基于ieee80211无线宽带局域网

基于ieee80211无线宽带局域网内容摘要：

忙的网络也不会在这么短的时间内产生足够的数据证实攻 击者破获密钥。 (7)高级入侵 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。 很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。 无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。 即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。 关键安全技术 有线网络和无线网络有着不同的传输方式。 有线网络的访问控制往往以物理端口接 入方式进行监控，数据通过双绞线、光纤等介质传输到特定 的目的地，有 线网络辐射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。 而无线网络的数据传输是利用电磁波在空气中辐射传播，只要在接入点 (AP， Access Point)覆盖的范围内，所有的无线终端都可以接收到无线信号。 无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原级本 科毕业设计论文 第 12 页 共 26 页 因。 无线局域网络产品的 IEEE 系列标准主要有 (5GHz1999 年获得通过 )、 (11Mbps 年获得通过 )、 (额外的规章制度 )、(服务质量 )、 (接入点间协议 IAPP)、 (率 20Mbps2020 年 5 月获得通过 )、 (灵活的频率选择与传输电源控制机制 )、(验证与安全性 2020 年 6 月获得通过 )、 (基于端口的网络接入控制EAP2020 年 6月获得通过 )，下面将标准中涉及的安全技术加以阐述。 通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只能由授权用户进行访问；另一个是数据加密， 它用于保证传送的数据只被所期望的用户所接收和理解。 无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。 服务集标识 SSID(Service Set Identifier)匹配 通过对多个无线 AP 设置不同的 SSID 标识字符串 (最多 32 个字符 )，并要求无线工作站出示正确的 SSID 才能访问 AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。 但是 SSID 只是一个简单的字符串，所有使用该无线网络的人都知道该 SSID，很容易泄漏；而且如果配置 AP 向外广播其 SSID，那么安全程度还将下降，因为任何人都可以通过工具或 Windows XP 自带的无线网卡扫描功能就可以得到当前区域内广播的 SSID。 所以，使用 SSID 只能提供较低级别的安全防护。 物理地址 (MAC， Media Access Control)过滤 由于每个无线工作站的网卡都有唯一的类似于以太网的 48 位的物理地址，因此可以在 AP 中手工维护一组允许访问的 MAC 地址列表，实现基于物理地址的过滤。 如果各级组织中的 AP数量很多，为了实现整个各级组织所有 AP的 无线网卡 MAC 地址统一认证，现在有的 AP 产品支持无线网卡 MAC 地址的集中 RADIUS 认证。 物理地址过滤的方法要求 AP中的 MAC 地址列表必须及时更新，因此此方法维护不便、可扩展性差；而且 MAC 地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。 新一代无线安全技术 —— 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容， 工作组于 2020 年 6 月正式批准了 IEEE 安全标准，从长远角度考虑解决 IEEE 无线局域网的安全问题。 IEEE 标准主要包含的加密技术级本 科毕业设计论文 第 13 页 共 26 页 是 TKIP(Temporal Key Integrity Protocol)和 AES(Advanced Encryption Standard)，以及认证协议 IEEE。 定义了强壮安全网络 RSN(Robust Security Network)的概念，并且针对 WEP加密机制的各种缺陷做了多方面的改进。 IEEE 规范了 认证和密钥管理方式，在数据加密方面，定义了TKIP(Temporal Key Integrity Protocol)、 CCMP(CounterMode/CBC2 MAC Protocol)和 WRAP(Wireless Ro2bust Authenticated Protocol)三种加密机制。 其中 TKIP 可以通过在现有的设备上升级固件和驱动程序的方法实现，达到提高 WLAN 安全的目的。 CCMP 机制基于 AES(Advanced Encryption Standard) 加密算法和CCM(Counter2Mode/CBC2MAC)认证方式，使得 WLAN 的安全程度大大提高，是实现 RSN的强 制性要求。 AES 是一种对称的块加密技术，有 128/192/256 位不同加密位数，提供比 WEP/TKIP 中 RC4 算法更高的加密性能，但由于 AES 对硬件要求比较高，因此 CCMP无法通过在现有设备的基础上进行升级实现。 在某些场合，如大型企业、银行、证券行业，其现有的网络结构比较复杂且对网络的安全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。 为了进一步加强无线网络的安全性， 工作组目前正在开发作为新的安全标准的“” ，并且致力于从长远角度考虑解决 IEEE 无线局域网的安全问题。 