（计算机应用技术专业论文）基于第二层隧道协议的无线局域网安全方法研究.pdf

湖北工业大学硕士学位论文 摘要 随着计算机网络技术的迅速发展，无线局域网( w l a n ) 因其不断提高的传输 速率和灵活的移动能力而被人们越来越广泛地应用在各个领域。无线局域网采用 无线媒介传输，具有信道开放的特点，因此对它的安全要求比有线环境更高。 目前，常用的i e e e 8 0 2 1 1 无线局域网暴露出了一系列安全问题。在认证方面 它采用的几种认证方式都存在明显的安全漏洞；在数据加密方面，它采用有线等 效保密协议( w e p ) 来实现对数据的加密和完整性保护，但由于该协议采用的是r c 4 算法，使得该协议不能够确保数据的完整性和安全性。相比之下，i e e e 8 0 2 1 1i 主 要针对w l a n 的安全需求而制定的，它从数据加密、密钥管理、接入认证控制等方 面对w l a n 做了全面的保护，但是8 0 2 1 l i 的安全解决方案是一个复杂的系统，涉 及了很多的机制和协议，我们也很难简单的评判其是否安全，故本文提出了在无 线网络中采用增强的l 2 t pv p n 技术，实现无线局域网安全的解决方案。 l 2 t p 是目前适用于i n t e r n e t 通信的最有效的网络安全技术之一。利用它所建 立的通道具有更好的安全性和可靠性。l 2 t pv p n 作为第二层的v p n 技术，由于 简单易行，可支持多协议( 可承载口、x 2 5 、帧中继或异步传输模式a t m 的点对 点协议帧) ，将l 2 t p v p n 安全技术引入无线网络，可以进一步在第二层增强w l a n 的安全性，保证无线数据的安全传输。 本文分析研究了l 2 t p 协议的隧道认证机制，剖析了将l 2 t p 直接应用于无线 局域网所存在的安全性问题，提出了在无线网络中采用增强的l 2 t pv p n 技术，实 现无线局域网安全的解决方案。并对今后的研究方向做了进一步的展望。 关键词：无线局域网，8 0 2 1 1 ，有线等效保密协议，l 2 t p ， e l 2 t p 湖北工业大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r k ，w i r e l e s sl o c a la r e an e t w o r k ( w l a n ) w a sm o r ca n dm o r cw i d e l yu s e di nv a r i o u sf i e l d sf o ri t si n c r e a s i n gc a p a c i t yt r a n s f e rr a t e a n dt h ef l e x i b l er e m o v i n g , w i r e l e s sl o c a la r e an e t w o r k ( w l a n ) u s i n gw i r e l e s sm e d i a t r a n s m i s s i o n ，w i t ht h ec h a r a c t e r i s t i c so fi t so p e nc h a n n e l ，s oi t ss a f e t yr e q u i r e m e n t s ，h i g e r t h a nt h ew i r e de n v i r o n m e n t a tp r e s e n t ，t h ec o m m o n l yu s e dw i r e l e s sl a ni e e e 8 0 2 11e x p o s e das e r i e so f s e c u r i t yp r o b l e m s a ta u t h e n t i c a t i o n ，i tu s e ss e v e r a la u t h e n t i c a t i o nm e t h o d sa l eo b v i o u s s e c u r i t yv u l n e r a b i l i t i e se x i s t ；i nd a t ae n c r y p t i o n ，i tu s e dw i r e de q u i v a l e n tp r i v a c yw e p p r o t o c o lt ot h ei m p l e m e n t a t i o no fd a t ae n c r y p t i o na n di n t e g r i t yp r o t e c t i o n ，b u tb e c a u s e o ft h ep r o t o c o la r eu s e di nr c 4 e n c r y p t i o na l g o r i t h m ，w e pc a nn o tb em a d et oe n s u r e d a t as e c u r i t ya n di n t e g r