毕业设计论文校园无线网络安全策略规划与设计管理资料Word文档格式.docx

毕业设计论文校园无线网络安全策略规划与设计管理资料Word文档格式.docx

《毕业设计论文校园无线网络安全策略规划与设计管理资料Word文档格式.docx》由会员分享，可在线阅读，更多相关《毕业设计论文校园无线网络安全策略规划与设计管理资料Word文档格式.docx（34页珍藏版）》请在冰豆网上搜索。

这样的教学方式非常具有针对性，容易取得更好的效果

（2）灵活多变的教室布局

如果想要根据一个特定的教学节目来编排座位；

如果想要在一个多媒体网络教室里增加学生，那么无线网络解决方案能够很方便的解决这些问题。

有了无线网络，无须用网线把PC机连接到每个以太网端口，所以在移动一台联网的PC机时跟移动一张课桌一样方便。

（3）科学数据的及时收集

有了无线校园网，学习将变得不受约束了。

学生可以带着笔记本电脑去教室或者图书馆，这些场所的有线网络端口一般是不能够满足所有学生的上网需求的。

学生们还可以很方便地将听到的信息或得来的实验结果到网上去查找相关资料进行验证。

（4）背包里的笔记本电脑

由于开设的课程有许多是跟实际结合强，学生可以充分利用无线校园网络随时连接的优越性，上网查阅资料。

有许多大学的MBA专业甚至规定每个学生必须配备笔记本电脑，以方便教学、台前演示等。

无线校园网络的建立，将使那些老的教学内容更加丰富多彩。

（5）会议室无线网络

校方在会议室召开教研讨论会议的时候，往往需要互相传输数据，或者接入internet。

无论在会议室布设多少信息点，不方便。

有了WLAN，不仅使网络应用方便，而且扩展会议室同时接入网络的人数。

即使召开大型会议，和其他学校的讲师、校长一起进行学术研讨的时候，也能够保证每个人对网络应用需求。

无线局域网特点

络线缆天生的限制，造成了许多使用者的不便，限制校内网络的应用。

同传统的有线网络相比，无线局域网与生俱来的机动性、方便性、灵活性、低成本等优势是不言而喻的。

（1）机动性：

驱策无线通讯与行动运算最根本的创意原动力，可以说是机动性。

过去几年来手机与家用手提式无绳电话的普及，就是个最好说明。

轻薄短小而携带方便的笔记本电脑，也已经渐渐开始取代了桌上型计算机。

然而，光是只有笔记本电脑、甚至个人数字助理PDA是不够，走到哪、用到哪，仅只为基本的需求，保持信息的传递与无时无刻的网络连结，但是网络线所带来的不便与限制难以克服，这就是非得靠无线通讯不可。

因此，无线局域网络WLAN为计算机带来了相当的机动性，已彻底颠覆传统的生活与工作状态。

（2）方便性：

无线局域网WLAN的好处之一，还包括了其弹性与便利性。

由于不需要大量布线，架设上较传统网络方便，也极少需要管路来架设网络线缆，对网管人员来说，不仅可以大幅度缩减构建网络的时间，将来若网络拓扑需要更动时，也不用太过大费周章的进行重新拉线。

