接入网课程报告Word文档下载推荐.docx
《接入网课程报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《接入网课程报告Word文档下载推荐.docx(12页珍藏版)》请在冰点文库上搜索。
即使是新一代无线安全机制IEEE802.1li也依然存在一些问题,造成了不少安全上的隐患,因此安全性就成为无线局域网需要考虑的主要问题之一。
二、IEEE802.1l标准安全机制
802.11无线局域网运作模式基本分为两种:
点对点(AdHoc)模式和基本(Infrastructure)模式。
点对点模式指无线网卡和无线网卡之间的直接通信方式。
只要PC插上无线网卡即可与另一具有无线网卡的PC连接,这是一种便捷的连接方式,最多可连接256个移动节点。
基本模式指无线网络规模扩充或无线和有线网络并存的通信方式,这也是802.11最常用的方式。
此时,插上无线网卡的移动节点需通过接入点AP(AccessPoint)与另一台移动节点连接。
接入点负责频段管理及漫游管理等工作,一个接入点最多可连接1024个移动节点。
当无线网络节点扩增时,网络存取速度会随着范围扩大和节点的增加而变慢,此时添加接入点可以有效控制和管理频宽与频段。
为了提高WLAN的安全性,在IEEE802.11中包含了一些基本的安全措施,包括无线网络设备的ESSID(ExtendedServiceSetIdentifier,扩展服务集标识符)、MAC(MediaAccessControl,媒体接入控制)地址访问控制以及WEP等技术。
(1)通过设置无线终端访问的ESSID来限制非法接入。
在每一个AP内都设置一个服务认证ID,当无线终端设备要连接AP时,AP会检查ESSID是否与自己的ID一致,只有两者的ID一致时,AP才接受无线终端的访问并提供网络服务,否则就拒绝服务。
利用ESSID,可以很好地对用户群体分组,从而避免任意漫游带来的安全和访问性能的问题。
(2)另一种限制访问的方法就是通过限制接入终端的MAC地址来确保只有经过注册的设备才可以接入无线网络,这就是所谓的MAC地址过滤。
由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法的可以接入的无线网卡,否则将会被拒绝接入。
利用MAC地址过滤可以有效地防止未经过授权的用户侵入无线网络,但是该安全措施存在两个安全隐患:
①由于MAC地址以明文形式出现在信息帧中,攻击者可以很容易地嗅探到用户的MAC地址;
②大部分无线网卡允许通过软件来设置其MAC地址。
因此,攻击者可以通过窃听来获取授权用户的MAC地址,然后通过软件将想用的地址写入网卡就可以冒充这个合法的MAC地址,这样攻击者就可以通过访问控制的检查而获取访问受保护网络的权限。
(3)WEP:
WEP协议是IEEE802.1l标准的核心协议,WEP在链路层采用RC4对称加密技术,从而防止非授权用户的监听以及非法用户的访问。
在WEP机制中,同一无线网络的所有用户和AP都使用相同的密钥用于加密和解密,网络中的每一个用户和AP都存放密钥。
目前已知的WEP的脆弱性主要体现在以下几个方面:
①RC4算法的使用不当,RC4对称加密算法使用一个长度为40位的密钥进行身份验证和加密操作,但是4O位的WEPkey用来加密数据显得过短,不能抵抗某些具有强大计算能力的组织或个人的穷举攻击或字典攻击。
②WEP缺乏密钥管理,仅凭人工操作进行密钥管理,很难避免人工失误。
③WEP中RC4初始化向量(IV)的空间太小(WEP中的IV是一个能够复用的24位字段,从而保证了密钥的复用性),很容易重复。
密钥复用导致了该弱点和其它弱点,使得攻击者可以分析出重复使用的密钥。
就数学上来说IV只有224次方可能值,攻击者只要取得大量的数据包(500万到6o0万个数据包),加上IV又会在数据流中重复出现,最后,经过数据分析,攻击者就能准确地通过这些数据包计算出完整的WEP密钥。
另外,在受WEP保护的无线网络中,多个站点可能使用同一个共享密钥,这就增加了发生IV冲突的可能性。
④由于用于数据完整性检查的CRC.32具有线性且CRC的生成与密钥无关,使得攻击者能够伪造假信息或是修改信息,因此CRC.32无力提供真正意义上的数据完整性。
⑤在WEP采用的基于共享密钥的认证机制中,认证信息的明文与密文都是在无线网络中传输,因而攻击者能够获得认证信息。
⑥WEP中的认证机制是单向的,仅仅是用户向AP认证自己的身份,因而攻击者可能伪装成AP实施拒绝服务的攻击。
此外WEP的安全机制一般都是基于硬件的,没有任何软件辅助措施,一旦设备落入攻击者手中,就会造成所谓的硬件威胁。
概言之,目前基于IEEE802.11标准的安全性主要体现在访问控制、数据的保密性、数据的完整性三个方面。
由于SSID服务区别号可通过窃听获得,MAC地址访问控制链表所提供的访问控制策略是较初级和脆弱的,因此,WLAN主要是以IEEE802.11的数据链路层的安全机制有线等效保密协议WEP来保证其通信安全的,但由于WEP是802.11标准中用来保护WLAN安全传输的数据链路级协议,它并不试图保证端到端的安全性,仅仅保证从无线终端到AP之间传输链路的安全性,因此WEP本身的脆弱性导致了WLAN的一系列安全问题。
三、新一代802.1x协议的体系
IEEE802.1x标准是2004年6月24日由IEEE-SA发布的,该标准是无线局域网安全领域的最新标准,它加强了802.11标准的认证和加密机制,也提供了新的密钥管理机制。
