浅析WLAN安全性能及计费系统.docx
- 文档编号:7652254
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:54
- 大小:439.68KB
浅析WLAN安全性能及计费系统.docx
《浅析WLAN安全性能及计费系统.docx》由会员分享,可在线阅读,更多相关《浅析WLAN安全性能及计费系统.docx(54页珍藏版)》请在冰豆网上搜索。
浅析WLAN安全性能及计费系统
西安郵電學院
毕业设计(论文)
题目:
无线局域网研究——
浅析WLAN安全性能及计费系统
系别:
通信系
专业:
通信工程专业
班级:
通工0003
学生姓名:
程建明
导师姓名:
林宏伟
起止时间:
4月1日至5月19日
2004年5月19日
目录
摘要1
引言2
第一章无线局域网的简介3
1.1无线局域网的概念3
1.2线局域网的组成部分3
1.3无线局域网系列标准3
1.3.1802.11系列标准3
1.3.2HiperLAN1/HiperLAN2标准4
1.3.3MMAC标准4
1.3.4蓝牙4
1.3.5家庭网络的HomeRF5
1.4无线局域网的应用5
第二章无线局域网的安全性能的研究7
2.1网络安全的概述7
2.1.1网络安全措施的目标7
2.1.2网络安全的层次结构7
2.2WLAN网络安全性研究现状8
2.2.1有线等效保密(WEP)9
2.2.2802.1x所存在的问题9
2.2.3TKIP方案中的问题9
2.2.4VPN应用遭遇困难10
2.3无线局域网安全机制10
2.3.1ESSID10
2.3.2访问控制列表11
2.3.3物理安全性11
2.4无线局域网的安全标准演进分析11
2.4.1传统安全标准12
2.4.2有线等效保密(WEP)12
2.4.3WPA——向IEEE802.11i过渡的中间标准16
2.4.4WAPI标准19
2.4.5VPN(VirtualPrivateNet-work)虚拟网专用技术保证WLAN应用层的安全22
2.5无线局域网的安全隐患24
2.6增强WLAN安全性的策略26
2.6.1 管理策略26
2.6.2操作策略26
2.6.3 技术策略27
第三章浅析无线局域网的计费系统28
3.1无线局域网的计费系统概述28
3.2基于RADIUS认证的计费方式28
3.2.1针对RADIUS认证的计费方案:
28
3.2.2漫游计费33
3.3基于SIM卡认证的计费系统35
3.3.1系统结构35
3.3.2基于SIM卡的认证计费模式38
3.2.6计费结算管理41
3.3.3VirtualSIM认证的计费方式:
41
3.3.4SIM卡方式的漫游认证计费43
第四章乌鲁木齐银星大酒店WLAN安全性及其计费实例分析45
4.1银星大酒店简介45
4.2银星大酒店网络现状45
银星大酒店的网络安全问题46
4.3.1棉花交易市场的安全隐患46
4.3.2酒店办公网络的安全隐患47
4.4.增强局域网安全方案设计47
4.4.1网络安全性能分析48
4.4.2非法用户的防止49
4.5计费方案49
第五章小结WLAN安全性及其计费50
5.1WLAN的不安全性及其解决策略50
5.2小结WLAN的计费系统52
5.3WLAN安全前景展望53
5.3.1强安全网络RSN模型53
5.3.2安全无线局域网SWLAN模型54
致谢:
55
附录一专业术语定义56
附录二缩略语58
附录三参考书目59
摘要
无线局域网是计算机网络与无线通信技术相结合的产物,它以无线信道作为传输媒介,能实现宽带业务的无线接入、远距离无线传输及认证计费等功能。
随着WLAN技术的不断发展,其网络安全性和计费系统受到广泛的关注和重视。
WLAN的不安全性是阻碍WLAN发展的主要原因,本论文研究了WLANA安全性能所存在的问题、WLAN的安全机制和增强WLAN的安全策略,并且浅析了WLAN的认证计费系统,基于SIM卡认证的计费和基于RADIUS认证的计费,提出了几种针对RADIUS认证的计费方案。
最后对WLAN安全前景进行分析。
关键词:
无线局域网,网络安全,安全机制,认证,
引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,希望不论在何时、何地,与任何人能够进行包括数据、话音、图像等任何内容的通信,并希望能实现主机在网络中漫游。
在这种背景下,无线通信尤其是宽带无线数据通信,由于其便利性和个人化的特点,正逐步成为人们的一种内在需求和今后通信发展的一个重要方向。
无线局域网技术(包括IEEE802.11、蓝牙技术、HomeRF等)将是新世纪无线通信领域最有发展前景的技术之一。
