无线设备者都可以收到在无线信道上的所有会话， 未授权的用户可以通过 特定的软件轻易的截获传输数据，而攻击者可以通过伪装合法用户进入 wlan 窃听并篡改信息，因此无线安全比有线安全的难度要大很多。因此无线网络的安 全问题已经引起国内外不少组织的重视，已纷纷开始了对其安全方面的研究。 1.1.2 选题研究的意义 提高无线局域网的安全，对企业或个人都具有重要的现实意义，有利于防止 非法用户侵入无线局域网，对企业或个人造成不可预测的损失。把 vpn 安全认 成都理工大学硕士学位论文 2 证技术引入 wlan 中已成为当前安全研究领域的热点之一，无论从理论角度还 是应用角度来看，开展 wlan 安全的研究，不但具有重要的学术价值，而且对 其发展与应用也具有极为重要的作用。 1.2 国内外现状与发展趋势 1.2.1 国内外现状 无线局域网目前正处于蓬勃发展时期， 而无线局域网的安全问题也是业界尤 为关注的焦点之一。ieee802.11 委员会早期教传统的安全措施如服务集标识符 ssid、wep、mac 过滤等已被证明其安全性差，各个研究机构随后展开了大量 的研究，并提出了很多解决方案。ieee 在 1997 和 2004 年相继推出 ieee802.11 信息安全规范和 ieee802.11i-rsn 信息安全规范。但是在韩国，许多准备部署 wlan 的公司发现一些公司员工已经私自安装了 wlan 接入点设备，使得公司 针对有线互联网设计的安全方案形同虚设；在美国，负责研究核武器以及其他国 家防御技术的 lawrence livermore 国家实验室关闭了已有的两个无线计算机网 络并宣布禁止使用无线局域网， 原因在于这些设备的系统中存在的安全隐患容易 遭受到黑客的攻击而丢失机密信息；在雅典，国际奥委会已经正式宣布 wi-fi 网 络因安全无法保证将无缘 2004 年奥运会；而在中国电信曾在机场对自己的 wlan “热点”进行安全测试，发现可以很容易地截取用户密码和传输信息。目 前只有在现有的无线局域网安全框架基础上， 运用相关的关键技术搭建一个增强 的、有足够安全性的无线局域网，才能推动无线局域网的实际应用，尤其是在企 业、机关等重要部门中的使用。也只有这样，无线局域网才能安全顺利地与其他 有线网络、无线网络乃至 3g 网络实现互联互通，并发挥其巨大的潜力。 1.2.2 发展趋势 众所周知，无线局域网中的 wep 等现有加密机制并不能够为无限用户提高 足够的安全保护，因此，自无线局域网开始商业运作以来，安全问题就成为了限 制其进一步发展的主要制约因素。为了使 wlan 可以更好的适应环境的发展， ieee802.11 的 i 工作组致力于制定了新一代 ieee802.11i 安全标准，这种安全标 准增强了 wlan 的数据加密和认证性能。国内近几年也提出了无限局域网的国 家标准 gb15629.11，其中包含了全新的 wapi 即无线局域网鉴别与保密基础结 构。随着新的无线局域网安全标准的制定，无线局域网安全的研究逐步得到人们 的注意，引起了广大的重视。 第 1 章 引 言 3 1.3 本文研究的主要内容与结构安排 1.3.1 本论文主要做的工作 本文重点研究了 wlan 及相关的协议及安全技术，所做的主要工作有以下 几个方面： 首先， 从了解 wlan 的基本概念开始， 研究了 wep 加密算法及 wpa 加密算法,接着介绍了 vpn 技术及相关的 pptp 协议，其次重点分析了 wep 的 安全缺点及漏洞并从中总结了相关的无线攻击方法，第三，研究了现有常用的无 线认证方式并总结了其优缺点，第四，在以上理论的基础上提出了基于 vpn 的 wlan 安全认证方式，并且力求解决现有无线局域网安全中存在的问题。主要 研究内容如下： 1. 无线局域网的特点 2. 无线局域网的安全隐患 3. 无线局域网现有的安全认证机制 4. 无线 vpn 安全的研究。 1.3.2 论文的结构 第 1 章 绪论 第 2 章 安全认证基础技术 第 3 章 无线局域网存在的安全性问题 第 4 章 无线局域网认证方式 第 5 章 安全认证系统的设计与实现 结论 致谢 参考文献 攻读硕士期间取得的主要成果 成都理工大学硕士学位论文 4 第 2 章 安全认证基础技术 2.1 wep 加密算法 wep 叫做有线等效加密，wep 算法是一种可选的链路层安全机制，用来提 供访问控制，数据加密和安全性检验等。