（通信与信息系统专业论文）无线局域网系统安全技术研究、应用与实现.pdf

摘要 众所周知，无线局域网中的认证加密机制并不能够为无线用户提供足够 的安全保护。因此，自无线局域网开始商业应用之时，安全问题就成为了限 制其进一步发展的主要制约因素。许多潜在的用户对于无线局域网技术所带 来的灵活性十分感兴趣。但却由于不能够得到可靠的安全保护而对是否采用 无线局域网系统犹豫不决。 针对目前无线局域网安全性能差的现状，本文在比较分析众多的无线局 域网安全机制后，提出并实现了e a f t l s 双向认证和动态密钥机制，从而提 高了无线局域网的安全性能。后面还将对针对无线局域网制定的w a p t 国家安 全标准进行分析说明，并在实现中可能会遇到的问题进行分析，从而提出 些建议和改进。 在本文中，我们主要对无线局域网中的安全关键技术进行了深入的研究 分析和比较，主要的成果如下： 1 )对国际上流行的标准进行了深入的分析比较，包括i e e e 8 0 2 1 l i 标准草案以及相关的认证技术，密钥管理技术等方面的协议。 2 )根据相关的技术提出了可选的解决方案，给出在不同情况下运用 不同的组网方式，从而达到所需要的安全需求。 3 )在前面分析的基础上，针对不安全的简单认证和预共享密钥技 术，提出选择e a p t l s 认证过程，并对其进行了应用实现。 4 )对国标w a p i 进行了分析说明，并且提出了一些改进的建议，对 其实现应用上的一些问题进行了分析。 5 )讨论了无线局域网的互联互通上的安全问题，分析了无线局域网 与3 0 互通下的安全认证的实现机制，并展望了无线局域网的发 展趋势。 关键词：无线届域丽安全认证数据加密 a b s t r a c t a sw ea l lk n o wt h a tw e p e n c r y p t i o nm e c h a n i s mc a nn o tp r o v i d es u f f i c i e n t s e c u r i t yp r o t e c t i o nf o rw i r e l e s ss u b s c r i b e r s s ot h es e c u r i t yp r o n e mb e c a m et h e r e s t r i c t i o nf o rw l a nt og of u r t h e rj u s t8 t h eb e g i n n i n go fi t s a p p l i c a t i o ni n c o m m e r c e m a n yp o t e n t i a l u s e r sa r ei n t e r e s t e di nt h e a g i l i t y c fm ew j ，a n t e c h n o l o g y , b u tt h e y a r eh e s i t a n tt ou s e 丑f o rt h er e a s o no f i n s e c u r i t y s i n c et h e p o o rs i t u a t i o n o ft h e s e c u r i t y o fw l a ns y s t e m ，a f t e r h a v i n g a e a 】_ y z e dm m n ys e c u r i t y m e c h a n i s m s 。w ed e c i d et o i m p l e m e n te a p - 1 1 l s ：o i m p r o v et h es e c u r i t y t e v df o ri t s t w o w a y a u t h e n t i c a t i o na n d d y n m m i ck e y m e c h a n i s m s 。i ne e do ft h ep a p e r w ea l s og i v es o m ea n a l y s e so rw a p lf w l a n a u t h e n t i c a t i o na n dp r i v a c yi n f r a s t r u c t u r e ) w h i c hi san a t i o n a js t a n d a ：df o ? w l a n s e c u r i t y s o m es u g g e s t i o n sa n di m p r o v e m e n t sw i l lb eg i v e n i nt h i sp a p e r , w ew i l im a i n l yd i s c u s st h e k e ys e c u r i t yt e c h n o l o g i e so fw l a n s y s t e m a n da l s o s o m ea n a l y s i sa n dc o m p a r i s o no ft h et e c h n o l o g i e sw i l lb e p r o v i d e d t