i t y i nc o n t r a s t ，i e e e 8 0 2 1 1 is t a n d a r di sm a i n l yt a r g e t e da tt h e n e e d so fw l a ns e c u r i t yf o r m u l a t ei tf r o mt h ed a t ae n c r y p t i o n ，k e ym a n a g e m e n ta n d a u t h e n t i c a t i o na c c e s sc o n t r o lo ft h ew i _ a nt od oac o m p r e h e n s i v es e c u r i t yp r o t e c t i o n ， b u tt h es e c u r i t yo f8 0 2 11 is o l u t i o ni sac o m p l e xs y s t e m ，i n v o l v i n gal o to fa g r e e m e n t s a n dm e c h a n i s m s ，i ti sd i f f i c u l tt oj u d g ew h e t h e rs i m p l es e c u r i t y t h e r e f o r e ，t h i sp a p e r u s e di nt h ew i r e l e s sn e t w o r kt e c h n o l o g yt oe n h a n c et h el 2 t pv p n ，w i r e l e s sl a n s e c u r i t ys o l u t i o n s l 2 t pa r ea p p l i c a b l et oi n t e m e tc o m m u n i c a t i o n si sc u r r e n t l yt h em o s te f f e c t i v e n e t w o r ks e c u r i t yt e c h n o l o g i e s c h a n n e ls e tu pt ou s ei tw i t hab e t t e rs a f e t ya n d r e l i a b i l i t y l 2 t pv p na sas e c o n dl a y e ro fv p nt e c h n o l o g y ，b e c a u s eo fs i m p l e ， m u l t i p r o t o c o ls u p p o r t ( w h i c hc a nc a r r yi p ，x 2 5 ，f r a m er e l a y o ra s y n c h r o n o u s t r a n s f e rm o d ea t mp o i n t - t o - p o i n t p r o t o c o lf r a m e s ) a n d l 2 t pv p ns e c u r i t y t e c h n o l o g yt h ei n t r o d u c t i o no fw i r e l e s sn e t w o r k s ，a tt h es e c o n dl e v e lc a nb ef u r t h e r e n h a n c e dw l a n s e c u r i t y ，g u a r a n t e et h es e c u r i t yo fw i r e l e s sd a t at r a n s m i s s i o n t h i sp a p e ra n a l y z e st h es t u d yp r o t o c o ll 2 t pt u n n e la u t h e n t i c a t i o nm e c h a n i s m s ， l 2 t pa n a l y s i sw i l lb ed i r e c t l ya p p l i e dt ow i r e l e s sl o c a la r e an e t w o r kb yt h ee x i s t e n c eo f t h es e c u r i t yi s s u e ，t h ee n h a n c e dl 2 t p - b a s e dw i r e l e s sl a ns e c u r i t ys o l u t i o n sa n dt h e d i r e c t i o no ff u t u r er e s e a r c ht od ot h ep r o s p e c t sf o rf u r t h e r k e y w o r d s ：w l a n ，8 0 2 1 1 ，w e p , l 2 t p , e l 2 t p