足球比分直播

基于国家标准GB15629.11的安全接入技术分析.pdf

返回
基于国家标准GB15629.11的安全接入技术分析.pdf_第1页
第1页 / 共55页
基于国家标准GB15629.11的安全接入技术分析.pdf_第2页
第2页 / 共55页
基于国家标准GB15629.11的安全接入技术分析.pdf_第3页
第3页 / 共55页
基于国家标准GB15629.11的安全接入技术分析.pdf_第4页
第4页 / 共55页
基于国家标准GB15629.11的安全接入技术分析.pdf_第5页
第5页 / 共55页
点击查看更多>>
资源描述:
学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谓}的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名豆虹日期兰堕生关于学位论文使用授权的说明东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅,可以公布包括刊登论文的全部或部分内容。论文的公布包括刊登授权东南大学研究生院办理。签名隧遗孟 导师签名望查壅 日期丝至生东南大学硕士学位论文 绪论第一章 绪论随着计算机和通信技术的不断发展融合与实际应用,人们的生产、生活方式有了极大的变化。今天,人们不再仅仅满足于在有线网络上实现固定终端之间的通信,而是朝若在任伺时间、任何地点、以任何方式和任何人进行通信这个通信技术领域的终极目标不断迈进。毫无疑问,依托于无线网络的移动通信技术是实现这一目标的关键。尢线局域网wlreless localarea network,简称wLAN是计算机网络与无线通信技术相结合的产物,它采用无线多址信道的有效方法支持计算机之间的通信.并为通信的移动化、个人化和多媒体应用提供了广泛应用。随着系列标准的制定和相关产品的推出,无线局域网技术已经开始进入工业、科研、医疗、军事、交通、教育、娱乐等众多应用领域,并发挥着越来越重要的作用。更令人瞩目的是.在无线局域网的应用日益广泛的同时,其相关的技术研究电正在不断深化。我们有理由相信无线局域网技术将成为2l世纪的主流通信网络技术之一。1.1无线局域网的优判1]无线网络利用电磁波在开放的空间中进行数据传输,在不同的通信终端之问无需电缆连接。与传统的有线网络相比,无线局域网的优点主要体现在以下几个方面。★可移动性在有线网络中,通信终端的位置要受到通信电缆的束缚,无法任意移动。无线网络允许通信终端在网络覆盖范围内任意的移动,为终端用户提供了极大的自由和便利,从而提高工作效率和生堰质量。★网络建设方便快捷在实际的网络建设过程中,有许多情况下布设传统的有线列络是十分困难的。即使是在现代化的建筑物中安装电缆也是一件昂贵且费时的事’清。无线网络的建设则要方便和迅速的多,只需安放一定数量的无线接入设各即可完成区域覆盖和网络组建。★高度的灵活性与有线网络相比,无线网络在新建、扩容、调整和拆除方面都十分灵活,特别适用于旅店、机场、车站、图b馆、咖啡店等“热点区域”和大型展览、交流会等需要临时构建嘲络的场合。★易于扩展wLAN有多种配置方式,能够根据需要灵活选择。这样,wLAN就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并能提供像“漫游”等有线网络无法提供的特性。1.2无线局域网标准wLAN的技术早在20世纪70年代就被讨论过,第一个实验-吐的无线局域网在1987年建立,但是其后几年,由于没有统一的标准一度阻碍了无线局域网的实用化。进入90年代,随着IEE髓02 11wLAN标准工作组的成立,各大标准组织竞相推出自己的无线局域网标准,东南大学硕士学位论文 绪论不同的标准有不同的应用。目前比较流行的有IEEE802 11标准、蓝牙B1uetooth标准以及HomeRF家庭网络标准。