[应用文书]参考模板.doc

兰州交通大学课程设计现代通信交换技术课程设计设计题目：现代通信网SIP协议姓 名： 颜硕 学 号：200809659班 级： 通信083 指导老师： 王喆 题目二：基于软交换技术的某某（城市、企业、公司、校园、大楼、小区）网络设计方案内容：设计基于软交换技术的宽带网络。要求实现与现有网络的无缝融合，为用户提供丰富的业务，很好的解决话音、数据、传真和视频等业务的融合，并且网络建设性价比高。 要求：（A4纸10页以上，格式按照课程设计论文要求，加封面，同时提交电子文档，以学号和姓名命名）1、 目录2、 概述：网络建设需求分析、经济可行性分析；设计原则或设计思想；3、 组网方案说明：采用的核心技术；4、 设备选择：交换机、路由器、服务器等及比较；5、 网络构成图：给出系统总体结构图及分系统结构图； 6、 系统报价：设备型号、单位、数量、参考单价、参考总价、产生厂家（要求用Excel制表）。目录摘 要1第一章 概述21.1 SIP协议的背景21.2 31.3 校园网的总体设计思想3第二章 方案说明82.1 采用核心技术82.2 传统以太网技术82.3 千兆以太网技术122.4 ATM网络技术152.5 WLAN其他安全技术19第三章 设备选择213.1 服务器213.2 工作站213.3 集线器213.4 防火墙213.5 交换式集线器21第四章 系统构成图22第五章 系统报价29参考文献30摘 要当今通信领域科技飞速发展,技术日新月异,作为目前通信领域中的主导业务一移动通信更是如此。移动用户数量的迅猛增长给运营商的网络扩容带来了相当大的压力。如何解决有限的网络资源与不断增加的用户之间的矛盾,使网络结构更加合理,是目前闲扰运营商的一个技术难题。论文从课题研究的背景和目的出发,介绍了软交换技术的技术原理、标准协议的进展情况,以及软交换特别是移动软交换在全球的应用情况。然后从工程设计的角度出发结合实际应用案例,详尽介绍了“基于软交换技术的兰州交通大学网络设计方案”项目。根据实际网络的运行和维护情况,提出针对目前的设备情况,新增软交换设备对网络进行扩容优化的具体组网方案。Abstract With the development of Internet, the security has be the greatest challenge of Wireless LAN. The basic knowledge of Wireless LAN were summarized while the main safety technique of Wireless LAN were discussed especially, which included WEP, WPA and 802.1X. The paper introduced how they worked and compared their benefits and weakness. Besides, The MAC address filtering and the IP address filtering were also summarized. Keywords: security; WEP; WPA; MAC address filtering; IP address filtering 1概述1.1 组建校园网的重要性和必要性通常计算机组网主要通过双绞线、光纤、铜轴电缆等有形介质构成有线局域网。但有线网在某些环境中应用有一定的局限性，如要受到布线的限制且施工、维护、改造工作量大，网的各节点不可移动。因此，无线局域网络技术得以发展。无线局域网络具有安装便捷、使用灵活、经济节约、易于扩展等特点，但其发展并不是用来取代有线局域网络，而是用来弥补有线局域网络的不足，无线局域网络适用情形主要有:a.需移动接入网络b.有线局域网络架设受环境限制c.作为有线局域网络的备用系统无线局域网是指以无线信道作传输媒介的计算机局域网络（Wireless Local Area Network, 简称WLAN), 是在有线网的基础上发展起来的。无线局域网具有可移动性, 能快速、方便地解决有线方式不易实现的网络信道的连通问题, 但是WLAN 在为用户带来方便的同时, 存在着许多安全上的问题。所以开展对WLAN的安全性研究, 特别是广泛使用的IEEE802.11 WLAN 的安全性研究, 发现其可能存在的安全缺陷, 研究相应的改进措施, 对WLAN 技术的使用、研究和发展都有着深远的影响。1.2 WLAN的发展趋势WLAN即无线局域网,是以无线信号作为传输媒的数据信号传输网络。从1999年802.11b(IEEE最初无线局域网标准);802.11a(802.11b的后续标准);802.11g(最新混合标准);802.11e(通用无线准);802.11h(无线局域网的欧洲标准);802.11n(下一代高速无线局域网标准)等标准WLAN技术以其日趋成熟渐进入实用阶段。目前, 无线局域网的发展方向主要有2 个：一是HiperLAN（ High Performance Radio LAN），另一个是无线ATM。