WLAN加密方式.docx
《WLAN加密方式.docx》由会员分享,可在线阅读,更多相关《WLAN加密方式.docx(16页珍藏版)》请在冰豆网上搜索。
WLAN加密方式
《移动通信技术》课程设计
设计题目:
班级:
作者:
学号:
指导教师:
成绩:
2010年X月X日
《移动通信技术》课程设计任务书
课题
无线局域网测试实践
指导教师
XXX
设
计
任
务
1.了解与WLAN测试相关的基础知识与基本内容,理解并掌握设计任务要求的学习内容;
2.学习WLAN的加密方式;
3.测试WLAN中信号强度的度量;
4.掌握WLAN测量中ping的使用;
5.学习无线局域网测试仪器Wi-NetWindow的使用,对特定的无线局域网进行测试;
6.完成课程设计论文。
设
计
要
求
1.文献阅读:
查阅相关文献与技术资料,学习与课程设计题目相关的知识,认真做好读书笔记和学习心得,做到潜心分析,真正理解并掌握设计任务要求的学习内容;
2.组织形式:
各课程设计题目设组长一名,负责设计总体事务,组中各同学相互合作、合理分工、组织讨论、完成报告;
3.学习交流:
设计完成后,组长们组织同学们开展学习讨论,各组向其他同学汇报设计内容,使同学们对各课程设计的内容均有认识和了解;
4.文档整理:
依据设计任务制定学习和写作计划,严格按照设计规范要求完成各个环节的任务,各设计需要提供课程设计论文一本,要求按照课程设计论文格式认真撰写、按时完成设计论文;
5.文档结构:
上交文档包含以下内容:
封面、摘要、目录、正文、参考文献、附录(程序文件、交流时使用的PPT等)。
摘要
VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。
本文主要阐述了VLAN的原理及其具体应用。
首先简略介绍了VLAN的概念,其次,深入浅出的介绍了VLAN的特征,优点,接着介绍了它的实现原理,分类,最后举例说明了VLAN的发展趋势和在大型企业网中的实现。
VLAN充分体现了现代网络技术的重要特征:
高速、灵活、管理简便和扩展容易。
是否具有VLAN功能是衡量局域网交换机的一项重要指标。
网络的虚拟化是未来网络发展的潮流。
无线局域网是计算机网络与无线通信技术相结合的产物,可以在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
经过了将近十年的发展,无线局域网的传统应用已经逐渐得到人们的认可,有线+无线的模式得到了广泛的应用,使得无线作为有线网络的一种不可缺少的有益补充。
本文首先对无线局域网市场需求,目前的几种无线网络技术及IEEE802.11b,IEEE802.11a,IEEE802.11g等技术的基本概念和定义进行介绍,接着提出影响WLAN安全性的问题和相应的解决方法,并列举了常见的无线网络安全技术,最后以无线局域网参与校园网建设为例说明了无线局域网在局域网的建设和完善升级中的应用。
由于在现在局域网建网的地域越来越复杂,很多地方应用了无线技术来建设局域网,但是由于无线网络应用电磁波作为传输媒介,因此安全问题就显得尤为突出。
本文通过对危害无线局域网的一些因素的叙述,给出了一些应对的加密措施,以保证无线局域网能够安全,正常的运行。
目录
一概述1
1.1无线局域网的安全发展概况1
1.2无线局域网安全技术研究的必要性2
1.3无线局域网的安全措施3
二无线局域网的加密方式5
2.1有线等效保密协议WEP5
2.2Wi-Fi保护接入WPA9
三总结12
参考文献14
一.概述
1.1无线局域网安全发展概况
无线局域网(WirelessLocalAreaNetwork,简称为“WLAN”)本质上是一种网络互连技术,它是计算机网络与无线通信技术相结合的产物。
是通用无线接入的一个子集,可支持较高的传输速率(可达2Mbps~108Mbps)。
利用射频无线正交频分复用(OFDM),借助直接序列扩频(DSSS)或跳频扩频(UWBT)技术,可实现固定的、半移动的以及移动的网络终端对英特网进行较远距离的高速连接访问。
由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。
WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入。
WLAN已广泛应用于各行各业中,受到人们的青睐,已成为无线通信与Internet技术相结合的新兴。
但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE 802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视,并成为制约WLAN发展的主要瓶颈。
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也不容易防备。
现在,大多数厂商生产的无线局域网产品都基于802.11b标准,802.11b标准在公布之后就成为事实标准,但其安全协议WEP一直受到人们的质疑。
如今,能够截获无线传输数据的硬件设备已经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。
无线局域网安全问题已越发引起人们的重视,新的增强的无线局域网安全标准正在不断研发中。
我国现已制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。
WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。
WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。
