《大学校园网无线覆盖建设方案.doc》由会员分享,可在线阅读,更多相关《大学校园网无线覆盖建设方案.doc(64页珍藏版)》请在三一文库上搜索。
1、浙江农林大学无线覆盖建议方案书浙江农林大学校园网无线覆盖建议技术方案华三通信技术有限公司2010年8月目录第一章H3C公司简介2第二章 H3C WLAN产品线简介4第三章 无线设计方案43.1采用无线技术的好处43.2选用无线局域网产品的原则53.3 需求分析63.4 网络方案设计介绍63.5 无线网络管理73.6 覆盖区域83.7 设备配置清单10第四章 无线局域网安全技术114.1、无线局域网的安全威胁124.2基本的无线局域网安全技术124.3 无线局域网的安全策略264.4基于硬件的安全防护28第五章 服务与培训285.1 7X24X365 服务保障285.2故障的申报和处理流程325
2、.3维修和更换服务345.4用户投诉流程355.5 H3C培训中心355.6认证培训体系36附:产品资料41H3C S7500E系列高端多业务路由交换机41H3C S5120-EI系列交换机48H3C SR6600系列路由器51H3C WA2600系列无线接入点55通用网络管理软件介绍59第一章H3C公司简介 杭州华三通信技术有限公司(以下简称H3C)成立于2003年11月,运营总部设在杭州。2006年,H3C销售收入7.12亿美元,连续三年保持70%左右的同比增长。在全国34个省市设有分支机构。目前公司有员工近5000人,其中研发人员占51。 H3C专注于基于IP技术的网络设备与应用的研究、
3、开发、生产、销售及服务。H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,WLAN产品在国内运营商累计出货量第一,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。 H3C每年将销售额的15以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。目前,H3C已申请专利超过700件,其中80是发明专利。根植中国,H3C广泛服务于党政、公检法、财税、教育、金融、
4、电力、能源、交通、水利、运营商、制造业、公共事业、中小企业等用户。服务全球,H3C通过与3Com、华为、西门子、NEC等公司合作拓展国际市场,目前,H3C的产品和解决方案已经覆盖全球90多个国家和地区。 宽带化、移动化、IP化已经成为下一代公众运营网络的代名词,作为一种灵活的宽带无线IP接入方式,WLAN借助于接入速率高、架构使用便捷、系统费用低廉及可扩展性较好等优点,应用日趋广泛,成为近些年来全球通信领域的亮点之一。据IDC等机构的调查数据显示,2006年全球WLAN市场以极快的速度增长,市场价值达50亿美元。2006年前三季度中国WLAN设备出货量达到6242万美元,未来几年中国WLAN市
5、场仍将保持40%左右的增长速度基于对运营网络的理解和积累,在中国电信、中国网通、中国移动、中国联通等电信运营网络广泛应用的基础上,H3C运营商WLAN解决方案已成功应用于江苏电信、北京网通、天津网通、云南电信、湖北电信、江西电信、北京联通、吉林联通、上海移动、黑龙江移动等电信运营商。为数百万级的用户提供宽带无线接入服务。 典型成功案例序号项目名称所属领域相关产品1杭州网通EPON项目运营商H3C交换机、EPON设备2杭州网通无线城市运营商H3C无线控制器、FIT AP2浙江省质量技术监督局政府综合布线3杭州卷烟厂企业CISCO交换机、路由器、防火墙4浙江省出入境检验检疫局政府H3C防火墙5杭州
6、仁文学校教育城市热点计费系统、DLINK交换机、H3C交换机6浙江瑞福通银科技发展有限公司金融H3C路由器、交换机、JUNIPER防火墙7浙江省委党校教育H3C EAD端点准入防御系统部署8温州规划局政府H3C EAD端点准入防御系统部署9嘉善行政管理执法局政府H3C交换机、防火墙10台州黄岩检察院政府H3C防火墙11杭州农副产品物流中心企业H3C交换机12杭州市果品市场企业H3C交换机、路由器13上海浦东发展银行杭州分公司金融H3C交换机、CISCO路由器14杭州联发纤维台企JUNIPER防火墙15长江印染企业H3C无线网络产品16滨江蓝山咖啡企业H3C无线网络产品第二章 H3C WLAN产
7、品线简介 H3C自2003年公司成立以来就定位于为运营商提供可运营、可管理的WLAN设备和解决方案,H3C公司每一款AP设备都兼有电信级的稳定性和企业级的灵活性,具备更强的竞争力。 目前,H3C成立了200多人的WLAN研发团队,紧跟前沿技术,快速响应用户需求。H3C对WLAN技术进行了深入的研究分析,积极参与国际标准组织的相关交流,同时H3C也针对802.11的各个工作组进行积极的沟通交流,提出自己的理解与建议,联合业界的合作伙伴共同推动标准进程,目前已经拥有100多项专利技术。 作为全球领先的网络设备和解决方案供应商,H3C推行的统一无线网络,基于有线、无线一体化解决方案的理念,为客户提供
8、FAT AP、FIT AP、Wireless Switches、MESH、网桥等全系列无线产品。 第三章 无线设计方案 3.1采用无线技术的好处无线局域网,也被称为WLAN(Wireless LAN) ,一般用于宽带家庭,大楼内部以及园区内部,典型距离覆盖几十米至几百米,目前采用的技术主要是802.11a/b/g系列。WLAN利用无线技术在空中传输数据、话音和视频信,作为传统布线网络的一种替代方案或延伸,无线局域网把个人从办公桌边解放了出来,使他们可以随时随地获取信息,提高了员工的办公效率。一般而言,对比于传统的有线网络,无线局域网的应用价值体现在: - 可移动性:由于没有线缆的限制,用户可以
9、在不同的地方移动工作,网络用户不管在任何地方都可以实时地访问信息。 - 布线容易:由于不需要布线,消除了穿墙或过天花板布线的繁琐工作,因此安装容易,建网时间可大大缩短。 - 组网灵活:无线局域网可以组成多种拓扑结构,可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。 - 成本优势:这种优势体现在用户网络需要租用大量的电信专线进行通信的时候,自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中,无线局域网的投资更有回报。无线时代正在来临,这意味着可以在任何便于工作的地方,如在学校、医院、自助餐厅、企业、政府机构等办公室、会议室、医疗室、图书馆、实验室、以
