毕业设计论文无线校园网的安全设计.docx
《毕业设计论文无线校园网的安全设计.docx》由会员分享,可在线阅读,更多相关《毕业设计论文无线校园网的安全设计.docx(24页珍藏版)》请在冰点文库上搜索。
毕业设计论文无线校园网的安全设计
毕业设计(论文)-无线校园网的安全设计
————————————————————————————————作者:
————————————————————————————————日期:
最优推荐,广而告之
ANTSBUY——您身边的牛仔专家
官网:
淘宝店:
http:
//mayigouwu。
taobao。
com/
毕业设计(论文)任务书
专业计算机网络技术班级姓名
一、课题名称:
无线校园网的安全设计
二、主要技术指标:
分析现有的WLAN安全协议的原理和机制,结合学校或企业WLAN网络应用中的安全问题,提出网络安全解决方案。
三、工作内容和要求:
1.阅读参考文献和技术文档资料,为论文撰写做准备工作。
2.WLAN的相关技术、WLAN安全协议的原理和机制研究.
3.WLAN应用中的安全问题分析
4.设计无线校园网络安全解决方案。
5.编写毕业设计论文。
按学校规范编著毕业设计论文,严禁抄袭.
四、主要参考文献:
1.《无线局域网安全-方法与技术第2版》,朱建明,机械工业出版社,2009年8月
2.《校园网无线接入安全研究》,彭伟,常潘,华东师范大学网络中心,2000年6月
3.《WLAN安全解决方案设计与实现》,李煜,北京邮电大学硕士学位论文
4.《无线校园网络安全分析及方案设计》,李文胜,广东省环境保护职业技术学
学生(签名)年月日
指导教师(签名)年月日
教研室主任(签名)年月日
系主任(签名)年月日
毕业设计(论文)开题报告
设计(论文)题目
无线校园网的安全设计
一、选题的背景和意义:
1.选题背景
现如今,网络已是人们生活和学习中必不可少的软件条件,也是每所高校软件设施的重要环节之一。
在使学校成为信息数字化校园的过程中,网络发挥着其不可替代的作用。
但是,传统的有线网络受设计或环境条件的制约,在物理、逻辑等方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时,它无法满足人们对灵活的组网方式的需要和终端自由联网的要求。
在这种情况下,传统的计算机网络由有线向无线、由固定向移动的发展已成为必然,无线局域网技术应运而生.作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。
所以,无线网络的安全问题是无线网络正常工作不容忽视的前提条件。
2.意义
本课题通过对无线网络的学习和研究,分析校园网络的安全需求,最终将制定出一套合理可行的安全设计方案,使校园无线网络的使用能更加安全可靠。
二、课题研究的主要内容:
1.WLAN的相关技术
2。
WLAN安全协议的原理和机制
3.WLAN应用中的安全问题分析
4.无线校园网络安全解决方案
三、主要研究(设计)方法论述:
1.调查法,通过走访和咨询相关专业的老师,了解无线网络安全的需求及一些所需设备的规格及配置方法,。
2.文献法,通过对相关文献的分析和学习,了解无线网络安全实现的方法和技术。
3.归纳法,通过归纳和总结需求,得到无线网络安全实现的难点和重点。
4.案例研究法,收集类似的网络安全设计方案,学习和研究其中的特点,并分析其在自己的方案中的可行性。
四、设计(论文)进度安排:
时间(迄止日期)
工作内容
2011.9.26-2011.10.10
选题
2011。
10。
11-2011.10.18
准备课题需求资料,完成开题报告
2011.10。
19—2011.10。
31
完成毕业设计初稿
2011.11。
1-2011。
11.9
修改、完善,形成二稿
2011.11.10—2011。
11.11
毕业设计定稿,交打印稿和电子稿
2011.11。
11—2011。
11.16
准备材料,参加毕业答辩
五、指导教师意见:
指导教师签名:
年月日
六、系部意见:
系主任签名:
年月日
无线校园网的安全设计
摘要
无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物,由于无线网络所特有的开放性,其安全问题一直是业界研究的重点。
本论文对WLAN安全协议进行了深入的研究,提出了无线接入点(AP)中安全认证模块的具体实现,并且对实现过程中的一些关键问题提出了切实有效的解决方案.
本论文主要分为五个部分。
第一部分概述了WLAN网络的应用现状以及本论文的项目背景.
第二部分介绍了WLAN的基本概念、标准演进及WLAN网络中存在的安全风险。
第三部分深入分析了现有WLAN安全协议的原理和机制。
包括对WEP安全缺陷的.研究以及IEEE802。
11i协议的原理和WAPI的安全机制分析。
第四部分WLAN应用中的安全问题分析.
第五部分详细讨论了无线校园网络安全解决方案.