i i 潮班j 棠大謦 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名：昴驰鹭日期：砂，哆年 6 月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名：众多胎孥 日期：乒哆年6 月f 日 指导教师签名：磊皋媛久协 日期哕年；月日 ， 湖北工业大学硕士学位论文 第1 章绪论 1 1 课题的背景与意义 无线通信网络按照覆盖的范围来分，可分为无线广域网( w i r e l e s s w a n ，w w a n ) 和无线局域网( w i r e l e s sl a n ，w l a n ) ，本文主要研究的是无线局域 网w l a n 【l 】o 随着通信技术的不断发展，人们对通信的需要也越来越多样化和复杂化，人 门最终的想法是能够使人类无拘无束地获取及交换信息，其总趋势是数字化、综 合化、智能化、个人化和全球一网化。由于对无线网络的需求出现，因此有人提 出“5 w 通信一，即任何人( w h o e v e r ) 在任何地方( w h e r e v e r ) 在任何时候( w h e n e v e r ) 与任何人( w h o m e v e r ) 都能进行包含数据、图像等任何形式( w h a t e v e r ) 的通信。 其实上，现代的计算机网络的通信手段也是正围绕“5 w ”进行发展。 无线通信网络采用射频r f 技术，取代过去老式的比较笨重的双绞线所构成 的网络，因此这种网络具有很多的特点例如：轻便灵活、工作效率高、安装成本 低廉等，为现代的个人通信提供了很好的平台。同时也带了在安全上出现的问题： 由于w l a n 采用射频技术，传输介质是辐射到四周的电磁波，它无所不在，并且 没有固定的路由，所以在一定的范围内，它所传送的信息可被任何人截获。 这样，对无线局域网进行通信时需要具有较高的通信保密能力，但是如何防 止数据不能够被截获是数据在无线环境中传输首要解决的问题。随着w l a n 的应 用领域的深入及扩大，其安全日益突出，针对这个方面的研究也是当前研究w l a n 的核心问题。对w l a n 的安全方面的研究主要的目的是通过研究其特点、探索其 可能受到的安全攻击等，从而研究它的安全体系结构和相应的加密、认证等机制 来保证w l a n 的信息安全。 对w l a n 安全性研究的主要目的是通过研究其特点、探求其可能受到的安全 攻击，进而研究它的安全体系结构和相应的信息加密机制、认证机制以保证w l a n 信息安全。 1 2 国内外研究现状 2 0 世纪8 0 年代，美国和加拿大的业余无线爱好者和无线电报务员们设计并建 立了终端节点控制器( 2 q c ) ，将各自的计算机通过无线发报设备连接起来。t n c 湖北工业大学硕士学位论文 工作起来像电话m o d e m 样，把计算机数字信号转换为无线电收发报机可以调 制并能利用分组交换技术通过广播频道发送出去的信号。事实上，美国无线电中 继联盟( a r r l ) 和加拿大无线电中继联盟( c r r l ) 在8 0 年代早期就开始资助 计算机网络委员会进行开发广域无线网络的论坛。所以，业务无线电报务员们， 早已来时使用无线联网技术，闭上也时常早得多。 1 9 7 1 年，夏威夷群岛由包括o a h u 、m a u i 、h a w a i i 等在内的几个岛屿组成。 夏威夷大学投入运行的a l o h a n e t 首次将网络技术和无线通信技术结合起来。夏威 夷大学共有1 0 个校区，其中主校区位于o a h u 岛，其他校区分别散布在不同的岛 屿。为了使其他岛屿的计算机和用户终端能够共享主校区的大型计算机，需要构 筑一个通信网络把这些用户终端与计算机连入主校区的大型计算机。从网络的业 务需求和实现费用角度考虑，采用无线电作为传输媒体在当时的情况下无疑是最 佳的选择，为此校方租用了一条卫星链路进行数据传输。 早期的无线计算机网络有个共同的特征：是为了免去布线的烦琐，使网络安 装简单，使用方便，采用无线媒体仅仅是为了克服地理障碍，而网络中节点的移 动能力并不重要。然而进入2 0 世纪9 0 年代后随着功能强大的便携式计算机的普及 使用，这样，支持移动计算机能力的计算机网络越来越重要。人们需要在其办公 室以外的地方使其随声携带的计算机仍然能接入其办公室的局域网，或能够访问 其他公共网络。 1 9 8 5 年，美国联邦通信委员会乜1 ( f e d e r a lc o m m u n i c a t i o nc o m m i t t e e ，f c c ) 授 权普通用户可以使用i s m 频段而把无线局域网推向商业化发展。这里的i s m 分别 采取i n d u s t r i a l ( 工业) 、s c i e n t i f i c ( 科研) 及m e d i c a l ( 医疗) 的第一个字母，许多 工业、科研和医疗设备使用的无线频率集中在该频段。i s m 频段对无线产业产生 了巨大的积极影响，保证了无线局域网元器件的顺利开发。