wep 包括一个简单的基于挑战与应答 的认证协议和一个加密协议，都是采用 rc4 的加密算法，wep 还包括一个使用 32 位 crc 的校验机制 icv（integrity check value）其目的是用来保护信息不在 传输过程中被修改1。作为 wep 加密的验证及加密过程如图 2-1 所示。 确认身份成功确认身份成功 回应回应 挑战字串挑战字串 认证请求认证请求 进行进行rc4的的 加密演算加密演算 随即产生挑战字随即产生挑战字 符串符串 使用使用wep及及rc4 进行加密进行加密，将其将其 与明文对比与明文对比 图图 2 2- -1 1 wep 加密的验证及加密过程 2.1.1 wep 的帧格式 作为 wep 的帧格式， 如图 2-2 所示， wep 加密会在帧主体上增加 8 个字节， 其中在 iv 表头处使用 4 个字节， 3 个字节用于长度为 24 位的 iv， 第 4 个字节怎 包含后面的填充位 pad 及密匙标识符 keyid， 而另外 4 个字节则附加在帧主体之 后，即帧校验序列（fcs） ，用于保护加密过的数据1。 frame header iniitialization vector pad key id frame body fcs intergrity check value 图图 2-2 wep 数据包结构图 2.1.2 wep 加密过程 wep 通过通信双方共享的密钥来所传的加密数据帧进行保护。其数据的加 密过程如图 2-3 所示30。 步骤一：计算校验和（check summing） 对输入数据进行完整性校验和计算， 把输入数据和计算得到的校验和组合起 第 2 章 安全认证基础技术 5 来得到新的加密数据，称为明文，明文作为下一步加密过程的输入。 步骤二：加密 在这个过程中，将第一步得到的数据明文采用算法加密。对明文的加密有两 层含义:明文数据的加密，保护未经认证的数据。 将 24 位的初始化向量和 40 位的密钥连接进行校验和计算，得到 64 位的数 据。将这个 64 位的数据输入到虚拟随机数产生器中，它对初始化向量和密钥的 校验和计算值进行加密计算。 经过校验和计算的明文与虚拟随机数产生器的输出 密钥流进行按位异或运算得到加密后的信息，即密文。c=pb 其中 c 为密文,p 为明文,b 为伪随机序列. 步骤三：传输 将初始化向量和密文串接起来，得到要传输的加密数据帧，在无线链路上传 输。 初始化向量初始化向量 iv 密钥密钥 连连 接接 虚拟随机数虚拟随机数 产生器产生器 密钥序列密钥序列 明文明文 完整性算法完整性算法 连连 接接 异异 或或 iv 密密 文文 图图 2-3 wep 加密数据帧的过程 2.1.3 wep 解密过程 在安全机制中，加密数据帧的解密过程只是加密过程的简单取反。解密过程 如图 2-4 所示30。 步骤一：恢复初始明文 重新产生密钥流，将其与接收到的密文信息进行异或运算，以恢复初始明文 信息。p =cb=(pb)b=p 步骤二：检验校验和 接收方根据恢复的明文信息来检验校验和，将恢复的明文信息分离，重新计 算校验和并检查它是否与接收到的校验和相匹配。 这样可以保证只有正确校验和 的数据帧才会被接收方接受。 成都理工大学硕士学位论文 6 iv 密密 文文 密钥密钥 连连 接接 虚拟随机数虚拟随机数 产生器产生器 密钥流密钥流 异异 或或 完整行算法完整行算法 完整行校验完整行校验 明明 文文 图图 2-4 wep 数据解密过程 2.2 wpa 加密算法 wpa（wifi protected acces）,即 wifi 网络安全存取。wpa 作为一种大大提 高无线网络的数据保护和接入控制的增强安全级别。wpa 系统一般由三部分构 成，即用户认证、密钥管理、数据完整性保证2。 2.2.1 认证 wep 是数据加密算法，它不完全等同于用户的认证机制，wpa 用户认证是 使用 802.1x 和扩展认证协议(extensible authentication protocol，eap)来实现的。 wpa 考虑到不同的用户和不同的应用安全需要。为了满足不同安全要求用户的 需要，wpa 中规定了两种应用模式2。 企业模式：通过使用认证服务器和复杂的安全认证机制，来保护无线网络通 信安全。 家庭模式（包括小型办公室） ：在 ap（或者无线路由器）以及连接无线网络 的无线终端上输入共享密钥，以保护无线链路的通信安全。 根据这两种不同的应用模式，wpa 的认证也分别有两种不同的方式。对于 大型企业的应用，常采用“802.1x+ eap”的方式，用户提供认证所需的凭证。但 对于一些中小型的企业网络或者家庭用户，wpa 也提供一种简化的模式，它不 需要专门的认证服务器。