h em a i n l y r e s e a r c hr e s u l t sa r cl i s a sf o l l o w s i ) s o m ep r o t o c o l sh a v eb e e na n a l y z e dd e e p l y ，i n c l u d i n gi e e e 9 0 2 1 l i d r a f ta n ds o m eo t h e r p r o t o c o l s r e l a t e dt oa u t h e n t i c a t i o na n dk e y m a n a g e m e n t 2 1i nt h ep a p e rs o m es e c u r i t ys o l u t i o n so fw l a n s y s t e mh a v eb e e n p r o v i d e d t h e ya l es u i t a b l ef o r d i f f e r e n ts i t u a t i o n 3 ) b e c a u s eo ft h e g o o dp e r f o r m a n c e o ns e c u r e a u t h e n t i c a t i o n ，t h e e a p t l sp r o t o c o li sc h o s e nt ob e i m p l e m e n t e d ， 4 、w ea l s o g i v e s o m ea n a l y s e so nw a p i ( w i r e da u t h e n t i c a t i o na n d p r i v a c yi n f r a s t r u c t u r e ) w h i c h i san a t i o n a ls t a n d a r df o rw l a n s e c u r i t y s o m es u g g e s t i o n sa n di m p r o v e m e n t s w i l lb eg i v e n 5 )s o m es e c u r i t yp r o b l e m sa b o u tr o a m i n gb e t w e e nw l a na n d3 ga r e a l s od i s c u s s e d w eh a v ea n n y z e dt h ei m p l e m e n t a t i o nm e c h a n i s m ，a n d g i v es o n i cg l i m p s e o nt h ee v o l u t i o no f t h ew l a n s y s t e m t g e y w e e d a a w l a n ；s e c ：i 时；a 驵c 陆。皿b i e n 雠 皿；d a t ae n o 呵庐蜘。吐 创新性声哟 y 5 r 3 8 0 0 本人声明所旱交的论文是我仓人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谫 中所罗列的内容以外， 论文中不含有其他人已经发表或撰写的研究成果；也不包含为获得西安电子 科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同 志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：倪涩、日期2 盈笙。f ：翌= 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学和实 习单位中兴通讯股份有限公司。本人保证毕业离校后，发表论文或使用论文 工作成果时署名单位仍然为西安电子科技大学和中兴通讯股份有限公司。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的 全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密 的论文在解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名 ：= j 渺幺，、护 第一章绪论 第一章绪论 。l引言 近几年来，随着我国宽带接入网建没热潮的涌现，在各种宽带接入技术中； 无线宽带接入技术异军突起，呈现出加速发展的趋势。其中，无线局域网技术在 我国由于特定的原因，更日渐成为运营商关注的焦点，相关设备市场成为制造商 争夺的热点。据有关专家预测，无线局域网接入市场的规模数以百亿元计。 由于全球电信业从发展的高峰陷入低谷，特别是欧洲3 g 牌照拍卖导致运营 商债台高筑，3 g 在全球商用化的步伐明显延迟。数以干亿美元计的高额建设费用 令多数国家对3 g 商用进程持观望态度。而宽带数据需求，特别是局部热点区域 如酒店、机场、商业区等对宽带数据业务的需求却持续高涨。在3 g 可望而不可 及的情况下，作为3 g 的补充和眼前切实可行的技术方案，无线局域网接入成为 更加现实的选择。 