《1705.无线网络安全技术 毕业论文与任务书.doc》由会员分享,可在线阅读,更多相关《1705.无线网络安全技术 毕业论文与任务书.doc(19页珍藏版)》请在三一办公上搜索。
1、毕 业 设 计(论文)设计题目: 无线网络安全技术 系 (部): 计算机工程系 班 级: 网络系统管理 设 计 者: 学 号: 指导教师: 设计时间: 2008-3-32008-6-11 吉林电子信息职业技术学院毕业设计(论文)任务书 姓 名: 系 (部):计算机工程系 专 业:网络系统管理 班 级: 网络系统管理06-4班 任务起至日期: 2007 年 12月10 日 至 2008 年 6 月 12 日 毕业设计(论文)题目: 毕业设计(论文)要求: 计划安排:同组设计者及分工:评语:1、说明书质量、图纸绘制质量及计算准确度:2、参考资料及已知技术参数运用情况:3、数据可靠度:4、论点充分度
2、:5、创新情况:综合评语:成绩评定:指导教师签字_ 年 月 日 教研室主任意见: 教研室主任签字_ 年 月 日 系(部)审核盖章: 教务处批准盖章:*注:此任务书由毕业设计指导教师填写。摘要:2前言:3一、无线网络安全问题:4二、无线局域网安全技术研究:5(一)早期基本的无线局域网安全技术53、有线等效保密(WEP):6(二)认证61、基于PPPoE的认证72、基于WEB的认证83、基于802.1X的认证9(三)访问控制10(四)加密111、单钥密码体制112、双钥密码体制12(五)数据完整性12(六)不可否认性12三、无线局域网安全标准分析:13(一) 802.11i(WPA)之前的安全解决
3、方案132、无线客户端二层隔离技术:143、VPN-Over-Wireless技术:14(二) IEEE802.11安全标准:WEP14(三) IEEE802.11i与WPA安全标准15(四)快速发展的WPA (Wi-Fi 保护访问) 技术16(五)中国无线局域网安全标准:WAPI17(六)高级的无线局域网安全标准IEEE 802.11i181、IEEE 802.11i标准草案中主要包含加密技术:19四、无线局域网安全测试:201、运营级无线局域网安全测试系统主要包括以下设备:20五、参考文献:22摘要:本文详细论述了近年来发展迅速的无线网络的安全重要性与相关技术。主要讲述了早期基本的无线局域
4、网安全技术,基于PPPoE的认证,基于WEB的认证,基于802.1X的认证,访问控制,单钥密码体制,双钥密码体制,数据完整性,不可否认性,802.11i(WPA)之前的安全解决方案,IEEE802.11安全标准:WEP,IEEE802.11i与WPA安全标准,快速发展的WPA (Wi-Fi 保护访问) 技术,中国无线局域网安全标准:WAPI,高级的无线局域网安全标准IEEE 802.11i,无线局域网安全测试等等。关键字: WEP,WPA,WAPI,IEEE802.11i,前言:当然伴随无线网络的发展相关的安全问题也日益严重,功能越多,弊端越多已经成为大家近年来对于新技术的认识。而且随着病毒与
5、骇客的泛滥,无线防黑已经成为焦点。当您正享受着无线网络带给您的方便快捷同时,有可能您已经悄悄被骇客盯上了,骇客通过一些非正常手段来窃取您的隐私与重要资料,而您却有束手无措。怎样才能有效的进行无线防黑并且对您的无线网络进行彻底的优化就是本文的关键。一、无线网络安全问题:由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。二、无线局域网安全技术研究
6、:(一)早期基本的无线局域网安全技术1、无线网卡物理地址(MAC)过滤: 每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。2、服务区标识符(SSID)匹配: 无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本
7、服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。3、有线等效保密(WEP): 有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。 WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Pa
8、cket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙,提供更高等级的安全加密。为了保证安全通信,无线局域网中应采取必要的安全技术,包括访问控制、认证、加密、数据完整性及不可否认性等。(二)认证认证提供了关于用户的身份的保证,这意味着当用户声称具有一个特别的身份时,认证将提供某种方法来证实这一声明是正确的。用户在访问无线局域网之前,首先需要经过认证验证身份以决定其是否具有相关权限,再对用户进行授权,允许用户接入
9、网络,访问权限内的资源。尽管不同的认证方式决定用户身份验证的具体流程不同,但认证过程中所应实现的基本功能是一致的。目前无线局域网中采用的认证方式主要有PPPoE认证、WEB认证和802.1X认证。1、基于PPPoE的认证PPPoE认证是出现最早也是最为成熟的一种接入认证机制,现有的宽带接入技术多数采用这种接入认证方式。在无线局域网中,采用PPPoE认证,只需对原有的后台系统增加相关的软件模块,就可以到达认证的目的,从而大大节省投资,因此使用较为广泛。图1是基于PPPoE认证的无线局域网网络框架。图1 基于PPPoE认证的无线局域网网络框架PPPoE认证是一种成熟的认证方式,实现方便。但是由于它
