毕业设计-无线校园网的安全设计

1、最优推荐，广而告之ANTSBUY您身边的牛仔专家官 网：/淘宝店：/毕业设计（论文）任务书专业 计算机网络技术班级 姓名一、 课题名称：无线校园网的安全设计二、主要技术指标：分析现有的WLAN安全协议的原理和机制，结合学校或企业WLAN网 络应用中的安全问题，提出网络安全解决方案。三、工作内容和要求：阅读参考文献和技术文档资料，为论文撰写做准备工作。WLAN的相关技术、WLAN安全协议的原理和机制研究。WLAN应用中的安全问题分析设计无线校园网络安全解决方案。编写毕业设计论文。按学校规范编著毕业设计论文，严禁抄袭。四、主要参考文献：无线局域网安全-方法与技术第2版,朱建明，机械工业出版社,20

2、09年8月校园网无线接入安全研究，彭伟，常潘，华东师范大学网络中心，2000 年6月WLAN安全解决方案设计与实现，李煜，北京邮电大学硕士学位论 文无线校园网络安全分析及方案设计，李文胜，广东省环境保护职业技 术学学生（签名）年月日指导教师（签名）年月日教研室主任（签名）年月日系主任（签名）年月日毕业设计（论文）开题报告设计（论文）题目 无线校园网的安全设计一、选题的背景和意义：选题背景现如今，网络已是人们生活和学习中必不可少的软件条件，也是每所高校软 件设施的重要环节之一。在使学校成为信息数字化校园的过程中，网络发挥着其 不可替代的作用。但是，传统的有线网络受设计或环境条件的制约，在物理、逻

3、 辑等方面普遍存在着一系列问题，特别是当涉及到网络移动和重新布局时，它无 法满足人们对灵活的组网方式的需要和终端自由联网的要求。在这种情况下，传 统的计算机网络由有线向无线、由固定向移动的发展已成为必然，无线局域网技 术应运而生。作为对有线网络的一个有益的补充，无线网络同样面临着无处不在 的完全威胁，尤其是当无线网络的安全性设计不够完善时，此问题更加严重。所 以，无线网络的安全问题是无线网络正常工作不容忽视的前提条件。意义本课题通过对无线网络的学习和研究，分析校园网络的安全需求，最终将制 定出一套合理可行的安全设计方案，使校园无线网络的使用能更加安全可靠。二、课题研究的主要内容：WLAN的相关

4、技术WLAN安全协议的原理和机制WLAN应用中的安全问题分析无线校园网络安全解决方案三、主要研究（设计）方法论述：调查法，通过走访和咨询相关专业的老师，了解无线网络安全的需求及 一些所需设备的规格及配置方法，。文献法，通过对相关文献的分析和学习，了解无线网络安全实现的方法 和技术。归纳法，通过归纳和总结需求，得到无线网络安全实现的难点和重点。案例研究法，收集类似的网络安全设计方案，学习和研究其中的特点， 并分析其在自己的方案中的可行性。四、设计（论文）进度安排：时间（迄止日期）工 作 内 容2011.9.26-2011.10.10选题2011.10.11-2011.10.18准备课题需求资料，

5、完成开题报告2011.10.19-2011.10.31完成毕业设计初稿2011.11.1-2011.11.9修改、完善，形成二稿2011.11.10-2011.11.11毕业设计定稿，交打印稿和电子稿2011.11.11-2011.11.16准备材料，参加毕业答辩五、指导教师意见：指导教师签名：年 月 日六、系部意见：系主任签名：年 月 日无线校园网的安全设计目录摘要Abstract刖言第一章WLAN概述及应用WLAN基本概念及标准演进WLAN基本概念1.1.3 WLAN网络建立过程WLAN的安全风险及解决方案WLAN中存在的安全风险WLAN安全项目采用的安全解决方案第二章WLAN概述及应用:

