无线局域网中的安全及加密技术研究Word文档下载推荐.docx

1、本文从分析无线局域网的安全威胁，保护用户的信息方面出发，讨论了无线局域网的几种安全保密技术，分析了WLAN在加密方面存在的问题，并给出了解决建议。关键字：无线局域网，加密；安全；802.11标准；有线等效保密；WAPI 鉴别与保密AbstractWith the development of wireless technology, wireless local area network （WLAN） has become a hot topic in the IT industry, wireless LAN technology is in the ascendant, various k

2、inds of new technologies, new standard is endless, gradually become computer network an important part; however, as an emerging technology, WLAN has a lot of security risks. The from the analysis of wireless LAN security threats, protect the users information of discussed several kinds of wireless L

3、AN security technology, analyzes the problems existing in the encryption WLAN, and gives the suggestions to solve the problem.Keywords: Wireless local area network, encryption, security; 802.11 standard; Wired Equivalent Privacy; WAPI authentication and security目 录摘 要 IAbstract II目 录 III1 绪 论 11.1 研

4、究背景 11.2 本课题研究的内容和意义 12 无线局域网的安全威胁 23 无线局域网的安全保障 33.1 SSID访问控制 33.2 MAC地址过滤 33.3 802.11的认证服务 34 无线局域网安全的增强性技术 54.1 802.1x扩展认证协议 54.2 WPA保护机制 54.2.1认证 54.2.2加密 54.2.3消息完整性校验 64.3 VPN 64.4 WAPI鉴别与保密 65 无线局域网的安全措施 85.1验证 85.2加密 86 总 结 9参考文献 10致 谢 111 绪 论经过20多年的发展，无线局域网（WirelessLocalAreaNetwork，WLAN），已经

5、成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的，它具有更大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安全问题。 无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现，安全问题已经成为WLAN走入信息化的核心舞台，成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。1.1 研究背景随着公司无线局域网的大范围推广普及使用，WLAN网络信息系统所面临的安全问题也发生了很大

6、的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击，而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。1.2 本课题研究的内容和意义由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全。2 无线局域网的安全威胁电由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种：所有有线网络存在的安全威胁和隐患都存在；无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试，一定程度上暴露了网络的存在；

7、无线局域网使用的是ISM公用频段，使用无需申请，相邻设备之间潜在着电磁破坏（干扰）问题；外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；无线网络易被拒绝服务攻击（DOS）和干扰；内部员工可以设置无线网卡为P2P模式与外部员工连接。3 无线局域网的安全保障自从无线局域网诞生之日起，安全性隐患与其灵活便捷的优势就一直共存，安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE802.11系列标准从多个层次定义了安全性控制手段。3.1 SSID访问控制服务集标识符（Service

8、 Set Identifier，SSID）这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID，也称业务组标识符，是一个WLAN的标识码，相当于有线局域网的工作组（WORKGROUP）。无线工作站只有出示正确的SSID才能接入WLAN，因此可以认为SSID是一个简单的口令，通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。严格来说SSID不属于安全机制，只不过，可以用它作为一种实现访问控制的手段。3.2 MAC地址过滤MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件

9、认证，而不是用户认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即只允许合法的MAC地址终端接入网络。用无线局域网中，AP只允许合法的MAC地址终端接入BSS，从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完成，因此扩展能力差，只适合小型网络规模，同时这种方法的效率也会随着终端数目的增加而降低。3.3 802.11的认证服务802.11站点（AP或工作站）在与另一个站点通信之前都必须进行认证服务，两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务：开放系统认证和共享密钥认证。采用共享

10、密钥认证的工作站必须执行有线等效保密协议（Wires Equivalent Privacy，WEP）。WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密，属于序列密码。为了解决密钥重用的问题，WEP算法中引入了初始向量（Initialilization Vector，IV），IV为一随机数，每次加密时随机产生，IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分，所以无须保密，多以明文形式传输。WEP协议自公布以来，它的安全机制就遭到了广泛的抨击，主要问题如下：（1）WEP加密存在固有的缺陷，它的密钥固定且比较短（只有64-2440bits）。（2）IV

11、的使用解决了密钥重用的问题，但是IV的长度太短，强度并不高，同时IV多以明文形式传输，带来严重的安全隐患。（3）密钥管理是密码体制中最关键的问题之一，但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。（4）WEP的密钥在传递过程中容易被截获。所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件，例如WEPCrack和AirSnort。4 无线局域网安全的增强性技术随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用，业界积极研究，开发了很多增

12、强WLAN安全性的方法。4.1 802.1x扩展认证协议IEEE802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。然后

13、，客户机与AP激活WEP，利用密钥进行通信。为了进一步提高安全性，IEEE802.1x扩展认证协议采用了WEP2算法，即将启动源密钥由64位提升为128位。移动节点可被要求周期性地重新认证以保持一定的安全级。4.2 WPA保护机制Wi-Fi Protected Access（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。4.2.1认证WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权

14、，并且这是是强制性的。WPA的认证分为两种：第一种采用802.1x+EAP（Extensible Authentication Protocol）的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式，要求在每个无线局域网节点（AP、STA等）预先输入一个密钥，只要密钥吻合就可以获得无线局域网的访问权。4.2.2加密WPA采用TKIP（TemporalKeyIntegrityProtocol，临时密钥完整性协议）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加

15、到128位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。4.2.3消息完整性校验除了保留802.11的CRC校验外，WPA为每个数据分组又增加了一个8个字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。4.3 VPN 目前许多企业以及运营商已经采用虚拟专用网（VPN）技术。虚拟专用网（VPN）技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，其本身并不属于802.1