10、是基于用户名口令的认证方式,并只能实现网络对用户的认证。安全性有限;网络中的接入服务器需要终结大量的PPP会话,转发大量的IP数据包,在业务繁忙时,很可能成为网络性能的瓶颈,因此使用PPPoE认证方式对组网方式和设备性能的要求较高;而且由于接入服务器与用户终端之间建立的是点到点的连接。即使几个用户同属于一个组播组,也要为每个用户单独复制一份数据流,才能够支持组播业务的传输。2、基于WEB的认证WEB认证相比于PPPoE认证,一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件,给用户免去了安装、配置与管理客户端软件的烦恼,也给运营维护人员减少了很多相关的维护压力。同时,WEB认
11、证配合Portal服务器,还可在认证过程中向用户推送门户网站,有助于开展新的增值业务。图2是基于WEB认证的无线局域网网络框架。图2 基于WEB认证的无线局域网网络框架在WEB认证过程中,用户首先通过DHCP服务器获得IP地址,使用这个地址可以与Portal服务器通信,也可访问一些内部服务器。在认证过程中,用户的认证请求被重定向到Portal服务器,由Portal服务器向用户推送认证界面。3、基于802.1X的认证802.1X认证是采用IEEE802.1X协议的认证方式的总称。IEEE802.1X协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议(PortBasedNetwork
12、 Access Control Protocol),能够实现对局域网设备的安全认证和授权。802.1X协议的基础在于EAP(Extensible Authentication Protocol)认证协议,即IETF提出的PPP协议的扩展。EAP消息包含在IEEE 802.1X消息中,被称为EAPOL(EAP over LAN)。IEEE 802.1X协议的体系结构包括三个重要的部分,客户端、认证系统和认证服务器。三者之间通过EAP协议进行通信,基于802.1X认证的无线局域网网络框图如图3所示。可知,在一个802.1X的无线局域网认证系统中,认证不是由接入点AP完成,而是由一个专门的中心服务器
13、完成。如果服务器使用Radius协议时,则称为Radius服务器。用户可以通过任何一台PC登陆到网络上,而且很多AP可以共享一个单独的Radius服务器来完成认证,这使得网络管理者能更容易地控制网络接入。图3 基于802.1X的无线局域网网络框图802.1X使用EAP协议来完成认证,但EAP本身不是一个认证机制,而是一个通用架构用来传输实际的认证协议。EAP的好处就是当一个新的认证协议发展出来的时候,基础的EAP机制不需要随着改变。目前有超过20种不同的EAP协议,而各种不同形态间的差异在于认证机制与密钥管理的不同。其中比较有名的EAP协议包括:最基本的EAP-MD5;需要公钥基础设施PKI(
14、PublicKeyInfrastructure)的EAP-TTLS,PEAP,EAP-TLS与EAP-LEAP;基于SIM卡的EAP-AKA与EAP-SIM:基于密码的EAP-SRP和EAP-SPEKE;基于预共享密钥PSK(PreShared Key)的EAP-SKE,EAP PSK与EAP-FAST。(三)访问控制访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问
15、控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。(四)加密加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型:数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的,而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。根据密码算法所使用的加密密钥和解密是否相同,由加密过程能否推导出解密过程(或是由解密过
16、程推导出加密过程),可将密码体制分为单钥密码体制(也叫做对称密码体制、秘密密钥密码体制)和双钥密码体制(也叫做非对称密码体制、公开密钥密码体制)。1、单钥密码体制分组密码是一种常见的单钥体制。其中有两种著名的分组密码:数据加密标准DES(DataEncryptionStandard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。高级加密标准AES(AdvancedEncryptionStandard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,
17、并于1997年推出AES标准。2、双钥密码体制自从双钥密码体制的概念被提出以后,相继提出了许多双钥密码方案。在不断的研究和实践中。有的被攻破了,有的不太实用。目前只有三种类型的双钥系统是有效和安全的,即:基于大整数分解困难性问题的RSA公钥密码;基于有限域的乘法群上的离散对数问题的DSA或E1Gamal加密体制;基于椭圆曲线离散对数的椭圆曲线密码体制(CCC)。(五)数据完整性所谓数据完整性,是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。(六)不可否认性不可否认性