由于无线局域网是通过无线电波来连接通信双方的,信道的开放性导致用户无法阻止非法入侵者的窃听、恶意修改并转发,因此无线局域网的安全问题一定程度上限制了它的发展空间。
解决它的方案可以从物理安全和接入安全两方面来考虑,物理安全主要考虑其他设备对无线设备的频率干扰,和控制AP的有效覆盖范围;接入安全性主要考虑各项认证和加密技术对通信双方的信道进行加密技术保护传输数据,主要有MAC地址过滤技术,有效鉴权加密WEP技术,无线局域网鉴别与保密基础结构WAPI技术和虚拟专用网技术在AP与以太网2层交换机之间设立VPN防火墙来实现网络安全性。
无线局域网的计费系统主要通过认证和鉴权的不同方式可以将其分为两大部分,第一部分是基于RADIUS认证的计费系统和基于SIM卡的方式的认证和计费系统。
主要对计费系统对用户的计费流程,计费原理,漫游方式的计费进行研究。
第一章无线局域网的简介
1.1无线局域网的概念
无线局域网WirelessLocalAreaNetworks;WLAN)是计算机网络与无线通信技术相结合的产物,它以无线信道作为传输媒介,能实现宽带业务的无线接入、远距离无线传输及认证计费等功能。
1.2线局域网的组成部分
WLAN包括进行通信的网络接口卡(NIC)(或程无限网卡)和接入点/桥接器(如最终用户到LA和LAN到LAN)。
NIC提供了最终用户设备(如桌面PC、便携PC或手持计算设备)与经过接入点/桥接器上天线的无线电波的接口。
1.3无线局域网系列标准
1.3.1802.11系列标准
在802.11系列标准中,涉及物理层的有四个标准:
802.11、802.11b、802.11a、802.11g。
根据不同的物理层标准,无线局域网设备通常被归为不同的类别,如常说的802.11b无线局域设备等。
802.11系列标准是1997年提出来的,它工作于2.4HZ频段,物理层采用红外、DSSS(直接序列扩频)或FSSS(跳频扩频)技术,共享数据最高可达2Mbps。
它主要用于解决办公室局域网和校园网中拥护终端的无线接入问题。
由于2Mbps的传输数据速率不能满足用户的需要,所以IEEE又相继推出了802.11b,802.11a两个标准。
并且在2001年底又推出了802.11g标准,该方案可在2.4GHZ频带上实现54Mbps的数据速率,并与802.11b兼容。
802.11b工作于2.4GHZISM(工业、科技、医疗)频带,采用直接序列扩频和补码键控,能支持5.5Mbps和2Mbps两种速率,可以与速率1Mbps和2Mbps的802.11DHSS(直接序列扩频)系统交互操作,但不能与1Mbps和2Mbps的802.11FHSS(跳频扩频)系统交互操作。
802.11a工作于5GHZ频段:
(5.15-5.25GHZ、5.25-5.35GHZ、5.725-5.825GHZ),它采用OFDM(正交频分复用技术)。
802.11a的支持数据速率最高可达54Mbps。
但是和802.11b不兼容,且成本较高,所以现在一般采用802.11b技术。
802.11g是与802.11b兼容的,因此已经得到广泛的应用。
802.11g也工作在2.4GHZISM频段,但采用了OFDM技术,可以实现最高54Mbps的数据速率,与802.11a相当;并且较好的解决了WLAN与蓝牙的干扰问题。
为了促进802.11a在欧洲的发展,与HiperLAN/2竞争,IEE又提出了802.11h标准,在802.11a基础上增加自动频率选择(DFS)和发送功率控制(TPC)功能,以适应802.11a在欧洲发展的需要。
802.11是MAC层标准的基础,在此基础上,为了满足在安全性、QOS等方面的需求,IEEE又相继推出了802.11e、802.11f、802.11i等标准。
1.3.2HiperLAN1/HiperLAN2标准
在IEEE制定802.11系列WLAN标准的同时,欧洲ETSI(欧洲通信标准学会)则在大力推广HiperLAN1/HiperLAN2标准。
HiperLAN1发布于1996年,它工作于5GHZ频带,采用的调制方式为高斯最小移频键控(GMSK);数据速率最高可达到25Mbps。
整体上与802.11b标准是相当的。
HiperLAN2是HiperLAN1的第二代版本,于2000年底通过ETSI批准成为标准。
它对应于IEEE802.1a,工作于5GHZ频带,采用OFDM技术,并且具备动态频率选择(DFS),发送功率控制(TPC)功能。
支持最高数据速率为54Mbps。
在MAC层,采用预流TDMA多址方式,动态TDD双工方式。
并且能够在高吞吐率下支持QOS,从而为视频流,话音等实时应用提供支持。
1.3.3MMAC标准
日本的多媒体移动接入通信委员会(MultimedMobileAccessCommunicationPromotionCouncil)一直致力于WLAN技术研究和标准制订工作。