1.2.1 IEEE 802.1l标准‘2】f3】1990年,lEEE执行委员会成立了802 11工作组,其目标是创建无线局域网标准,规定为“所提议的无线LAN标准的应用范围是为局域网固定的、便携式和可移动站点的无线连接开发的规范”的标准,即正式称为IEEE无线LAN介质访问控制MAc和物理层pHY规范,并像lEEE802标准一样如802 3、802.5。lEEE 802 11在IEEE 802系列标准中所处的位置及其与其他标准的关系如图l一1所示。“。。。’1。。。。。。。。‘‘~LLC802 1桥接 I数据链路层物理层图11 IEEE 802系列标准lEEE 802.】】标准自从制定发布以来一直处于不断的发展过程中,时至今日已经有一系列协议被扩充到这一标准之中。各个协议的作用和目标见表1一l。1FEE 802 lla 扩充了1EEE 802 11标准的物理坛,规定该层使用5 8 G Hz的IsM频带。该协泌采用正交频分0FDM调制数据,传输速率范圉为6~5q M bps。这样的速率既能满足室内的应用,也能满足室外的应用要求。lEEE 802】lb 对IEEE 802 11标准的另一个扩充,规定采用2 4 G Hz的IsM频带,调制方法采用补码键控CCK。lEEE902 Ild lEEE 802 1lb使用其它频率的版奉,I三I适应一些不能使用2 4GHz频段的国家和地区。狂EE 802 11 e 在IEEE 802ll系列协议中增加00s能力,它用TDMA方式取代类似Ethemet的MAc层,可以为重要的数据增加额外的纠错功能。ⅡEE 802¨f 目的是改善IEEE 802¨协议的切换机制.使用户能够在不同的交换分区无线信道间或者在接入设备间漫游。这就使无线局域嘲能够提供与其他移动通信网络同样的移动性。IEEE 80211 e 对lEEE 802.11标准的物理层做了进一步的扩充,使用2 4 G Hz的IsM频带提供最大为54M b口s的传输速率,并可同时兼容IE旺80211a和IEEE 802llb。1EEE 802 11h 比lEEE 802 11a能更好地控制发送功率和选择无线信道,与lEEE 802 11e一起可以适应欧洲更严格的标准。lEEE 80211i 鲁在改善IEEE 802 ll标准中昂明显的不足安全性能。iEEE 802 jli 目的是使IEEE s02 lJa和Ⅲperl。AN2网络能够互通表1一llEEE 80211协议族东南大学硕士学位论文 绪论1.2.2 HiperLAN系列Ⅲ]H1perLANHi曲Perfomance Radio由欧洲电信标准化协会Eur0DeanTelecommunications standards,ETsI推出,作为“宽带无线接入嘲“计划的组成部分,并在欧洲得到了广泛的应用和支持。包括HiperLAN,1、HiperLAN/2两个标准,分别用于2 4GHz与5GHz不目的频段。HjperLAN门对应于1EEF802 11b,采用GMsK高斯最小移频键控调制,速率最大可达23.5Mbps。但由于出现的时间晚,于802 11b无太大优势,因而并未得到广泛的应用。HiperI。AN/2标准和IEEE802 11a标准在物理层上几乎是相同的,同样采用OFDM技术,最高速率也为54Mbps,单个予载波调制方式可采用BPsK、QPsK、16QAM以及640AM。但与IEEE802】l最大的不同在于其MAc层采用不同的技术,lEEE802 11采用基于以太网的无连接的csMAca丌ier sense MultlpleAccess,载波监听多址接入技术,而HiperLAN采用面向连接的无线ATM技术,两种产品不能进行互操作。相比于IEEE802 11 a,Hi口erLAN/2在00s支持、安全性、移动性、节能管理等诸多方面具有优势1.2.3家庭网络的HomeRF【6H。meRF主要为家庭网络设计,是IEEE802 11与DEcT数字无绳电话标准的结合,旨在降低语音数据成本。HomeRF利用跳频扩频方式,既可以通过时分复用支持语音通信,又能通过载波侦听多址访问/冲突避免协议提供数据通信服务。同时,HomeRF提供了与TcP/IP良好的集成,支持广播、多点传送和48位IP地址。