北京郵電大學碩士學位論文煜申請學位級別：碩士專業(yè)：計算機科學與技術指導教師：漆濤20070420北京郵電大學碩士研究生學位論文 I，計算機網(wǎng)絡與無線通信技術相結合的產(chǎn)物，由于無線網(wǎng)絡所特有的開放性，其安全問題一直是業(yè)界研究的重點。本論文對出了無線接入點(安全認證模塊的具體實現(xiàn)，并且對實現(xiàn)過程中的一些關鍵問題提出了切實有效的解決方案。最后對論文主要分為五個部分。第一部分概述了二部分介紹了準演進及介紹了采取主要安全措施。第三部分深入分析了現(xiàn)有括對0211四部分詳細討論了實現(xiàn)了0211后，結合當前應用的實際情況，對其更好的應用于運營級網(wǎng)絡。第五部分對本論文進行了概要的總結。關鍵詞P，021X，021 0氣堅皇查蘭堡主里塑蘭蘭垡堡奎 型室全簦盜查壅絲鹽蘭塞墨is a of s to rk，of P(an in is ve he d he ty he 021 li PI he fr 02“i of of in 1P，021X，0211i，全解決方案設計與實現(xiàn)圖21圖22圖23圖24圖31圖32圖33圖34圖35圖36圖37圖38圖39圖目錄正0215匝0211網(wǎng)絡連接建立過程流程圖6基礎架構模式示意圖78開放式認證流程圖1121302116021)(+178021x+182020 021“密鑰管理整體結構23圖311單播密鑰體系結構23圖312四次握手流程24圖313組播密鑰層次結構25圖314組播密鑰“二次握手”流程圖25圖327圖316基丁I 29圖317 30圖4一l 一35圖42 021“總體流程36圖402137圖44 02138圖45 39圖46 一41圖4_7 42圖443圖445圖410 46圖447圖412密鑰管理模塊處理流程圖49圖413 54圖454圖5一1 57圖52 57圖53圖54圖55606263表32表33表34表35表36表37表4表4_3表4_4表目錄利用13ti17826從2629三種安全機制比較33。39。394043表45 44表444表47 48表48 48表49 802150表410與命令行模塊的主要接口消息及處理函數(shù)552阿【狀態(tài)機中主要狀態(tài)與函數(shù)實現(xiàn)的對應關系52表51 58表52表53一62腳一62創(chuàng)新性)聲明本人聲明所呈交的論文是本人在導師指導下進行的研究工作及取得的研究成果。盡我所知，除了文中特別加以標注和致謝中所羅列的內(nèi)容以外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得北京郵電大學或其他教育機構的學位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝意。關于論文使用授權的說明學位論文作者完全了解北京郵電大學有關保留和使用學位論文的規(guī)定，即：研究生在校攻讀學位期間論文工作的知識產(chǎn)權單位屬北京郵電大學。學校有權保留并向國家有關部門或機構送交論文的復印件和磁盤，允許學位論文被查閱和借閱；學?？梢怨蓪W位論文的全部或部分內(nèi)容，可以允許采用影印、縮印或其它復制手段保存、匯編學位論文。(保密的學位論文在解密后遵守此規(guī)定)保密論文注釋：本學位論文屬于保密在年解密后適用本授權書。非保密論文注釋：本學位論文不屬于繯密范圍，適用本授權書。本人簽名： ：型繾 日期：翌2：壘=旦導師簽名：北京郵電大學碩士研究生學位論文 安全解決方案設計與實現(xiàn)11研究背景第一章緒論在互聯(lián)網(wǎng)領域，一直都是有線線纜和光纖的天下。