6、n6678.8.9.9.1112 TOC o 1-5 h z HYPERLINK l bookmark159 o Current Document 802.11无线局域网的安全机制12 HYPERLINK l bookmark162 o Current Document 802.1x协议的体系13 HYPERLINK l bookmark172 o Current Document 802.1x协议的认证过程13 HYPERLINK l bookmark183 o Current Document 802.1x协议的特点14 HYPERLINK l bookmark194 o Current

7、Document 802.1x认证协议的应用15 HYPERLINK l bookmark206 o Current Document 802.1x与智能卡152.7发展方向和趋势16 HYPERLINK l bookmark211 o Current Document 第三章 WLAN应用中的安全问题分析17 HYPERLINK l bookmark214 o Current Document 3.1安全协议分析17 HYPERLINK l bookmark228 o Current Document WEP安全协议分析17 HYPERLINK l bookmark217 o Current

8、 Document WPA安全协议分析18 HYPERLINK l bookmark235 o Current Document 安全协议分析 19 HYPERLINK l bookmark238 o Current Document 第四章 无线校园网络安全解决方案20 HYPERLINK l bookmark241 o Current Document 4.1无线网络安全实现原理20 HYPERLINK l bookmark244 o Current Document 4.2无线校园网络安全方案设计20 HYPERLINK l bookmark247 o Current Document

9、4.3无线校园网络安全的意义21致谢22 HYPERLINK l bookmark250 o Current Document 参考文献22摘要无线局域网(WLAN )是计算机网络与无线通信技术相结合的产物，由于无线 网络所特有的开放性，其安全问题一直是业界研究的重点。本论文对WLAN安 全协议进行了深入的研究，提出了无线接入点(人1中安全认证模块的具体实现， 并且对实现过程中的一些关键问题提出了切实有效的解决方案。本论文主要分为五个部分。第一部分 概述了 WLAN网络的应用现状以及本论文的项目背景。第二部分 介绍了 WLAN的基本概念、标准演进及WLAN网络中存在的安 全风险。第三部分 深入

10、分析了现有WLAN安全协议的原理和机制。包括对WEP安 全缺陷的。研究以及IEEE 802.11i协议的原理和WAPI的安全机制分析。第四部分WLAN应用中的安全问题分析。第五部分详细讨论了无线校园网络安全解决方案。关键词 WLAN，AP，IEEE 802.11xAbstractWLAN is a combination of computer networks and wireless communications technology. As unique to the open wireless network, the security problem has been the foc

11、us of the industry. This thesis lucubrate WLAN security protocol and realize the Security Authentication Module in AP(access point).This thesis is divided into five sections.The first part outlines the WLAN network and the project background of this thesis.The second part introduces the basic concep

12、ts, standards for the WLAN.The third part analyzes the existing WLAN security protocols in detail, including WEP, IEEE 802.lli and WAPl seeurity mechanism.The fourh part analysis of the application of WLAN safety problems.The fifth part detailed discussion wireless campus network security solutions.

13、Keywords： WLAN，AP，IEEE 802.11x前言在无线网络技术相对成熟的今天.无线网络解决方案能够很好满足校园网的 种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，已经 逐渐成为一种潮流，成为众多校园网解决方案的重要选择。这都源于无线局域网 拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能.但在使用 无线网络的同时，无线接人的安全性也面临严峻的考验。目前无线网络提供的比 较常用的安全机制有如下三种：基于MAC地址的认证.基于MAC地址的认 证就是MAC地址过滤，每一个无线接人点可以使用MAC地址列表来限制网络 中的用户访问.实施MAC地址访问控制后

14、，如果MAC列表中包含某个用户的 MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC 地址，则该用户不能访问网络。共享密钥认证.共享密钥认证方法要求在无线 设备和接入点上都使用有线对等保密算法.如果用户有正确的共享密钥，那么就 授予该用户对无线网络的访问权.802.1x认证。802.1x协议称为基于端口的访 问控制协议，它是个第二层协议，需要通过802.1x客户端软件发起请求，通过 认证后打开逻辑端口，然后发起DHCP请求获得IP以及获得对网络的访问。从目前情况来看，不少校园网的无线接人点都没有很好地考虑无线接人的安 全问题，如基于MAC地址的认证或共享密钥认证没有设置，

