無(wú)線接入網(wǎng)中安全檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1、電 子 科 技 大 學(xué) 工程碩士學(xué)位論文開題報(bào)告學(xué)位論文題目：無(wú)線接入網(wǎng)中安全檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)工程領(lǐng)域名稱： 軟件工程 學(xué) 號(hào)： 姓 名： 校內(nèi)導(dǎo)師姓名: 企業(yè)方導(dǎo)師姓名： 碩士生所在單位名稱：湖南廣播電視大學(xué) 填表日期：2010年3月20日開 題 報(bào) 告 內(nèi) 容無(wú)線接入網(wǎng)中安全檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)一、課題背景與意義本課題來(lái)自在職工作單位東莞市四通興國(guó)科技有限公司網(wǎng)絡(luò)系統(tǒng)。1、課題目的隨著無(wú)線網(wǎng)絡(luò)技術(shù)的不斷成熟，無(wú)線網(wǎng)絡(luò)有了越來(lái)越廣泛的應(yīng)用而無(wú)線網(wǎng)絡(luò)安全問(wèn)題也因此逐步受到關(guān)注。由于IEEE 802.11 協(xié)議本身設(shè)計(jì)的缺陷以及無(wú)線網(wǎng)絡(luò)的特性決定的一些新的安全問(wèn)題，導(dǎo)致無(wú)線網(wǎng)絡(luò)通信不能達(dá)到要

2、求。對(duì)此，各大安全廠商都爭(zhēng)相推出他們的無(wú)線安全產(chǎn)品和解決方案。這在一定程度上彌補(bǔ)了無(wú)線網(wǎng)絡(luò)安全的不足。但是由于無(wú)線網(wǎng)絡(luò)的安全剛剛起步不久，因而在很多方面，依舊沿用舊的有線網(wǎng)絡(luò)中的設(shè)計(jì)和設(shè)備，使得無(wú)線網(wǎng)絡(luò)的安全依舊存在漏洞。 有線接入的成本高、施工周期長(zhǎng)、網(wǎng)絡(luò)維護(hù)費(fèi)用大、投資回報(bào)時(shí)間長(zhǎng)，這直接導(dǎo)致最終用戶的使用費(fèi)過(guò)高，在一定程度上制約了寬帶接入業(yè)務(wù)的推廣應(yīng)用。針對(duì)有線接入這些難以克服的弊端，近年來(lái)又出現(xiàn)了多種無(wú)線寬帶接入技術(shù)，具有代表性的有:LMDS(本地多點(diǎn)分配業(yè)務(wù))技術(shù)、WLAN(無(wú)線局域網(wǎng))技術(shù), BLUE TOOTH(藍(lán)牙技術(shù))等。無(wú)線技術(shù)的普及，使得無(wú)線上的安全日益成為突出的問(wèn)題。無(wú)線

3、技術(shù)的安全主要體現(xiàn)在三個(gè)層次，即訪問(wèn)控制、數(shù)據(jù)加密和防黑客攻擊。通過(guò)對(duì)訪問(wèn)安全研究，目標(biāo)是在在無(wú)線接入點(diǎn)上首先要提供訪問(wèn)控制, 保障合法授權(quán)的用戶訪問(wèn)。安全的無(wú)線平臺(tái)必須含有物理層上安全，禁止用戶之間非法網(wǎng)絡(luò)層連接。非法用戶可能在任何收到信息的地方發(fā)起對(duì)WLAN 的攻擊, 無(wú)須授權(quán)即可使用服務(wù)，這不僅占用信道資源，還可能利用漏洞進(jìn)入網(wǎng)絡(luò)內(nèi)部，入侵網(wǎng)絡(luò)。 通過(guò)對(duì)數(shù)據(jù)安全研究，主要目的是保證發(fā)射的數(shù)據(jù)只能由期望的用戶接收和解密。Wi-Fi 的安全標(biāo)準(zhǔn)包括WEP、WPA、WAPI、802.11i。以IEEE802.11中有線對(duì)等保密WEP 協(xié)議為例，它提供鏈路層信息保密，采用對(duì)稱加密機(jī)理對(duì)數(shù)據(jù)幀加密