这种模式叫做“wpa 预共享密钥(wpa-psk)”，它仅要 求在每个 wlan 节点(ap、无线路由器、网卡等)预先输入一个密钥即可实现。 这个密钥仅仅用于认证过程，而不用于传输数据的加密。数据加密的密钥是在认 证成功后动态生成，系统将保证“一户一密”，不存在像 wep 那样全网共享一个 加密密钥的情形，因此大大地提高了系统的安全性。 2.2.2 加密 wpa 使用 rc4 进行数据加密，用临时密钥完整性协议（tkip）进行密钥管 第 2 章 安全认证基础技术 7 理和更新。tkip 通过由认证服务器动态生成分发的密钥来取代单个静态密钥、 把密钥首部长度从 24 位增加到 48 位等方法增强安全性。而且，tkip 利用了 802.1x/eap 构架。认证服务器在接受了用户身份后，使用 802.1x 产生一个惟一 的主密钥处理会话。 然后， tkip 把这个密钥通过安全通道分发到 ap 和客户端， 并建立起一个密钥构架和管理系统， 使用主密钥为用户会话动态产生一个惟一的 数据加密密钥， 来加密每一个无线通信数据报文。 tkip 的密钥构架使 wep 单一 的静态密钥变成了 500 万亿个可用密钥2。 2.2.3 保持数据完整性 tkip 在每一个明文消息末端都包含了一个信息完整性编码（mic） ，来确保 信息不会被“哄骗”。mic 是为了防止攻击者从中间截获数据报文、篡改后重发而 设置的。除了和 802.11 一样继续保留对每个数据分段(mpdu)进行 crc 校验外， wpa 为 802.11 的每个数据分组(msdu)都增加了一个 8 个字节的消息完整性校 验值，这和 802.11 对每个数据分段(mpdu) 进行 icv 校验的目的不同。 icv 的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文 出错，因此采用相对简单高效的 crc 算法，但是黑客可以通过修改 icv 值来使 之和被篡改过的报文相吻合，可以说没有任何安全的功能。 而 wpa中的 mic 则是为了防止黑客的篡改而定制的， 它采用 michael 算法， 具有很高的安全特性。当 mic 发生错误时，数据很可能已经被篡改，系统很可 能正在受到攻击。此时，wpa 会采取一系列的对策，比如立刻更换组密钥、暂 停活动 60 秒等，来阻止恶意的攻击2。 2.2.4 wpa-psk 工作流程 wpa-psk 工作流程分为四个握手步骤，如图 2-5 所示3。 wpa-psk 初始化，使用 ssid 和 passphares 通过算法产生 psk。 第一次握手：ap 广播 ssid，station 收到 ssid，使用 ssid 和 passphares 通 过算法产生 psk。 第二次握手：station 发送一个随机数 snone，ap 收到 snone 后产生一个随 机数 anonce，通过算法提取 ptk 前 16 个字节组成一个 mic key。 第三次握手：ap 发送 anonce，station 收到 anonce，通过算法产生 ptk， 提取 ptk 前 16 个字节组成一个 mic key。 第四次握手：station 发送 802.1x 数据、mic，ap 收到 mic 后进行匹配。 成都理工大学硕士学位论文 8 ssid ap_mac snonce station_mac anonce 802.1x data mic 图图 2-5 wpa-psk 工作流程图 2.3 vpn 技术 vpn( virtual private network)的中文意思为“虚拟专用网络” ，可以实现不同 网络的组件和资源之间的相互连接。虚拟专用网络能够利用 internet 或其它公共 互联网络的基础设施为用户创建隧道， 并提供与专用网络一样的安全和功能保障 31。 2.3.1 基本用途 1. 通过 internet 实现远程用户访问 虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。 与使 用专线拨打长途或（1-800）电话连接企业的网络接入服务器（nas）不同，虚 拟专用网络用户首先拨通本地 isp 的 nas，然后 vpn 软件利用与本地 isp 建立 的连接在拨号用户和企业vpn服务器之间创建一个跨越internet或其它公共互联 网络的虚拟专用网络。 vpn 通过 internet 实现远程连接的架构图如图 2-6 所示31。 