基于公钥证书的无线局域网认证.doc
《基于公钥证书的无线局域网认证.doc》由会员分享,可在线阅读,更多相关《基于公钥证书的无线局域网认证.doc(31页珍藏版)》请在沃文网上搜索。
1、摘 要无线局域网WLAN(Wireless Local Aiea Network)由于其安装灵活、使用方便而被广泛应用与企业、办公室、家庭、机场、医院以及抢险救灾等特殊环境,但同时开放的无线传输介质也给WLAN应用带来了诸多安全问题,如数据更容易被窃听、截获或篡改,而无线设备更容易遭到拒绝服务、假冒等攻击。针对WLAN面临的安全问题,本文在详细分析WLAN的网络特点、安全需求的基础上,总结了WLAN面临的安全威胁,并对威胁进行分类;系统地分析了最新两大WLAN安全标准 IEEE802.11i和WAPI的安全架构,指出了它们各自存在的安全弱点或缺陷,这些安全弱点包括实体认证效率不高、密钥协商协议
2、不完备、核心设备AP/AS计算所需资源较大、协议设计易遭拒绝服务攻击从而导致安全架构的可用性差等。分析指出802.11i存在配置不当导致认证属性丧失、密钥协商存在反射攻击、易遭拒绝服务攻击等问题;分析指出WAPI不能实现对User的真正认证、密钥协商协议不完整、易遭拒绝服务攻击等问题。在分析上述两大标准存在的安全问题基础上,提出了一种高效无线局域网访问控制算法-基于公钥证书的访问控制.。实现“在第一时间”对WLAN主要认证实体User的“显性”认证,并完成USER、AS和AP之间的相互认证和初始密钥协商,而且实现每个协议消息源可认证,完整性保护和密钥确认,更安全地实现密钥更新。本文设计的算法弥
3、补802.11i和WAPI的安全缺陷与不足,具有更好的安全性,更高的效率。关键词:无线局域网安全;身份认证;802.11i,WAPI;公钥证书AbstractAs its flexibility and convenience,Wireless Local Network (WLAN) is widely used in corporations, offices, airports, hospitals, and at home, or in special environment for dealing with an emergency event. However, opening w
4、ireless transmission brings some security vulnerabilities into WLAN, such as data is easily eavesdropped, intercepted and modified, as Denial of Services masquerading attacks are easily mounted.In order to solve these security problems, upon analyzing the net work features and security need of WLAN,
5、 vulnerabilities are summarized and classified. The infrastructures of two main standards- IEEE 802.11i and WAPI- are analyzed systematically and vulnerabilities and shortcomings of them are pointed out, which include inefficient authentication, sources-costly computation and DOS attacks brought up
6、with the design of protocols, which influence the availability of WLAN. In802.11i, the property of authentication can be lost if configuration is deployed incorrectly and reflection attacks are existed to key negotiation protocol. In WAPI, the USER is not authenticated by AS and the key negotiation
7、protocol is incomplete. Furthermore, DOS attacks are easily amounted in the two standards.Upon analysis of the two standards, a novel and efficient WLAN protocol-control of using CA is designed. In this design, no signature algorithm is needed, AS authenticates USER in the foremost time using less h
8、andshakes and less messages in protocol flows, as well as the mutual authentication of USER, AP ,AS and initial key negotiation are completed, but also achieves source authenticated and integrity protected for every flow and refreshes keys in a more secure manner. The protocol designed in this thesi
9、s, compared with 802.11i and WAPI, has better security properties (muli-factors entities authentication and defending against DOS effectively) and efficiency.Key words: WLAN; authentication protocol: 802.11i: WAPI : CAII 目 录第一章 绪论 . 11.1 无线局域网应用及安全问题 . 11.2 无线局域网安全机制研究现状 . 1第二章 相关研究 . 3 2.1 无线局域网安全概
10、述 . 32.1.1 WLAN面临的威胁实例 . 42.1.2 分析WLAN面临的威胁 . 42.2 IEEE 802.11i . 52.2.1 IEEE 802.11i认证和密钥管理 . 62.3 WAPI .92.3.1 实体认证的不完备性 .112.3.2 密钥协商协议的不完备性 .112.3.3 计算瓶颈于拒绝服务攻击 .12第三章:基于公钥证书的无线局域网安全协议设计 .133.1 安全协议概要 .133.2 身份认证算法设计 .133.2.1 在本地网首次接入网络时身份认证 .143.2.2 在本地网再次接入网络时身份认证 .153.2.3 在异地网接入网络时身份认证 .163.3
11、 密钥分配算法设计 .163.4 数字签名 .18第四章:安全性与效率分析 .214.1 安全性分析 .214.2 效率分析 .23第五章 结论 .25参考文献 .27谢辞 .28 第一章 绪 论1.1无线局域网应用及安全问题无线网可以提供普适的网络连接,己成为快速增长的通信技术领域之一。在世界范围内,无线通信应用取得了长足发展,利用移动电话提供语音和数据服务方面己经取得了一定范围的广泛应用,无线网络向着更高速率和更宽带宽支持多媒体应用的方向发展。在城市范围内,WiMAX(IEEE 802.11)可以向用户提供高速宽带网络接入访问Internet。在局域网环境内,Wi-Fi(IEEE 802.
