无线局域网认证及加密技术应用研究.docVIP

无线局域网认证及加密技术应用研究 　　摘 要 针对无线局域网中的安全问题，提出了无线局域网的安全系统，包括认证、加密、WLAN三部分。深入研究三种对WEP的攻击手段，并提出相关对策。研究表明IPSec VPN 并不能解决 MAC 层的安全问题，为此，采用同步伪随机序列协议来实现。同步伪随机序列安全协议是一个基于认证的安全协议，采用通信双方相互认证、动态密钥等方式来保障无线局域网信息传输过程中的 MAC 层的安全。并用 BAN形式逻辑上验证了该方案的完备性。IPSec VPN 和同步伪随机序列两种方法的结合，可以较好地在现有无线网络设备的基础上，解决现有无线局域网所面临的主要安全威胁。 　　关键词 无线局域网 认证 加密 同步伪随机序列 　　无线局域网（WLAN）具有易于实施，减小成本和管理代价，灵活及效率高的特点，但是无线技术缺乏固有的物理保护，容易遭受更多的网络安全攻击，而且不容易检测。最近的许多安全研究表明IEEE802.11的协议安全机制WEP和认证也存在不少漏洞。因此，对无线局域网的安全性研究，特别是广泛使用的 IEEE802.11 无线局域网的安全性研究，发现其可能存在的安全缺陷，研究相应的改进措施，提出新的改进方案，对无线局域网技术的使用、研究和发展都有着深远的影响。 　　1无线局域网安全性分析 　　1.1 无线局域网面临的安全问题 　　无线局域网面临的安全问题包括：容易侵入、非法的AP、未经授权使用服务、服务和性能的限制、地址欺骗和会话拦截、流量分析与流量侦听及高级入侵。最主要的安全问题是高级入侵。 　　一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。 　　1.2 无线局域网安全系统 　　无线局域网安全系统由认证，加密，WLAN三部分组成。 　　认证技术：通过IEEE802.1x，EAP，RADIUS协议验证信息的发送者是合法的而不是冒充的，验证信息的完整性，是防止主动攻击的重要技术，对开放环境中的各种信息系统的安全性有重要作用。 　　加密技术：应用对称密钥，公钥密码，密钥管理来隐藏和保护需要保密的信息。 　　WLAN技术：是计算机网络与无线通信技术相结合的产物，由MAC层和物理层组成。 　　2 认证技术分析 　　IEEE 802.11标准定义了两种身份认证的方法：开放式身份认证和共享密钥认证。802.1x协议起源于802.11协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。 802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。 体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分。 　　2.1 802.1x认证流程 　　基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等认证方法。 　　2.2 Diameter协议 　　Diameter协议由基础协议、传输协议和一系列应用扩展组成。Diameter协议应用扩展主要包括Diameter移动IPv4/IPv6应用、Diameter NASREQ应用、Diameter SIP应用、Diameter多媒体应用、Diameter用户会话移动性应用等。 　　Diameter节点间的网络连接是在Diameter节点启动过程中动态建立的基于TCP或者SCTP传输协议上的套接字连接。 　　对于一个Diameter节点，其对端节点，或者基于静态配置，或者基于动态，利用服务定位协议（Service Location Protocol，SLP）、域名服务器协议（Domain Name Server，DNS）发现。当Diameter协议栈启动时，Diameter节点会尝试与每一个它所得知的对端节点建立套接字连接。 　　在成功建立一个套接字连接，即对等连接后，两个Diameter节点将进行能力协商，交换协议版本、所支持的应用协议、安全模式等信息。能力协商是通过Diameter的能力交换请求（Capabilities-Exchange-Request，CER）和能力交换响应（Capabilities-Exchange-Answer，CEA）两个Diameter消息的交互实现的。能力协商之后，应该把有关对端所支持的应用等信息保存在高速缓存中，这样就可以防止把对端不认识的消息和AVP发送给对端。 　　2.3 Diameter协议与RADlUS