自8 0 2 ，1 j 标准规范推出以来，i e e e 又相继推出了8 0 2 1 l b 、8 0 2 1 l a 、8 0 2 1 l g 等新版本。由于部署灵活且具有较高的数据传输能力，无线局域网所能提供的游 牧移动服务，更适合在商务人士集中的机场、酒店、会议中心等人口密集的热点 地区应用。与有线接入手段相比，无线局域网具有投资省、建设部署快、能快速 开展业务、运营维护费用低、便于根据需要进行扩展等不可比拟的优势。 但是，作为一种迅速兴起的新技术，不可否认，无线局域网接入并非十全十 美、毫无瑕疵。无线局域网的标准统一问题、设备的互通性问题、安全性问题、 业务类型问题、盈利模型问题等等，始终在困扰着它的顺利发展。其中，安全性 问题是这些困扰当中最关键的问题之一。 本章将首先简要介绍无线局域网的系统应用状况，然后概述其系统安全的发 展状况以及趋势，最后是论文的主要工作和章节安排。 l 。2 无线局域网系统简介 无线局域网是指以无线信道作为传输媒介的计算机局域网络( w i r e l e s sl o c a l a r e an e t w o r k ；简称无线局域网) ，是在有线网的基础上发展起来的，使网上的计 算机具有。t 移动性，能快速、方便地解决有线方式不易实现的网络信道的近通问 题。 无线局域网具有以下特点： 2 一 无线局域网系统安全技术研究、应用与实现 。可移动性，不受布线接点位置的限制： o 数据传输速率高，大于i m b p s ： o 抗干扰性强，能实现很低的误码率： c 保密性较强，可使用户进行有效的数据提取，又不至于泄密： 。高可靠性，数据传输几乎没有丢包现象产生： o 兼容性好，采用载波侦听多路访问冲突避免( c s m a c a ) 介质访问协议， 遵从i e e e8 0 2 3 以太网协议。与标准以太网及目前的几种主流n o s ( 网络 操作系统) 完全兼容，用户已有的网络软件可以不做任何修改在无线网上运 行； o 快速安装，无线局域网的安装工作非常简单，它无需施工许可证，不需要 布线或开挖沟槽，安装时问只是安装有线网络时间的零头。 1 9 9 7 年6 月，i e e e 发布了针对无线局域网的8 0 2 1 1 标准，这是一个开放的 标准。该标准除了介绍无线局域网的优点及各种不同性能外，还使得各种不同厂 商的无线产品得以互联。另外，标准使核心设各执行单芯片解决方案，降低了采 用无线技术的造价。i e e e8 0 2 1 1 中规定了统一的m a c 协议、r f 收发器和红外 线收发器的物理层接口，各厂商的产品在同一物理层上可以互操作，而逻辑链路 控制层( l l c ) 是一致的，即m a c 层以下对网络应用是透明的。在m a c 层以下， i e e e8 0 2 1 l 又规定了三种发送及接收技术：两种采用射频技术，即扩频技术和窄 带技术；另一种是红外技术，用红外光来传输。 2 0 0 0 年8 月，i e e e8 0 2 1 1 标准得到了进一步的完善和修订，另外，还增加 了两项新内容：i e e e8 0 2 1 1 a 一它扩充了标准的物理层，规定该层使用5 g h z 的频 带。该标准采用正交频分调制数据，传输速率范围为6 5 4 m b p s 。这样的速率既 能满足室内的应用，也能满足室外的应用。i e e e8 0 2 i i 它是i e e e8 0 2 “标准 的另一个扩充，它规定采用2 4 g h z 频带，调制方法采用补偿码键控( c k k ) 。c k k 来源于直序扩频技术，多速率机制的介质访问控n ( m a c ) 确保当工作站之间距离 过长或干扰太大、信噪比低于某个门限值时，传输速率能够从1 1 m b p s 自动降到 5 5 m b p s ，或者根据直序扩频技术调整到2 m b p s 和lm b p s 。 随着无线i e e e8 0 2 1 l 标准开始深入人心，各i c 制造商开始寻求为以太网平 台提供更为快速的协议和配置。丽蓝牙产品和无线局域网( 8 0 2 1 1 b ) 产品的逐步应 用，解决两种技术之间的干扰问题显得日益重要。为此，i e e e 成立了无线l a n 任务工作组，专门从事无线局域网8 0 2 1 l g 标准的制定，力图解决这一问题。 8 0 2 1 1 2 其实是一种混合标准，它既能适应传统的8 0 2 1 l b 标准，在2 4 g h z 频率 下提供每秒l 】m b i t s 数据传输率，也符合8 0 2 1 1 a 标准在5 g h z 频率下提供 5 6 m b i t s 数据传输率。除此以外h o m e r f 和h i p e r l a n 等类型的无线局域网系统。 i e e e8 0 2 i l 标准的有线等价保密性( w e p ) 选项仅仅是满足用户安全需求的 第一章绪论 第一步，当w e p 激活时，每一个站点( 包括用户和接入点) 都有四个密钥，这些密 钥用于在数据通过广播频率传输之前加密数据。如果站点接收到用不正确的密钥 加密的信息包，那么该信息包将会被丢弃，不再传送给主机。 