internet virtual private network 图图 2-6 vpn 远程用户访问图 2. 通过 internet 实现网络互连 可以采用以下两种方式使用 vpn 连接远程局域网络。 使用专线连接分支机构和企业局域网。 第 2 章 安全认证基础技术 9 不需要使用价格昂贵的长距离专用电路， 分支机构和企业端路由器可以使用 各自本地的专用线路通过本地的 isp 连通 internet。vpn 软件使用与当本地 isp 建立的连接和 internet 网络在分支机构和企业端路由器之间创建一个虚拟专用网 络。 使用拨号线路连接分支机构和企业局域网。 不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连 接企业 nas 的方式， 分支机构端的路由器可以通过拨号方式连接本地 isp。 vpn 软件使用与本地 isp 建立起的连接在分支机构和企业端路由器之间创建一个跨 越 internet 的虚拟专用网络。 应当注意在以上两种方式中， 是通过使用本地设备在分支机构和企业部门与 internet 之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电 话建立连接，因此 vpn 可以大大节省连接的费用31。 3. 连接企业内部网络计算机 在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的 安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。 这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户 无法，造成通讯上的困难。其架构图如 2-7 所示。 client auth response challenge 图图 2-7 内部 vpn 访问图 采用 vpn 方案， 通过使用一台 vpn 服务器既能够实现与整个企业网络的连 接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但 是并不能对流向敏感网络的数据进行限制。使用 vpn 服务器，但是企业网络管 理人员通过使用 vpn 服务器，指定只有符合特定身份要求的用户才能连接 vpn 服务器获得访问敏感信息的权利。此外，可以对所有 vpn 数据进行加密，从而 确保数据的安全性。没有访问权利的用户无法看到局域网络的信息。 2.3.2 基本要求 在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求 加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连 接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业 内部网络上传输时安全性不受破坏.因此，vpn 方案应该满足以下几个方面3： 成都理工大学硕士学位论文 10 1.用户验证 vpn 方案必须能够验证用户身份并严格控制只有授权用户才能访问 vpn。 另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。 2.地址管理 vpn 方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 3.数据加密 对通过公共互联网络传递的数据必须经过加密， 确保网络其他未授权的用户 无法读取该信息。 4.密钥管理 vpn 方案必须能够生成并更新客户端和服务器的加密密钥。 5.多协议支持 vpn 方案必须支持公共互联网络上普遍使用的基本协议，包括 ip，ipx 等。 以点对点隧道协议（pptp）或第 2 层隧道协议（l2tp）为基础的 vpn 方案既能 够满足以上所有的基本要求，又能够充分利用遍及世界各地的 internet 互联网络 的优势。其它方案，包括安全 ip 协议（ipsec)，虽然不能满足上述全部要求，但 是仍然适用于在特定的环境。 2.3.3 隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。 使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些 其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息， 从而使封装的负载数据能够通过互联网络传递4。 