802.1x重新规定了基于802.11的认证机制,包括TKIP(TemporalKeyIntegrityProtoco1)、CCMP(CounterCBC-MACProtoco1)和WRAP(WirelessRobustAuthenticatedProtoco1)等三种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
IEEE802.1x协议起源于802.11,其主要目的是为了解决无线局域网用户的接入认证问题。
802.1x协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;
对于非法用户接入或没有用户接入时,则端口处于关闭状态。
图0802.1x架构图
IEEE802.1x协议的体系结构主要包括三部分实体:
客户端SupplicantSystem、认证系统AuthenticatorSystem、认证服务器AuthenticationServerSystem。
(1)客户端:
一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户软件发起IEEE802.1x协议的认证过程。
(2)认证系统:
通常为支持IEEE802.1x协议的网络设备。
该设备对应于不同用户的端口有两个逻辑端口:
受控(controlledPort)端口和非受控端口(uncontrolledPort)。
第一个逻辑接入点(非受控端口),允许验证者和LAN上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。
非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
第二个逻辑接入点(受控端口),允许经验证的LAN用户和验证者之间交换数据。
受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。
受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。
如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:
通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。
当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。
四、802.1x协议的认证过程
利用IEEE802.1x可以进行身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,可以指定计算机是否尝试访问该网络的身份验证。
以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。
如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过。
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询。
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务。
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS。
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP。
该身份验证密钥将被加密,只有AP能够读出该密钥。
(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。
AP不允许STA移动节点通过“受控制”端口传送数据,因为它还没有经过身份验证。
)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
全局身份验证密钥必须被加密。
这要求所使用的EAP方法必须能够生成一个加密密钥,这也是身份验证过程的一个组成部分。
传输层安全TLS(TransportLevelSecurity)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。
我们可以使用EAP-TLS在EAP内部提供TLS机制。
移动节点可被要求周期性地重新认证以保持一定的安全级。
以EAP-MD5为例,描述802.1x的认证流程。
EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。
基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。
基于EAP-MD5的802.1x认证流程如图3所示。
五、802.1x认证存在的问题
(1)由于802.1X认证系统对客户的身份进行认证,根据认证结果来确定是否向客户提供服务,但客户并不对认证系统身份进行确定,因此端口基本总是处于授权状态,也就是说,802.1X是一个单向认证过程,客户假设认证系统总是一个受信任的实体,这是802.1X设计的最大缺陷,容易受到中间人攻击。