10、及在野外的野餐桌旁,享受工作的自由和灵活性。无线网络正在成为每个企业、单位、机构,根本的、必备的合作工具。无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性,可以立竿见影地提高生产率,在各行业的广泛应用取得了引人瞩目的成果,展示了极为广阔的市场前景,它将创造崭新的生活和工作风尚。 3.2选用无线局域网产品的原则根据网络具体情况,在网络设计中遵循下列原则:先进性原则采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性。开放性原则网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性。
11、可伸展性原则网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内业务发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另一方面,还必须为网络规模的扩展留有充分的余地。安全性原则网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面:l 设备采用的是扩频技术;l 提供了无线数据传输的加密;l 用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;l 网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏。可靠性原则网络系统的设计必须贯彻可靠性原
12、则,使网络系统具有很高的可用性。可靠性原则体现在以下方面:l 选用技术先进、成熟高可靠性的网络设备;l 系统增益储备高;l 链路的可维护性好。可管理性原则网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。3.3 需求分析浙江农林大学此次建设的无线网络将涉及教学楼、办公楼、图书馆、实验室、食堂、宿舍便捷的无线上网环境的无线覆盖。通过对教学楼、办公楼、图书馆、实验室、食堂、宿舍等区域的无线覆盖,将为学校教师教学、办公、浏览互联网提供随时随地的无盲点强度高的无线信号覆盖,并设计提供安全.
13、高速的无线访问接入。学校今后所有的教师将可以通过电脑无线联网教学,为防止非学校工作人员擅自接入校园无线网络,需要利用web认证来验证接入无线网络人员身份的合法性。3.4 网络方案设计介绍经过上面的网络现状描述和需求分析,我们可以在下面的篇幅中进行详细的无线网络方案的设计,方案描述将分为两部分内容:1)无线局域网设计与实施部分;2)无线局域网安全部分;并且给出无线网络配置的设备的详细描述。下面是本次学校内部无线网络覆盖的网络拓扑图:如上示意图,我们在衣锦校区和东湖校区各放置一台7506E交换机作为核心交换机,每座楼房放置一台POE接入交换机,每个楼层放置若干台AP,以达到对整个校园内部区域的无线
14、覆盖,满足现代化教学和学生生活中对无线的需求。整体无线局域网采用的是无线控制器+WA2620-AGP组合方式。无线控制器采用在核心交换机配置无线插卡来实现,以实现对所有AP的统一管理。校园网出口路由器采用SR6602万兆路由器,可满足同时和教育网及互联网互联的需求,并设计电信和网通双WAN口出口,为浙江农林大学提供快速稳定、丰富接口接入的同时,同时在出口处增加入侵防御IPS设备,也为学校网络的安全提供了强有力的保障。3.5 无线网络管理无线网络基础平台搭建完毕后,接下来考虑的重点是无线网络的管理。我们的无线方案已经做到无线AP零配置,无线控制器统一下发配置和版本,减轻了无线网络维护量和降低了无
15、线网络的配置难度。网络管理平台采用H3C的IMC平台,配置wlan无线管理组件和用户接入控制组件(UAM),轻松实现无线网络管理的中文WEB界面图形化操作和无线终端接入网络网络的身份验证。上网用户接入无线网络后打开IE浏览器,输入网站后页面会被强制重定向到web认证页面,输入合法的帐号和密码通过身份验证后即可浏览网页。学校的教学办公无线终端可以使用MAC认证方式来减少验证步骤。3.6 覆盖区域现阶段可提供的2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下: 隔墙的阻挡(砖墙厚度100-300mm):20-40dB; 楼层的阻挡:30dB以上; 木制家具、门和其它木板隔墙阻挡2-15dB;
16、厚玻璃(12mm):10dB(2450MHz)AP信号穿透公式如下:AP发射功率发射天线功率路径衰耗障碍物衰耗 网卡接收灵敏度网卡发射功率AP天线接收功率路径衰耗障碍物衰耗 AP接受灵敏度由于AP2750的发射功率为19dBm(包括自带天线),可靠接收信号强度约-80dBm(接受速率为24M)。普通网卡客户端的发射功率为17dBm,网卡的接口灵敏度为-75dBm;路径衰减为70dBm(传播路径10米,衰减因子模型)AP网卡:障碍物衰耗1970(75)24dBm网卡AP:障碍物衰耗1770(80)27dBm结论:根据介质穿透损耗可以得出:AP2750差不多可以穿透一堵墙,两道门,两道玻璃;另外,
17、在衡量墙壁等对于AP信号的穿透损耗时,需考虑AP信号入射角度。一面0.5米厚的墙壁,当AP信号和覆盖区域之间直线连接呈45度角入射时,相当于1米厚的墙壁;在2度角时相当于超过14米厚的墙壁。所以要获取更好的接受效果应尽量使AP信号能够垂直的穿过(90度角)墙壁或天花板。因此,根据建筑实际特点的工程勘测和项目具体实施经验,走廊中每隔约1215米左右布置1台AP可以保证两边房间的良好覆盖,保证整层楼无盲区,可保证无线传输效果良好。3.7 设备配置清单序号产品型号产品描述数量H3C MSR 50系列路由器1RT-SR6602-AC-H3H3C SR6602 1U高度路由器主机(100-240VAC,
18、4GE/2 HIM slot)12SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC)2入侵防御设备3NS-DPtech IPS2000-GC+1YDPtech IPS2000-GC 主机(4GE电口+2SLOT)-含一年特征库升级,一年病毒库升级14SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)25SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC)2核心交换机6LS-7506EH3C S7506E 以太网交换机主机27LSQM1AC1400H
