WLAN的加密方式《移动通信技术》课程设计.doc

1、摘 要VLAN即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。本文主要阐述了VLAN的原理及其具体应用。首先简略介绍了VLAN的概念，其次，深入浅出的介绍了VLAN的特征，优点，接着介绍了它的实现原理，分类，最后举例说明了VLAN的发展趋势和在大型企业网中的实现。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 无线局域网是计算机网络与无线通信

2、技术相结合的产物，可以在不采用传统缆线的同时，提供以太网或者令牌网络的功能。经过了将近十年的发展，无线局域网的传统应用已经逐渐得到人们的认可，有线无线的模式得到了广泛的应用，使得无线作为有线网络的一种不可缺少的有益补充。本文首先对无线局域网市场需求，目前的几种无线网络技术及IEEE802.11b,IEEE802.11a,IEEE802.11g等技术的基本概念和定义进行介绍，接着提出影响WLAN安全性的问题和相应的解决方法，并列举了常见的无线网络安全技术，最后以无线局域网参与校园网建设为例说明了无线局域网在局域网的建设和完善升级中的应用。由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技

3、术来建设局域网，但是由于无线网络应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的加密措施，以保证无线局域网能够安全，正常的运行。目 录一 概述11.1无线局域网的安全发展概况11.2 无线局域网安全技术研究的必要性21.3 无线局域网的安全措施3二 无线局域网的加密方式52.1有线等效保密协议WEP52.2 Wi-Fi保护接入WPA9三 总结12参考文献1415一 概述1.1 无线局域网安全发展概况无线局域网(Wireless Local Area Network，简称为“WLAN”)本质上是一种网络互连技术，它是计算机网络与无线通

4、信技术相结合的产物。是通用无线接入的一个子集，可支持较高的传输速率(可达2Mbps108Mbps)。利用射频无线正交频分复用(OFDM)，借助直接序列扩频(DSSS)或跳频扩频(UWBT)技术，可实现固定的、半移动的以及移动的网络终端对英特网进行较远距离的高速连接访问。由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入。WLAN已广泛应用于各行各业中，受到人们的青睐，已成为无线通信与Internet技术相结合的新兴。但是，随着无线局域网应用领域的不断拓展，无线局域网

5、受到越来越多的威胁，无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还受到基于IEEE802.11标准本身的安全问题而受到威胁，其安全问题也越来越受到重视，并成为制约WLAN发展的主要瓶颈。由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也不容易防备。现在，大多数厂商生产的无线局域网产品都基于802.11b标准，802.11b标准在公布之后就成为事实标准，但其安全协议WEP一直受到人们的质疑。如今，能够截获无线传输数据的硬件设备已经能够在市场上买到，能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视，新的增

6、强的无线局域网安全标准正在不断研发中。 我国现已制定了无线认证和保密基础设施WAPI，并成为国家标准，于2003年12月执行。WAPI使用公钥技术，在可信第三方存在的条件下，由其验证移动终端和接入点是否持有合法的证书，以期完成双向认证、接入控制、会话密钥生成等目标，达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成，类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展，使我们能够更加清楚地认识到无线局域网安全标准的方方面面.有利于无线局域网安全技术的研究。由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越

7、权存取和窃听的行为也更不容易防备。具体分析，无线局域网存在如下两种主要的安全性缺陷： （一）静态密钥的缺陷 静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员，否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题，但当用户少时，管理员可以定期更新这个静态配置的密钥，而且工作量也不大。但是在用户数量可观时，即便可以通过某些方法对所有AP（接入点）上的密钥一起更新以减轻管理员的配置任务，管理员及时更新这些密钥的工作量也是难以想象的。 （二）访问控制机制的安全缺陷 1封闭网络访

8、问控制机制：几个管理消息中都包括网络名称或SSID，并且这些消息被接入点和用户在网络中广播，并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称，获得共享密钥，从而连接到“受保护”的网络上。 2以太网MAC地址访问控制表：MAC地址很容易的就会被攻击者嗅探到，如激活了WEP，MAC地址也必须暴露在外；而且大多数的无线网卡可以用软件来改变MAC地址。因此，攻击者可以窃听到有效的MAC地址，然后进行编程将有效地址写到无线网卡中，从而伪装一个有效地址，越过访问控制。由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网

9、络更加严重的后果。因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。1.2 无线局域网安全技术研究的必要性由于WLAN通过无线电波在空中传输数据，不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全，所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据，要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用，任何人在视距范围之内都可以截获和插入数据。因此，无线网络给网络用户带来了自由，同时带来了新的挑战，这些挑战其中就包括安全性。 无线局域网必须考虑的安全要素有3个：信息保密