18、是防止发送方或接收方抵赖所传输的消息的一种安全服务,也就是说,当接收方接收到一条消息后,能够提供足够的证据向第三方证明这条消息的确来自某个发送方,而使得发送方抵赖发送过这条消息的图谋失败。同理,当发送一条消息时,发送方也有足够的证据证明某个接收方的确已经收到这条消息。三、无线局域网安全标准分析:(一) 802.11i(WPA)之前的安全解决方案1、端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP): 该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开
19、这个逻辑端口,否则不允许用户上网。 802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP 以及Win2000都已经有802.1x的客户端功能。 现在,安全功能比较全的AP在支持IEEE 802.1x 和Radius的集中认证时支持的可扩展认证协议类型有:EAP -MD5 & TLS、TTLS和PEAP。2、无线客户端二层隔离技术: 在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层
20、数据隔离,确保用户的安全。3、VPN-Over-Wireless技术: 目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。(二) IEEE802.11安全标准:WEPIEEE802.11标准通过有线对等保密协议WEP(WiredEquivalentPrivacy)来实现认
21、证与数据加密,认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密。属于一种对称的流密码,支持可变长度的密钥。后来的研究表明,RC4密钥算法有内在设计缺陷。由于WEP中实施的RC4选择了24位初始化向量IV(InitialVector),而且不能动态专用加密密钥,因此这些缺陷在使用WEP的802.11加密帧中都有实际应用。最典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。因此802.11中的WEP安全技术并不能够为无线用户提供足够
22、的安全保护。(三) IEEE802.11i与WPA安全标准为了使WLAN技术从这种被动局面中解脱出来,IEEE802.11i工作组致力于制订新一代安全标准,主要包括加密技术:TKIP(TemporalKeyIntegrity Protocol)和AES(Advanced Encryption Standard),以及认证协议IEEE802.1x。认证方面。IEEE802.11i采用802.1x接入控制,实现无线局域网的认证与密钥管理,并通过EAP-Key的四向握手过程与组密钥握手过程,创建、更新加密密钥,实现802.11i中定义的鲁棒安全网络(RobustSecurityNetwork,简称R
23、SN)的要求。数据加密方面,IEEE802.1li定义了TKIP(TemporalKeyIntegrity Protocol),CCMP(Counter-Mode/CBC-MAC Protocol和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。一方面,TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数(KeyMixingFunction),重放保护机制和Michael消息完整性代码(安全的MIC码)这4种有力的安全措施,解决了WEP中存在的安全漏洞,提高了安全性。就目前已知的攻击方法而言,TKIP是安全的。但是TKIP是基于RC4
24、的,RC4已被发现存在问题,可能今后还会被发现其他的问题。另外,RC4一类的序列算法,其加解密操作只是简单的异或运算,在无线环境下具有一定的局限性,因此TKIP只能作为一种短期的解决方案。此外,802.11中配合AES使用的加密模式CCM和OCB,并在这两种模式的基础上构造了CCMP和WRAP密码协议。CCMP机制基于AES(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高。是实现RSN的强制性要求。由于AES对硬件要求比较高。因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机
25、制则是基于AES加密算法和OCB(OffsetCode book)。由于市场对于提高WLAN安全的需求十分紧迫,在IEEE802.11i标准最终确定前,Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准作为代替WEP的向802.11i过渡的无线安全标准。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。(四)快速发展的WPA (Wi-Fi 保护访问) 技术 在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术将成为代替WEP的无线安全标准协议,为IEEE 802.11 无线局域网提供更强