15、更不用说像802.1 x 这样相对来说比较难设置的认证方法了.如果我们提着笔记本电脑在某个校园内 走动，会搜索到很多无线接人点，这些接入点几乎没有任何的安全防范措施，可 以非常方便地接入.试想，如果让不明身份的人进入无线网络。进而进入校园网， 就会对我们校园网络构成威胁。第一章WLAN概述及应用WLAN基本概念及标准演进WLAN基本概念无线局域网(WLAN)是采用无线传输媒体的计算机局域通信网络。1971年夏 威夷大学的学者创造了第一个基于数据包传输的无线网一一ALOHANET 3，它 实质上就是第一个WLAN。进入20世纪90年代，人们要求在任何时间、任何 地点都能使用网络资源，而传统的有线

16、网络很难实现可移动的通信。因此，在这 种趋势和要求的推动下，导致了 WLAN的发展与进步。WLAN标准演进IEEE 802.111997年IEEE 802标准化委员会IEEE 802.11WLAN标准工作组公布了 IEEE 802.1l标准，它是第一代无线局域网标准，该标准定义了物理层和媒体访问控制 层规范。802.11工作在2. 4GHz上，理论传输速率分为1Mbps和2Mbps。IEEE802.11b为了更高的数据传输速率，IEEE于1999年9月批准了 IEEE802.11b标准。 IEEE 802.11b标准对IEEE 802.1l标准进行了修改和补充，其中最重要的改进就 是在mEE

17、802.1l的基础上增加了两种更高通信速率5.5Mbit/s和1l Mbit/so 11b也 是工作在2. 4GHz频段上，同时对最初的802.11标准保持了兼容。IEEE802.1la802.1la标准是已得到广泛应用的802.1lb无线联网标准的后续标准，802.11a 的物理层速率可达54Mbit/s，但11a的工作在5.5GHz上，不能兼容以前的标准。IEEE802.1lnIEEE 802.11的数据传输速率进行了大幅提高，使用802.1ln超过100Mbps 的速率不再是梦想，甚至有报道称可以达到320Mbps的最高速率。对802.1l的 数据传输速率进行了大幅提高，使用802.1l

18、n超过l00Mbps。WLAN网络建立过程无线局域网的基本网络连接建立过程是在IEEE 802.11中定义的，无论是后 续的IEEE 802.1l系列标准还是WAPI都是建立在这个基本连接过程之上的。在 IEEE 802.11网络中主要有两个实体：AP和sTA，AP就是无线接入点，STA是 无线工作站，最常见的就是带有无线网卡的笔记本。其中AP是核心，一个sTA 要想加入到一个无线局域网，首先要与这个无线局域网中的AP建立连接，然后 通过这个AP与其它的S1A或网络进行通信。IEEE 802.11定义了 AP与STA之间从建立连接到发送数据所需要的三种帧 类型，分别是：控制帧(类型值是00)、

19、管理帧(类型值是01)、数据帧(类型值是 10)。控制帧用来告诉设备什么时候开始和停止发送消息；利用管理帧来建立连 接；一旦STA和AP已经同意建立连接，数据就以数据帧的形式来发送。重点来介绍一下管理帧，因为wEP的认证是通过管理帧来实现的。管理帧 有7种：信标帧(Beacon)：信标帧是由AP定时发送的广播帧，用来通知本无线 局域网的存在和AP性能等有用信息；探询请求/应答帧(Probe Request/Response): STA通过发送探询请求帧来 寻找AP，AP利用探询应答帧来告诉sTA网络的信息；链路验证帧(Authentication Request/Response): AP 和