12、11)使用户在公司、学校、办公大楼内可以获得无线网络连接。而在一个个人范围内(通常小与10米),蓝牙技术(Bluetooth,IEEE802.15)提供便携设备的低廉,小范围无线网络连接。与蜂窝网络比较,WLAN具有更高的传输速率,当然传输范围较小,更适合机场、咖啡厅等热点和家庭、小公司内部署,以及在园区网络中的分布式部署。自1999年颁布 IEEE802.llb,在Wi-Fi组织的能力下,基于IEEE802.11标准的WLAN得到了快速的发展和广泛应用。但同时,因为WLAN网络固有的特点,其开放的无线通信链路更容易在一定范围内被非法访问;无线链路传输数据更容易被窃听;无线网络更容易遭敌手恶意
13、攻击,所以WLAN安全性弱点在一定程度上制约了其应用。WLAN网络的应用存在严重的安全隐患1,未配置任何安全保障措施的WLAN应用仍占较大比例.因此,近年来各个标准化组织,企业,学者等越来越关注WLAN网络的安全应用。WLAN的安全应用研究也成为了热点,如何提供高安全性、同时高效率的安全机制以适应WLAN网络环境的特殊需要,成为广大技术研究人员关注的问题。1.2无线局域网安全机制研究现状(1)国外现状:基于IEEE802.11规范的WLAN网络得到广泛应用,各厂家推出了大量的产品,同时其安全性也得到了来自行业、标准化组织、企业、学者关注2,并得到了较广泛而深入的研究。Borisov等和Arba
14、ugh等等研究人员发现其存在诸多安全缺陷。IEEE组织于2004年6月24日批准了其WLAN安全标准802.11i该标准设计旨在为802.11网络提供增强的介质访问控制(MAC)层安全。IEEE802.11i标准定义了两类安全架构:健壮安全网络联合 RSNA(Robust Security Network Association)和预健壮安全网络联合Pre-RSNA。IEEE于2004年7月正式颁布WLAN安全规范802.11i(包含WPA标准作为向前兼容的可选机制)定义了强健安全网络 RSN(Robust security Network)规范,除了包含802.lx、EAP/EAPOL(EA
15、P over LAN)等协议,引入包括计数/密文块链接消息认证码协议CCMP(Counter-Mode/CBC-MAC Protocol),和对称分组加密算法AES(Advanced Encryption standard)。802.11i实现WLAN保密通信,假设在执行任何数据保密协议之前对等实体已经共享一个新鲜临时密钥 TK(Temporal Key),一般该密钥是在实体认证阶段认证实体协商产生的。业界一般认为RSN解决了WEP3、WPA中存在的安全威胁,实现了WLAN安全需求。同时,一些研究4也指出其安全隐患并提出改进或正确配置建议。(2)国内现状:WAPI(WLAN Authentic
16、ation and Privacy Infrastructure)是我国无线局域网领域首批颁布实施的国家标准,其中包括WAPI安全标准规范。标准 GB15629.11定义了WLAN鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)安全机制,该安全机制由WLAN鉴别基础结构WAI(WLAN Authentication Infrastructure)和WLAN保密基础结构WPI(WLAN Privacy Infrastructure)两组部分组成,标准使用椭圆曲线ECC公钥密码算法,对称加密算法采用国家密码办指定的商用密码标
17、准,分别实现对实体的鉴别和对传输数据加密。WAI认证结构采用公钥密码体制,基于数字证书(独立设计的数据结构,不兼容x.509证书格式)的公钥体制下实现实体认证和密钥协商.WAI定义了一种名为认证服务单元 ASU(Authentication Service Unit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新),其物理形态为认证服务器 AS(Authe ntication Server)。WAPI证书是WLAN网络设备的数字身份凭证,里面包含有证书持有者的标识和公钥信息、证书颁发者(WAPI定义ASU为证书颁发和管理权威实体)签名。但该标准同时也存在一些设计
