无线加密方式.pptVIP

IEEE 802 个标准对三种协议的支持情况 小结 总的来说，WPA更据安全性，更可靠。一般来说现在的路由器这3种加密方式都提供。WEP主要是提供给旧版本网卡不支持WPA方式的用户，如果你的网卡支持，建议使用WPA2的AES加密方式。 注：WEP不支持WPS功能 三，其他加密方式 3.1 WAPI加密 1. 定义 WAPI 是WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与必威体育官网网址基础结构）的简称，是中国提出的、以802.11 无线协议为基础的无线安全标准。 WAPI 协议由以下两部分构成： WAI：是WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是 用 于无线局域网中身份鉴别和密钥管理的安全方案 WPI：是WLAN Privacy Infrastructure（无线局域网必威体育官网网址基础结构）的简称，是用于无 线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功 能 2. 系统组成 在一个典型的WAPI系统中，WAPI用户通过AP接入有线IP网络。首先，WAPI用户与AP进行802.11 链路协商，之后AP为该用户触发WAI鉴别过程，配合AS完成与用户的双向认证。当认证通过后，AP会发起对该用户的密钥协商，并使用协商出的密钥通过WPI向该WAPI用户提供加、解密服务。 WAPI 的工作过程 在一个采用了WAPI安全关联机制的WLAN中，当STA需要访问该WLAN时，通过被动侦听AP的信标（Beacon）帧或主动发送探询帧以识别AP所采用的安全策略： 若 AP 采用证书鉴别方式，AP 将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过 程成功结束后，AP 和STA 再进行单播密钥协商和组播密钥通告； 若 AP 采用预共享密钥鉴别方式，AP 将与STA 直接进行单播密钥协商和组播密钥通告。 4. WAPI 的鉴别方式 WAPI 支持如下两种鉴别方式： 证书鉴别方式 预共享密钥鉴别方式。 证书鉴别方式 数字证书是一种经 PKI（Public Key Infrastructure，公钥基础设施）证书授权中心签名的、包含公开密钥及用户相关信息的文件，是网络用户的数字身份凭证。WAPI系统中所使用的用户证书为数字证书，通过AS 对用户证书进行验证，可以唯一确定WAPI 用户的身份及其合法性。 证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有 各自的证书，然后通过AS对双方的身份进行鉴别，根据双方产生的临时公钥和临时 私钥生成BK，并为随后的单播密钥协商和组播密钥通告做好准备 在进行证书鉴别时，有如下两种证书鉴别模式可供选择： 标准鉴别模式：即基于 WAPI 标准协议的UDP 模式。在该模式下，AP 与AS之间的WAI 协议报文将通过普通的UDP 方式进行传输，最终完成证书鉴别。该模式不支持对用户的计费功能。 AAA 鉴别模式：是H3C 私有的一种鉴别模式。在该模式下，AP 与AS 之间通过RADIUS 报文完成证书鉴别，WAI 协议报文将承载于RADIUS 协议报文之上（要求RADIUS 服务器 支持WAPI 功能），作为RADIUS 报文的一个私有属性。此外，该模式还能够提供对用户 的授权和计费功能（需要RADIUS 服务器配合）。 预共享密钥鉴别方式 预共享密钥鉴别是基于 STA 和AP 双方的密钥所进行的鉴别。鉴别前STA 和AP 必须预先配置有相同的密钥，即预共享密钥。鉴别时直接将预共享密钥转换为BK，然后进行单播密钥协商和组播密钥通告。 4. WAPI 的密钥管理 STA 与AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护；AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护，而STA 则采用AP通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。 首先要进行单播密钥的协商，如图所示 当单播密钥协商完成后，再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告，如图所示 重放攻击（Replay Attacks）又称重播攻击、回放攻击或新