f c c 定义的i s m 频段 为9 0 2 9 0 8 m h z 、5 7 2 5 5 8 7 5 g h z 及2 4 以4 8 3 5 g h z z 个频段。目前世界上的大部 分国家的无线电管理机构也分别设置了各自的i s m 频段，1 9 9 6 年中国无线电管理 委员会开放了2 4 2 4 8 3 5 g h z ( i e e e 标准) 的i s m 频段。i s m 频段为无线网络设 备供应商提供产品频段，如果发射功率及带外辐射满足无线电管理机构的要求， 则无需提出专门的申请即可使用这些i s m 频段。 无线局域网安全规范于除了保证w l a n 数据传输的安全，近几年来，商业 界将广泛应用于i n t e r n e t 的v p n 技术也引进w l a n 中，旨在增强w l a n 的安全 性。由于v p n 能够提供数据源认证、数据加密、数据完整性校验和比较完善的 密钥管理机制，它可以弥补8 0 2 1 1 的w l a n 在身份认证和密钥管理、数据加密 和数据完整性校验等方面的不足，因而很有必要将其引入w l a n 中。 2 湖北工业大学硕士学位论文 1 3 论文研究的内容和主要工作 本文重点研究了w l a n 及相关的协议及安全技术，所作的主要工作有以下六 个方面：首先，从了解w l a n 的基本概念开始，研究了以有线等效协议为主要的 加解密作为i e e e 8 0 2 1 1 口1 的安全手段。其次分析了w e p 的安全漏洞并从中总结了 相关经验及教训，为其它的密码协议和安全机制作了必要的知识准备。第三，研 究了i e e e 8 0 2 1 1 i 的安全解决方案，探讨它是如何消除旧系统及设备存在的安全 缺陷，达到在现有的基础上最大安全性的目标方案。第四，介绍v p n 技术，着 重分析了第二层隧道协议一l 2 1 1 p 协议，并对比分析了第二层隧道协议l 2 t p 、 p p t p ；第五，介绍基于l 2 t p 无线局域网的安全解决方案，并搭建试验模型进行 了程序测试，并对运行结果进行了分析；第六，介绍基于l 2 t p 的无线局域网的 加密认证机制存在的安全问题，提出了增强加密认证机制的解决方案。 论文的整体安排：论文的第一章介绍了本课题的研究背景，w l a n 的研究现 状以及本论文的主要研究工作；第二章介绍了无线局域网的安全技术例如 i e e e 8 0 2 1 1 的系列标准，加密机制及安全增强型的解决方案，重点介绍了w e p 加解密机制并分析了其存在的漏洞，同时介绍了i e e e 8 0 2 1 l i 的保密协议、接入 认证机制，同时对8 0 2 1 1 i 的接入流程进行了简单的介绍。第三章介绍v p n 技术， 着重分析了第二层隧道协议一l 2 t p 协议。第四章介绍基于l 2 t p 无线局域网的安 全解决方案。第五章介绍基于l 2 t p 无线局域网的安全解决方案。 1 4 本章小结 本章给出了本文的研究背景同时重点分析了无线局域网自身的特点和原有 的解决安全方法，指出了无线局域网的安全问题成为了无线局域网发展关键问 题，所以安全问题是无线局域网首要解决的问题。同时本章也分析了无线局域网 的研究现状，对无线局域网的些技术和标准进行了分析，指出了本论文的研究 方向，最后将本论文结构安排作了简单的介绍。 3 湖北工业大学硕士学位论文 第2 章无线局域网安全技术 2 1 无线局域网简介 无线局域网采用无线信号进行数据通信，其传输的关键技术主要有三种：跳 频扩频( f r e q u e n c yh o p p e ds p e c t r u m ，f h s s ) 、直接序列扩频( d i r e c ts e q u e n c e s p e c t r u m ，d s s s ) 和红外线( i n f r a r e d ) 。无线局域网与有线网络相比，主要有 以下几个特点：安装便捷移动性易于扩展容量大经济节约使用灵活 无线局域网是以无线通信作为传输媒介的计算机网络，其本身具有可移动 性，能够方便地、快速地解决有线网络不能够解决网络通信连通的问题。是在有 线网络的基础上发展起来的。 2 1 1i e e e 的8 0 2 1 1 系列标准 1 9 9 0 年1 1 月i e e e 召开了8 0 2 1 1 委员会，开始制定无线局域网络标准。1 9 9 7 年 6 月2 6 同，i e e e8 0 2 1 1 标准制定完成，1 9 9 7 年1 1 月2 6 日正式发布。1 9 9 8 年各供应 商推出了大量基于i e e e 8 0 2 1 1 标准的无线网卡和访问节点。 i e e e8 0 2 1 1 无线局域网标准h 1 的制定是无线网络技术发展的一个里程碑。 i e e e 8 0 2 1 1 标准除了介绍无线局域网的优点及各种不同性能外，还使得各种不同 厂商的无线产品得以互联。继承i e e e 8 0 2 系列，i e e e 8 0 2 1 1 规范了无线局域网络 的媒体访问控制( m a c ) 层及物理( p h y ) 层。特别是由于实际无线传输的方式 不同，i e e e 8 0 2 1 1 在同一个m a c 层下面规范了各种不同的实体层，以适应当前 的情况及未来的科技发展。