10、、身份验证和访问控制。如果这3个要素都没有问题了，就不仅能保护传输中的信息免受危害，还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案，同时获得这三个安全要素。IEEE标准化组织在发布802.11标准之后，也已经意识到其固有的安全性缺陷，并针对性的提出了加密协议（如WEP）来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明，WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷，IEEE802.11工作组提出了新的安全体系，并开发了新的安全标准IEEE802.11i，其针对WEP机密机制的各

11、种缺陷作了多方面的改进，并定义了RSN（RobustSecurityNetwork）的概念，增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制，重新规定了基于802.1x的认证机制，主要包括TKIP，CCMP（CounterCBCMACProtoco1）和WRAP（WirelessRobust AuthenticatedProtoco1）等3种加密机制，同时引入了新的密钥管理机制，也提供了密钥缓存、预认证机制来支持用户的漫游功能，从而大幅度提升了网络的安全性。1.3 无线局域网的安全措施Wi-Fi (IEEE 802.11b, IEEE 802.11g, IEEE

12、802.11n)无线局域网的认证(Authentication)和加密(Encryption)方式有Open System, WEP, WPA, WPA2, MAC ACL, Web Redirection几种。所谓认证，就是确定无线上网者的身份，以确定连接上无线接入点（AP:Access Point）的人都是合法的无线网络使用者，可以通过使用者的帐号/密码、数位凭证（Digital Certificate）、或无线网卡的MAC（Media Access Control）地址。 所谓加密，就是将要在无线网络中传输的数据加上密锁码保护，这样，即使第三者截听到封包也没有办法解释出封包里面的内容。以

13、防止合法使用者的内容在传输过程中被别人偷听。无线网络的各种认证加密方式简单介绍如下： Open System: 完全不认证也不加密，任何拥有无线网卡的人都可以连到无线接入点。 WEP (Wired Equivalent Privacy): 有线等效保护协议。无线接入点设定有 WEP密钥(WEP Key)，无线网卡在要接入到无线网络是必须要设定相同的WEP Key，否则无法连接到无线网络。WEP可以用在认证或是加密，例如认证使用Open System，而加密使用WEP；或者认证和加密都使用WEP。WEP加密现在已经有软件可以轻易破解，因此不是很安全。WPA (Wi-Fi Protected Ac

14、cess): WPA的认证分为两种：第一种采用802.1x+EAP的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器(一般是RADIUS服 务器)来实现。在大型企业网络中，通常采用这种方式。另外一种是相对简单的模式，它不需要专门的认证服务器，这种模式叫做WPA预共享密钥(WPA-PSK)，仅要求在每个WLAN节点(AP、无 线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不 会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。 WPA采用TKIP（Temporal

15、 Key Integrity Protocal）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24 位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥 处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样

16、的RC4加 密算法，但其动态密钥的特性很难被攻破。 WPA2: WPA2顾名思义就是WPA的加强版，也就是IEEE 802.11i的最终方案。同样有家用的PSK版本与企业的IEEE 802.1x版本。WPA2与WPA的差別在于，它使用更安全的加密技术AES (Advanced Encryption Standard)，因此比WPA更难被破解、更安全。 MAC ACL (Access Control List): MAC ACL只是一种认证方式。在无线AP輸入允许被连入的无线网卡MAC位址，不在此清单的无线网卡无法连入无线网络。二.无线局域网的加密方式2.1有线等效保密协议WEPWEP（Wire

17、d Equivalent Privacy）有线等效保密协议是由802.11 标准定义的，是最基本的无线安全加密措施，用于在无线局域网中保护链路层数据，其主要用途是： 提供接入控制，防止未授权用户访问网络； WEP 加密算法对数据进行加密，防止数据被攻击者窃听； 防止数据被攻击者中途恶意纂改或伪造。 WEP 加密采用静态的保密密钥，各 WLAN 终端使用相同的密钥访问无线网络。 WEP 也提供认证功能，当加密机制功能启用，客户端要尝试连接上 AP 时， AP 会发出一个 Challenge Packet 给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存

18、取网络的资源。 40 位 WEP 具有很好的互操作性，所有通过 Wi-Fi 组织认证的产品都可以实现 WEP 互操作。现在的 WEP 也一般支持 128 位的钥匙，提供更高等级的安全加密。WEP协议使用RC4算法进行数据加密，用CRC-32算法校验数据完整性。RC4的状态空间非常大，对实际应用的8位S盒，它就有1700位的状态。又因为其方便快捷，很多软件应用都使用了这个算法。WEP中的加密使用一个密钥K，这个K有所有的移动站点和AP共享，即它们都必须知道这个K。为了得到一个WEP加密帧，首先计算明文M的校验和C（M）。然后网卡选择一个初级化向量IV，添加到密钥K前，产生“包密钥”，RC4算法就