HiperLAN 是一种适合于各种不同用户的一系列无线局域网标准，分为1- 4 型，由欧洲电信标准化协会（ ETSI）的宽带无线电接入网络（ BRAN）小组着手制定，已推出HiperLAN1 和HiperLAN2。HiperLAN1 在协议方面支持IEEE 802.11，对应于IEEE 802.11b，工作频率为无线电频谱的5GHz，速率可达20Mbps，可与100Mbps 有线以太网媲美。HiperLAN2 是为集团消费者、公共和家庭环境提供无线接入到因特网和未来的多媒体，即实时视频服务。HiperLAN2 与IEEE 802.11a 具有相同的物理层，HiperLAN2 具有较好的发展前景，其工作频谱为5GHz，速率可达54Mbps。无线ATM是ATM技术扩展到无线本地接入和无线宽带服务的一个标准。目前ATM论坛的无线ATM工作组和ETSI 的宽带无线接入网络组正在进行相关标准化工作。在标准方面，IEEE 已公布的IEEE 802.11e 及IEEE 802.11g 将是下一代无线局域网标准，被称为无线局域网标准方式IEEE 802.11 的扩展标准，均在现有的802.11b 及802.11a 的MAC 层追加了QOS 功能及安全功能的标准。无线局域网未来发展方向是数据速率更高、功能更强、应用更加安全可靠、价格更加低廉。1.3 无线局域网标准1.3.1 WLAN标准目前支持无线局域网的技术标准主要有Home RF 技术、蓝牙技术以及IEEE 802.11 系列。Home RF 主要用于家庭无线网络，其通信速度比较慢；蓝牙技术是按IEEE 802.11 标准的补充技术来设计的，1994 年爱立信公司为寻找移动电话和PDA 类辅助设备进行通信的廉价无线接口时创立的；1997 年IEEE 发布了IEEE 802.11 无线局域网系列标准，这是在无线局域网（ WLAN）领域内的第一个国际上被广泛认可的协议，随后，802.11a、802.11b、802.11d 标准相继完成。目前正在制订的一系列标准有802.11e、802.11f、802.11g、802.11h、802.11i 等，它推动着WLAN 走向安全、高速、互联。1.3.2 IEEE802.11标准1）IEEE 802.11 的基本结构模型IEEE 802.11 工作组开发的基本结构模型见图1无线局域网的最小构成模块是基本服务集（ BSS，Basic Service Set），它包括使用相同介质访问控制（ MAC，Media Access Control）协议的站点。一个BSS 可以是独立的，也可以通过一个访问点连接到主干网上，访问点的功能就像一个网桥。MAC协议可以是完全分布式的，或者由访问点来控制。BSS一般对应于一个单元。扩展访问集（ ESS，Extended Service Set）包括BSS 单元。典型的分布式系统是一个有线的主干局域网。ESS 对于逻辑链路控制LLC 子层来说是一个单独的逻辑网络。IEEE 802.11 标准定义了三种移动结点。（1）无跳变结点：固定的或者只在一个基本服务集的直接通信范围内移动。（2）基本服务集跳变结点：在同一个扩展访问集中的不同基本服务集之间移动，结点之间传输数据就需要通过寻址来辨认结点的新位置。（3）扩展访问集跳变结点：从一个扩展访问集的基本服务集移动到另一个扩展访问集的基本服务集，只有在结点可以进行扩展访问集跳变移动的情况下，才能进行跨扩展访问集的移动。图12）IEEE 802.11 服务IEEE 802.11 定义了无线局域网必须提供的服务，这些服务主要有5 种。（1）联系（ Association）：在一个结点和一个访问点之间建立一个初始的联系。（2）重联系（ Reassociation）：把一个已经建立联系的结点从一个访问点转移到另一个访问点，从而使结点能够从一个基本服务集转移到另一个基本服务集。（3）终止联系（ Disassociation）：结点离开一个扩展访问集或关机前需要通知访问点联系终止。（4）认证（ Authentication）：在无线局域网中，认证服务用于在互相需要通信的结点之间建立起彼此识别身份的标志。标准并不指定任何方案，认证方案可以是不太安全的简单握手或公开密钥方案。（5）隐私权（ Privacy）：标准提供的加密选项用于防止信息被窃听者收到，以保护隐私权。3）物理介质规范IEEE 802.11 定义了物理介质：红外线和微波。4）介质访问控制规范IEEE 802.11 采用分布式基础无线网的介质访问控制算法，和以太网类似，通过载波监听方法来控制每个访问结点；IEEE 802.11 协议的介质访问控制MAC 层又分为2 个子层：分布式协调功能子层与点协调功能子层。分布式协调功能子层使用了一种简单的CSMA算法，没有冲突检测功能。为了减小无线设备之间在同一时刻同时发送数据导致冲突的风险，802.11 引入了称为请求发送/清除发送（ RTS/CTS） 的机制，即：数据到达基站，该基站将会向无线节点发送一个RTS 帧，请求一段用来发送数据的专用时间，接收到RTS 请求帧的无线节点将回应一个CTS 帧，表示它将中断其他所有的通信直到该基站传送数据结束，其他设备可监听到传输事件的发生，同时将在此时间段的传输任务向后推迟，这样，节点间传送数据时发生冲突的概率就会大大的减小。