另外，标准使核心设备执行单芯片解决方案，降低了 采用无线技术的造价。i e e e 8 0 2 1 1 标准的颁布，使得无线局域网在各种有移动要 求的环境中被广泛接受。国际电子电气工程协会( i e e e ) 8 0 2 i 作组负责局域网 的标准开发，如以太网和令牌环等。 1 9 9 9 年，i e e e 8 0 2 1 1 工作组又批准了i e e e 8 0 2 1 1 的两个分支：i e e e 8 0 2 1 l a 和i e e e 8 0 2 1 l b 历经十几年的发展，i e e e8 0 2 1 1 家族已经从最初的i e e e8 0 2 1 1 发展到了目前i e e e 8 0 2 1 1 a 、i e e e 8 0 2 1 l b 、i e e e 8 0 2 1 1 i 等，具体内容如下： i e e e 8 0 2 1 1 a ：它扩充了无线局域网的物理层，规定该层使用5 g h z 频带。该标 准采用正交频分复用( o f d m ) 调制数据，传输速率范围为6 5 4 m b p s 。这样的 速率既能满足室内的应用，又能满足室外的应用。 i e e e 8 0 2 1 l b ：它是i e e e 8 0 2 1 1 标准物理层的另一个扩充，规定采用2 4 g h z 4 湖北工业大学硕士学位论文 i s m 频带，调制方法采用补偿编码键控( c c k ) 。c c k 来源于直接序列扩频( d s s s ) 技术，多速率机制的媒体接入控制( m a c ) 确保当工作站之间距离过长或干扰 过大信噪比低于某个门限时，传输速率能够从l l m b p s 自动降到5 5 m b p s ，或者根据 直接序列扩频技术调整至l j 2 m b p s 和1 m b p s 。 i e e e 8 0 2 1 l c ：负责在原有标准的基础上增强m a c 层，以实现i e e e 8 0 2 1 1 标准 的网桥操作。目前已经完成，且已经合并到正e e 8 0 2 1 1 d 标准中了。 i e e e 8 0 2 1 1 d ：是i e e e 8 0 2 1 l b 使用其他频率的版本，以适应一些不能使用 2 4 g h z 频段的国家。这些国家种大多数正在清理这个频段。 i e e e 8 0 2 1 l e ：该标准主要是为了改进和管理w l a n 的服务质量，保证能在 i e e e 8 0 2 1 1 无线网络上进行话音、音频、视频的传输，可视会议、媒体流的传送， 增强的安全应用及移动访问应用等。 i e e e 8 0 2 11 f ：即接入点内部协议( i n t e r - a c c e s sp o i n tp r o t o c 0 1 ) ，该标准目的 是改善i e e e 8 0 2 1 1 协议的切换机制，使用户能够在不同的交换分区间( 无线信道) 或者在接入设备间漫游。这就使无线局域网能够提供与移动通信同样的移动性。 i e e e8 0 2 1 l g ：是2 0 0 3 年6 月1 2 日正式定案的第三个传输标准，同样运行于 2 4 g h z ，共有三个不重叠的传输信道。由于该标准中使用了与i e e e8 0 2 1 l a 标准 相同的调制方式o f d m ，使网络达到t 5 4 m b p s 的高传输效率。i e e e8 0 2 1 1 9 提高 了数据率，同时保持了与i e e e8 0 2 1 l b 的兼容性。i e e e 8 0 2 1 l h 该标准主要是为了 增强5 g h z 波段的i e e e 8 0 2 1 l m a c 规范及i e e e 8 0 2 1 1 a 高数物理层规范。 i e e e 8 0 2 1 1 h 比i e e e 8 0 2 11 a 能更好的控制发送功率和选择信道与8 0 2 1 1 a 一起适 应欧洲的标准，此标准正在制定中。 i e e 8 0 2 1 l i ：增强w l a n 的安全和鉴别机制，主要是克服i e e e 8 0 2 1 1 在安全 方面存在的不足。w l a n 在保证安全方面很重要的一环就是认证。由于 i e e e 8 0 2 1 1 i 与m a c 层上的功能有关，认证呢个协议在传输层，i e e e 不负责管理， 而今市场提供的解决方案则是使用i e e e 8 0 2 1 x ，同时将经历集中在比较容易实施 的服务器客户机协议上因此出现了许多认证协议。 i e e e 8 0 2 1 1 j ：目的是使i e e e 8 0 2 1 1 a 和h i p e r l 州2 网络能够互通，目前尚处 于酝酿中，i e e e 还没正式成立专门任务组来讨论。 i e e e8 0 2 1 l n ：下一个无线新规范，这一新规范的数据传输速率尚未确定， 但至少将在1 0 0 m b p s 以上，如下表2 1 表示8 0 2 1 1 系列标准凸1 。 为了支持用户从一个接入点到另外个接入点，i e e e8 0 2 1 1 b 标准不限制接 入点之间的通信，为此允许不同分布式系统之间灵活运作( 如连接入点的有限骨 干网) 。