20、 STA 之间的 WEP 认证就是通过链路验证请求/应答帧来实现的；关联请求/应答帧(Association Request/Response )：链路验证通过之后，AP和STA之间再建立关联关系，通过关联帧来协商一些网络参数指标;重新关联请求/应答帧(Reassociation Request/Respons)；当漫游到其他AP 对，需要重新建立关联；解除关联帧(Deassociation)：当断开网络连接时需要解除关联；解除认证帧(Deauthentication)：解除关联之后再去解除认证。1.2 WLAN的安全风险及解决方案1.2.1 WLAN中存在的安全风险无线局域网安全的最大闯题在

21、于无线通信设备是在自由空问中进行传输，而 不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介 的接入控制来保证数据不会被未经授权的用户获取。所以，wLAN就面临一系列 的有线网络中并不存在安全问题主要包括：来自网络外部用户的进攻。来自未认证的用户获得存取权。来自网络内部的窃听泄密等。现阶段针对WLAN的攻击主要为了实现两个目的。首先是通过WLAN寻找一个进入有线网络的切入点，有线网络经过长时间 的发展能够建立完善的安全保护体系，例如通过安装防火墙可以提供对自身的保 护，但是在其基础上扩建WLAN时，如果没有对WLAN的安全防护作出全面的 部署，则会危及到原始有线网络的安全，

22、通常可以在防火墙内部安装恶意的无线 访问接入点AP，这种做法相当于给防火墙安装了后门，攻击者通过WLAN进入 有线网内部实施恶意访问变得十分简单。第二，针对无线数据的窃取。目前WLAN使用2.5GHz的无线电波进行网 络通信，AP在一定半径内广播信号，无需通过可见的线路即可建立通信，任何 攻击者都可以用一台带无线网卡的Pc机或者无线扫描器进行窃听并使用某些特 殊的网络嗅探工具扫描无线网络信号，一旦定位到信号，就能够截获并收集经过 空间传播的数据。针对WLAN的攻击次数不断增加，WLAN的攻击方式主要包括嗅探、欺骗、 而攻击的手段也不断更新。目前针对网络劫持等。嗅探这是一种针对计算机网络通信的电

23、子窃听。通过使用嗅探工具，网络监听者 能够察看无线网络的所有通信。要想使WLAN不被识别工具发现，必须关闭用 于网络识别的广播以及任何未经授权用户访问资格。然而关闭广播意味着 WLAN不能被正常用户发现，因此WLAN用户免受嗅探攻击的唯一方法是保护 尽可能使用加密会话。欺骗攻击者冒充合法用户连接到想要入侵的网络，这样就可以避免目标网络对其 非法身份的识别。最常用的一种欺骗手段是将自己的无线网络或网卡的MAC地 址设定为合法地址，这可以通过在Windows平台修改注册表实现。一种新的欺 骗攻击方式称为验证欺骗，攻击者通过对WLN的嗅探累积多个用户验证请求， 每个请求都包含原始明文消息及返回的加密

24、过的应答，从这些材料中攻击者可以 伪造身份验证信息欺骗AP成为合法用户。(3 )网络劫持攻击者将自己的主机伪装成默认网关或特定主机，所有试图进入网络或连接 到被攻击者顶替的机器上的用户都会自动连接到伪装机器上。典型的无线网络劫 持是使用欺骗性AP。通过构建一个信号强度好的AP，使无线用户忽视正常的 AP而连接到欺骗性AP上，攻击者接受到来自其他合法用户的验证请求和信息 后就能够将自己伪装成合法用户并进入目标WLAN。上述三种是针对WLAN的一般攻击方式。从上述攻击方式上我们可以看到， 对WLAN的攻击主要有两种渠道，一是直接劫持传输网络数据的无线电波，另 一种就是冒充合法用户或AP接入无线网络

