收藏
下载资源

无线安全基础配置

上传人:豆浆 文档编号:4829464 上传时间:2017-08-26 格式:DOC 页数:32 大小:533KB
返回 下载 相关 举报
无线安全基础配置_第1页
第1页 / 共32页
无线安全基础配置_第2页
第2页 / 共32页
无线安全基础配置_第3页
第3页 / 共32页
无线安全基础配置_第4页
第4页 / 共32页
无线安全基础配置_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《无线安全基础配置》由会员分享,可在线阅读,更多相关《无线安全基础配置(32页珍藏版)》请在金锄头文库上搜索。

1、2 无线安全基础配置2.1 理解无 线安全无线安全是一个广泛的概念,本文特指基于 802.11(WEP 安全技术)和 802.11i 协议的无线安全内容。2.1.1 无线安全概述无线安全是 WLAN 系统的一个重要组成部分。由于无线网络使用的是开放性媒介采用公共电磁波作为载体来传输数据信号,通信双方没有线缆连接。如果传输链路未采取适当的加密保护,数据传输的风险就会大大增加。因此在 WLAN 中无线安全显得尤为重要。为了增强无线网络安全性,至少需要提供认证和加密两个安全机制:1、 认证机制:认证机制用来对用户的身份进行验证,以限定特定的用户(授权的用户)可以使用网络资源。2、 加密机制:加密机制

2、用来对无线链路的数据进行加密,以保证无线网络数据只被所期望的用户接收和理解。2.1.2 基本概念802.11i:新一代 WLAN 安全标准。I EEE 为 弥 补 802.11 脆 弱 的 安 全 加 密 功 能 而 制 定的 修 正 案 , 802.11i 提 出 了 RSN(强 健 安 全 网 络 )的 概 念 , 增 强 了 WLAN 中 的 数据 加 密 和 认 证 性 能 , 并 且 针 对 WEP 加 密 机 制 的 各 种 缺 陷 做 了 多 方 面 的 改 进 。802.11i 标准中所建议的身份验证方案是以 802.1X 框架和可扩展身份验证协议(EAP )为依据的。加密运算

3、法则使用的是 AES 加密算法。 RC4:在密码学领域,RC4 是应用最广泛的流加密算法,属于对 称 算 法 的 一 种 。IV:初始化向量(Initialization Vector),加密标头中公开的密钥材料。EAPOL-KEY 包(EAP over LAN key):AP 同 STA 之间通过 EAPoL-key 报文进行密钥协商。PMK(Pairwise Master Key,成对主密钥):申请者(Supplicant)与认证者(Authenticator )之间所有密钥数据的最终来源。它可以由申请者和认证服务器动态协商而成,或由预共享密钥(PSK)直接提供。PTK(Pairwise

4、Transient Key,成对临时密钥):PTK 是从成对主密钥(PMK)中生成的密钥,用于加密和完整性验证。GMK(Group Master Key,组主密钥):认证者用来生成组临时密钥(GTK)的密钥,通常是认证者生成的一组随机数。GTK(Group Transient Key,组临时密钥):由组主密钥(GMK)通过哈希运算生成,是用来保护广播和组播数据的密钥。 MIC(message integrity code,消息完整性校验码)。针对一组需要保护的数据计算出的散列值,用来防止数据遭篡改。WAPI(WLAN Authentication and Privacy Infrastruct

5、ure,无线局域网鉴别和保密基础结构):WAPI 标准是中国强力推广的无线安全标准。2.1.3 链路认证方式链路认证即 802.11 身份验证,是一种低级的身份验证机制。在 STA 同 AP 进行 802.11关联时发生,该行为早于接入认证。任何一个 STA 试图连接网络之前,都必须进行802.11 的身份验证进行身份确认。可以把 802.11 身份验证看作是 STA 连接到网络时的握手过程的起点,是网络连接过程中的第一步。IEEE 802.11 标准定义了两种链路层的认证: 开放系统身份认证 共享密钥身份认证2.1.3.1 开放系统身份认证开放系统身份认证允许任何用户接入到无线网络中来。从这

6、个意义上来说,实际上并没有提供对数据的保护,即不认证。也就是说,如果认证类型设置为开放系统认证,则所有请求认证的 STA 都会通过认证。开放系统认证包括两个步骤: 第一步,STA 请求认证。STA 发出认证请求,请求中包含 STA 的 ID(通常为 MAC 地址)。第二步,AP 返回认证结果。AP 发出认证响应,响应报文中包含表明认证是成功还是失败的消息。如果认证结果为“成功”,那么 STA 和 AP 就通过双向认证。图 1. 开放系统认证2.1.3.2 共享密钥身份认证共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要 STA 和AP 配置相同的共享密钥。共享密钥认证的过程

7、如下:第一步,STA 先向 AP 发送认证请求;第二步,AP 会随机产生一个 Challenge 包(即一个字符串)发送给 STA;第三步,STA 会将接收到字符串拷贝到新的消息中,用密钥加密后再发送给 AP;第四步,AP 接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给STA 的字符串进行比较。如果相同,则说明 STA 拥有无线设备端相同的共享密钥,即通过了共享密钥认证;否则共享密钥认证失败。图 2. 共享密钥身份认证2.1.4 接入认证方式接入认证是一种增强 WLAN 网络安全性的解决方案。当 STA 同 AP 关联后,是否可以使用无线接入点的服务要取决于接入认证的结果。如