但是漫游时不同提供商提供的接入点可能无法互通，i e e e8 0 2 1 1 f 7 , 就是专 门针对接入点之问的漫游而制订的协议，它能为接入点之问支持i e e e8 0 2 1 1 分 5 湖北工业大学硕士学位论文 布系统功能提供必要的交换信息。 为加强认证，i e e e 8 0 2 1 1 i 9 l 用了集中总要的管理算法以及动态的会话密钥 ( s e s s i o nk e y ) ，新的加密算法有高级认证标准( a e s ) 和当时密钥集成协议 ( t e m p o r a li n t e g r i t yp r o t o c o l ，t k i p ) 等。现在i e e e 8 0 2 1 1 标准中使用的w e p 加密 过于脆弱，而基于r c 4 是由几家重要的密码团体开发的，安全性较高，市场上的 现有设备可以升级到此版本。但从长远来看，采用a e s 力i 密的分组密码是更为安 全的方案，它将替代w e p 和r c 4 。为优化性能，a e s 对硬件要求更高，而且许多 情况下，基于a e s 的加密可能无法升级，因此a e s 将将目标锁定在将来的w i f i 设备上。i e e e 8 0 2 1 x ，t k i p 及基于a e s 的加密构成i e e e 8 0 2 1 l i 新安全标准的主 要部分，目前正由于i e e e 8 0 2 1 1 工作任务组i 制订，该小组曾经负责制订 i e e e 8 0 2 1 l b 和i e e e 8 0 2 1 l a 标准，预计2 0 0 4 年i e e e 8 0 2 1 l i 标准将得到批准。 表2 18 0 2 1 l 系列标准 8 0 2 1 18 0 2 1 l a8 0 2 1 l b 8 0 2 1 l g 8 0 2 1 1 i 发布时间1 9 9 7 1 9 9 9 使用频率2 4 g h z5 g h z 最高速率2 m b p s5 4 m b p s 兼容性一 使用距离1 0 0 m 业务数据 不兼容8 0 2 1 l b 1 0 - 1 0 0 m 语音数据图像 物理层一使用0 f d m 2 0 0 02 0 0 32 0 0 4 2 4 g h z2 4 g h z2 4 g h z 11 m b p s 5 4 m b p s5 4 m b p s 在2 1 m b p s 兼容与8 0 2 1 1 a 和与8 0 2 1 l g 兼 8 0 2 1 18 0 2 1 1b 兼容容 10 0 3 0 0 m15 0 m - - - 数据图像语音数据图像语音数据图像 使用c c k 、0 f d m 使用c c k 、 使用c c k 的d d s支持p b c c 0 f d m 速率高、保密 优点一速率高频干扰少技术成熟，版本底传输速率高性高 缺点一成本高速率低，频干扰大频率干扰大 认证复杂 使用情况很少未普及使用广泛使用广泛 普及当中 认证一w e c a ( w i f i 5 ) w e c a ( w i f i )一上层认证 2 1 28 0 2 11 无线局域网的拓扑结构 8 0 2 1 1 无线局域网支持两种：基于p 2 p 的无线网络和基于a p 的无线网络的 拓扑结构：现就这两种不同的网络结构作以下说明： 基于p 2 p 的网络结构 基于p 2 p 的网络也称为a dh o c 网络、无a p 网络，这种模式下的网络不需 6 湖北工业大学硕士学位论文 要a p 就可以实现，移动的站点和无线接入点对等的直接通信，无中心拓扑的无 线网络要求网中任意两点均可以直接通信。 采用这种拓扑结构的网络一般使用在公共的广播通道上，各自的站点都可使 用，而信道接入协议( m a c ) 一般采用c s m a ( 载波检测多址接入) 类型的多址接 入协议。 基于有中心的网络结构 基于有中心( h u b - b a s e d ) 网络结构，又称为基于a p 的网络结构。接入点与 蜂窝网络中的基站有点相似，可以看作是将i e e e 8 0 2 1 1 网连接到有线骨干网的 网桥。与a dh o c 网络不同，基本结构网络通过接入点( a p ) 而建立。接入点通 过提供多个基本业务群互连的连接点来进行扩展通信的范围，形成扩展业务群。 要求一个无线站点充当中心站，所有的站点对网络的访问进行控制。这样，当网 络业务量增大时网络的吞吐性能时延将不断的恶化但是不剧烈。由于每一个站点 只需在中心站覆盖范围之内就可以与其通信，所以网络的中心站布局受环境限制 也很小，另外中心站为接入有线主干网络提供了一个逻辑的接入点。 基于a p 的网络中，该结构是有线网络的扩展。至少有一个a p ，所有的移动 终端之间与有线网络之间的通信都通过a p 。可以通过设置多个a p 来扩展无线覆 盖范围，并允许移动终端在不同的的a p 之间能够漫游。这种网络还可以引出类 似的网络结构。例如a p 和a p 之间通过无线相连。 有中心网络拓扑结构的弱点是抗毁性差，中心点的故障容易导致整个网络瘫 痪，而且中心站点也增加了网络成本。