2无线安全基础配置.docVIP

2???????????????????? 无线安全基础配置 2.1????????????? 理解无线安全 无线安全是一个广泛的概念，本文特指基于802.11（WEP安全技术）和802.11i协议的无线安全内容。 2.1.1?????? 无线安全概述 无线安全是WLAN系统的一个重要组成部分。由于无线网络使用的是开放性媒介采用公共电磁波作为载体来传输数据信号，通信双方没有线缆连接。如果传输链路未采取适当的加密保护，数据传输的风险就会大大增加。因此在WLAN中无线安全显得尤为重要。 为了增强无线网络安全性，至少需要提供认证和加密两个安全机制： 1、 认证机制：认证机制用来对用户的身份进行验证，以限定特定的用户（授权的用户）可以使用网络资源。 2、 加密机制：加密机制用来对无线链路的数据进行加密，以保证无线网络数据只被所期望的用户接收和理解。 2.1.2?????? 基本概念 802.11i：新一代WLAN安全标准。IEEE 为弥补802.11脆弱的安全加密功能而制定的修正案，802.11i提出了RSN(强健安全网络)的概念，增强了WLAN中的数据加密和认证性能，并且针对WEP加密机制的各种缺陷做了多方面的改进。802.11i标准中所建议的身份验证方案是以802.1X框架和可扩展身份验证协议（EAP）为依据的。加密运算法则使用的是AES加密算法。 RC4：在密码学领域，RC4是应用最广泛的流加密算法，属于对称算法的一种。 IV：初始化向量（Initialization Vector），加密标头中公开的密钥材料。 EAPOL-KEY包（EAP over LAN key）：AP同STA之间通过EAPoL-key 报文进行密钥协商。 PMK（Pairwise Master Key，成对主密钥）：申请者（Supplicant）与认证者（Authenticator）之间所有密钥数据的最终来源。它可以由申请者和认证服务器动态协商而成，或由预共享密钥（PSK）直接提供。 PTK（Pairwise Transient Key，成对临时密钥）：PTK是从成对主密钥（PMK）中生成的密钥，用于加密和完整性验证。 GMK（Group Master Key，组主密钥）：认证者用来生成组临时密钥（GTK）的密钥，通常是认证者生成的一组随机数。 GTK（Group Transient Key，组临时密钥）：由组主密钥（GMK）通过哈希运算生成，是用来保护广播和组播数据的密钥。 MIC（message integrity code，消息完整性校验码）。针对一组需要保护的数据计算出的散列值，用来防止数据遭篡改。 WAPI（WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和必威体育官网网址基础结构）：WAPI标准是中国强力推广的无线安全标准。 2.1.3?????? 链路认证方式 链路认证即802.11身份验证，是一种低级的身份验证机制。在STA同AP进行802.11关联时发生，该行为早于接入认证。任何一个STA试图连接网络之前，都必须进行802.11的身份验证进行身份确认。可以把802.11身份验证看作是STA连接到网络时的握手过程的起点，是网络连接过程中的第一步。 IEEE 802.11 标准定义了两种链路层的认证： ?????????? href=Cap1.htm#_开放系统身份认证 target=b ?????????? href=Cap1.htm#_共享密钥身份认证 target=b 2.1.3.1???? 开放系统身份认证 开放系统身份认证允许任何用户接入到无线网络中来。从这个意义上来说，实际上并没有提供对数据的保护，即不认证。也就是说，如果认证类型设置为开放系统认证，则所有请求认证的STA都会通过认证。 开放系统认证包括两个步骤： 第一步，STA请求认证。STA发出认证请求，请求中包含STA的ID（通常为 MAC 地址）。 第二步，AP返回认证结果。AP发出认证响应，响应报文中包含表明认证是成功还是失败的消息。如果认证结果为“成功”，那么STA和AP 就通过双向认证。 图 1.????? 2.1.3.2???? 共享密钥身份认证 共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要STA和AP配置相同的共享密钥。共享密钥认证的过程如下： 第一步，STA先向AP发送认证请求； 第二步，AP会随机产生一个Challenge包（即一个字符串）发送给STA； 第三步，STA会将接收到字符串拷贝到新的消息中，用密钥加密后再发送给AP； 第四步，AP接收到该消息后，用密钥将该消息解密，然后对解密后的字符串和最初给STA的字符串进行比较。如果相同，则说明STA拥有无线设备端相同的共享