無線技術的出現(xiàn)，為用戶提供了一種嶄新的互聯(lián)網(wǎng)接入方式，使我們擺脫了網(wǎng)線的束縛，而且由于采用無線接入方式，使無線局域網(wǎng)不僅建網(wǎng)成本要低于傳統(tǒng)有線局域網(wǎng)，還更加靈活，可以根據(jù)需要快速建網(wǎng)。同時，無線局域網(wǎng)把局域網(wǎng)的高數(shù)據(jù)傳輸速率與移動通信系統(tǒng)的移動功能有機地融為一體，使我們距離隨時隨地與任何人進行任何內(nèi)容通信的人類通信終極夢想又進了一步?；谏鲜鰞?yōu)點，目前無線局域網(wǎng)在全球的發(fā)展勢頭非常好。應用范圍已經(jīng)非常廣泛。按照其應用的空間范圍來劃分可分為室內(nèi)應用和室外應用。室內(nèi)應用包括大型辦公室、車間、智能倉庫、臨時辦公室、會議室、證券市場、會展中心、酒店、飛機場、醫(yī)院、酒吧、咖啡屋、體育場館等；室外應用包括城市建筑群間通信、學校校園網(wǎng)絡、工礦企業(yè)廠區(qū)自動化控制與管理網(wǎng)絡、銀行金融證券城區(qū)網(wǎng)、稅務、礦山、水利、油田、港口、碼頭、江河湖壩區(qū)、野外勘測實驗、軍事流動網(wǎng)、公安流動網(wǎng)等。按照其應用的行業(yè)來劃分可大致分為大眾應用市場、醫(yī)療行業(yè)、教育行業(yè)、金融服務行業(yè)等等。 ，無線局域網(wǎng)在大型運動會中的應用是一個嶄新的課題。首先在2002年韓日世界杯上無線局域網(wǎng)有了一定規(guī)模的應用；而在國內(nèi)的大型運動會上無線局域網(wǎng)的應用則始于2001年世界大學生運動會和第九屆全運會。但以上無線局域網(wǎng)的應用都僅限于為數(shù)不多的比賽場館或新聞中心等場所，在廣東省第十一屆運動會中無線局域網(wǎng)得到了前所未有的廣泛應用。作為傳統(tǒng)布線網(wǎng)絡的一種替代方案或延伸，無線網(wǎng)絡為移動用戶和布線困難的場所提供了方便的網(wǎng)絡接入，非常適合于體育場館。同時，無線技術最大的優(yōu)點“隨處可收”，也給網(wǎng)絡安全帶來了巨大的挑戰(zhàn)。而無線局域網(wǎng)的最初標準0211并沒有很好的解決這一由無線技術自身的特點所帶來的安全問題。隨著無線局域網(wǎng)的大范圍應用，其在安全方面的弊端開始逐步暴露出來：在屋百貨公司基于無線局域網(wǎng)的移動韓國，許多準備部署無線局域網(wǎng)的公司發(fā)現(xiàn)一些公司員工已經(jīng)私自安裝了無線局域網(wǎng)接入點設備，使得公司針對有線互聯(lián)網(wǎng)設計的安全方案形同虛設；在英國，年輕的黑客駕車沿街掃描(圍建筑物中的無線局域網(wǎng)信號，隨手截取保密信息，無線局域網(wǎng)黑客文化已經(jīng)略具雛形；在美國，負責研究核武器以及其他國家防御技術的因在于這些設備的系統(tǒng)中存在的安全隱患容易遭受到黑客的攻擊而丟失機密信息。而雅典正是因為無線局域網(wǎng)的安全問題，使此，我們看到安全問題已經(jīng)成為無線局域網(wǎng)發(fā)展的一個瓶頸。為了更好的保護無線局域網(wǎng)的網(wǎng)絡安全，促進產(chǎn)業(yè)發(fā)展，產(chǎn)業(yè)鏈上各大廠商以及在積極尋求解決方案，先后提出了0211i)等安全標準。我國為了保護國家信息安全，也提出了自己的無線局域網(wǎng)安全標準標都是解決0212文中涉及的主要概念說明無線局域網(wǎng)”)、0211的區(qū)別與聯(lián)系：以指短距離、高速的無線網(wǎng)絡。時也是目前應用得最多最有影響力的0211是個正式的它來定義021有廠家的般來講，0211和本文中0211標準的無線局域網(wǎng)。