1705.无线网络安全技术 毕业论文与任务书.doc

《1705.无线网络安全技术 毕业论文与任务书.doc》由会员分享，可在线阅读，更多相关《1705.无线网络安全技术 毕业论文与任务书.doc（17页珍藏版）》请在优知文库上搜索。

1、毕 业 设 计（论文）设计题目： 无线网络安全技术 系 （部）： 计算机工程系 班 级： 网络系统管理 设 计 者： 学 号： 指导教师： 设计时间： 摘要：2前言：3一、无线网络安全问题：4二、无线局域网安全技术研究：5（一）早期基本的无线局域网安全技术53、有线等效保密（WEP）：6（二）认证61、基于PPPoE的认证72、基于WEB的认证83、基于802.1X的认证9（三）访问控制10（四）加密111、单钥密码体制112、双钥密码体制12（五）数据完整性12（六）不可否认性12三、无线局域网安全标准分析：13（一） 802.11i（WPA）之前的安全解决方案132、无线客户端二层隔离技术

2、：143、VPN-Over-Wireless技术：14（二） IEEE802.11安全标准：WEP14（三） IEEE802.11i与WPA安全标准15（四）快速发展的WPA (Wi-Fi 保护访问) 技术16（五）中国无线局域网安全标准：WAPI17（六）高级的无线局域网安全标准IEEE 802.11i181、IEEE 802.11i标准草案中主要包含加密技术：19四、无线局域网安全测试：201、运营级无线局域网安全测试系统主要包括以下设备：20五、参考文献：22摘要：本文详细论述了近年来发展迅速的无线网络的安全重要性与相关技术。主要讲述了早期基本的无线局域网安全技术，基于PPPoE的认证，

3、基于WEB的认证，基于802.1X的认证，访问控制，单钥密码体制，双钥密码体制，数据完整性，不可否认性，802.11i（WPA）之前的安全解决方案，IEEE802.11安全标准：WEP，IEEE802.11i与WPA安全标准，快速发展的WPA (Wi-Fi 保护访问) 技术，中国无线局域网安全标准：WAPI，高级的无线局域网安全标准IEEE 802.11i，无线局域网安全测试等等。关键字： WEP，WPA，WAPI，IEEE802.11i，前言：当然伴随无线网络的发展相关的安全问题也日益严重，功能越多，弊端越多已经成为大家近年来对于新技术的认识。而且随着病毒与骇客的泛滥，无线防黑已经成为焦点。

4、当您正享受着无线网络带给您的方便快捷同时，有可能您已经悄悄被骇客盯上了，骇客通过一些非正常手段来窃取您的隐私与重要资料，而您却有束手无措。怎样才能有效的进行无线防黑并且对您的无线网络进行彻底的优化就是本文的关键。一、无线网络安全问题：由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全要素有三个：信息保密、身份验证和访问控制。如果这三个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。二、无线局域网安全技术研究：（一）早期基本的无线局域网安全技

5、术1、无线网卡物理地址（MAC）过滤： 每个无线工作站网卡都由惟一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。如果企业当中的AP数量太多，为了实现整个企业当中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中Radius认证。2、服务区标识符(SSID)匹配： 无线工作站必须出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此可以认为SSID是

6、一个简单的口令，从而提供口令认证机制，实现一定的安全。在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。3、有线等效保密（WEP）： 有线等效保密（WEP）协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。 WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享

7、密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙，提供更高等级的安全加密。为了保证安全通信，无线局域网中应采取必要的安全技术，包括访问控制、认证、加密、数据完整性及不可否认性等。（二）认证认证提供了关于用户的身份的保证，这意味着当用户声称具有一个特别的身份时，认证将提供某种方法来证实这一声明是正确的。用户在访问无线局域网之前，首先需要经过认证验证身份以决定其是否具有相关权限，再对用户进行授权，允许用户接入网络，访问权限内的资源。尽管不同的