在分布式访问控制子层之上有一个集中式控制选项。点协调功能是通过在网中设置集中式的轮询主管“ 点”的方式，使用轮询方法来解决多结点争用公用信道问题，提供无竞争的服务。1.4 WLAN传输技术无线局域网物理层使用的是无线传输介质，其采用的技术可以分为三类：红外线(Infrared)技术、扩频(Spread Spectrum) 技术和窄带微波(Narrowband Microwave)技术。红外线局域网采用波长小于1m的红外线作无线局域网物理层使用的是无线传输介质，其采用的技术可以分为三类：红外线(Infrared)技术、扩频(Spread Spectrum) 技术和窄带微波(Narrowband Microwave)技术。a.红外线局域网采用波长小于1m的红外线作为传输媒体，有较强的方向性，受阳光干扰大。它支持12Mbit/s 数据速率，适于近距离通信。又可分：定向光束红外线、全方位红外传输技术和漫反射红外传输。b.窄带微波是指使用微波无线电频带来进行数据传输，其带宽刚好能容纳信号。扩频技术就是信号所占有的频带宽度远大于所传信息必须的最小带宽，频带的扩展是通过一个独立的码序列来完成，用编码及调制的方法来实现的，与所传信息数据无关；在接收端也用同样的码进行相关同步接收、解扩及恢复所传信息数据。其具有抗干扰、抗噪声、抗衰减和保密性好等优点。根据采用调制方式的不同又可分为：直接序列式扩频（ DSSS）方式以及跳频扩展频谱（ FHSS）方式。c.直接序列式扩频：就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列在发射端扩展信号的频谱，把展开的扩频信号还原成原来的信号。DSSS 局域网可在很宽的频率范围内进行通信，支持12Mbit/s 数据速率。d.跳频扩展频谱：是另外一种扩频技术。跳频的载频受一个伪随机码的控制，在其工作带宽范围内，其发射无线频率按随机规律不断改变，接收端的无线频率变化规律保持与发射端的变化规律一致。由于慢跳跳频系统实现简单，因此低速无线局域网常常采用这种技术，一般跳速在50 跳/秒以下，FHSS 局域网支持1Mbit/s 数据速率，共22 组跳频图案，包括79 个信道。2. WLAN安全技术2.1 WLAN存在的主要安全问题由于无线局域网的传输介质的特殊性，使得信息在传输过程中很容易受到空中无线环境的影响，相对于有线网络，无线局域网在物理传输层主要存在以下几个方面的安全问题：1）被监听。由于无线局域网使用无线电播进行网络通讯，用专用仪表或无线网卡在空中接口就可以进行监听，但是发送者和预期的接收者无法知道信息是否被监听，且无法检测。2）修改替换。在无线局域网中，信号较强节点可以屏蔽信号较弱节点，用自已的数据取代，甚至代替其他节点作出反应。3）传递信任。当公司网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵，受攻击后还难以找到确定的接口。因此，参与通信的双方都应该能相互认证。4）基础结构攻击。基础结构攻击是基于系统中存在的漏洞，如软件臭虫、错误配置、硬件故障等。针对这种攻击进行的保护是很困难的。5）无线干扰。攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。6）置信攻击。攻击者将自己伪造成基站，可以让移动设备在不知情的情况下登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。另外还存在物理上的安全，无线设备为了灵活方便，在设计时会存在许多的限制，如电池寿命短、显示器小等缺陷，这将对储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。其次，无线设备虽有一定的保护措施，但是这些保护措施总是基于最小信息保护需求的。因此，十分有必要加强无线设备的各种防护措施。2.2 WEP协议2.2.1 WEP协议工作原理在目前应用最为普及的无线局域网标准IEEE802. 11 中,采用了以有线等价保密协议WEP 为基础的安全机制, 以此提供对无线局域网的访问控制和实现对数据的机密性、完整性保护。但WEP 在设计上存在先天缺陷, 无法达到人们期望的安全目标,IEEE 便委托80211. i 任务组制定新的安全标准,并于2004 年6月批准了802. 11i。但是尚未取得广泛应用。（2）WEP 数据帧在讨论WEP 的工作原理之前, 先来分析WEP 的数据帧结构。数据帧分为三个数据项:分别为32bits 的IV 数据项, 传输数据项以及32bit 的ICV (即32 位循环校验码)。其中IV 是明文传送的, 而传输数据以及ICV 是加密的。IV 数包含三个主数据项, 分别为24bits 的初始向量值Init Vector,2bits 的Key ID 和6bits 的填充数据。