19、3C S7500E 交流电源模块,1400W48LSQM1SRPB0H3C S7500E Salience VI交换路由引擎49LSQM1GP48SC0H3C S7500E 48端口千兆/百兆以太网光接口模块(SFP,LC)210LSQM1WCMB0S7500E 无线控制器业务板模块211LSQM1FWBSC0H3C S7500E 防火墙业务板模块212SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC)50 接入交换机13LS-5120-28C-PWR-EI-H3H3C S5120-28C-PWR-EI-以太网交换机主机(24GE+4SFP C
20、ombo+2Slot+POE)5414SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)48 无线AP15EWP-WA2620-AGN-FITH3C WA2620-AGN 802.11n无线局域网室内型2.4/5GH双频接入点-FIT40016EWP-WA2610X-GNP-FITH3C WA2610X-GNP-802.11n无线局域网室外型2.4GHz单频高功率接入点,FIT50 网管软件18SWP-IMC-IMPWN-CNH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)中文版119LIS-IMC-IMPC-CN-200H3C
21、 iMC-智能管理平台标准版license费用-管理200节点120SWP-IMC-WSMW-CNH3C iMC-无线业务管理组件-纯软件(CD)中文版121LIS-IMC-WSME-CN-1KH3C iMC-无线业务管理组件license费用-管理1000台Fit AP设备122SWP-IMC-UAMN-CNH3C iMC-用户接入管理组件(不含认证用户)-纯软件(CD)中文版123LIS-IMC-UAMB-CN-2KH3C iMC-用户接入管理组件License费用-管理2000认证用户1第四章 无线局域网安全技术无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无
22、法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。就目前而言,有很多种无线局域网的安全技术,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解
23、决无线局域网的安全问题,才能满足用户对安全性的要求。4.1、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。地址欺骗和会话拦截(中间人攻击)在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802
24、.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。高级入侵(企业网)一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。4.2基本的无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。 下面对在无线局域网中常用的安全技术进行简介。 物理地址( MAC )过
25、滤 每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。 图1 MAC地址过滤服务区标识符 ( SSID ) 匹配无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐
26、藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。 图2 服务区标识匹配有线对等保密(WEP) 在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位。WEP加密原理图如下:图3 WEP加密原理图1、AP先产生一个IV,将其同密钥串接(IV在前)作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度
27、加上ICV的长度)的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID为0,如果使用Default Key,则Key ID为密钥索引(03其中之一)。加密后的输出如下图所示。 图4 WEP加密后的MPDU格式加密前的数据帧格式示意如下:加密后的数据帧格式示意如下:WEP解密原理图如下:图5 WEP解密原理图1、找到解密密钥;2、将密钥和IV串接(IV在前)作为
28、RC4算法的输入生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICV,并和ICV比较,如果相同则解密成功,否则丢弃该数据。连线对等保密WEP协议是IEEE802.11标准中提出的认证加密方法。它使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。由于其使用固定的加密密钥和过短的初始向量,加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。现在已有专门的自由攻击软件(如airsnort)。而且这些安全漏洞和WEP对加密算法的
29、使用机制有关,即使增加密钥长度也不可能增加安全性。另外,WEP缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络的安全。 ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。 同时WEP还可以作为一种认证方法,认证过程如下:1在无线接入点AP和工作站STA关联后,无线接入点AP随
30、机产生一个挑战包,也就是一个字符串,并将挑战包发送给工作站STA。2工作站STA接收到挑战包后,用密钥加密挑战包,然后将加密后的密文,发送回无线接入点AP。3无线接入点也用密钥将挑战包加密,然后将自己加密后的密文与工作站STA加密后的密文进行比较,如果相同,则认为工作站STA合法,允许工作站STA利用网络资源;否则,拒绝工作站STA利用网络资源。端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x 并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使
