（通信与信息系统专业论文）wlan和3g系统融合网络的安全性研究.pdf

西南交通大学硕士研究生学位论文第l 页 摘要 第三代( 3 g ) 移动通信系统具有较高的数据传输能力，可以提供广域覆盖 和全球性漫游，理论上，它能为用户提供最高达2 m b i t 舟的数据速率，假部鬻 成本非常商。作为种商广阔前景的技术，无线局域网f w l a 正越来越受 人们关注，它 乍为3 g 系统无线接入手段的一释毒 充也正成为重要豹技术方 向。w l a n 能以较低的成本提供远高于3 g 的数据速率，其缺点是缺乏充分的 安全措施。3 g 系统与w l a n 融合可以实现优势互补，既保留3 g 在计费管理、 漫游和安全方面的优势，又能以较低的成本实现热点地区覆盖，两者融合前 景广阔。 耳薄，3 g 系统与w 凇n 的融合已经成为热f 1 的研究课题，薅者融合既可 以减少运营商的网络投资费用，又可以在大范围内实现较高的接入速率。然 而现今整合w l a n 与3 g 系统仍然有些认证及安全方面的问题存在，如何确 保二者互连的安全韪一个重要的问题。 本文主要研究3 g w 姒n 互连的安全楣关问题。首先分析了无线局域网的 安全特征和震求，劳简单介绍其安全现状。然后对3 g 的安全目标、安全原则 以及整体安全结构进行了概要介绍，并分析了认证和密钥协商协议所达到的 安全目标，指出存在的安全缺陷并加以改进。接蔫分析了3 g 系统与w l a n 互 连的背景以及安全相关问题，详细论述了3 g p p 定义的6 种互连场景和e t s i 提 出於两种互连参考模型。进而探讨互连网络中的认证协议，研究分析了 e a p s l m ，e a p a k a 这鹾种认证方案并加以改进，接着指出在互连网络中采 用单钥密码体制进行接入网认证的缺点，将基于公钥体制的认证方案 e a p t l s 引入互连嘲络。最后是结论，总结全文并指出需要进一步开展的研 究工作。 关键字：无线局域网；第三代移动通信：3 g w l a n 互连；认证；安全 蔼裁交通大学碾士职究生学位论文第ll 页 a b s t r a c t t h et h i r dg e n e r a t i o n ( 3 g ) m o b i l ec o m m u i c a t i o ns y s t e m sp r o v i d el a r g e c o v e r a g e ，c o m p l e t e ds u b s c r i b e rm a n a g e m e n ta n dn e a 订yu n i v e r s a lr o a m i n g i t a i s oh a sh i 酿s p e e dm o b i l “y n e v 盯t h e l e s s ，3 gs y s t e m sa f es u b j e c tt ot h ei o w d a t af a e s w la n ( w i r e l e s s 王站c a la r e an e t w o r k ) p f o v i d o sh o ts p o tc o v e f a g e w i t hh i g hd a t ar a t e s ( u pt o5 4 m b p sw h i l e8 0 2 1 la g ) ，b u ti ss u b j e c tt os h o r ti a n g e ( r e a c h e s1 0 0 mt h ef u r t h e s t ) a n dl a c k i n gar o a m i n ga n dm o b i l i t ys u p p o r t f r o m u s e r s p o i n to fv i e w ，t h ei n t e g r a t i o no fw l a n a n d3 gs y s t e m sw i l lp r o v i d ea c o n v e n i e n ta n da t 靠a c t i v ew a yf o ru s e rt oa c c e s sn e t w o f k c u r f e n t l v ，t h er e s e a r c ho fi n t e 掣毪t i n gw i 。a nw i l hc e l 薹u l a fm o b i l en e t w o r k s h a sb e c o m eah o tt o p i c i n t e g r a t i n g3 gs y s t e ma n dw l a nn e t w o r k sm a y0 f f e r s u b s c r i b e r sh i 窟h s p e e dw i r e l e s sd a t a s e r v i c e sa n du b i q u i t o u sc o n n e c t i v l t y h o w e v e r ，w h i l ei n t e g r a t i n gw 删必a n d3 g ，t h e r