13本人所做的工作及論文主要內(nèi)容在研究生期間，主要從事了大量網(wǎng)絡安全協(xié)議開發(fā)和應用方面的工作，包括防火墻中P)中安全認證協(xié)議的設計和開發(fā)工作，對網(wǎng)絡安全有了一定程度的研究。并在平時的工作和學習中對從事了大量的021證了而引入021在“實現(xiàn)了這兩個標準，同時對要涉及的協(xié)議包括0211、0211i、X、文由五章組成，第二章對無線局域網(wǎng)進行了概要介紹，包括無線局域網(wǎng)的概念，傳輸方式，網(wǎng)絡拓撲結構，以及無線局域網(wǎng)的標準演進和三章對現(xiàn)有的安全機制進行了深入分析，包括8021四章對及的協(xié)議有021x、對其能更好的在運營級網(wǎng)絡中應用。第五章對論文進行了總結。14本章小結本章先簡單介紹了文中所用的基本概念，比較介紹了后介紹了及目前所面臨的安全問題和本論文的項目背景，最后介紹了本論文的章節(jié)安排。3北京郵電大學碩士研究生學位論文 1 采用無線傳輸媒體的計算機局域通信網(wǎng)絡。1971年夏威夷大學的學者創(chuàng)造了第一個基于數(shù)據(jù)包傳輸?shù)臒o線網(wǎng)一，它實質(zhì)上就是第一個入20世紀90年代，人們要求在任何時間、任何地點都能使用網(wǎng)絡資源，而傳統(tǒng)的有線網(wǎng)絡很難實現(xiàn)可移動的通信。因此，在這種趨勢和要求的推動下，導致了0211【2J。212 )02111997年02標準化委員會0211是第一代無線局域網(wǎng)標準，該標準定義了物理層和媒體訪問控制層規(guī)范。80211工作在24論傳輸速率分為)021102110211021中最重要的改進就是在021bi“s。11時對最初的80211標準保持了兼容。(3)0210211s，但11能兼容以前的標準。(4)0210211現(xiàn)了54達到了用24021確保了與裝機數(shù)量超過1100萬臺的0214)021l n(草案)對0211的數(shù)據(jù)傳輸速率進行了大幅提高，使用8021至有報道稱可以達到32吼脅北京郵電大學碩士研究生學位論文 用8021前由于1021釙伍增強型的有線局域網(wǎng)相當，這進一步促進了無線局域網(wǎng)應用的發(fā)展。這些后演進的標準只是對最初的021其有更高的數(shù)據(jù)傳輸速率，在以它們在安全認證方面采用的都是802113 0211中定義的，無論是后續(xù)的0210211網(wǎng)絡中主要有兩個實體：常見的就是帶有無線網(wǎng)卡的筆記本。其中個先要與這個無線局域網(wǎng)中的后通過這個絡的基本模式如圖21所示：圖2一0210211定義了之間從建立連接到發(fā)送數(shù)據(jù)所需要的三種幀類型，分別是：控制幀(類型值是管理幀(類型值是01)、數(shù)據(jù)幀(類型值是控制幀用來告訴設備什么時候開始和停止發(fā)送消息；利用管理幀來建立連接；一旦據(jù)就以數(shù)據(jù)幀的形式來發(fā)送。重點來介紹一下管理幀，因為理幀有7種：信標幀(信標幀是由來通知本無線局域網(wǎng)的存在和詢請求應答幀(通過發(fā)送探詢請求幀來尋找路驗證幀(答幀來實現(xiàn)的；5北京郵電大學碩士研究生學位論文 答幀(囂鏈路驗證通過之后，過關聯(lián)幀來協(xié)商一些網(wǎng)絡參數(shù)指標；重新關聯(lián)請求應答幀限船當漫游到其他要重新建立關聯(lián)；解除關聯(lián)幀當斷開網(wǎng)絡連接時需要解除關聯(lián)；解除認證幀(解除關聯(lián)之后再去解除認證。