其中Init Vector 是用来构成WEP Seed Key ID 用于选择用于该数据帧加密所使用的密钥, 因为有四个密钥可用于加密, 所以用Key Id 来帮助选择;6bits 填充数据部分为全“0。（2）WEP 的数据加解密原理WEP 所使用的加密算法是基于RC4 的序列密码, 其密钥长度是可变的, 一般使用64 位的密钥。密钥的构成是由共享密钥与IV 直接连结构成的。a.数据加密密钥WEP 中用于信息加解密一般的密钥是:Default Key, Default Key 是缺省的加密密钥。共有四个Default Key, 用Key Id 来标志它们, 分别为0, 1, 2, 3。b.数据加密原理WEP 的数据的加密过程如图1 所示, 主要有以下三个步骤:数据帧扩展、密钥流序列的生成、数据加密部分三个部分, 加密过程生成的密钥流与明文异或生成密文, 密文与IV 组合生成加密后的数据帧。图2 WEP 数据的加密过程c.数据解密原理WEP 的数据解密过程主要包括以下三个部分:密钥流的生成；数据解密, 将密钥流与密文异或, 生成明文；信息认证, 对信息的校验码进行检查, 如果正确, 接收解密后的数据帧;否则丢弃错误的数据帧。（3）WEP 的身份认证WEP 使用了基于共享密钥的认证机制来验证用户身份的合法性。其认证机制的核心是共享密钥, 即工作站点与接入点之间共享的密钥, 而对于其它用户是保密的。所需的认证共享密钥通过一个独立于IEEE802.H 的安全信道传输给网络中的工作站点。身份认证过程如下:a.用户站点搜寻接入点;b.用户站点向接入点发送申请认证的数据帧;c.接入点用WEP 随机数产生器生成128bytes 的Challenge Text,加载到管理数据帧, 并将该数据帧发送给用户站点;d.用户站点将Challenge Text 加载到一个管理数据帧, 并使用共享密钥与新的IV 向量对该数据帧进行加密, 并将加密后的数据帧传送给接入点;e.最后接入点视用户站点传输过来的信息是否正确以及检查CRC 是否正确来判断该用户站点是否为合法用户。验证是合法用户时, 则返回认证成功的信息,否则视作失败。2.2.2 WEP协议的安全分析WEP 虽然是为无线局域网络安全所设计的, 但在设计的时候并没有全面考虑安全问题, 通过对无线局域网络的安全分析,WEP 的安全性主要存在以下不足:（1）密钥重复由于WEP 算法是基于RC4 的序列加密算法, 加密的原理是使用密钥生成伪随机密钥流序列与明文数据逐位进行异或, 生成密文。如果攻击者获得由相同的密钥流序列加密后得到的两段密文, 将两段密文异或, 生成的也就是两段明文的异或, 因而能消去密钥的影响。通过统计分析以及对密文中冗余信息进行分析, 就可以推出明文。因而重复使用相同的密钥是不安全的。（2）WEP 缺乏密钥管理在WEP 机制中, 对于密钥的生成与分布没有任何的规定, 对于密钥的使用也没有明确的规定, 密钥的使用情况比较混乱。数据加密主要使用两种密钥, Default Key 与Mapping Key。数据加密密钥一般使用缺省密钥中Key ID 为0 的Default Key 密钥。也就是说, 所有的用户使用相同的密钥。而且这种密钥一般是使用人工装载, 一旦载入就很少更新, 增加了用户站点之间密钥重用的概率。此外, 由于使用WEP 机制的设备都是将密钥保存在设备中,因此倘若设备丢失, 就可能为攻击者所使用, 造成硬件威胁。（3）IV 重用问题IV 重用问题(也称IV 冲撞问题), 即不同的数据帧加密时使用的IV 值相同。而使用相同的数据帧加密密钥加密是不安全的。数据帧加密密钥是基密钥与IV 值串联而成。实际上用户普遍使用的基密钥是Key Id 为0 的default key, 因而不同的数据帧加密使用相同的IV 值是不安全的。而且, IV 值是明文传送的, 攻击者可以通过观察来获得使用相同数据帧加密密钥的数据帧获得密钥。所以要避免使用到相同的IV 值, 这不仅指的是同一个用户站点要避免使用重复的IV, 同时要避免使用别的用户站点使用过的IV。WEP 中规定IV 的长度为24bits, 每个传输的数据帧任意选择其中一个IV 值进行加密。因为IV 只有24 位, 也就是说IV 的选择范围只有224。假设IV 初始值设为0, 每传送一个数据帧, IV值增加1, 这样在传输224 个数据帧后就会遇到IV 重用问题。对于通讯繁忙的站点, 很可能在短期内发生重复使用。假设一个繁忙的接入点, 传送数据速度为11 Mbytes/s, 数据帧大小为1.5Kbytes, 则在约5 小时后就会导致IV 重用。在更坏的情况下, 由于IV 是明文传送的, 因此攻击者能获得两个或多个使用相同密钥的数据帧就可以使用静态分析来恢复明文。（4）RC 校验问题WEP 协议为了保障无线数据在传输中的完整性, 防止数据遭到窜改, 使用了使用了CRC- 32 校验的办法。因为CRC 并不是一种真正意义上的信息认证码, 不能满足实际的安全需求。