ea r es t i l ls o m es e c u r j t yp r o b l e m s r e m a i n e di nt e r m so fa u 也e n t i c 如o na n ds e 铋i i t y h o wt oe 睦a b c ei t ss e 噍yi s a l s ov e r yi m p o r t a n tf o rt h ed e v e l o p m e n to ft h ei n t e g r a t i n gs y s t e m i nt h i st h e s i s ，f i r s t l y ，w ea n a l y z et h es e c u i i t yf e a t u r e sa n dr e q u i r e m e n t so w i a na n di t sd e v e l o p m e ti sb r i e f l y i n t r o d u c e d s e c o n d l y ， t h es e c u r i t y m e c h a n i s mu s c di n3 gs v s t e ma r ed i s c u s s e d t h i r d l y ，w ep u te m p h a s e so n 协e d i s c u s s i o no fs e c u f i t vp r o b l e n l si n3 g w l a ni n t e r w o r k i n g t h er e l a t e d b a c k g r o u n da n ds e c u f i t yt e c h n o l o g i e sa f ea l s od e s c r i b e d 。t h e nt h es i xs c e n a r l o s a n dt w ok i n d so fa r c h i t e c t u r e sf o rt h ei n t e r w o r k i n gs y s t e ma r ed i s c u s s e db r i e n y m o r e o v e rw er c v i e wt h ea u t h e n t i c a t i o np r o t o c o lu s o di nt h ei t e g r a t i o no f3 ga n d w l a nn e t w o r k ，a n dp o i n to u ti t sm e r i t sa n dn a w s ，a n dt h e ni n l p r o v e i t s d r & w b a c k s a f t e ra n a l y z i n g 穗ed e f e c t so fs y m m e t t i ck e yb a s e da u t h e n t i c a t i o n s c h e m e ，w ea r g u et h ea d v 8 n t a g e so ft h ep u b l i ck e yb a s e ds c h c m ef o rw i r e l e s s n e t w o r k u s i n ge a p t i 二p r o t o c 0 1 ，t h ep u b l i ck e yb a s e da u t h e n t i c a t i o ns c h e m e f o ri n t e g f a t i n gn e t w o r ki sp r e s e n t e dt 0i m p r o v et h es e c u r i t yo fe a p a l 醴f i n a l l y ab r i e fc o n c l u s i o na n df u t u f ew o r k sa t e 西v e n k e y w o r d s ：w u 心； 3 g ；3 g w l a ni n t e n o r k i 硅g ； a u t h e n t i c a t i o n ； s e c l l r ! i t y 霭南交遗大学硕士婿炎生掌位论文第1 页 第1 章绪论 1 1 论文研究的背景及意义 移动通信技术飞速发展，它在人们的社会，主活中占有越来越重要的地位。 人们总是希望在任何地点、任何 生况下部可以进行各种业务( 语音、数据和 多媒体 的通信 ”。僵怒目前还没有一种移动通信系统能满足人们的所有通 信要求，用户和市场的要求激励研究人员去探讨实现这聃通信要求的可能性。 从现有的通信网络高发，根据它们不同的业务能力、不同的适用范围，考虑 他们融合的可能性，为设计满足通信要求的无线通信系统，解决人们的通信 需求，提供了一条途径。犀时在人们频繁能使翔移动遥信迸幸亍信息交流，逶 信系统中信息盼安全牲潋及网络资源使用嚣安全性将变得越来越熏要。 目前我国的电信运营商主要采用2 g 系统的有中国移动和中国联通的 g s m 、中国联通的1 s 9 5 及中函电信和网通的p h s f 小灵通小”。