无线局域网的其他相关标准：i e e e8 0 2 1 l e 、d 和h 是处理特殊的规定和组网 等内容；i e e e8 0 2 1 1 e 处理一些对时间敏感的业务，如语音和电视：i e e e8 0 2 1 l f 涉及支持漫游的接入点的通信：i e e e8 0 2 “i ( 草案) 涉及先进加密标准( a e s ) ， 支持更强的保密需求。无线局域网的应用范围非常广泛，如果其应用划分为室内 和室外的话，室内应用包括大型办公室、车间、智能仓库、临时办公室、会议室、 证券市场；室外应用包括城市建筑群间通信、学校校园网络、工矿企业厂区自动 化控制与管理网络、银行金融证券城区网、矿山、水利、油田、港口、码头、江 河湖坝区、野外勘测实验、军事流动网、公安流动网等。 1 。3 无线局域网安全现状与发展趋势 随着无线局域网技术在全球的发展如火如荼，其中的安全问题也随之暴露的 越来越明显，并且已经成为阻碍无线局域网发展的关键性问题。信息安全问题此 时已经不能再作为“花瓶”而存在了。 和有线网络一样，安全性也是无线网络追求的最终效果之一，用户自然十分 担心这个问题。与有线网络相比。无线网络面临的安全风险更大。安全问题更多。 这是因为，无线网络除了需要解决有线网络中需要解决的所有安全问题之外，还 需要解决那些由于无线网络自身特点所带来的新的安全问题。例如，在有线网络 中，线缆可以看作一道物理上的“边界”，攻击者如果连接不上网络线路，就无从 获得网络上的信息。而在无线网络中，信息是通过无线电波的发射传送的，任何 人都有可能获取网络信息。另外，由于无线通信设备一般具有较小的计算能力、 存储能力、电源保障能力，而且容易被丢失。等等特点，所以无线局域网中存在 的安全问题更具有独特性和复杂性。 目前，无线局域网络产品主要采用的是i e e e s 0 2 1 l b 国际标准。8 0 2 1 1 标准 主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为s s i d ( s e r v i c es e ti d e n t i f i e r ) 技术，该技术可以将一个无线局域网分为几个需要不同身 份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用 户力可以进入相应的子网络，防止未被授权的用户进入本网络；第二项为m a c ( m e d i aa c c e s sc o n t r 0 1 ) 技术，应用这项技术，可在无线局域网的每个接入点 ( a p ，a c c e s sp o i n t ) 下设置一个许可接入的用户的m a c 地址清单，m a c 地址 不在清单中的用户，接入点( a c c e s sp o i m ) 将拒绝其接入请求：第三项为w e p ( w i r e d e q u i v a l e n tp r i v a c y ) 加密技术，w e p 安全技术源自于名为r c 4 的r s a 数 无线局域网系统安全技术研究、应用与实现 摒加密技术，以满足用户更高层次的网络安全需求。 这些技术已发展成熟并得到了充分应用。例如英特尔公司在去年推出的 1 1 m 比s 无线l a n 产品系列，就全面支持w e p 的密码编码功能，用最长1 2 8 b i t 的密码键对数据进行编码后，在a p 适配器上进行通信，密码键长度可选择4 0 b i t 或1 2 8 b i t 。利用m a c 地址和预设网络d 来限制哪些网卡和接入点可以连入网络， 完全可确保网络安全。对于那些非法的接收者来说，截听无线局域网的信号是非 常困难的，从丽可以有效防止黑客和入侵者的攻击。此外，目前已广泛应用于局 域网络及远程接入等领域的v p n ( v i r t u a lp r i v a t e n e t w o r k i n g ) 安全技术也可用于 无线局域网络，与t e e e 8 0 2 1 1 b 标准所采用的安全技术不同，v p n 主要采用d e s 、 3 d e s 等技术来保障数据传输的安全。v p n 不属于无线局域网的技术范畴，可以 作为一种增强型网络安全解决方案，在个公用i p 网络平台上通过隧道以及加密 技术柬保证机密数据的网络安全。v p n 采用了多种安全机制，如使用i p s e c 规范 以确保只有授权用户能访问网络，数据也不会被截取，其中无线接入点只需简单 配置就可以支持开放访问，而无需任何w i s p 加密。对于安全性要求更高的用户， 专家建议，将现有的v p n 安全技术与i e e e 8 0 2 1 l b 安全技术结合起来，是目前较 为理想的无线局域网络的安全解决方案。目前，在能够达到强安全性的i e e e 8 0 2 1 1 i 标准还未推出的情况下，很多公司为- r a n 强安全保障，已经开始在移动通 信设备上使用v p n 技术。但是由于v p n 的成本高、实现复杂等缺点，这种方案 并不适合所有用户采用。 随着越来越多厂商开始忧虑w e p 的使用所带来的安全漏洞，这就使得关于 无线局域网的安全协议草案推陈出新，但是一直都没有定论。在市场迫切需求的 大力推动下，各个厂商也已经按耐不住，纷纷提出自己的基于i e e e 8 0 2 1 l i 草案 的安全解决方案而将其安全产品推向市场。