了解无线局域网安全技术的发展,使我们能够更加清楚地认识到无线局域网安全标准的方方面面.有利于无线局域网安全技术的研究。
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。
具体分析,无线局域网存在如下两种主要的安全性缺陷:
(一)静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。
除非用户及时告知管理员,否则将产生严重的安全问题。
及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。
但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想象的。
(二)访问控制机制的安全缺陷
1.封闭网络访问控制机制:
几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。
结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
2.以太网MAC地址访问控制表:
MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。
因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:
窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
1.2无线局域网安全技术研究的必要性
由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。
而防火墙对通过无线电波进行的网络通讯无法起作用,任何人在视距范围之内都可以截获和插入数据。
因此,无线网络给网络用户带来了自由,同时带来了新的挑战,这些挑战其中就包括安全性。
无线局域网必须考虑的安全要素有3个:
信息保密、身份验证和访问控制。
如果这3个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。
难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。
通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。
但随后的研究表明,WEP协议同样存在致命性的弱点。
为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。
IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP,CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
1.3无线局域网的安全措施
Wi-Fi(IEEE802.11b,IEEE802.11g,IEEE802.11n)无线局域网的认证(Authentication)和加密(Encryption)方式有OpenSystem,WEP,WPA,WPA2,MACACL,WebRedirection几种。
所谓认证,就是确定无线上网者的身份,以确定连接上无线接入点(AP:
AccessPoint)的人都是合法的无线网络使用者,可以通过使用者的帐号/密码、数位凭证(DigitalCertificate)、或无线网卡的MAC(MediaAccessControl)地址。
所谓加密,就是将要在无线网络中传输的数据加上密锁码保护,这样,即使第三者截听到封包也没有办法解释出封包里面的内容。
以防止合法使用者的内容在传输过程中被别人偷听。
无线网络的各种认证加密方式简单介绍如下:
OpenSystem:
完全不认证也不加密,任何拥有无线网卡的人都可以连到无线接入点。
WEP(WiredEquivalentPrivacy):
有线等效保护协议。
无线接入点设定有WEP密钥(WEPKey),无线网卡在要接入到无线网络是必须要设定相同的WEPKey,否则无法连接到无线网络。
WEP可以用在认证或是加密,例如认证使用OpenSystem,而加密使用WEP;或者认证和加密都使用WEP。
WEP加密现在已经有软件可以轻易破解,因此不是很安全。
WPA(Wi-FiProtectedAccess):
WPA的认证分为两种:
第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。
在大型企业网络中,通常采用这种方式。
另外一种是相对简单的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。
只要密钥吻合,客户就可以获得WLAN的访问权。
由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。
WPA采用TKIP(TemporalKeyIntegrityProtocal)为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。
而且,TKIP利用了802.1x/EAP构架。
认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。
然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。
TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。
虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
WPA2:
WPA2顾名思义就是WPA的加强版,也就是IEEE802.11i的最终方案。
同样有家用的PSK版本与企业的IEEE802.1x版本。
WPA2与WPA的差別在于,它使用更安全的加密技术AES(AdvancedEncryptionStandard),因此比WPA更难被破解、更安全。
MACACL(AccessControlList):
MACACL只是一种认证方式。
在无线AP輸入允许被连入的无线网卡MAC位址,不在此清单的无线网卡无法连入无线网络。
二.无线局域网的加密方式
2.1有线等效保密协议WEP
WEP(WiredEquivalentPrivacy)有线等效保密协议是由802.11标准定义的,是最基本的无线安全加密措施,用于在无线局域网中保护链路层数据,其主要用途是:
•提供接入控制,防止未授权用户访问网络;
•WEP加密算法对数据进行加密,防止数据被攻击者窃听;
•防止数据被攻击者中途恶意纂改或伪造。
WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。
WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个ChallengePacket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。
40位WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。
现在的WEP也一般支持128位的钥匙,提供更高等级的安全加密。
WEP协议使用RC4算法进行数据加密,用CRC-32算法校验数据完整性。
RC4的状态空间非常大,对实际应用的8位S盒,它就有1700位的状态。
又因为其方便快捷,很多软件应用都使用了这个算法。
WEP中的加密使用一个密钥K,这个K有所有的移动站点和AP共享,即它们都必须知道这个K。
为了得到一个WEP加密帧,首先计算明文M的校验和C(M)。
然后网卡选择一个初级化向量IV,添加到密钥K前,产生“包密钥”,RC4算法就是用这个包密钥初始化S盒,产生随机数输出序列,这个序列再校验后的明文异或产生密文。
加密过程如图所示:
IV为初始化向量,PASSWORD为密码KSA=IV+PASSWORD。
DATA为明文CRC-32为明文的完整性校验值PRGA=RC4(KSA)的伪随机数密钥流XOR异或的加密算法。
ENCRYPTEDDATA为最后的密文。
最后IV+ENCRYPTEDDATA一起发送出去。
WEP的数据帧结构:
32位的IV数据项;24位的初始向量值(InitVector);2位的KeyID;6位的纯填充数据(以0填充);32位的ICV循环校验码。
接收端的解密过程如图所示:
CIPHERTEXT为密文。
它采用与加密相同的办法产生解密密钥序列,再将密文与之XOR得到明文,将明文按照CRC32算法计算得到完整性校验值CRC-32′,如果加密密钥与解密密钥相同,且CRC-32′=CRC-32,则接收端就得到了原始明文数据,否则解密失败。
WEP算法通过以上的操作试图达到以下的目的:
采用WEP加密算法保证通信的安全性,以对抗窃听;
采用CRC32算法作为完整性检验,以对抗对数据的篡改。
WEP的身份认证过程:
1.由用户客户端自行搜索无线网卡接收范围内的Wi-Fi信号,并显示公开了SID的接入点的情况;若接入点选择不公开自己的SSID,则在默认情况下无法取得该接入点的SSID信息,也就无法进行连接。
2.客户端向期望连接的接入点发送申请认证的数据帧,接入点的识别是由SSID来完成的。
3.接入点收到申请认证的数据帧后,用WEP加密算法中的伪随机数生成一个128位的ChallengeText加载到管理数据帧,再将其返回客户端。
4.客户端再将该ChallengeText加载到管理帧,用共享密钥与新的IV向量对该帧加密,再传送给接入点。
5.接入点校验该帧的信息正确性与CRC正确性判断该用户是否为合法用户。
WEP是目前最普遍的无线加密机制,但同样也是较为脆弱的安全机制,存在许多缺陷:
缺少密钥管理:
用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。
WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。
由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
而且,一旦攻击者获得了由相同的密钥流序列加密后所得的两段密文,再将两段密文异或,则得到的是两段明文的异或,由此密钥失效。
ICV算法不合适:
WEPICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。
能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点:
在RC4中,人们发现了弱密钥。
所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。
在24位的IV值中,有9000多个弱密钥。
攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
IV冲撞问题:
IV数值的可选范围只有224个,这样在理论上只要传输224个数据帧以后就会发生一次IV重用。
2.2Wi-Fi保护接入WPA