4、，加密和解密采用相同的密鑰和加密算法，達(dá)到保密性和安全性。對(duì)于企業(yè)級(jí)應(yīng)用，如果在接入點(diǎn)(AP)和專用的認(rèn)證服務(wù)器(AP)之間建立更強(qiáng)的安全關(guān)聯(lián)，如IPSec VPN，則可以提高無(wú)線訪問(wèn)的安全性。 在防黑客攻擊的研究方面，主要是無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)被截取并不是WLAN的最大威脅，黑客突破身份認(rèn)證進(jìn)入網(wǎng)絡(luò)可能造成入侵。如果黑客的存取設(shè)備信號(hào)強(qiáng)，用戶會(huì)選擇信號(hào)強(qiáng)的存取設(shè)備連接上網(wǎng)。雖然802.11i 協(xié)議已出臺(tái)，但它并不能完全阻擋黑客。混合型攻擊往往集成了網(wǎng)絡(luò)層和應(yīng)用層數(shù)據(jù)威脅, 嵌入黑客程序和木馬，入侵后在內(nèi)部網(wǎng)絡(luò)形成拒絕服務(wù)攻擊流的病毒蠕蟲。又如間諜軟件，會(huì)搜索POS 終端與服務(wù)器之間的信息。2

5、、課題意義當(dāng)前信息技術(shù)發(fā)展中最為突出是網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)是構(gòu)成信息社會(huì)的基礎(chǔ)。“Everything over IP”是信息傳遞的一個(gè)必然趨勢(shì)，光IP、衛(wèi)星IP、移動(dòng)IP等在蓬勃發(fā)展中。無(wú)線通信、光通信和Internet技術(shù)將融合為一體。無(wú)線接入是網(wǎng)絡(luò)技術(shù)中最為活躍、發(fā)展最快一個(gè)方向。 隨著無(wú)線局域網(wǎng)（WLAN）安全標(biāo)準(zhǔn)逐漸完善，移動(dòng)用戶如筆記本電腦、掌上電腦、無(wú)線POS、手機(jī)和內(nèi)置802.11的無(wú)線終端使用的普及，無(wú)線局域網(wǎng)成為許多企業(yè)、高校、酒店及公共場(chǎng)所的選擇。隨之而來(lái)的接入安全問(wèn)題成為人們關(guān)注的焦點(diǎn)，尤其是企業(yè)級(jí)、電信級(jí)無(wú)線接入需要高安全性。WLAN 的安全不僅涉及在連接層面上設(shè)置保護(hù)策略

6、，防止非授權(quán)的訪問(wèn)，還需要在網(wǎng)絡(luò)層和應(yīng)用層上部署安全。隨著無(wú)線網(wǎng)絡(luò)覆蓋范圍的不斷增大，速度的不斷提高，大眾對(duì)無(wú)線網(wǎng)絡(luò)安全的要求也會(huì)越來(lái)越高。盡快提出合理有效的安全解決方案，無(wú)論是對(duì)于個(gè)人用戶還是公司企業(yè)，都是非常有意義的。3、國(guó)內(nèi)外概況和預(yù)測(cè)隨著社會(huì)經(jīng)濟(jì)的迅速發(fā)展，人們對(duì)隨時(shí)隨地能夠提供信息服務(wù)的移動(dòng)計(jì)算和寬帶無(wú)線通信的需求越來(lái)越迫切，無(wú)處不在的網(wǎng)絡(luò)終端，人性化、個(gè)性化、智能化的移動(dòng)計(jì)算，以及方便快捷的無(wú)線接入、無(wú)線互連等新概念和新產(chǎn)品，已經(jīng)逐漸融入到人們的工作領(lǐng)域和日常生活中。隨之而來(lái)的便攜式終端以及與無(wú)線通信相關(guān)的新技術(shù)層出不窮，而其中小范圍無(wú)線通信技術(shù)的發(fā)展更是百花齊放。 在 眾 多 的

7、小范圍無(wú)線通信技術(shù)中，IEEE802.1Ib 技術(shù)無(wú)疑是比較突出的一個(gè)，它是目前小范圍無(wú)線通信的主流技術(shù)，其市場(chǎng)已經(jīng)進(jìn)入了一個(gè)高速增長(zhǎng)的階段，前景非常廣泛。 IE EE 80 2.11b 公布之后，迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是，從它的誕生開始，其安全協(xié)議WEP就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov,G oldberg和Wagner最早發(fā)表論文指出了WEP協(xié)議中存在的設(shè)計(jì)失誤，接下來(lái)信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷，并與工程技術(shù)人員協(xié)作，在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無(wú)線傳輸數(shù)據(jù)?，F(xiàn)在，能夠截獲無(wú)線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買到，能夠?qū)λ?/p>

