无线网络安全

西安电子科技大学无线网络安全
题目：WiFi登录安全性研究
姓名：左贝
班级：031211
学号：03121153
摘要：一直以来，无线网络的安全问题都备受关注，其中认证是保证信息安全的一个重要环节。

目前无线认证有多种方式，比如Radius认证，web认证，端口认证等，本文通过分析Radius认证与web认证两种无线认证方式，来比较在家庭路由认证状态下，两者的性能差异，从而更好的解决目前普遍存在的弱密码问题。

引言
WiFi（Wireless Fidelity）是WiFi联盟制造商的商标可做为产品的品牌认证，是一个建立于IEEE802.11标准的无线局域网络(WLAN)设备，是日前应用最为普遍的一种短程无线传输技术。

自从这一无线局域网标准在1997年的诞生以来，WiFi已经过十余年的发展。

随着人们对数据业务的需求不断增加，对其的研究也已戚为一大热点。

随着无线网络技术的成熟，网络安全直是一个重要的问题。

因为无线广播枉自然界中传播，任何人都可以利用覆盖范围内的无线装置拦截发送的数据包，并且不会中断无线设各和基站之间的数据流动。

这就是为何日前无线网络的安全问题相比干有线网络而更受人关沣的原因。

同样，WiFi虽然具有传输速度高、覆盖范围广等特点，它的网络安全问题也是大家越来越关注的一大热点，也是WiFi面临的巨大挑战。

1. WIFI无线路由的弱密码
随着互联网的迅速发展及普及，笔记本电脑、使用WiFi无线上网的手机，以及其他可以上网的终端设备的普及，WiFi在我们的生活中开始扮演越来越重要的角色。

就WiFi网络技术的优势特点来说，其建设便捷，免去了网络布线等工作，一般只需安装个AP设备，就可以解决一个地方的上网问题。

因此，正是由于这种使用方便性，以及笔记本电脑、智能手机、平板电脑这些智能终端的普及化，越来越多的家庭选择无线路由器来代替有线路由器。

与此同时，WiFi路由的安全问题也成为人家关注的话题。

尤其是在家庭使用环境中，路由设置趋于简单，用户设置弱密码的现象经常出现。

弱密码即容易破译的密码，多为简单的数字组合、相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、
“abcl23"、“Mlchael”等。

用户为了更便于记住自己的密码，将其设置的过为简单，但正是这种现象越来越多的构成WiFi路由的安全隐患。

很多网络攻击者正是利用这一漏洞，破解用户的WiFi密码，非法使用用户的无线网络，甚至可能会对用户的终端数据安全构成威胁。

目前，许多WiFi钥匙都是根据这一漏洞设计出来的。

针对这现象，我们从认证的角度出发，通过加强WiFi路由的认证机制，来达到增强无线安全性的日的。

目前无线认证的方式有多种，比如Radlus认证，web二次认证，Diameter 认证等等，本文中主要使用了Radlus认证以及Web二次认证方式。

2. WiFi认证方式及应用
2.1.Wiwiz认证系统
Wiwiz认证系统是基于web一次认证的种认证系统。

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览嚣软件就可以进行接入认证。

未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在web认证服务器进行认证，只有认证通过后才可以使用互联网资源。

如果用户试图通过HTTP访问其他外网，将被强制访问web认证网站，从而开始web认证过程，这种方式称作强制认证。

web认证的典型组网方式一般由三个基本角色组成：认证客户端、接入设备和web认证服务器。

认证客户端，是安装于用户终端设备上的客户端系统，一般可理解为用户终
端所安装的运行HTTP协议的浏览器。

接入设备，是在网络拓扑中一般是接入层设备，在
无线网络中可以理解为无线AP如我们常用的无线路由器，一般与用户终端设备直接建立连接，
在接入设备上启动web认证。

wcb认证服务器，是提供web服务的一种服务器，它需要接受认证客户端认证请求的认证服务器端系统，提供基于Web认证的界面，与接入设备交互认证客户端的认证信息。

web认证的主要过程：
1)用户通过标准的DHCP协议，通过路由器获取到规划的IP：
2)用户打开浏览器，访问问某个网站，发起HTTP请求；
3)路由器截获用户的HTTP请求，由于用户没有认证过，就强制重定向到web认证服务器；
4)web认证服务器向WLAN用户终端推送web认证页而；
5)用户在认证页面上填写用户名、密码等信息，提交到web认证服务器；
6)web认证服务器接收到用户信息，必须按照CHAP(挑战握手认证协议)流程，
向路由器请求Challenge；
7)路由器返回Challenge ID和Challenge：
8)web认证服务器将密码和challenge ID和challenge做MD5算法后的Challenge-Password，和用户名一起提交给路由器，发起认证。

web认证服务器根据认证结果，推送认证结果页面。

一次认证过程完成。

根据Web认证的原理及应用，我们利用Wiwiz系统来进行一次Web二次认证的实现过程。

Wiwiz系统是一个有线/无线网络热点管理系统，利用它你可以为你的热点创建一个强制门户，强制认证页面(captive portal)。

Wiwiz更是个基于云的开放平台．提供了丰富的扩展、定制功能与开发接口。

Wiwiz HotSpot Builder由两部分构成：Wiwiz Web面板和一个叫做Wiwiz HotSpot Builder Utility的客户端。

典型的应用情景是，部署了Wiwiz HotSpot Builder的机器充当无线(或有线)局域网中的Intenet网关。

当网络中的一个用户试图使用Internet时，他需要首先打开web浏览器并访问任意一个HTTP地址，然后一个特殊的页面(通常用于认证目的)将会被显示出来。

而用户在使用Internet前需要在此页面完成认证。

在设置阶段，我们需要的硬件设备是刷了DD-WRT固件的无线可编程路由器。

进入DD—WRT的Web管理界面做一些基本设置，再进入Wiwiz Web信息进入信息设置，包括用户名和密码的设置，之后开始设置Wiwiz的客户端。

通过Wiwiz系统和相应的web认证机制，使用户在使用无线路由器所提供的无线网络时，不仅要输入正确的用户名和密码通过路由器的认证连接网络，同时，也必须在浏览网页的时候，通过Wiwiz服务器端的认证，输入通过无线路由器和Wiwiz系统所设置的用户名和密码，才能正常的连接网络。