在实际的应用中，无线网一般与有线网络 一起结合来使用，这个时候，中心的站点就是从充当了与有线网络一样的主干网 中的转发器。 2 2 无线局域网安全机制 2 2 1w e p 加密机制安全性分析及缺点 w e p 1 ( w i r e de q u i v a l e n tp r i v a c y ) 是所有经过w i - f i 认证的无线局域网 所支持的一项标准，它主要利用4 0 位加密密钥有效地保护网络。w e p 是i e e e 8 0 2 1 1 标准规定的另外一种加密方案，它提供了一种保护w l a n 数据流安全的机 制，w e p 的加密和解密使用相同的密钥和算法。它是由i e e e8 0 2 1 1 标准中定义 的一种可选的无线加密方案。虽然是可选的，但是w e c a 要求所有w i - f i 认证的 产品都必须支持w e p 。w e p 是所有经过w e c aw i - f i 认证的无线局域网所支持的一 项标准功能，一部分运营商使用软件的方法来实现计算密集的加密和解密计算， 7 湖北工业大学硕士学位论文 l i _ _ _ _ _ _ _ _ _ _ _ _ _ - ，曼_ 曼! ! ! ! ! ! ! ! ! ! ! ! 曼- _ 鬯! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 曼! ! 曼 而其他的运营商则采用硬件加速器来最小化加密和解密数据流的运算量。 v v e p 协议采用流密码算法r c a 作为加密算法，2 4 位比特初始向量( ) 与 4 0 或1 0 4 比特密钥串联后作为r c a 的加密密钥。将循环冗余效校验码( c r c ) 加密后作为数据包的完整性校验码( i c v ) ，如图2 1 表示的是w e p 的数据帧格 式。 图2 1w e p 的数据帧结构 w e p 所使用的加密算法是基于r c a 的序列密码，一般使用6 4 位的密钥。 其密钥长度是可变的，密钥的构成是由共享密钥与直接连结构成的。 w e p 可以提供3 种安全： 存取控制：存取控制能够保护对无线局域网络的访问。对于所有没有通 过w e p 加密的数据包都要丢弃。 数据完整性：通过校验和方式保证数据不被修改。 机密性：通过机密性来防止对无线数据的非法窃听，机密性是w e p 协议 的首要任务。 w e p 加密需要的信息如下： 由于在加解密中要防止使用固定密钥，所以要在密钥中加入一个 2 4 b i t s 的初始向量，并借此来打乱加密密钥的组合。 由于w e p 采用的加密方式为对称加密方式，因此信息的发送方与接受方 必须要持有相同的密钥。根据i e e e8 0 2 1 l 标准，w e p 加密密钥的长度 应该为4 0 b i t s 或者1 2 8 b i t s 。 加解密双方必须要使用相同的加解密算法，在w e p 协议中使用的是r c 4 算法和x o r ( 异或) 操作。 w e p 采用共享密钥方式，用户的加密密钥必须与a p 相同，并且一个服务集 8 湖北工业大学硕士学位论文 内的所有用户都共享一个密钥。4 0 为w e p 具有很好的互操作性，所有通过w i - f i 组织认证的产品都可以实现w e p 互操作。 w e p 是用于提供对等的机密级别协议在设计当初并不像i p s e c 协议一样用 于提供网络安全，w e p 的目标是通过加密无线电波来提供安全保证。 w e p 加密算法的特征： 尽管完整性算法提供了完整性检查值，但纯文本消息仍在使用。i e e e 8 0 2 11 标准规定了c r c - 3 2 口1 校验技术在无线局域网中的使用，在纯文 本消息的最后附加了完整性检查值。 2 4 位的初始向量( i v ) 后面是加密密钥，w e p 的伪随机数生成器( p r n g ) 用它产生种子密钥值。明文形式的初始向量被附加到保护帧之后一起被 发送，i v 的作用是延长密钥的生存周期。 伪随机数生成器用来产生密钥序列。 数据通过与密钥序列的异或操作来完成加密。 算法与密钥过程可以被很容易地猜测。 w e p 的实现和使用可以作为基于i e e e8 0 2 1 1 b 协议的一个可选项。 w e p 算法提供的安全性取决于采用野蛮攻击方法来破解密钥的难度，也 就是要取决于密钥长度和改变密钥的周期。w e p 允许改变密钥和频繁改 变i v 。 w e p 协议将数据帧的实体内容进行加密，被加密之后的帧实体将被用来替换 原有的数据帧实体，并以此组成的新的数据帧，然后将加密之后的数据帧发送出 去。w e p 协议的目的就是要提供一种与有线局域网具有共同的或者类似安全级别 的加密保护。加密数据帧控制域的加密控制位被置位，接收端则根据加密控制位 判断收到的数据帧是否已被加密。如果收到的数据帧已被加密，则采用与发送端 相同的算法和密钥对收到的数据帧运行解密。如果解密成功，接收端将解密后的 数据帧上传给协议栈更高层。 w e p 数据加密 w e p 协议是依靠共享密钥来实施对数据帧保护的。对于i e e e8 0 2 1 1 b 以外 的实体，w e p 机制是透明的。