WPA(无线保护接入Wi-FiProtectedAccess)/TPKI(临床密钥完整性协议TemporalIntegrityProtocol)是专为保护无线局域网络通信机密性和完整性的安全协议。
WPA的出现旨在弥补WEP(有限对等加密协议)存在的缺陷,WEP一直是用很多无线LAN产品的安全保护协议。
WPA主要使用两种形式的密钥,包括64位信息完整性检查(MIC)密钥和128位加密密钥。
前者主要用于检查伪造/虚假信息,而后者主要用于加密和解密数据包。
这些密钥都是从共有的主密钥(masterkey)中生成的。
WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。
由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。
其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了。
WPA还追加了防止数据中途被篡改的功能和认证功能。
由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
WPA是目前最好的无限安全加密系统,它包含两种方式:
Pre-shared密钥和Radius密钥:
1)、Pre-shared密钥有两种密码方式:
TKIP和AES,
2)、RADIUS密钥利用RADIUS服务器认证并可以动态选择TKIP、AES、WEP方式。
WPA使用临时密钥完整性协议(TKIP)的加密是必选项。
TKIP使用了一个新的加密算法取代了WEP,比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。
WPA标准里包括了下述的安全特性:
WPA认证、WPA加密密钥管理、临时密钥完整性协议(TKIP)、Michael消息完整性编码(MIC)、AES支持。
WPA改善了我们所熟知的WEP的大部分弱点,它主要是应用于公司内部的无线基础网络。
无线基础网络包括:
工作站、AP和认证服务器(典型的RADIUS服务器)。
在无线用户访问网络之前,RADIUS服务掌控用户信任(例如:
用户名和口令)和认证无线用户。
WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序.它主要的作用包括:
网络安全性能可确定。
它可应用于802.11标准中,并通过数据包里的WPA信息进行通信、探测响应和(重)联合请求。
这些基础的信息包括认证算法(802.1x或预共享密钥)和首选的密码套件(WEP,TKIP或AES)。
认证。
WPA使用EAP来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构,802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。
802.1xEAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的。
在工作站客户端程序(Supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。
例如,如果AP是使用的预共享密钥方法,那么客户端程序不需要使用成熟的802.1x。
然而,客户端程序必须简单地证明它自己所拥有的预共享密钥给AP;如果客户端检测到服务单元不包含一个WPA元素,那么它必须在命令里使用预WPA802.1x认证和密钥管理去访问网络。
密钥管理。
WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能。
在工作站和AP之间成功的认证和通过4步握手后,密钥产生了。
数据加密。
临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点。
数据完整性:
TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC),来确保信息不会被“哄骗”。
WPA安全规则:
针对于WEP的安全漏洞WPA也相应更新了安全规则:
A.增强至48bit的IV。
B.SequenceCounter,防止IV重复。
C.Dynamickeymanagement,动态key管理机制。
D.Per-PacketKey加密机制,每个包都使用不同的key加密。
E.MIC(MessageIntegrityCode),信息编码完整性机制。
解说:
动态key管理机制在通讯期间:
如果侦测到MIC错误,将会执行如下程序。
记录并登录MIC错误,60秒內发生两次MIC错误。
反制措施会立即停止所有的TKIP通讯。
然后更新数据加密的用的TEK
WPA安全机制作用:
1.加密通信流程图、Per-PacketKey加密机制、动态key管理机制使得使用类似,于WEP中分析子密码攻击的方案,在WPA中将变得异常困难,和不可实现。
2.身份验证机制杜绝了-1fakeauthcountattackmode,建立伪连的攻击。
3.增强至48bit的IV、防止IV重复、MIC信息编码完整性机制。
使得要伪造一个合法数据包变得异常的困难。
同时也致使-2Interactive,-4Chopchop,5Fragment此类攻击对于WPA无效。
WPA安全性的前景:
WEP由原来的安全到今天的不安全。
你是否同样也会担心是不是很多年之后的WPA也会是同样的命运。
但我们也要看到WEP的破解不是某个算法的漏洞导致的。
而是整个WEP的安全体系有很多漏洞所共同导致的。
而WPA的安全体系很强壮。
使用的大多是混合算法。
所以某一个算法的弱点往往不能给WPA这样的安全
升级会员 