2 g 系统主要应 用于广域覆盖、移动性要求商的语音通信业务，拥有完善的计费机制和成熟 的漫游机制。现在2 g 网络已经成为用户最多、潮络最成熬的数字蜂窝嘲络， 嗣瞎盘绘运营商带来了丰厚的利润 但是网络的数据她务能力差，远远不能 满足用户对数据业务的要求，3 g 就应运丽生。第三代移动通信系统具有较高 的数擐传输能力，可以提供广域覆益和全球性漫游，理论上它能为用户提供 最高达2 m b i t s 的数据速率，是丽向综合业务的广域移动网，但是目前3 g 的发 晨也崮现了不少的阉蘧：在技术蘑，3 g 技术未成熟，尚无法达到稳定、大规 模营运的要求；在黪运西3 g 使用需要许可证的频段，过窝执照金额导致运酱 商营运资金短缺，无法顺利进行业务开发 在业务面，3 g 的前景仍很模糊， 内容提供商( i c p ) 等仍持观望态度。 作为一种有广阔前景的技术，无线局域网( w j r e l e s sl a n ，w 王_ a n ) 正越来 越受人关注。目前市场上取褥成功的w 姒n 裔髓的8 0 2 i l x 和酣s i 的 h i p e r u 心。这琵转标准豹w 心是两囱数掇的无线蜀域网；数搬鼗务熊力 强，工作于免许可诋的频段，免许可证费用，建网成本低，布网简单。但是， w t a n 的覆盖范围小，只能提供短雅离( 1 0 0 米左右) 的覆盖，还有个缺点楚 缺乏充分的安全措施和结构。 嚣南交逶犬学硕士耢究生学位论文第2 页 2 g 、3 g 和w l n 都有自己的适用范围，不可替代，它们之间的互通与融 合可以实现钱势互 ，将可以为用户提供较为理怒瓣通信环境，前景非常乐 观。既保留3 g 系统在计费管理、漫游和安全方面的优势，又能以较低的成本 实现热点地嚣覆盖。3 g 系统与w h 气n 互连是当前研究的一个热点，本文重点 讨论了3 g 系统与w l a n 网络融合的安全问题。安全性问题是3 g w l a n 融合 网络健康发艘的关键，融合网络应该提供充分的安全机制来保护用户和运营 商双方的和箍，雨认涯体系作为最基本豹安全保障体系，是整个安全体系的 重中之重。本文阐述w i a n 与3 g 系统互连网络中的安全问题，分析了 e a p s i m ( 可扩展认证协议用户识别卡，e x t e n s i b l ca u t h e n 虹c a t i o n p r o t o c 0 1 s _ 【l b s c r i b e ri d e n t i t ym o d u l 曲协议和e a p a k a ( 可扩展认证协议和密 钥协议，e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l a u t h e n t i c a t i o na n dk e ya g r e e m e n t ) 豹安全惶。e a p a k a 是基予已经存在的u m 稻的a k a 方法豹，它是3 g p p 指 定的用于保证互连网络的接入网安全，文中详细分析了e a p a k a 协议的流程 和安全性，并针对其中的安全缺陷，提出一种改进的方案。本文最后指出了 在融合网络中采用单钥密码体制进行接入网络认证的缺点，并简要分析了基 于公钥体制的3 g ，w ia n 互连网络认证方案e a r 。t l s 。 1 2 论文鬻节安排 第一章绪论。本章介绍了3 g 系统和w l a n 互连的背景及意义，同时 介绍了本文的主要内容。 第二素无线局域网的橛述及其安全。本章首先介绍了w l a n 的相关 标准，接着分析了它的网络体系结构，在此基础上对其安全进行了概述。 第三章2 g 和3 g 系统瓣安全。本章首爽简要橛述了g s m 系统的安全机 制，然后描述了3 g 系统的安全体系结构，分析了3 g 系统中认证和密钥分配 机制，接着介绍了3 g a k a 方案的安全缺陷及其改进。 第四寒3 g 和w l a n 的融合方案及其安全性分析。奉章首先介绍了 3 0 w l a n 互连的背景、实体间的信任关系等安全相关问题，接着概要分析 了按由浅入深的融合程度嚣分的6 种互连场景以及e t s l 提出的季公、紧藕合这 两种互连参考模型。 第五章3 g w l a n 互连网络中认证体系的安全性研究。本章首先介绍 了3 g 系统都w o 蝌互连的安全霰求，接着对互逐网络中的认证协议 西南交通大学硕士研究生学僚论文第3 页 e a p s i m 和嚣a p a 融协议进行了安全性分蛎，指出了e a p - a k a 的安全缺陷 并改进。然后指出了在融合网络中采用单钥密码体制进行接入网络认证的 缺点，并简要分析了綦于公钥体制的3 g 。w l a n 互连网络认证方案e a p t i s 。 罐后是结束语，对全文傲“总结并提出了迸一步工作的展望。 西南交通大学硕士研究生学位论文第4 页 第2 章无线局域网的概述及其安全 2 1 无线局域网的发展和相关标准 作为有线局域网( l 0 c a la 【e a n e t w o r k l 卅) 的延伸，w l n 以无线多址信 道作为传输媒介，提供了传统l n 的功能，实现了随时、随地宽带网络接入。 