目前,HomeRF标准工作在2 4G Hz频段上,跳频带宽为1 M Hz,最高传输速度为10 M bps,传输距离可超过100米。1.2.4蓝牙技术‘7】蓝牙1EEE802 15是一项最新标准,对于IEEE802 11来说,它的出现不是为了竞争而是相互补充。“蓝二j一”是一种极其先进的大容量近距离无线数字通信的技术标准,其目标是实现最高数据传输速度1Mbps有效传输速率为723Kbps、最大传输距离为10米,通过增加发射功率可达到100米。蓝牙比IEEE802 11更具移动性,比如,IEEE802 11限制在办公室和校园内,而蓝牙却能把一个设备连接到LAN局域网和w~N广域网,甚至支持全球漫游。此外,蓝牙成本低、体积小,可用于更多的设备。“蓝牙”最大的优势还在于,在更新网络骨干时,如果搭配“蓝牙”架构进行,使用整体网路的成本肯定比铺设线缆低。8021】 80211b 802.11a 802.119 HiperLAN/2 HomeRF 蓝牙频奎 2 4GHz 2 4GHz 5GHz 2 4GHz 5GHz 2.4GHz 2.4GHz1 J..54~72T丌1~2MbDs 1lMbos 54MbDs 54MbDs 1~2MbDs 723KbDs宽 Mbos业 数据 数据 语音数 语音数务 图像 据图像 据图像 数据图像 语音数据 语音数据距100m 50~1 50m 10~100m 100m 100m 100m 10m离表12无线标准技术比较东南大学硕士学位论文 绪论目前无线局域网仍处于众多标准共存时期,在中国大陆市场中推得比较成功的无线局域网产品,如cisco和3com的产品,均是支持IEEE802.11b协议。在世界大学生运动会上和在APEc会议期间,IEEE802 11b都有成功的运用。无线局域网会在实用中发展,肯定不断还会有新的技术出现,如ATM无线局域网。总之,无线局域网应用广、市场大,前景不可估量。1.3无线局域网安全问题【8]1.3.1无线网络的特性★使用无线介质所用媒体没有绝对的边界,也没有容易观察的边界,在此边界之外的收发器不能接收网络帧;不能避免外界信号的干扰在无线媒体上通信的安全性明显低于有线网络物理层;具有动态拓扑结构缺乏全连通性,因而一般不能假设每个s1A均能侦昕到其他sTA;具有时变特性和非对称传播特性。★供电量的不足无线网络中节点的能量来自于轻型的电池,这就必须考虑降低能量的消耗,于是安全机制就不能采用过于复杂的计算。★有限的带宽在802.11标准中,信息速率最高为2Mbps,这种特性要求尽量减少无线介质中交换信启、的次数。1.3.2安全问题虽然无线环境搭建简单,使用方便,但是开放的无线环境也带来了安全上的问题,安全性问题是wLAN应用过程中所要面对的最重要的一个问题。wL~N是以空气为媒介、通过电波进行传输的,很容易出现电波泄漏,导致数据被窃听,wLAN的现有安全机制并不能完仝保证无线网络的安全。无线网络的节点是一些有着相似的传输功率和计算能力的移动主机。网络内移动主机之间的通信直接通过无线连接,网络的移动主机之问的通信通过多次跳转的路由来实现,在无线与固定路线的连接能力不足或无法实现的环境中发挥着重要的作用。它的应用涉及到国家安全、救援服务和军事通信,确保其安全性,极具挑战性。首先,无线连接易受攻击;其次,在不友好的环境中漫游时缺乏相应的保护;再者,网络拓扑结构和网络成员会不断发生变化,对于数据的安全传输、非授权访问和拒绝服务有着根大影响。★数据的安全传输无线局域网通过无线电波在空中传输数据,所以在数据发射机覆盖区域内的几乎任何一个无线局域设备都能够接收到这些数据。如果没有合适的安全措施,网络上任何一个已注册用户都可以存取数据,甚至修改公司内部有价值的数据文件。★非授权访问指未经授权的用户也可以访问网络资源与设备。只要允许外界用户进入网络,就可能产生不安全因素。比如,远程访问服务器允许在外出差的销售和市场人员通过拨号来收取电子邮件,这些都为黑客、病毒或其他侵入者提供了入侵的可能。