25、。所以，WLAN的安全机制业主要包 括两部分：一是用户认证，即只允许合法用户接入WLAN；二是数据加密，即 网络中的数据传输采用密文的形式。以此来保证WLAN网络的安全。1.2.2 WLAN安全项目采用的安全解决方案安全问题已经成了 WLAN应用和发展的重中之重，雅典奥运组委会就因 WLAN的安全存在隐患而放弃了在2004年雅典奥运会的各个赛场布置WLAN 网络。但由于针对WLAN安全的技术不断更新，如果能够应用最先进的安全技 术，同时进行合理的配置，那么就可以解决这个棘手的问题。所以在本项目中对网络安全方面非常重视，运用了多种手段：WEP加密，支持64位和128位IEEE 802.1li，I

26、EEE推出的 WLAN最新安全标准多SSID，通过SSID来限制用户的访问权限MAC过滤、口过滤同时支持多种认证方式来检测用户身份WAPI，我国推出的WLAN安全国家标准这样，在wLAN安全项目中的AP就可以支持以下六种安全模式下：不加密WEP(802.1l中定义的安全方案)802.1X+动态WEP密钥802.11i(WPA)802.11i(wPA)+PSl(与共享密钥)WAPI第二章WLAN概述及应用2.1 802.11无线局域网的安全机制802.11无线局域网运作模式基本分为两种：点对点（Ad Hoc）模式和基本 （Infrastructure）模式。点对点模式指无线网卡和无线网卡之间的直

27、接通信方式。只 要PC插上无线网卡即可与另一具有无线网卡的PC连接，这是一种便捷的连接 方式，最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线 网络并存的通信方式，这也是802.11最常用的方式。此时，插上无线网卡的移 动节点需通过接入点AP（Access Point）与另一台移动节点连接。接入点负责频段 管理及漫游管理等工作，一个接入点最多可连接1024个移动节点。当无线网络 节点扩增时，网络存取速度会随着范围扩大和节点的增加而变慢，此时添加接入 点可以有效控制和管理频宽与频段。与有线网络相比较，无线网络的安全问题具有以下特点：（1）信道开放，无 法阻止攻击者窃听，恶意修改

28、并转发；（2）传输媒质-无线电波在空气中的传播 会因多种原因（例如障碍物）发生信号衰减，导致信息的不稳定，甚至会丢失；（3） 需要常常移动设备（尤其是移动用户），设备容易丢失或失窃；（4）用户不必与网络 进行实际连接，使得攻击者伪装合法用户更容易。由于上述特点，利用WLAN 进行通信必须具有较高的通信保密能力。802.11无线局域网本身提供了一些基本的安全机制。802.11接入点AP可以 用一个服务集标识 SSID（Service Set Identifier）或 ESSID（Extensible Service Set Identifier）来配置。与接入点有关的网卡必须知道SSID以便在网

29、络中发送和接收 数据。但这是一个非常脆弱的安全手段。因为SSID通过明文在大气中传送，甚 全被接入点广播，所有的网卡和接入点都知道SSID。802.11的安全性主要包括以有线同等保密WEP（Wired Equivalent Privacy）算 法为基础的身份验证服务和加密技术。WEP是一套安全服务，用来防止802.11 网络受到未授权用户的访问。启用WEP时，可以指定用于加密的网络密钥， 也可自动提供网络密钥。如果亲自指定密钥，还可以指定密钥长度64位或128 位）、密钥格式（ASCII字符或十六进制数字）和密钥索引（存储特定密钥的位置）。 原理上密钥长度越长，密钥应该越安全。思科公司的Sco

30、tt Fluhrer与Weizmann 研究院的Itsik Mantin和Adi hamir合作并发表了题为RC4秘钥时序算法缺点 的论文，讲述了关于WEP标准的严重攻击问题。另外，这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协 议。这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点。当 这种移动节点的数量庞大时，将是一个很大的挑战。802.1x协议的体系IEEE 802.1x协议起源于802.11,其主要目的是为了解决无线局域网用户的 接入认证问题。802.1x协议又称为基于端口的访问控制协议，可提供对802.11 无线局域网和对有线以太网络的验证的网络访问权限

