基于Shamir门限机制的校园无线网加密技术的研究

张轶北 蔡大鹏

北京青年政治学院 北京 100102

0 前言

随着广大师生对网络要求的增高以及终端设备的多样性，校园网对终端的多样性和网络拓扑的灵活性有了更高的要求。在此情况下无线局域网越来越多地被引入到校园网，成为了师生进行教学、科研和学习的主要网络。但由于无线局域网安全性相比有线局域网存在较多隐患，因此越来越多的网络攻击发生在无线局域网中。对无线局域网的依赖和安全性隐患成了一对矛盾，如何保障无线校园网的安全成了亟待解决的问题。

1 无线局域网安全性分析

从理论上来说，无线网络安全性弱于有线网络。因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问你的资源，如果你在内部网络传输的数据并未加密的话，更有可能被人家窥探你的数据隐私。此外，无线网络就其发展的历史来讲，远不如有线网络长，其安全理论和解决方案远不够完善。所有的这些都将导致无线网络的安全性比有线网络差。 而无线局域网受攻击主要有以下表现：

(1) 用户名和密码威胁

无线网络都是通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及账号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登录界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多校园网用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登录管理页面，如果成功则立即取得该路由器/交换机的控制权。并且无线网络在默认传输中使用明文传输，易被窃取用户名和密码。在攻击者获得管理员用户名和密码之后，便可以进入系统进行高级别操作，造成毁坏性。

(2) 带宽抢占

校园网的无线AP使得无线信号覆盖全校园甚至周边地区，非学校人员可通过暴力破解的方式获取密码占用无线网络带宽，使得校园网无线带宽变得紧张，影响师生使用无线网络。

(3) 信号压制

目前校园区域往往有多个无线信号，比如某一办公室自行接入无线路由器便形成一个无线信号。非法入侵者可伪造一个强信号并将名字伪装成校园无线网信号，来骗取师生登录，进而获得信息并影响师生使用无线网。

(4) 其它常见攻击

有线网中的服务拒绝、蠕虫、木马和间谍软件等攻击也存在于无线网络中。

2 无线局域网安全对策分析

目前，无线网络均使用身份认证系统。本文将数字签名加密技术加入到身份认证系统中以增强网络安全性。

(1) 身份认证技术。身份认证系统的构成： 动态认证系统主要由令牌、身份认证软件、API接口三部分组成。动态身份认证技术特点表现为：适应各种网络环境；对信息资源提供深度保护；遵循相关标准协议，具备高度通用性；利用函数对接实现与客户软件无缝连接；提供令牌和认证服务器的物理安全保护，防止强行窃取相关信息；采用专用认证服务软件进行集中认证，既提高效率、又简化系统管理。认证系统与客户系统集成。

动态身份认证服务器提供了与客户服务器的软件接口，即认证服务接口函数。通过对它的调用得到认证服务器提供的认证服务。函数接受调用请求后，能自动决定把请求发往认证服务器或后备服务器，随后把认证结果返回给客户服务器。当客户服务器上的应用程序收到网络客户的存取要求时，调用令牌, 认证客户端函数，后者负责向认证服务器发送认证请求并反馈认证结果。应用程序根据反馈的认证结果决定用户访问授权或请求拒绝。

(2) 目前校园无线网络一般使用“双认证”方式，即用户身份于数据库中进行比对来确认用户身份，另外一个是登录名和密码比对，这两种普通认证方式存在安全隐患，容易被攻击者攻破。因此将数字签名技术被引入到校园无线网络中，而且随着无线AP节点性能的提升，经过验证将数字签名加密技术加入无线网络并不影响网络传输质量。

(3) 数字签名是基于公共密钥的身份验证，公开密钥的加密机制提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文，数字签名机制则在此基础上提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名的签名算法至少要满足以下条件：签名者事后不能否认；接受者只能验证；任何人不能伪造；双方对签名的真伪发生争执时，有SA(安全联盟)进行判定。目前数字签名技术的研究主要是基于公钥密码体制。比较著名的数字签名算法包括RSA 数字签名算法和DSA。这里数字签名采用对称加密技术，通过对DSA加密算法整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。考虑到无线网络相比于有线网络健壮性相对不足，因此不采用更加耗费资源的非对称算法，这里应用Shamir门限机制来加密。

图1 认证系统流程图

3 Shamir门限机制的应用

门限机制是一种应用于密码学的机制，Shamir门限机制由于加密算法并不过于复杂，因此在网络安全中应用较实用。

Shamir提出基于多项式的(t，n)门限方案，该方案表述如下：

网络系统中一个t-1次多项式：f(x)=s+a1x+a2x2+....+at-1xt-1(modq)

其中a1,a2,...,at-1∈Zq，且f(0)=sNi(1≤i≤n)随机选择各不相同的数v1,v2,...,vn-1∈Zq，系统为每个节点计算fi值，fi为每个节点拥有的私钥部分。那么在无线网络中任意t个节点可以一起恢复出主密钥，其中而少于t个节点则无法恢复出主密钥s，上式由拉格朗日插值公式得到证明。

在Linux系统环境下实现该算法，以20个节点为例进行了模拟仿真，证明了其可用性，并且经过抓包测试对网络传输速度不产生影响。

4 结束语

基于Shamir门限机制的认证体系的研究，为校园无线网络建设的认证奠定坚实的基础。结合获取终端更多的物理特征信息，将会使本认证体系更为完善，使高校园无线网的安全性。认证系统与防火墙策略、路由策略、服务器访问策略的一起发挥作用，将有助于实施对校园网网络安全的管理。

[1] 杨义先,钮心悕.网络安全理论与技术[Z].北京：人民邮电出版社.2005.

[2] 李园,王燕鸿,张钺伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007.

[3] 王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005.

[4] XU Y N, CHING W Y. Electronic, optical, and structural properties of some wurtzite crystals[ J]. Phys Rev B.1993.

[5] WRIGHT A F, NELSON J S. Explicit treatment of the gallium 3d electrons in GaN using the plane wave pseudopotential method[J]. Phys Rev B.1994.

[6] 王育民,刘建伟.通信网的安全—理论与技术[M].陕西：西安电子科大出版社.1999.

[7] 卢开澄.计算机密码学—计算机网络中的数据保密与安全[M].北京：清华大学出版社.1998.