攻击者可以假冒AP发送EAPSuccess(802.1X定义了EAP数据包的格式)数据包给合法用户,由于802.1X协议没有客户对认证系统的身份认证机制,客户会无条件地转到认证完成状态,把攻击者当作AP,进行数据传输,攻击者就能截获用户和接入点传输的所有数据,还可以对双方传输的数据任意修改而用户和接入点并不能够察觉,这就是所谓的中间人攻击。
(2)用户一旦通过认证,则对应该用户的逻辑受控端口打开,用户获得网络服务。
在用户接受认证系统服务的过程中,认证系统不再对该用户进行认证,这就可能遭到会话劫持攻击。
攻击者可以监听WLAN,当一个合法用户通过802.1X认证后,攻击者先冒充AP,向合法用户发送一个802.11MAC解除关联管理帧,使得合法用户与AP断开连接;
然后把自己的MAC地址修改为合法用户的MAC地址,代替该合法用户与认证系统通信。
因为这时的认证系统对该合法用户仍处于授权状态,所以攻击者可以获得认证系统的服务,这就是会话劫持攻击。
(3)在802.1x协议规定,当用户不再需要认证系统提供的服务,想要断开连接时,向认证系统发送EAPLogoff数据包。
如果攻击者假冒用户,向认证系统发送EAPLogoff数据包,认证系统被欺骗,关闭受控端,终止向用户的提供服务。
另外,在认证系统和客户正常的认证过程中,如果对用户的认证没有成功,认证系统会向客户发送EAP—Failure数据包,表示认证失败。
这时客户连接状态处于HELD状态,直到60s(缺省值)后,才再次尝试与认证系统进行连接。
攻击者只要每60s向用户发送EAP—Failure数据包,就可以使用户始终处于HELD状态,无法完成认证过程,使得授权合法用户不能访问所需的资源,从而实现拒绝服务攻击。
六、增强WLAN安全性的措施
由于WLAN的安全隐患主要由访问控制和数据加密引起,因此我们可以从这二个方面来考虑增强WLAN的安全性。
(1)采用新的安全标准:
IEEE802.1x
IEEE802.1x对网络的认证和授权提出了很高的安全要求,主要包括:
(1)防止秘密信息被窃听;
(2)抗重放攻击;
(3)能够避免中间人攻击;
(4)能够防止词典攻击;
(5)能够保证信息的完整性等等。
采用新一代无线安全技术IEEE802.1x可以进一步加强无线网络的安全性和保证不同无线安全技术之间的兼容性。
(2)引入其他成熟的公钥密码体制
鉴于IEEE802.1x中公钥密码体制的缺陷,可以考虑引入其他成熟的公钥密码体制来完善。
比如公钥密码体制中的另外的一个重要的发展方向基于身份(Identitybased)的密码体制就已经相当成熟(在这个公钥密码体制中,公钥可以是任意类型的字符串),若能将该密码体制应用于无线局域网安全协议,就有可能很好地解决IEEE802.1x中缺少无线终端(STA)和接入点(AP)之问的相互身份认证所引发的安全问题。
(3)应用VPN技术
应用VPN(虚拟专用网络)技术是一个较好的增强无线网络安全的方案。
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。
它虽然不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素。
VPN采用DES、3DES等技术来保障数据传输的安全。
目前两种具有代表意义的VPN技术是IPsecVPN和SSLVPN。
将VPN安全技术与其他无线安全技术结合起来,是一个较理想的增强WLAN安全的解决方案。
(4)应用无线局域网的入侵监测系统
一般来说,在无线网络中,加密和认证等安全技术能够减少入侵,但不能排除入侵,因此安装入侵监测系统是有必要的。
在无线网络领域,对入侵监测的研究已经广泛的展开并已经设计出了一些有效的入侵监测系统,随着无线网络入侵监测技术迅速发展,必将进一步提高WLAN的安全性。
六、802.1x协议的特点
IEEE802.1x具有以下主要优点:
(1)实现简单。
IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
(2)认证和业务数据分离。
IEEE802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。
用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
IEEE802.1x同时具有以下不足:
802.1x认证是需要网络服务的系统和网络之间的会话,这一会话使用IETF的EAP(ExtensibleAuthenticationProtocol)认证协议。
协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包,并为在AP和工作站间的高层认证协议建立了必要条件。
对MAC地址的认证对802.1x来说是最基本的,如果没有高层的每包认证机制,认证端口没有办法标识网络申请者或其包。
而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁,常见的攻击有中间人MIM攻击和会话攻击。
所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境,必须有高层的清晰的交互认证协议来加强。
幸运的是,802.1x为实现高层认证提供了基本架构。
七、802.1x认证协议的应用
IEEE802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。