18、上的缺憾和不足,国内研究人员也对其进行了积极的研究和探讨。 第二章 相关研究2.1 无线局域网安全概述无线局域网WLAN(Wireless Local Area Network)因其比蜂窝移动通信系统有更高的传输速率,比有线网有更好的灵活性,成为有线网络无线延伸的重要形式。WLAN可以广泛应用在生活社区、游乐园、旅馆、机场、车站等游玩交通区域实现旅游休闲上网;可以应用在政府办公大楼、校园、企事业等单位实现移动办公;可以应用在医疗、金融证券等方面实现任意时间和地点的网上诊断,网上交易。对于难于布线的环境,如老式建筑,沙漠区域等;对于频繁变化的环境,如各种展览大楼;对于临时需要的宽带接入,流动工作
19、站等,都体现了WLAN应用优势。但同时,由于无线通信固有的开放性,无线局域网存在以下安全弱点:无线通信信息易被窃听、截获、篡改,非授权用户非法使用网络资源,网络更容易受到敌手攻击等。因此安全性保障是WLAN应用的关键问题之一。在基础架构WLAN中,定义了3个实体:无线工作站STA(Station),也称无线终端,一般是装有无线网卡的计算机、笔记本电脑或手持设备如PAD等;访问节点 AP(Access Point),连接无线终端、连接无线网络和有线网络的网关设备;认证服务器 AS(Authentication server),部署在有线网络中的一台服务器,实现对访问无线网络的终端设备的认证,实现
20、无线网络的授权访问。在基础架构WLAN模式下,所有用户与访问节点AP通信,AP往往还充当网桥,将数据转发到相应的有线或无线网中,即STA通过AP实现STA间的通信或STA与有线网络通信。一个由无线设备直接通信组成的区域被定义为一个基本服务集BSS(Basic service Set),应用AP的WLAN网络中,一个AP覆盖的无线连接网络区域为一个BSS;通过AP可以使无线网络连接到有线网络中,扩展连接不同BSS使它们能够相互通信的结构组件称为分布式系统 Ds(Distribution System);而通过DS(典型的是有线网络)实现了BSS之间互相通信,这种扩展了的BSS称为扩展基本服务集
21、EBSS(Extended Basic Service set)。2.1.1 WLAN面临的威胁实例下面给出一些无线网络和手持设备可能遭受的安全威胁和恶意攻击。(1)所有有线网络中存在的攻击都可用于无线网络;(2)恶意实体可以通过无线连接,绕过有线网络防火墙的保护,通过非法访问无线网络,获得非授权访问一个机构内部(有线)计算机网络;(3)未加密(或使用了不好的加密技术进行加密)而在两个无线设备间传输的敏感数据,可以被截获并可能被暴露;(4)拒绝服务攻击DOS可以直接针对无线连接或设备;(5)恶意实体可能干扰合法用户的秘密,并可能跟踪他们的行为;(6)恶意实体可以借助非授权设备(如STA或AP)
22、秘密地获取对敏感信息的访问;(7)手持设备容易丢失,则可能暴露其内部存放的敏感信息;(8)不恰当地配置设备可以导致数据无须探测而被提取,如AP的SSID;(9)外部或内部入侵者可能获取无线网络管理控制的连接,进而禁止或破坏操作;(10)恶意实体可以使用第三方不受信任的无线网络服务获取对一个机构或其他组织网络资源的访问;这里列出的WLAN面临的威胁实例虽不能显性概括所有攻击,但足以说明无线网络往往给攻击者更多的攻击机会、存在通过无线网络攻击有线网络等安全问题。2.1.2 分析WLAN面临的威胁为了分析WLAN安全协议,根据WLAN网络环境特点以及分层网络结构,首先刻画WLAN中敌手的能力,将敌手
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
20 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 证书 无线 局域网 认证