若将明文的值与某一任意值X 相异或以后再使WEP 加密, 得到的密文值等于明文在未与X 相异或, 加密的CRC32 校验值等于原先的明文校验值经加密后再与X CRC32 校验值相异或。这样的话, 我们可以随意地更改WEP 密文, 只要注意使我们的更改符合以上的原则。接收方在收到被窜改的数据包以后, 因为被窜改的数据可以通过CRC校验, 所以接收方根本无法发觉数据己经被窜改过。只要我们能够截获一个WEP 加密帧, 我们就可以向网络中注入任意的看似合法的数据流而不被察觉。所以说WEP 协议实际上根本不能保护传输数据不受篡改。（5）身份认证问题在WEP 协议中规定的身份认证是单方向的, 即访问点AP 对申请接入的移动站station 进行身份认证, 而移动站的station并不对访问点AP 的身份进行认证。这样就有可能存在假冒的访问点AP。要想避免这种情况, 必须进行双向认证, 即访问点AP 与移动站station 之间互相都需要验证对方的身份。2.3 WPA协议2.3.1 WPA的安全规范及关键技术随着WEP 的上述安全缺陷的逐渐被发现，如何更有效地保证WLAN 的安全成了大家普遍关心的问题，也是Wi-Fi 联盟和IEEE 的安全专家更要思考解决的问题，Wi-Fi 联盟联合IEEE 于2002 年10 月共同发布了Wi-Fi Protected Access（WPA），它是一个基于标准的安全规范，旨在提高现有的和将来的WLAN 系统包括数据保护和访问控制两方面的安全防护等级。WPA 是IEEE 802.11i 标准草案的一个子集，并且将向前兼容将来的IEEE 802.11i 正式标准，现有的已通过Wi-Fi 认证的WLAN设备将可以通过软件升级的形式实现对WPA的支持表1 WEP 与WPA 比较比较内容 WEPWPA加密算法RC4RC4密钥生成方式静态-网络中所有成员使用同一密钥动态的基于会话的密钥生成。每个用户，每个会话，每个数据包1个密钥密钥长度40bits128bits加密密钥64bits 认证密钥密钥生命期24-bit IV48-bit IV数据包密钥简单串连方式混合方式数据完整性检查CRC-32MIC(Michael)数据头完整检查没有MIC(Michael)防止重放攻击没有IV 序列密钥管理手动加到每台设备自动分发用户认证没有EAP，802.1X可以说WPA=802.1X + EAP + TKIP + MIC。WPA 使用了一种称为Temporal Key Integrity Protocol（TKIP) 临时密钥完整性协议的加密策略来加强数据的私密性，TKIP 仍采用RC4 加密算法，但在RC4 基础上进行了更复杂的数据封装。在802.1X/EAP 的认证支持下，TKIP 实现了用户密钥、会话密钥、数据包密钥的分级密钥体系。它同时添加了一种称为Message Integrity Check (MIC) 又简称为Michael 信息完整性检查的技术来防止数据的伪造。TKIP 把密钥的长度由WEP的40 位提高到128 位，并且密钥是由认证服务器自动生成和分发的。TKIP 使用密钥分级和有效的密钥管理方法消除了原来入侵者有空可钻的密钥的可预测性。在WPA 体系中，认证服务器收到来自用户的请求后，使用802.1X为该处理会话生成一个惟一的主密钥或者Pair-wise Key 配对密钥，然后TKIP 把该密钥分发给客户和AP，再用PK密钥为会话期间传递的每个数据包动态生成一个惟一的密钥用于这些数据包的加密，从而建立起密钥的分级和管理系统。TKIP 的密钥分级策略使得每个当前的数据包可使用的密钥数量达到千万亿级。MIC 技术是为防止入侵者获取并修改数据包，然后再重发它们而设计的。使用该机制，发送者和接受者都会计算并比较MIC 值，如果发现两者不相等，则认为该数据被修改了，于是将这个数据包丢弃。这样通过加大密钥的长度和增加密钥的数量并新创建了数据完整性校验机制，TKIP 大大增加了数据编码的复杂性和难度，从而极大地增强了无线加密的安全性。（1）TKIP 和MICTKIP 的算法包括以下部分：a. Counter measure，又称为反攻击策略。在接收到的MSDU中如果出现错误的MIC表明存在主动攻Countermeasure就是为了防止非法获取MIC从而限制窃听和非法获取密钥信息。反攻击策略工作方式如下：系统将出现错误MIC的情况作为相关安全问题记录并跟踪。如果这种问题在限定时间内出现第2 次，则立即更新密钥(包括PTK 和GTK) 并在规定时间内停止与A P 的关联操作。b. TSC(TKIP Sequence Counter)，即TKIP 包序列计数器，用来记录MPDU（MAC 协议数据单元）的传递顺序。经过计算得出的MIC附加在MSDU（MAC服务数据单元）的Data 之后。相当于MSDU的Data部分扩展了8 字节，MSDU转换到MPDU时就可能需要进行分段。这时，TKIP 给分段的每一个MPDU分配一个单调递增的TSC 值，由同一个MSDU 产生的MPDU使用同一个48 位计数空间的计数值。接收端根据TSC 可以将接收到的杂乱无序的MPDU丢弃。