31、802.1x协议仅仅关注端口 的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户 接入时，则端口处于关闭状态。IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统 Authenticator System、认证服务器 Authentication Server Systemo客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端 软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。认证系统：通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同 用户的端口有两个逻辑端口：受控(co

32、ntrolled Port)端口和非受控端口 (uncontrolled Port)。第一个逻辑接入点(非受控端口)，允许验证者和LAN上其它计算机之间 交换数据，而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连 通状态(开放状态)，主要用来传递EAPOL协议帧，可保证客户端始终可以发出 或接受认证。第二个逻辑接入点(受控端口)，允许经验证的LAN用户和验证者 之间交换数据。受控端口平时处于关闭状态，只有在客户端认证通过时才打开， 用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式， 以适应不同的应用程序。如果用户未通过认证，则受控端口处于未认证(关闭)状 态，则

33、用户无法访问认证系统提供的服务。认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信 息，比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。 当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系 统构建动态的访问控制列表，用户的后续数据流就将接受上述参数的监管。802.1x协议的认证过程利用IEEE 802.1x可以进行身份验证，如果计算机要求在不管用户是否登录 网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验 证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证 的基本方法。如果没有有效的身份验证密钥

34、，AP会禁止所有的网络流量通过。当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时，无线AP 会向移动节点发出一个问询。在受到来自人？的问询之后，移动节点做出响应，告知自己的身份。AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验 证服务。RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。移动节点将它的凭据发送给RADIUSo在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验 证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。(在移 动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传

35、递，因 为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通 过“受控制”端口传送数据，因为它还没有经过身份验证。)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安 全传输-特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一 个加密密钥，这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以 及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。移动节点可被要求周期性

36、地重新认证以保持一定的安全级。2.4 802.1x协议的特点IEEE 802.1x具有以下主要优点：实现简单。IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整 体性能要求不高，可以有效降低建网成本。认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了“受控端口” 和“非受控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后， 业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活， 尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限 制。IEEE 802.1x同时具有以下不足802.1x认证是需要网络服务的系统和网络之间

37、的会话，这一会话使用IETF 的EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制的体系 结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间的高 层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的，如 果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其包。而且实 验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见的攻击有中间人 MIM攻击和会话攻击。所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境，必须有 高层的清晰的交互认证协议来加强。幸运的是，802.1

38、x为实现高层认证提供了基 本架构。802.1x认证协议的应用IEEE 802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验 证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份 验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将 无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的 无线接入点将连接请求和记帐邮件发送到中央RADIUS服务器。中央RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身

39、份验证方 法，该客户端获得身份验证，并且为会话生成唯一密钥。IEEE 802.1x为可扩展 的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5)算法这样的身份验证方法。扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的 协议。利用802.1x，EAP可以用来在申请者和身份验证服务器之间传递验证信 息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者 和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入 用户服务(RADIUS)服务器。以下举一个例子，说明对申请者进行身份验证所需

40、经过的步骤：认证者发送一个EAP - Request/Identity(请求/身份)消息给申请者。申请者发送一个EAP - Response/Identity(响应/身份)以及它的身份给认证 者。认证者将收到的消息转发给身份验证服务器。身份验证服务器利用一个包含口令问询的EAP - Request消息通过认证者 对申请者做出响应。申请者通过认证者将它对口令问询的响应发送给身份验证服务器。如果身份验证通过，授权服务器将通过认证者发送一个EAP - Success响 应给申请者。认证者可以使用“Success” (成功)响应将受控制端口的状态设置为 “已授权”。802.1x与智能卡智能卡通常用在安

41、全性要求比较高的场合，并与认证协议的应用相结合。这 首先是由于智能卡能够保护并安全的处理敏感数据；而智能卡能保护密钥也是相 当重要的，一切秘密寓于密钥之中，为了能达到密码所提供的安全服务，密钥绝 对不能被泄密，但为安全原因所增加的成本却不能太多。智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计 算能力方面受到的限制。目前市场上的大多数智能卡有128到1024字节的RAM， 1 k到16 k字节的EEPROM，6 k到16 k字节的ROM，CPU通常为8比特的， 典型的时钟频率为3.57 MHz。任何存储或者是处理能力的增强都意味着智能卡 成本的大幅度提高。另外智能卡的数据传送