具體的網(wǎng)絡連接流程見圖2 eR啦E 8021 每屆奧運會中通信技術都發(fā)揮著越來越重要的作用，現(xiàn)代奧運會已經(jīng)不僅僅是運動員競賽的場所，還是架構在先進通信技術、計算機技術、電子技術等手段之上的高科技賽場。做為一種突發(fā)性的通信需求，奧運會的觀眾、運動員、媒體記者的數(shù)量都是驚人的，要求是近乎苛刻的。因此，在傳統(tǒng)的有線局域網(wǎng)基礎上，無線局域網(wǎng)的科學運用可以很好的補充和完善奧運會的通信要求，更加方便、準確、及時的為會場工作人員、運動員、記者、觀眾提過網(wǎng)絡接入服務，從而滿足各用戶群的需要。6北京郵電大學碩士研究生學位論文 須具備以下特點：高可靠性必須具有高度的安全可靠性，尤其是為體育競賽的計時記分、成績處理、信息發(fā)布等系統(tǒng)的鏈路必須做到萬無一失。高吞吐量用戶數(shù)量密集的區(qū)域必須有足夠的吞吐量，足夠的帶寬來滿足大數(shù)據(jù)量的網(wǎng)絡使用需求。高安全性要有足夠的安全機制，可以實現(xiàn)訪問控制，實現(xiàn)用戶認證，實現(xiàn)用戶分級管理。安裝便捷需安裝一個或多個無線接入點(即備，就可建立覆蓋整個建筑或地區(qū)的局域網(wǎng)絡。易管理性可以通過多種方式方便、及時的對無限局域網(wǎng)設備進行管理、設置、維護，可以進行遠程控制。易擴展性根據(jù)網(wǎng)絡容量的需要，能夠及時的擴容，增加設備。針對無線局域網(wǎng)系統(tǒng)技術發(fā)展的特點，在無線網(wǎng)絡系統(tǒng)技術更新?lián)Q代周期很短的情況下，無線網(wǎng)絡系統(tǒng)的基本設備能較容易地升級、擴展。對于大型運動會中無線局域網(wǎng)的應用，我們建議采用基礎構架模式來組網(wǎng)。(如圖23)：圖23基礎架構模式示意圖這種模式適合于大型運動會比賽場館內(nèi)部、組委會辦公區(qū)、新聞中心等場所進行組網(wǎng)，是大型運動會無線局域網(wǎng)的主要組網(wǎng)方式。在這種組網(wǎng)方式由無線接入點(無線工作站()以及分布式系統(tǒng)(成。無線接入點和有線網(wǎng)絡之間接收、緩存和轉發(fā)數(shù)據(jù)，所有的無線通訊都經(jīng)過通7北京郵電大學碩士研究生學位論文 蓋半徑達上百米?，F(xiàn)無線網(wǎng)絡和有線網(wǎng)絡的互聯(lián)。圖24 育館、組委會辦公樓、新聞中心等建筑和區(qū)域內(nèi)，根據(jù)用戶數(shù)、場館面積安置適當數(shù)量的通過一定數(shù)量的交換機進行匯聚并且接入訪問控制器(通過岫3 1 不是像有線網(wǎng)絡那樣是在一定的物理線纜上進行傳輸，因此無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權的用戶獲取。所以，來自網(wǎng)絡外部用戶的進攻。來自未認證的用戶獲得存取權。來自網(wǎng)絡內(nèi)部的竊聽泄密等。現(xiàn)階段針對先是通過線網(wǎng)絡經(jīng)過長時間的發(fā)展能夠建立完善的安全保護體系，例如通過安裝防火墻可以提供對自身的保護，但是在其基礎上擴建北京郵電大學碩士研究生學位論文 果沒有對會危及到原始有線網(wǎng)絡的安全，通?？梢栽诜阑饓?nèi)部安裝惡意的無線訪問接入點這種做法相當于給防火墻安裝了后門，攻擊者通過二，針對無線數(shù)據(jù)的竊取。目前需通過可見的線路即可建立通信，任何攻擊者都可以用一臺帶無線網(wǎng)卡的旦定位到信號，就能夠截獲并收集經(jīng)過空間傳播的數(shù)據(jù)。針對騙、(1)嗅探而攻擊的手段也不斷更新。