这一算法中TKIP 把TSC作为一个WEP IV 编码并传送。由此可见，TSC 可以为WLAN提供一个简单的防重播机制。c. Cryptographic mixing function 加密混合函数。TKIP 使用两次加密混合函数将临时密钥和TSC 结合起来生成WEP种子密钥(WEP seed)。第1 次的输入为临时密钥、传送地址和TSC 的高32 位。得到P1K，第2 次的输入为P1K 和TSC 低16位。得到WEP seed。接收端从接收到的MPDU 中恢复TSC再次使用混合函数计算出相同的WEP 种子密钥，来对MPDU进行正确解密。加密混合函数是为了解决WEP 中存在的弱密钥攻击。d. MIC(Message Integrity Code)，即信息完整性代码，又叫Michael。由发送端根据MSDU (MAC 服务数据单元) 的源地址、目标地址和MSDU明文数据计算得出，并附加在分段存储前的MPDU(MAC 层协议数据单元)数据中。接收端在进行解密、ICV校验及MPDU到MSDU 的重新组装后验证MIC，如发现所接收的MSDU 中含有无效MIC 则丢弃。WPA 中MIC 的实现可以防止篡改攻击。MIC 可以通过软件实现。TKIP加密过程:首先根据主密钥产生的MIC密钥，计算出MIC，然后将MIC 与MSDU 串接，完成串接后，进行分块处理得到数据包，每个数据包再串接由IV生成器生成的IV/ICV，接着在数据包中添加MAC 头, 与此同时将主密钥生成的加密密钥与IV生成器生成的IV 进行混合运算，最后对串接了IV/ICV并添加了MAC头的数据包进行加密，生成MPDU进行传输，完成整个加密过程。TKIP 解密过程：首先将接收到的MPDU 剔除MAC 头，同时解析出IV,根据IV进行TSC窗口校验，如果发现有错误的TSC，则丢弃该数据包，如果通过校验，下一步进行解密操作。同加密过程类似，解密过程也要进行主密钥生成加密密钥，同IV一起，进行密钥混合运算的过程，然后解密，在解密过程中会检查ICV，如果发现错误的ICV，则丢弃该数据包，解密完成后，进行分块重组的工作，完成重组后进行MIC校验，与通过主密钥生成的MIC密钥计算的出的MIC进行比较，如果发现错误，拒绝该数据并启动Countermeasure 机制。通过MIC 校验后，将删除MIC 得到最终的MSDU。2.3.2 WPA的应用（1）企业级应用中的WPAWPA 安全体系在802.11i 标准正式发布前有效地满足了企业级WLAN 应用中的安全需求，提供了强有力的加密机制和身份认证解决方案。在企业级应用中WPA 必须和认证服务器配合使用，如RADIUS，以提供集中式的访问控制和管理。（2）家庭、SOHO 应用中的WPA在家庭、SOHO环境下，没有中央认证服务器或者EAP 架构，WPA 采用一种特殊的家庭应用模式，称为PSK（Pre-Shared key）预先共享密钥模式，该模式能提供同企业级应用中一样的TKIP 加密机制、数据包级的密钥结构和密钥管理机制，所不同的是密钥或者密码需要用户手工输入。用户所要做的就是手工把密码（又称主密钥）输入AP、家庭无线网关和WLAN中的每一台PC 中。实现对应用系统的安全审计，SAC 的模块化设计便于安全工程的实施，可根据省中心与各城市中心不同情况裁剪设计。相信通过该系统的实施能够为邮政金融系统做完善的安全保障，并为邮政金融系统的更进一步发展做较大贡献。2.4 802.1X认证技术2.4.1 802.1X简介在IEEE 802 LAN所定义的局域网环境中,只要存在物理连接,未经授权的网络设备或者用户就可进入网络。随着局域网技术在运营网络中的广泛应用,安全认证必不可少。PPPOE认证和WEB认证就是在这样的背景下提出来的。随着网络建设规模的迅速扩大,面对急剧增长的用户数量和不断丰富、多样化的宽带,这些传统认证方式渐渐难负重荷, IEEE802.1X作为一种新型的认证协议应运而生。IEEE 802.1X称为基于端口的访问控制协议,它充分利用了IEEE 802 LAN简单、廉价的组网优势,同时能够对接入LAN的网络设备或用户进行安全认证。通过对端口的控制,802.1X能够在LAN这种多点访问环境中提供点对点的用户识别方式。在IEEE802.1X协议中,端口指的是接入LAN的一个单点结构,我们通称为网络访问端口,它可以是物理端口(如以太网交换机的一个以太网口),也可以是逻辑端口(如用户的MAC地址、全程VLAN ID等)。2.4.2 802.1X认证系统结构在IEEE 802.1X体系中有3 个实体：The supplican（服务请求者）：试图访问网络的移动终端；The authenticator（认证者）：对服务请求者准许进入或拒绝进入的Access Point；The authentication Server（认证服务器）：提供请求者访问认证者的认证，三者之间通过EAP协议进行通信(如图3所示)图3 802.1X认证系统客户端一般为一个用户终端系统,用户通过启动客户端软件发起802.1X认证,客户端必须支持EAPOL协议。