其中最为主要的就是w i f i 联盟所提 出的w p a ( w i f ip r o t e c ta c c e s s ) 安全标准。但是这个标准也只是在p r e r s n ( r o b u s ts e c u f i t yn e t w o r k ) 向r s n 网络过渡时期所应用的。i e e e8 0 2 1 1 i 草案中 主要的诸如安全的b s s 、安全快速的切换、安全的断开认证和连接、和增强的加 密协议如a e s c c m p 等都没有在w p a 里实现。这些功能要么是还没有作好推向 市场的准备( 没有市场需求) ，要么是需要硬件的升级来实现。i e e e8 0 2 1 l i 规范 预计将在年底公布。w i f i 联盟又提出w p a 2 的概念，w p a 2 将会保留w p a 授权 与加密用户密钥管理特色，并增加更强的a e s 架构加密技术。不过要特别值得一 提的是，w p a 2 的升级途径将会受限于基于集成加密引擎的无线芯片组的产品。 所以，从各方面来看，这意味着当整个升级行动开始的时候，只有8 0 2 1 l b g 和 第一章绪论 a b g 产品能够升级为w p a 2 。未来的无线局域网安全解决方案还应该是按照i e e e 8 0 2 1 1 i 标准的r s n a 安全网络来建设，估计i e e e8 0 2 1 1 i 标准将在2 0 0 4 年初正 式发布。 8 2 。韭韭豆!留pa 8 牡2 丑丑诅亩 g b b s s 正面s s 硬甜瘟芷 口矿t m 湛也h 蛳t 盂审q 焉i 母o 密镯堪：最 血亨m 五口叮埘。霉丑b 矿， 毫 蝴管5 酲 蕊口i 口t m o 帮p a 蜘密峨i 证协离 ( c i 擘弧e 廿m 雌d 舡m k 丑也i a i 乜i 啦 p c i l 娃n ， c c 同妒 盔嚼溘驴 图1 3 1 l e e e8 0 2 1 l i 与w p a 功能比较 面对无线局域网在国内的迅速推广以及安全问题越来越突出的现实，国家给 出了一些相关政策鼓励国内科研部门和企业加强对无线网络安全问题的研究。例 如，在2 0 0 0 年，国家“8 6 3 ”计划发布第一批信息安全领域的课题时，就把“无 线网络安全技术”作为重点资助课题列了进来。在之后的第二批和第三批课题中， 仍然将“无线网络安全技术”作为重点课题，并且逐年大幅度增加了资助额度。 在国家重大基础研究计划“9 7 3 ”项目中，也把无线网络安全研究当作信息安全领 域的一个重要组成部分加以资助。在最近召开的国家信息安全标准化工作会议上， 也把无线p k i 等无无线安全技术标准当作优先需要制定的标准。 2 0 0 3 年5 月无线n n n ( 无线局域网) 两项国家标准正式颁布，其中名为w a p i ( 无线局域网a u t h e n t i c a t i o na n dp r i v a c yi n f r a s t r u c t u r e ，无线局域网鉴别与保密基 础结构) 的无线局域网国家标准是针对i e e e s 0 2 1 1 中w e p 协议安全问题，经多 方参加，反复论证，充分考虑了各种应用模式而制定的新的安全机制。本方案已 由i s o i e c 授权的机构i e e er e g i s t r a t i o na u t l l o f i t y ( i e e e 注册权威机构) 审查并获 得认可，分配了用于w a p ! 协议的以太类型字段，这也是我国目前在该领域惟一 获得批准的协议。 w a f i 的特点： ( 1 ) 全新的高可靠性安全认证与保密体制，更可靠的二层( 链路层) 以下安 无线局域网系统安全技术研究、应用与实现 全系统，完整的“用户一接入点”双向认证，集中式或分布集中式认证管理，证书 一密钥双认证，灵活多样的证书管理与分发体制，可控的会话协商动态密钥，高 强度的加密算法，可扩展或升级的全嵌入式认证与算法模块，支持带安全的越区 切换。 ( 2 ) 支持s n m p 网络管理，完全符合国家标准，通过国家商用密码管理部 门安全审查，符合“国家商用密码管理条例”。 ( 3 ) 值得一提的是，w a p i 还充分考虑了市场应用。从应用模式上分为单点 式和集中式两种：单点式主要用于家庭和小型公司的小范围应用：集中式主要用 于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无 线应用平台。采用w a p i 可以扭转目前无线局域网采用多种安全机制并存且互不 兼容的现状，较好地解决安全问题和兼容性问题。 越来越多的分析表明，如果无线局域网不尽快解决以安全为首的应用瓶颈， 将错过市场拓展的黄金时代，并面临新的宽带无线技术的有力挑战。正是看到无 线局域网在安全和产业配套等问题上的种种问题，w t r s 公司大胆的预测超宽频 带( u w b ) 最终将击败当前的w i - f i 无线连网标准，并使蓝牙技术退出历史舞台。 如果w t r s 公司的预测全都变为现实，那么啪f i 在今后几年内的发展前景将很 难预料。