创先论文发表网范文
主页 > 论文范文 > 互联网技术 >

浅谈校园无线网中身份认证机制的设计与实现

来源:创先论文发表网 2016-01-23
0 引言

 

  有线网络是通过网线连接组建的,数据在有线环境里传输时是在一个由物理链路组成的封闭物理空间里进行的。而无线网络的空间是开放的,因此很难通过封闭的物理空间传送数据。随着无线网络的广泛应用,如何通过身份认证来确保合法的用户访问网络资源是摆在我们面前的紧要问题。

 

  为了解决上述问题,进行了很多的研究,现在广泛使用的协议是基于端口的访问控制协议(PortBased Network Access Control Protocol)。该协议解决了用户接入无线网络时的认证问题。防止非授权用户访问网络资源。从而保证了网络的安全。

 

  1 无线网络的局限性

 

  讨论认证协议时,不但具有一般认证协议设计时需要注意的问题,而且必须考虑到无线移动环境下的特点。在这里关注的移动通信系统对认证协议的影响因素主要是:

 

  1) 移动终端有限的计算存储资源和能源储备能力;

 

  2) 无线网络传输能力和传输质量远比不上有线网;

 

  3) 无线网络在物理访问特性上的开放性使得无线网比有线网有更高的安全脆弱性。

 

  上述特征使得认证协议在无线移动环境下的设计更为困难。协议设计不像在有线网络环境下有比较多的自由度。因此它要求安全协议的设计以”够用”为准则,在安全性能与系统可用性之间找到合适的结合点。

 

  2 改进后的认证方案

 

  在传统的认证方案中,所谓的双向认证指的是:认证服务器与用户之间的相互认证,但都没有重视对接人点AP 的认证,我们在设计认证协议时应该牢记:永远不要低估攻击者的能力,因此要重视接人点AP 的认证,因为任何一点疏忽都能威胁到网络的安全性。因此,在新的安全方案中升级了对接人点AP 的保护。

 

  2.1 系统角色划分

 

  系统中有三种角色,分别为:认证平台(Key_ Center);无线接入平台(AP);客户端(User)。三种角色在系统中的职能分别是:

 

  1)Key Center :Key Center 主要包括代理服务器(TR) 和认证服务器(CA) 以及用户信息数据库(DB)。代理服务器主要完成截获无线接入点发向认证服务器的认证连接请求, 从认证服务器端接收相关信息对接入用户进行身份认证, 它是接入点和认证服务器的中间环节。使用代理服务器的主要目的是保证在传输信息时, 实现接入点与认证服务器信息数据库的分离, 充分保证认证服务器信息的安全。认证服务器主要完成与接入点的认证工作。接入点的信息和客户端的个人信息客户端的登录状态等都存储在认证平台中的用户信息数据库中。

 

  2) 无线接入平台(AP):为客户端提供接入无线网络的中间节点及安全通道。

 

  3) 客户端(User):通信的实际参与者。

 

  2.2 认证步骤

 

  步骤1 :初始注册过程:用户包括接入点在接入无线网络之前首先要在认证服务器端进行注册, 注册过程要确保在安全环境中进行,注册内容:AP 登陆网络的密码(例如:序列号等唯一标示)以及客户端登陆网络时所需的用户名和密码。认证服务器为AP 及终端各分配一个密钥Ki,Kid,Kpsd。Ki 写入AP 中, 并禁止用其他设备读出。Kid 及Kpsd 交给用户保存。同时认证服务器在本地的用户信息数据库中为用户及接入点生成注册信息及在数据库中保存这些信息, 这样用户及接入点就成为了网络资源服务器的合法使用者及接入节点。

 

  步骤2 :当接人节点A P 收到客户端发来的接入申请时, 接入节点将屏蔽所有其他客户端发出的请求, 同时接入点向认证平台发出认证申请。

 

  步骤3 :在接入点AP 登录网络的时候, 认证平台中的代理服务器会产生一个 16 字节的随机数据发给接入点AP,AP 用自己的密钥 Ki 和这个随机数进行一系列运算后,产成一个4 字节的数据,并将它转发给代理服务器,同时,代理服务器也做了相同的运算,认证平台将对这两个结果进行比较。相同就证明此接入点是合法的接入点,允许其登录。这个验证算法在 GSM 规范里面叫做 A3 算法。此后若有其他客户端要通过此AP 接入到网络时, 跳过步骤2 及步骤3, 直接进入步骤4。

 

  步骤4 :接入点向终端发送请求应答信息。要求终端发送下一步的信息。此时系统会提示用户输入用户名和登陆密码, 并将他们发送给代理服务器。代理服务器首先验证用户名和密码。如果正确, 认证服务平台和客户端进行双向的身份认证;如果不正确, 传回提示:请重新输入用户名及密码。

 

  步骤5 :当客户端提出访问网络资源的申请时,代理服务器向客户端传回一个随机数,同时记录下这个随机数,直到认证完成。客户端将收到的随机数作为密钥,将登陆网络时要用的用户名,密码进行哈希运算,将结果传回认证平台。认证服务器读取用户数据库中事先存放的用户名及密码与之前发送给客户端的随机数做相同的运算,并且与客户端发送过来的数据进行比较,如果一致就证明了用户是合法用户。

 

  在认证过程中, 认证平台发送的随机数和用户发送的运算结果可能会被黑客劫持, 但这两个值对黑客攻破网络是没有任何意义的, 因为黑客获取不到用户名及密码, 而随机数仅仅在当前会话中生效, 因此大大地减少了网络被攻破的可能性。

 

  步骤6 :客户端通过接入点(AP)安全地接入到网络中。

 

  3 安全性分析

 

  1) 在整个的认证过程中,第2,3 步骤加强了认证平台对接人点节点的相互验证,证明了接人点AP 为合法的AP。在认证方案第(4) 和(5)步实现了认证服务器对客户端的认证,验证了客户端为合法的用户。

 

  2) 通过第1,3,5 步骤,加强了对临时密钥的管理。认证服务平台向接入节点发送的数据即使被黑客截取了,由于没有合法AP 的私钥,所以就无法对链路构成威胁。

 

  4 结束语

 

  无线校园网环境下的网络安全保障,可以在使用TCP Socket 的基础上,利用PKI 数字证书体系提供的权威身份认证能力,和SSL/TLS 协议提供的安全连接机制得以实现,大大降低了数字证书的制作和SSL/TSL 的具体实现代价。可满足大部分无线网络的安全需求。


相关推荐
  • 01-23 VPN 技术在计算机网络中的应用分析
  • 01-23 试论医学院校校园网的建设与安全
  • 01-23 浅谈校园无线网中身份认证机制的设计与实现
  • 01-23 “互联网+政务”开启电子政务发展新模式探索
  • 01-23 基于OpenFlow 的SDN 技术在IP 城域网中的应用探索
  • 01-23 校园WLAN 配套传输网络建设方法的探析
  • 01-23 浅谈区块链作为互联网新技术将大有作为
  • 01-23 一种面向在校大学生的新型互联网个人网络贷款系统(P2S
  • 01-23 基于以太网技术的列车网络系统探析
  • 01-23 校园无线网络的整体方案设计研究