19、是用这个包密钥初始化S盒，产生随机数输出序列，这个序列再校验后的明文异或产生密文。加密过程如图所示：IV 为初始化向量，PASSWORD 为密码 KSA=IV+PASSWORD。DATA 为明文 CRC-32为明文的完整性校验值 PRGA=RC4(KSA) 的伪随机数密钥流 XOR 异或的加密算法。ENCRYPTED DATA 为最后的密文。最后 IV+ENCRYPTED DATA 一起发送出去。WEP的数据帧结构：32位的IV数据项；24位的初始向量值（Init Vector）；2位的Key ID；6位的纯填充数据（以0填充）；32位的ICV循环校验码。接收端的解密过程如图所示：CIPHER

20、TEXT 为密文。它采用与加密相同的办法产生解密密钥序列，再将密文与之XOR 得到明文，将明文按照 CRC32 算法计算得到完整性校验值 CRC-32，如果加密密钥与解密密钥相同，且 CRC-32= CRC-32，则接收端就得到了原始明文数据，否则解密失败。WEP 算法通过以上的操作试图达到以下的目的：采用 WEP 加密算法保证通信的安全性，以对抗窃听；采用 CRC32 算法作为完整性检验，以对抗对数据的篡改。WEP的身份认证过程：1.由用户客户端自行搜索无线网卡接收范围内的Wi-Fi信号，并显示公开了SID的接入点的情况；若接入点选择不公开自己的SSID，则在默认情况下无法取得该接入点的SS

21、ID信息，也就无法进行连接。2.客户端向期望连接的接入点发送申请认证的数据帧，接入点的识别是由SSID来完成的。3.接入点收到申请认证的数据帧后，用WEP加密算法中的伪随机数生成一个128位的Challenge Text加载到管理数据帧，再将其返回客户端。4.客户端再将该Challenge Text加载到管理帧，用共享密钥与新的IV向量对该帧加密，再传送给接入点。5.接入点校验该帧的信息正确性与CRC正确性判断该用户是否为合法用户。WEP 是目前最普遍的无线加密机制，但同样也是较为脆弱的安全机制,存在许多缺陷： 缺少密钥管理:用户的加密密钥必须与 AP 的密钥相同，并且一个服务区内的所有用户都

22、共享同一把密钥。WEP 标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，则将殃及到整个网络。而且，一旦攻击者获得了由相同的密钥流序列加密后所得的两段密文，再将两段密文异或，则得到的是两段明文的异或，由此密钥失效。 ICV 算法不合适: WEP ICV 是一种基于 CRC-32 的用于检测传输噪音和普通错误的算法。CRC-32 是信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改 ICV，使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。 RC4 算法

23、存在弱点:在 RC4 中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的 IV 值中，有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。IV冲撞问题：IV数值的可选范围只有224个，这样在理论上只要传输224个数据帧以后就会发生一次IV重用。2.2 Wi-Fi保护接入WPAWPA（无线保护接入Wi-Fi Protected Access）/TPKI（临床密钥完整性协议Temporal Integrity Protocol）是专为保护无线局域网络通信机密性和完整性的安全协议。WPA

24、的出现旨在弥补WEP（有限对等加密协议）存在的缺陷，WEP一直是用很多无线LAN产品的安全保护协议。WPA主要使用两种形式的密钥，包括64位信息完整性检查（MIC）密钥和128位加密密钥。前者主要用于检查伪造/虚假信息，而后者主要用于加密和解密数据包。这些密钥都是从共有的主密钥（master key）中生成的。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了。WPA还追加了防止数据中途被篡改

25、的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA是目前最好的无限安全加密系统，它包含两种方式：Pre-shared密钥和Radius密钥： 1)、Pre-shared密钥有两种密码方式：TKIP和AES， 2)、RADIUS密钥利用RADIUS服务器认证并可以动态选择TKIP、AES、WEP方式。WPA使用临时密钥完整性协议（TKIP）的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。WPA标准里包括了下述的安全特性:WPA认证、WPA加密密钥管理、临时密钥完整性协

26、议(TKIP)、Michael消息完整性编码(MIC)、AES支持。WPA改善了我们所熟知的WEP的大部分弱点，它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站、AP和认证服务器(典型的RADIUS服务器)。在无线用户访问网络之前，RADIUS服务掌控用户信任(例如:用户名和口令)和认证无线用户。WPA的优势来自于一个完整的包含802.1x/EAP认证和智慧的密钥管理和加密技术的操作次序.它主要的作用包括:网络安全性能可确定。它可应用于802.11标准中,并通过数据包里的WPA信息进行通信、探测响应和(重)联合请求。这些基础的信息包括认证算法(802.1x或预共享密钥)和首选的密