甚至风头正劲的无线局域网产业联盟w i f i 组织的地位也将接受以英特 尔为首的w i m a x ( 全球微波接入互操作性论坛) 的挑战，英特尔投资公司的战 略投资总监s f i r a mv i s w a n a t h a n 对此直言不讳：“如果说8 0 2 1 1 是第一个打破市场 格局的关键，那么8 0 2 1 6 就是下一个”。 可喜的是我们已经看到了许多安全标准的形成，并产生百家争鸣的现状，这 对无线局域网的顺利推广是有利无害的。但是随着无线局域网网络的迅速发展， 针对无线局域网进行的攻击手段也越来越高明，并向着多样化，复杂化的方向发 展，以至于难于应付解决。提出的解决方案也层出不穷，但是一个有着安全性， 稳定性，以及在商用实现上的可行性三方面紧密结合的产物还有待研究发现。 l 。4 本论文内容安排 本文主要对无线局域网系统安全中的关键技术和相关技术进行了比较深入的 研究分析比较，也给出了在一些情况下比较适台的组网方式；由于本文主要讨论 的是无线局域网系统安全接入认证以及密钥的动态管理技术，并针对安全可靠性 选择对e a p t l s 认证进行实现；同时对国标w a p i 进行了分析，并给出了一些建 议改进；在最后对无线局域网与3 ( 3 互通进行了分析，并对无线局域网的发展方 向进行了分析说明。因此具体的文章安排如下： 。 第一章绪论部分为引入无线局域网的系统安全概念，首先介绍了无线局 第一章绪论 7 域网的相关基本知识和发展状况，然后阐述了无线局域网系统安全在其 发展当中发挥的作用以及目前世界连同国内在无线局域网系统安全方面 所做的工作，揭开论文的序幕。 。 第二章从接入安全认证技术入手，主要分析了i e e e8 0 2 1 1 标准规定的认 证方式的缺陷，并分析比较了国际上现行的安全认证技术，得到e a p t l s 认证技术的安全可行的结论。 o 第三章讨论了在安全认证后需要进行的密钥动态管理过程，清楚的整理 出整个密钥协商、分发和推演的步骤，分析了在i e e e 8 0 2 1 1 i 草案版本升 级中对密钥协商推演过程的改进，从而提高了安全性以及效率等。 。 第四章结合各种认证加密等技术，为达到不同级别的安全需求设计了 些可选的方案。 。 第五章在比较分析认证技术的安全性能以及可行性等诸多方面后选择对 e a p t l s 进行实现，主要叙述了实现的背景、软件功能、流程以及开发 环境等方面。由于本部分内容涉及中兴通讯的利益，某些地方予以回避。 o 第六章对国标w a p i 进行了分析说明，并且提出了一些改进的建议，对 其实现应用上的一些问题进行了分析。 。 第七章对无线局域网在与其他网络( 3 g 、g s m ) 等的互通方面进行了比 较详细的描述，分析了其中的安全技术，对未来无线局域网的发展进行 了展望。 第二章无线局域网系统接入认证技术 第二奄无线硒域硒系统接瓜认证挞恭 2 。l 接入认证技术概述 无线局域网的一大特点就是以无线方式相联的计算机之间资源共享，因此只 要是安装了无线网卡的用户终端就可以接入无线局域网系统，这样以来如何控制 使得只有合法的用户才能接入到系统就成为无线局域网安全得到保证的第一步， 所以必要的认证措施是不可或缺的。 在i e e e8 0 2 1 1 标准中支持两种对用户的认证技术：开放式认证和共享密钥 认证。开放式认证只是要求提供正确的服务集i d ( s s i d ) 。但是根据默认值，a p 在它的信标里广播它的s s d 。即使广播s s i d 被关闭，入侵者或黑客同样可以探 测到s $ i d 。在使用共享密钥认证情况下，a p 向用户发送一个c h a l l e n g e 包，需要 用户使用正确的w e p 密钥加密，并且发送回a p 。这个方法并不安全，当一个黑 客在同时截获了明文c h a l l e n g e 和同一个使用w e p 密钥加密了的c h a l l e n g e 就可以 解密出密钥。另外还有一种认证方式就是a p 可以对无线网卡在生产时烧入的唯 一的m a c 地址进行认证。这种情形下一是比较复杂，每一个a p 都需要接入这 样一个用户列表，二是即使可行，m a c 地址同样可以伪造或者网络接口卡( n i c ) 可能丢失或者被盗，这样的无线局域网将不再安全。但是上述认证方式适用于安 全需求不太高的场合，如家庭、学校等。所有其他企业、组织或者政府的无线局 域网系统必须使用强的企业级的安全认证方案。 由于i e e e8 0 2 1 l 规定的简单接入认证技术已经不能满足目前无线局域网系 统的接入安全需求，因此一些原来应该于有线网安全认证的技术被引用到无线局 域网中来。其中主要包括基于端口的接入控制技术8 0 2 1 x 和扩展认证协议 ( e a p ) ，以及基于它的一些其他应用等等。 p p ? o e 认证方式属于较成熟的应用；8 0 2 1 x 对组播支持能力较强，但用户控 制能力方面较弱，目前尚未大规模商业；w e b p o r t a l 方式则可以实现较多的增值 业务，但需要v l a n 支持，对v l a n 资源消耗较大。p p p o e 出现较早，产品支 持最多；w e b 方式由于无标准，产品实现技术不统一：8 0 2 i x 为新认证方式， 产品支持最少。三种认证技术各有优缺点，需要在实际应用中根据每种技术的技 术特点和实际情况，综合考虑彳。会使宽带城域网发挥应有的效益。