譬如说传统的以太网络应用在办公室的环境下，也许遇到部门间偶尔人事上的调动、那么网络的架构很可能就需要修改，都有可能让额外的网络线铺设大费周章。

在这种情况下，WLAN由于无线电波连接取代铜线或光纤电缆，调整上就方便多！

就算办公桌挪来挪去，也不需要为了网络线插孔的移动而伤脑筋，信息就有如空气一般随手可得，适合网管人员弹性规划运用，对商业上应用极具吸引力。

（3）扩充性：

无线局域网WLAN另一个优点，那就是良好的扩充性。

传统有线网络的铺设下，一般网管往往为预防以后额外的架设需要，造成初次架设时非必要的浪费。

，若当有更多使用者加入该网络时，可以在同个定点扩充至三个互不干扰无线网络，扩充了其带宽负荷量。

因此，WLAN可大可小，扩充与升级都较传统有线网络来得方便。

只要增加无线接入点AP就可以拓展整个网络的涵盖范围与容量了。

（4）投资报酬：

无线局域网WLAN广受重用最大因素，莫过于其投资报酬ROI。

网络设备较为昂贵，然而安装成本低廉，加上无线网络检修较为方便，不怕虫蛀鼠咬，可靠度高，长期维护成本亦相对下降。

重点WLAN提升了效率与机动性，使得投资报酬率升高。

随着网络语音VOIP在商业上应用的进展，WLAN可与之建构于办公室的信息语音网络，特别用在大区域、低密度连网，都可以协助学校大幅降低电话联机等营运开销。

同时，笔记本电脑在校园中的普及使得移动办公需求日益强烈，这不仅可以大大提高员工的工作效率，同时也能大幅度降低学校网络投入。

随着无线网络技术的日益完善，无线局域网WLAN的应用，必然很好地解决学校教研中很多有线解决不了的问题。

2设备选型

EWP-WX3010-POEP-H3有线无线一体化交换机提供一体化的有线无线接入控制支持PoE+供电，每端口最大提供25W的功率，，AP的管理。

当前价位信息16704元

1提供灵活的数据转发方式

2提供基于AP位置的用户接入控制

3提供精细的无线用户管理

5提供UserProfile

6信道智能切换

7智能AP负载分担

8端到端的QoS

图2-1wx3010无线控制器

无线接入点

H3CWA2220-AG，，最高速率54Mbps。

该产品支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活的在Fat和Fit两种工作模式中切换。

作为瘦AP时，需要与H3C自主研发的WX系列无线控制器系列产品配套使用；

作为胖AP（FatAP）时，可以独立进行组网。

WA2220-AG支持Fat/Fit两种工作模式的特性，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而很好保护用户的投资。

当前价位信息2300元

图2-2WA2220-AG

路由器

MSR30路由器设备在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的N-Bus多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该路由器集成的多业务部署和实施能力。

当前价位信息8800元

图2-3MSR30-20路由器

交换机

H3CS3610-28TP系统支持IPv4/IPv6双栈及硬件转发、丰富的IPv4/IPv6路由协议和隧道技术，是理想的大型园区网、网络实验室的汇聚、接入交换机以及分支机构的核心交换机。

当前价位信息8900元

图2-4S3610-28TP

3校园无线网络的的安全机制

校园无线网络所面临的安全威胁

由于无线网络通过无线电波在空中传输数据，在数据发射机覆盖区域内的几乎所有无线网络用户都能接触到这些数据。

只要具有相同接收频率就可能获取所传递信息。

将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的[2]。

另一方面，由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性，使得原来有线环境下的许多安全方案和安全技术不能直接应用在无线环境，例如：