关键词WLAN,AP,IEEE802.11x
Abstract
WLANisacombinationofcomputernetworksandwirelesscommunicationstechnology.Asuniquetotheopenwirelessnetwork,thesecurityproblemhasbeenthefocusoftheindustry.ThisthesislucubrateWLANsecurityprotocolandrealizetheSecurityAuthenticationModuleinAP(accesspoint).
Thisthesisisdividedintofivesections.
ThefirstpartoutlinestheWLANnetworkandtheprojectbackgroundofthisthesis。
Thesecondpartintroducesthebasicconcepts,standardsfortheWLAN.
ThethirdpartanalyzestheexistingWLANsecurityprotocolsindetail,includingWEP,IEEE802。
lliandWAPlseeuritymechanism.
ThefourhpartanalysisoftheapplicationofWLANsafetyproblems。
Thefifthpartdetaileddiscussionwirelesscampusnetworksecuritysolutions。
Keywords:
WLAN,AP,IEEE802.11x
前言
在无线网络技术相对成熟的今天.无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择。
这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能.但在使用无线网络的同时,无线接人的安全性也面临严峻的考验。
目前无线网络提供的比较常用的安全机制有如下三种:
①基于MAC地址的认证.基于MAC地址的认证就是MAC地址过滤,每—个无线接人点可以使用MAC地址列表来限制网络中的用户访问.实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。
②共享密钥认证.共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法.如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权.③802.1x认证。
802。
1x协议称为基于端口的访问控制协议,它是个第二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
从目前情况来看,不少校园网的无线接人点都没有很好地考虑无线接人的安全问题,如基于MAC地址的认证或共享密钥认证没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了.如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接人点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入.试想,如果让不明身份的人进入无线网络.进而进入校园网,就会对我们校园网络构成威胁.
第一章WLAN概述及应用
1。
1WLAN基本概念及标准演进
1.1。
1WLAN基本概念
无线局域网(WLAN)是采用无线传输媒体的计算机局域通信网络。
1971年夏威夷大学的学者创造了第一个基于数据包传输的无线网—-ALOHANET3,它实质上就是第一个WLAN。
进入20世纪90年代,人们要求在任何时间、任何地点都能使用网络资源,而传统的有线网络很难实现可移动的通信。
因此,在这种趋势和要求的推动下,导致了WLAN的发展与进步。
1。
1。
2WLAN标准演进
(1)IEEE802。
11
1997年IEEE802标准化委员会IEEE802。
11WLAN标准工作组公布了IEEE802。
1l标准,它是第一代无线局域网标准,该标准定义了物理层和媒体访问控制层规范。
802。
11工作在2.4GHz上,理论传输速率分为lMbps和2Mbps。
(2)IEEE802。
11b
为了更高的数据传输速率,IEEE于1999年9月批准了IEEE802.11b标准。
IEEE802.11b标准对IEEE802.1l标准进行了修改和补充,其中最重要的改进就是在mEE802。
1l的基础上增加了两种更高通信速率5。
5Mbit/s和1lMbit/s.11b也是工作在2.4GHz频段上,同时对最初的802。
11标准保持了兼容。
(3)IEEE802。
1la
802。
1la标准是已得到广泛应用的802.1lb无线联网标准的后续标准,802。
11a的物理层速率可达54Mbit/s,但11a的工作在5.5GHz上,不能兼容以前的标准。
(4)IEEE802。
1ln
IEEE802.11的数据传输速率进行了大幅提高,使用802.1ln超过100Mbps的速率不再是梦想,甚至有报道称可以达到320Mbps的最高速率。
对802。
1l的数据传输速率进行了大幅提高,使用802.1ln超过l00Mbps。
1。
1。
3WLAN网络建立过程
无线局域网的基本网络连接建立过程是在IEEE802。
11中定义的,无论是后续的IEEE802。
1l系列标准还是WAPI都是建立在这个基本连接过程之上的.在IEEE802。
11网络中主要有两个实体:
AP和sTA,AP就是无线接入点,STA是无线工作站,最常见的就是带有无线网卡的笔记本。
其中AP是核心,一个sTA要想加入到一个无线局域网,首先要与这个无线局域网中的AP建立连接,然后通过这个AP与其它的S1A或网络进行通信.