在当前发展最 快的是e a p 8 0 2 1 x 认证技术，从它衍生了l e a p ，e a pt l s ，e a t t l s 和p e a p 等认证技术，还有将来向3 g 互通需要的e a p s i m ，e a p a k a 等认证协议。未来 安全的无线局域网解决方案将会使用这些技术。 。j 0 一无线局域网系统安全技术研究、应用与实现 2 。28 0 2 。i x e a p 认证 9 0 2 i x e a p 认证是一个提供集中认证和动态密钥分配架构的无线局域网安 全方法。这个方法是基于i e e e 8 0 2 1 1 任务组“i ”的端到端结构使用9 0 2 i x 和 e x _ f e n s i b l e a u t h e n t i c a t i o np r o t o c o l ( e a p ) 来实现增强的认证功能。8 0 2 1 x e a p 实现 的三个主要的原理有： 1 ) 在用户和认证服务器( r e m o t ea c c e s sd i a l i nu s e rs e r v i c e 【r a d i u s ) 之 间进行双向认证。 2 ) 在认证后动态的获得加密密钥。 3 ) 集中的控制策略，一旦会话超时触发重新认证并且生成新的加密密钥。 在实现了以上特性后，当用户已经与a p 连接时，在没有完全成功的网络登 录的情况下是不可能被提供网络服务的。在建立连接后用户和网络设备( a p 或 者r a d i u s 服务器) 交换e a p 消息进行双向认证，用户对r a d i u s 服务器的秘 密进行证实，反之亦然。e a p 示证者在用户的机器上获得使用者的秘密( 用户i d 和1 ：3 令，用户i d 和o n e - t i m e 口令 o t p 。或者是用户i d 和数字证书) 。在成功的 双向认证的基础之上，r a d i u s 服务器和用户同时生成用户特定的w e p 密钥， 用于用户当前的登录会话。用户口令和会话密钥在无线链路不能以明文传输。 具体流程如图2 2 1 。 。无线用户与a p 建立连接 。 a p 阻止所有用户发起的接入网络资源的请求，直到用户登录网络成功 。 客户机上的使用者借助于e a p 示证请求提供网络注册秘密( 用户i d 和 口令，用户i d 和o n e t i m e 口令 o t p 】，或者是用户i d 和数字证书) o 使用8 0 2 1 x 和e a e 无线客户和有线l a n 上的r a d i u s 服务器通过a p 在两个阶段进行双向认证。在e a p 认证的第一个阶段，r a d i u s 服务器 验证客户秘密，或者反之亦然。在第二个阶段，客户验证r a d i u s 服务 器的秘密从而完成双向认证，或者反之亦然。 。 当双向认证成功完成，r a d i u s 服务器和客户机确定一个区别于其他客户 的w e p 密钥。客户装载这个密钥并且准备用它进行登录网络会话。 o r a d i u s 服务器通过有线l a n 向a p 发送这个w e p 密钥，叫做会话密 钥。 。a p 将它的广播密钥用会话密钥进行加密，并且将其发送给客户，客户接 收到后用会话密钥进行解密。 。 客户和a p 激活w e p 并且使用会话和广播密钥在剩下的会话中对所有的 通信进行加密，直到已经超时，并且有新的w e p 密钥生成。 第二章无线局域网系统接入认证技术 会话密钥和广播密钥以固定的间隔改变。在e a f 认证的最后，r a d i u s 服务器将向a p 详细规定会话密钥的超时，而且广播密钥轮换时间可以 在a f 上进行设置。 图2 2 18 0 2 1 x e a p 认证过程 e a p 认证在基于i e e e8 0 2 1 1 安全基础之上，有三点主要改进： 1 ) 双向认证机制，这一机制有效的消除了中间人攻击( m i t m ) ，如假 冒的a p 和r a d i u s 服务器。 2 )集中化认证管理和动态分配加密密钥机制。即使w e p 所使用的 r c 4 没有缺陷，然而给网络里的所有a p 和客户分发静态密钥将带 来管理上的难度。每一次无线设备丢失，网络必须重新配置密钥以 防止利用丢失的设备进行的非法登录。 3 ) 能够定义集中策略控制，当会话超时时触发重新认证和新的密钥生 成。 j2 无线局域网系统安全技术研究、应用与实现 2 。3e a p 认证协议族 2 。3 。e a p 认证协议类型简介 今天有众多的e a p 类型可以用于无线有线网络上进行用户认证。现有的e a p 类型包括以下几种； 。 e a p - c i s c ow i r e l e s s ( l e a p ) 。e a p - t r a n s p o r tl a y e rs e c u r i t y ( e a p t l s ) o p r o t e c t e de a p ( p e a p ) 。e a p t u n n e l e dt l s ( e a p - t t l s ) 。e a p - s u b s c r i b e ri d e n t i t ym o d u l e ( e a p - s i m ) 。