《无线加密方式ppt课件》由会员分享,可在线阅读,更多相关《无线加密方式ppt课件(37页珍藏版)》请在金锄头文库上搜索。
1、 无线安全机制 目录 概诉无线局域网加密认证方式2 1WEP加密2 2WPA 802 1X加密2 3WPA2加密2 4三大加密对比三 其他加密3 1WAPI加密认证 一 概诉 无线局域网 WirelessLocalAreaNetwork 简称 WLAN 利用无线射频 RF 电波作为信息传输的媒介构成的局部无线网路 与有限局域网的用途十分类似 最大的不同在于传输媒介的不同 它利用无线电技术取代网线 可以和有限网络互为备份 wlan技术现在正在广泛被应用 具有传统局域网无法比拟的灵活性通信范围不受环境条件的限制用户能够更方便 灵活 快捷的访问网络资源随着无线局域网技术和应用的进一步发展 无线局域网
2、正逐渐从传统意义上的局域网技术发展成为 公共无线局域网 已成为INTERNET宽带接入的重要手段 尽管无线局域网路技术解决了很多传统有线网络存在的问题 同时 他也带来了新的安全问题 无线局域网技术最大的弱点就是其安全性 其安全问题使诸多企业望而却步 成为WLAN市场拓展的绊脚石 无局域网不同于传统的网络 有线网络本身的物理线链路就是一种访问控制 用户必须通过线缆或光纤连接到网络上才能实现对网络的访问 而无线网络的信息的传输载体是无线电波就使其无法像传统网络那样可以实现物理上的隔离来保障整个局域网的信息安全 因此 无线局域网较之传统的网络 存在更多的安全隐患 如何解决其存在的安全问题 直接关系到
3、无线网络技术的发展 二 无线局域网加密方式 无线局域网的三大加密技术 WEP WiredEquivalentPrivacy 加密技术IEEE802 11b标准规定了一种称为有线等效保密的加密方案 WEP利用一个对称的方案 在数据的加密和解密过程中使用相同的密钥和算法WPA Wi FiProtectedAccess 加密技术具有WPA和WPA2两个标准 是一种保护无线电脑网路 Wi Fi 安全的系统WPA2加密技术WPA2是WiFi联盟验证过的IEEE802 11i标准的认证形式 实现了802 11i的强制性元素 特别是Michael算法被公认彻底安全的CCMP 计数器模式密码块链消息完整码协议
4、 讯息认证码所取代 而RC4加密算法也被AES所取代 其他加密方式 IEEE802 1X是一种为烧保护网路提供认证 控制用户通信以及动态密钥分配等服务的有效机制 将8021x协议和windows活动目录技术相结合 可以实现只有通过内部域用户验证的计算机才能正常连入公司交换机进行通讯 否则其接入端口数据将被阻隔WAPIWAPI是WLANAuthenticationandPrivacyInfrastructure 无线局域网鉴别与保密基础结构 的简称 是中国提出的 以802 11无线协议为基础的无线安全标准 2 1WEP加密 1 定义及应用全称 有线等效协议 是为了保证802 11b协议数据传输的
5、安全性而推出的安全协议 该协议可以通过对传输的数据进行加密 以保证无线局域网中数据传输的安全性 在无线局域网中 要使用WEP协议 无线AP首先要启用WEP功能 并创建密钥 然后在每个无线客户端启用WEP 并输入该密钥 这样就可以保证安全连接 2 WEP加密方式全称为有线对等保密 是一种数据加密算法 用于提供等同于有线局域网的保护能力 使用该技术的无线局域网 所有客户端与无线接入点的数据都会以一个共享的密钥进行加密 密钥越长 就需要更多的时间去破解 因此能够提供更好的安全保护 WEP安全技术源自于名为RC4的RSA数据加密技术 在无线网络中传输的数据是使用一个随机产生的密钥来加密的 RC4 RC