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入LAN的网络访问端口。认证服务器用户实现用户的认证、授权和计费,它可以存储用户的相关信息,包括用户的VLAN ID、CAR参数、优先级和访问控制列表等。在运营网络中,图3 显示了请求者在通过身份认证之前只能通过非受控端口发送数据给认证服务器，通过认证之后，受控端口闭合，这样请求者就可以享受被保护网络上提供的服务了。一般采用RADIUS服务器作为认证服务器。2.4.3 802.1X认证原理802.1X的关键技术就是根据认证过程的结果对网络访问端口进行控制。简单地说,用户认证通过前,端口受控,只允许认证报文通过,用户无法上网;用户认证通过后,端口不受控,所有报文都可以通过,用户正常上网。（1）受控端口和非受控端口前面提到,设备端为客户端提供接入LAN的网络访问端口。为便于描述,我们将这个端口划分成两个虚端口:受控端口和非受控端口。如图2所示,当与网络访问端口相关联的MAC可用时(Enabled),非受控端口始终处于双向连通状态,只能用于传递EAP认证报文。受控端口在授权状态下双向连通,用于传递业务报文;受控端口在非授权状态下,根据受控方向的不同,可能单向连通,也可能双向断开(详见3.2)。受控端口和非受控端口是同一个网络访问端口的两个虚拟部分;任何到达该端口的报文,在受控端口和非受控端口均可见。（2） 双向受控和单向受控在未授权状态下,根据报文允许流通的方向,对受控端口的控制可以分为双向受控和单向受控两种。双向受控时,禁止受控端口发送和接收报文;单向受控时,允许受控端口向客户端发送报文,但不允许受控端口从客户端接收报文。实行单向受控时,系统可以支持远程唤醒、对等唤醒和远端控制等功能,这在某些应用场合还是很有用的。例如,当局域网内提供共享资源的PC掉电时,可通过远端控制台进行维护控制,发送命令激活PC的MAC,使PC重新上电。2.4.4 IEEE 802.1X 的认证IEEE802.1X的认证过程如下：当AP 侦测到一个客户端后，向客户端发送一个EAPOL（EAP Over LAN）格式封装的EAP Request-ID 信息，客户端收到以后，向AP 返回一个包含有用户ID 的EAPOL 格式封装的EAP Response-ID 信息，该Response 信息将被重新封装成RADIUS 请求数据包，被传送到骨干网上的RADIUS 服务器，然后EAP 认证开始，在访问服务器的支持下，消息在客户端和RADIUS 之间中继，在客户端使用EAPOL 协议，在服务器端使用RADIUS 协议。完成EAP 认证后，RADIUS 服务器发出一个包含有EAP success（或failure）标志的RADIUS access accept（或reject）数据包，该数据包被传送给客户端。如果RADIUS 服务器通过了客户端的认证，受控端口将开放给客户端。Wired LAN ServiceWired LAN ServiceAuthenticationAuthenticationononon认证服务器器图4 认证前后端口变化2.4.5与其它认证方式的比较（1）802.1X认证a.作为一个二层协议,不需要到达三层,同时接入层交换机不需要支持802.1Q VLAN,对设备的整体性能要求不高,可以有效地降低网络建设成本。b.引入受控端口和非受控端口两个概念,实现了认证流和业务流的分离。一旦认证通过,所有的业务流量和认证系统无关,简化了PPPOE认证中需要对每个数据报文进行封装的繁琐过程,能有效地缓解网络瓶颈问题。c.使用组播报文发起认证,有效避免了广播风暴的产生。d.通过非受控端口进行认证,完全独立于处理业务的受控端口,因此认证处理容量可以很大,可以与价格昂贵的宽带接入服务器BRAS相比拟,降低了网络e.通过后,业务流和认证流相分离,对后续的数据包无需进行特殊处理,因此可以灵活实现多种业务,特别在开展组播业务方面具有很大优势。（2）PPPOE认证PPPOE认证是由基于ATM的窄带网引入宽带以太网的,它沿袭了人们目前普遍使用的拨号上网方式,容易被用户接受。认证需要将PPP协议再次封装到以太网中,网络封装开销很大,容易造成网络瓶颈。PPPOE使用广播报文发起认证,容易引起广播风暴,对网络性能有很大的影响。PPPOE认证系统需要功能强大、价格昂贵的宽带接入服务器BRAS对用户的每个数据报文进行拆包识别和封装转发,无形中提高网络建设成本。PPPOE协议采用基于点对点的会话,无法实现组播业务。（3）WEB认证WEB认证的绝对优势在于它不需要用户安装特定的客户端软件,有效降低了网络维护的工作量。WEB认证可以提供Portal业务。WEB认证承载在应用层之上,对设备的要求较高,网络建设成本较高。WEB认证采用厂家私有协议,开放性差。WEB认证前后业务流和控制流都不需要封装,无法进行区分。WEB认证在认证前就为用户分配了IP地址,造成了IP地址的浪费。用户访问网络前,不论是TELNET、FTP还是其它业务,必须使用WEB浏览器进行WEB认证,易用性差。