相继制订了HisWANa和HiSWANb标准。
其中HisWANa工作于5GHZ频段,HisWANb工作于25/27GHZ频段,支持最高数据速率54Mbps,采用OFDM调制,TDMA多址方式,TDD双工方式。
1.3.4蓝牙
对于802.11来说,蓝牙(IEEE802.15)的出现不是为了竞争而是相互补充。
“蓝牙”是一种先进的近距离无线数字通信的技术标准,其目标是实现最高数据传输速度1Mbps(有效传输速率为721kbps)、传输距离为10厘米~10米,通过增加发射功率可达到100米。
蓝牙比802.11更具移动性,比如,802.11限制在办公室和校园内,而蓝牙却能把一个设备连接到LAN(局域网)和WAN(广域网),甚至支持全球漫游。
此外,蓝牙成本低、体积小,可用于更多的设备,在更新网络骨干时,如果搭配“蓝牙”架构进行,整体网路的成本肯定比铺设线缆低。
1.3.5家庭网络的HomeRF
HomeRF主要为家庭网络设计,虽然目前不能成为无线局域网的主流,只能处在补充的地位。
但HomeRF技术仍有自身独特的优势。
它是IEEE802.11与dect(数字无绳电话)标准的结合,旨在降低语音数据成本。
HomeRF也采用了扩频技术,工作在2.4GHz频带,能同步支持4条高质量语音信道。
但目前HomeRF的传输速率只有1M~2MBPS,FCC建议增加到10Mbps
1.4无线局域网的应用
要探讨无线局域网的应用,应先分析无线局域网的技术特点,因为正是无线局域网的技术特点决定了无线局域网的应用范围。
通过将无线局域网与蜂窝移动通信网络(如2.5代的GPRS和3G)进行一下比较,就可找出无线局域网的应用定位。
首先从工作频段来看,蜂窝移动通信网络的频率均需许可、需支付费用、政府管制严格。
而无线局域网的工作频段则是另一种情况。
802.11b工作的2.4GHzISM频段为国际上通用的免许可证频段。
在我国,802.11a工作的5GHz频段在美国为U-NII频段,也是免许可证频段。
在我国情况有所不同。
信息产业部明确在5725~5850MHz这125MHz频段内,高速无线局域网与点对点或点对多点扩频通信系统、宽带无线接入系统、蓝牙技术设备及车辆无线自动识别系统等无线电台站共用这一频段。
设置使用5.8GHz频段无线电发射台站,必须报所在省、自治区、直辖市无线电管理机构批准。
室外设置的无线局域网须领取电台执照。
同时5725~5850MHz这一频段原则上用于公众网无线接入通信,运营企业须取得相应的基础电信业务经营许可。
比较2.4GHz频段与5.8GHz频段在我国的这些政策,2.4GHz频段以其免许可性将在今后很长时间内被企业、家庭等用户广泛使用。
而5.8GHz频段,随着802.11a设备的成熟和市场规模的扩大,相信在今后一两年内基础电信运营商将会启动这一频段上802.11a无线局域网的建设。
从覆盖范围来看,无线局域网通常只能覆盖几十米到百来米这样的距离。
因此无线局域网比较适合于做小范围的覆盖,覆盖机场、咖啡店、写字楼等所谓的“热点”地区;而并不适合进行跨城市的连续的广域覆盖。
而蜂窝移动通信网络可进行全球覆盖。
从数据速率来看,无线局域网可提供11Mbps~54Mbps的速率,这远高于GPRS所能提供的数据速率,也将高于3G移动网络支持的数据速率。
从这一点来看,无线局域网具有高数据速率的优势,适合于对数据速率要求高的应用。
WLAN目前主要是提供数据应用(如互联网接入、企业网接入等)。
与之功能相似的,存在有线网络(如有线局域网)和蜂窝数据网络。
比较它们的差异,就可以分析WLAN的应用场合和发展前景。
与有线网络相比,WLAN在接入带宽和网络可靠性上并没有什么优势;但WLAN的便携性、安装简易性使得WLAN非常适合于由于种种原因不易安装有线网络的地方,如受保护的建筑物、机场等,或者经常需要变动布线结构的地方,如展览馆等;同样WLAN支持的便携性使它非常适于在宾馆、写字楼、机场等移动办公者密集的地区向携带笔记本电路或PDA等便携设备的用户提供方便快速的数据业务。
WLAN与蜂窝数据网络相比,便携性要弱,但其接入带宽高得多;WLAN适于面向带宽要求高的移动商务办公者这类数据用户提供服务,而蜂窝数据网络则只能向接入带宽要求很低的数据用户提供服务。
第二章无线局域网的安全性能的研究
2.1网络安全的概述
2.1.1网络安全措施的目标
访问控制(AccessControl):
确保会话对方或计算机有权做他声称的事情;认证:
确保会话对方的资源与他说声称的一致;
完整性:
确保接收到的信息同发送的一致;
审计:
确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换过,即所谓的不可抵赖性;
保密:
确保敏感信息不被窃听
2.1.2网络安全的层次结构
物理安全
物理安全是指在物理介质层上对存储和传输的网络信息的安全保护。
物理安全是网络信息安全的最基本的保障,是整个系统不可缺少和忽视的组成部分。
一方面要充分考虑到系统所受的物理安全威胁和相应的防护措施;另一方面,也要通过安全意识提高,安全制度的完善,安全操作的提倡等方式使用户和管理维护人员在物理层上实现对网络信息的有效保护。
主要包括以下几类:
自然灾害、物理损坏和设备故障
电磁辐射(侦听危机操作过程)、乘机而入(合法用户进入安全进程后半途离开)和痕迹泄露(口令密钥保管不善)
操作失误(偶然删除文件、格式化硬盘、线路拆除等)和意外疏漏(如系统掉电,死机等)
安全控制
安全控制是指在网络信息系统中对存储和传输信息的操作和进程进行控制和管理,重点是在网络信息处理层上对信息进行初步的安全保护。
(1)操作系统的安全控制。
包括用户的身份的核实和对文件读写存取的控制。
(2)网络接口的模块的安全控制。
指在网络环境下对来自其他机器的网络通信进程进行安全控制。
包括身份认证、客户权限设置与判别、审计日志等。
(3)网络互连设备的安全控制。
指对整个子网内的所有主机传输信息和运行状态进行安全检测和控制。
安全服务
安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别,以满足用户的安全需求,防止和抵御各种安全威胁和攻击手段。
安全服务主要包括以下内容等。
(1)安全机制用来检测,预防或从安全攻击中恢复的机制。
可以利用密码算法对重要而敏感的数据进行加密处理。
(2)安全连接是在安全处理前网络通信双方之间的连接过程。
主要包括会话密钥的产生、分发和身份验证;
(3)安全协议是多个实体为完成某些任务所采取的一系列有序的步骤。
协议的特征是:
预先建立,相互同意,非二意性和完整性。
(4)安全策略是决策的集合。
集中体现了一个组织对安全的态度。
安全策略是安全机制,安全连接和安全协议的有机组合,是网络信息系统安全性的完整解决方案。
2.2WLAN网络安全性研究现状
目前,无线局域网主要采用的是IEEE(美国电气和电子工程师协会)802。
11b国际标准,大多应用DSSS(DirectSequence Spread Spectrum,直接序列扩频)通信技术进行数据传输。
802.11主要应用了三项技术来保障网络传输数据的安全。
第一项是SSID(Service Set IDentifer)技术。
将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,未被受权的用户不能进入网络。
第二项为MAC(Media Access Control)技术。
应用这项技术,在无线局域网的每一个AP(Access Control,接入点)处设置一个许可接入的用户的清单,不在清单的用户,AP将拒绝起接入请求。
第三项为WEP(Wired Equivalent Privacy)加密技术。
无线局域网是通过电波传输数据的,存在电波泄露导致数据被截听的风险。
与有线网络相比,无线网络的安全问题具有以下特点:
●信道开放,无法阻止攻击者窃听,恶意修改并转发;
●传输介质——无线电波在空气中的传播会因为多种原因(例如障碍物)发生信号衰减,导致信息丢失;
●用户不必与网络进行实际连接,使得攻击者伪装合法用户更为容易。
2.2.1有线等效保密(WEP)
WEP的目标是为WLAN提供与有线网络相同级别的安全保护。
WEP在链路层采用RC4对称加密技术,虽然通过加密提供无线网络的安全性,标准工作组也指出了它的许多缺陷:
缺少密钥管理。
用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。
WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。
由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络。
ICV算法不合适。
WEPICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。
RC4算法存在弱点。
在RC4中,人们发现了弱密钥。
攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
2.2.2802.1x所存在的问题
标准工作组表示,802.1x并不是专为WLAN设计的,没有考虑到无线应用的特点。
它提供客户端与RADIUS服务器之间的认证,而不是与AP之间的认证。
采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失。
AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
2.2.3TKIP方案中的问题
目前Wi-Fi推荐的安全解决方案WPA以及制定中的IEEE802.11i标准,均采用TKIP作为一种过渡安全解决方案。
TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(PerPacketKey)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。
标准工作组认为:
WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题。
因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。
而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。
另一个严重问题是加/解密处理效率问题没有得到任何改进。
Wi-Fi联盟和IEEE802委员会也承认,TKIP只能作为一种临时的过渡方案,而IEEE802.11i标准的最终方案是目前尚未制定出的基于IEEE802.1x认证的CCMP(CBC-MACProtocol)加密技术,即以AES(AdvancedEncryptionStandard)为核心算法。
它采用CBC-MAC加密模式,具有分组序号的初始向量。
CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
2.2.4VPN应用遭遇困难
VPN作为一种比较可靠的网络安全解决方案,VPN自然而然地从有线网络扩展到无线网络,然而实际情况并非如此。
由于无线网络的应用特点在很大程度上碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:
因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。
这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不手动设置以恢复VPN连接。
这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的用户是不能忍受的。
吞吐量性能瓶颈:
在一个VPN网络里进行的任何交换必须经过一个VPN服务器,一台典型的VPN服务器能够达到30-50Mbps的数据吞吐量。
按照这个速度,只要有八个802.11bAP,甚至一两个802.11a/gAP就可以使一台VPN服务器过载。
这就使得那些为大公司提供无线接入的厂商,为了在多个VPN服务器之间达到负载平衡,要花费巨额费用。
通用性问题:
VPN技术在国内,甚至在国际上没有统一的开发标准,各公司自有专用产品不可通用,这与强调互通性的WLAN应用是相悖的。
网络的扩展性问题:
由于VPN网络架设的复杂性,大大限制了网络的可扩展性能。
如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,不利于中型以上的网络使用。
2.3无线局域网安全机制
2.3.1ESSID
第一个安全机制是扩展服务集SSID(ExtendServeiceSetID,ESSID)它是一个字母和数字的代码,这些代码被输入到同一个无线网络的所有AP和无线客户中。
这类似于微软网络的工作组(WorkGroup)名字。
每个销售商的解决方案都提供了一个缺省ESSID值。
Cisco使用的是tsunami,3COM用的是101,而Agere取名WaveLANNetwork。
首先改变这个缺省ESSID值以提高网络的安全性。
AP在缺省的情况下都会广播这个网络名,允许无线客户获悉当前所有可以使用的无线网络。
如果不广播这个这个值,那么用户必须事先知道这个网络名或者使用某种网络数据捕获软件和工具来获得这个信息。
这个功能尤其重要,因为WindowsXP系统集成了可以嗅探这种广播的无线客户软件,并且可以列出所有可以使用的网络。
因此,ESSID只能提供最低等级的安全性,不能作为加固无线网络安全的唯一方法。
2.3.2访问控制列表
另一种无线网络安全机制就是访问控制列表。
即MAC地址过滤技术。
通过限制无线网卡的MAC地址来控制计算机是否可与AP进行关联操作。
认证(Authentication)
80
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅析 WLAN 安全 性能 计费 系统
![提示](https://static.bdocx.com/images/bang_tan.gif)