e a p a u t h e n t i c a t i o na n dk e ya g r e e m e n t ( a k a ) 其中l e a p 是思科公司提出的轻量( l i g h tw e i g h t ) 的e a p 认证；e a p t l s 是由引入t l s 并不专属于哪个厂商的无线局域网方式，是使用证书的认证方式； p e a p 是由微软，思科和r s a s e c u r i t y 共同开发的。e a p - t t l s 是由f u n ks o f t w a r e 公司设计的o d y s s e y 系统。e a p - s i m 是为了无线局域网与g s m 网互通两开发的， e a p a k a 是为了将来和3 0 的互通而设计开发的。 以下对上述主要几种e a p 认证做簏要分析。 2 。3 。2 l e a p l e a p 是目前无线局域网里广泛应用的e a p 类型，完全支持上述8 0 2 ，1 x e a p 的三点改进。使用l e a p 时，双向认证是基于共享的秘密，即用户的登录口令， 只有用户和网络知道。如图2 4 2 1 所示，r a d i u s 服务器向用户发送认证 c h a l l e n g e 。用户使用单向h a s h 函数对口令进行h a s h 运算，形成r e s p o n s e ，并发向 r a d u s 服务器。根据用户数据库信息，r a d i u s 服务器构造自己的r e s p o n s e ， 并与用户发来的进行比较。如果认证成功，才允许用户对r a d i u s 进行认证。如 果完成认证，e a p s u c c e s s 消息被发送给用户，同时用户和r a d i u s 生成动态 w e p 密钥。 第二章无线局域网系统接入认证技术 图2 3 2 1u 认p 认证过程 2 。3 。3 e a p t l s e a p t l s 使用数字证书来对用户和认证服务器进行认证，i e t f 标准 ( r f c 2 7 1 6 ) 。e a p t l s 使用证书对用户和认证服务器进行认证，达到了上述 8 0 2 1 x e a p 的三点改进。如图2 4 3 1 所示，r a d i u s 服务器在认证的第一个阶 段发送它的证书给客户端( 服务器侧t l s ) 。客户通过对证书的发行者一证书权 利服务器实体一和数字证书的内容进行验证，从而证实r a d i u s 服务器。当验证 完毕，客户在认证第二阶段将自己的证书发给r a d i u s 服务器( 客户侧t l s ) 。 同样r a d i u s 服务器对客户进行验证。如果完成认证，e a p s u c c e s s 消息被发送 给用户，同时用户和r a d i u s 生成动态w e p 密钥。 无线局域网系统安全技术研究、应用与实现 图2 3 3 ie a p - t l s 认证过程 8 0 2 1 x e a p t l s 看起来是最好的，它是不专属于哪个厂商的无线局域网方 式，它能够弥补常规w e p 的弱点，并且同时能够解决在接入点之间的移动性问 题。目前国际上这种认证方式的应用比较广泛，本论文在其代码实现上做了一定 工作，将在后面的章节详细介绍。 2 。3 。4p e a p p e a p 是一个i e t f 草案r f c ，由c i s c o 系统，微软和r s a 共同制定。p e a p 使用数字证书对服务器认证。对用户的认证，p e a p 支持多种在保护的t l s 隧道 罩的e a p 封装方法。p e a p 支持上述8 0 2 1 x e a p 的三点主要的改进。如图2 4 4 1 所示，认证的第一阶段与e a p t l s 的一样( 服务器侧t l s ) 。在第一阶段结束时， 一个加密的t l s 隧道在用户和r a d i u s 认证服务器间建立，用于传输e a p 认证 消息。在第二阶段，r a d i u s 服务器通过加密的t l s 隧道借助于另外的e a p 类 型对客户认证。例如，用户可以使用e a p g t c 图表类型( 定义在p e a p 草案) 的o t p 来被认证。在这种情况下，r a d i u s 服务器作为代理将o t p 机密( 用户 i d 和o t p ) 发送给o t p 服务器来验证用户的登录。如果完成认证，e a p s u c c e s s 消息被发送给用户，同时用户和r a d i u s 生成动态w e p 密钥。 第二章无线局域网系统接入认证技术 客户和p , p 獭活w e p 并且使用单播和广薹密钥 对j l i 有的逼信进行搠赛 圈2 3 4 1p e a p 认证过程 2 3 5 几种认证技术的比较 表2 3 5 1 为几种e a p 认证协议的比较： 协议种类 认证手段h | 认证煮式：= | | | i ! i 睁憋攀ij 性能 i _l | | 黼摘要5 掣 固定口令 黼摇手砩等0 蘩謦 | 慧 弱的认证机莉，不捷馔 双向认证 传输层安全( t l s l 证书 双向证书认证安装使用困难，强的认证机制。提供双 需要公钥基础设向认证