42、是相对慢的，为提高应用的效率，基本的数据单元必 须要小，这样可以减少智能卡与卡终端之间的数据流量，其传送时间的减少则意 味着实用性的增强。将802.1x与智能卡的应用相结合的优点是：认证更加安全；生成和管理密 钥方便；节省内存空间；节省带宽，提高实用性；节省处理时间，而不需要增加 硬件的处理等方面。802.1x安全认证协议所带来的各优点恰好弥补了智能卡硬件 的各种局限，不仅能有效地降低智能卡的生产成本，也能提高智能卡的实用性。 2.7发展方向和趋势802.11无线局域网目前的安全标准主要有两大发展主流：WPA。802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过 控制接入端口的开/关

43、状态来实现，这种简化适用于无线局域网的接入认证、点 对点物理或逻辑端口的接入认证WPA(Wi-Fi受保护访问)是一种新的基于IEEE 标准的安全解决方法。Wi-Fi联盟经过努力，于2002年10月下旬宣布了基于 此标准的解决方法，以便开发更加稳定的无线LAN安全解决方法来满足 802.11的要求。WPA包括802.1x验证和TKIP加密(一种更高级和安全的 WEP加密形式)，以进一步形成和完善IEEE 802.11i标准。WAPI。我国已于2003年12月1日起强制执行了新的无线局域网安全国 家标准-无线局域网鉴别和保密基础结构WAPI(WLAN Authentication and Priv

44、acy Infrastructure)o WAPI由无线局域网鉴别基础结构 WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构 WPI(WLAN Privacy Infrastructure)组成。WAPI与已有安全机制相比具有其独特优点，充分体现了国 家标准的先进性。WAPI与已有安全机制相比在很多方面都进行了改进。它已由 ISO/IEC授权的IEEE Registration Authority审查获得认可，分配了用于 WAPI协 议的以太网类型字段，这也是我国目前在该领域惟一获得批准的协议。WAPI采 用国家密码管理委员会办公室批准的公

45、开密钥体制的椭圆曲线密码算法和秘密 密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输 数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无 线传输状态下的加密保护。第三章 WLAN应用中的安全问题分析3.1安全协议分析从1997年WEP的面世到2003年WPA这个过渡方案的提出，再到2004年 WPA2的公布，这三种协议见证了无线网络安全的发展历程。虽然WEP固有的 缺陷已经使得它不再适合用于商业或者是具有更高安全需求的行业，但是现今市 场上的无线设备基本上还都同时支持WEP、WPA和WPA2这三种协议。因此 本文将从WEP开始展开对这三种安全协议的分析

46、。WEP安全协议分析不少文章把WEP的安全缺陷归结于RC4算法中的缺陷，但其实不然。RC4 在以往的有线网络应用中，并没有让人们失望。压垮WEP的那根稻草是其密钥 管理机制(以及由此引致的共享密钥重用问题)。本文在这里列举其中最重要的 两个缺陷。(1)初始向量重用/ 冲突缺陷(Initialization VectorReuse/Collision Issue)根据WEP的定义，其IV的长度仅为24位，因此IV的不同的取值只有224 种。这个数值在当今的计算机世界里并不足够大。而它对整个加密系统的影响可 以从WEP加密的数学表达式看出来：C=(Mc(M)+RC4(IVk)在上面的公式里，C代表

