無線局域網(wǎng)安全認(rèn)證協(xié)議研究_第1頁(yè)
無線局域網(wǎng)安全認(rèn)證協(xié)議研究_第2頁(yè)
無線局域網(wǎng)安全認(rèn)證協(xié)議研究_第3頁(yè)
無線局域網(wǎng)安全認(rèn)證協(xié)議研究_第4頁(yè)
無線局域網(wǎng)安全認(rèn)證協(xié)議研究_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、文章編號(hào):1003-6318(200402-0009-04無線局域網(wǎng)安全認(rèn)證協(xié)議研究陶曉明1,孫樹峰2,薛梅2(1.寧滬高速公路股份有限公司,江蘇南京210004;2.華東師范大學(xué)計(jì)算機(jī)系,上海200062摘要:無線局域網(wǎng)的安全已經(jīng)成為無線網(wǎng)絡(luò)發(fā)展和應(yīng)用的焦點(diǎn)問題之一.各大企業(yè)或組織紛紛致力于無線局域網(wǎng)安全的研究,IEEE成立專門的工作組TG i來解決WLAN的安全問題,先后推出IEEE802.1x和802.11i等系列協(xié)議.分析了802.11無線局域網(wǎng)的發(fā)展過程和基本安全手段,重點(diǎn)探討無線局域網(wǎng)的安全認(rèn)證協(xié)議802.1x和中國(guó)WAPI標(biāo)準(zhǔn).關(guān)鍵詞:無線局域網(wǎng);訪問控制;安全協(xié)議;IEEE80

2、2.1x;中國(guó)WAPI標(biāo)準(zhǔn)中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A1無線局域網(wǎng)的發(fā)展1971年Hawaii University創(chuàng)造了第一個(gè)基于包技術(shù)的無線電通訊網(wǎng)絡(luò)ALOHN ET,這是最早的無線局域網(wǎng)絡(luò)WLAN(wireless local area network,包括7臺(tái)計(jì)算機(jī),采用雙向星型拓?fù)錂M跨4座夏威夷的島嶼.無線局域網(wǎng)提供了在有限區(qū)域內(nèi)的無線連接,以基站接入點(diǎn)AP(Access Point為中心,覆蓋半徑在10m到100m之間.為確保各廠商生產(chǎn)的WLAN設(shè)備具有兼容性與穩(wěn)定性,1997年提出了IEEE802.11標(biāo)準(zhǔn),1999年提出了IEEE 802.11a和IEEE802.11b

3、.初期的規(guī)格制定了在RF射頻2.4 GHz上的運(yùn)行,提供了1Mbps、2Mbps的傳輸速率.IEEE 802.11a和IEEE802.11b則分別工作在5.8GHz(5.725 5.850GHz和2.4GHz(2.42.4835GHz頻段,并定義了802.11a中5Mbps、11Mbps到54Mbps速率的新物理層. 2003年IEEE又通過了2.4GHz頻段的802.11g標(biāo)準(zhǔn),可兼容802.11b,并采用多載波調(diào)制OFDM支持54Mb/s的物理層速率.802.11標(biāo)準(zhǔn)主要集中在OSI模型的最低兩層,其中數(shù)據(jù)鏈路層分為兩個(gè)子層:媒質(zhì)接入控制(MAC子層和邏輯鏈路控制(LLC子層.LLC子層完

4、成與媒質(zhì)接入無關(guān)的部分,無線局域網(wǎng)對(duì)邏輯鏈路控制子層是透明的,任何高層應(yīng)用、協(xié)議都可以在其上運(yùn)行.MAC層定義的是存取物理層(PHY的方法、機(jī)動(dòng)性管理與無線電資源控制等.在數(shù)據(jù)傳輸上與有線以太網(wǎng)的定義差不多,不同的是數(shù)據(jù)碰撞處理的方式.在802.11標(biāo)準(zhǔn)中定義了避免碰撞的機(jī)制.2無線局域網(wǎng)基本安全措施無線局域網(wǎng)與有線網(wǎng)絡(luò)相比,具有以下特點(diǎn):(1信道開放,無法阻止攻擊者竊聽;(2傳輸電波在空氣中的傳播會(huì)因多種原因發(fā)生信號(hào)衰減,導(dǎo)致信息的不穩(wěn)定;(3需要常常移動(dòng)設(shè)備,容易丟失;(4用戶不必與網(wǎng)絡(luò)進(jìn)行實(shí)際連接,使得攻擊者偽裝合法用戶更容易.由于上述特點(diǎn),WLAN通信必須具有較高的通信保密能力.無線局

