● 摘要
无线局域网( )是当今接入网络的重要组成部分。由于其具有介质的开放性(Openness)、终端的移动性(Mobility)和拓扑的动态性(Dynamism )等特点,因此WLAN的使用存在许多潜在的安全威胁;此外,由于WLAN接入点信号辐射范围具有局限性,确保终端在网络域间的安全快速切换(Handoff),也是WLAN安全快速使用的前提。将密码算法与网络管理技术结合而设计的身份认证协议,是实现WLAN访问控制的重要途径。然而,传统方案大多建立在终端可信的前提之上,忽略了来自于终端本身的安全威胁;此外,现有的许多认证方案难以在终端域间快速切换过程中,对其实现细粒度的访问控制。
本文针对于企业级WLAN安全需求及WLAN安全威胁进行了深入研究,从解决平台完整性验证及快速切换过程中的访问控制等问题入手,提出了WLAN可信接入及快速安全切换方案。本文完成的主要研究工作如下:
(1)归纳了企业级WLAN的安全需求及WLAN的安全风险;分析并比较了现有WLAN安全认证及切换方案所存在的缺陷及不足,给出平台完整性验证及域间可信快速切换研究的必要性和迫切性。总结了可信平台模块的基本原理及可信网络连接的基本架构,给出了属性基加密技术的基本原理及其在访问控制方面的应用。
(2)提出一种基于可信平台模块(Trusted Platform Module,TPM)的WLAN安全接入方案。该方案在双向身份认证的基础上,实现了通信双方平台完整性的相互验证,有效地防止了来自终端软硬件系统的内部攻击,从根本上实现了安全加密通信。
(3)设计了一种WLAN属性基(Attribute-based)可信快速切换方案。该方案利用属性基访问控制思想,在提高终端域间切换效率的同时,实现了细粒度的、面向安全需求的用户访问控制,将信任链延伸至网络域间,确保了WLAN的安全性和可靠性。与现有WLAN快速切换方案相比,该方案具有更好的时延特性,并达到随机预言模型适应性安全(全安全)。
(4)在linux操作环境下,采用开源工程 模拟 芯片实现身份认证及平台完整性验证;结合开源工程cpabe toolkit搭建域间访问控制系统仿真环境。该系统通过调用cpabe toolkit中的函数,实现了密钥生成、加密、解密等算法,验证了域间切换方案的安全性和快速性。