47、的是密文，M是明文，c(M)是指明文的校检值， IV是初始向量，k是密钥，RC4指的是RC4算法。其中“”代表着串接操作“+”表 示异或操作。在现实中，共享密钥(k)很少改变。因此，每次IV的重用就意味着RC4算 法的输出会是一样。与此同时，由于IV是以明文的方式传输，所以可以很容易 地检测出相同的IV值。因此，只要能够找到两段有着相同的IV的密文段，就 可以很容易地把相关的明文给破解出来。而另一方面，虽然IV有着224种不同的取值，但是它发生重用的概率并 没有人们想象的那么小。根据统计，以上的统计数据意味着，在终端电脑跟AP 交换过12430个加密数据帧后，99%密文可以被破解。表1加密状5

48、821881Iffi.45说124309保认证过程中的缺陷图1描述了 WEP在共享密钥模式下的认证过程。在第二步中P(ChallengeText)是以明文的方式传播的，而在第三步中的C(Challenge Response)则是PK 的产物.其中是指异或操作，K是密钥。因此，只要把第二步的P和第三步C 进行异或操作，就可以很方便地把K给恢复出来。WEP的另外一种工作方式是开放式系统认证，在这种模式下，所有电脑终 端都可以跟无线接入点成功地连接。虽然这种工作方式听起来不太安全，但是在 这种模式下，密钥反而没有这么容易被暴露出来。WPA安全协议分析由于WEP有着不可克服的缺陷，因此国际上提出了一系

49、列解决方案。其中 的WPA是一个过渡方案，它在 WEP协议的基础上，增加了 IEEE802.1X来改进认证机制，并采用TKIP(Temporal Key Integrity Protocol)协议来实现消息的 保密与完整性保护。E * MFDl、TkihIh IPI uffic I ncrpled wit) K p.si *I APkti h 4 hknliKEz j-rjiilrLlilvnicii图2 1EEE802.1X认证流程叫在信息交换的过程中，虽然所有信息都要经过AP,但它不需要了解里面的 任何信息。在STA和AP之间的联路上，运行的是EAPOL(EAP over Lan )协议。

50、 在 AP 和 AS 之间同样运行 EAP (Extensible Authentication Protocol)协议但该 协议被封装到了高层协议中。3.4安全协议分析作为完全实现了 802.11i安全规范中的所有强制设定的协议，WPA2也被视 为实现RSN (Robust SecurityNetwork)的必要条件(WPA只实现了部分)。鉴于 CCMP(Counter-Mode/CBC-MAC Protocol)是 IEEE802.11i 中最重要的协议，同时 也是RSN的强制要求。第四章 无线校园网络安全解决方案4.1无线网络安全实现原理校园网内无线网络建成后，怎样才能有效地保障无线网络

51、的安全.基于MAC 地址的认证存在两个问题：一是数据管理的问题，要维护 MAC数据库；二是 MAC可嗅探，也可修改。如果采用共享密钥认证，攻击者可以轻易地搞到共享 认证密钥。802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证 服务器。整个认证的过程发生在申请者与认证服务器之间。认证者只起到了桥接 的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认 证，认证通过后将通信所需要的密钥加密再发给申请者.申请者用这个密钥就可 以与AP进行通信。虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的 改善.IEEE 802.11i和WAPI都参考

52、了 802.1x的机制。802.1x选用EAP来提供 请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有 EAPMD5、EAPTLS和PEAP等.Microsoft为多种使用802.1x的身份验证 协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于 密码凭据验证.或基于证书验证.建议在执行基于证书的客户端身份验证时使用 EAPTLS；在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手 身份验证协议版本 2(MSCHAPv2)。该协议在 PEAP(Protected Extensible AuthenticationProtoc0协议中，也称作

53、PEAPEAPMSCHAPv24.2无线校园网络安全方案设计考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体 采取不同的认证方法。在校园网内.主要分成两类不同的用户：一类是校内用户； 另一类是来访用户.校内用户主要是学校的师生，由于工作和学习的需要，他们 要求能够随时接人无线网络，访问校园网内资源以及访问Internet.这些用户的 数据。如工资、科研成果、研究资料和论文等安全性要求比较高.对于此类用户， 可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训 或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来 说最重要的就是能够非常方便而且快速地接入