5、域網(wǎng)本身提供了一些基本的安全機(jī)制,WLAN從開始的802.11、802.1x到802.11i 和WAPI都有一定的安全標(biāo)準(zhǔn)和措施,目前的安全手段主要通過在不同層次采取相應(yīng)措施來保證通信的安全性: 802.11接入點(diǎn)可以用一個(gè)服務(wù)集標(biāo)識(shí)(Service Set Iden2 tifier SSID來配置.與接入點(diǎn)有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù).但這只能算是一個(gè)非常脆弱的安全.因?yàn)?1所有的網(wǎng)卡和接入點(diǎn)都知道SSID;(2SSID 通過明文在大氣中傳送,甚至被接入點(diǎn)廣播;(3無論關(guān)聯(lián)是否允許,知道SSID是由本地網(wǎng)卡或驅(qū)動(dòng)程序控制的;(4整個(gè)系統(tǒng)中沒有提供任何加密措施.僅此它已

6、不足以阻擋任何人,更何況專業(yè)黑客的攻擊.802.11的安全性主要包括以有線同等保密(Wired E2 quivalent Privacy WEP算法為基礎(chǔ)的身份驗(yàn)證服務(wù)和加密技術(shù),用來防止未授權(quán)用戶的訪問.利用自動(dòng)無線網(wǎng)絡(luò)配置,可以指定進(jìn)入網(wǎng)絡(luò)時(shí)用于身份驗(yàn)證的網(wǎng)絡(luò)密鑰.也可以指定使用哪個(gè)網(wǎng)絡(luò)密碼來對(duì)通過該網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密.啟用第26卷第2期Vol.26No.2菏澤師范專科學(xué)校學(xué)報(bào)Journal of Heze Teachers College2004年5月May2004收稿日期:2003-12-24基金項(xiàng)目:國(guó)家“863”資助課題(2001AA143060.作者簡(jiǎn)介:陶曉明(1974-,

7、男,江蘇寧滬高速公路股份有限公司助理工程師,研究方向:無線系統(tǒng)的信息安全.孫樹峰(1969-,男,講師,華東師范大學(xué)計(jì)算機(jī)系博士,研究方向:信息系統(tǒng)分析與集成.數(shù)據(jù)加密時(shí),生成秘密的共享加密密鑰,可避免泄漏給偷聽者.802.11支持兩個(gè)子類型的網(wǎng)絡(luò)身份驗(yàn)證服務(wù):開放式和共享密鑰.在開放式身份驗(yàn)證下,任何無線站都可請(qǐng)求身份驗(yàn)證.在共享密鑰身份驗(yàn)證下,每個(gè)無線站都被假定為具有安全頻道的秘密共享密鑰,該安全頻道獨(dú)立于無線網(wǎng)絡(luò)通訊頻道.要使用共享密鑰身份驗(yàn)證,必須具有一個(gè)網(wǎng)絡(luò)密鑰.啟用WEP 時(shí)可指定用于加密的網(wǎng)絡(luò)密鑰,也可以通過鍵入方式來親自指定密鑰.如果親自指定密鑰,還可以指定密鑰長(zhǎng)度(64位或1

8、28位、密鑰格式(ASCII 字符或十六進(jìn)制數(shù)字和密鑰索引(存儲(chǔ)特定密鑰的位置.原理上,密鑰長(zhǎng)度越長(zhǎng),密鑰應(yīng)該越安全.在802.11下,可用4個(gè)密鑰(密鑰索引值為0、1、2和3配置無線站.當(dāng)訪問點(diǎn)或無線站利用存儲(chǔ)在特定密鑰索引中的密鑰傳送加密數(shù)據(jù)時(shí),傳送的信息中指明用來對(duì)數(shù)據(jù)加密的密鑰索引.然后接收訪問點(diǎn)或無線站可以檢索存儲(chǔ)在密鑰索引處的密碼并使用它來對(duì)加密數(shù)據(jù)進(jìn)行解碼.思科公司的Scott Fluhrer 與Weizmann 研究院的Itsik Mantin 和Adi hamir 合作并發(fā)表了題為RC4密鑰時(shí)序算法缺點(diǎn)的論文,講述了關(guān)于WEP 標(biāo)準(zhǔn)的嚴(yán)重攻擊問題1.這篇論文闡明了RC4密鑰時(shí)