6、4函数 加密 解密 对于RC4来说 RC4只有加密 将密文再加密一次 就是解密了 RC4加密算法WEP支持64位和128位加密对于64位加密 加密密钥为10个十六进制字符 0 9和A FA 或5个ASCII字符 对于128位加密 加密密钥为26个十六进制字符或13个ASCII字符 WEP依赖通信双方共享的密钥来保护所传的加密数据帧 加密过程1 计算校验和对输入数据进行完整性校验和计算把输入数据和计算得到的校验和组合起来得到新的加密数据 也称之为明文 用于下一步密过程的输入2 加密在这个过程中 将第一步得到的数据明文采用完整性算法加密 对明文加密有两层含义明文数据的加密保护未经认证的数据将24位
7、的初始化向量和40位的密钥连接进行校验和计算 得到64位的数据将这64位的数据输入到虚拟随机数产生器中 对初始化向量和密钥的校验和计算值进行加密计算进过校验和计算的明文与虚拟随机数产生器的输出密钥进行按位异或运算得到加密后的信息 即密文传输将初始化向量和密钥串联起来 得到要传输的加密数据帧 在无线链路上传输 RC4优点 速度快缺点 需要事先将秘密的传输密钥 WEP加密过程图解 3 WEP总结 无线网络中已经存在好几种加密技术 最常用的事WEP和WAP两种加密方式 虽然WEP可以阻止窥探者进入无线网络 由于密文需要通过无线传输 WEP破解起来非常容易 就像一把锁在门上的朔料锁 由于WEP的安全性
8、低 催生了一个更安全的无线网络加密方式 WAP的诞生WAP Wi FiProtectedAccess 是WEP的增强产品 WPA是继承了WEP基本原理又解决了WEP缺点的一项新技术 2 2WPA加密 定义WPA Wi FiProtectedAccess 网络安全存取WPA是一种基于标准的可互大大增强数据保护和访问控制水平 WPA源于正在制定中的IEEE802 11i标准并保持向前兼容 WPA的资料是以一把128位元的钥匙和一个48位元的初向量 IV 的RC4streamcipher来加密 除了认证跟加密外 WPA对于所载资料的完整性也提供了巨大的改进 WEP所使用的CRC 循环冗余校验 先天就
9、不安全 在不知道WEP钥匙的情况下 要篡改所载资料和对应的CRC是可能的 而WPA使用了称为 Michael 的更安全的讯息认证码 在WPA中叫做讯息完整性查核 MIC 进一步地 WPA使用的MIC包含了帧计数器 以避免WEP的另一个弱点 replayattack 回放攻击 的利用 由于WEP已经证明的不安全性 在802 11i协议完善之前 采用WPA为用户提供一个临时性的解决方案 该标准的数据加密采用TKIP协议 TemporaryKeyIntegrityProtocol 认证有两种模式可供选择 一种是使用802 1x协议进行认证 WPA企业版 一种是称为预先共享密钥PSK Pre Shar
10、edKey 模式 WPA个人版 TKIP TemporalKeyIntegrityProtocol 临时密钥完整性协议 TKIP是包裹在已有的WEP密码外围的一层 外壳 TKIP使用WEP同样的加密引擎和EC4算法 但是TKIP中密码使用的密钥长度是128位 解决了WEP密钥短的问题TKIP另一个重要特性就是变化每个数据包所使用的密钥 这就是它名称中 动态 的出处 密钥通过将多种因素混合在一起生成 包括基本密钥 即TKIP中所谓的成对瞬时密钥 发射站的MAC地址以及数据包的序列号 混合操作在设计上将对无线站和接入点的要求减少到最低程度 但仍具有足够的密码强度 使它不能被轻易破译 WEP的另一个
11、缺点就是 重放攻击 replayattacks 而利用TKIP传送的每一个数据包都具有独有的48位序列号 由于48位序列号需要数千年时间才会出现重复 因此没有人可以重放来自无线连接的老数据包 由于序列号不正确 这些数据包将作为失序包被检测出来 802 1x协议认证 1 在了解802 1x协议认证之前 先了解一下术语 RADIUS RemoteAuthenticationDialInUserService远程用户拨号认证系统 可以简单将其理解成一个存储有用户的用户名密码的服务器 能够对一些查询进行响应 从而得知用户是否合法 EAP ExtentionalAuthenticationProtoco