IEEE 标准草案中主要包含加密技术： TKIP (Temporal Key Integrity Protocol) 和 AES（ Advanced Encryption Standard），以及认证协议：。 在 IEEE 标准最终确定前， WPA（ WiFiTM Protected Access）技术将成为代替 WEP的无线安全标准协议，为 IEEE 无线局域网提供更强大的安全性能。 WPA 是 的一个子集， 其核心就是 和 TKIP。 是新一代的无线安全标准。 在 IEEE 标准最终确定前， WPA技术将成为代替 WEP的无线安全标准协议。 WPA 是 的一个子集，其核心就是 和 TKIP 新一代的加密技术 TKIP 与 WEP 一样基于 RC4 加密算法，且对现有的 WEP 进行了改进，在现有的 WEP加密引擎中追加了 “ 密钥细分（每发一个包重新生成一个新的密钥） ” 、 “ 消息完整性检查（ MIC） ” 、 “ 具有序列功能的初始向量 ” 和 “ 密钥生成和定期更新功能 ” 等 4种算法，极大地提高了加密安全强度。 TKIP 与当前 WiFiTM 产品向后兼容，而且可以通过软件进行升级， AboveCable 无线产品完全支持 WiFiTM 标准，只需要简单的软件升级就可以实现对 TKIP 的支持。 级本 科毕业设计论文 第 14 页 共 26 页 TKIP 在基于 RC4 加密算法的基础上引入的 4 个新算法 : （ 1）扩展的 48 位初始化向量 (IV)和 IV 顺序规则 (IV Sequencing Rules)。 表 上层认证机制 (EAP) TKIP CCMP （ 2）每包密钥构建机制 (perpacket key construction)。 （ 3） Michael 消息完整性代码 (Message Integrity Code,MIC)。 （ 4）密钥重新获取和分发机制。 TKIP 并不直接使用由 PTK/ GTK 分解出来的密钥作为加密报文的密钥，而是将该密钥作为基础密钥 (Base Key) ，经过两个阶段的密钥混合过程，从而生成一个新的、每一次报文传输都不一样的密钥，该密钥才是用做直接加密的密钥，通过这种方式可以进一步增强 WLAN 的安全性。 IEEE 中还定义了一种基于 “ 高级加密标准 ”AE S的全新加密算法，以实施更强大的加密和信息完整性检查。 AES 是一种对称的块加密技术，提供比 WEP/TKIP中 RC4 算法更高的加密性能，它将在 IEEE 最终确认后，成为取代 WEP 的新一代的加密技术，为无线网络带来更强大的安全防护。 端口访问控制技术（ ）和可扩展认证协议（ EAP） 是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。 可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能 连接网络。 本身并不提供实际的认证机制，需要和上层认证协议（ EAP）配合来实现用户认证和密钥分发。 EAP 允许无线终端可以支持不同的认证类型，能与后台不同的认证 服务器 进行通讯，如远程接入拨入用户服务（ RADIUS）。 IEEE 提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。 但 IEEE 本身并不提供实际的认证机制，需要和扩展认证协议 EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。 EAP 允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯，如远程认证拨号用户服务器 (RADIUS)交互。 EAP的类型有 EAPTLS、 EAPTTLS、 EAPMD级本 科毕业设计论文 第 15 页 共 26 页 PEAP 等类型， EAPTLS 是现在普遍使用的，因为它是唯一被 IETF(因特网工程任务组 )接受的类型。 当无线工作站与无线 AP关联后，是否可以使用 AP 的受控端口要取决于 的认证结果，如果通过非受控端口发送的认证请求通过了验证，则 AP 为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。 AboveCable HotSopt AP 已经加入了对 和 EAP 的支持，大大提高了无线网络的安全性能，为各行业安全地使用无线网络提供了坚实的基础，完全可以满足企业、学校、物流仓储等对网络安全要求较高的无线用户的需求。 认证过程如下： 1） 无线终端向 AP发出请求，试图与 AP 进行通讯； 2） AP 将加密的数据发送给验证服务器进行用户身份认证； 3） 验证服务器确认用户身份后， AP 允许该用户接入； 4） 建立网络连接后授权用户通过 AP访问网络资源； 网的关键技术 当前，业界的 网体系结构不尽相同，主要区别在于无线中继的方式和无线中继链路路由选择的方法。 无线中继手段，业界主要的分歧在于采用MultiBand、 MultiRadio 方式还是采用 SingleBand、 SingleRadio 方式。 如果用户接入和无线中继工作于同一频段，如使用工作于 的 作为用户接入，同时使用同样 工作于 的 作无线中继，就是一种 SingleBand、SingleRadio方式。 反之，用户接入和无线中继工作于不同频段，如使用工作于 的 ，同时使用工作于 5GHz 的 作无线中继，则是一种典型的 MultiBand、 MultiRadio 方式，采用 MultiRadio 方式至少可以将接入部分和无线中继部分从频率上分开，使得两者互不干扰，能在一定程度上提升性能。 而在路由算法上，沿用有线网络路 由协议 还是开发专用的无线 mesh 路由 协议 也是两种截然不同的技术路线。 Mesh 路由的目的是为了寻找最优或相对最优的回传路径。 在无线网络中，网络性能同发送成功概率息息相关。 在 WMN 中，一个好的路由算法必须兼顾减少路由跳数以及降低某条链路上包错误概率。 在这个意义上，。