并且随着其应用的不断发展，其易安装、易扩展、易管理、易维护、高移动 性等特点h 益凸现，它正逐渐发展为公共无线局域网佃u b l i cw l a n ，p w l a n ) 并成为国际互联网宽带接人重要手段。 w l a n 标准是关于局部区域内无线连接固定的、便携的或移动的终端而 制定的，主要针对物理层p h y ( p h y s i c a ll a y e 0 和媒质访问控制层m a c f m e d i u m a c c e s sc o n t m l l 的技术规约，涉及到所使用的无线频率范围、空中接 口通信脚议等技术规范与技术标准。随着w l a n 的迅猛发展，其标准也在不 断发展，总的趋势是数据速率越来越高、安全性越来越好、服务质量越来越 有保证。同时，w l a n 的标准之争电成为众人关注的话题。 在众多的w l a n 标准中，人们熟悉的是美国电子电气工程师协会( i e e e ) 8 0 2 1 1 系列标准。此外，欧洲电信标准化组织( e u r o p e a nt e l e c o m n m n i c a t i o n s s t a n d a r d si n s t i t u t e ，e 髓i ) 提出了h i p e r l a “h i p e r l a l l 2 标准，h o m e r f 工作组也 提出了h o m e r f h o m e r f 2 标准，另外还有蓝牙特别兴趣小组( b l u e t o o t h s p e c i a i i n t e r e s tg r o u p ，b s i g l 提出的蓝牙技术规范【5 1 口下面将从系统容量、兼 容性、j 证用前景等方面出发，对上述各w l a n 技术标准进行逐一分析比较。 2 1 1i e e e 的8 0 2 1 1 系列标准 2111ie e e 8 0 21 1 标准系列中涉及物理层的核心协议 i e e e 在1 9 9 0 年成立了w h n 标准委员会，致力于制定w l a n 中与以太网 规范相对应的p h y 和m a c 层规范。目前i e e e 己经批准了四个涉及物理层的主 要标准：8 0 2 1 1 ，8 0 2 1 1 b ，8 0 2 1 1 a 和8 0 2 1 l g ，后三个标准是8 0 2 1 1 的升级，表 2 1 所示为这几个标准的比较【6 ”。 2 1 所示为这几个标准的比较【6 ”。 西南交通大学硪士研究生学位论文第5 页 其中i e e e 8 0 2 1 1 是第一代w “蝌标准之一。i e e e 8 0 2 1 1 b 又称w i f i ，目 前己成为主流w l a n 标准，其产品已广泛应用予众多场合。然面较低的速攀 闻题是其迸一步发展豹主要漳强，它存在的安全问题也不容忽褫。雩挈为 8 0 2 1 1 b 的后续标准，i e e e 8 0 2 1 1 a ( 又称w i f i 5 ) 在使用频率和数据传输速率上 都有绝对优越性。然而它技术成本过高，缺乏市场竞争力，并且在部分地区 厦临频谱管制的闻送。 8 0 2 1 1 a 最大的缺陷是无法与8 0 2 1 1 b 兼容，这使它在市场上的扩展大受限 制，8 0 2 1 1 9 的使命就是解决8 0 2 1 1 a 与8 0 2 1 1 b 的互通，三者之间的主要麓别 在于物理层工作频段和实现方式的不同。8 0 2 1 l g 高传输速率和良好兼容性弥 补了8 e 2 1 l a 帮8 0 2 1 l b 蔷良的缺陷，一方蘧使褥8 0 2 1 1 b 产品可以平稳逮淀高 数据速率升级，满足臼益增加的带宽需求；另一方面使得8 0 2 1 1 a 实现与 8 0 2 1 1 b 互通，克服了8 0 2 1 1 a 始终未能步入市场主流的境况，因此8 0 2 1 1 9 一 出现就得到众多厂商的支持。 表2 一l8 0 2 h 标准系列中涉及物理屡的核心携议魄较 8 0 2 1 l8 0 2 1 1 b8 0 2 1 1 a 8 0 2 ，l l g 发布时问 1 9 9 71 9 9 91 9 9 92 0 0 3 使用频段 2 4 g h z2 4 g h z5 g h z2 。4 g h z 最高遮枣 2 m b d sl l 珏b d s5 4 m b d s 5 4 妨p s 兼容瞧在2 m b p s 速率时兼不兼容8 0 2 。l 王b与8 0 2 1 i 8和 容8 0 2 1 18 0 2 1 l b 兼容 传输距离 1 0 0 m1 0 0 一3 0 0 m 1 0 1 0 0 m 1 5 0 m 业务数据数据、图像语音、数据、图像谮音、数据、图像 物理层使用e c k 的d s s s使用o f d m使用c c k 、o f 脒， 支持p b c c 优点技术成熟、成本低传输速率高、频率传输速率离 干扰小 缺点速率低、频率干扰成本高频率干扰较大 八 使溺愤况很少使翔广泛未普及发震潜力较大 认证w e c a ( w i f i )髓c a ( w i f i 5 ) 值得一提的是，这些标准定义的w l n 普遍使用了扩频或跳频技术，具 有很好的抗干扰性，降低了衰落和多径于扰，大大增强了它的安全性。 