9、序算法的幾個(gè)缺點(diǎn),而這種算法是在應(yīng)用軟件中廣泛采用的流式密碼.IEEE 的工作小組打算用向下兼容的WEP2取代WEP ,新協(xié)議將基于新的AES.這種改變會(huì)讓無線網(wǎng)絡(luò)供應(yīng)商存在很大意見,因?yàn)樗麄円呀?jīng)投入了很多資金到工作在WEP 上的產(chǎn)品上,并且密鑰采用了眾人皆知的RC4.針對(duì)這些問題,思科Aironet 系列產(chǎn)品加上了可以解決RC4密鑰時(shí)序算法的缺點(diǎn)的安全解決方案.這一方案通過對(duì)每個(gè)用戶采用一個(gè)動(dòng)態(tài)WEP 加密密鑰,并使這個(gè)密鑰可以頻繁改變,大大地降低了這類攻擊的可行性.另外,這一安全機(jī)制的一個(gè)主要限制是標(biāo)準(zhǔn)沒有規(guī)定一個(gè)分配密鑰的管理協(xié)議.這就假定了共享密鑰是通過獨(dú)立于802.11的秘密渠道提供

10、給無線臺(tái) .當(dāng)這種無線臺(tái)的數(shù)量龐大時(shí),將是一個(gè)很大的挑戰(zhàn).為了提供一個(gè)更好的接入控制和安全性機(jī)制,需要在規(guī)范中包括密鑰管理協(xié)議.3IEEE 802.1x 協(xié)議體系802.1x 協(xié)議起源于802.11,又稱為基于端口的訪問控制協(xié)議2,可提供對(duì)無線局域網(wǎng)和有線以太網(wǎng)絡(luò)的訪問驗(yàn)證.802.1x 協(xié)議僅僅關(guān)注端口的打開與關(guān)閉,對(duì)于合法用戶接入時(shí),打開端口;對(duì)于非法用戶接入或沒有用戶接入時(shí),則端口處于關(guān)閉狀態(tài).IEEE 802.1x 協(xié)議的體系結(jié)構(gòu)主要包括3部分實(shí)體:客戶端Supplicant System 、認(rèn)證系統(tǒng)Authenticator System 、認(rèn)證服務(wù)器Authentication S

11、erver System (見圖1.圖1802.1x 認(rèn)證框架(1客戶端:一般為一個(gè)用戶終端系統(tǒng),該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件,用戶通過啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x 協(xié)議的認(rèn)證過程.(2認(rèn)證系統(tǒng):通常為支持IEEE 802.1x 協(xié)議的網(wǎng)絡(luò)設(shè)備.該設(shè)備對(duì)應(yīng)于不同用戶的端口有兩個(gè)邏輯端口:受控(controlled Port 端口和非受控端口(uncontrolled Port .第一個(gè)邏輯接入點(diǎn)(非受控端口,允許驗(yàn)證者和LAN 上其它計(jì)算機(jī)之間交換數(shù)據(jù),而無需考慮計(jì)算機(jī)的身份驗(yàn)證狀態(tài)如何.非受控端口始終處于雙向連通狀態(tài)(開放狀態(tài),主要用來傳遞EAPOL 協(xié)議幀,可保證客戶