8、獲數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載.W EP不安全己經(jīng)成為一個(gè)廣為人知的事情，人們期待WEP在安全性方面有質(zhì)的變化，新的增強(qiáng)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。二、課題主要研究目標(biāo)與內(nèi)容從一個(gè)針對(duì)無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)特性的低密度無(wú)線接入攻擊類型著眼分析了目前無(wú)線網(wǎng)絡(luò)安全檢測(cè)存在的漏檢可能性提出了一種能夠有效防范這種攻擊類型的樹型分布式無(wú)線入侵檢測(cè)模型并探討了模型的具體設(shè)計(jì)和實(shí)現(xiàn)。 本課題預(yù)期達(dá)到的目標(biāo)如下： (1)對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系結(jié)構(gòu)以及無(wú)線網(wǎng)絡(luò)所帶來(lái)的新的安全問(wèn)題進(jìn)行了分析，分析了目前無(wú)線網(wǎng)絡(luò)安全的局限性。(2)提出了無(wú)線接入攻擊的模型及其工作原理，論證了這種類型的攻擊對(duì)于目前普通的入侵檢

9、測(cè)系統(tǒng)存在入侵躲避的可能性。(3)通過(guò)對(duì)三種分布式入侵檢測(cè)系統(tǒng)的分析、比較、提煉提出了基于AAFID 模型改良得來(lái)的樹型分布式無(wú)線入侵檢測(cè)模型，并對(duì)其各級(jí)節(jié)點(diǎn)的功能進(jìn)行了定義。 (4)對(duì)解決方案模型中的關(guān)鍵技術(shù)；報(bào)告提交機(jī)制、信息融合及報(bào)警模型進(jìn)行了分析，并給出了其工作流程及偽碼實(shí)現(xiàn)。 (5)對(duì)解決方案模型中的關(guān)鍵技術(shù)；報(bào)告提交機(jī)制、信息融合及報(bào)警模型進(jìn)行了分析，并給出了其工作流程及偽碼實(shí)現(xiàn)。三、課題擬解決哪些關(guān)鍵問(wèn)題1、加密 加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，并且還成為在下面所述的一些別的安全機(jī)制中的一部分或起補(bǔ)充作用。加密算法可以是可逆的，也可以是不可逆的，可逆加密

10、算法有兩大類：對(duì)稱加密和非對(duì)稱加密。 除了某些不可逆加密算法的情況外, 加密機(jī)制的存在便意味著要使用密鑰管理機(jī)制。 2、數(shù)字簽名 數(shù)字簽名機(jī)制確定兩個(gè)過(guò)程：數(shù)據(jù)單元簽名，證簽過(guò)名的數(shù)據(jù)單元。第一個(gè)過(guò)程是簽名者所私有的(即獨(dú)有的和機(jī)密的)， 第二個(gè)過(guò)程所有的規(guī)程與信息是公之于眾的，但不能夠從它們推斷出該簽名者的私有信息。簽名過(guò)程涉及到使用簽名者的私有信息作為私鑰，或?qū)?shù)據(jù)單元進(jìn)行加密，或產(chǎn)生出該數(shù)據(jù)單元的一個(gè)密碼校驗(yàn)值。驗(yàn)證過(guò)程涉及到使用公開的規(guī)程與信息來(lái)決定該簽名是不是用簽名者的私有信息產(chǎn)生的。 3、訪問(wèn)控制 為了決定和實(shí)施一個(gè)實(shí)體的訪問(wèn)權(quán)，訪問(wèn)控制機(jī)制可以使用該實(shí)體已鑒別的身份，或使用有關(guān)該