2 1 1 2l e 旺8 0 2 1 1 标准系列中的补充协议 除了以上较完善的版本外，i e e e 还出台了修正现存协议缺陷的一些加强 版本，瓴括：8 0 2 。l l c ，8 0 2 1 1 d ，8 0 2 1 l e ，8 0 2 1 l f ，8 0 2 1 l h ，8 0 2 1 l i ，8 0 2 1 l n 等。 强南交邋大学硕士研究生学位论文第6 页 表2 2 所示为这些修正标准的简要介绍。 表2 28 0 2 1 l 标准系列中的补充协议 - 目 、谈任务 8 0 2 1 1 c 关于8 0 2 1 1 网络和普通以太网之间的甄通协议，已应用在多数产品中 8 0 2 1 l d 鲁在指定工怍在其他频率上的8 0 2 + 1 1 b 版本，使之适用于朱开放使用 2 4 g h z 频段的国家 8 0 2 1 1 e 改进了8 0 2 1 1 m a c 层协议，以支持多媒体传输及所有w l a n 无线广播接口 的q o s 保证机制，并对重要的业务增加额外的纠错功能。 8 0 2 + 1 1 f 改进8 0 2 1 l 的切换机制，定义了接入点互操作协议i a p p ( i n t e r _ a c c e s s p o i n t p f o t o 1 ) ，以实现不同供应商的接入点a p 间的互操作性 8 0 2 1 1 h 在8 0 2 n a 基础上增强m a c 和物理层频带和传输功率管理的网络管理和控 制，提供了动态频率选择( d e c ) 和发送功率控制( t p c ) 功能。它与8 0 2 1 1 e 指结合，适用于敬测逢区。 8 0 2 1 1 i 对8 0 2 1 1 m a c 层在安全性方面的增强 8 0 2 1 1 解决了8 0 2 1 1 a 和h i p e i l a n 2 的互通问题，是e t s l 和i e e e 的联合标准 8 0 2 1 l k 为了更好管理w l a n ，确定无线和网络信息，支持位置麟务等应用 8 0 2 1 1 m 将对先前的维护规范条款进行修正 8 0 2 1 1 n 设计有更高传输速率的下一代w u 州标准 8 0 2 1 1 r 解决w l a n 的抉速漫游闯题 2 1 2 其他组织制定的光线局域网标准 2 12 1e t s i 制定的h i p e r l a n l h i p e r l a n 2 在欧洲电信标准讫协会( e t s i ) 的宽带无线电羧入溺络小缝( b r a n ) 制定 的规范中，h i p e r l a n l ( h i 驰p e r f o r m a n c er a d i o ，h i p e r ) 和h i p e l a n 2 用于高速 w l a n 接入，主要是为集团消费考、公共和家庭环境提供无线接人到因特网 和实时视频服务。 i i d e r i 。a n l 对应于i e e e8 0 2 11 b ，工作在5 g h z 频段，采用高斯滤波最小 频移键控( 铺s k ) 调制，速率最大2 3 5 晒p s 。珏i p e r l a n 2 是 i p e r a n l 豹磊续 版本，它也工作在5 g h z 频段，采用0 f d m 技术，其最高数据速率能达到5 4 m b p s 。 i i b e r l a n 2 标准详细定义了_ 5 ；5 f m n 的检测功缝和转换信令，用以支持许多无线 网络，并支持动态频率选择( d f s ) 、无线信元转换、链路自适应、多柬天线车口 功率控制等。该标准在w l 。a n 性能、安全性、q o s 等方面也给出了一些定义。 h i d e r l a n 2 不是建立在噬太鼷基础上的，掰是部分建立在g 涮基础上，采霜 了t d m a 结构，是一个面向连接的网络。它虽然晚予8 0 2 1 1 a 开发出来，但它 在技术上蠢蘑很大优势，并且得至i 了欧洲政府广泛支持。嚣予其工作波段和 西南交通大学硕士研究生学 立论文第7 页 8 0 2 1 l a 相同，e t s i 和i e e e 正在联合开发8 0 2 1 l j 标猴以解决8 0 2 1 1 a 和 h i p e r 。a n 2 的互通闯题。 2 。1 2 。2h o m e r f 工 乍缀制定的h o m e r f 系列标准 i f o m e r f 标准是在家庭范围内使计算机与其他设备之间实现无线通信的开 放性工业标准，它工作在2 。4 g 】_ z 频段，数据传输速率为2 m b s ，采用数字跳频 扩频技术( f h s s ) 。h o m e r f 对现有无线通信标准进行综合和改进：其数据通信 采用简化的i e e e8 0 2 1 l 协议标准，沿用类似于以太网技术中的冲突检测的载 波倏讶多址技术( e s m a c 一冲突避受豹载波侦瞬多蛙技术( c s m 矗e a ) ；语音透 信采用数字增强型无绳通信( d i g i t a le n h a n c e dc o r d l e s st e l e p l o n e ，d e c t ) 标准，使用t d 姒时分多址技术。