12、端始終可以發(fā)出或接受認(rèn)證.第二個(gè)邏輯接入點(diǎn)(受控端口,允許經(jīng)驗(yàn)證的LAN 用戶和驗(yàn)證者之間交換數(shù)據(jù).受控端口平時(shí)處于關(guān)閉狀態(tài),只2004年菏澤師范??茖W(xué)校學(xué)報(bào)第2期有在客戶端認(rèn)證通過時(shí)才打開,用于傳遞數(shù)據(jù)和提供服務(wù).受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應(yīng)不同的應(yīng)用程序.如果用戶未通過認(rèn)證,則受控端口處于未認(rèn)證(關(guān)閉狀態(tài),則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù).(3認(rèn)證服務(wù)器:通常為RADIUS服務(wù)器,該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息.當(dāng)用戶通過認(rèn)證后,認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問控制列表,用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管.以下步驟描述了利用A

13、P和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本步驟:(1當(dāng)移動(dòng)節(jié)點(diǎn)進(jìn)入一個(gè)AP認(rèn)證者的覆蓋范圍時(shí),AP 會(huì)向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)問詢.(2在受到來自AP的問詢之后,移動(dòng)節(jié)點(diǎn)做出響應(yīng),告知自己的身份.(3AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器,以便啟動(dòng)身份驗(yàn)證服務(wù).(4RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送憑據(jù),并指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)類型.(5移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS.(6在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行確認(rèn)后,RADIUS 服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP.該身份驗(yàn)證密鑰將被加密,只有AP能夠讀出該密鑰.(7AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)

14、據(jù)的安全傳輸.全局身份驗(yàn)證密鑰必須被加密.這要求所使用的EAP 方法必須能夠生成一個(gè)加密密鑰,這也是身份驗(yàn)證過程的一個(gè)組成部分3.移動(dòng)節(jié)點(diǎn)可被要求定時(shí)重新認(rèn)證以保持一定安全級(jí).4802.1x認(rèn)證協(xié)議的優(yōu)缺點(diǎn)IEEE802.1x具有以下主要優(yōu)點(diǎn):(1實(shí)現(xiàn)簡(jiǎn)單.IEEE802.1x協(xié)議為2層協(xié)議2,不需要到達(dá)3層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本.(2認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離.802.1x的認(rèn)證體系結(jié)構(gòu)采用了“受控端口”和“非受控端口”的邏輯功能,從而實(shí)現(xiàn)了業(yè)務(wù)與認(rèn)證的分離4.用戶通過認(rèn)證后,業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離,對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求,業(yè)務(wù)很靈活,尤其在開展寬帶組播等方面的業(yè)務(wù)

15、有很大的優(yōu)勢(shì),所有業(yè)務(wù)都不受認(rèn)證方式限制.同時(shí),IEEE802.1x又有以下不足之處:(1802.1x認(rèn)證需要網(wǎng)絡(luò)系統(tǒng)之間的會(huì)話,這一會(huì)話使用IETF的EAP認(rèn)證協(xié)議.802.1x描述的認(rèn)證體系結(jié)構(gòu)框架使得能夠在802.11實(shí)體之間發(fā)送EAP包,并為在AP和工作站間高層認(rèn)證協(xié)議的建立提供了必要條件.MAC地址的認(rèn)證對(duì)802.1x來說是最基本的,如果沒有高層的每包認(rèn)證機(jī)制,認(rèn)證端口沒有辦法標(biāo)識(shí)網(wǎng)絡(luò)申請(qǐng)者或其包.而實(shí)驗(yàn)證明802.1x由于其設(shè)計(jì)缺陷其安全性已經(jīng)受到威脅,常見的攻擊有中間人MIM攻擊和會(huì)話攻擊.(2在采用認(rèn)證端口訪問控制技術(shù)的WLAN中,無線用戶端需安裝802.1x客戶端軟件,AP內(nèi)

16、嵌802.1x認(rèn)證代理,同時(shí)又作為RADIUS服務(wù)器的客戶端,負(fù)責(zé)用戶與RADIUS 服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā),使用不便.同時(shí)802.1x主要是認(rèn)證協(xié)議,沒有解決數(shù)據(jù)加密問題,未給出對(duì)數(shù)據(jù)加密和密鑰管理方案.(3802.1x并非專為WLAN設(shè)計(jì)的,沒有充分考慮到無線應(yīng)用的特點(diǎn).它提供客戶端與RADIUS服務(wù)器之間的認(rèn)證,而不是與AP之間的認(rèn)證.采用的用戶認(rèn)證信息僅僅是用戶名與口令,在存儲(chǔ)、使用和認(rèn)證信息傳遞中存在一定的安全隱患.AP與RADIUS服務(wù)器間基于共享密鑰協(xié)商出會(huì)話密鑰,該共享密鑰為靜態(tài)3,人為手工管理,存在一定安全隱患.5中國(guó)WAPI認(rèn)證協(xié)議我國(guó)已于2003年5月制定了新的無線局域