防火墙对通过的无线电波进行网络通讯起不了任何作用，任何人在区域范围内都可以截获和插入数据。

计算量大的加密/解密算法不适合用于这些移动设备等。

因此，需要进行研究新的适合于无线网络环境的安全理论、安全方法和安全技术。

与有线网络相比，无线网络所面临的安全威胁更严重。

（1）所有常规的有线网络中存在的安全威胁和隐患依然存在于无线网络环境中；

（2）外部人员可以通过无线网络绕过防火墙，对专用的网络进行非授权访问；

（3）无线网络传输的信息很容易容易被窃取、篡改和插入；

（4）无线网络容易受到拒绝服务攻击和干扰；

（5）内部用户可以设置无线网卡以端对端模式与外部用户直接连接。

此外，无线网络安全技术相对比较新，现有安全产品还比较少。

以无线局域网（WLAN）为例，移动节点、AP每一个实体都有可能成为攻击对象或攻击者。

由于无线网络在移动设备和传输媒介方面的特殊性，使一些攻击更容易实施，对于无线网络安全技术研究比有线网络的限制更多，难度更大。

无线网络常用的安全措施

禁用SSID广播

SSID（ServiceSetIdentifier），包含了ESSID和BSSID，用来区分不同网络，最多可以有32个字符。

无线网卡设置不同的SSID就可以进入不同网络，SSID通常是由AP广播出来的，通过XP自带的扫描功能可以查看当前区域内的SSID[3]。

出于安全考虑可以禁止广播SSID，此时的用户就要手工设置SSID才能进入相应的网络。

简单说，SSID就是一个无线局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

SSID的安全问题主要有两类用户群：

一是初次接触无线网络的个人用户、办公用户，以及对安全并不太关心的此类用户，他们一般都采用无线AP或路由所默认使用SSID的允许广播方式；

一是用于公共无线网络的无线热点，为了让服务区内所有的上网公众或用户使用无线接入，其同样使用开启SSID广播方式。

配备无线网卡的无线工作站必须填写入正确的SSID，并与无线访问点（AP或无线路由器）SSID相同，才能访问无线AP；

如果出示的SSID与AP或无线路由器的SSID不同，那么AP将拒绝通过本服务区或工作组上网。

因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现了一定的安全性。

要更改无线网卡的SSID除了在无线网卡配置程序上更改外，还可以在操作系统中直接进行更改。

过滤MAC地址

MAC地址过滤是降低大量攻击威胁最简单方法之一。

尽管在较小的网络上比较实用，但相对于较大规模的无线局域网仍是可行选项。

这两种情况都是比较简单，是目前为止真正能够避免基本攻击的网络安全机制。

MAC地址是属于数据链路层的概念，它是在底层网络来识别和寻找目标终端的依据，每一块网卡都有一个全球唯一的MAC地址。

根据IEEE下的以太网地址管理机构规定，以太网卡的MAC地址是由48bit位组成，其中前24位是由以太网卡生产厂商向以太网地址管理机构申请，后24位是由厂家自行分配[4]。

这样就可以保证了每一块以太网卡MAC地址是全球唯一的，网卡在出厂前由已经通过某种方式将MAC地址烧录进去了。

这样就可以保证了所有接入无线网络的终端设备都有一个唯一的且各不相同的MAC地址，也就是为MAC地址过滤技术做了理论上的保障。

当无线设备连接到WLAN的时候，需要经过验证和授权的过程。

两个过程都完成后才允许访问WALN。

当客户试图连接到WLAN时，首先要向AP发送身份验证请求。

在这个请求中包含了目标网络的SSID，SSID需要在AP中设置，如果网络为开放网络，SSID就为空，否则就不为空。

无线AP就是根据客户端发送的SSID来判断是否通过了验证，当验证通过后客户端设备就可以连接AP。

而此时就发生了MAC地址的过滤，

MAC地址过滤有两种方式，第一种为白名单方式，是指允许指定的MAC地址信息通过而拒绝其他MAC地址通过。

另一种为黑名单方式，指定的MAC地址信息被拒绝通过外，其他的地址均可通过[5]。

白名单方式的限制相对比较多，安全性较高，适合终端设备比较固定的场合使用，而黑名单方式主要是为封堵部分的用户而实现。

MAC地址过滤位是在AP中，起到阻止非信任终端设备访问的作用。

在终端设备试图与AP连接之前，MAC地址过滤就会识别出非信任的MAC地址并阻止了通信，使其不能够访问信任的网络，但终端设备仍然可以连接到AP，只是被禁止进一步的访问。

MAC地址的优点：

（1）接受预先确定的用户；

（2）过滤的MAC地址不能进行访问；

（3）提供第一层的防护。

MAC地址的缺点：

（1）管理负担；

（2）在一些无线设备中，可以对MAC地址进行编程。

有线等效保密（WEP）协议全称为有线对等保密（WiredEquivalentPrivacy，WEP）是一种数据加密的算法。

，用于无线局域网中保护链路层数据。

WEP使用了40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据的[6]。

WEP加密采用静态保密密钥，各个WLAN终端使用了相同的密钥访问无线网络。

WEP也提供了认证功能，当加密机制功能启用时，客户端要尝试连上AP，AP就会发出一个ChallengePacket给客户端，客户端利用共享密钥将此值加密后送回到存取点以进行认证匹配，如果正确无误，才能够获准存取网络资源[7]。