31、用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。 IEEE802.1x 提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,存在一定的安全隐患。802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证
32、的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。图6 802.1x端口控制在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。 认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。 认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系
33、统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。 在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。 1.当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。 2.AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4.认证服务器收
34、到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由AP传给客户端程序。 5.客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过AP传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业
35、务数据通过。 这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。 图7 802.1x认证过程WPA(Wi-Fi Protected Access) WPA = 802.1x + EAP + TKIP + MIC 在IEEE 802.11i 标准最终确定前, WPA标准是代替WEP的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.1
36、1i的一个子集,其核心就是IEEE802.1x和TKIP。认 证 在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WP
37、A预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。加 密 WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP
38、把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC)”、“具有序列功能的初始向
39、量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。标准工作组认为:WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进。 Wi-Fi联盟和IEEE802委员会也承认,TKIP只能作为一种临时的过渡方案,而I
40、EEE802.11i标准的最终方案是基于IEEE802.1x认证的CCMP(CBC-MAC Protocol)加密技术,即以AES(Advanced Encryption Standard)为核心算法。它采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(
41、MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。 IEEE 802.11i 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11
42、工作组开发了作为新的安全标准的IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard),以及认证协议:IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。 802.11i 与 WPA 相比增加了一些特性: AES: 更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。 CCMP
43、and WARP: 以 AES 为基础。 IBSS: 802.11i 解决IBSS (Independent Basic Service Set), 而WPA 主要处理ESS(Extended Service Set) Pre authentication:用于用户在不同的 BSS(Basic Service Set)间漫游时,减少重新连接的时间延迟。认证:11i的安全体系也使用802.1x认证机制,通过无线客户端与radius 服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组
44、播密钥,每一个无线客户端与AP之间通讯的加密密钥都不相同,而且会定期更新密钥,很大程度上保证了通讯的安全,其协商流程图如下: 图8 单播和组播密钥协商过程上面图中的ptk与gtk即单播和组播加解密使用的密钥。CCMP加密: ccmp提供了加密,认证,完整性和重放保护。ccmp是基于ccm方式的,该方式使用了AES(Advanced Encryption Standard)加密算法。CCM方式结合了用于加密的 Counter Mode(CTR)和用于认证和完整性的加密块链接消息认证码(CBCMAC、Ciphy Block Chaing Message Autentication Code)。CCM保护MPDU数据和IEEE802.11 MPDU帧头部分域的完整性。 AES定义在FIPS PUB 197。所有的在ccmp中用到的AES处理都使用一个128位的密钥和一个128位大小的数据块。 CCM方式定义在