11、實(shí)體的信息（例如它與一個(gè)已知的實(shí)體集的從屬關(guān)系），或使用該實(shí)體的權(quán)力，如果這個(gè)實(shí)體試圖使用非授權(quán)的資源，或者以不正當(dāng)方式使用授權(quán)資源，那么訪問(wèn)控制功能將拒絕這一企圖，另外還可能產(chǎn)生一個(gè)報(bào)警信號(hào)或記錄它作為安全審計(jì)跟蹤的一個(gè)部分來(lái)報(bào)告這一事件。對(duì)于無(wú)連接數(shù)據(jù)傳輸，發(fā)給發(fā)送者的拒絕訪問(wèn)的通知只能作為強(qiáng)加于原發(fā)的訪問(wèn)控制結(jié)果而被提供。 4、數(shù)據(jù)完整性 數(shù)據(jù)完整性有兩個(gè)方面：個(gè)數(shù)據(jù)單元或字段的完整性以及數(shù)據(jù)單元流或字段流的完整性。一般來(lái)說(shuō)，用來(lái)提供這兩種類型完整性服務(wù)的機(jī)制是不相同的。盡管沒(méi)有第一類完整性服務(wù)，第二類服務(wù)是無(wú)法提供的。四、課題擬采用的技術(shù)路線與方案1、初步的技術(shù)方案本文主要是研究無(wú)線接

12、入網(wǎng)的安全問(wèn)題，采用C語(yǔ)言，在Linux系統(tǒng)下面對(duì)無(wú)線接入安全編碼的研究。Linux這個(gè)開發(fā)平臺(tái)更加安全，方便快捷，能夠更加深入了解操作系統(tǒng)一些網(wǎng)絡(luò)處理方面的一些底層的原理。Windows系統(tǒng)下面這些機(jī)制都封裝好，不能更深入了解系統(tǒng)對(duì)網(wǎng)絡(luò)處理的一些機(jī)制。同時(shí)Linux下面有很多軟件是開源的，對(duì)于軟件開發(fā)，和研究能夠更加方便，快速。2、課題技術(shù)路線脈絡(luò)(1)基本結(jié)構(gòu)的構(gòu)架 入侵檢測(cè) 入侵是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)是對(duì)于入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)

13、的軟件和硬件的組合稱為入侵檢測(cè)系統(tǒng)（IDS）。 報(bào)告提交機(jī)制 第一個(gè)考慮要點(diǎn)是報(bào)告提交機(jī)制。對(duì)于大型無(wú)線網(wǎng)絡(luò)IDS 架構(gòu)；使用樹型結(jié)構(gòu)的分布式架設(shè)。使用這一架設(shè)的一大好處就是明確了數(shù)據(jù)提交的流程及上下級(jí)的關(guān)系，從而保證了各級(jí)之間能夠獨(dú)立不受影響地傳遞信息，就是實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行正確統(tǒng)計(jì)并保證報(bào)警可靠性的前提條件。 信息融合模型 將本文所規(guī)定的樹型分布式無(wú)線入侵檢測(cè)系統(tǒng)與數(shù)據(jù)融合處理模型相結(jié)合，可以得出適用于本系統(tǒng)的對(duì)應(yīng)信息融合功能模型。 (2)基本的功能模塊 首先是基本的入侵檢測(cè)功能，實(shí)現(xiàn)它響應(yīng)的實(shí)時(shí)性和報(bào)警的可靠性，報(bào)告提交機(jī)制，報(bào)告機(jī)制模型設(shè)計(jì)，然后報(bào)告機(jī)制模型的實(shí)現(xiàn)，設(shè)計(jì)信息融合模型的設(shè)計(jì)，

14、然后是信息融合模型的實(shí)現(xiàn)。信息融合技術(shù)是 提高效率的關(guān)鍵所在。所謂信息融合，是一種多層次、多方面的處理過(guò)程。最后根據(jù)具體信息融合實(shí)現(xiàn)報(bào)警流程等等。(3)項(xiàng)目實(shí)施的過(guò)程 定義需求：這是軟件工程實(shí)現(xiàn)項(xiàng)目的生命周期重要環(huán)節(jié)，這需要了解無(wú)線接入網(wǎng)的安全實(shí)際需要，只有需求明確才能為總體設(shè)計(jì)提出有意義的建議，總體設(shè)計(jì)也是按照需求分析來(lái)設(shè)計(jì)的，現(xiàn)實(shí)中需要也軟件的功能是密不可分的，入侵檢測(cè)系統(tǒng)需要根據(jù)需求不斷的更改功能，也要與現(xiàn)有的入侵系統(tǒng)進(jìn)行比較，完成整個(gè)系統(tǒng)其它功能等工作； 總體設(shè)計(jì)：根據(jù)需求分析定義出所需要的實(shí)現(xiàn)的功能模塊，并對(duì)各個(gè)模塊的具體實(shí)現(xiàn)方法進(jìn)行研究，首先的搭建起一個(gè)入侵檢測(cè)系統(tǒng)的框架，功能的模