40位WEP具有很好互操作性，所有通过Wi-Fi组织认证的产品都可实现WEP互操作。

现在的WEP一般也支持128位的密钥，提供了更高等级的安全加密。

WEP优点：

（1）全部报文使用检验和加密，提供一定的抵抗篡改的能力；

（2）通过加密来维护一定的保密性。

如果没有了密钥就不能把报文解密；

（3）非常容易实现WEP。

在AP和每个客户端都设置加密就可以；

（4）可以由用户进行定义WEP密钥，而且没有限制。

不必使用预定的密钥，可以经常更改密钥。

WEP缺点：

（1）RC4加密算法是一个公开流加密算法。

为了加密，它使用了有限密钥生成无限的伪随机密码；

（2）必须在每个客户端和每个AP实现WEP,WEP才可以生效；

（3）一旦修改了密钥，必须告诉每个人，告诉人数越多，信息变得越公开。

Wi-Fi网络安全存取

WPA是一种基于标准的可互操作WLAN安全性增强解决方案，可以大大增强现有以及未来的无线局域网系统的数据保护和访问控制水平。

[8]。

若部署适当，WPA可以保证WLAN用户的数据受到保护，并且只有授权网络用户才可以访问WLAN网络。

（1）认证

WPA要求用户必须提供某种形式的证据来证明它是合法的用户，才能够拥有对某些网络资源访问权，并且这是强制性的。

WPA的认证可分为两种：

+EAP（ExtensibleAuthenticationProtocol）的方式，用户提供认证所需凭证，如用户名密码，通过特定的用户认证服务器来实现的。

另一种是WPA预共享密钥方式，要求在每个无线局域网的节点（AP、STA等）预先输入一个密钥，只要密钥符合就可获得无线局域网的访问权。

（2）加密

WPA采用TKIP（TemporalKeyIntegrityProtocol，临时密钥完整性协议）为了加密引入新的机制，它是使用了一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥用来取代单个静态密钥、把密钥的首部长度从24位增加到了128位的方法增强了安全性。

而且，。

认证服务器在接受用户身份后，。

然后，TKIP把这密钥通过安全通道分发到了AP和客户端，并且建立一个密钥构架和管理系统，使用主密钥为用户动态产生了一个唯一的数据加密密钥，来加密每一个无线通讯数据的报文。

（3）消息完整性校验

，WPA还为每个数据分组增加了一个8字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。

WAPI鉴别与保密

无线局域网鉴别与保密基础结构（WLANAuthenticationandPrivacyInfrastructure，WAPI）是我国无线局域网国家标准制定，是由无线局域网鉴别基础结构（WLANuthenticationInfrastructure，WAI）和无线局域网保密基础结构（WLANPrivacyInfrastructure，WPI）组成。

WAPI是采用公开密钥体制椭圆曲线密码算法和对称密钥体制分组密码算法，分别用在WLAN设备数字证书、密钥协商和传输数据的加解密，从而实现了设备的身份鉴别、链路验证、访问控制以及用户信息在无线传输状态下的加密保护。

在WAPI中身份鉴别的基本功能就是实现对接入设备得用户证书和身份的鉴别，若鉴别成功则允许其接入网络，否则解除关联，鉴别流程包含以下几个步骤：

（1）鉴别激活：

当STA登录至AP时，由AP向STA发送认证激活启动认证过程；

（2）接入鉴别请求：

工作站STA向AP发出接入认证请求时，将STA证书与STA的当前系统时间（接入认证请求时间）发向AP；

（3）证书鉴别请求：

AP收到了STA接入认证请求后，向AS（认证服务器）发出证书认证的请求，将STA证书、接入认证请求时间、AP证书以及用AP的私钥对上述字段签名，构成了认证请求报文发送给AS。

（4）证书鉴别响应：

AS收到AP的证书认证请求，验证AP的签名及AP和STA证书的合法性。

验证完毕后，AS将STA证书认证结果的信息（包括STA证书、认证结果及AS对它们的签名）、AP证书认证结果信息（包括AP证书、认证结果、接入认证请求时间及AS对它们的签名）构成证书认证响应报文发给AP。

（5）接入鉴别响应：

AP对AS返回证书认证响应进行了签名验证，得到STA证书认证结果。

AP将STA证书认证结果的信息、AP证书认证结果信息及AP对它们的签名组成了接入认证响应报文送回至STA。

STA验证AS的签名后，得到了AP证书的认证结果。

STA根据该认证结果决定是否接入AP。

4校园无线网络安全关键技术

端口访问控制技术（IEEE）

IEEE协议是基于Client/Server访问控制和认证协议。

它可以限制XX的用户/设备通过接入该端口（accessport）访问LAN/WLAN。

获得交换机或LAN提供各种业务之前，[9]。

在认证通过之前，（基于局域网的扩展认证协议）的数据通过设备连接交换机端口；

认证通过后，正常的数据可以顺利通过以太网端口。

IEEE

：

（1）IEEE，不需要到达三层，对设备的整体性要求不高，可以有效降低建网的成本；

（2）借用在RAS系统中常用的EAP（扩展认证协议），可提供良好的扩展性和适应性，实现了传统PPP认证架构的兼容；

（3）"

可控端口"

和"

不可控端口"

的逻辑功能，从而实现业务与认证的分离，由RADIUS服务器和交换机利用不可控的逻辑端口共同完成了对用户的认证与控制，业务报文直接承载了正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装纯数据包；