新舨的h o m e r f 2 x 工作在l o g h z 频段，在w l a n 的安全性方面主要考虑访问控制和加密技术。其中集成了语音和数据传送技 术，采用了宽带跳频技术( w i d eb a n di 叶e q u e n c yh o p p i n g ，w bf i ) ，数据传输 速率达弱了l o 妫p s 。 作为一种重要的家庭无线联网技术，h o m e r f 标准在市场上曾风云一时。 但是其技术标准未公开，且技术本身存在缺陷，再加上后续研发与技术升级 进展迟缓、市场营销策略失当，同时又谣临8 0 2 1 l 系捌标准的强大攻势，最 终导致了h o m e r f 技术的全面溃败。2 0 0 3 年1 月7 网，h o m e r f 工作组表示今届将 停业研发和推广h o 髓r f 瘸菹。 2 。1 3i e e e 的其它楣关标准 i e e e 除了推出以上w l a n8 0 2 1 1 系列标准之外，还提出了无线个人网标准 ( i 娩e8 0 2 1 5 ) 和无线城域霹标准( i e 隧8 g 2 。1 6 ) 以及移动宽带无线接入系统 ( m b w a ) 物理层及媒体访问控制层标准( i e e e8 0 2 2 0 ) ，下面就对这些标准分别 做一简要介绍。 其中8 0 2 1 5 又称“蓝牙”( b l u e t o o t h ) 规范，是一种开放性短距离无线个 人连网( w a n ) 技术标准，用以提供不同设备间的双向短程通信，它实质上是一 ； 中代替线缆的技术。屡8 0 2 。h b 秘8 0 2 1 l g 一样，整牙也使用2 4 g z 频段。f j s s 是其关键技术，除此之外还在链路层和应用层进行安全管理，从而大大增强 了网络连接的安全性。作为一释新兴技术，蓝牙曾被吹捧。但是在“英特尔 开发者论坛”上英特尔公司副总裁s e a n 斟a l o n e y 断言“蓝牙协议在无线网络 西南交通大学硕士辑究生学位论文第8 页 标准之争中败局己定，虽然它将继续存在，但不会残为主流，褥是处于尴尬 地位。”就此观点丽言，蓝牙技术在照界的前景并不疆好。 i e e e 于2 3 年l 胃通过了8 0 2 1 6 a 标准，其频率范围介予2 。l l g h z 之瓣， 并确定义了三耪无线数据传输方式。它主要应掰于宽带无线接入，主要解决 的是最后一英里本地环路问题。它提供一个真正的无线本魄环路，标准从 开始就据出了有关声音、视频、数据的服务蔟缴翔题。在8 0 2 1 6 e 标准中又增 热了移动矬、安垒牲鄹高速数据传输等特性。 8 0 2 2 0 标准楚一个空中接口符合物理层糯介痰访问控制层般范的公共移 动宽繁无线接入系统，其内容主要包撼无线信道模型、越区切换模型、分布 式安全管理模型及所支持的业务模型，其目标是通过发展基于移动空中接口 懿寓效i p 包俦输技术，为i p 业务的传输能力寻找到交度优化的移动解决途径， 实现一摹中可垒璩普及、可漫游、支蒋车速移动酾实时在线的公共无线宽带接 入网络技术。依赖这一技术，商业用户及家庭终端用户能够产生大量的无线 网络需求。8 0 2 + 2 0 标准工 乍在3 5 g 珏z 频率之下，采用纯i p 髂系结构。它能够 同时为用户提供3 g 的覆盏范围和w l a n 的数据传输速率，且有无可眈拟的关键 优势：其对于高速移动状态下的通信连接撼有超凡靛支持能力。因此，i e e e 8 0 2 2 0 具有广溺的应用前最。另外，从技术角度两吉，i e e e8 0 2 2 0 几乎采用 了各种无线遂信与移动通信的新技术，热纯i p 的网络结构、多入多出空闽信 邋模型、正交频分复用( 0 f 9 城) 技术、分布式安全技术等。i e e e8 0 2 2 0 必将在 未来移动通信中发挥重要的作用。 2 2 无线局域网的网络结构 圈2 一l 所示为8 0 2 1 l 标准的w l a n 体系结构p “j 。其中包窘了以下组件： 1 ) 工作站( s t a ) ：s 强是可以漫游于不同的b s s 之阅，实现移动通信的活动 终端。s t a 必须在通信前屡与对方进彳亍解除身份认诞，并且还需要在信息发 送之前将箕加密，戬防窃听。最藉s t a 还要进行酣a c 层业务数据单元的传送。 2 ) 基本服务索( 8 a s i cs e r v i c es e t ，b s s ) ：b s s 是8 0 2 ，h 详l a n 的鏊本组 成郝分，它提供了一个覆羲区域，使褥筵内部的s 彳a 保持充分连接。器s s 的有 三秘组成方式：集中控制方式，每个单元由个中心站控制，网中的终端在 该中心她的控制下与其他终端通信。分布对等式，b s s 中任意两个终端可直 接通信，无需中心站转接。集中制式与分布对等式相结合的方式。独立的 落南交通大学硬盘研究生学位论文繁9 磷 _ _ _ _ _ _ _ - _ w h _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ h _ _ _ _ _ _ h m _ 一一 b s s ( i n d e p e n d e n tb s s ，i b s s ) 构成囱缀织( a d 吨。