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。 被封装 的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 一旦到达网络终 点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输 和解包在内的全过程。 隧道所使用的传输网络可以是任何类型的公共互联网络， 本文主要以目前普 遍使用 internet 为例进行说明。此外，在企业网络同样可以创建隧道。隧道技术 在经过一段时间的发展和完善之后，目前较为成熟的技术包括： 1. ip 网络上的 sna 隧道技术 当系统网络结构（systemnetworkarchitecture）的数据流通过企业 ip 网络传 送时，sna 数据桢将被封装在 udp 和 ip 协议包头中。 2. ip 网络上的 novellnetwareipx 隧道技术 当一个 ipx 数据包被发送到 netware 服务器或 ipx 路由器时，服务器或路 由器用 udp 和 ip 包头封装 ipx 数据包后通过 ip 网络发送。 另一端的 ip-to-ipx 第 2 章 安全认证基础技术 11 路由器在去除 udp 和 ip 包头之后，把数据包转发到 ipx 目的地。 近几年不断出现了一些新的隧道技术。具体包括： 1. 点对点隧道协议（pptp） pptp 协议允许对 ip，ipx 或 netbeui 数据流进行加密，然后封装在 ip 包 头中通过企业 ip 网络或公共互联网络发送。 2. 第 2 层隧道协议（l2tp） l2tp 协议允许对 ip，ipx 或 netbeui 数据流进行加密，然后通过支持点对 点数据报传递的任意网络发送，如 ip，x.25，桢中继或 atm。 3. 安全 ip（ipsec)隧道模式 ipsec 隧道模式允许对 ip 负载数据进行加密，然后封装在 ip 包头中通过企 业 ip 网络或公共 ip 互联网络如 internet 发送。 2.4 点对点隧道协议 pptp 点对点隧道协议（pptp）是一种支持多协议虚拟专用网络的网络技术。通 过该协议， 远程用户能够通过操作系统以及其它装有点对点协议的系统安全访问 网络，并能拨号连入本地 isp，通过 internet 安全链接到网络32。 2.4.1 pptp 协议结构 pptp 协议是在 ppp 协议的基础上开发的一种新的增强型安全协议，支持多 协议虚拟专用网（vpn） ，可以通过密码身份验证协议（pap） 、可扩展身份验证 协议（eap）等方法增强安全性。该协议的结构如图 2-8 所示32。 16 lengthpptp message type 32 magic cookie control message typereserved 0 protocol versionreserved 1 framing capability beaning capability maximum channelsfirmware revision host name vendor string 图图 2-8 pptp 协议结构图 成都理工大学硕士学位论文 12 pptp 协议结构各个成员表示信息如图 2-9 所示32： length pptp message type magic cookie control message type call management ppp session control reserved 0 ignore client-updates; #设置动态 ip，子网为 ，掩码为 网段 subnet netmask #默认网关 option routers ; option subnet-mask ; option nis-domain “”; option domain-name “”; option domain-name-servers ; #动态 ip 地址池，可分配的 ip 地址范围 range dynamic-bootp 0 54; default-lease-time 21600; max-lease-time 43200; 3.