15、塊的擴(kuò)展與修改必須基于這個(gè)框架，確定使用何種報(bào)告機(jī)制來(lái)保證無(wú)線接入網(wǎng)的安全機(jī)制，選擇一種合理的信息融合模式和報(bào)警機(jī)制，來(lái)實(shí)現(xiàn)更加高效，合理的入侵檢測(cè)系統(tǒng)。 編碼:實(shí)現(xiàn)各個(gè)功能模塊的具體功能。3、實(shí)施時(shí)間方案時(shí)間階段備注12009年10月至2010年01月基礎(chǔ)研究學(xué)習(xí)C語(yǔ)言開發(fā)技術(shù)，重點(diǎn)研究Linux系統(tǒng)平臺(tái)，完成對(duì)信息安全標(biāo)準(zhǔn)及信息安全模型進(jìn)行了學(xué)習(xí)研究，對(duì)無(wú)線網(wǎng)絡(luò)體系結(jié)構(gòu)及目前無(wú)線網(wǎng)絡(luò)安全措施及產(chǎn)品進(jìn)行了研究和分析。22010年02月至2010年04月系統(tǒng)體系結(jié)構(gòu)研究研究目前無(wú)線網(wǎng)絡(luò)檢測(cè)系統(tǒng)的躲避效果，實(shí)現(xiàn)對(duì)入侵檢測(cè)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，功能設(shè)計(jì)及信息處理模式，同時(shí)給出具體實(shí)現(xiàn)要點(diǎn)及方法。 3201

16、0年05月至2010年07月實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)檢測(cè)系統(tǒng)并進(jìn)行系統(tǒng)測(cè)試對(duì)技術(shù)方案的實(shí)施進(jìn)行測(cè)試以及測(cè)試文檔的收集42010年08月至2010年09月撰寫論文，論文答辯重點(diǎn)是收集整理前幾階段的資料與相關(guān)文檔五、課題預(yù)期成果與形式1、開發(fā)出一套無(wú)線接入網(wǎng)中的安全檢測(cè)系統(tǒng)。2、發(fā)表論文1-2篇。學(xué)位論文工作計(jì)劃表論文題目：無(wú)線接入網(wǎng)中安全檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)論文工作起止日期：時(shí)間至少一年工作項(xiàng)目工作內(nèi)容計(jì)劃完成日期文獻(xiàn)閱讀 和科學(xué)調(diào)研調(diào)研的主要內(nèi)容、閱讀的主要文獻(xiàn)資料:調(diào)查網(wǎng)絡(luò)通信在現(xiàn)階段的應(yīng)用狀況、未來(lái)的發(fā)展趨勢(shì)和使用中的安全情況，分析存在的安全問(wèn)題和需求，為系統(tǒng)數(shù)據(jù)庫(kù)準(zhǔn)備相應(yīng)資料。與各無(wú)線網(wǎng)絡(luò)應(yīng)用單位交

17、流，確保研究成果的可操作性、實(shí)用性和可推廣性。參考文獻(xiàn)：1趙冬梅、徐寧、馬建峰，無(wú)線網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006.(03).2張東黎，無(wú)線網(wǎng)絡(luò)安全與認(rèn)證J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.(04). 3黃晶，確保無(wú)線網(wǎng)絡(luò)安全 實(shí)現(xiàn)文件安全共享J.微電腦世界，2002.(23). 4張昕楠，消除無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)J.軟件世界，2006，(01).5 胡呂振、李貴濤，面向21世紀(jì)網(wǎng)絡(luò)安全與保護(hù)M，北京，希望電子出版社，1999年6 湛成偉. 網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)淺析J  . 重慶工學(xué)院學(xué)報(bào)，2006，20(8) ：119

18、 - 121 7 王毅. 無(wú)線局域網(wǎng)802.11探討8C語(yǔ)言最新編程技巧200例 作者：魯沐浴，電子工業(yè)出版社，1997，1 9C語(yǔ)言程序設(shè)計(jì)實(shí)用技巧與程序?qū)嵗髡撸毫呼?，李?ài)齊，上?？破粘霭嫔纾?996，5 10Linux 0.01內(nèi)核分析與操作系統(tǒng)設(shè)計(jì).作者：盧軍.清華大學(xué)出版社.20042009年10月至2010年01月方案論證課題的應(yīng)用價(jià)值與可行性: 設(shè)計(jì)無(wú)線接入網(wǎng)中安全檢測(cè)系統(tǒng), 保證發(fā)射的數(shù)據(jù)只能由期望的用戶接收和解密。隨著無(wú)線局域網(wǎng)（WLAN）安全標(biāo)準(zhǔn)逐漸完善，移動(dòng)用戶如筆記本電腦、掌上電腦、無(wú)線POS、手機(jī)和內(nèi)置802.11的無(wú)線終端使用