目前針對網(wǎng)絡劫持等。這是一種針對計算機網(wǎng)絡通信的電子竊聽。通過使用嗅探工具，網(wǎng)絡監(jiān)聽者能夠察看無線網(wǎng)絡的所有通信。要想使須關閉用于網(wǎng)絡識別的廣播以及任何未經(jīng)授權用戶訪問資格。然而關閉廣播意味著此2)欺騙攻擊者冒充合法用戶連接到想要入侵的網(wǎng)絡，這樣就可以避免目標網(wǎng)絡對其非法身份的識別。最常用的一種欺騙手段是將自己的無線網(wǎng)絡或網(wǎng)卡的可以通過在種新的欺騙攻擊方式稱為驗證欺騙，攻擊者通過對的嗅探累積多個用戶驗證請求，每個請求都包含原始明文消息及返回的加密過的應答，從這些材料中攻擊者可以偽造身份驗證信息欺騙3)網(wǎng)絡劫持攻擊者將自己的主機偽裝成默認網(wǎng)關或特定主機，所有試圖進入網(wǎng)絡或連接到被攻擊者頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網(wǎng)絡劫持是使用欺騙性過構建一個信號強度好的無線用戶忽視擊者接受到來自其他合法用戶的驗證請求和信息后就能夠將自己偽裝成合法用戶并進入目標述三種是針對上述攻擊方式上我們可以看到，對是直接劫持傳輸網(wǎng)絡數(shù)據(jù)的無線電波，另一種就是冒充合法用戶或以，是用戶認證，即只允許合法用戶接入是數(shù)據(jù)加密，即9北京郵電大學碩士研究生學位論文 此來保證32典奧運組委會就因為由于針對果能夠應用最先進的安全技術，同時進行合理的配置，那么就可以解決這個棘手的問題。所以在本項目中對網(wǎng)絡安全方面非常重視，運用了多種手段：持64位和128位021過過濾同時支持多種認證方式來檢測用戶身份國推出的不加密20218021x+動態(tài)0211i(80211i(與共享密鑰)6狻本次4本章小結本章先介紹了什么是后介紹了1系列的W“后介紹了后介紹了及為了應對這些安全問題，在“要實現(xiàn)的安全認證方案。10北京郵電大學碩士研究生學位論文 1 021以保證8021證階段用來保證只有合法用戶才能接入網(wǎng)絡，數(shù)據(jù)加密用來保證傳輸過程的安全性。其中認證就是圖22中的路驗證階段)階段，有兩種方式，一種是開放式認證，另一種是共享密鑰認證。所謂開放式認證其實就是不認證，只要送一個消息請求認證，證(請柬)凰是曩墨夏蠶兇認證(成功)圖3一時需要交互4個鏈路驗證消息。首先后叫做質(zhì)詢文本，密文回復給為可以檢查發(fā)回的結果是不是用正確的密鑰加密的，如果是就發(fā)送認證成功的消息。圇岳E|2肇一圖32 一，認證只是單向的。第二，我們從圖32中可以看到，認證質(zhì)詢和認證回復消息正好是一對匹配樣本，質(zhì)詢中是明文，回復中是密文，如果有攻擊者在監(jiān)聽，完全可以利用這對樣本來計算出密鑰。所以這種方法不但不能進行認證，實際上反而幫助敵人攻擊了加密密鑰。所以在目前的絕大多數(shù)系統(tǒng)中已不再使用這種路驗證都采用開放式。312 用的是次從字節(jié)流中讀入一個字節(jié)，然后與密鑰流進行異或，結果作為輸出字節(jié)。個是初始階段，用來形成最終的加密密鑰和在明文中加入完整性校驗碼(二是加密階段，將需要加密的數(shù)據(jù)與密鑰流進行異或?？傮w來看所示：圖33砌括對兩方面的處理，一方面是對密鑰，另一方面是對明文。圖33中的個為在8021果在加密中只使用這個會使相同的明文產(chǎn)生相同的密文，這在加密網(wǎng)絡中傳輸?shù)臄?shù)據(jù)時是非常不可取的，因為在網(wǎng)絡協(xié)議中，每個字段的意義都是固定的，比如說源攻擊者如果在這個位置看到了相同的加密字節(jié)，就會知道這個報文是來自于同一個口地址的。