17、網(wǎng)安全國(guó)家標(biāo)準(zhǔn)無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure,并初步定于2004年6月1日強(qiáng)制實(shí)施.WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure組成.WAPI 與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn),充分體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性.WAPI與已有安全機(jī)制相比在很多方面都進(jìn)行了改進(jìn).它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可,

18、分配了用于WAPI協(xié)議的以太網(wǎng)類型字段,這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議.WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,分別用于WLAN 設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù).WAPI具有以下重要特點(diǎn):(1全新的高可靠性安全認(rèn)證與保密體制,更可靠的二層(鏈路層以下安全系統(tǒng),完整的用戶和AP雙向認(rèn)證5,集中式或分布集中式認(rèn)證管理,證書和密鑰的雙認(rèn)證,靈活多樣的證書管理與分發(fā)體制,可控的會(huì)話協(xié)商動(dòng)態(tài)密鑰,高強(qiáng)度的加密算法,可擴(kuò)展或升級(jí)的全嵌入式認(rèn)證與

19、算法模塊,支持帶安全的越區(qū)切換.(2支持SNMP網(wǎng)絡(luò)管理,符合中國(guó)國(guó)家標(biāo)準(zhǔn).(3WAPI考慮了市場(chǎng)應(yīng)用,從應(yīng)用模式上可分為單點(diǎn)式和集中式兩種:單點(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用;集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè),可以和運(yùn)營(yíng)商的管理系統(tǒng)結(jié)合起來,共同搭建安全的無線應(yīng)用平臺(tái).2004年陶曉明,等:無線局域網(wǎng)安全認(rèn)證協(xié)議研究第2期6WAPI的組成和認(rèn)證過程整個(gè)系統(tǒng)可認(rèn)為有移動(dòng)節(jié)點(diǎn)M T(Mobile Terminal、AP 和認(rèn)證服務(wù)器AS組成.認(rèn)證服務(wù)器AS的主要功能是負(fù)責(zé)證書的發(fā)放、驗(yàn)證與吊銷等;移動(dòng)節(jié)點(diǎn)M T與AP上都安裝有AS發(fā)放的公鑰證書,作為自己的數(shù)字身份憑證.當(dāng)M T登錄至AP時(shí)

20、,在使用或訪問網(wǎng)絡(luò)之前必須通過AS進(jìn)行雙向身份驗(yàn)證.根據(jù)驗(yàn)證的結(jié)果,只有持有合法證書的移動(dòng)節(jié)點(diǎn)M T才能接入持有合法證書的無線接入點(diǎn)AP.這樣不僅可以防止非法移動(dòng)節(jié)點(diǎn)M T接入AP而訪問網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源,而且還可以防止移動(dòng)節(jié)點(diǎn)M T登錄至非法AP而造成信息泄漏.當(dāng)移動(dòng)節(jié)點(diǎn)登錄至無線接入點(diǎn)AP時(shí),移動(dòng)節(jié)點(diǎn)與無線接入點(diǎn)AP通過認(rèn)證服務(wù)器AS進(jìn)行雙向證書認(rèn)證;認(rèn)證成功后,移動(dòng)節(jié)點(diǎn)與無線接入點(diǎn)AP進(jìn)行會(huì)話密鑰協(xié)商;其主要步驟包括:證書認(rèn)證.所述的證書認(rèn)證是指采用認(rèn)證服務(wù)器AS對(duì)移動(dòng)節(jié)點(diǎn)和無線接入點(diǎn)AP進(jìn)行證書認(rèn)證.會(huì)話密鑰協(xié)商.采用公鑰密碼技術(shù),解決了WLAN中沒有對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行有效的安全接入控制,