（4）可以使用现有后台认证系统降低部署成本，并有丰富的业务支持；

可以映射不同用户认证等级到不同VLAN；

可以使交换端口和无线LAN具有安全的认证接入功能。

（1），输入已经申请、登记过的用户名和口令，发起连接请求。

客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

（2）交换机收到了请求认证的数据帧后，将发出一个请求帧要求用户客户端程序将输入的用户名送上来。

（3）客户端程序响应交换机发出的请求，将用户名的信息通过数据帧送给交换机。

交换机将客户端送上来数据帧经过封包处理后送回给认证服务器进行处理。

（4）认证服务器收到了交换机转发上来用户名信息后，将该信息与数据库中的用户名表进行比对，找到该用户名对应口令信息，用随机生成的一个加密字对它进行加密，同时也将此加密字传给交换机，由交换机传给客户端程序。

（5）客户端程序收到由交换机传来的加密字，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过了交换机传给认证服务器。

（6）认证服务器将送上来加密后的口令信息和自己经过加密运算后的口令信息进行了对比。

如果相同，则认为该用户是合法用户，反馈认证通过消息，并向交换机发出打开端口指令，允许用户业务流通过端口访问网络。

否则，反馈认证失败的消息，并保持交换机端口为关闭状态，只允许认证信息数据通过，不允许业务数据通过。

，其具有的优势可以总结为以下几点：

简洁高效：

纯以太网技术的内核，保持了IP网络无连接的特性，不需要进行协议间多层封装，去除不必要的开销和冗余；

消除网络的认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。

（1）容易实现：

网络综合造价成本低，保留了传统AAA认证的网络架构，可利用现有的RADIUS设备。

（2）安全可靠：

在二层网络上实现用户认证，结合MAC地址、端口、账户、VLAN和密码等；

绑定技术具有很高安全性，－TLS，EAP－TTLS,可实现对WEP证书密钥动态分配，克服无线局域网接入的安全漏洞。

（3）行业标准：

IEEE标准，和以太网标准同源，可实现和以太网技术的融合，几乎所有的主流数据设备厂商在设备，包括路由器、交换机和无线AP上都提供了对该协议的支持。

在客户端方面微软WindowsXP操作系统内置支持，Linux也提供对该协议的支持。

（4）应用灵活：

可以灵活控制认证颗粒度，用于对单个用户的连接、用户ID或者是对接入设备进行的认证，认证的层次可以进行灵活的组合，满足特定接入技术或是业务的需要。

（5）易于运营：

控制流和业务流完全的分离，易于实现跨平台多业务的运营，少量改造传统包月制等单一收费制网络即可以升级成运营级网络，而且网络的运营成本也有可能会降低。

扩展认证协议（EAP）

PPP扩展认证协议（EAP）是一个用于PPP认证通用协议，可以支持多种认证方法。

EAP并不是在链路建立阶段指定认证方法，而是把这个过程推迟认证阶段[10]。

这样的认证方就可以得到更多的信息以后再决定使用何种认证方法。

这种机制PPP认证方简单地把收到的认证报文传给后方的认证服务器，由后方的认证服务器真正实现各种认证方法[11]。

（1）在链路阶段完成后，认证方向对端发送一个或多个请求报文。

在请求报文中有一个类型字段用来指明认证方请求的信息类型，例如对端的ID、MD5的挑战字、一次密码（OTP及通用令牌卡等。

MD5的挑战字对应CHAP认证协议的挑战字。

典型情况下，认证方首先发送一个ID请求报文，随后再发送其他的请求报文。

当然，并不是必须首先发送这个ID请求报文，在对端身份是已知情况下（如租用线、拨号专线等）可以跳过这个步骤。

（2）对端每一个请求报文回应一个应答报文。

和请求报文一样，应答报文中也包含一个类型字段，对应所回应的请求报文中的类型字段。

（3）认证方通过发送一个成功或者失败报文来结束认证过程。

优点：

EAP可支持多种认证机制，而无需在LCP阶段预协商过程中指定。

某些设备（如：

网络接入服务器）不需要关心每个请求报文的真正含义，而是作为一个代理把认证报文直接传给后端的认证服务器。

设备只需关心认证结果是成功还是失败，然后结束了认证阶段。

缺点：

EAP需要在LCP中增加一个新的认证协议，这样现有PPP实现要想使用EAP就必须进行修改。

同时，使用EAP和现有的在LCP协商阶段指