8、果认证通过,则无线接入点为STA 打开这个逻辑端口,否则不允许用户连接网络。本节介绍以下两种接入认证方式: PSK 接入认证 802.1X 接入认证2.1.4.1 PSK 接入认证PSK (Pre-shared key,预共享密钥)是一种 802.11i 身份验证方式,以预先设定好的静态密钥进行身份验证。该认证方式需要在无线用户端和无线接入设备端配置相同的预共享密钥。如果密钥相同, PSK 接入认证成功;如果密钥不同, PSK 接入认证失败。2.1.4.2 802.1X 接入认证IEEE 802.1X 协议是一种基于端口的网络接入控制协议。这种认证方式在 WLAN 接入设备的端口这一级对所接入

9、的用户设备进行认证和控制。连接在接口上的用户设备如果能通过认证,就可以访问 WLAN 中的资源;如果不能通过认证,则无法访问WLAN 中的资源。一个具有 802.1x 认证功能的无线网络系统必须具备以下三个要素才能够完成基于端口的访问控制的用户认证和授权: 认证客户端一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。 认证者在无线网络中就是无线接入点 AP 或者具有无线接入点 AP 功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。 认证服务器通过检验客户端发送来的身份标识(用户名和口令

10、)来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。2.1.5 无线加密方式相对于有线网络,无线网络存在着更大的数据安全隐患。在一个区域内的所有的 WLAN 设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到 WLAN 接入数据的安全。IEEE 802.11 提供三种加密算法: 有线等效加密(WEP)、暂时密钥集成协议(TKIP )和高级加密标准 AES-CCMP。 WEP 加密 TKIP 加密 AES-CCMP 加密2.1.5.1 WEP 加密WEP (Wired Equivalent Privacy,有线等效加密

11、)是原始 IEEE 802.11 标准中指定的数据加密方法,是 WLAN 安全认证和加密的基础,用来保护无线局域网中授权用户所交换的数据的私密性,防止这些数据被窃取。WEP 使用 RC4 算法来保证数据的保密性,通过共享密钥来实现认证。WEP 没有规定密钥的管理方案,一般手动进行密钥的配置与维护。通常把这种不具密钥分配机制的WEP 称为手动 WEP 或者静态 WEP。WEP 加密密钥的长度一般有 64 位和 128 位两种。其中有 24Bit 的 IV(Initialization Vector,初始化向量)是由系统产生的,因此需要在 AP 和 STA 上配置的共享密钥就只有 40 位或 10

12、4 位。在实际中,已经广泛使用 104 位密钥的 WEP 来代替 40 位密钥的 WEP,104 位密钥的 WEP 称为 WEP-104。虽然 WEP104 在一定程度上提高了 WEP 加密的安全性,但是受到 RC4 加密算法以及静态配置密钥的限制,WEP加密还是存在比较大的安全隐患,无法保证数据的机密性、完整性和对接入用户实现身份认证。2.1.5.2 TKIP 加密TKIP( Temporal Key Integrity Protocol,暂 时 密 钥 集 成 协 议 ) 是 IEEE 802.11 组织为修补 WEP 加密机制而创建的一种临时的过渡方案。它也和 WEP 加密机制一样使用的

13、是 RC4 算法,但是相比 WEP 加密机制,TKIP 加密机制可以为 WLAN 服务提供更加安全的保护。主要体现在以下几点:1. 静态 WEP 的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥。而TKIP 的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥。2. TKIP 将密钥的长度由 WEP 的 40 位加长到 128 位,初始化向量 IV 的长度由 24 位加长到 48 位,提高了 WEP 加密的安全性。3. TKIP 支持 MIC 认证(Message Integrity Check,信息完整性校验)和防止重放攻击功能。2.1.5.3 AES-CCMP 加密AES

14、-CCMP(Counter mode with CBC-MAC Protocol,计数器模式搭配 CBC-MAC 协议)是目前为止面向大众的最高级无线安全协议。IEEE 802.11i 要求使用 CCMP 来提供全部四种安全服务: 认证、机密性、完整性和重发保护。 CCMP 使用 128 位 AES (Advanced Encryption Standard,高级加密标准)加密算法实现机密性,使用 CBC-MAC(区块密码锁链信息真实性检查码协议)来保证数据的完整性和认证。作为一种全新的高级加密标准,AES 加密算法采用对称的块加密技术,提供比WEP/TKIP 中 RC4 算法更高的加密性能,

15、它将在 IEEE 802.11i 最终确认后,成为取代 WEP 的新一代的加密技术,为无线网络带来更强大的安全防护。2.1.6 WPA 安全技术WPA(Wi-Fi Protected Access,Wi-Fi 保护访问)是 Wi-Fi 商业联盟在 IEEE 802.11i草案的基础上制定的一项无线局域网安全技术。其目的在于代替传统的 WEP 安全技术,为无线局域网硬件产品提供一个过渡性的高安全解决方案,同时保持与未来安全协议的向前兼容。可以把 WPA 看作是 IEEE802.11i 的一个子集,其核心是 IEEE 802.1X 和 TKIP。无线安全协议发展到现在,有了很大的进步。加密技术从传统的 WEP 加密到 IEEE 802.11i 的 AES-CCMP 加密,认证方式从早期的 WEP 共享密钥认证到 802.1x 安全认证。新协议、新技术的加入,同原有 802.11 混合在 一起,使得整个网络结构更加复杂。现有的 WPA 安全技术允许采用更多样的认证和加密方法来实现 WLAN 的访问控制、密钥管理与数据加密。例如,接入认证方式可采用预共享密钥(PSK 认证)或 802.1X 认证,加密方法可采用 TKIP 或 AES。WPA 同这些加密、认证方法一起保证了数

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号