c ) 网，其中熟s t a 可以互通 偿惠。 3 ) 分布系统固i g t r i b u t i o ns y s t e 弛蚤s ) ：鲻籍寒连接多个转s s 。不弱8 s s 内的s t a 之间的通信必须通过b s ，它簧执行发送( d i s t r i b u t i 。n ) 业务将信怠传 送给匿的s 强所在b s s 游a p ；嚣蟊的s t a 位于网外，d s 刘扁动集成( i n t e g r a t i o n ) 照务，将傍惑透过p 。r t 8 传绘霞躲避：不弱黪s 零矗邋过0 s 转羧镶惑嚣亨，d s 鼹发送 业务需要确定正确的a p ，这一任务通过联合a s s 。c i a t i o n ) 积爵联合 ( r e a s s o c i a t i o n ) 来究成；当已存在的联合终止时，d s 执行分离 ( d i s a s s o c i 8 t i 。n ) 业务e 韵瓣终诱闼接入点( a e e e s sp 。 n t ，矗乃：矗p 滚吴s 零矗露p s 功髓。数壤帮控 制信息通过a p 在b s s 和d s 之间传送，它还兼其嗣镣豹功能。 5 ) 扩麟服务组( e x t e n d e ds e r v i c es e t ，e s s ) ：e s s 通过a p 秘d s 把多个8 s s 连接起来，从而实现了不同b s s 内的s t a 的相互通信。这耱配置是多区 鬻l 矧( n f r a s r u e t n r e ) 豹一秘斑囊禳式，燕入d s 秘婷，蓑霹任意扩袋鬻终的 复杂程度。 6 ) 逻麟犊入点( p 。r t a l ) ：信息邋过p o r t a l 从一个非w l a n 协议系统进入 w l 蠊扩袋网络鼓分布蓉绫申，扶丽嶷观艟酞n 与4 # 疆己烈懿结合n 黧2 一l8 0 2 ，t l 宠义蘸泓n 露系缝璃 一一 一一 蘑南交通大学硕士 i 究擞学位论文 第 o 贾 2 3 无线局域网的安全综述 由于w l a n 使用无线电波作为传输载体，在任何无线信号覆盏到的地 方，收发器都可黻进行数据包的收发工j 乍。这个固有特性使w l a n 的安全 性很脆弱，随着w l a n 应用的广+ 泛与深入，其安全问题日箍凸现，并且已 经成为阻碍无线局域网技术普及的原因之一，在无线局域潮的i e e 嚣8 0 2 。l l 系列标准中，规定了数据加密和硝户认证的有关措施，但是随后研究者揭示 了这些安全措施中的种种设计缺陷，这使得用户对于无线局域网的安全性缺 乏售心。因此影痢了无线同域网的斑罔范围和发藏翦景，所以针对无线局域 网安全问题的研究就显得更加重要。本节将对近年来w l a n 安全发展现状 做一综述。 2 3 1 无线局域网安全系统概述 无线局域网安全系统由认证、加密、w l a n 三部分组成，如图所示 光媛蠲罐隧安垒器娩 认曛箍术挑密箍术l1 w l a 硪囊术 3 ，l xl l e a p 黼d i u sl l 碍称搬钢i | 套稠密码l l 裔铜管理llm a c 屠ll 物瑾臻 黉鐾钏蒸到l 懈8 i l 褊卜s 瞪剖l 馁嘴隧 躲l l 洲嚣c 圈2 2 无线局域掰安全系统 认证技术：通过i e e e8 0 2 1 x ，e a p ，r a d i u s 协议验证信息的发送者是 合法的蠢不是冒充的，验证信息的完整性，是防止主动攻击鲍重要技术， 对开放环境中的各种信息系统的安全性有重要作用。 西南交遴大学硕士研究生学位论文第11 页 加密技术：应朋对称密钥、公钥密码、密钥管理来隐蔽和保护需要保密 的信息。 w l a n 技术：是计算机网络与无线通信技术相结合的产物，由m a c 层和物 理层组成。 2 。3 2 无线局域网的安全问题及其发展现状 总的来说，w u 州主要存在以下安全问题：1 ) 开放的信道使w l a n 无法避 兔恶意攻壹，攻击卷只需一套牧发设备就可任意接收空中瓤传送熬信惑送行艇 密、修改或者转发，通信双方无法检测攻击者；2 1 由于w i a n 用户的移动性和 流动性，网络安全管理人员很难进行网络的完全控制，攻击者易于伪装成合法 用户进行攻击且狠难被查获：3 ) 无线传输的信号会由于多种原因被衰减，从而 导致信息的缺失，进而也会引起一些安全问题；4 ) 由于w l a n 接入终端的可移 动犍，使基予硬髂设备匏安全尊l 制会聚为设冬丢失露失效。 由此可见，在州a n 中所需的安全服务应包含以下内容：1 1 数据保密性服 务：所谓数据保密性是指数据仅能被合法用户读取，它主要包括加密机制以及 所用的加密算法；2 1 身份认诞服务：该服务的目的是通过验证用户的台法性对 用户进行按入控制，从而阻止非授权用户访问网络资源；3 ) 数据完整性服务： 该服务能够保证在孵a 帮a p 之闻媸递的数据不被攻击：蓍惑意修改。 考虑到w l a n 存在的安全问题，同时结合其所需的安全服务，w i a n 的安 全性考虑应该包括两个基本环节：访问控制和数据加密两部分。