802.1x身份验证可以增强安全性。
IEEE802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。
IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。
在此执行下,作为RADIUS客户端配置的无线接入点将连接请求和记帐邮件发送到中央RADIUS服务器。
中央RADIUS服务器处理此请求并准予或拒绝连接请求。
如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。
IEEE802.1x为可扩展的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及MessageDigest5(MD5)算法这样的身份验证方法。
扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。
利用802.1x,EAP可以用来在申请者和身份验证服务器之间传递验证信息。
这意味着EAP消息需要通过LAN介质直接进行封装。
认证者负责在申请者和身份验证服务器之间转递消息。
身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。
以下举一个例子,说明对申请者进行身份验证所需经过的步骤:
(1)认证者发送一个EAP-Request/Identity(请求/身份)消息给申请者。
(2)申请者发送一个EAP-Response/Identity(响应/身份)以及它的身份给认证者。
认证者将收到的消息转发给身份验证服务器。
(3)身份验证服务器利用一个包含口令问询的EAP-Request消息通过认证者对申请者做出响应。
(4)申请者通过认证者将它对口令问询的响应发送给身份验证服务器。
(5)如果身份验证通过,授权服务器将通过认证者发送一个EAP-Success响应给申请者。
认证者可以使用“Success”(成功)响应将受控制端口的状态设置为“已授权”。
八、发展方向和趋势
802.1x无线局域网目前的安全标准主要有两大发展主流:
(1)WPA。
802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证。
WPA(Wi-Fi受保护访问)是一种新的基于IEEE标准的安全解决方法。
Wi-Fi联盟经过努力,于2002年10月下旬宣布了基于此标准的解决方法,以便开发更加稳定的无线LAN安全解决方法来满足802.11的要求。
WPA包括802.1x验证和TKIP加密(一种更高级和安全的WEP加密形式),以进一步形成和完善IEEE802.11i标准。
(2)WAPI。
我国已于2003年12月1日起强制执行了新的无线局域网安全国家标准―无线局域网鉴别和保密基础结构WAPI(WLANAuthenticationandPrivacyInfrastructure)。
WAPI由无线局域网鉴别基础结构WAI(WLANAuthenticationInfrastructure)和无线局域网保密基础结构WPI(WLANPrivacyInfrastructure)组成。
WAPI与已有安全机制相比具有其独特优点,充分体现了国家标准的先进性。
WAPI与已有安全机制相比在很多方面都进行了改进。
它已由ISO/IEC授权的IEEERegistrationAuthority审查获得认可,分配了用于WAPI协议的以太网类型字段,这也是我国目前在该领域惟一获得批准的协议。
WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护
九、结束语
WLAN是一项新兴的技术,由于IEEE802.11系列标准安全机制固有的缺陷,所有的WLAN都面临着被攻击的风险。
本文分析了WLANIEEE802.11系列协议的架构和基本工作方式,然后分析了它们各自的缺陷,最后提出了几个加强WLAN安全性的可能措施,鉴于单一公钥密码体制都有各自的缺陷,创新性的提出要结合其他成熟公钥密码体制来加强身份认证的安全性。
网络安全是一个动态的过程,一个不断改善的过程,没有一种方案能解决所有安全问题,所以为了对付不断出现的新的安全威胁,需要不断研究相关的关键技术来搭建增强的、有足够安全性的WLAN网络,并且将WLAN安全管理和这些技术有机地结合起来,这样WLAN就能够进一步获得更强的安全性。
参考文献:
[1]刘乃安.无线局域网(WLAN)原理、技术与应用[M].西安:
西安电子科技大学出版社,2004。
[2]张剑,黄本雄.RADIUS协议在无线宽带接入认证与计费系统中的应用[J].中国数据通信,2003,(6)。
[3]孙树峰,石兴方.“关于802.1x协议的攻击研究”[J].网络安全技术与应用,2002,(10)。
[4]吴越,曹秀英.无线局域网安全技术研究[J]。
电信科学,2002,(6)。
[5]李雄伟,赵彦然.无线局域网的安全性及其攻击方法研究[J],中图分类号TP393.08,文献标识码A,无线电通信技术,2005,31
(1):
14~16。
[6]马建峰,朱建明等.无线局域网安全—方法与技术[M],中图分类号TP4305,北京:
机械工业出版社,2005。
[7]冯茜,王玉东,张效义.基于LEAP认证机制的安全无线局域网,中图分类号TN923,文献标识码:
A,微计算机信息2005年第10-3期。
升级会员 