為了解決這個問題就引入了(初始化向量)，通過改變，來使實際加密每個數(shù)據(jù)包的密鑰都不同，在80211中是24樣實際加密強度就是128這個需要明文傳遞給接收方，12北京郵電大學碩士研究生學位論文 明文的處理主要是加上整性校驗碼)，然后把這個樣在接受方解密之后可以利用過初始階段的處理后，開始利用后發(fā)送出去的數(shù)據(jù)幀格式是：表31利用竺l! 二 匹! 字段中包含兩部分，首先是3字節(jié)的初始向量值，然后是6般是O，最后是2訴對方用的是幾號密鑰，因為然這4個密鑰是對應相同的，即此類推。所以需要一個方好找到自己對應的密鑰去解密。他字段均為明文。，h，圖34 受方收到后，首先生成解密密鑰，然后與密文異或就可以得到明文。313 1)認證(2)接入控制(3)重播防護(4)消息篡改檢測北京郵電大學碩士研究生學位論文 )消息加密(6)密鑰保護而在這六個方面上，先在認證方面，前邊我們已經(jīng)提到過，泄露了可以攻擊密鑰的明文、密文匹配的樣本；而且認證時沒有使用獨立密鑰，即認證所用密鑰與加密數(shù)據(jù)報文時所用密鑰相同；所以目前絕大多數(shù)系統(tǒng)已經(jīng)不使用在接入控制和重播防護方面，8021于消息篡改檢測，這個校驗值附在數(shù)據(jù)末尾，然后整個加密，如果有人改變了密文中的一位，解密后的數(shù)據(jù)就不會有相同的校驗和，就發(fā)現(xiàn)了篡改。但是設計者忽略了，用于計算會導致，如果你只改變了消息中的一位，你就可以預測到主要的是，由于反轉在加密過程會被保留下來，使得攻擊者可以同時篡改加密后的數(shù)據(jù)和使篡改不被發(fā)現(xiàn)。這樣我們看到利用1。在消息加密方面，利用了鑰方面利用和預先配置的用的目的就是想利用的變化來使加密每個數(shù)據(jù)包的密鑰不同，避免相同的明文生成相同的密文。但是通過研究我們發(fā)現(xiàn)，實際上很難起到設想的作用，因為24約1700萬)幀后就會產(chǎn)生沖突，而80211在這樣的速率下，的容量7個小時內(nèi)就會用光。實際上沖突可能出現(xiàn)的更加頻繁，因為也許會有許多個設備在傳輸。這樣經(jīng)過一段時間，如果收集到同一足夠多的樣本，很可能就能夠猜出密鑰流的重要部分，此后就會解密的越來越多?？梢姴]有很好的解決密鑰沖突的問題。在密鑰保護方面，上的預設密鑰進行任何的保護措旆。所以在上述6個方面，14小結本節(jié)詳細介紹了括認證和加密兩部分的實現(xiàn)原理。最后詳細論證了是由于針對性的開發(fā)了80214北京郵電大學碩士研究生學位論文 髓E 80210210211i【4】。實際上就是把1999年制定的021)(【5】安全標準引入了0211021義了唧(種安全機制。其中然采用樣就可以通過在現(xiàn)有設備上升級固件和驅動程序的方法來使設備演進到021到提高對于設計一開始就以安全為前提，完全拋開其他模式，采用了密算法，使得實現(xiàn)于此以目前使用比較多的還是T】。之前的建立連接、密鑰管理等階段是幾乎完全相同的，而系統(tǒng)中加、解密是通過硬件來實現(xiàn)的，并不在軟件設計的范圍內(nèi)，所以這里就不將二者進行單獨的分析，而統(tǒng)一作為0211入了02110211無線局域網(wǎng)連接過程分為以下幾步：l、發(fā)現(xiàn)階段；2、021、密鑰管理階段，包括密鑰生成、密鑰分配；4、最后對數(shù)據(jù)進行加密傳輸。在發(fā)現(xiàn)階段主要是進行021圖22)，之后利用021有通過了認證的用戶才能證明是合法用戶，否則雖然建立了網(wǎng)絡連接也不能進行數(shù)據(jù)傳輸。通過