★拒绝服务这是为网络或设各处于阻塞或正常]二作状态被打乱的情况而设计的一种操作。可是,如果非法业务覆盖了所有的频段,合法业务流就不能到达用户或接入点,发生拒绝J|Ii务,这就是所谓的“丰E绝服务攻击’。如果有适当的设备和工具,攻击者很容易破坏2.4GHz频段信号特性,直至无线网络完全瘫痪。另外,无绳电话、婴儿监视器以及其他工作在2.4GHz频段上的设各都会扰乱使用这个东南大学硕士学位论文 绪论频段的无线网络。据悉,美国一个调查机构曾经将无线天线架在汽车外,沿着繁华的商业街走了一圈,结果发现短短几千米内就连接到了30家wLAN环境,只有不到一半的用户采用了加密措施。他们轻松登录到未加密的环境,可以直接看到网络中的各种资料。1.4论文的主要工作无线局域网标准协议802.1l在MAc层的管理协议部分制定了虽基本的安全接入控制业务。但是这种简化的认证方法,没有达到认证的目的,存在安仝漏洞。2003年5月12日,由“中国宽带无线IP标准工作组”负责起草的无线局域网国家标准,标准中包含了全新的wAPlwLAN Authentication and Privacy Infrastructure安全机制,这种安全机制由wAIwLAN Authentication Infrastructure和wPIwLAN Prjvacy Infrastruclure两部份组成,wA】和wPl分别实现对用户身份的鉴别和对传输的数据加密,wAPI能为用广的wLAN提供全面的安全保护。本论文将围绕无线局域网国家标准GBl5629 11的安全技术展开研究,并对移动站点sTA和接入点AP的关联过程实现仿真。论文的内容共分为六章第~章绪论简要介绍无线局域网的背景知识和相关标准,陈述由无线特性带来的无线局域网的安全问题。第二章GBl 5629.11标准概述从体系结构、逻辑结构、拓扑结构、服务定义以及具体帧结构等角度,深入探讨GBl 5629 11标准,并分析了无线站点s11A接入网络的过程。第三章GBl 5629 11标准的鉴别与保密首先分析1EEE802】1标准既有的安全漏洞,接着介绍旨在提高安全性能的GB】5629 11的鉴别和保密协议。第四章wj,AN体系的证书认证机制具体介绍公钥证书的认证机制介绍证书认证机制的基础PKI技术的标准和体系结构;数字证书的概念。第五章GBl5629川标准安全接入仿真从细化无线局域网国家标准的安全接入方法流程开始,洋细说明了实现仿真系统的方方面面,包括帧定义的实现、系统仿真框图的设计、采用的核心技术、提出模块的具体实现和使用openssl软件实现证书的颁发和吊销的一系列过程,并例证了sTA和AP实现通信的具体过程。第六章总结和展望总结了本论文所做的工作,并对现阶段存在的问题和下一步的工作作了讨论和展望。东南大学硕士学位论文 第二章GBl5629】l标准概述第二章GBl5629.11标准概述自从1997年IEEE推出802 11无线局域网的标准以来,无线局域网的技术得到了极快的发展。然而和其他无线通信方式一样,网络安全问题是无线局域网wLANl的‘个热门的话题。而认证技术,一直都是wLAN安全研究中的一项重要的内容。在目前世界上主流的无线局域网lEEE802 11协议中,规定两种认证机制开放系统认证和共享密钥认证。开放系统认证,允许任何用户接入到无线网络中来。从这个意义上来说,实际上并没有提供对数据的保护。而共享密钥认证需要用户在终端设各设置与场地中的具体的AP设置相对应的密码,对于用户流动性很大的场合来说,共享密钥认证技术在操作上也具有相当大的难度。我国在2003年5月提出了无线局域网国家标准GBl5629.11,这是目前我国在这一领域唯一获得批准的协议。2.1 GBl5629.11标准的协议体系结构和逻辑结构㈣GBl 5629 11标准强调系统分为两个部分PHY和数据链路层的MAc。其中的一些子标准中定义的传统简单的MAc层和物理层在GB】5629】1标准中可细分为更多的子层,这样可以使进程的规范化更为容易。