IEEE802.11定义了AP与STA之间从建立连接到发送数据所需要的三种帧类型,分别是:
控制帧(类型值是00)、管理帧(类型值是01)、数据帧(类型值是10)。
控制帧用来告诉设备什么时候开始和停止发送消息;利用管理帧来建立连接;一旦STA和AP已经同意建立连接,数据就以数据帧的形式来发送。
重点来介绍一下管理帧,因为wEP的认证是通过管理帧来实现的。
管理帧有7种:
●信标帧(Beacon):
信标帧是由AP定时发送的广播帧,用来通知本无线局域网的存在和AP性能等有用信息;
●探询请求/应答帧(ProbeRequest/Response):
STA通过发送探询请求帧来寻找AP,AP利用探询应答帧来告诉sTA网络的信息;
●链路验证帧(AuthenticationRequest/Response):
AP和STA之间的WEP认证就是通过链路验证请求/应答帧来实现的;
●关联请求/应答帧(AssociationRequest/Response):
链路验证通过之后,AP和STA之间再建立关联关系,通过关联帧来协商一些网络参数指标;
●重新关联请求/应答帧(ReassociationRequest/Respons);当漫游到其他AP对,需要重新建立关联;
●解除关联帧(Deassociation):
当断开网络连接时需要解除关联;
●解除认证帧(Deauthentication):
解除关联之后再去解除认证。
1。
2WLAN的安全风险及解决方案
1.2。
1WLAN中存在的安全风险
无线局域网安全的最大闯题在于无线通信设备是在自由空问中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,因此无法通过对传输媒介的接入控制来保证数据不会被XX的用户获取。
所以,wLAN就面临一系列的有线网络中并不存在安全问题主要包括:
1。
来自网络外部用户的进攻。
2.来自未认证的用户获得存取权。
3.来自网络内部的窃听泄密等.
现阶段针对WLAN的攻击主要为了实现两个目的。
首先是通过WLAN寻找一个进入有线网络的切入点,有线网络经过长时间的发展能够建立完善的安全保护体系,例如通过安装防火墙可以提供对自身的保护,但是在其基础上扩建WLAN时,如果没有对WLAN的安全防护作出全面的部署,则会危及到原始有线网络的安全,通常可以在防火墙内部安装恶意的无线访问接入点AP,这种做法相当于给防火墙安装了后门,攻击者通过WLAN进入有线网内部实施恶意访问变得十分简单.
第二,针对无线数据的窃取。
目前WLAN使用2。
5GHz的无线电波进行网络通信,AP在一定半径内广播信号,无需通过可见的线路即可建立通信,任何攻击者都可以用一台带无线网卡的Pc机或者无线扫描器进行窃听并使用某些特殊的网络嗅探工具扫描无线网络信号,一旦定位到信号,就能够截获并收集经过空间传播的数据.
针对WLAN的攻击次数不断增加,WLAN的攻击方式主要包括嗅探、欺骗、而攻击的手段也不断更新。
目前针对网络劫持等。
(1)嗅探
这是一种针对计算机网络通信的电子窃听。
通过使用嗅探工具,网络监听者能够察看无线网络的所有通信。
要想使WLAN不被识别工具发现,必须关闭用于网络识别的广播以及任何XX用户访问资格。
然而关闭广播意味着WLAN不能被正常用户发现,因此WLAN用户免受嗅探攻击的唯一方法是保护尽可能使用加密会话。
(2)欺骗
攻击者冒充合法用户连接到想要入侵的网络,这样就可以避免目标网络对其
非法身份的识别。
最常用的一种欺骗手段是将自己的无线网络或网卡的MAC地址设定为合法地址,这可以通过在Windows平台修改注册表实现。
一种新的欺骗攻击方式称为验证欺骗,攻击者通过对WL~N的嗅探累积多个用户验证请求,每个请求都包含原始明文消息及返回的加密过的应答,从这些材料中攻击者可以伪造身份验证信息欺骗AP成为合法用户。
(3)网络劫持
攻击者将自己的主机伪装成默认网关或特定主机,所有试图进入网络或连接到被攻击者顶替的机器上的用户都会自动连接到伪装机器上。
典型的无线网络劫持是使用欺骗性AP。
通过构建一个信号强度好的AP,使无线用户忽视正常的AP而连接到欺骗性AP上,攻击者接受到来自其他合法用户的验证请求和信息后就能够将自己伪装成合法用户并进入目标WLAN。
上述三种是针对WLAN的一般攻击方式。
从上述攻击方式上我们可以看到,对WLAN的攻击主要有两种渠道,一是直接劫持传输网络数据的无线电波,另一种就是冒充合法用户或AP接入无线网络。
所以,WLAN的安全机制业主要包括两部分:
一是用户认证,即只允许合法用户接入WLAN;二是数据加密,即网络中的数据传输采用密文的形式。
以此来保证WLAN网络的安全.