19、的普及，無(wú)線局域網(wǎng)成為許多企業(yè)、高校、酒店及公共場(chǎng)所的選擇。隨之而來(lái)的接入安全問(wèn)題成為人們關(guān)注的焦點(diǎn)，尤其是企業(yè)級(jí)、電信級(jí)無(wú)線接入需要高安全性。WLAN 的安全不僅涉及在連接層面上設(shè)置保護(hù)策略，防止非授權(quán)的訪問(wèn)，還需要在網(wǎng)絡(luò)層和應(yīng)用層上部署安全。隨著無(wú)線網(wǎng)絡(luò)覆蓋范圍的不斷增大，速度的不斷提高，大眾對(duì)無(wú)線網(wǎng)絡(luò)安全的要求也會(huì)越來(lái)越高。盡快提出合理有效的安全解決方案，無(wú)論是對(duì)于個(gè)人用戶還是公司企業(yè)，都是非常有意義的。2010年01月至2010年02月設(shè)計(jì)或研究階段研究方法、技術(shù)路線、實(shí)驗(yàn)方案:了解無(wú)線接入網(wǎng)的安全實(shí)際需要, 根據(jù)需求分析定義出所需要的實(shí)現(xiàn)的功能模塊，并對(duì)各個(gè)模塊的具體實(shí)現(xiàn)方法進(jìn)行研究

20、，確定使用何種報(bào)告機(jī)制來(lái)保證無(wú)線接入網(wǎng)的安全機(jī)制，選擇一種合理的信息融合模式和報(bào)警機(jī)制，來(lái)實(shí)現(xiàn)更加高效，合理的入侵檢測(cè)系統(tǒng)。研究技術(shù)主要采用C語(yǔ)言和Linux系統(tǒng)為開發(fā)工具，能夠更加安全，方便快捷，能夠更加深入了解操作系統(tǒng)一些網(wǎng)絡(luò)處理方面的一些底層的原理，建立更可靠的網(wǎng)絡(luò)入侵安全檢測(cè)系統(tǒng)。實(shí)施方案：2010年2月至2010年3月 系統(tǒng)體系結(jié)構(gòu)研究，系統(tǒng)地分析網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)的功能需求，并進(jìn)行有針對(duì)性的合理的系統(tǒng)實(shí)現(xiàn)設(shè)計(jì)。 2010年3月至2010年4月 設(shè)計(jì)網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)并進(jìn)行試驗(yàn)驗(yàn)證，在開發(fā)的過(guò)程中把握好測(cè)試的規(guī)劃以及測(cè)試文檔的收集。2009年02月至2010年04月論文撰寫在導(dǎo)師指導(dǎo)下，

21、認(rèn)真撰寫論文，準(zhǔn)備論文答辯。重點(diǎn)是收集整理前幾階段的資料與相關(guān)文檔。2010年5月至2011年5月課題研制條件落實(shí)情況：課題來(lái)源（下達(dá)部門）：東莞四通興國(guó)科技有限公司IT部技術(shù)研究中心課題名稱：無(wú)線接入網(wǎng)中安全技術(shù)的研究與實(shí)現(xiàn)課題負(fù)責(zé)人：王婧論文類型：1）工程設(shè)計(jì) 2）產(chǎn)品研制報(bào)告 3）研究論文 （請(qǐng)打 ）導(dǎo)師對(duì)開題報(bào)告和論文計(jì)劃的可行性提出意見(jiàn)：校內(nèi)導(dǎo)師 ： 企業(yè)方導(dǎo)師：學(xué)院審批意見(jiàn)： 學(xué)院主管領(lǐng)導(dǎo)（簽字、蓋章）： 日期： 年 月 日電子科技大學(xué)工程碩士學(xué)位論文文獻(xiàn)綜述姓名：王婧學(xué)號(hào)：工程領(lǐng)域：無(wú)線網(wǎng)絡(luò)安全綜述題目：無(wú)線網(wǎng)絡(luò)的安全通信探索導(dǎo)師意見(jiàn)：校內(nèi)導(dǎo)師：企業(yè)方導(dǎo)師：文獻(xiàn)綜述無(wú)線網(wǎng)絡(luò)的安全