物LLC路层MAC MAC管理 站管理PLCP 层PHY管理PMD图21 GBl5629 11标准的协议实体1数据链路层LLcLogic LayercontroI,逻辑链路控制层在GBl 5629 11标准模型的最高层,它的主要功能是建立和释放数据链路层的逻辑连接提供与高层的接口差错控制;给帧加上序号。MAcMediaAccess contr01,媒体接入控制层是GBl 5629 11标准网络中两个对等的MAc实体通过一个物理层进行互换,它的目的是在LLc层支持下为共享媒体PHY提供访问控制功能,如寻址方式、访问协调、帧校验序列生成和检查,以及LLc PDuProtocol Dataunil’协议数据单元的界定等。MAc层的基本访问方法是带碰撞避免的载波侦听多址访问csMA/cA。这是一种分布式协调功能DcF,应该在所有的s1A上得到实现。在DcF机制下,s1A在发送数据之前应该侦听媒体以确定是否有其他的sTA正在进行发送。csMA/cA分布式算法强制在连续的帧序列之间存在规定的最小持续期的间隙。因此,准备发送的sTA应确保在试图发送之前的持续期内信道空闲。点协调功能PcF是一种可选的媒体访问方法,由点协调器通常实现在AP中确定当前哪个sTA有发送的权利。这种方法的实质是进行轮询操作,点协调器担任轮询控制6东南大学硕士学位论文 第二章GBl 5629 11标准概述器的角色。PCF使用了访问优先权机制和虚拟载波侦听机制,它在信标管理帧中分发信息,并通过没置网络分配矢量NAv来获取对媒体的控制。MAc层又分为MAc子层和MAc管理子层。MAc子层主要负责访问机制的实现和分组的拆分与重组。MAc管理子层主要负责Ess扩展服务集漫游管理、电源管理,还有登记过程中的关联、解除关联以及要求重新关联等过程的管理。2物理层GB】5629.11标准的物理层由三个子层组成,即PLcP物理层会聚协议子层、PMD物理介质相关协议于层和P11Y管理子层。PLcP了层主要进行载波侦听的分析和针对不同的物理层形成相应格式的分组。PMD子层用于识别相关介质传输的信号所使用的调制与编码技术。物理管理子层为不同的物理层进行信道选择和调谐。从逻辑结构来看,PHY物理层具有3种物理接口★跳频扩频FHss物理接口跳频扩频使载波频率在很宽的频带范围内按某种图案伪随机序列控制进行跳变,接收机利用相同的伪随机序列实现同步并解扩、解调、识别,跳变频率至少为1跳/秒。跳变过程中将能量扩散到整个频带内,利用它实现扩频并晟终获得传输增益。★育接序列扩频Dsss物理接口直接序列扩频将要发送的信号用伪随机码PN码扩展到一个比原始信号频带宽得多的频;莆上去,以实现扩频。在接收端,利用与发端相同的PN码进行相关解扩,恢复出发送信号。对干扰信号,由于与PN码不辛日关,在接收端被扩展,使落入信号通带内的干扰信号功率降低G扩频增益系数倍,从而提高了相关器的输出s/N比,达到抗干扰目的。士红外IR物理接u通过对PMD工作站利用红外线物理层发送帧以及对PMD利用调制技术将二进制数据帧转换成适合红外线光传播的信号。IJLcMAcJ鬻 直序 红外扩频PI{YPHY图22 GBl 5629 1】标准的逻辑结构3站管理层GBl 5629 11标准还定义了一个站管理层,主要任务是协阔物理层和MAc层之间的交互作用。2.2 GBl5629.11标准的拓扑结构‘8]在GBl 5629 11标准中,定义了两种设备类型一种是无线站点sTAstation,另一种是无线接八点ApAccess Point。无线站点sTA利用其上的无线I列卡访问AP,AP是带有桥接功能的无线基站,AP只有在无线局域网采用中心式拓扑结构1nfrastruc叭e时才被使用。在自组织网络Ad Hoc中,每一个网络中的节点即终端设备都有义务担负转发数据包的责任,各个网络节点是完全独立的,不存在逻辑上相互依赖的关系。而在中心式的网络中,AP不但要负责把移动终端发来的信息转发到有线网络或是其管辖的无线站点,还东南大学硕士学位论文 第二章GBl5629 11标准概述要负责信标帧的发送,完成移动站点的认证连接过程,对发送到无线信道上的信息进行加密/解密,管理移动站点在各小区间的漫游等,并且要在无线和有线网络间进行帧格式的转换。