如果用m 表示最初的消息，用p 表示m 和校验核c ( m ) 连接而成的明文，用c 表示在链路层上传输的密文。链路层数据帧的加密 过程包括如下的三个阶段： 校验和计算：首先根据消息m 的内容计算完整性校验向量的c ( m ) ，然 后将c ( m ) 和消息m 链接成明文p = 。需要注意的是c ( m ) 和明文p 的产生并不是依赖共享密钥k 。 数据加密：在这一阶段中我们利用r c 4 算法来对明文进行加密。首先选 9 湖北工业大学硕士学位论文 择一个初始化向量v ，由v 和共享密钥k 经过r c 4 算法生成密钥流，用r c 4 表示 密钥流。然后将明文和密钥流相异或得到密文。c = p o r c 4 ( v ，k ) 数据传输：最后，将i v 和密文通过广播链路进行传输。 可用如下过程来表示：a b ：v ，c = p o r c 4 ( v ，k ) 其中p = 解密过程即是加密的反过程。首先，要生成密钥流r c 4 ( v ，k ) ， 并将它和密文进行异或得到原始的明文 p = c o r c 4 ( v ，k ) = ( p o r c 4 ( v ，k ) ) o r c 4 ( v ，k ) = p 然后，接收方把解密后的明文p 分解成 ，并在计算校验和 c ( m ) ，比较c ( m ) 和收到的校验和c 是否一致，这样就可以保证只有 具有有效校验核的数据才能被接收端所接收。 在w e p 加密算法中，在该算法中有一个8 x 8 的代替盒：分别为s 。、s 。、s ：、 s 。所有项都是0 到2 5 5 的置换，并且所有置换都是一个密钥长度可变的函数。 w e p 算法的伪随机序列生成算法是一个非常重要的问题。i e e e8 0 2 1 1 加密算法 的伪随机序列生成算法采用的是r s a 公司的r c 4 算法，r c 4 算法是一种经典的对 称密钥算法。r c 4 加密算法以输出反馈模式的加密方式进行工作，在其中有两个 计数器：分别以i 和j 来表示，并且这两个计数器的初值均为o 产生一个随机 字节的过程如下所示： i = ( i + 1 ) m o d 2 5 6 j = ( i + s i ) m o d 2 5 6 s w a p ( s i ，s j ) t = ( s i ，s j ) m o d 2 5 6 k = s 。 字节k 就是前面所说的密钥序列。2 5 6 个代替盒需要进行初始化。在初始化 的过程中，首先进行线性填充：i 要从1 到2 5 5 ，使s i ：i 。然后用密钥填充另外 一个2 5 6 字节的数组，不断重复密钥填充到整个数组中：l ( o 、k 。、k ：、k ：；然 后进行下列运算： f o r ( i = o ，j = 0 ；i + + ；i 2 5 5 ) j = ( j + s l + k i ) m o d 2 5 5 ： s w a p ( s i ，s j ) ) 1 0 湖北工业大学硕士学位论文 异或 明文 i 消息c r c 校验 i + _ 传输数据一 图2 2w e p 算法加密的数据包 首先要得到与数据包附着在一起的i v 。 将i v 与密钥进行r c 4p r n g 运算，进而得到对该数据包进行加密的密钥。 将该封装数据包资料与上一步得到的加密密钥进行x o r 操作，得到原始 明文。 通过c r c 校验方法对数据完整性进行校验。 2 2 2 认证机制安全性分析及缺点 i e e e8 0 2 1 1 b 定义了两种认证方式咖：一种是开放形式的系统身份认证，另 一种是共享方式的系统身份认证。每个用户都必须配置上述两种认证方式中的一 种，并且该配置应该和它想要连接的接入点的认证方式相匹配。 开放认证是一种默认的认证方式，开放系统认证的实质就是一个值为空的认 证算法。如果站点的认证属性被设置为开放系统认证，那么与该站点进行通信的 任何站点的认证请求都会得到确认；整个认证过程是一种完全透明的状态下进行 的，用户可以和接入点相连，即使被认证用户不提供正确的w e p 密钥也能通过系 统的认证。当某个站点拒绝与其他任何站点进行认证时，则与该站点进行通信的 开放认证请求都不会成功。在这种方式中，接入点会对空白的s s i d 给出回应， 回应的内容则是该接入点的s s i d 。任何人都可以取得s s i d ，并且与接入点进行 连接。也就是说这种方法没有任何的安全认证措施。 在无线局域网领域中的另外一种认证方式是共享密钥认证，共享密钥认证帧 交换过程将发送测试内容及被加密的测试内容，以方便未授权s t a 发现用于帧交 换的k e y i v 对。在该认证方式中，既支持己知密钥情况下对站点的认证，也支 持不知道密钥情况下的认证。只有当站点的d o t l lp r i v a c yo p t i o ni m p l e m e n t e d 属性值为“真”的情况下，该站点才可以发起共享密钥认证。 湖北工业大学硕士学位论文 共享密钥方式的身份认证是指直接入点向用户发送一个数据包，用户必须使 用正确的w e p 密钥进行加密并将它返回给该接入点，如果用户使用了错误的密钥 或者根本没使用密