论文部分内容阅读
802.11无线网络(WLAN)因为其适用性广、部署简单、使用方便、总体成本低等优点,应用范围不断扩大和深入,其技术更新不断加快。无线网络因其介质开放的特点,在诸多方面跟有线网络有着很大的不同,面临着更大的安全威胁。安全因素极大地影响着人们使用无线网络产品的态度,无线网络用户接入认证和无线侧的网络安全通信成为非常敏感的安全主题,这是WLAN研究的重要焦点,也是本文所研究的两大主题。随着802.1X认证协议的出台,WLAN的身份验证借助后台的认证服务器(如RADIUS服务器),实现了基于用户身份的安全认证,还提供了可靠的密钥管理的功能。本文首先根据WLAN安全性定义,从完整性、私密性和可用性3个方面对WLAN的安全威胁进行系统分析,在介绍802.11身份验证、访问控制和数据加密技术的基础上,对以802.1X为代表的WLAN安全解决方案进行了阐述,介绍了802.1X的最新版本——802.1X-2010。还指出了RADIUS为适应EAP认证所作出的改变。之后,在理论分析的基础上,结合应用需要,从系统拓扑、框架、认证流程和功能模块等方面对WLAN准入控制系统模型进行了阐述。接着,在系统模型的基础上,给出了基于HostAP的认证者系统状态机的实现,这也是本文的重点,这对改进AP的性能有一定的参考意义。这部分阐述了认证者PAE状态机、后端认证状态机、密钥管理状态机等的实现细节。随后通过安装和配置FreeRadius、OpenSSL、 MySql等,搭建实验平台,并在所实现的认证者系统上进行了基于公钥证书的EAP-TLS双向认证测试和其他实验。结果表明认证者系统能够与移动站和认证服务器正常通信,并实现了认证、密钥管理和认证数据的保密等功能。最后本文结合所提出的准入控制系统模型,还做了以下工作:(1) WLAN安全检测进行了一些研究,针对WLAN存在的典型的MAC地址欺骗,以及以此为基础的各种形式的DoS攻击,给出了一些检测方法。提出了基于移动站的无线分布式入侵检测系统的简化模型,它抽象为两个实体:工作站和网络管理端。通过定制的802.1X客户端软件,在认证过程中提交丰富的客户端信息,配合管理端更好地进行准入控制。该系统保证合法用户安全接入网络、保密通信之余,能分时地捕获网络中的其他数据流量,并根据管理端所下发的网络状态信息和异常筛选策略进行网络监控,及时上报可疑的网络行为给管理端,如存在非法的移动站或AP等。管理端则对异常信息进行汇总分析,并作出决策,把新的安全策略下发到移动终端。(2)根据需要对管理程序的功能做了一些设计。(3)研究了对AP进行管理的协议即AP-AC(?)司通信协议CAPWAP,并给出了开源无线控制器Coova Chilli的介绍和配置方法。