12、l可扩展的认证协议 这是一个能够为没有接入网络的设备提供认证及网络接入的服务 工作于OSI七层模型中的数据链路层 之所以称其为 可扩展的 是因为协议只是规定了一个框架 允许企业根据实际需要自行定制 但是它要求企业自己的标准符合IEEE标准中对于安全性的要求 EAPOL EAPOverLAN能够在局域网上传输EAP报文的协议 2 IEEE802 1x概述 802 1X是由IEEE提出的基于端口的网络访问控制标准 它能够提供一种对连接到局域网的用户进行认证和授权的手段 达到了接受合法用户接入 保护网络安全的目的 基于802 1x的认证 又称EAPOE认证 因为这个协议依赖于EAP实现通常 802
13、1x协议 802 1x认证 EAP协议都可以认为是同一个意思 IEEE802 1x认证组成 802 1X认证包括三个部分 请求方 请求方就是希望接入局域网 无线局域网来上网的设备 譬如一台笔记本 有时候也指设备上运行的客户端软件认证方 认证方则是管理接入的设备 譬如以太网交换机或者无线接入点认证服务器 认证服务器就是一个运行有支持RADIUS和EAP的软件的主机 在认证过程中认证方起到了关键作用 它将网络接入端口分成两个逻辑端口 受控端口和非受控端口 非受控端口始终对用户开放 只允许用于传送认证信息 认证通过之后 受控端口才会打开 用户才能正常访问网络服务 4 IEEE802 1x认证过程 请
14、求方与认证方之间通过EAPOL传递EAP报文 EAPOL报文在认证方那里封装成EAP报文送往认证服务器 所以认证方与认证服务器之间传送的则是真正的EAP报文 EAP报文这时可以被进一步通过其它报文封装 譬如TCP UDP 以穿过复杂的网络环境 当用户有上网需求时 打开IEEE802 1x的客户端程序 输入已经申请登记过的用户名和口令 发起连接请求 认证方收到请求认证的数据帧后 向客户端发送EAP Requst Identity 要求客户端程序将用户名送上来 客户端收到EAP Requst Identity后 响应认证方的请求回应一个EAP Response Identity 其中包括用户名 认
15、证方收到Response Identity后将该报文封装到RADIUSAccess Request报文中 发送给认证服务器 认证服务器接收到认证方转发上来的用户名信息后 产生一个Challenge 通过接入设备将RADIUSAccess Challenge报文发送给客户端 其中包含有EAP Request MD5 Challenge 一个随机生成的密钥 通常为32位 认证方通过EAP Request MD5 Challenge发送给客户端 要求客户端进行认证 客户端将密码和Challenge做MD5算法后的Challenged Passwor在EAP Response MD5 Challeng
16、e回应给认证方 认证方将Challenge ChallengedPassword和用户名一起送到RADIUS服务器 由RADIUS服务器进行认证 RADIUS服务器根据用户信息 做MD5算法 判断用户是否合法 然后回应认证成功 失败报文到接入设备 如果成功 携带协商参数 以及用户的相关业务属性给用户授权 如果认证失败 则流程到此结束 如果认证通过 用户通过标准的DHCP协议 可以是DHCPRelay 通过接入设备获取规划的IP地址 认证方发起计费开始请求给RADIUS用户认证服务器 RADIUS用户认证服务器回应计费开始请求报文 用户上线完毕 用户发出一个EAPOL Logoff报文 认证方受到报文后告知RADIUS服务器 RADIUS服务器停止计费之后 要求认证方告知用户已经断线 认证方向用户发送EAP Failure 用户收到EAP Failure后 确认已断线 一次网络服务就此告终 IEEE802 1x小结 IEEE802 1x认证定义了基于端口的网络接入控制协议 提供了在无IP环境下对接入用户的身份认证和访问控制机制 具有成本低 实现容易的特点 它与其它认证的不同是它可以提供多
