无线网络安全

西安电子科技大学无线网络安全

题目：WiFi登录安全性研究

姓名：左贝

班级：031211

学号：03121153

摘要：一直以来，无线网络的安全问题都备受关注，其中认证是保证信息安全的一个重要环节。目前无线认证有多种方式，比如Radius认证，web认证，端口认证等，本文通过分析Radius认证与web认证两种无线认证方式，来比较在家庭路由认证状态下，两者的性能差异，从而更好的解决目前普遍存在的弱密码问题。

引言

WiFi（Wireless Fidelity）是WiFi联盟制造商的商标可做为产品的品牌认证，是一个建立于IEEE802.11标准的无线局域网络(WLAN)设备，是日前应用最为普遍的一种短程无线传输技术。自从这一无线局域网标准在1997年的诞生以来，WiFi已经过十余年的发展。随着人们对数据业务的需求不断增加，对其的研究也已戚为一大热点。随着无线网络技术的成熟，网络安全直是一个重要的问题。因为无线广播枉自然界中传播，任何人都可以利用覆盖范围内的无线装置拦截发送的数据包，并且不会中断无线设各和基站之间的数据流动。这就是为何日前无线网络的安全问题相比干有线网络而更受人关沣的原因。同样，WiFi虽然具有传输速度高、覆盖范围广等特点，它的网络安全问题也是大家越来越关注的一大热点，也是WiFi面临的巨大挑战。

1. WIFI无线路由的弱密码

随着互联网的迅速发展及普及，笔记本电脑、使用WiFi无线上网的手机，以及其他可以上网的终端设备的普及，WiFi在我们的生活中开始扮演越来越重要的角色。就WiFi网络技术的优势特点来说，其建设便捷，免去了网络布线等工作，一般只需安装个AP设备，就可以解决一个地方的上网问题。因此，正是由于这种使用方便性，以及笔记本电脑、智能手机、平板电脑这些智能终端的普及化，越来越多的家庭选择无线路由器来代替有线路由器。

与此同时，WiFi路由的安全问题也成为人家关注的话题。尤其是在家庭使用环境中，路由设置趋于简单，用户设置弱密码的现象经常出现。弱密码即容易破译的密码，多为简单的数字组合、相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、

“abcl23"、“Mlchael”等。用户为了更便于记住自己的密码，将其设置的过为简单，但正是这种现象越来越多的构成WiFi路由的安全隐患。很多网络攻击者正是利用这一漏洞，破解用户的WiFi密码，非法使用用户的无线网络，甚至可能会对用户的终端数据安全构成威胁。目前，许多WiFi钥匙都是根据这一漏洞设计出来的。

针对这现象，我们从认证的角度出发，通过加强WiFi路由的认证机制，来达到增强无线安全性的日的。目前无线认证的方式有多种，比如Radlus认证，web二次认证，Diameter 认证等等，本文中主要使用了Radlus认证以及Web二次认证方式。

2. WiFi认证方式及应用

2.1.Wiwiz认证系统

Wiwiz认证系统是基于web一次认证的种认证系统。

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览嚣软件就可以进行接入认证。未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在web认证服务器进行认证，只有认证通过后才可以使用互联网资源。如果用户试图通过HTTP访问其他外网，将被强制访问web认证网站，从而开始web认证过程，这种方式称作强制认证。

web认证的典型组网方式一般由三个基本角色组成：认证客户端、接入设备和web认证服务器。认证客户端，是安装于用户终端设备上的客户端系统，一般可理解为用户终

端所安装的运行HTTP协议的浏览器。接入设备，是在网络拓扑中一般是接入层设备，在

无线网络中可以理解为无线AP如我们常用的无线路由器，一般与用户终端设备直接建立连接，

在接入设备上启动web认证。wcb认证服务器，是提供web服务的一种服务器，它需要接受认证客户端认证请求的认证服务器端系统，提供基于Web认证的界面，与接入设备交互认证客户端的认证信息。

web认证的主要过程：

1)用户通过标准的DHCP协议，通过路由器获取到规划的IP：

2)用户打开浏览器，访问问某个网站，发起HTTP请求；

3)路由器截获用户的HTTP请求，由于用户没有认证过，就强制重定向到web认证服务器；

4)web认证服务器向WLAN用户终端推送web认证页而；

5)用户在认证页面上填写用户名、密码等信息，提交到web认证服务器；

6)web认证服务器接收到用户信息，必须按照CHAP(挑战握手认证协议)流程，

向路由器请求Challenge；

7)路由器返回Challenge ID和Challenge：

8)web认证服务器将密码和challenge ID和challenge做MD5算法后的Challenge-Password，和用户名一起提交给路由器，发起认证。web认证服务器根据认证结果，推送认证结果页面。一次认证过程完成。

根据Web认证的原理及应用，我们利用Wiwiz系统来进行一次Web二次认证的实现过程。

Wiwiz系统是一个有线/无线网络热点管理系统，利用它你可以为你的热点创建一个强制门户，强制认证页面(captive portal)。Wiwiz更是个基于云的开放平台．提供了丰富的扩展、定制功能与开发接口。

Wiwiz HotSpot Builder由两部分构成：Wiwiz Web面板和一个叫做Wiwiz HotSpot Builder Utility的客户端。典型的应用情景是，部署了Wiwiz HotSpot Builder的机器充当无线(或有线)局域网中的Intenet网关。当网络中的一个用户试图使用Internet时，他需要首先打开web浏览器并访问任意一个HTTP地址，然后一个特殊的页面(通常用于认证目的)将会被显示出来。而用户在使用Internet前需要在此页面完成认证。

在设置阶段，我们需要的硬件设备是刷了DD-WRT固件的无线可编程路由器。进入DD—WRT的Web管理界面做一些基本设置，再进入Wiwiz Web信息进入信息设置，包括用户名和密码的设置，之后开始设置Wiwiz的客户端。

通过Wiwiz系统和相应的web认证机制，使用户在使用无线路由器所提供的无线网络时，不仅要输入正确的用户名和密码通过路由器的认证连接网络，同时，也必须在浏览网页的时候，通过Wiwiz服务器端的认证，输入通过无线路由器和Wiwiz系统所设置的用户名和密码，才能正常的连接网络。

2 2 Radius认证

Radius(Remote Authentication Dial In User Service)，远程认证拨号用户服务，是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。

Radius协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(NetworkAccess Server，NAS)是Radius的客户端，它负责将用户的验证信息传递给指定的Radius服务器，

然后处理返回的响应。Radius服务器负责接收用户的连接请求，井验证用户身份，然后返

回所有必须要配置的信息给客户端用户，也可以作为其他Radius服务器或其他类认证服务

器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证．客户端

和Radius服务器之间的用户密码经过加密发送．提供了密码使用的安全性。在Radius的Server端和Client端之间的通信主要有两种情况：一种是接入认证：另一种是计费请求。

在本文中我们主要讨论的是接入认证。

用户通过网络接入服务器(NAs)接入网络．网绪接入服务器向Radius服务器传递用户名和用户密码等账户信息发起认证请求。网络接入服务器和Radius服务之间使用不在互联网传播的共享明文密钥，用户密码是MD5算法加密处理过的。

Radius认证流程为：

1)用户在客户端提交用户信息；

2)Radius客户端(网络接入服务器)向Radius服务器发送认证请求报文．其包含了