8、认证方式决定用户身份验证的具体流程不同，但认证过程中所应实现的基本功能是一致的。目前无线局域网中采用的认证方式主要有PPPoE认证、WEB认证和802.1X认证。1、基于PPPoE的认证PPPoE认证是出现最早也是最为成熟的一种接入认证机制，现有的宽带接入技术多数采用这种接入认证方式。在无线局域网中，采用PPPoE认证，只需对原有的后台系统增加相关的软件模块，就可以到达认证的目的，从而大大节省投资，因此使用较为广泛。图1是基于PPPoE认证的无线局域网网络框架。图1 基于PPPoE认证的无线局域网网络框架PPPoE认证是一种成熟的认证方式，实现方便。但是由于它是基于用户名口令的认证方式，并只能

9、实现网络对用户的认证。安全性有限；网络中的接入服务器需要终结大量的PPP会话，转发大量的IP数据包，在业务繁忙时，很可能成为网络性能的瓶颈，因此使用PPPoE认证方式对组网方式和设备性能的要求较高；而且由于接入服务器与用户终端之间建立的是点到点的连接。即使几个用户同属于一个组播组，也要为每个用户单独复制一份数据流，才能够支持组播业务的传输。2、基于WEB的认证WEB认证相比于PPPoE认证，一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件，给用户免去了安装、配置与管理客户端软件的烦恼，也给运营维护人员减少了很多相关的维护压力。同时，WEB认证配合Portal服务器，还可在认

10、证过程中向用户推送门户网站，有助于开展新的增值业务。图2是基于WEB认证的无线局域网网络框架。图2 基于WEB认证的无线局域网网络框架在WEB认证过程中，用户首先通过DHCP服务器获得IP地址，使用这个地址可以与Portal服务器通信，也可访问一些内部服务器。在认证过程中，用户的认证请求被重定向到Portal服务器，由Portal服务器向用户推送认证界面。3、基于802.1X的认证802.1X认证是采用IEEE802.1X协议的认证方式的总称。IEEE802.1X协议由IEEE于2001年6月提出，是一种基于端口的访问控制协议（PortBasedNetwork Access Control P

11、rotocol），能够实现对局域网设备的安全认证和授权。802.1X协议的基础在于EAP（Extensible Authentication Protocol）认证协议，即IETF提出的PPP协议的扩展。EAP消息包含在IEEE 802.1X消息中，被称为EAPOL（EAP over LAN）。IEEE 802.1X协议的体系结构包括三个重要的部分，客户端、认证系统和认证服务器。三者之间通过EAP协议进行通信，基于802.1X认证的无线局域网网络框图如图3所示。可知，在一个802.1X的无线局域网认证系统中，认证不是由接入点AP完成，而是由一个专门的中心服务器完成。如果服务器使用Radius协

12、议时，则称为Radius服务器。用户可以通过任何一台PC登陆到网络上，而且很多AP可以共享一个单独的Radius服务器来完成认证，这使得网络管理者能更容易地控制网络接入。图3 基于802.1X的无线局域网网络框图802.1X使用EAP协议来完成认证，但EAP本身不是一个认证机制，而是一个通用架构用来传输实际的认证协议。EAP的好处就是当一个新的认证协议发展出来的时候，基础的EAP机制不需要随着改变。目前有超过20种不同的EAP协议，而各种不同形态间的差异在于认证机制与密钥管理的不同。其中比较有名的EAP协议包括：最基本的EAP-MD5；需要公钥基础设施PKI（PublicKeyInfrastr

13、ucture）的EAP-TTLS，PEAP，EAP-TLS与EAP-LEAP；基于SIM卡的EAP-AKA与EAP-SIM：基于密码的EAP-SRP和EAP-SPEKE；基于预共享密钥PSK（PreShared Key）的EAP-SKE，EAP PSK与EAP-FAST。（三）访问控制访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问B

14、SSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。（四）加密加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型：数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的，而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。根据密码算法所使用的加密密钥和解密是否相同，由加密过程能否推导出解密过程（或是由解密过程推导出加密过程），可将密码体制分为单钥密码体制（也叫做对称密码体制、秘密密钥密码体制）和双钥密码体制（也叫做非对称密码体制、公开密钥密码体制）。1、单钥密码体制分组密码是一种常见的单钥体制。其中有两种著名的分组密码：数据加密标准DES（DataEncryptionStandard）：DES的出现引起了学术界和企业界的广泛重视，许多厂家很快生产出实现DES算法的产品，但其最大的缺点在于DES