22、通信探索一、引言 無(wú)線通信采用無(wú)線電波傳輸，具有保密性強(qiáng)、移動(dòng)性高、抗干擾性好、架設(shè)與維護(hù)容易等特點(diǎn)，還能支持移動(dòng)計(jì)算，越來(lái)越成為室外通信的最佳方案。目前無(wú)線通信可以實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)、無(wú)線接入、網(wǎng)際互聯(lián)、圖文傳真、電子郵件、互聯(lián)網(wǎng)瀏覽、數(shù)據(jù)采集和遙測(cè)遙控等，已經(jīng)成為現(xiàn)代通信手段的重要組成部分。因此，無(wú)線網(wǎng)絡(luò)的安全通信技術(shù)成為業(yè)界的研究熱點(diǎn)。二、無(wú)線網(wǎng)絡(luò)的安全通信措施（一）WLAN的安全保障雖然目前廣泛使用的跳頻擴(kuò)頻技術(shù)可以讓人難于截取，但也只是對(duì)普通人難而已，隨著通信技術(shù)的飛速發(fā)展，相信很快就會(huì)普及起來(lái)。IEEE802.11標(biāo)準(zhǔn)制定了如下3種方法來(lái)為WLAN的數(shù)據(jù)通信提供安全保障：1使用802

23、.11的服務(wù)群標(biāo)識(shí)符SSID。但是，在一個(gè)中等規(guī)模的WLAN上，即使每年只進(jìn)行兩次基本群標(biāo)識(shí)符的人工修改，也足以證明這是一個(gè)低效的不可靠的安全措施。2使用設(shè)備的MAC地址來(lái)提供安全防范，顯然這也是一個(gè)低水平的防護(hù)手段。3安全機(jī)制相比前兩種效果要好得多，即WEP(Wired Equivalent Privacy)。它是采用RC4算法來(lái)加密傳輸?shù)木W(wǎng)絡(luò)分組，通過(guò)WEP協(xié)議來(lái)保護(hù)進(jìn)入無(wú)線網(wǎng)的身份驗(yàn)證過(guò)程。但從有線網(wǎng)連接到無(wú)線網(wǎng)是通過(guò)使用某些網(wǎng)絡(luò)設(shè)備進(jìn)行連接（即網(wǎng)絡(luò)適配器驗(yàn)證，而不是利用網(wǎng)絡(luò)資源進(jìn)行加密的），還有其他的一些不可靠問(wèn)題，人們?cè)谥匾c(diǎn)的加密場(chǎng)合，都不使用WEP安全協(xié)議。（二）VPN與IPSe

24、c的作用VPN首先是用于在Internet上擴(kuò)展一個(gè)公司的網(wǎng)絡(luò)當(dāng)然公司的部門或子公司在地理上位于不同的地域，甚至在不同的國(guó)家。VPN是一個(gè)加密了的隧道，在隧道中它對(duì)IP中的所有數(shù)據(jù)進(jìn)行封裝。在VPN中最常用的兩種隧道協(xié)議是，點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP和第二層隧道化協(xié)議LTP，它們分別是由微軟和Cisco公司開發(fā)的。還有一種現(xiàn)在也在VPN中廣泛使用的有隧道功能的協(xié)議即IPSec，它還是一個(gè)IETF建議IP層安全標(biāo)準(zhǔn)。IPSec首先是作為IPv4的附加系統(tǒng)實(shí)現(xiàn)的，而IPv6則將該協(xié)議功能作為強(qiáng)制配置了。（三）IPSec協(xié)議及其實(shí)施IPSec協(xié)議包括如下：驗(yàn)證頭AH(Authentication)，封裝

25、安全載荷ESP(Encapsulation Security Payload)，Internet密鑰交換IKE(Internet Key Exchange)，Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP(Internet Security Association and Key Management Protocol)及轉(zhuǎn)碼。IPSec體系定義了主機(jī)和網(wǎng)關(guān)應(yīng)該提供的各科能力，討論了協(xié)議的語(yǔ)義，以及牽涉到IPSec協(xié)議同TCP/IP協(xié)議套件剩余部分如何進(jìn)行溝通的問(wèn)題。封裝安全載荷和驗(yàn)證頭文檔定義了協(xié)議、載荷頭的格式以及它們提供的服務(wù)，還定義了包的處理規(guī)則。轉(zhuǎn)碼方式定義了如何對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，