2 2 Radius认证
Radius(Remote Authentication Dial In User Service)，远程认证拨号用户服务，是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。

Radius协议采用了客户机/服务器(C/S)工作模式。

网络接入服务器(NetworkAccess Server，NAS)是Radius的客户端，它负责将用户的验证信息传递给指定的Radius服务器，
然后处理返回的响应。

Radius服务器负责接收用户的连接请求，井验证用户身份，然后返
回所有必须要配置的信息给客户端用户，也可以作为其他Radius服务器或其他类认证服务
器的代理客户端。

服务器和客户端之间传输的所有数据通过使用共享密钥来验证．客户端
和Radius服务器之间的用户密码经过加密发送．提供了密码使用的安全性。

在Radius的Server端和Client端之间的通信主要有两种情况：一种是接入认证：另一种是计费请求。

在本文中我们主要讨论的是接入认证。

用户通过网络接入服务器(NAs)接入网络．网绪接入服务器向Radius服务器传递用户名和用户密码等账户信息发起认证请求。

网络接入服务器和Radius服务之间使用不在互联网传播的共享明文密钥，用户密码是MD5算法加密处理过的。

Radius认证流程为：
1)用户在客户端提交用户信息；
2)Radius客户端(网络接入服务器)向Radius服务器发送认证请求报文．其包含了
用户信息。

3)Radius服务器对用户信息进行检测，如果数据库中信息与用户提交信息不同，则认证失败并向网络接入服务器发送拒绝响应包；如果通过两者一致，则向网络接入服务器发送包含用户权限的响应包：
4)网络接入服务器由Rad-us服务器发送过来的响应数据包来做出相应的响应：允许用户或拒绝用户接入。

根据以上的Radius认证原理，我们进行Radius认证各端的设置。

需要的硬件设备为两台计算机分别作为Radius服务器端和用户终端。

首先配置Radius服务器端，在配有Windows Server 2003系统的计算机上，设置计算机IP地址为172.16.2.10.之后需要为所有通过认证才能够访问网络的用户在Radius服务器中创建账号。

这样，当用户的计算机连接到启用了端口认证功能的计算机上的端口时，启用了IEEE 802.1x认证功能的客户端计算机需要用户输入正确的账号和密码后，才能访问网络中的资源。

配置完毕后，当用户连接无线网络时，需要打开用户端计算机网络的“本地连接”属性对话框，然后选择“验证”标签项，在打开的对话框中选取“启用此网络的IEEE802.1x验证”，并在“EAP类型”下拉列表中选取“MD5-质询”，并在弹出的认证界面输入用户名和密码，完成无线网络的二次认证。

利用Radius协议，我们构建了Radlus服务器端并设置了Radius客户端。

当用户使用无线路由器进行无线网络接入时，通过无线路由的正确用户名和密码的正确输入之后，必
须再次进入计算机网络本地连接的属性设置，在如上文所提的步骤中输入正确的用户名和
密码，才能进入正常的网络连接。

这样，即使非法用户通过破解软件破解了用户的无线路
由密码，没有正确的Radius设置用户密码，也无法进入正常的网络连接。

2 3 Diameter认证
“Diameter协议是IETF推荐的作为下代网络标准的AAA(Authentication，Authorization and Accounting)协议。

因为IPv6协议将被广泛应用于全IP业网络，基于Diameter协议的移动IPv6应用将会在AAA系统中起到越来越重要的作用。

Diameter协议(直径，意味若是Radius协议的升级)包含基础协议、传送协议、不同的应用扩展，如NASREQ和移动IP等。

所有应用和服务共用的基本功能都在基础协议中实现，而应用特定的功能则会在不同的应用中实施。

3认证方法分析
Web二次认证通过使用接入设备强制用户登录到特定站点．进行一次认证过程，来增加无线路由的安全性。

这种认证方式方便简单，用户只需在路由器界面和认证服务器端提供
测设置界面进行用户名、密码等这些用户信息的设置，就可以进行Web二次认证服务。

但这种认证方式的缺陷在于，认证服务器是第三方服务器．用户设置的用户名密码等这些
信息保存在其服务器端，仍有被窃取的可能。

Radlus认证通过将某台计算机设置成为一个Radlus认证服务器．来实现无线登录的二次认证，以改善无线路由的安全性。

当用户连接WiFi后，需要通过验证设置，进行用户
名和密码的认证分析，用户的这些信息资料保存于自己所建立的Radius认证服务器中，更
为安全。

但是作为Radius这种认证方式而言，在家庭用户中，操作过于繁杂。

4.结论
本文通过对Web二次认证和Radlus认证方式的分析，更为直观的了解两种认证方法的实现过程，针对于家庭应用中的无线路由弱密码现象，Web二次认证的可行性更大一些。

不论是何种认证方式，都有其优点与缺点，安全性与便捷性总是相互冲突的，因此，我们应该在不同的场合，不同的领域采取不同的安全措施，提高认证的效率。

同时，我们也要普及普通民众对WiFi的认识，既不要过分相信WiFi的安全性，也不要对WiFi技术失去信心。