在GB】5629.11标准中,AP完成的主要功能表现在以下几个方面对小区内移动站点的管理,包括移动站点的连接、认证等的处理。完成数据帧从有线网络到Bss的桥接过程,实现地址过滤以及地址的学习功能。完成移动站点在不同Bss间的切换管理。≯简单的网络管理功能。实现或改进的加密算法。实现无线帧和有线帧之间的相互转换,通常是无线帧格式和有线帧格式问的相互转换。基本业务集BssBasic service set是GBl5629 lI局域网的基本构件模块。一个Bss对应于~个覆盖区域,在该区域内Bss的成员站点之间可以保持相互通信。当一个站点移出了Bss,它就不能直接和该Bss内的其它站点通信。目前,无线局域网有两种配置方式。1 对等ad hoc模式Bss中的成员sTA建立相互之间的通信,并不要求有接入点设备AP,构成独立基本服务集lBssIndependent Basic se『vice set。此结构可以迅速建立一个无中心站的网络。在野外环境和多个终端数据共享是有一定的优势。一般而言,这种模式都是由少量的主机因临时需求而构成,如会议室。其结构如图23所示。图2.3独立基本服务集IBss2客户机朋&务器基础设旋网络模式一个混合网络架构中,设置无线网络BsS中的一个STA作为AP,它可将一个或多个wLAN与现存有线网络的分布式系统DsDistr_bution system相连接。这样,一方面提供某个无线局域网中两个主机间的通信数据交换,另一方面,也使wLAN中的主机能存取有线网络的资源。这一类型的wLAN的范围,通常为同栋楼层。其结构如图24所示。图2.4基本服务集BsS基础设施网络的wLAN的主要优势在于建站时不需要记录周围主机信息,如有多少主机在附近等,另外可帮助主机作省电机制,延长电池使用时间。再者,可将好几个基本服务东南大学硕士学位论文 第二章GBl5629 11标准概述集串联起来,形成扩展服务集EssExtended seⅣice setBSS-’‘。·‘冒。.囵 。融莎令 寄i .P...·。誊旷。·sif n rorsrA’.冒 卤.S r STA a .-。’‘.......·.··.·‘囵‘.凰让整个嘲络的涵盖范围燹得更大。粤骑‘一‘卤‘_..票 “冒‘”A 口.·.翟 图”“..·‘‘。誓.”“...·‘图2.5 IBss、Bss、Ess组网示意图在这两种拓扑结构下,GBl 5629 11标准认可的移动类型,使得数据传输更为复杂化★无转移型在这种类型中,通常很难区别的两种情况标识如下1静止不移动;2本地移动在通信sTA的PHY范m内移动。★Bss转移型指站点S1n从Ess中的一个BSS移动到相同ESS中的另一个BSs。★Ess转移型指站点sTA从一个Ess内的Bss移动到不同的Ess的Bss中。2.3 GBl5629.1l标准提供的服务‘9]2.3.1 GBl 5629.11标准提供两类共十种服务无线局域网体系中的功能实现被定义为服务service。在GBl5629 11标准中共定义了十种服务链路验证、关联、解除链路验证、解除关联、鉴别、分发、集成、保密、重新关联和MsIu发送,其中六种服务关联、解除关联、分发、集成、重新关联和MsDu发送、用于支持sTA之间的MsDu交付,另外四种服务用来控制GB】5629】】标准LAN的访问与机密性。11用_丁支持sTA之间的MsDu交付业务①关联服务Associ aljon为了在Ds内交付消息,对于给定的符合GBl5629 11标准的s1’A,分发服务需要知道访问哪个AP,该信息通过关联概念提供给Ds。为丁,支持Bss转移的移动性,关联是必要的但不是充分的。此服务的主要目的是要在站点s11A和AP间建立一个通信连接。当分布式系统要将数据发送给站点时,必须事先知道这个站点目前是通过哪个AP来接入分布式系9塾\,、弋\售二票~∽/一翼~}-一一博~蕾掣~\心≮-If;l腿.羹p~D..壶p.,_.、.,,一..、\、.,、.、..\\
展开阅读全文
收藏
下载资源

加入会员免费下载





足球比分直播