启动与停止 dhcp 服务 在 red hat enterprise linux 5 中， 使用如下命令启动和停止 dhcp 服务： 启动 dhcpd 服务其命令为：#service dhcpd start 停止 dhcpd 服务其命令为：#service dhcpd stop 重新启动 dhcpd 服务其命令为：#service dhcpd restart 步骤 2：网关控制的设计 安装网关控制模块： 把网关控制模块 fw-1.0.tar.gz 复制到相应的文件夹下，执行如下命令： #tar xzvf fw-1.0.tar.gz #make &make install 第 5 章 安全认证系统的设计与实现 43 5.4.4 实验结果 无线客户端搜索到接入点，连接后由无线接入点通过网络控制 dhcp 分配 该客户端的 ip 地址，通过 wireshark 抓包软件抓包后如图 5-15 所示： 图图 5-15 无线客户端连接接入点的会话信息 无线客户端在未连接 vpn 认证服务器时，试图连接其它外网失败，通过抓 包如图 5-16 所示： 成都理工大学硕士学位论文 44 图图 5- 16 无线客户端未连接 vpn 认证的会话信息 无线客户端在连接接入点后，连接 vpn 认证服务器，认证过程及建立隧道 信息如图 5-17 及图 5-18 所示： 图图 5-17 无线环境 linux 下 pptp vpn 建立隧道和会话信息（1） 第 5 章 安全认证系统的设计与实现 45 图图 5-18 无线环境 linux 下 pptp vpn 建立隧道和会话信息（2） 无线客户端连接 vpn 认证服务并经过验证为合法用户后，连接其它外网成 功，其会话过程及信息如图 5-19 所示： 图图 5-19 无线客户端已连接 vpn 认证后的会话信息 5.4.5 实验结果总结 通过 wireshark 抓包工具对整个无线客户端连接无线接入点，并由无线接入 点进行实时控制，然后无线客户端连接 vpn 服务器进行认证，成功返回后，由 接入点对其客户端进行开放服务的过程中分析得出， 由本文提出了在无线局域网 中引入无线 vpn 的二次认证其合理性和实用性。 成都理工大学硕士学位论文 46 结 论 研究工作总结 无线局域网（wlan）技术得到迅猛的发展，并逐渐普及应用。安全架构 wlan 成为研究人员关注的热点问题之一，虽然有线网络进过几十年的发展应 用，在安全保障技术上已经取得丰硕的成果，但直接应用于无线网络暴露出许多 弱点，ieee802.11 系列标准定义的 wlan 安全机制的历程说明了这一点。 ieee802.11b 中定义了有线等效安全协议 wep， 但在实际使用中被发现其弱点和 不安全性等问题。 为了提高 wlan 的安全架构，本文通过对无线局域网 802.11 安全机制的分 析和现用 wep 加密的优缺点及现有认证技术的优缺点， 提出了以 vpn 为基础的 二次认证的方法来提高 wlan 的安全。 本文实现了无线局域网安全认证系统的设计与实现， 建立在 linux 平台上的 无线接入系统采用 pptp vpn 的认证方法。系统按照功能模块可分为移动客户 端、无线接入系统和 linux vpn 认证服务器三部分。认证系统中接入系统最为 重要，按照内部功能可划分为接入控制模块、网络控制模块、网关控制模块三部 分。 基于 linux 的无线局域网安全认证系统对硬件要求低，开放性好且易于配 置。vpn 认证系统安装在 linux 服务器中，支持接入多个无线接入点。绝大部 分安全有关的认证操作都集中在 vpn 认证服务器端，无线接入点仅负责转发数 据包。因此移动客户端可以实现在多个无线接入点之间方便移动。 本文设计的认证方法与正常情况下的无线安全的比较，得出结论是基于 pptp 的无线局域网认证适合使用，并且简单、安全、高效。最后在真实环境下 实现了基于 pptp 的无线局域网安全的认证技术。 未来工作展望 为了是 pptp vpn 在无线局域网具有更好的优越性， 从解决方案的效率和成 熟性加以平衡，选择简单高效的第二层隧道协议 l2tp 协议代替 pptp，这将是 我下一步深入研究中需要解决的。 致 谢 47 致 谢 光阴荏苒，岁月如梭，三年的研究生生涯已接近尾声。在这三年里，我得到 了许多来自老师和同学们的关心和帮助。在此论文完成之际，我心中充满了对他 们的感激之情。 首先，我要衷心感谢我的导师孙淑霞教授对本人毕业设计的精心指导，感谢 孙老师对我的教诲。无论是在学习上、生活和工作上，孙老师都给予我无微不至 的关心和照顾，正是在孙老师的悉心指导下，我完成了这篇论文的选题、研究、 撰写和修改等各个过程。她的言传身教使我终生受益。 感谢我的同学以及家人，他们在生活和学习上给予了我许多意见和帮助。 最后，感谢