21、克服了無線鏈路的數(shù)據(jù)通信保密的克服了局限性,不僅實(shí)現(xiàn)了對(duì)移動(dòng)節(jié)點(diǎn)的接入控制,而且保障了移動(dòng)節(jié)點(diǎn)接入的安全性、通信的高保密性.經(jīng)過認(rèn)證激活、接入認(rèn)證請(qǐng)求、證書認(rèn)證請(qǐng)求、證書認(rèn)證響應(yīng)、接入認(rèn)證響應(yīng)、密鑰協(xié)商請(qǐng)求、密鑰協(xié)商響應(yīng)7個(gè)步驟,完成移動(dòng)節(jié)點(diǎn)M T與AP之間的證書認(rèn)證過程5.若認(rèn)證成功,則AP允許移動(dòng)節(jié)點(diǎn)M T接入,否則解除其登錄.其認(rèn)證的具體步驟如下:(1認(rèn)證激活.當(dāng)移動(dòng)節(jié)點(diǎn)M T登錄至AP時(shí),由AP向M T發(fā)送認(rèn)證激活以啟動(dòng)整個(gè)認(rèn)證過程的開始.(2接入認(rèn)證請(qǐng)求.M T向AP發(fā)出接入認(rèn)證請(qǐng)求,即將M T的證書與M T的當(dāng)前系統(tǒng)時(shí)間發(fā)往AP,其中系統(tǒng)時(shí)間稱為接入認(rèn)證請(qǐng)求時(shí)間.(3證書認(rèn)證請(qǐng)求.

22、AP收到M T接入認(rèn)證請(qǐng)求后,首先記錄認(rèn)證請(qǐng)求時(shí)間,然后向AS發(fā)出證書認(rèn)證請(qǐng)求,即將M T 證書、接入認(rèn)證請(qǐng)求時(shí)間、AP證書并利用AP的私鑰對(duì)它們簽名構(gòu)成證書認(rèn)證請(qǐng)求報(bào)文發(fā)送給AS.(4證書認(rèn)證響應(yīng).AS收到AP的證書認(rèn)證請(qǐng)求后,驗(yàn)證AP的簽名以及AP和M T證書的合法性.驗(yàn)證完畢后,AS 將M T證書認(rèn)證結(jié)果信息(包括M T證書、認(rèn)證結(jié)果及AS對(duì)它們的簽名、AP證書認(rèn)證結(jié)果信息(包括AP證書、認(rèn)證結(jié)果、接入認(rèn)證請(qǐng)求時(shí)間及AS對(duì)它們的簽名構(gòu)成證書認(rèn)證響應(yīng)報(bào)文發(fā)回給AP.(5接入認(rèn)證響應(yīng).AP對(duì)AS返回的證書認(rèn)證響應(yīng)進(jìn)行簽名驗(yàn)證,得到M T證書的認(rèn)證結(jié)果.AP將M T證書認(rèn)證結(jié)果信息、AP證書認(rèn)

23、證結(jié)果信息以及AP對(duì)它們的簽名組成接入認(rèn)證響應(yīng)報(bào)文回送至M T.M T驗(yàn)證AS的簽名后,得到AP 證書的認(rèn)證結(jié)果.M T根據(jù)該認(rèn)證結(jié)果決定是否接入該AP.(6密鑰協(xié)商請(qǐng)求.M T(或AP產(chǎn)生一串隨機(jī)數(shù)Rand1,利用AP(或M T的公鑰加密后,向AP(或M T發(fā)出密鑰協(xié)商請(qǐng)求.此請(qǐng)求包含請(qǐng)求方所有的備選會(huì)話算法信息.(7密鑰協(xié)商響應(yīng).AP(或M T收到M T(或AP發(fā)來的密鑰協(xié)商請(qǐng)求后,首先進(jìn)行會(huì)話算法協(xié)商,若響應(yīng)方不支持請(qǐng)求方的所有備選會(huì)話算法,則向請(qǐng)求方響應(yīng)會(huì)話算法協(xié)商失敗;否則在請(qǐng)求方提供的備選算法中選擇一種自己支持的算法;再利用本地的私鑰解密協(xié)商數(shù)據(jù),得到M T(或AP產(chǎn)生的隨機(jī)數(shù)Ra