1。
2。
2WLAN安全项目采用的安全解决方案
安全问题已经成了WLAN应用和发展的重中之重,雅典奥运组委会就因WLAN的安全存在隐患而放弃了在2004年雅典奥运会的各个赛场布置WLAN网络。
但由于针对WLAN安全的技术不断更新,如果能够应用最先进的安全技术,同时进行合理的配置,那么就可以解决这个棘手的问题。
所以在本项目中对网络安全方面非常重视,运用了多种手段:
●WEP加密,支持64位和128位
●IEEE802.1li,IEEE推出的WLAN最新安全标准
●多SSID,通过SSID来限制用户的访问权限
●MAC过滤、口过滤
●同时支持多种认证方式来检测用户身份
●WAPI,我国推出的WLAN安全国家标准
这样,在wLAN安全项目中的AP就可以支持以下六种安全模式下:
1.不加密
2.WEP(802.1l中定义的安全方案)
3.802。
1x+动态WEP密钥
4.802.11i(WPA)
5.802。
11i(wPA)+PSl((与共享密钥)
6.WAPI
第二章WLAN概述及应用
2。
1802。
11无线局域网的安全机制
802.11无线局域网运作模式基本分为两种:
点对点(AdHoc)模式和基本(Infrastructure)模式。
点对点模式指无线网卡和无线网卡之间的直接通信方式.只要PC插上无线网卡即可与另一具有无线网卡的PC连接,这是一种便捷的连接方式,最多可连接256个移动节点。
基本模式指无线网络规模扩充或无线和有线网络并存的通信方式,这也是802。
11最常用的方式。
此时,插上无线网卡的移动节点需通过接入点AP(AccessPoint)与另一台移动节点连接.接入点负责频段管理及漫游管理等工作,一个接入点最多可连接1024个移动节点。
当无线网络节点扩增时,网络存取速度会随着范围扩大和节点的增加而变慢,此时添加接入点可以有效控制和管理频宽与频段。
与有线网络相比较,无线网络的安全问题具有以下特点:
(1)信道开放,无法阻止攻击者窃听,恶意修改并转发;
(2)传输媒质―无线电波在空气中的传播会因多种原因(例如障碍物)发生信号衰减,导致信息的不稳定,甚至会丢失;(3)需要常常移动设备(尤其是移动用户),设备容易丢失或失窃;(4)用户不必与网络进行实际连接,使得攻击者伪装合法用户更容易.由于上述特点,利用WLAN进行通信必须具有较高的通信保密能力。
802。
11无线局域网本身提供了一些基本的安全机制.802。
11接入点AP可以用一个服务集标识SSID(ServiceSetIdentifier)或ESSID(ExtensibleServiceSetIdentifier)来配置。
与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据.但这是一个非常脆弱的安全手段。
因为SSID通过明文在大气中传送,甚至被接入点广播,所有的网卡和接入点都知道SSID。
802。
11的安全性主要包括以有线同等保密WEP(WiredEquivalentPrivacy)算法为基础的身份验证服务和加密技术.WEP是一套安全服务,用来防止802。
11网络受到未授权用户的访问。
启用WEP时,可以指定用于加密的网络密钥,也可自动提供网络密钥。
如果亲自指定密钥,还可以指定密钥长度(64位或128位)、密钥格式(ASCII字符或十六进制数字)和密钥索引(存储特定密钥的位置)。
原理上密钥长度越长,密钥应该越安全。
思科公司的ScottFluhrer与Weizmann研究院的ItsikMantin和Adihamir合作并发表了题为《RC4秘钥时序算法缺点》的论文,讲述了关于WEP标准的严重攻击问题.
另外,这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议。
这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点。
当这种移动节点的数量庞大时,将是一个很大的挑战。
2。
2802.1x协议的体系
IEEE802.1x协议起源于802。
11,其主要目的是为了解决无线局域网用户的接入认证问题。
802。
1x协议又称为基于端口的访问控制协议,可提供对802。
11无线局域网和对有线以太网络的验证的网络访问权限。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
IEEE802。
1x协议的体系结构主要包括三部分实体:
客户端SupplicantSystem、认证系统AuthenticatorSystem、认证服务器AuthenticationServerSystem。
(1)客户端:
一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程。
(2)认证系统:
通常为支持IEEE802.1x协议的网络设备.该设备对应于不同用户的端口有两个逻辑端口:
受控(controlledPort)端口和非受控端口(uncontrolledPort)。
第一个逻辑接入点(非受控端口),允许验证者和LAN上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何.非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
第二个逻辑接入点(受控端口),允许经验证的LAN用户和验证者之间交换数据.受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务.受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。
如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:
通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。
当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。
文档为个人收集整理,来源于网络本文为互联网收集,请勿用作商业用途
2。
3802。
1x协议的认证过程
利用IEEE802.1x可以进行身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,可以指定计算机是否尝试访问该网络的身份验证.以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。
如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过.
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询.
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务.
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS。
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP。
该身份验证密钥将被加密,只有AP能够读出该密钥。
(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。
AP不允许STA移动节点通过“受控制"端口传送数据,因为它还没有经过身份验证。
)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输——特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
全局身份验证密钥必须被加密.这要求所使用的EA
升级会员 