26、以保證其安全。這些內(nèi)容包括：算法、密鑰大小、轉(zhuǎn)碼程序和算法專用信息。IKE可以為IPSec協(xié)議生成密鑰。還有一個(gè)安全策略的問(wèn)題，它決定了兩個(gè)實(shí)體間是否能夠通信，采取哪一種轉(zhuǎn)碼方式等。IPSec的工作模式有如下2種：1通道模式：這種模式特點(diǎn)是數(shù)據(jù)包的最終目的地不是安全終點(diǎn)。路由器為自己轉(zhuǎn)發(fā)的數(shù)據(jù)包提供安全服務(wù)時(shí)，也要選用通道模式。在通道模式中，IPSec模塊在一個(gè)正常的普通IP 數(shù)據(jù)包內(nèi)封裝了IPSec頭，并增加了一個(gè)外部IP頭。 2傳送模式：在傳送模式中，AH和ESP保護(hù)的是傳送頭，在這種模式中，AH和ESP會(huì)攔截從傳送層到網(wǎng)絡(luò)層的數(shù)據(jù)包，并根據(jù)具體情況提供保護(hù)。例如：A、B是兩個(gè)已配置好的主

27、機(jī)，它們之間流通的數(shù)據(jù)包均應(yīng)予以加密。在這種情況采用的是封裝安全載荷(ESP)的傳送模式。若只是為了對(duì)傳送層數(shù)據(jù)包進(jìn)行驗(yàn)證，則應(yīng)采用“驗(yàn)證頭(AH)”傳送模式。IPSec可以在終端主機(jī)、網(wǎng)關(guān)/路由器或兩者之間進(jìn)行實(shí)施和配置。（四）一個(gè)實(shí)現(xiàn)無(wú)線通信加密的方法在給出下面加密方案之前，首先確定加密的位置：綜前所述，選擇在TCP/IP協(xié)議的IP層進(jìn)行加密（當(dāng)然也含了解密功能，下同）處理，可以達(dá)到既便利又滿足盡可能與上下游平臺(tái)無(wú)關(guān)性。為了敘述方便，筆者定義一個(gè)抽象實(shí)體：加密模塊，當(dāng)它是一臺(tái)PC或工控機(jī)時(shí)，它就是具備基本網(wǎng)絡(luò)協(xié)議解析與轉(zhuǎn)換功能的安全（加密）網(wǎng)關(guān)；當(dāng)它是一個(gè)DSP或FPGA芯片時(shí)，它就是一個(gè)

28、具備網(wǎng)絡(luò)協(xié)議功能的加密芯片；當(dāng)它是一個(gè)與操作系統(tǒng)內(nèi)核集成的軟件模塊時(shí)，它就是一個(gè)加密模塊。至此，就形成如下加密方案的雛形：1在無(wú)線網(wǎng)絡(luò)的橋路器或是無(wú)線Hub與有線LAN間置一加密模塊，這時(shí)可用一臺(tái)功能強(qiáng)勁的PC或是工控機(jī)（方便戶外攜帶使用），最好是雙CPU的，具備強(qiáng)大的數(shù)學(xué)運(yùn)算能力，實(shí)現(xiàn)網(wǎng)絡(luò)層到鏈路層之間的功能和IP數(shù)據(jù)包的加解密功能。2Black Box：對(duì)FPGA(Field Programmable Gate Array)進(jìn)行集群，初定為由3塊FPGA芯片構(gòu)成，1塊加密，1塊解密，1塊進(jìn)行協(xié)議處理。之所以要求集群，是基于這樣一個(gè)事實(shí)：由獨(dú)立的一塊1001000MIPS的FPGA芯片完成協(xié)議處理和加解密這樣超強(qiáng)度的運(yùn)算處理，缺乏可行性。3在購(gòu)買第三方廠商的無(wú)線HUB及橋路器時(shí)，與廠商進(jìn)行技術(shù)合作，要求他們?cè)谠O(shè)備上提供FPGA的接口，邏輯上FPGA只完成IP包數(shù)據(jù)的加解密功