与目前业界流行的PPPOE认证和WEB认证相比, 802.1X认证作为一种新型的认证,从认证方式和认证体系结构上进行了优化,能有效地消除网络瓶颈,同时减轻了网络封装开销,降低了网络建设成本。2.5 WLAN其他安全技术（1）服务集标识符服务集标识符（ SSID，Service Set Identifier）技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID 是相邻的无线接入点（ AP）区分的标志，无线接入用户必须设定SSID 才能和AP通信。但是SSID 对于网络中所有用户都是相同的，实际上是一个简单口令，其安全性差。（2）介质访问控制由于每个无线工作站的网卡都有唯一的物理地址，应用介质访问控制MAC 技术，可在无线局域网的每一个AP 设置一个许可接入的用户的MAC 地址清单，MAC 地址不在清单中的用户，接入点将拒绝其接入请求。但MAC 地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC 地址，部分无线网卡允许通过软件来更改其MAC 地址，媒体访问控制属于硬件认证，而不是用户认证，且这种方式要求AP 中的MAC 地址列表手工操作更新，MAC 地址扩展困难，因此媒体访问控制只适合于小型网络规模。（3）国家标准WAPI国家标准WAPI（ WAPI， Authentication and Privacy Infrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11 中WEP 协议安全问题，在中国无线局域网国家标准GB15629.11 中提出的WLAN 安全解决方案。WAPI 采用公开密钥体制密码算法，分别用于WLAN 设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI 的主要特点是采用基于公钥密码体系的证书机制， 真正实现了移动终端（ MT，Movable Terminator）与无线接入点（ AP）间双向鉴别。它还充分考虑了市场应用，从应用模式上可分为单点式和集中式两种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平台。采用WAPI 可以彻底扭转目前WLAN 多种安全机制并存且互不兼容的现状，从而根本上解决安全和兼容性问题。（4）虚拟专用网络虚拟专用网络（ VPN，Virtual Private Network）指使用互联网连接物理上分散的系统来模拟单一专用网的安全方式，通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN 防火墙。同样无线LAN，我们也可以采用该安全框架，即安装两道防火墙：一个作为进入内部网的网关，另一个处于无线LAN 和内部网之间，无线防火墙只允VPN 通信。同样的，无线用户可以向无线基础设施认证自己。实际上，把无线网络和有线网络隔离，只允许VPN 通信经过，是利用了缓冲区的办法来增强网络安全性。此外，基于IPSec 的VPN 技术采用的IP 层加密协议，可以防止通信被窃听。VPN 可以替代无线对等加密解决方案和物理地址过滤解决方案，也可以与WEP 协议互补使用。但是VPN 技术应用于无线网络也有一定局限性，主要表现在：运行脆弱、吞吐量小、通用性差、扩展性差、成本高。3 防火墙技术所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。其中MAC地址过滤和IP地址过滤是防火墙很重要的技术。3.1 MAC地址过滤无线MAC地址过滤功能通过MAC地址允许或拒绝无线客户端接入无线网络，有效控制无线客户端的接入权限。无线MAC过滤可以让无线网络获得较高的安全性。每一个网络设备，不论是有线网卡还是无线网卡，都有一个唯一的标识叫做MAC地址（媒体访问控制地址）。网卡的MAC地址可以用这个办法获得：打开命令行窗口，输入ipconfig /all，然后出现很多信息，其中物理地址（Physical Address）就是MAC地址。 MAC地址过滤是在路由器中有一个过滤表，凡是表中登记的网卡，就可以通过路由器上网（或禁止上网）。如果某个网卡的ID号码没有在路由器中登记，就不能连上的。这就是MAC地址过滤，在路由器设置中有这样一项。 3.2 IP地址过滤IP地址过滤:是过滤局域网内的个别IP禁止通过路由来连Internet Explorer MAC地址过滤： MAC是网卡的实际地址，每一个网卡都有一个不同的地址，在路由上设置上MAC地址禁止已经被设置的网卡通过路由连Internet Explorer。4 无线局域网安全设置操作4.1 MAC地址过滤设置MAC地址过滤模块可以设定内部电脑按网卡MAC地址过滤，并能将MAC地址绑定固定的IP地址。配置对话框如下所示。下图是网卡背面的MAC地址：MINI-PIC网卡台式机网卡主板显示卡（1）11N无线路由器无线MAC地址过滤由于无线MAC地址过滤配置较简单，因此我们以实例来进行说明。例：假如您希望MAC地址为“00-21-