26、大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。 新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前Wi-Fi 产品向后兼容,而且可以通过软件进行升级。从2003年的下半年开始,Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。(五)中国无线局域网安全标准:WAPIWAPI,即无线局域网鉴
27、别和保密基础结构(WLANAuthenticationandPrivacy Infrastructure)是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。WAPI由无线局域网鉴别基础结构(WLANAuthenticationInfrastructure,简称WAI)和无线
28、局域网保密基础结构(WLANPrivacy Infrastructure,简称WPI)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。其中,WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为认证服务单元ASU(Authentication Service Unit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。WPI采用对称密码算法
29、实现对MAC层MSDU的加、解密操作。WAPI整个系统由移动终端MT(MobileTerminal)、AP和认证服务单元ASU组成;其中,ASU完成认证机构CA(CertificateAuthority)的功能,负责证书的发放、验证与吊销等;移动终端MT与AP上都安装有ASU发放的公钥证书,作为自己的数字身份凭证。当MT登录至无线接入点AP时,在使用或访问网络之前必须通过ASU进行双向身份验证。根据验证的结果,只有持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP。这样不仅可以防止非法移动终端MT接入AP而访问网络并占用网络资源,而且还可以防止移动终端MT登录至非法AP而造成信息泄
30、漏。(六)高级的无线局域网安全标准IEEE 802.11i 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。1、IEEE 802.11i标准草案中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议IEEE 802.1x。预计完整的IEEE 802.11i的标准将在2004年的上半年得到正式批准
31、,IEEE 802.11i将为无线局域网的安全提供可信的标准支持。四、无线局域网安全测试:1、运营级无线局域网安全测试系统主要包括以下设备:端站(Station,简称STA)端站STA是无线局域网中的数字链路终端设备,可以通过不用接口接入或嵌入到数字终端设备中,如PC、PDA或手持式终端设备。接入点(AccessPoint,简称AP)无线接入点AP下行通过标准的空中接口协议于STA通信,而上行通过有线网络进行数据的分发,从而达到无线网络与有线网络的互通。接入控制器(AccessController,简称AC)接入控制器AC相当于无线局域网与传送网之间的网关,将来自不同AP的数据进行业务汇聚,反
32、之将来自业务网的数据分发到不同AP,此外还负责用户的接入认证功能,执行AAA代理功能。AAA服务器AAA服务器是实现认证、授权和计费(AAA,Authentication,Authorization&Accounting)功能的网络服务器。认证服务器保存用户的认证信息和相关属性,当接收到认证申请时,支持在数据库中对用户数据的查询。在认证完成后,授权服务器根据用户信息授权用户具有不同的属性。计费服务器完成用户计费信息的处理,并根据用户签约信息中的计费属性,实现预付费、后付费业务等。目前的AAA服务器主要为支持Radius协议的服务器,未来还可以采用Diameter协议。Portal服务器Port
33、al服务器即门户服务器,与AC配合共同完成无线局域网用户门户网站页面的推送,提供Portal业务。管理服务器管理服务器主要负责实现无线局域网的网络管理功能,包括配置管理、故障管理、性能管理、安全管理等。测试系统主要由热点地区的无线局域网接入网络和后台的服务系统组成,其中,接入网络主要由接入点AP和接入控制器AC构成,而后台服务系统完成认证、计费、应用服务和网管等功能。同时由于目前还存在基于七号信令网的SIM认证,因此系统中还包含鉴权服务器AS和用户数据库HLR/Auc。认证中心的主要设备是Radius服务器,用来存储用户的身份信息,并完成用户的认证和鉴权等功能。计费中心则主要完成用户的计费功能。应用服务器可为用户提供WWW,FTP等多种应用服务。网管中心则实现无线局域网的配置、安全、性能等多方面的管理,保障无线局域网的可靠运行。五、参考文献:无线网络安全刘敏无线网络术语张志无线局域网络王也发展中的无线佚名中国无线网络塞迪网管员的世界佚名防黑之路漫漫商极论无线与有线李行解IEEE802.11王文无线行业解读欧野天下无线网络史新*注释:以上文献全部为网文。