24、nd1,然后產(chǎn)生一串隨機(jī)數(shù)Rand2,利用M T (或AP的公鑰加密后再發(fā)送給M T(或AP.密鑰協(xié)商成功后,M T與AP將自己與對(duì)方產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行模2和運(yùn)算生成會(huì)話密鑰5,利用協(xié)商的會(huì)話算法對(duì)通信數(shù)據(jù)進(jìn)行加解密.即:會(huì)話密鑰=(Rand1mod2+(Rand2mod2為了提高通信的保密性,在通信一段時(shí)間或交換一定數(shù)量的數(shù)據(jù)之后,通信雙方可重新進(jìn)行會(huì)話密鑰的協(xié)商.7結(jié)束語(yǔ)802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段,并簡(jiǎn)單地通過控制接入端口的開/關(guān)狀態(tài)來實(shí)現(xiàn)2,這種簡(jiǎn)化適用于無線局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn)物理或邏輯端口的接入認(rèn)證,但不能充分保障無線局域網(wǎng)的安全.從理論上講,中國(guó)WAPI標(biāo)

25、準(zhǔn)可以有效保證無線局域網(wǎng)信息的全面安全,但目前WAPI正在制訂和實(shí)施中,特別是支持產(chǎn)品的商業(yè)化運(yùn)作還有一段距離,但我們相信:WAPI標(biāo)準(zhǔn)將在研發(fā)和應(yīng)用中不斷地優(yōu)化和改善.參考文獻(xiàn):1Scott Fluhrer,Itsik Mantin,Adi Shamir.Weaknesses inthe K ey Scheduling Algorithm of RC4EB/OL. proc.pdf,2001207225/2003203207.2IEEE.802.1x2Port Based Network Access ControlEB/OL./1/pages/80

26、2.1x.html,2002203222/2002207222.3Jim G eier.802.1x Offers Authentication and K ey Man2agementEB/OL.tutorials/article/0,10724-1041171,00.html,2002205207/2002210215.4Kristin Burke.Wireless Network Security802.11/802.1xEB/OL./yasinsac/wns02/19b.pdf,2002205231/2003202212.5張寧.安全與互聯(lián)J/O

27、L.通信技術(shù)與標(biāo)準(zhǔn).2003,(7.articleid=37,2003209225/2004202218.(下轉(zhuǎn)第29頁(yè)2004年菏澤師范專科學(xué)校學(xué)報(bào)第2期11Savage J J,Wood R H.Enthalpy of Dilution of AqueousMixtures of Amides,Sugars,Urea,Ethylene G lycol andPentaerythritol at25;Enthalpy of Interaction of the Hydrocarbon,Amide,and Hydroxyl Functional Gropes in Dilute Aqueous

28、 S olutionJ.J.S olution Chem., 1976,5(10:733-750.H eterotactic E nthalpic Interaction of2Amino Acids-Methanol-W ater T ernary SystemsPAN G Xian2hong1,ZHU Yan2,CAO Xiao2qun2,WAN G Yu2min2(1.Chemistry and Chemical Engineering Dept,Taishan Medical College,Taian271000,Shandong,China;2.Pharmacy Dept,Tais

29、han Medical College,Taian271000,Shandong,ChinaAbstract:There is currently considerable interest in the thermodynamic properties of aqueous solutions and mixed aqueous solvents of various amino acids.The principle purpose for studying such systems is to obtain the infor2 mation that contributes to th

30、e growing body of knowledge about solute solvation and solute interactions in aque2 ous media,and a better understanding of their role played in the conformational stability and unfolding behavior of proteins.Heterotactic enthalpies of mixing and dilution of aqueous methanol solutions and aqueous am

31、ino acids (glycine,L2alanine,L2prolinesolutions have been determined at298.15K by flow microcalorimetric system of2277Thermal Activity Monitor.The data have been analyzed according to the McMillan2Mayer theory to ob2 tain the enthalpic interaction coefficients.The interaction of different amino acids and methanol molecules has been discussed.It is demonstrated that the hxy values between amino acids and the methanol depend on the structure of amino acids.The contributions of different side2groups of

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論