27、码套件(WEP,TKIP或AES)。认证。WPA使用EAP来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构，802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。802.1xEAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的。 在工作站客户端程序(Supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的。例如,如果AP是使用的预共享密钥方法,那么客户端程序不需要使用成熟的802.1x。然而，客户端程序必须简单地证明它自己所拥有的预共享密钥给AP;如果客户端检测到服务单元不包含一个WPA元素，那么它必

28、须在命令里使用预WPA802.1x认证和密钥管理去访问网络。密钥管理。WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能。在工作站和AP之间成功的认证和通过4步握手后,密钥产生了。数据加密。临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点。数据完整性：TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC)，来确保信息不会被“哄骗”。WPA 安全规则：针对于 WEP 的安全漏洞 WPA 也相应更新了安全规则：A 增强至 48bit 的 IV。BSequence Counter，防止 IV 重复。CDynamic key manage

29、ment，动态 key 管理机制。D Per-Packet Key 加密机制，每个包都使用不同的 key 加密。E MIC (Message Integrity Code )，信息编码完整性机制。解说：动态 key 管理机制在通讯期间：如果侦测到 MIC 错误，将会执行如下程序。记录并登录 MIC 错误，60 秒內发生两次 MIC 错误。反制措施会立即停止所有的 TKIP 通讯。然后更新数据加密的用的 TEKWPA 安全机制作用：1.加密通信流程图、Per-Packet Key 加密机制、动态 key 管理机制使得使用类似，于 WEP 中分析子密码攻击的方案，在 WPA 中将变得异常困难，和不

30、可实现。2. 身份验证机制杜绝了-1 fakeauth count attack mode，建立伪连的攻击。3.增强至 48bit 的 IV、防止 IV 重复、MIC 信息编码完整性机制。使得要伪造一个合法数据包变得异常的困难。同时也致使-2 Interactive，-4 Chopchop，5 Fragment 此类攻击对于 WPA 无效。WPA 安全性的前景：WEP 由原来的安全到今天的不安全。你是否同样也会担心是不是很多年之后的 WPA也会是同样的命运。但我们也要看到 WEP 的破解不是某个算法的漏洞导致的。而是整个WEP 的安全体系有很多漏洞所共同导致的。而 WPA 的安全体系很强壮。使

31、用的大多是混合算法。所以某一个算法的弱点往往不能给 WPA 这样的安全体系以致命的打击。WPA 这种依靠算法的安全体系也许某一天会被破解。但是可能 WPA 被完全破解的那一天比 WPA 废弃的那一天都晚。如果这样的话，那么的确该说 WPA 是一种很强壮的安全体系。三总结无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样，所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样

32、，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。对本次课程设计的心得体会：一、温故而知新。课程设计发端之始，思绪全无，举步维艰，对于理论知识学习不过扎实的我深感“书到用时方恨少”，于是想起圣人之言“温故而知新”，便重拾教材，对知识系统而全面进行梳理，遇到难处显示苦思冥想再向同学请教，终于熟练掌握了基本理论知识，而且领悟诸多平时学习难以理解掌握的较难知识，学会了如何思考的思维方式，找到了设计的灵感。二、思路即出路。当初没有思路，诚如举步维艰，对理论知识梳理掌握后茅塞顿开，柳暗花明，没有思路便无出路，原来思路即出路。三、实践出真知

33、。在教材上，过程只是简简单单的在我们大脑中进行，而现在通过组队讨论和查资料，我们越发的清晰的理解各种操作的过程。同时认知更为深刻。在课堂上，我们大多接触的是专业课，我们在课堂上掌握的仅仅是专业课的理论知识，如何去锻炼我们的实践能力？如何把我们所学的专业知识用到实践中去呢，这次课程设计给了我们一个非常好的平台。四、培养了我们扎实的学习作风。我们在做这次课程设计的时候，我们感触最深的当属查阅大量的设计资料了。为了让我们自己的设计更加完善，查阅这方面的设计资料是十分必要的，同时也是必不可少的。我们一切都要有据可依，有理可循，不切实进的构想只能是构想，永远无法升级为设计。总之，我们一直认为，通过这次课

34、程设计我们得到的不仅仅是对现有知识的应用能力，最重要的是我们学会了团队合作。在将来，任何大事都不是一个人能够独自完成的，需要很多人。所以我们学会了团队合作这一点是很重要的。我们提高了团队精神的认识；在团队成员之间关系上我们学会了更好的如何处理，我们都对这次的课程设计投入了很大的时间和精力，互相协作，追求团队内的和谐。所以这次课程设计既是对这学期所学知识的总结，又是我们小组成员提高友谊，锻炼能力的平台。参考文献1陈鹤、曹科,无线局域网技术研究与安全管理J.现代机械,2006,(04).2赵琴.浅谈无线网络的安全性研究J.机械管理开发,2008,(01).3李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施J.现代电子技术.2007, (5):91-94.4王茂才等:无线局域网的安全性研究.计算机应用研究,2007年01期.5