其中访问控制 要求网络与用户之间进行一定的认证措麓，从黼保证敏感数据只能由授权用户 访问；同时数据在i 嘲络传输的过程中必须加以保护，瑟保证数据的保密性，同 时也要保证传输中躺信息不会被篡改。 由于8 0 2 1 1 协议组在w i 。a n 中使用的广泛性，本论文则主要围绕8 0 2 1 l 协议 缎来讨论w u 小的安全性问题【9 l 【似4 2 1 。 8 0 2 1 1 中使用了有线等价保密( w i r e de q u i v a l e n tp f i v a c y ，w e p ) 协议作为其加 密机制【”，其目标趋为w l a n 提供与有线网络相同级别的安全保护，它是当前 所使用豹瑷普遍豹安全方寨。其中秘躅r c 4 算法作为篡核心加密算法，圊眩月 c r c 提供校验，并且提供了两种认证方式：开放系统认诞和共享密钳认证。8 0 2 1 l 想通过w e p 主要想实现3 个安全目标：接入控制、数据保密性和数据完整性。虽 然这些方案提供了裙步安全性，但其安全性非常弱，可班通过徭多攻击方法使 藤南交通大学硕士研究生学位论文第12 页 其变褥毫无意义。 鏊于w e p 机制存在很多安全缺陷，8 0 2 1 1 的江：作组提出了系列的改进措 憨秘解决方案，试匿提出一个长熬、完整的w l a k 安全框絮。8 0 2 。h i 标准已于 2 0 0 4 年6 月正式颁布，它从数据认证和数据保密锌方面进行设计，主要包括两项 内容：w j f i 保护存取( w i f ip r o t e c t e da c c e s s ，w p a ) 技术和强健安全网络( r o b u s t s e c u r i t yn e l w o 像，r s n ) 。w p a 的首要任务是在老式设备中插入安全孔，通常是 通过固件或驱动程序升级。w p a 采用临时密钥完整性协议( t e m p o r a lk e y i n l e g f i t yp r o t o l ，t k i p ) 改进w e p 密钥的安全蛙，t k i p 只是一个娥期过渡方案。 r s n 在接入点和移动终端之间使用的炬动态身份验证方泫和加密运算法则。在 8 0 2 1 1 i 定义的认证方案是基于8 0 2 1 x 的框架1 1 3 j ：认证协议是可扩展身份验证协 议( e x t e n s 洳l oa l l t h e 嫩i c a t i o np t o c o l ，e a p ) _ 气加密算法瑟习使用高级加密标准 ( a d v a n c e de n c r y t i o ns t a n d a r d ，a e s ) 代替r c 4 髀法。这一系列措施大大增强了 w 掀n 蛉安全性。 2 0 0 3 年5 月，我国提出了无线局域网国家标准g 1 3 1 5 6 2 9 1 l ，引入了全新的 安全机制一一无线局域网鉴别和保密基础缩构( w l a na u t h e n t i c a t i o na l l d p r i v a c v h 矗a s t r u c t u r e ，w a p l ) ，由i s 鲫e c 授权的m e e 黜g i s t r a t i o na u t h o f i t y 审查 获得认可，并分配了用于该机制的以太类型号( m e ee t h e r t y p ef i e l d ) o x 8 8 b 4 ， 这怒目煎我国在这一领域性获褥批撰的协议。但是由予多方利益冲突，我国 予2 0 0 4 年4 月在w a p i 实施问题七做出了让步，取消2 0 0 4 年6 月1 目强制执行计划， 并闽意与国外标准机构一起，对w a p i 标准进行修改。同年1 2 月，经过多方争取， w a p i 将瓢艇e 2 1 l i 并行在溺舔标准组织l s 饼墨cj t ：ls c 6 肉推进，并列入了 2 0 0 5 年2 月的s c 6 w g l ( 第一工作组) 工作会议议程，有望成为国际标准。 概括说来：与w e p 楣比，w a p 王使用了许多先进技术，安全性大大增强，它 提供了优秀的认证和安全机制，适合予p w i a n 运营，遗除了给现有运营商带来 好处之外，电极有可能衍生出更多的w u 心服务提供商。表2 - 3 是w e p 、t k i p 和w a p i 在蕊密机翻和认 芷梳翻方瑶的艮较。 总的来说，目前市场上处于主流地位的i e e e 8 0 2 1 1 b 的w l a n 存在较大的 安全问题，新提出的增强安全体制包括有8 0 2 1 1 i 和w 世i 等，它们能够从多大 程度上保证w l a n 的安全需耍进一步的研究。 表2 3w e p 、t k i p 和w a p i 在加密机制和认证机制方面的比较 西南交遴大学硕士研究生学位论文第13 页 w e pt l ( i p w a p i 特点基予硬件的孳淘认 在s 融和矗s 之间豹双向s t a 和a s 之间酌双向认 证 认证，身份凭证通常为证，身份凭证为公钥数 认用户名和口令 字证书 涯性能 认诞过程篱单认证过程复杂；r a d i u s认证过程简单；客户端 桃服务器不易扩充可支持多证书，方便用 制 户多处使用，充分保证 其漫游功